摘要:本文通過介紹華為如何在同態加密及零知識證明框架的整合介紹來介紹了一些對金融領域交易隱私保護的思路,通過程式碼結和應用場景描述了zksnark如何整合到現有聯盟鏈體系保護交易隱私。
本文分享自華為雲社群《區塊鏈交易隱私如何保證?華為零知識證明技術實戰解析》,作者:麥冬爸 。
什麼是零知識證明?
證明者在不洩露任何有效知識的情況下,驗證者可以驗證某個論斷是正確的。圖1給出一個有趣的例子,Alice把自己的簽名的信封放到一個保險箱中,Bob說他知道這個保險箱的密碼,Alice讓Bob證明給她看。Bob開啟保險箱,把信封拿出來給Alice。Alice驗證信封上的簽名,確認了Bob確實知道這個密碼。這個例子就是Bob沒有告訴Alice密碼卻證明自己知道密碼的的過程很好的解釋了零知識證明的概念。基於非對稱加密和數字簽名的證書認證過程,其實也是一個零知識證明的過程,驗證者並不需要知曉CA證書,就可以驗證對方是由CA簽發的下一級證書。零知識證明技術不管應用於金融還是其他領域,都可以對隱私保護,效能提升,或者安全性等場景帶來很多幫助。下面,主要從隱私維度來分享華為零知識證明相關技術。
圖1 零知識證明
零知識證明應用於同態加密保護交易隱私,使能金融業務
目前金融轉賬交易場景中對於隱私保護已經越來越重視,隱私也成為區塊鏈急需解決的一個重要問題。那基於如下問題, A向B轉賬10元,需要區塊鏈節點記賬,但是不想讓區塊鏈節點知道交易金額以及最新餘額,也是金融場景中一個非常常見的問題。
圖2 同態加密
基於這種場景如何解決區塊鏈技術應用於金融的隱私和可用性?華為目前引入同態加密(解決隱私問題)。同態加密(英語:Homomorphic encryption)是一種加密形式,它允許人們對密文進行特定形式的代數運算得到仍然是加密的結果,將其解密所得到的結果與對明文進行同樣的運算結果一樣。 換言之,這項技術令人們可以在加密的資料中進行諸如檢索、比較等操作,得出正確的結果,而在整個處理過程中無需對資料進行解密。在此基礎上創新式提出了同態加密範圍證明(一種針對數字的零知識證明技術,在不洩露具體數字值的情況下,獲得數字的範圍,從而驗證數字所代表的交易的有效性)。
基於整合到區塊鏈系統中的同態加密庫以及修改同態加密庫實現的零知識證明能力實現了隱私轉賬的能力,一個密文和另一個密文相加或相乘實現轉賬中的密文交易,零知識證明在整個的計算過程中不暴露任一方的資訊證明對方可以完成轉賬這一流程,在不洩露具體數字的情況下得到數字的範圍。從而驗證數字所代表交易的有效性。
使用同態加密庫的app端sample程式碼示例
下面我們看一下零知識證明在程式碼中是如何應用的,Demo程式碼使用地址:https://support.huaweicloud.com/devg-bcs/bcs_devg_0020.html。下面講解的程式碼都可以在上面的地址中下載全量程式碼檢視。
圖3 同態加密鏈程式碼1
圖4 同態加密鏈程式碼2
圖3是同態加密的鏈程式碼,首先定義好一個transaction的結構,在進行初始化,基於Query方法可以根據B的地址呼叫鏈碼獲取B的公鑰 ,第二個紅框獲取A的當前加密餘額,PrepareTxInfo方法構建A向B的轉賬資訊,最後通過invoke呼叫完成A到B的轉賬的過程。在圖4 transfer鏈程式碼方法中,首先通過getstate獲取A和B兩個賬戶的當前餘額,然後最重要的一步,要去驗證他的餘額,所以說我們這個方法validatetxinfo,基於範圍/等式證明驗證交易資料的合規性,基於同態加密演算法計算交易後的賬戶餘額,最後更新交易後A賬戶和B賬戶的餘額。同態加密的這一步中,應用了零知識證明的相關的這個技術和能力來實現了這個同態加密更加的高效和安全。
基於zksnark的零知識證明技術
互動式證明和非互動式證明
圖5 互動式證明
零知識證明又分為互動式證明和非互動式證明,有兩個有趣的例子很好的解釋了這個概念。如上圖5所示,男子向女子聲稱有CD處的鑰匙,女子不相信說“你拿出來給我看啊”,男子想“你讓我拿我就拿多沒面子啊”,男子說”這樣吧,按下面步驟玩個遊戲”
1.女子站在A點
2.男子從B點走到C點或者D點
3.男子從B點消失後,女子從A點走到B點
4.女子喊話“從左邊出來”,或者“從右邊出來”
5.男子按照女子的要求從對應一側走出
女子說“你肯定作弊,剛才我喊左邊出來,你剛好就是從左邊進去的”,
男子說:“你回到A點,我們再來一遍”
如果每次都成功,說明B確實有CD處的鑰匙,該證明是需要A,B不停的互動。
非互動式零知識(NizK)證明方案由演算法設定、證明和驗證定義,具體來說,我們有params=Setup(),其中輸入是安全引數,輸出是ZKP演算法系統的引數。證明語法由證明=證明(x,w)給出。該演算法接收某些NP語言L的例項x和見證w作為輸入,並輸出零知識證明。驗證演算法接收證明作為輸入,並輸出位b,如果驗證者接受證明,則該位等於1。通俗一點就比如說我有一個祕密,我不想告訴別人,但是我又得讓別人相信。我是知道這個祕密的,類似於這種,但是我們為什麼需要有這種非互動式呢?因為互動式證明的其實只對原始的驗證者有效,其他的任何人都不能夠信任這個證明。這種場景下呢,就會導致這個驗證者可以和這個證明人串通,證明人可以偽造證明。驗證者也可以用這種方式做一些偽造。因此,驗證者必須儲存一些資料,直到相關的證明被驗證完畢。這樣就會造成一些祕密引數洩露的這種風險。這種互動式證明也有它的用處,就比如說一個證明人只想讓一個特定的驗證者來去驗證,但是這個證證明人和驗證者必須保持線上,並且去對每一個驗證者執行同樣的計算。
什麼是zk-snark?
zk-SNARK 是 Zero-knowledge succinct non-interactive arguments of knowledge 的縮寫,他的意思是: zero knowledge:零知識,即在證明的過程中不透露任何隱私資料: succinct:簡潔的,主要是指驗證過程不涉及大量資料傳輸以及驗證算 法簡單; non-interactive:無互動。證明者與驗證者之間不需要互動即可實現證 明,互動的零知識證明要求每個驗證者都要向證明者傳送資料來完成證明, 而無互動的零知識證明,證明者只需要計算一次產生一個 proof,所有的驗 證者都可以驗證這個 proof。 zk-SNARK 是證明某個宣告是真卻不洩露關於該宣告的隱私資訊的一 個很有創新性的演算法,他可以證明某人知道某個祕密卻不會洩露關於這個 祕密的任何資訊。這個演算法可以解決什麼問題呢?
它是對所有零知識證明問題的通用解決方法,由加密數字貨幣zcash首次使用並開源。zk-SNARK的優點:
1.通用庫,可以解很多零知識證明問題
2.驗證證明效能較高(300tps)
zk-SNARK的不足:
1.底層模型不容易理解,使用者需要根據具體的零知識證明問題,在上層構建自己的業務模型,這塊開發的工作量較大。
2.生成每筆交易時延較長(57s)
應用場景
ZKP的應用場景包括匿名可驗證投票、數字資產安全交換、安全遠端生物識別認證和安全拍賣,具體如下。
匿名可核查投票:投票是保障一個國家或控股公司民主的重要組成部分。然而,選民的隱私可能在投票過程中被洩露。此外,投票結果很難得到安全的核實。ZKP是實施匿名可核查投票的一種可用方法。根據ZKP的使用,符合條件的選民可以在不洩露身份的情況下投票表決顯示他們的權利。此外,ZKP允許符合條件的選民要求提供可核查的證據,證明他們的選票包含在負責報告投票結果的機構的最終計票中。
數字資產的安全交換:數字資產是二進位制資料的集合,它們是唯一可識別和有價值的。如果兩個使用者希望交換其數字資產,則使用者的隱私,包括身份和交換數字資產的內容,可能會在交換過程中洩露。根據ZKP的使用,數字資產可以在不洩露使用者隱私的情況下交換。此外,ZKP生成了可驗證的證據,其中包含數字資產交換的過程。
安全遠端生物識別身份驗證:遠端生物識別身份驗證是一種可用於通過使用指紋、面部影像、虹膜或血管模式等生物識別模式識別使用者訪問許可權的方法。但是,在實施遠端生物識別認證時,使用者的生物識別模式可能會洩露給不受信任的第三方。使用ZKP可以解決這個問題。此外,ZKP生成還提供了可核查的證據,其中包括識別使用者訪問許可權的過程。
安全拍賣:政府拍賣是政府從多個供應商中選擇最低出價的拍賣,這些供應商以競爭性方式銷售其商品和服務。本次拍賣包括兩個階段。在第一階段,多個供應商投標,但公眾不知道。在第二階段,這些投標是開放的。政府選擇中標供應商,後者出價最低。然而,中標供應商的選擇可能會洩露其他中標供應商的投標和身份。ZKP可以解決這個問題。ZKP為每個輸標供應商生成可核查的證據。該證明證實輸標供應商的投標與中標供應商的投標之間的差額是正的。
zk-snark應用於區塊鏈的挑戰及實現
零知識證明是指一方(證明者)向另 一方(驗證者)證明一個陳述是正確的, 而無需透露除該陳述正確以外的任何信 息,適用於解決 任 何NP問題。而區塊 鏈 恰好可以抽象成多方驗證交易是否有效 (NP問題)的平臺,因此,兩者是天然相 適 應的。將零知識證明應用到區塊 鏈中 需要考慮的 技 術 挑戰分為兩大類:一類 是適用於隱私保護的區塊鏈架構設計方 案,包括隱祕交易所花資產存在性證明、匿 名資產雙花問題、匿名資產花費與轉移、隱 祕交易不可區分等技術挑戰;另一類是零 知識證明技 術 本身帶來的 挑戰,包括 參 數 初始化階段、演算法 效能以及安 全問題 等技術挑戰。
華為整合了zksnark架構到區塊鏈系統中來解決上面的挑戰。我們知道有多種方法可以為區塊鏈啟用zkSNark。這些都降低了配對函式和橢圓曲線操作的實際成本。
1. 提高合約虛擬機器的效能
相較第二種更難實現。可以在合約虛擬機器中新增功能和限制,這將允許更好的實時編譯和解釋,而無需在現有實現中進行太多必要的更改。下面的轉賬場景就是基於此種方案的實現。
2. 僅提高某些配對函式和橢圓曲線乘法的在合約虛擬機器的效能
通過強制所有區塊鏈客戶端實現特定的配對函式和在特定橢圓曲線上的乘法作為所謂的預編譯契約來實現。好處是,這可能更容易和更快地實現。另一方面,缺點是我們固定在一定的配對函式和一定的橢圓曲線上。區塊鏈的任何新客戶端都必須重新實施這些預編譯的合同。此外,如果有人找到更好的zkSNark、更好的配對函式或更好的橢圓曲線,或者如果在橢圓曲線、配對函式或zkSNark中發現缺陷,必須新增新的預編譯合同。
轉賬應用
圖6 轉賬初始化
圖6包含了對這個餘額初始化的一個過程,及生成交易也就是真正轉賬的過程,下一步就是驗證,證明,完成驗證,最後一步,才是生成交易,也就是收款的一個過程。拿初始化舉個例子,比如說愛麗絲初始化了一個100塊錢的一個餘額,然後鮑勃十塊錢。轉賬的過程如下,愛麗絲轉20塊錢給鮑勃,就會生成生成一對Spending key / Paying Key ,相當於臨時交易的一個賬戶,Paying Key給對方,Spending Key留給自己,用於證明交易鏈上的交易是誰的。
然後再基於這個生成相應的這個交易和相關的證明。完成交易生成這一步。下一步進行轉賬的驗證證明的這個過程,驗證邏輯如下, 驗證邏輯:Nullifier NF.axxxxx1 和NF.axxxxx2 是否在Nullifiers 列表中,也就是說,是否有被花過;驗證NF.axxxxx1 和NF.axxxxx2 是格式是否合法的花費憑據,且對應的commitment在鏈上(Proof + Merkle tree root),這裡有需要驗證Merkle tree root在 是有效的;驗證input == output 金額守恆,即:100 + 0 = 80+0+20;數字範圍滿足要求:100-20 >0 && 20 > 0,把這個過程都驗證完了以後呢,最後一步就是完成驗證。完成驗證的話,他其實還會做一些這個類似於交易內容的隱藏,身份隱藏,交易行為的隱藏,來保護整個的這個轉賬交易的過程的這個安全性。包括做一些類似於混淆電路的能力。有混淆的交易內容,且加密,驗證者並不知道使用鏈上是哪個Commitment作為輸入,只知道沒有被花過,且在鏈上。身份隱藏讓其無法確定接收方是誰,交易行為隱藏讓其無法確定這個交易是傳送還是接收。做一些安全性的保證之後呢,然後來完成整個的驗證的過程。最後,生成交易,然後收款,整個轉賬過程就結束了。基於零知識證明的一個簡單的一個能力,包括一個基礎的轉賬,被華為整合在整個零知識證明使用介面中。整合的整個零知識證明架構也能用來開發一些零知識證明基礎應用,做一些簡單的解決方案。
總結
交易隱私保護這塊的技術應該是比較多的,零知識證明技術並不一定是一個最好的選擇,在安全領域中還有很多諸如同態,祕密分享,不經意傳輸,或者基於TEE硬體的一些隱私保護能力,可以去做一些隱私保護。但是零知識證明其優點也是很顯著,未來區塊鏈的隱私保護仍然任重而道遠,如何實現快速高效、可信的零知識證 明演算法以及如何實現能夠抵抗量子計算 的零知識證明演算法,都是需要進一步解決 的問題。基於線上我們提供的一些基本的能力,要是大家感興趣,可以到之前的網址下載相應的程式碼示例。