【零知识证明】通读Tornado Cash白皮书(并演示)

1 Protocol description

协议描述有以下功能:

1.insert:向智能合约中存入资金,通过固定金额的单笔交易完成,金额由N表示(演示时用1 ETH)

2.remove:从智能合约中提取资金,交易由收款人发起,收款人应该有足够的以太币支付gas费,在这种情况下费用为0(无中继者)

在演示案例中,将实现存款功能和提款功能,无论谁调用提款函数都将是收款人

1.1 Setup(技术设置)

为在snark证明中使用的配对操作,它定义在素数阶 Q的群上。为二进制组合0,1。

2.

H1是pederden哈希函数,意味着一系列位,所以是一系列0和1。让这些哈希到素域中的一个整数是pedersen哈希函数。(将一堆位哈希到一个整数)

3.

作用是将两个叶子节点值哈希在一起,因此将一整组哈希到单一的整数,也就是之前实现的MiMC哈希函数。定义为海绵操作模式中Feistel模式下的MiMC置换。

4.

为高度20的merkle树(演示时将高度设置为10),其中,非叶子节点使用哈希两个叶子节点,该merkle树的叶子节点初始值为一个默认值,这些默认值会逐渐被来自的其他值替换。(因为当你存款时,树内节点的哈希值会变,并且被新的值填充)

5.

是索引为的叶子节点的merkle开口,为从叶子节点到根节点路径上的姐妹节点值集合。(当你想要从某叶子节点构建路径到根节点时,你需要这条路径上的姐妹节点的值,来一起哈希,才能得到最终的根哈希值,因此为值集,包含了所有姐妹节点的值。)

6.,

为一串位序列。为秘密值,这是你用你的零知识证明和你的存款一起构建承诺哈希提交给torcash的东西。为代币接收者的以太坊地址,也就是接收者地址。

7.零知识证明的目标:

使用一组姐妹节点值集,以及零知识证明的pederden哈希,所以,外加接收者地址

零知识证明试图证明:已知一个零知识证明和一个秘密都是256位,被称为承诺commitment,因此零知识证明试图构建这个承诺。接收者地址包含在零知识证明中是为了防止抢跑。

8.

D是一组密钥,是证明密钥,是验证密钥。是groth16中生成的zkey,包含在由groth16过程生成的验证器合约中。

9.

是构造的最后的证明。其中你需要证明:。你将使用提交证明给验证器(验证器是之前使用solidity部署在链上的),证明器将验证你的证明。

  1. 是智能合约,具有以下功能:

--1.存储最后的个历史根植在字典中。对于最新的Merkel树,合约还存储从最后一个添加的叶到根的路径上节点的值,这些值是计算下一个根所必需的。(一旦构建新的哈希路径,将保存每一层的哈希值给合约,当未来某一时刻存款人想用自己的存款检索姐妹节点哈希值时,可以只要求智能合约从内存中给出)

--2.它接受用数据为1ETH 进行的支付,其中是承诺。将值添加到 Merkle 树中,(注意:此承诺添加到叶子节点)。重新计算从最后添加的值到最新根的路径,并将上一个根值添加到历史数组中。

--3.针对所提供的证明,验证提交公共值。如果验证成功,合约会向地址发送1ETH.

--4.验证代币之前是否被提取,通过检查证明中的零知识证明哈希以前是否出现过。如果该零知识证明哈希以前从未出现过,则将其添加到零知识证明哈希列表中。这意味着,每次提交有效证明并提取以太时,零知识证明的哈希都将被存储,并且不能再次花费,因此只能花费一次。

1.2 Deposit

要存入一枚代币,用户需按照如下方式进行:

1.生成两个随机数零知识证明k和密码s,是256位的数,并使用pederden哈希计算承诺(可以简单的理解为将这两个序列切割在一起后给pedersen)

2.发送一以太和数据(也就是承诺)的交易给合约,如果Merkel树没有满,合约将接受交易并将承诺添加到树中作为一个新的非零叶子节点。(演示时设定树的高度为10,则叶子节点就有2^9个叶子节点)

1.3 Withdrawal

要从树中位置为的地方提取一枚代币,用户需要按照如下方式进行:

1.选择接收的地址

2.在合约中存储的根中选择一个根,计算以结尾的开口

3.计算零知识证明的pedersen哈希,nullifier hash。

4.通过在(密钥)上调用Prove来计算证明

5.采用下列方式进行取款:

发送一个以太坊交易到合同,在交易数据中提供(根植),(零知识证明哈希),(接收者地址),(证明)。

该合约验证证明P和零知识证明哈希的唯一性,在成功的情况下,它发送给,并把添加到无效哈希列表中(已花费零知识证明哈希列表)。

2 Implementation

链下使用的加密函数在cricom库中实现。Merkel树、存款和取款逻辑以及MiMC由Solidity 实现。SNARK 密钥对和 Solidity 验证器代码使用 SnarkJs 生成。

3 Security claims

Tornado声称具有以下安全特性:

1.只有存入合约的代币才能提取;

2.任何代币不得提取两次;

3.任何代币如果参数是已知的,则可以提取一次,除非已存放并提取了具有相同k的代币;

4.如果未知,则无法提取代币。如果攻击者不知道,则无法阻止知道的人提取代币(这包括所有抢先交易的情况) 。

4 Planning

整体分为前端和后端两部分,前端使用JavaScript,后端使用solidity。

4.1 前端

前端使用JavaScript

1.存款人存款时需要提供一个256位的和秘密

2.计算的承诺哈希

3.调用存款函数,携带1ETH和承诺哈希。合约将承诺添加到Merkel树的叶子节点,并根据合约提供的重新计算根节点。

4.新计算的根节点和姐妹节点值集将会作为一个事件发出,存款人可以这些将信息提供给取款人,以构建证明。

4.2 后端

后端使用solidity

1.提款人提款时需要构建证明。构建证明需要值、秘密、存款时生成的新根植、姐妹节点值集以及接收者地址

2.计算证明

3.计算值的pedersen哈希。

4.提款函数需要:证明、存款时生成的新根植值的哈希以及接收者地址

5.后端将证明提供给验证器合约,查看是否有效。若有效,将把零知识证明哈希添加到已花费的零知识证明哈希中,然后合约将以太发送回来。

相关推荐
Roun311 小时前
去中心化存储:Web3中的数据安全新标准
web3·去中心化·区块链
请不要叫我菜鸡15 小时前
分布式——一致性模型与共识算法
分布式·后端·区块链·raft·共识算法·zab
BlockOne1116 小时前
Meme 币生态全景图分析:如何获得超额收益?
大数据·人工智能·区块链
霸都小魔女16 小时前
MT4交易的平仓与强制平仓有哪几种情况
大数据·人工智能·区块链
dingzd951 天前
Web3对社交媒体的影响:重新定义用户互动方式
web3·去中心化·区块链·媒体
复业思维202401081 天前
2024年10月第4个交易周收盘总结(10月收盘)
区块链
倾城璧1 天前
solidity中的Error和Modifier详解
区块链
搬砖的小码农_Sky1 天前
什么是区块链中的不可能三角?
区块链
web3探路者1 天前
加密货币行业与2024年美国大选
java·大数据·web3·区块链·团队开发·开源软件
yoona10202 天前
《女巫攻击:潜伏在网络背后的隐秘威胁与防御策略》
网络·web安全·区块链·学习方法·女巫攻击