ZKP MOOC 第6课：基于配对和离散对数的多项式承诺

在本次讲座中，Yupeng Zhang 讨论了基于双线性配对和离散对数的多项式承诺方案，重点介绍了 KZG 多项式承诺方案及其变体，以及无可信设置的多项式承诺方案。 ### 核心内容 1. **多项式承诺的定义与结构**：多项式承诺是一种协议，允许证明者在不直接发送多项式的情况下，承诺一个多项式，并在后续的查询中提供该多项式在特定点的评估值及证明。KZG 多项式承诺方案通过生成全局参数、承诺多项式、评估和验证四个算法实现。 2. **KZG 多项式承诺方案**：该方案依赖于双线性配对，具有高效的性能，承诺和证明的大小均为常数（一个群元素），验证时间为单个配对操作。然而，该方案需要可信的设置，即生成一个秘密参数 tau，并在生成后将其删除，以确保安全性。 3. **无可信设置的多项式承诺方案**：为了解决 KZG 方案的可信设置问题，提出了基于离散对数的无可信设置方案，如 Bulletproofs。Bulletproofs 通过递归减少多项式的度数，最终在最后一轮直接发送常数大小的多项式进行验证。尽管其证明大小为对数级别，但验证时间仍为线性。 4. **后续改进**：后续的研究如 Hyrax、Dory 和 Dark 方案进一步优化了验证时间，Hyrax 将验证时间降低到平方根级别，而 Dory 和 Dark 方案则实现了对数级别的验证时间和证明大小。 ### 关键论据与信息 - **多项式承诺的四个算法**：包括密钥生成、承诺、评估和验证。 - **KZG 方案的安全性**：基于知识声称的假设，确保证明者无法伪造评估值。 - **Bulletproofs 的递归结构**：通过将多项式分为左右两部分，利用随机线性组合来减少多项式的度数。 - **后续方案的优势**：Hyrax、Dory 和 Dark 方案在不牺牲安全性的前提下，显著提高了效率，尤其是在验证时间方面。 总之，本次讲座深入探讨了多项式承诺的理论基础及其在零知识证明中的应用，展示了如何通过不同的技术手段来优化性能和安全性。

SnarkyJS：TypeScript中的递归零知识证明

视频的核心内容是介绍SnarkyJS，这是一个用于零知识证明的TypeScript库，旨在简化开发者在Mina区块链上构建应用程序的过程。Brandon和Jack分别介绍了SnarkyJS的背景、功能以及如何使用它来构建零知识应用。 关键论据和信息包括： 1. **SnarkyJS的背景**：由0(1) Labs开发，旨在支持基于零知识密码学的新一代应用程序。它与Mina协议紧密集成，Mina使用Kimchi证明系统，SnarkyJS也基于此。 2. **SnarkyJS的功能**：支持无限递归，允许开发者在JavaScript环境中定义电路、生成和验证证明。它易于学习，提供良好的文档支持和工具兼容性（如NPM、Prettier等）。 3. **开发者友好性**：使用TypeScript使得开发者可以利用熟悉的工具和类型，SnarkyJS提供了多种数据类型和加密功能的实现，便于构建复杂的应用。 4. **递归能力**：SnarkyJS允许将零知识证明作为输入传递给智能合约的方法，支持更复杂的应用场景，如游戏等。 5. **实际应用示例**：通过构建Wordle游戏的示例，展示了如何使用SnarkyJS进行状态管理和证明生成，强调了用户在游戏中无需支付交易费用的优势。 最后，视频还提到了一些开发者可以参与的黑客松活动，并提供了如何开始使用SnarkyJS的指导。

ZKP MOOC 第16课：ZKP的硬件加速

在本次讲座中，Kelly Olson探讨了零知识证明（ZKP）的硬件加速，重点介绍了其重要性、当前行业状态及未来发展方向。 **核心内容概括：** 讲座首先定义了硬件加速的概念，强调其在提高零知识证明生成效率方面的重要性。随后，Olson详细讨论了生成证明过程中涉及的计算密集型操作，包括多标量乘法、数论变换和算术哈希，并分析了所需的硬件资源及其限制。最后，讲座总结了当前ZKP加速的状态，并探讨了未来改进证明生成性能的潜在方向。 **关键论据和信息：** 1. **硬件加速的定义与重要性**：硬件加速是通过专用硬件提高操作速度和效率的过程，尤其在处理复杂的加密操作时显得尤为重要。 2. **计算密集型操作**：生成零知识证明时，主要的计算瓶颈来自多标量乘法、数论变换和算术哈希，这些操作在不同的证明系统中占据了大部分计算时间。 3. **性能瓶颈**：生成证明的高开销（可能是原生计算的百万倍到千万倍）限制了ZKP的应用，尤其是在需要高吞吐量的场景中。 4. **硬件选择与优化**：选择合适的硬件平台（如GPU、FPGA等）和优化算法是提升性能的关键，尤其是要考虑到数据传输带宽和内存访问速度等因素。 5. **实际案例**：以Filecoin为例，展示了硬件加速在实际应用中的显著效果，GPU实现的证明生成速度比传统CPU快了约100倍。 Olson还提到，尽管在ZKP硬件加速方面取得了显著进展，但仍有许多改进空间，包括开发更高效的算法、新的核心原语和简化的证明系统等。

ZKP MOOC 第 15 课：使用形式方法的安全 ZK 电路

在这段视频中，Yu Feng教授讨论了如何通过形式化方法来确保零知识电路（ZK circuit）的安全性。他强调了区块链软件中的漏洞可能导致严重的安全问题，尤其是在智能合约和零知识证明等层面。教授提到了一些具体的案例，例如闪电贷漏洞和Solana协议的拒绝服务漏洞，强调了这些漏洞可能导致巨额资金损失。 视频的核心内容包括： 1. **形式化方法的定义与重要性**：形式化方法是一系列数学上严格的技术，用于发现软件中的错误并证明其正确性。它们可以分为动态和静态技术，教授主要关注静态技术，如抽象解释和形式验证。 2. **静态分析与形式验证的应用**：教授介绍了两种项目，第一种是利用轻量级静态分析快速识别ZK电路中的常见漏洞，第二种是通过形式验证确保ZK电路在特定属性下的数学正确性。 关键论据和信息包括： - **漏洞的严重性**：区块链软件中的逻辑错误和安全漏洞可能被攻击者利用，导致资金损失。 - **形式化方法的优势**：通过适当的形式化方法，可以大幅减少软件中的错误。 - **抽象解释的应用**：抽象解释可以有效捕捉Web3智能合约中的多种漏洞，如重入攻击和整数溢出。 - **形式验证的必要性**：形式验证能够提供更强的保证，确保程序的行为符合预期，但需要提供形式化的规范。 - **ZK电路的特定问题**：教授详细讨论了ZK电路中可能出现的过约束和欠约束问题，并提出了相应的检测和验证方法。 最后，教授总结了形式化方法在确保软件安全性方面的重要性，并鼓励对ZK安全感兴趣的研究者与他联系。

ZKP MOOC 第14课：ZKP 应用概述与 zkBridge

在本段视频中，Dawn Song 介绍了 zkBridge，这是一种基于 SNARKs 的无信任跨链桥的应用示例。视频的核心内容围绕如何在快速发展的多链区块链环境中实现安全、高效的跨链通信。 **主要观点：** 1. **跨链桥的重要性**：跨链桥是多链生态系统的基础，能够实现不同区块链之间的高效通信，支持如代币交换等多种应用。 2. **安全性问题**：当前大多数跨链桥依赖中介（如侧链、桥委员会或外部预言机），这导致了信任假设的增加，进而引发了安全漏洞，过去18个月内已有超过20亿美元的资产因攻击而被盗。 **关键论据：** 1. **现有桥接方法的缺陷**：依赖中介的桥接方法虽然简单，但需要信任这些中介的诚实性，且在安全性上存在风险。 2. **轻客户端验证**：通过轻客户端验证，接收链可以直接验证发送链的状态转移，从而减少对外部中介的信任。 3. **zkBridge的优势**： - **最小化信任**：zkBridge不依赖外部中介，而是利用密码学保证。 - **高效的链上验证**：通过使用简洁证明（succinct proofs），实现高效的链上验证。 - **完全去中心化**：任何人都可以成为区块头中继者，确保系统的开放性和去中心化。 - **可扩展性**：开发者可以在 zkBridge 上构建多种应用，支持广泛的应用场景。 **挑战与解决方案**： - zkBridge 在实现上面临的挑战包括证明生成的高成本和某些区块链不支持 zk 友好的特性。为此，开发了新的零知识证明技术（如 Virgo），以提高效率并实现并行化处理。 **应用示例**： 视频中还展示了如何在 zkBridge 上构建应用，例如消息传递服务，说明了 zkBridge 的实际应用潜力。 最后，Dawn Song 强调了 zkBridge 的重要性，并鼓励参与者在 zkBridge 相关的黑客松中进行探索和贡献。

ZKP MOOC 第14课：ZKP 应用

在这段视频中，Yupeng Zhang 讨论了零知识证明（ZKP）在区块链和加密货币之外的应用，主要集中在机器学习、程序分析和中间盒（middlebox）等领域。 ### 核心内容概括 1. **机器学习中的应用**：ZKP可以确保机器学习模型的公平性和正确性，而不需要公开模型本身。通过生成证明，用户可以验证模型的决策过程，而不泄露模型的机密性。 2. **程序分析中的应用**：ZKP可以用于验证程序的安全性和漏洞，而无需公开源代码。通过静态和动态分析，ZKP可以证明程序满足特定安全属性。 3. **中间盒的应用**：ZKP可以在加密流量中确保安全策略的执行，而不需要解密数据，从而实现数据的机密性和安全性。 ### 关键论据和信息 - **机器学习的挑战**：现有的ZKP协议在效率和可扩展性上存在限制，尤其是在处理复杂的机器学习模型时。为此，研究者们提出了专门针对机器学习常见计算的ZKP协议，以提高效率。 - **程序分析的挑战**：传统的ZKP通常基于电路模型，而程序执行通常在随机存取内存（RAM）模型中进行。通过引入辅助输入，可以将复杂的程序分析转化为更高效的电路计算。 - **中间盒的挑战**：在加密流量中，如何在不解密的情况下检查数据的合规性是一个难题。ZKP提供了一种解决方案，使得中间盒能够验证加密数据是否符合安全政策，而无需访问数据内容。 总的来说，ZKP在多个领域展现了其潜力，能够在保护隐私的同时确保数据的安全性和正确性。

ZKP MOOC 第 13 课：隐私保护智能合约架构

在这段视频中，Zac Williamson，Aztec公司的首席执行官，讲解了隐私保护智能合约架构的构建方法。视频的核心内容是如何在公共分布式账本上实现隐私保护的交易，特别是通过使用零知识证明（ZK proofs）来确保交易的隐私性和可验证性。 **主要观点和关键论据：** 1. **隐私保护智能合约的构建**：Zac强调，构建隐私保护的智能合约需要将私有状态作为第一类原语，利用加密形式在区块链上表示状态，并通过零知识证明验证状态转移。 2. **历史背景**：他提到，隐私保护交易的研究已有数十年历史，Zerocoin和Zcash是这一领域的先驱，ZEXE论文首次描述了私有计算的证明。 3. **私有状态机的定义**：Zac指出，单纯加密公共账本并不足以实现隐私，必须确保修改和删除加密状态的行为不会泄露信息。 4. **混合状态模型**：为了实现有效的隐私保护，Zac提出需要同时使用UTXO（未花费交易输出）和账户模型的公共状态，称之为混合应用。 5. **智能合约的执行**：视频中详细描述了如何通过私有和公共函数的组合来执行智能合约，私有函数的执行由用户生成证明，而公共函数的执行则由第三方（如序列器）处理。 6. **递归证明和效率**：Zac强调了递归证明在处理多个函数调用时的重要性，以提高效率并减少计算资源的需求。 7. **虚拟机的使用**：他介绍了虚拟机的概念，指出在公共函数的执行中，虚拟机能够处理条件跳转和错误处理，从而确保交易的有效性。 8. **最终的汇总电路**：最后，Zac提到，汇总电路的设计旨在减少验证成本，使得整个系统在处理大量交易时仍能保持高效。 通过这些论述，Zac展示了如何在区块链上构建一个既能保护隐私又能支持复杂交易的智能合约架构，强调了数学和计算机科学在实现这一目标中的关键作用。

ZKP MOOC 第12课：zkEVM设计、优化与应用

在这段视频中，Ye Zhang介绍了zkEVM的设计、优化和应用，重点讨论了Scroll作为以太坊的扩展解决方案，如何利用零知识证明（zk）技术来提高交易的安全性和效率。 ### 核心内容概述 1. **zkEVM的定义与目标**：zkEVM是一个通用的zk-rollup解决方案，旨在提高以太坊的可扩展性，使其在安全性、成本和速度上都优于传统的以太坊网络。它能够支持以太坊虚拟机（EVM）及其相关工具，确保开发者在Scroll上的开发体验与在以太坊上相同。 2. **zk-rollup的工作原理**：zk-rollup通过将大量交易压缩成一个小的、可验证的zk证明，来解决以太坊的可扩展性问题。这样，Layer 1只需验证这个证明，而不是重新执行所有交易，从而显著提高了网络的吞吐量。 3. **zkEVM的构建过程**：构建zkEVM需要将程序逻辑转化为算术电路，并解决多个技术挑战，包括如何处理EVM的动态执行轨迹、如何实现高效的查找表等。 ### 关键论据与信息 1. **zkEVM的优势**：zkEVM通过使用Plonkish算术化和KZG多项式承诺方案，能够支持更灵活的电路设计，减少证明的大小和验证成本。 2. **开发者友好性**：Scroll旨在使开发者无需编写复杂的zk电路，提供与以太坊相同的开发体验，促进不同应用之间的可组合性。 3. **性能优化**：通过GPU加速和其他硬件优化，Scroll的zkEVM在处理证明时显著提高了效率，证明时间从几小时缩短到几分钟。 4. **应用场景**：除了作为Layer 2解决方案，zkEVM还可以用于Layer 1的区块链证明、漏洞证明和去中心化的Oracle服务等多种应用。 5. **未来展望**：Scroll正在积极探索zkEVM的更多应用，包括如何在Layer 1中实现更高效的状态证明，以及如何通过递归证明来进一步优化区块链的可扩展性。 总之，Ye Zhang的演讲深入探讨了zkEVM的设计理念、技术挑战及其在区块链生态系统中的潜在应用，展示了Scroll在推动以太坊扩展性方面的努力和成就。

ZKP MOOC 第 11 课：从实践到理论

在这次讲座中，Alex Lombardi 讨论了密码学证明系统的理论方面，特别是零知识证明（Zero-Knowledge Proofs）和简洁非交互式论证（SNARGs）的相关内容。以下是视频的核心内容和关键论据总结： 1. **核心内容概括**： - 讲座强调了密码学证明系统在理论和应用密码学中的重要性，尤其是在区块链和安全通信中的应用。Alex 介绍了零知识证明的基本概念及其在多方安全计算中的作用，并探讨了如何在没有随机预言机的情况下实现 Fiat-Shamir 转换。 2. **关键论据和信息**： - **证明系统的基础**：证明系统是互联网安全的基础，尤其是身份验证和数字签名。 - **零知识证明的应用**：零知识证明允许在不泄露秘密信息的情况下，验证某个行为是否符合预设标准。 - **可行性问题**：研究者们关注于不同协议的可行性，尤其是 SNARKs 的存在性问题，以及在量子攻击下的安全性。 - **效率优化**：在设计协议时，研究者们希望减少通信轮数和计算复杂度，以提高效率。 - **Fiat-Shamir 转换**：通过将交互式协议转化为非交互式协议，Fiat-Shamir 转换在理论上是可行的，但在实际应用中需要谨慎处理。 - **相关性不可追踪性**：Alex 介绍了一种基于可追踪性假设的哈希函数构造，能够在没有随机预言机的情况下实现 Fiat-Shamir 转换。 - **批量 NP 计算的 SNARGs**：通过使用统计绑定的承诺方案，构建了针对批量 NP 计算的 SNARGs，展示了如何在理论上实现这些协议。 总的来说，这次讲座深入探讨了密码学证明系统的理论基础、实际应用及其在现代密码学中的重要性，尤其是在构建安全和高效的协议方面的挑战与进展。

ZKP MOOC 第10课：递归 SNARKs

在本次讲座中，Dan Boneh 介绍了递归 SNARK（简洁非交互式知识论证）的概念及其应用，特别是如何构建高效的递归 SNARK。以下是视频的核心内容和关键论据的总结： 1. **核心内容概述**： - 递归 SNARK 是一种通过证明“证明的知识”而非直接证明“见证的知识”的方法。它允许在多个层次上进行证明，从而提高效率。 - 通过递归 SNARK，可以实现快速的证明生成和短小的最终证明，尤其适用于复杂计算的验证，如区块链和零知识证明（ZKP）等场景。 2. **关键论据和信息**： - **SNARK 的基本结构**：SNARK 由三个算法组成：设置算法（S）、证明算法（P）和验证算法（V）。这些算法用于生成公共参数、生成证明和验证证明的有效性。 - **递归的实现**：递归 SNARK 通过将一个证明作为另一个证明的见证来工作，允许在较小的电路上进行快速证明，从而提高整体效率。 - **应用实例**： - **证明压缩**：通过递归 SNARK，可以将较大的证明压缩为较小的证明，适用于需要快速验证的场景。 - **流式证明生成**：在处理大量交易时，可以逐步生成证明，而不是等待所有交易完成后再生成单一证明。 - **增量可验证计算（IVC）**：通过折叠技术，IVC 可以在每一步只需验证少量检查，从而显著提高效率。 - **技术挑战**：在递归过程中，如何选择合适的曲线和承诺方案是一个技术难题。使用加法同态承诺方案可以有效解决这一问题。 - **折叠方案**：通过折叠方案，可以将多个有效实例压缩为一个实例，简化证明过程，并通过承诺来处理潜在的噪声。 总之，递归 SNARK 和折叠技术为高效的证明生成提供了新的思路，尤其在处理复杂计算和大规模数据时，展现出其独特的优势。