詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

指尖下的幽靈發表於2019-05-23

作者:林冠巨集 / 指尖下的幽靈

部落格:http://www.cnblogs.com/linguanh/

掘金:https://juejin.im/user/587f0dfe128fe100570ce2d8

GitHub : https://github.com/af913337456/


目錄

  • 前序
  • 交易體的結構 note
  • commitment 和 nullifier
  • ZCash 1.0 的公私鑰機制
  • 轉賬人發出交易 note
  • 收款人如何獲取 note 的使用權
  • 零知識自證
  • 後記

前序

在這篇文章中,我將承接上一篇文章 詳細講解:零知識證明 之 zk-SNARK 開篇 (開篇中介紹了什麼是零知識證明及其它術語) 來從一個完整的交易流程 講解 ZCash 是如何利用零知識證明zk-SNARK 實現匿名交易的。

其中第部分 收款人如何獲取 note 的使用權 是目前國內網上所有的介紹 ZCash 的文章都沒有談及的,造成了讀者只知道交易的發出,而不知道交易是憑藉什麼機制讓收款人有許可權使用的

此外,"現在關於 ZCash 的文章和回答,很多都不準確,甚至是有誤導性的!"此話---引自 woodstock

文章不從原始碼分析的角度去展開,那樣的寫作和閱讀成本太高。

交易體的結構 note

首先 ZCash 在交易的整體模式上,參考了 BTCUTXO 模型,擁有交易輸入和交易輸出的概念,對於 UTXO 的講解,可以自行網上搜尋文章進行閱讀,目前介紹 UTXO 的優秀文章還是很多的。

UTXO 是一種模型,模型是可以被以不同的形式展現出的。在 ZCash 中,交易原始的輸入輸出結構體被形象成了程式碼中的 note 結構體。

一個完整的 note 包含有如下的變數:

  • 持有者的公鑰: a_pk,又稱收款人地址
  • 面額: value,又被簡稱為 v,代幣這筆 note 的代幣數值
  • 隨機數: rho, 是每一條 note 的唯一標識,當一條 note 被消費了之後,這個值會被放置到 nullifier 表中,代表這條 note 已經被消費了,再次進行消費同一條 note的時候,會觸發雙花 錯誤,即交易雙花防護機制。
  • 隨機數: r

用向量組代表上面的 note,可以表示為:note = <a_pk , v , r , rho>

commitment 和 nullifier

ZCash 中,存在兩種表格,分別是:commitmentnullifier,下圖取自於 ZCash 的官方文件 How Transactions Between Shielded Addresses Work 中,提示:該文章內部並沒有指出 note 的收款人是如何對一筆 note 有使用許可權的,看完也會有很多疑問。

圖中顯示出了 commitmentnullifier 表格的大致結構:

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

左邊的 hashed notes 就是 commitment 列表,右邊的 nullifier set 就是 nullifier 列表。

commitment 列表儲存的是所有的,注意!是所有。儲存所有 note 經過不可逆 hash 函式後生成的 hash 值 Hx x∈ (1,2,3,4,5,6...N)

nullifier 列表儲存的是已經被消費的 note 中的隨機數 r 生成的 hash 值 nfx。r 就是 note 結構中的 r。nullifier 中文意思:作廢nullifier set 作廢集合。

注意一點:對於兩個不同的 note,他們的 commitment hash 值一定不相同,從 hash 值又無法推測出其背後的 note.。

如上圖所示,在右邊我們可以看到 r2 對應的 note2 的 nf1 已經被記錄到了 nullifier 列表中,這個 nf1 就是結構體中的 rho。被記錄到了這裡,代表著 note2 不再是 UTXO,不再是沒被花費的輸出,它已經被消費了。

一條被花費的輸出 output會導致一條新產生的交易輸入 input。繼續以上圖為例子,note2 作為被消費了的輸出,據表可以, note3 應該是它所產生的交易的輸入,此時 note3 還沒被消費,因為它的 nf3 還沒被記錄到 nullifier 列表。note2 相對於 note3 來說,note2 是 note3 的輸入。note3 作為一條新的交易輸入,還沒輸出給其它的 note。

ZCash 1.0 的公私鑰機制

在認識交易被髮出前的操作,我們現來認識下 ZCash 1.0 的公私鑰機制,下圖取自於官方文件:

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

下面我將講解下這圖的主要要表達的意思,上面我列舉的 note ,是一個整體的講解,在實際的 ZCash 原始碼中,note 其實還分為兩種,分別是:SproutNoteSaplingNote。目前 ZCash 使用的是第一種,本文所談的也是 SproutNoteZCash的發展將會慢慢向第二種 SaplingNote 遷移。

因為 note 結構中有一個 a_pk 欄位,在SproutNoteSaplingNote中,內部的欄位組成是不同的,原始碼的定義如下圖所示:

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

SaplingNote 中,明顯 a_pk 不見了,多了其它的。回到下圖,我們主要看左邊的 Sprout,其中:

  • 雙豎線表示相同
  • 箭頭表示生成關係,如果 A 指向B, 那麼表示A可以生成B。

下圖的Sprout 中 a_sk 代表的是私鑰,由 a_sk 可以生成第一個公鑰 a_pk私鑰 sk_enc,由 sk_enc 可以生成第二個公鑰pk_enc。意味著:

在ZCash 1.0 中,一個錢包地址裡面包含由兩個公鑰:a_pk , pk_enc

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

轉賬人發出交易 note

現在進行到轉賬人發出交易 note,假設轉賬人是A,收款人是B,A 要轉 5 個幣個B。

那麼 A 組裝 note 的過程如下:

  1. 首先 A 找到自己的一條或多條沒消費的 note,即是 UTXO 輸出,每條 note 中有對應的 value,我們假設一條就足夠轉出,多條的情況是如果一條 note 無法滿足目標轉出 value,才會湊多條 note 作為輸出。
  2. A 找出了 note 1 ,使用自己的 私鑰 sk_enc 解密 note 1,獲取 note 1 中的 value 和其它資料,假設 value 是8,此時8 > 5
  3. A 先新建兩條 note,分別是 note4 和 note5,note4 內部的 value 設定為 5,代表是要給 B 的。note 5 的 value 是 (8-5=3),代表給自己找零,不找零將會損失掉這3個幣,相關的找零解析見UTXO模型介紹。
  4. A 為 note 4 和 note 5 分別生成隨機數 r4 和 r5
  5. A 將 B 的 a_pk 公鑰設定到 note 4 裡面去, 代表收款人是 B。再將自己的 a_pk 公鑰設定到 note 5 裡面去,代表收款人是自己。
  6. 使用 hash 函式生成 note 4 和 note 5 的 rho。PS: ( rho = nf = HASH (r) )
  7. 此時 note 4 和 note 5 分別是:

note4 = <B的a_pk ,v=5,r4,rho4>

note5 = <A的a_pk ,v=3,r5,rho5>

  1. 與此同時,A 還要將 note 1 的 nf2 (nf2=HASH (r1)) 發往公鏈的節點網路,即 note 1 的 rho,此時節點在收到 nf2 後會判斷是否已經在 nullifier 列表存在 nf2 了,是的話,那麼判斷 note 1 被雙花了。否則,就將 note 1 的 nf2 記錄下來了。
  2. A 此時使用 B 的 pk_enc 簽名 note 4,和自己的 pk_nec 簽名 note 5。這裡 B 的 pk_enc 是公開的,注意!ZCash 1.0 中,一個地址的 a_pk 和 pk_enc 都是公開的。
  3. A 將 note 4 通過祕密通道發給 B,自己的 note 5 便自己儲存,同時將 note 4 和 note 5 的 hash 值 h4、h5 發給所有鏈上的節點。
  4. 以上便是一個發起交易的流程。

對上述流程可以提出下面細節。

  • 節點能夠知道的只有 note1 的 nf2 和 note4 的 h4 和 note5 的 h5。他們對收款人地址,金額是多少都一無所知。
  • 此時鏈上節點們維護的 commitmentnullifier 表變成了如下的樣子。
note hashs(commitments) nullifier set
h1=HASH (note1) nf1 = HASH (r2)
h2=HASH (note2) nf2 = HASH (r1)
h3=HASH (note3)
h4=HASH (note4)
h5=HASH (note5)
  • A 發給 B note4 的祕密通道。這裡我們不展開說,它的方式有很多,可以在用加密的電子郵件傳送,或者可以面對面傳遞小紙條。具體見官方完整的文件:完整文件
  • B 手上有經過了自己的 sk_enc 簽名了的 note4

收款人如何獲取 note 的使用權

其實在上面小節中,讀者應該能理會到 B 是可以使用自己的原始私鑰 a_sk 對自己獲取到的 note4 資料進行解密的,進而獲取到裡面的 <a_pk,v,r,rho>,到了這一步,B 儲存好 note4 的 rho,那麼他就能夠向 nullifier 表傳送 note4 的 rho ,達到消費 note4 的目的。

至此,ZCash 的匿名交易流程形成了閉環

那麼為什麼 a_sk 能對 sk_enc 簽名的資料,進行解密呢?因為在 ZCash 1.0 中,由地址的公私鑰生成規則,可知原始私鑰 a_sk 可以匯出 sk_enc。在ZCash 1.0 的公私鑰機制 小節中也做了說明。

零知識自證

  • 節點在校驗完了一個 note 的 rho 後,如何判斷髮送者是真正對 note 擁有使用權的?

答:對於 note 的所有權擁有者A 來說,好像除了公佈 note 裡面的內容外,好像沒其它手段來自我證明?這個時候零知識證明就排上用場了,note 的擁有者在釋出使用該 note 的時候還要向節點出示稱為 Π 的零知識證明憑據,根據 Π ,節點們作為驗證者,能夠驗證 note 的使用權的確屬於A。ZCash 在這裡應用到了零知識證明,它的程式碼是根據zk-SNARK 理論完成的,同時也參考了 Zerocash

  • PS:如何統計一個地址的餘額?

答:不在本文的討論範圍內,詳細可以見官方完整的文件:完整文件第4章,關於 Balance 的描述。

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

後記

為了理清 ZCash 的匿名交易的最後一部分,也即是收款人是如何獲得 note 的所有權的,使整個流程形成閉環

我查閱了很多文章都、文件和諮詢了一位網友已經檢視了部分原始碼。目前網上的其它文章都沒有講到 收款人如何獲取 note 的使用權 這一部分。稍微較好的是對官方文件 在隱藏地址之間如何進行交易的直接做了翻譯,但是由於官方的這篇文章是個簡版,也沒有對 收款人如何獲取 note 的使用權 做出解析,所以,幾乎所有的翻譯文章都是沒答案的,而且大部分文章,本身還有一些錯誤,可能作者自己也一知半解。

詳細講解:零知識證明 之 ZCash 完整的匿名交易流程

感謝下面的人和文給予了我有用的資訊引導:

人:woodstock

文:

相關文章