ZKP MOOC 第 9 课：基于线性 PCP 的 SNARKs

本次讲座由Yupeng Zhang主讲，主题为基于线性概率检查程序（PCP）的SNARKs（简洁非交互式知识论证）。讲座首先回顾了之前讲解的SNARKs的基本概念和构建方法，包括基于多项式承诺和错误纠正码的方案。接着，Zhang详细介绍了线性PCP的构建方法，强调了其在SNARKs早期实现中的重要性。 **核心内容概括：** 1. **SNARKs的构建**：讲座介绍了如何利用线性PCP构建SNARKs，特别是通过二次算术程序（QAP）来实现电路可满足性证明。 2. **线性PCP的优势与劣势**：线性PCP构建的SNARKs在实际应用中具有较短的证明大小和快速的验证时间，但也存在需要电路特定的可信设置和较慢的证明时间等缺点。 **关键论据与信息：** 1. **证明大小与验证时间**：例如，Groth 16构建的SNARK证明仅由三个群元素组成，实际大小约为100到200字节，验证时间少于1毫秒。 2. **历史背景**：线性PCP的研究始于2007年，最初由Ishai等人提出，随后发展出多种高效的SNARK构建方法。 3. **QAP的构建**：通过定义选择多项式（selector polynomials）和主多项式（master polynomial），将电路可满足性问题转化为多项式方程，从而实现SNARK的构建。 4. **安全性与零知识**：讲座中还讨论了如何确保恶意证明者无法伪造证明，以及如何通过引入随机化实现零知识证明。 总之，本次讲座深入探讨了基于线性PCP的SNARKs的构建方法、优势与挑战，并为后续的递归SNARKs的讨论奠定了基础。

ZKP MOOC 第8课：基于FRI的多项式承诺和Fiat-Shamir

本次讲座的核心内容是关于基于FRI的多项式承诺和Fiat-Shamir变换。讲师Justin Thaler介绍了如何将多项式交互式Oracle证明（IOP）与多项式承诺方案结合，形成简洁的交互式论证，并通过Fiat-Shamir变换将其转化为非交互式的SNARK（简洁非交互式知识论证）。 ### 主要观点： 1. **多项式承诺与交互式证明的结合**：大多数SNARK是通过结合多项式承诺方案和多项式IOP构建的。每种方案都有其独特的性能特征和优缺点。 2. **FRI的工作原理**：FRI（快速重构插值）通过对多项式的评估进行Merkle承诺，并在验证过程中使用折叠和查询阶段来确保多项式的低度性。FRI的折叠过程通过将多项式的评估在特定的根单位上进行随机线性组合，从而降低多项式的度数。 3. **Fiat-Shamir变换的应用**：Fiat-Shamir变换将交互式协议转化为非交互式协议，但在多轮协议中可能导致安全性显著下降。特别是，设计者需要确保协议满足逐轮安全性，以避免潜在的安全漏洞。 ### 关键论据： - **多项式IOP和承诺方案的组合**：不同的多项式IOP和承诺方案可以组合使用，形成不同的SNARK，每种组合都有其性能权衡。 - **FRI的安全性分析**：FRI的安全性依赖于相对汉明距离的概念，证明了在一定条件下，欺诈性证明者通过FRI的验证查询成功的概率是有限的。 - **Fiat-Shamir的安全性问题**：在多轮协议中，应用Fiat-Shamir变换可能导致攻击者通过“磨损攻击”成功的概率显著增加，因此需要更高的安全级别。 本讲座深入探讨了FRI的机制及其在SNARK中的应用，同时强调了在设计安全协议时需要考虑的潜在风险和必要的安全分析。

ZKP MOOC 第 7 课：基于纠错码的多项式承诺

在本次讲座中，Yupeng Zhang 讨论了基于纠错码的多项式承诺方案，重点介绍了其在零知识证明中的应用。以下是视频的核心内容和关键论据总结： 1. **核心内容概括**： - 本讲座介绍了基于纠错码的多项式承诺方案，强调了其在构建高效的SNARK（简洁非交互式知识论证）中的重要性。通过结合多项式承诺方案和适当的多项式交互证明，可以实现对一般电路的高效证明。 2. **关键论据和信息**： - **纠错码的背景**：纠错码用于在网络传输中纠正错误，具有最小距离的概念，最小距离决定了码字之间的差异程度。 - **多项式承诺方案的优缺点**： - 优点包括：对量子计算机的抗性、快速的证明者时间（不需要群体指数运算）、小的全局参数大小（只需采样哈希函数）。 - 缺点包括：证明大小通常较大（可达数十兆字节），缺乏同态性质，难以聚合。 - **多项式承诺的构建**：通过使用线性纠错码和Merkle树，构建了一个具有平方根大小证明和平方根验证时间的多项式承诺方案。 - **接近性测试和一致性测试**：通过这两个步骤，验证者可以确保承诺的矩阵确实符合编码要求，并且能够正确计算多项式的值。 - **线性时间编码的实现**：使用扩展图构建线性时间可编码的代码，确保在多项式承诺中实现线性时间的证明者。 总的来说，本讲座深入探讨了基于纠错码的多项式承诺方案的理论基础、实现方法及其在零知识证明中的应用，展示了其在现代密码学中的重要性和潜力。

ZKP MOOC 第 5 课：Plonk SNARK

在本次讲座中，Dan Boneh详细介绍了一个广泛使用的SNARK（简洁非交互式知识论证）构造，名为Plonk。讲座的核心内容是逐步构建Plonk的各个组成部分，并解释其工作原理。 ### 核心内容概述 Plonk是一个多项式交互式oracle证明（IOP），用于验证任意电路的计算。它通过将电路的计算过程编码为多项式，并利用多项式承诺方案来实现高效的证明和验证。Plonk的设计允许在不需要信任设置的情况下进行有效的证明。 ### 关键论据和信息 1. **多项式承诺方案**：Plonk的构建依赖于多项式承诺方案，特别是KZG承诺方案。该方案允许承诺者在不泄露多项式的情况下，向验证者承诺一个多项式，并在后续阶段提供对该多项式的评估证明。 2. **多项式的构造**：通过将电路的输入和输出映射到多项式的特定点，构造一个多项式T，该多项式编码了电路的计算过程。每个电路门的输入和输出都通过特定的点值表示。 3. **验证步骤**： - **输入验证**：验证者检查多项式T是否正确编码了电路的公共输入。 - **门的正确性**：通过构造选择多项式S，验证每个门的计算是否正确（加法或乘法）。 - **连线验证**：通过定义一个旋转多项式W，检查电路中各个门的输入输出是否正确连接。 4. **零知识证明**：Plonk可以通过通用的转换方法扩展为零知识SNARK，确保证明过程中的隐私性。 5. **性能**：Plonk的证明大小是常数级别，验证者的运行时间是对电路大小的对数级别，证明者的运行时间接近线性。 6. **扩展性**：Plonk支持自定义门和Plookup功能，使得电路的表示更加灵活，并能够进一步优化证明者的运行时间。 通过这些步骤和构造，Plonk实现了高效的电路验证，成为现代密码学和区块链技术中重要的工具之一。

ZKP MOOC 第 4 课：交互式证明

在本次讲座中，Justin Thaler 介绍了基于交互式证明的 SNARK（简洁非交互式知识论证）的设计，重点讨论了如何利用交互式证明构建 SNARK，特别是在电路可满足性问题上的应用。 ### 核心内容概括 1. **SNARK 定义**：SNARK 是“简洁非交互式知识论证”的缩写，指的是一种简短且易于验证的证明，能够证明某个声明的真实性。SNARK 的特点是证明短小且验证快速。 2. **交互式证明与 SNARK 的关系**：交互式证明是 SNARK 的基础，交互式证明允许证明者和验证者通过多轮交互来确认某个声明的真实性，而 SNARK 则是将这一过程转化为非交互式的形式，适合在区块链等场景中使用。 ### 关键论据与信息 1. **交互式证明的特点**： - 交互式证明需要多轮交互，验证者通过发送挑战来确认证明者的声明。 - 交互式证明的安全性依赖于统计性质，而 SNARK 的安全性则依赖于计算复杂性。 2. **多项式扩展**：在构建 SNARK 时，使用多项式扩展来处理电路的证明。通过将电路的每个门的值视为一个函数，并利用多项式扩展来确保该函数在所有输入下的行为一致。 3. **求和检查协议**：Thaler 介绍了求和检查协议（sum-check protocol），该协议允许验证者通过少量查询来确认多变量多项式在布尔超立方体上的值是否为零。这一协议的设计使得验证者能够高效地确认电路的正确性。 4. **电路可满足性问题**：通过将电路的每个门的值视为一个函数，并利用多项式扩展，验证者可以在不完全了解电路的情况下，确认证明者所声称的电路输出是否正确。 5. **SNARK 的构建过程**： - 证明者首先发送一个多项式，该多项式扩展了正确的转录。 - 验证者通过求和检查协议确认该多项式在布尔超立方体上的值是否为零。 - 最终，利用 Fiat-Shamir 转换将交互式协议转化为非交互式协议，使得 SNARK 可以在区块链等场景中使用。 ### 总结 本次讲座深入探讨了 SNARK 的构建过程，强调了交互式证明在其中的重要性。通过求和检查协议和多项式扩展，证明者能够有效地证明电路的可满足性，而验证者则可以通过少量的查询来确认这一证明的有效性。这一过程不仅提高了证明的效率，也确保了安全性，适用于现代区块链技术的需求。

ZKP MOOC 第 3 课：ZKP 编程

本视频讲解了如何编程零知识证明系统，主要由Pratyush Mishra和Alex Ozdemir主讲。视频的核心内容包括如何将高层次的应用想法转化为零知识证明系统可以理解的格式，具体探讨了三种不同的编程方法。 ### 核心内容概述 1. **零知识证明的基本概念**：零知识证明允许证明者在不透露私密信息的情况下，向验证者证明某个声明的真实性。 2. **从想法到实现的过程**：视频强调了如何将应用想法（如私密支付系统或投票应用）转化为零知识证明系统所需的约束系统或算术电路格式。 ### 关键论据和信息 1. **编程方法**： - **硬件描述语言（HDL）**：如Circom，专注于电路的描述，提供直接的约束控制，但学习曲线陡峭，缺乏良好的抽象工具。 - **库方法**：如Artworks，利用现有的高级编程语言（如Rust）来构建约束系统，提供更高的表达能力，但需要掌握相应的语言。 - **高层次编程语言**：如ZoKrates，允许使用更易于理解的语法，但在生成见证时缺乏灵活性，所有私密输入必须在主函数中声明。 2. **约束系统的构建**：无论使用哪种方法，最终目标都是生成一个约束系统，视频中详细介绍了如何通过不同的工具实现这一目标，包括具体的代码示例和实现步骤。 3. **工具的比较**：视频最后对Circom、Artworks和ZoKrates进行了比较，讨论了它们各自的优缺点，强调了在选择工具时需要考虑的因素，如学习难度、控制能力和表达能力。 总之，视频提供了关于如何将高层次的想法转化为零知识证明的全面视角，涵盖了不同的编程方法及其优缺点，为希望在这一领域进行开发的观众提供了实用的指导。

ZKP MOOC 第 2 课：现代 SNARK 构造概述

在本次讲座中，Dan Boneh 介绍了非交互式零知识证明（SNARKs）的概念及其应用，特别是在区块链技术中的重要性。以下是视频的核心内容和关键论据的总结： 1. **核心内容概述**： - SNARKs 是一种简洁的非交互式证明，能够有效地证明某个陈述的真实性，而不需要透露任何关于该陈述的额外信息。它们在区块链和其他领域的应用日益受到关注，尤其是在提高交易效率和保护隐私方面。 2. **关键论据和信息**： - **SNARKs 的定义**：SNARKs 是一种简洁的证明，允许证明者在不透露秘密信息的情况下，向验证者证明其知道某个特定信息（如某个消息的哈希值为零）。 - **zk-SNARKs**：在 SNARKs 的基础上，zk-SNARKs 进一步确保证明过程中不泄露任何关于秘密信息的内容。 - **商业兴趣**：目前，许多公司正在开发和使用 SNARKs，推动其在实际应用中的发展，尤其是在区块链技术中。 - **应用实例**： - **区块链扩展**：通过 zkRollup 等技术，SNARKs 可以将多个交易的有效性证明为一个简短的证明，从而提高区块链的处理速度。 - **隐私保护**：在公共区块链上处理私密交易时，使用 zk-SNARKs 可以确保交易的有效性而不泄露交易的具体内容。 - **信息验证**：SNARKs 还可以用于验证图像的真实性，确保新闻报道中的图像与事件相符，防止误导性信息的传播。 - **构建 SNARKs 的框架**：SNARKs 的构建通常包括功能承诺方案和交互式oracle证明（IOP）的结合，利用 Fiat-Shamir 转换将交互式协议转化为非交互式协议。 通过这些内容，Dan Boneh 强调了 SNARKs 在现代计算和区块链技术中的重要性，以及它们如何通过高效的证明机制来提升系统的安全性和隐私保护。

ZKP MOOC 第 1 课：ZKP 的介绍和历史

zk-learning.org 经典 ZK 课程 这段视频的核心内容是关于零知识证明（Zero-Knowledge Proofs）的介绍，特别是交互式零知识证明的概念。讲者Shafi Goldwasser详细阐述了零知识证明的基本原理、关键特性以及其在计算机科学和密码学中的应用。 ### 核心内容概括： 1. **零知识证明的定义**：零知识证明是一种证明方式，允许一方（证明者）向另一方（验证者）证明某个声明的真实性，而不泄露任何额外的信息。特别是，验证者在验证过程中不会获得任何关于证明内容的知识。 2. **交互式证明模型**：在交互式零知识证明中，证明者和验证者之间通过多轮消息交换进行互动。验证者可以使用随机性来增强验证过程的安全性。 ### 关键论据和信息： 1. **经典证明与交互式证明的区别**：传统的证明通常是单向的，而交互式证明则是双向的，允许验证者在验证过程中提出问题。 2. **NP语言与零知识**：视频中提到，零知识证明可以用于NP语言的验证，且如果存在单向函数，则所有NP语言都有零知识交互式证明。 3. **完备性与健壮性**：完备性确保当声明为真时，验证者总是接受；健壮性确保当声明为假时，任何欺骗性的证明者都无法使验证者接受。 4. **应用实例**：讲者通过多个实例（如证明一个数是两个大质数的乘积、证明一个数是二次剩余等）展示了零知识证明的实际应用。 5. **零知识的模拟**：零知识的核心在于，验证者在交互后所能获得的信息与他在没有交互前所能获得的信息是相同的，即交互不增加验证者的计算能力。 6. **实际应用**：零知识证明在身份验证、区块链技术、隐私保护等领域有广泛应用。 ### 总结： 视频深入探讨了零知识证明的理论基础和实际应用，强调了其在现代计算机科学中的重要性。通过交互式证明模型，零知识证明不仅能够确保信息的安全性，还能在不泄露敏感信息的情况下验证声明的真实性。

客座演讲 - 当前加密监管

来自Coyne Center 的彼得就加密货币、隐私法以及最近法规的影响发表了客座演讲，特别关注第四修正案和非授权原则。他讨论了Coyne Center 的使命，即在保护公民自由免受侵入性监管的同时，向政策制定者传授加密货币知识。关键议题包括姆努钦关于无托管钱包的规则制定，加密货币交易的6050i报告要求，以及对Tornado Cash实施的制裁。Peter认为，这些规定可能侵犯宪法权利，强调隐私在加密货币交易中的重要性以及政府监管带来的挑战。他还探讨了围绕去中心化自治组织（dao）的法律复杂性及其成员的潜在责任，强调了在不断变化的加密货币监管环境中需要明确。

DeFi 讲座 14：DeFi 的监管问题

在本学期的最后一堂DeFi课程中，客座讲师Aaron Wright教授探讨了去中心化金融（DeFi）的监管问题。他强调，尽管DeFi旨在减少对中心化中介的依赖，但现有的金融法规仍然适用，尤其是在涉及证券和商品交易的情况下。Wright教授指出，监管机构如美国证券交易委员会（SEC）和商品期货交易委员会（CFTC）对DeFi项目的透明度和用户身份的匿名性表示担忧，并可能对开发者和参与者施加责任。此外，他还讨论了去中心化自治组织（DAO）的法律地位及其与DeFi的关系，认为DAOs可能会被视为普通合伙企业，面临潜在的法律责任。整体而言，Wright教授呼吁在促进创新的同时，建立合理的监管框架，以保护消费者利益。