Aleo 项目的诞生起源于论文 ZEXE,完整的中文翻译看我们之前的文章:
诞生Aleo项目的论文完整中文版翻译—Zexe实现去中心化的私有计算
在论文中有大量的篇幅讲到了委托证明生成代理计算,但是 Aleo 的委托证明并不是简单的证明委托,而是带有隐私性质的。
如何保证被委托出去的证明生成的隐私性?
利用 MPC 是一种解决方案,也是 Aleo 所采用的,在我们之前的文章中也有介绍:详细了解Aleo之证明者的隐私委托
什么是MPC?
多方安全计算(Secure Multi-Party Computation,MPC)是一种将计算分布在多个参与方之间的密码学分支,允许参与者在不泄露各自隐私数据情况下,共同完成计算任务。在需要多方数据进行联合计算的场景中,允许多个参与方在不泄露各自数据的情况下,共同完成某项计算任务。
隐私证明市场
假设您想为您的计算创建一个 ZK 证明。但是,您的计算量相对较大,并且您缺乏自己创建证明的计算资源。事实上,使用现代 ZK 证明器证明任何程序都会产生巨大的计算开销,并且需要大量的 RAM。证明市场可以解决您的问题:它们允许用户将证明生成外包给证明者,这些证明者可以利用其更强大的硬件货币化,其中可能还包括针对 ZK 优化的加速器。
证明市场为买卖双方创造了互利的局面。卖家通过利用优化的硬件高效地创建证明来赚钱,为买家提供具有成本效益的证明。然而,在当今的现实世界中,证明者通常必须向证明生产者披露潜在的敏感信息,我们先看一下证明生成。
ZK证明生成
从高层次来看,ZK 证明允许证明者说服验证者,它知道证人 w,该证人可证明 NP 关系 R 的有效性,而无需透露有关证人的任何信息(除了可以从关系 R 本身得出的信息)。在许多情况下,关心的是证明对输入 x 正确执行了计算(由电路 C 表示),产生输出 y=C(x)。换句话说,(潜在的)隐私输入 x 充当 ZK 证明的证人,NP 关系被编码为电路 C,它将 x 唯一地连接到(潜在的公开)输出 y。
在现代 ZK 证明系统中,证明分两步生成。首先,将电路编码为证明系统可以理解的表示形式,如今,这通常意味着将其表示为一组 R1CS 约束或 Plonkish 证明系统的多项式约束。此表示仅取决于电路 C,实际上与输入 x 无关。下一步是分配电路,即根据输入 x 对其进行评估。因此,还必须记住所有属于电路表示约束的中间值,因为这些中间值也是生成证明时所必需的。现在将 x 和中间值的组合称为扩展见证 t。ZK 证明系统的作用是将电路表示以及分配 t 作为输入并创建有效的 ZK 证明。
外包证明生成
要外包证明,用户需要外包一个可以表示为证明系统理解的一组约束的电路,以及包含扩展见证的电路分配。在更一般的设置中,用户也可以外包输入 x 而不是分配,并让证明者也创建扩展见证。不过,在这两种情况下,输入 x 都是由用户发送给证明者的,要么直接发送给,要么作为扩展见证的一部分发送给证明者。
在 x 不被视为隐私的用例中(例如,当只需要现代 ZK 证明系统的简洁性属性而不是零知识属性本身时),这种方法不会侵犯隐私。但是,当见证 x 包含私人信息时,用户可能不愿意将其提供给证明者。事实上,在开放的证明市场环境中,潜在的竞争对手可能会冒充证明者并试图窃取私人信息。
总而言之,如果你想创建 ZK 证明,现在你有两个选择。首先,你可以自己创建,这可能需要大量的计算和 RAM 资源,但可以完全保护隐私。其次,你可以使用证明市场,在市场中你可以外包证明生成并收取费用,用你的潜在隐私输入换取对硬件的要求更低。
解决方案:MPC
MPC 是密码学的一个子领域,它使多方能够联合计算函数 f 并对其组合输入进行计算,同时保持这些输入的私密性。与 ZK 类似,评估函数 f 通常表示为算术电路。f 的输入在各方之间秘密共享。每一方都在其共享上本地评估电路,并在必要时与其他参与者通信。各方完成计算后,他们会重建函数 f 的结果,而无需告诉任何人秘密输入。实际上,计算函数的各方不一定是提供输入的各方。我们可以使用此属性为外包计算(例如证明市场)启用隐私!
工作流程如下:用户不是将(扩展)证人发送给一个证明者,然后由他生成证明,而是将其秘密共享给一组 n 个证明者。因此,由于秘密共享,单个证明者不会获得有关(扩展)证人的任何信息,但所有证明者可以一起利用 MPC 创建有效的零知识证明。
图中描述了用户创建扩展证人的情况。由于 MPC 允许计算任何函数,因此创建扩展证人也可能外包给证明市场。
因此,此解决方案需要在 MPC 协议中创建 ZK 证明。与 ZK 类似,使用 MPC 通常会给任何函数的评估带来显著的性能损失。
基于 MPC 的证明生成的效率
基于秘密共享的 MPC 协议通常有两个因素会增加函数计算的开销。首先,对于每个非线性运算(例如,将两个共享值相乘),计算方需要交换随机数据。因此,对具有大量乘法的函数进行求值会导致计算方之间交换千兆字节的数据。这种通信很容易成为许多 MPC 应用程序中的瓶颈,尤其是在慢速网络环境中。因此,乘法次数较少的函数是首选。
其次,有些 MPC 协议需要额外的计算工作量,而不仅仅是评估函数。在复制共享协议(例如ABY3)和类似 SPDZ 的协议中,每一方都必须对多个共享执行计算,这会增加工作量。此外,许多 MPC 协议(类似于 ZK 证明系统)在更大的素数域上运行,这在评估未在这些域上定义的电路时会产生一些开销。
那么,考虑到这些限制,ZK 证明协议表现如何呢?由于 ZK 证明系统通常在大型素数域上运行,因此使用在相同域上定义的 MPC 协议不会产生任何开销。然而,更严重的问题是生成证明所需的乘法次数,这反过来又定义了 MPC 各方之间所需的通信。不幸的是,答案取决于 ZK 证明系统的类型,更具体地说,取决于使用的多项式承诺方案。
KZG 和 IPA
对于从流行的 KZG 承诺方案或 Halo2 等内积论证 (IPA) 构建的证明系统,主要步骤涉及快速傅里叶变换 (FFT),形式为多标量乘法,事实上,众所周知,FFT 是一种线性运算,可以用矩阵向量乘法表示,其中矩阵是公开的,多标量积的生成器。因此,计算方可以在本地计算证明生成中最昂贵的部分,而不需要交互。甚至更好:由于域元素的秘密份额也是域元素,并且份额上的线性运算通常等同于非 MPC 对应项,因此这些证明系统中的大多数运算与标准证明生成没有区别。因此,特殊的证明生成硬件加速器也可以与 MPC 结合使用。因此,基于 KZG 和 IPA 的证明系统非常适合基于 MPC 的证明市场。
其他解决方案
可信执行环境 TEE
使用 TEE(如 Intel SGX 或 AMD SEV),用户可以加密其输入,以便在功能更强大的服务器上使用 TEE。将加密数据发送到 TEE 后,它会继续解密数据并计算证明,而不会(明确地)向服务器泄露信息。此外,TEE 证明计算了正确的函数,增加了对系统的信任。然而,基于 TEE 的解决方案有一些严重的缺点,即它们极易受到各种软件和物理攻击,例如基于缓存计时和功耗观察的侧信道攻击,并且新的漏洞和攻击会定期发布3。由于用户会将其证人提供给完全由潜在恶意方控制的 TEE,因此这些恶意方可能会反复应用这些攻击来侵犯证人的隐私。
另一个需要考虑的问题是,使用 TEE 会使使用专用 ZK 硬件加速器变得更加困难。首先,需要在 TEE 和加速器之间建立安全通道,以防止在数据传输过程中泄露见证信息。其次,硬件加速器必须设计为保护数据,同时不允许对任何输入数据进行调试访问。
另一个重要的考虑因素是,当仅依赖 TEE 时,信任假设会集中在一个点上,即 TEE 供应商。虽然这可能不会造成直接问题,但它代表着从分散的加密原语转向对集中式硬件制造商的依赖。
同态加密 HE
初看之下,HE 似乎是外包计算的完美选择,因为它承诺计算密文上的任何函数,可以取代上面描述的 MPC,同时不需要多个计算方。但仔细观察,HE 也存在不足:当今的 HE 方案仍然遭受巨大的性能损失。由于没有高效引导程序的 HE 方案的性能会受到较大的乘法深度的影响(例如在加密数据上创建 ZK 证明时遇到的情况),因此人们必须选择引导友好的方案来限制所有 HE 方案中固有的已经巨大的性能开销。然而,这些方案带来了不同的问题,即明文空间较小。因此,为了模拟 ZK 证明系统所需的较大素数域中的运算,人们必须在多个密文上评估大整数电路,从而导致进一步减速。当使用 ZAMA TFHE 变体作为基准时,单个 16 位乘法需要大约 100 毫秒的时间,可以观察到评估 HE 加密数据的 ZK 证明很快就变得不可行。最后,许多线性构建块(例如 FFT)在 MPC 中可以被视为免费的,因为它们不需要各方相互通信,并且本地 MPC 操作与非 MPC 对应操作类似。另一方面,在 HE 中,线性操作也会产生显着的性能开销。
结论
通过对比发现,与使用同态加密(HE)和可信执行环境(TEE)相比,MPC 在证明市场用例中更胜一筹。
Aleo 使用的是 MPC 解决方案来实现证明的隐私委托代理计算,据悉该方案其实不仅仅适用于 Aleo,同时也适用于其他需要隐私证明委托代理计算的项目。
隐私证明市场相当于证明市场来说其实是个子集的关系,据专业机构预测,2030年Web3 ZKP(零知识证明)生成市场规模将达到 100 亿美元,Web3 服务将需要执行近 900 亿次零知识证明,全市场每秒完成 83,000 笔交易。
在我们之前的文章中也有介绍什么是Aleo的委托代理证明?新兴的去中心化ZK计算网络!,证明计算市场属于新兴的计算网络,目前已经有不少上层应用出现,但是无论是隐私证明市场还是证明市场,本质上都需要专用硬件加速,专用 ZK ASIC 的支持才能落地。除了专用硬件,还需要专业的第三方服务商和去中心化的数据中心(IDC和其他等)等等基础设施相配套。
从这个角度上来看,其实 Aleo 项目非常具有前瞻性,通过其独有的 Coinbase Puzzle 谜题 PoW 机制来不仅提供长期的激励机制,同时不断的优化谜题算法来不断的优化专用硬件的需求,最终实现较为通用的 ZK ASIC 来支撑未来上百亿美金的证明市场!
ZKT Aleo ZPU 芯片机 ,现正式开启第一批头矿预售!
2024 年全球 ZK 峰会 Aleo-ASIC 最有竞争力品牌!
感兴趣请扫码联系,ZKT ASIC 仅对大客户和大渠道!
转载:ZKTo完成Aleo专用ZPU芯片FPGA与PooL联调测试
重磅!Aleo的ARC42主网已经完成切换实施,PoS减产+PoW增产!
Aleo主网后PoSW数据全面分析汇总(10/28/2024)
什么是SNARK?什么是Varuna SNARK?与ZK-SNARK有什么区别?
ALEO 问答集锦 | 关于质押者、证明者和验证者官方最新解答
ALEO 问答集锦 | Aleo积分到底有什么用?区块奖励重大变化?
