精简以太坊第二部分: PQ 签名和 Poseidon

视频 AI 总结： 本期“零知识”播客是“精益以太坊”迷你系列节目的第二集，由以太坊基金会的密码学研究员 Benedikt Wagner 和 Dmitry Korvatovich 担任嘉宾。节目深入探讨了后量子签名技术，特别是 LeanSig。该方案是一种基于哈希的多签名机制，旨在取代以太坊共识层中易受量子攻击的 BLS 签名，以实现量子安全。讨论内容涵盖了 LeanSig 的设计原理、安全权衡、编码挑战以及对核心哈希函数 Poseidon 的持续密码分析。 **视频中提出的关键信息：** 1. **核心问题与解决方案：** 以太坊共识目前使用的 BLS 签名易受量子计算机攻击。LeanSig 被提出作为一种基于哈希的后量子多签名方案，旨在提供量子安全且可聚合的替代方案。 2. **LeanSig 的工作原理：** * 它从一次性签名（one-time signature）开始，然后通过 Merkle 树构建一个可支持多次签名（例如 2^32 次，足以支持数百年）的方案。 * 聚合功能通过使用通用 SNARK（零知识简洁非交互式论证）实现，SNARK 证明了对一系列有效签名的了解，其输出即为聚合签名。 3. **设计权衡与优化：** * LeanSig 的设计涉及签名大小与性能（哈希计算量）之间的权衡。为了优化 SNARK 验证器的电路大小，通常需要增加证明者的工作量。 * “超立方体顶部”（Top of the Hypercube）优化旨在进一步减小签名并加快验证，但其复杂的编码方式在 SNARK 环境中仍面临挑战，目前正在通过新的形式化模型进行安全分析。 4. **安全分析方法：** * 为了减小签名大小，需要使用输出较小的哈希函数，这要求对方案进行更严格（tight）的安全分析。 * 研究人员正从传统的“随机预言模型”（random oracle model）转向更保守的“标准模型”（standard model），通过定义哈希函数的具体安全属性（如目标碰撞抗性、原像抗性）来证明方案的安全性。 5. **Poseidon 哈希函数：** * Poseidon 是 LeanSig 设计的核心哈希函数，目前主要关注其针对小素数域优化的新版本。 * 通过“Poseidon 倡议”（Poseidon Initiative）等项目，社区正积极对其进行密码分析，以建立对其安全性的信心。尽管已发现一些弱点，但其安全裕度仍在可接受范围内。 * 节目录制时，尚未考虑到 Mertz 和 Garcia 对 Poseidon 的最新攻击。 6. **其他相关工作：** 视频还简要提及了 ZK Summit 会议、ZK Mesh Plus 订阅服务，以及对 Plonky3 库中 Merkle 树实现进行安全分析的“十亿美元 Merkle 树”论文。

Justin 介绍精简以太坊第一部分

视频 AI 总结： 本次播客节目是“精益以太坊”（Lean Ethereum）六集迷你系列的首期，由以太坊基金会研究员 Justin Drake 介绍。该愿景旨在通过跨共识层、数据层和执行层（C-D-E）的全面升级，为以太坊核心提供面向未来的保障。核心内容包括引入后量子密码学、实现更快的最终确定性以及将零知识证明（ZK）技术深度嵌入系统。通过采用精简的 ZKVM（LeanVM）和对 SNARK 友好的哈希函数（Poseidon2），以太坊旨在解决签名聚合、提高吞吐量和确保端到端的形式化验证，从而打造一个更安全、可扩展且高效的区块链平台。 视频中提出了哪些关键信息： 1. **精益以太坊（Lean Ethereum）愿景**：这是一个旨在未来化以太坊核心的全面升级计划，涵盖共识层（Consensus Layer）、数据层（Data Layer）和执行层（Execution Layer），简称 C-D-E。 2. **核心目标**： * **后量子密码学（Post-Quantum Cryptography）**：将以太坊从当前的 BLS 签名和 KZG 方案迁移到后量子安全的密码学，以抵御未来的量子计算攻击。 * **更快的最终确定性（Faster Finality）**：提高共识层交易的包含速度和最终确定性。 * **提高吞吐量（Increased Throughput）**：通过 ZK-EVMs 提高 L1 的吞吐量和 Gas Limit，目标是实现 L2 的“每秒万亿 Gas”（Tera Gas per second），即每秒 1000 万笔交易。 3. **关键技术与解决方案**： * **SNARKs（零知识证明）**：在共识层用于高效聚合大量后量子签名，并在执行层用于 ZK-EVMs。 * **LeanVM**：一个极简的定制化 ZKVM，仅包含 5 条指令，专门为基于哈希的密码学设计，旨在在所有 C-D-E 层部署以实现协同效应。 * **Poseidon2 哈希函数**：被选为精益以太坊的首选哈希函数，因其对 SNARK 友好，能将性能提升 10 倍以上。以太坊基金会正通过研讨会和“Poseidon 奖金”计划来验证其安全性。 * **签名聚合**：通过 SNARKs 和 LeanVM 实现高效、递归和灵活的签名聚合，以支持百万级别的验证者。 * **形式化验证（Formal Verification）**：采用端到端的形式化验证方法，确保 LeanVM 及其数学基础和运行程序的正确性和安全性，甚至利用 AI 进行定理证明。 * **数据层升级**：将数据层迁移到后量子 Blob，利用纠删码（如 Reed-Solomon）和 Merkle 树，并在 LeanVM 中进行验证。 4. **潜在影响与行业标准**：精益以太坊旨在清理技术债务，使信标链对 SNARK 友好，并实现无需信任的钱包和跨链桥。该项目有望为整个区块链行业树立后量子解决方案的新标准，甚至可能被比特币和 Solana 等其他区块链采用。 5. **团队与协作**：项目由一个“精益团队”推动，利用 AI（如 Opus 4.5）加速研发，并通过每周的“后量子中断电话会议”进行协作。

ZK12：迈向实践中可验证的全同态加密

该视频的核心内容是探讨如何结合全同态加密（FHE）和简洁零知识证明（SNARKs）来实现既能保护隐私又能验证计算结果的外包计算，即“可验证的FHE”（Verifiable FHE）。 视频中提出的关键论据和信息包括： 1. **FHE和SNARKs的互补性：** FHE提供隐私保护，SNARKs提供可验证性。结合两者可以实现隐私保护和可验证的外包计算。 2. **两种结合方式：** 一种是在SNARKs内部运行FHE，即用SNARKs证明FHE的密文操作；另一种是在FHE内部运行SNARKs，即同态计算证明。视频强调，从安全角度考虑，应该选择前者，即在SNARKs内部运行FHE，以便客户端在解密前先验证证明。 3. **结合的挑战：** FHE和SNARKs都有各自的开销，结合后开销会成倍增加。FHE的密文扩展会增大电路规模，FHE的自举操作（bootstrapping）开销巨大，且FHE通常在环上运算，而SNARKs通常在有限域上运算，存在不匹配。 4. **解决方案：** 视频介绍了使用轻量级的FHE方案TFHE，并将其与高效的SNARKs方案Plonky2结合。由于TFHE的自举操作开销过大，视频提出使用基于递归的增量可验证计算（IVC）来优化自举操作的证明。 5. **实验结果：** 使用IVC优化后，在AWS大型实例上，单个自举操作的证明时间约为20分钟。虽然较慢，但表明该方案是可行的。 6. **安全性证明：** 视频强调，在特定条件下（先验证后解密，客户端知道电路和输入密文，输入密文格式良好），该结合方案可以在通用可组合性（UC）模型下证明其安全性，甚至可以抵抗恶意攻击者。 7. **潜在应用：** 可验证的FHE可以应用于神经网络（实现可验证和私有的AI）和区块链（减少验证者数量，降低对验证者诚实性的信任要求）。

ZK白板系列 - 模块16：多资产隐私保护池

视频的核心内容围绕“多资产隐私池”的概念展开，探讨了其必要性、运作机制及面临的挑战。多资产隐私池允许在同一个隐私池中处理多种资产，提供更高的隐私保护，而不仅仅是单一资产的隐私。 **主要观点和关键信息：** 1. **多资产隐私池的定义**：多资产隐私池是一个可以容纳多种资产的隐私池，旨在通过加密交易信息来保护用户隐私，避免交易的发送者、接收者和金额被公开。 2. **单一资产隐私池的局限性**：现有的隐私池（如Zcash）仅支持单一资产，导致外部观察者仍能推测交易的资产类型。 3. **多资产隐私池的优势**： - 允许不同流行度的资产共享同一隐私集，提升不常交易资产的隐私性。 - 支持复杂交易，如多资产交换，避免了通过透明地址进行交易时的隐私泄露。 4. **创建多资产隐私池的挑战**： - 需要动态支持资产的添加和删除，而不是硬编码资产类型。 - 处理不同资产标准（如数值类型）和费用支付机制的复杂性。 - 需要解决异构交易的问题，即在同一交易中处理多种资产。 5. **技术实现**： - 使用同态值承诺（homomorphic value commitments）来简化交易验证过程，确保交易的价值平衡。 - 通过哈希到曲线（hash-to-curve）的方法为每种资产生成唯一的值基，确保资产的隐私性和安全性。 6. **资产创建与管理**： - 资产可以通过桥接其他链的方式引入，支持权限管理或无权限的资产添加。 - 允许在隐私池内进行奖励分配、NFT铸造等复杂操作，增强了隐私池的功能性。 7. **未来应用**：多资产隐私池不仅可以用于简单的资产转移，还可以支持去中心化交易所、奖励机制等多种应用，推动隐私保护技术的发展。 总之，视频深入探讨了多资产隐私池的概念、技术实现及其潜在应用，强调了隐私保护在区块链交易中的重要性。

ZK白板系列 - 模块15：Halo 2中的内积论证

在本期ZK Whiteboard系列视频中，Brendan和Ying Tong讨论了Halo 2，这是一个无需可信设置的递归证明系统。视频的核心内容包括Halo 2的基本概念、其后端的内积论证和累积方案。 **主要观点：** 1. **Halo 2的概述**：Halo 2通过将值和约束编码为低度多项式，采用Planck算术化方法，能够实现递归组合。 2. **内积论证**：这是一个多项式承诺方案，具有简洁的累积验证器，允许在每个递归步骤进行简洁检查，而将线性时间的扩展检查延迟到一批递归证明中进行。 **关键论据和信息：** - **算术化过程**：Halo 2通过算术化将输入值和约束转化为低度多项式，使用Planck算术化方法来表达自定义约束和查找参数。 - **多点开启论证**：涉及对多项式的承诺、评估和一致性检查，最终生成的多项式输入到内积论证中。 - **内积论证的结构**：通过逐步缩小多项式的大小，最终在零轮次时得到常数多项式，确保证明的简洁性。 - **累积方案**：通过延迟线性时间检查，允许在每个递归步骤中进行简洁检查，从而提高效率。 - **Zcash中的应用**：Halo 2已在Zcash中部署，未来将实现递归，允许在区块中聚合多个有效性证明，从而减少链状态。 总之，Halo 2通过其创新的证明机制和累积方案，显著提高了递归证明的效率和可扩展性，为ZK生态系统的发展提供了重要支持。

访谈：与Justin Drake（以太坊基金会）探讨零知识研究的未来

视频的核心内容围绕“零知识”技术在以太坊中的应用，特别是“秘密领导者选举”（Secret Leader Election，简称SLE）项目。该项目旨在解决当前以太坊信标链中存在的潜在拒绝服务攻击（DDoS）问题，攻击者可以通过识别验证者的公钥和IP地址来发起攻击，从而影响区块生成。 关键论据和信息包括： 1. **攻击风险**：如果攻击者能够识别出验证者，尤其是家庭验证者，他们可以通过DDoS攻击来影响区块的生成，进而获取交易费用。这种情况在其他区块链（如Solana）中已经有所体现。 2. **零知识证明的应用**：项目使用了一种称为“可重随机承诺”的原语，允许验证者在链上提交其公钥的承诺，并在随机化过程中保持隐私。其他观察者无法识别这些承诺的具体内容。 3. **研究进展**：目前该项目的研究已接近完成，正在进行概念验证，目标是将其投入生产。 4. **未来实施**：虽然“秘密领导者选举”可能不会在以太坊的合并阶段立即实施，但如果DDoS攻击成为现实，可能会加速其部署。 总之，该项目被视为以太坊安全性的重要增量升级，未来将继续关注相关的安全性改进和技术发展。

ZK白板系列 - 模块14：Nova 速成课程

在本期ZK Hack白板系列视频中，Brendan与以太坊研究员Justin Drake讨论了Nova的概念及其在区块链中的应用。Nova是一种新近提出的技术，旨在作为SNARK（简洁非交互式论证）系统的预处理步骤，能够显著提高证明和验证的效率。 ### 核心内容概括 Nova的主要功能是通过“折叠”多个相似的计算实例，减少需要验证的工作量，从而加快验证速度。它可以被视为对BLS签名的推广，允许将多个签名合并为一个，从而只需验证合并后的结果。Nova特别适用于具有重复结构的计算，如以太坊虚拟机（EVM）中的交易处理。 ### 关键论据与信息 1. **折叠机制**：Nova通过将多个计算实例折叠成一个，减少了验证的复杂性。每个实例的验证只需检查最后一个折叠的结果，从而提高了效率。 2. **VDF（可验证延迟函数）**：Nova被用于VDF项目中，利用其折叠特性来处理需要时间的计算，确保验证者能够快速确认计算结果的正确性。 3. **R1CS与放松R1CS**：Nova使用了一种称为放松R1CS的结构，允许在证明过程中引入额外的向量和系数，以便更灵活地处理计算。 4. **无信任设置**：Nova是一个透明的证明系统，不需要信任的设置，且具有后量子安全的潜力，可以使用不同的承诺方案。 5. **性能优势**：Nova在处理速度上比传统的SNARK系统快得多，且在递归验证时的开销非常低，适合大规模并行计算。 6. **未来应用**：Nova有潜力在以太坊生态系统中发挥重要作用，尤其是在ZK-EVM和其他零知识证明相关的项目中。 总之，Nova通过其创新的折叠机制和高效的验证过程，为区块链技术的可扩展性和效率提供了新的解决方案，值得关注和进一步研究。

ZK白板系列 - 模块13：使用Plonky2进行快速递归

在本期ZK Whiteboard系列视频中，主持人与应用密码学专家William Bourgeot讨论了Plancky2，这是Polygon Zero开发的一种证明系统。Plancky2基于Planck和自定义门，旨在实现快速递归和高效的证明。 **核心内容概括：** Plancky2的主要目标是构建一个快速的递归证明系统，能够高效地验证和生成零知识证明。它使用了Fry作为可编程承诺方案，避免了传统椭圆曲线证明系统中的非原生算术问题，从而提高了性能。 **关键论据与信息：** 1. **递归证明的定义**：递归证明是一种在一个证明中验证另一个证明的技术。Plancky2通过将验证者V写入电路来实现这一点。 2. **Fry的优势**：Fry不依赖于椭圆曲线，使用单一字段进行所有算术运算，避免了非原生算术的复杂性，并且支持小字段运算，提升了性能。 3. **Goldilocks字段**：Plancky2使用Goldilocks字段，这是一种适合64位计算的字段，能够显著提高计算速度。 4. **自定义门的灵活性**：Plancky2允许使用自定义门，能够处理更复杂的算术运算，增加了系统的表达能力。 5. **Merkle树优化**：通过Merkle caps的使用，Plancky2在Merkle证明的大小和验证速度上进行了优化。 6. **与Starkey的结合**：在ZK Rollup的上下文中，Plancky2与Starkey结合使用，前者用于递归验证多个VM交易的有效性，后者则用于快速生成交易的证明。 总的来说，Plancky2通过优化证明系统的多个方面，提供了一种高效且灵活的解决方案，推动了零知识证明技术的发展。

访谈：与 grjte 一起走进ZK的道路

在这段视频中，Brendan与Gurshta和Anna Rose进行了一次关于零知识证明（ZK）技术的访谈，探讨了Gurshta如何从Web2行业转向ZK领域的经历，以及她在这一过程中所面临的挑战和收获。 **核心内容概括：** Gurshta分享了她的职业背景和转型经历，强调了她对隐私保护的关注以及对ZK技术的热情。她认为，ZK技术在提升隐私保护方面具有重要潜力，并且这个领域对新手友好，鼓励人们积极参与。 **关键论据和信息：** 1. **职业转型**：Gurshta曾是Web2初创公司的CTO，因对现有产品缺乏兴趣而转向ZK领域，开始学习Solidity和安全性相关知识。 2. **学习资源**：她提到参加ZK Hack活动和解谜游戏是她学习ZK技术的有效途径，强调了实践的重要性。 3. **数学背景**：尽管她的数学基础不足，但通过不断学习和解决问题，逐渐克服了困难。 4. **匿名性**：Gurshta选择匿名参与招聘过程，认为这有助于基于能力而非身份来评估个人，体现了她对公平竞争的重视。 5. **社区和机会**：她鼓励有兴趣的人尽早参与ZK领域，强调团队对新人才的需求，并指出在这个快速发展的领域中，持续学习是必不可少的。 总的来说，Gurshta的经历展示了从传统行业转向新兴技术领域的可能性，以及在这个过程中如何通过实践和社区支持来加速学习和成长。

ZK白板系列 - 模块12：zkID

在本次视频中，Aleksandr与主持人讨论了中心化零知识身份（ZK Identity）及其在身份管理中的应用。视频的核心内容围绕不同类型的身份（物理身份、数字身份）展开，特别是自我主权身份（Self-Sovereign Identity）与中心化和联合身份的比较。 ### 核心内容概括： 1. **身份的分类**： - **物理身份**：如护照、驾照等纸质文件。 - **数字身份**：分为中心化身份（如网站的登录凭证）、联合身份（如使用Facebook或Google账户登录多个网站）和自我主权身份（用户控制自己的数据）。 2. **自我主权身份的优势**： - 用户掌控自己的数据，数据存储在个人设备上，只有在需要时才分享。 - 提供更高的隐私保护，避免不必要的信息泄露。 3. **零知识证明的作用**： - 允许用户在不透露具体信息的情况下，证明某些声明的真实性（如年龄）。 - 在自我主权身份中，用户可以生成零知识证明，向验证者证明其身份或资格，而无需直接提供敏感信息。 ### 关键论据与信息： - **身份的演变**： - 从中心化身份到联合身份，再到自我主权身份，每一步都在提升用户对数据的控制和隐私保护。 - **信任三角**： - 用户、发行者和验证者之间的信任关系是身份管理的基础。用户通过发行者获得身份声明，并在需要时向验证者展示。 - **区块链的应用**： - 区块链用于存储身份状态的锚点，确保数据的不可篡改性和可验证性。通过Merkle树结构，用户可以在不暴露全部数据的情况下，证明其身份声明的有效性。 - **挑战与解决方案**： - 系统面临的挑战包括吞吐量和成本问题。通过构建Merkle树和优化状态更新，Polygon ID团队致力于提高系统的效率和可扩展性。 - **未来发展方向**： - Polygon ID计划扩展查询语言、优化证明生成速度，并为发行者提供更便捷的API接口，以简化身份声明的管理。 总之，视频深入探讨了自我主权身份的概念及其在数字身份管理中的重要性，强调了零知识证明和区块链技术在保护用户隐私和数据安全方面的关键作用。