理解零知识证明算法Bulletproofs（一）：Range Proof

Original 江小白安比技术社区 2019-12-27 13:08

本文作者江小白，来自安比技术社区的小伙伴，本系列文章将对 Bulletproof 算法在 Range Proof 和 general arithmetic circuits 上的应用展开介绍。

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proof size。根据论文，它有两个方面的应用：1. 用于 range proof；2. 用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。

Range Proof

预备知识

a_L：表示向量{a₁, a₂ ……a_n}

2n：表示向量{2₀,2₁…2_n-1}

<a, b>：表示向量内积 ∑ a_{i ·}b_i，结果是一个值

a o b：向量对应位相乘，{a_1·b₁……a_{n ·}b_n}，结果是一个向量

证明

Alice想要证明

v ∈ [0, 2n-1]

=>则，需要证明一个relation得成立，如下所示：

public-x witness-w relation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令 a_L 为金额 v 的在范围 [0, 2n-1] 内的二进制形式，则a_L = {a₁,a₂……a_n} ∈ {0,1}ⁿ，且满足<a_L, 2ⁿ> = v。因此，证明者需要证明以下几个等式相等：

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)(4)确保了 a_L 元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

2n+1 个约束转换成 1 个约束

=>预备：从Z_p中任意选择一个数y，则b = 0ⁿ是等式<b, yⁿ> = 0成立的充分条件；因为当b != 0ⁿ，等式成立的概率仅有n/p，p是有限域，远大于n。（理解：如果b != 0ⁿ ，把等式看作求n阶一次多项式的零点即可）因此，如果有<b, yⁿ> = 0，那么验证者愿意相信b != 0ⁿ 。

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

验证者随机选取一个数y发送给证明者；
证明者要证明：

同理，等式(5)确保了v的范围，等式(6)(7)确保了a_L元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

验证者随机选取一个数z发送给证明者：
证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积。

三个点积优化成 1 个点积

=> 令

验证

证明者把L/R/V发送给验证者；
验证者事先算好 δ
验证者根据L算出来a_L，根据<a_L, 2ⁿ> = v 算出 v
验证者根据L,R,v,δ验证等式<L, R> = z² · v +δ因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v ∈ [0, 2ⁿ-1]。