撰文: ZKSwap 小白

Concept:zk-stark vs zk-snark

談到 ZKP 算法,大夥可能聽過一些,比如 zk-snark、zk-stark、bulletproof、aztec、 plonk 等等。今天,ZKSwap 團隊就和大夥聊聊這一對“表面兄弟”,zk-stark 和 zk-snark 算法的異同之處。

首先,先從名字說起。

如下圖所示,我們將名稱 zk-stark 和 zk-snark 根據功能特點分別分成四個部分,然後逐個比較分析。

ZKSwap 團隊解讀零知識證明算法之 Zk-STARK

Zk-stark => zk - s t ark

  • zk:零知識,表明隱私的輸入將會被隱藏,除了證明者,其他任何人不會看見;
  • s:可擴展的,和 Replay Computation 的驗證耗時相比,zk-stark 的證明和驗證耗時分別與之呈擬線性關係和對數關係;
  • t:透明的,zk-stark 算法沒有 CRS setup by Trusted party;
  • arg:知識論證,只有知道 private input 的 prover,才能生成有效的 proof;

Zk-snark => zk - s n ark

  • zk:零知識,表明隱私的輸入將會被隱藏,除了證明者,其他任何人不會看見;
  • s:簡潔的,指的是生成的 proof 足夠小和驗證時間足夠短;
  • n:非交互式的,Prover 生成證明的過程中和 verifier 沒有交互;
  • arg:知識論證,只有知道 private input 的 prover,才能生成有效的 proof;

Compare

相同點

1. 都實現了將隱私的輸入可靠隱藏;

2. 都是基於知識論證,不知道 private input 的 prover 生成不了有效的 proof;

3. 都可以實現交互式與非交互式式的算法,只是取決於 randomness 是由誰來生成的;

不同點

1. zk-stark 具有可擴展性,即證明和驗證的耗時與原始計算的耗時分別呈擬線性關係(且線性因子爲常量)和對數關係,這意味這,如果原始輸入的數據集增大 1000000 倍,zk-stark 的證明耗時增加線性倍數的時間,但驗證時間僅僅增加 21 * log1000000 =~ 420 倍。證明耗時呈線性關係基本滿足所有的 ZKP 算法,但是驗證時間呈對數關係,僅此一家,因此在擴展性上,zk-stark 要勝一籌。

2. zk-stark 同樣具有簡潔性,但是是驗證簡潔性。所謂簡潔性,通常是指即使驗證程序很大,生成的 proof size 也不會很大,同時又能很快的完成驗證(比 native computation 快很多)。相比對 zk-snark,zk-stark 的 proof size 要大的多,因此在簡潔性上,zk-snark 要勝一籌。

ALG compare

前面從概念上對 zk-stark 和 zk-snark 算法做了比較,其異同點可以籠統的概括爲:

  • 都是基於知識論證的 ZKP 算法;
  • zk-stark 不需要 zk-snark 的 Trusted party 設置 CRS,因此是 Transparent;
  • zk-stark 的驗證耗時與 native computation 耗時呈對數關係,因此是 Scalable;

下面,我們將從算法層面,去做相對更深入一些的比較分析:

  • zk-snark ALG 【4】

1. 算法思想:將證明 CI statement 成立問題轉換成證明多項式等式成立問題,轉換過程用到了算術環路和 QAP 方法;

2. 多項式等式成立意味着什麼?(圖中黃色部分) a. 等式兩邊可以看作兩個度相等的多項式,假設爲 n,其交點最多有 n 個,假如在一個很大的域範圍內隨機選一個點,如果的兩個多項式在此點的值相等,則證明兩個多項式是相等的。 b. 我們可以看到,等式右邊的多項式因子 Z 是目標多項式,它的零點就是右邊整體多項式的零點,也就是等式左邊整體多項式的零點,而等式左邊的多項式在這些零點的取值,就轉換成了一個個的算術電路里每個乘法門對應的一階線性約束等式(R1CS)成立,即原始計算等式成立(注:R1CS 由原始計算等式分解得到);

3. 算法分爲三個步驟:CRS 生成;證明者證明;驗證者驗證;

4. 可以看到 prover 生成證明過程中,沒有與驗證者交互,因此是 non-interative;

5. 如何保證 prover 用於生成證明的 A/B/C/H 是多項式且是小於某個度數呢? a. 通過 trusted party 來保證,因爲它是可信任的,因此它生成 pk,vk 用到的 A/B/C 等肯定是多項式並且是小於某個度的; b. 如果證明者作惡,那麼驗證者將會很大概率驗證失敗; c. 主要用到了同態加密 HH 和係數知識假設 KCA 和橢圓曲線雙線性配對等數學知識;

ZKSwap 團隊解讀零知識證明算法之 Zk-STARK

  • zk-stark ALG 【1】【2】【3】

1. 算法思想:將證明 CI statement 成立問題轉化成證明多項式小於某個度的問題,轉換過程用到了多項式插值方法;

2. 多項式等式成立意味着什麼?(圖中黃色部分)

思想與 zk-snark 一樣,T 同樣爲目標多項式,其零點已知且公開,也是等式左側多項式 Q 的零點,多項式 Q 在每一個零點的取值都對應了一個 execute trace 的成立(沒錯,在 zk-stark 中,原始計算語句轉化成了多個 execute trace,這類似與 zk-snark 中的 R1CS)。因此多項式相等,意味着 execute trace 正確,說明原始 CI 成立。

3. 多項式小於某個度意味着什麼?

和 zk-snark 類似的是,兩者都把 CI statement 轉換成了證明多項式等式成立的問題(可以這麼抽象的認爲,zk-stark 不僅要證明多項式相等,還要證明相應多項式是小於某個度的,這是 zk-stark 算法的核心,所以纔有了第一點的描述)。爲了防止驗證者作惡,必須要保證多項式是低於某個度的(存在這樣一種可能,攻擊者可以特意生成滿足證等式的一些點,這些點並不是真正的多項式上的點,但是根據這些點生成的證據也能通過驗證者驗證)。不同的是,zk-snark 使用了 trusted party 機制 和 同態加密等數學方法,而 zk-stark 使用了低度測試等數學方法。當且僅當多項式真正的小於某個度時,多項式的相等纔是真實意義上的相等,說明生成軌跡多項式的 execute trace 是正確的,即原始 CI 成立。

4. 算法分爲兩大步驟,算術化和低度測試; a. 算術化:是把問題轉化爲多項式形式 b. 低度測試:是證明組合多項式 (圖中黃色) 和軌跡多項式(圖中綠色)小於某個固定的度-->FRI 算法

5. 在生成證明的過程中,有交互(圖中紅線所示),所以圖中描述的是交互式的零知識證明算法;

ZKSwap 團隊解讀零知識證明算法之 Zk-STARK

Summary

以上分別從概念和算法上介紹了 zk-snark 和 zk-stark 算法的異同之處,作爲引文,後續發文將深入詳細價紹 zk-stark 算法的原理。如有錯誤,麻煩批評指正,謝謝。

Appendix

V 神三部曲,含淚拜讀 https://vitalik.ca/general/2017/11/09/starks_part_1.html

zk-stark 論文 https://eprint.iacr.org/2018/046.pdf

starkware 官方講解系列 https://medium.com/starkware/stark-math-the-journey-begins-51bd2b063c71

來源鏈接:zks.org