×
伊莱·本·萨森亚历山德罗·奇埃萨埃兰·特罗姆夫人维尔扎

通过椭圆曲线循环可扩展的零知识。 (英语) Zbl 1334.68077号

Garay,Juan A.(编辑)等人,《密码学进展——2014年密码体制》。2014年8月17日至21日,第34届年度密码学会议,美国加利福尼亚州圣巴巴拉。诉讼,第二部分。柏林:施普林格出版社(ISBN 978-3-662-44380-4/pbk)。计算机科学讲座笔记8617,276-294(2014)。
摘要:无论是在理论上还是在实际应用中,一般NP语句的知识的非交互式零知识证明都是一种强大的密码原语。最近,许多研究都集中于实现一个附加属性,即简洁性,要求证明非常简短且易于验证。这种证明系统被称为零知识简洁的非交互式知识自变量(zk-SNARK),在通信开销大或验证器计算能力弱的情况下需要使用。
现有的zk-SNARK实现在空间复杂度方面具有严重的可扩展性限制,而空间复杂度是被证明计算大小的函数(例如,NP语句的决策程序的运行时间)。首先,证明密钥的大小在计算大小的上界中是拟线性的。其次,生成证明需要“写下”整个计算的所有中间值,然后执行全局操作,如FFT。
的引导技术N.比坦斯基等[STOC 2013,第45届ACM计算理论年会论文集。纽约:ACM,111–120(2013;Zbl 1293.68264号)]以下P.Valiant公司[TCC 2008,Lect.Notes Compute.Sci.4948,1-18(2008;Zbl 1162.68448号)]提供了一种通过递归组合证明来实现可伸缩性的方法:证明关于接受证明系统自己的验证器的声明(以及程序最新步骤的正确性)。唉,由于巨大的计算成本,已知zk-SNARK的递归组合在实践中从未实现。
使用新的椭圆曲线密码技术,以及利用证明系统的字段结构和不确定性的方法,我们实现了第一个zk-SNARK实现,实际上实现了递归证明合成。我们的zk-SNARK实现运行随机访问机器程序,并在任何程序运行时间内,在当今的硬件上证明其正确执行。生成支持所有计算大小的键需要恒定的时间。随后,与原始计算时间相比,证明过程只会产生恒定的乘法开销,以及内存中本质上恒定的加法开销。因此,我们的zk-SNARK实现是第一个具有定义明确但较低的“每秒验证指令”时钟速率的实现。
有关整个系列,请参见[Zbl 1292.94001号].

引用于58文件

MSC公司:

2015年第68季度 复杂性类(层次结构、复杂性类之间的关系等)
11T71型 代数编码理论;密码学(数论方面)
94A60型 密码学

关键词:

计算可靠的证明校对数据零知识椭圆曲线

引文:

Zbl 1293.68264号Zbl 1162.68448号

软件:

皮诺奇SWIFFT银行zk-快照
PDF格式BibTeX公司 XML格式引用
\textit{E.Ben-Sasson}等人,Lect。票据计算。科学。8617276-294(2014年;Zbl 1334.68077)
全文: 内政部