山东省住房和城乡建设厅网站6,网络推广长沙网络推广,钢结构网站建设,网站建设公司固定ip通过使用智能合约实现来支持任何曲线 BLS12–381 是一种较新的配对友好型椭圆曲线。 与常用的 BN-256 曲线相比#xff0c;BLS12-381 的安全性明显更高#xff0c;并且安全目标是 128 位。 所有其他区块链#xff0c;例如 Zcash 和以太坊#xff0c;都必须通过硬分叉才能升…通过使用智能合约实现来支持任何曲线 BLS12–381 是一种较新的配对友好型椭圆曲线。 与常用的 BN-256 曲线相比BLS12-381 的安全性明显更高并且安全目标是 128 位。 所有其他区块链例如 Zcash 和以太坊都必须通过硬分叉才能升级到新曲线因为所使用的曲线是在协议级别进行硬编码的。 Zcash 花了一年多的时间在 Sapling 中升级。 以太坊 和 Tezos 在 2.5 多年前提出升级后仍未升级如果他们打算升级的话。 比特币可以以智能合约的形式在本地运行 BLS12–381无需任何重大更改。 下面的库为此提供了基础使比特币成为目前唯一支持两条曲线的区块链这要归功于其可编程性和可扩展性。 通过在智能合约中实施它们可以类似地支持更多曲线如 MNT4/6 和 BW。 以下内容最初由 Walker 发布在 Github 上Walker 在首届比特币零知识证明黑客马拉松中获得第一名。 用于比特币零知识证明智能合约支持的 sCrypt BLS12–381 库。 目前的sCrypt零知识证明库是基于BN256比特币的BLS12-381库是第一个在比特币上实现BLS12-381曲线配对验证的库。 现在您可以选择使用 BN256 或 BLS12–381 来实现零知识证明应用。 比特币是目前唯一支持零知识证明且可以选择多条曲线的区块链。 对于与平台无关的应用程序选择需要在性能 (BN254) 和安全性 (BLS12–381) 之间进行权衡。 我们建议选择 BLS12–381因为它更安全速度也足够实用但比 BN254 慢。 BN254 (254bit, 32byte P): BLS12–381 (381bit, 48byte P): 参考: Groth16Efficient zk-SNARKs on Bitcoin: Technical ExplainerBLS12–381 For The Rest Of Us 目录 曲线曲折高效配对坐标系蒙哥马利形式先决条件如何在本地运行图书馆应用程序接口验证密钥和证明数据测试 1. 曲线 BLS12–381 曲线 BLS12–381 既对配对友好使其对数字签名有效又对构建 zkSnarks 有效。 BLS12-381 的安全目标是 128 位。 1.1 曲线 BLS12–381 处理两条曲线 配对是一个双线性映射它以两个点作为输入每个点来自一组相同阶数 r。 这两组称为 G1 和 G2 。 1.2 twist 扭曲 BLS12–381 使用扭曲将扩展场的程度降低了六倍。 因此扭曲曲线上的 G2 可以在 Fq2 而不是 Fq12 上定义这大大节省了复杂性在 Fq12 中进行算术运算非常复杂且效率低下。 这改变了原始曲线 进入曲线 所以这些是我们将使用的两个组 1.3 高效配对 配对的计算有两个部分 米勒循环递归计算两个输入点 f(pointG1, pointG2) 的中间函数 最后求幂将 f 提高到 c 的大幂 等式 1 1.3.1 减少到 3 对 验证等式2 其中 α 和 β 在设置时已知因此我们可以预先计算第二对 e(α, β) 并用它替换 α 和 β 作为验证密钥的一部分从而节省一对。 1.3.2 最终一次求幂 等式 2 可以重写为 e是双线性的把指数(-1)移到括号里。 代入等式 1我们得到 而不是计算 4 次计算密集型的最终指数我们最后只需要做一次。 注意snarkjs/circom 的 verification_key.json 输出文件中有一个 vk_alphabeta_12 预计算项但是你不能用它来预计算 f(α,β)这个数据是通过miller循环和finanl求幂 f( α, β)^c 。 您可以在调试模式下运行 testcase1.scrypt 合约以获取预先计算的 f(α, β) 数据。 1.4 坐标系 查找域元素的逆是一项昂贵的操作因此椭圆曲线算法的实现会尽量避免它。 1.4.1 仿射坐标 仿射坐标是仅具有 (x, y) 坐标对的点的传统表示其中 x 和 y 满足曲线方程。 这是我们通常在存储和传输点时使用的。 基本思想是使用名义分数来表示坐标减少所需的实际除法运算次数。 为此引入了第三个坐标并使用 (X, Y, Z) 作为点的内部表示。 1.4.2 雅可比(Jacobian)坐标 雅可比点 (X, Y, Z) 表示仿射点 (X/Z², Y/Z³)。 曲线方程变为: 请注意导入仿射点 (x,y) 的最简单方法是将其映射到 (x, y, 1)。 1.5 蒙哥马利形式 一种不需要除法的模数计算方法是所谓的蒙哥马利乘法。 要计算模乘运算 将乘数转换为蒙哥马利形式使用蒙哥马利乘法转换蒙哥马利形式的结果 2. 准备 Visual Studio Code(VSC)sCrypt IDENode.js, version 12PC CPU 2.6GHz, Memory 24GB 3.如何在本地运行 运行 npm install 来安装依赖 从 VSCode GUI 运行测试用例选择 testcase0.scrypttest.js 文件在文件编辑窗口单击鼠标右键选择菜单 Run sCrypt Test 4. 库和 API 4.1 库 ├─ contracts │ ├─ bls12381.scrypt # bls12-381 library │ ├─ bls12381pairing.scrypt # bls12-381 ZKP lib(Optimized 3-pairs) │ └─ zksnark12381.scrypt # zk-SNARKs verifier contract example └─ tests└─ js├─ testcase0.scrypttest.js # simple testcase├─ testcaseAzksnark.scrypttest.js # testcase A├─ testcaseBzksnark.scrypttest.js # testcase B├─ testcaseCzksnark.scrypttest.js # testcase C└─ testcaseDzksnark.scrypttest.js # testcase D4.2 API static function pairCheck3Point(PointG1 a0, PointG2 b0,fe12 millerb1a1,PointG1 a2, PointG2 b2,PointG1 a3, PointG2 b3) : bool参数 (3对 pairing and 1 对预先计算好的pairing) a0 : A, b0 : Bmillerb1a1 : 预先计算 miller(α, β)a2 : L, b2 : ϒa3 : C, b3 : δ 验证等式 2: 4.2.1 从 snarkjs/Circom 验证密钥和证明数据 您可以通过 scrypt.io 找到 zkSNARK snarkjs/Circom 教程 执行snarkjs/Circom命令时需要选择bls12381曲线命令行选项因为默认是bn128曲线。 例如 编译电路 circom ../work_circom/factor.circom --r1cs --wasm --prime bls12381开始新的 powers of tau 仪式 snarkjs powersoftau 新 bls12-381 12 pot12_0000.ptau然后可以确认输出的 verification_key.json 和 proof.json 文件中有一个curve: “bls12381项而不是curve”: bn128项。 从 proof.json 文件中获取A、B、C参数从 verification_key.json 文件中获取 α、β、ϒ、δ参数使用 public.json 文件中的ic item和公共输入计算 L 参数 其中公共输入 w (1, w1, …, wi) 4.2.2 verification_key.json 测试用例 B verification_key.json {protocol: groth16,curve: bls12381,nPublic: 1,vk_alpha_1: [32346008969010......, 760490433841......, 1],vk_beta_2: [[62735191543702......, 379194604638......],[94606778762315......, 299061862927......],[1, 0]],vk_gamma_2: [[3527010695874......, 305914434424......],[1985150602287......, 927553665492......],[1, 0]],vk_delta_2: [[1895592553603......, 338057034563......],[1793381858589......, 319699776756......],[1, 0]],vk_alphabeta_12: [[[29062082199832......, 29798557291243......],[20107026956616......, 32289268603827......],[37794026319284......, 20272682142916......]],[[11743275386962......, 32259555688411......],[30689582621397......, 26992620205415......],[75601830939387......, 26615242825680......]]],IC: [[179858356000600......, 10944984983678......, 1],[341669953409364......, 26956794051246......, 1]] }4.2.3 proof.json 测试用例 A proof.json {pi_a: [386406607244204......, 3355814159298......, 1],pi_b: [[28933956745182......, 3829761206156......],[36211079726457......, 6620758983513......],[1, 0]],pi_c: [302947598381396......, 3994710045276......, 1],protocol: groth16,curve: bls12381 }4.2.4 public.json 测试用例 A public.json [13221 ]5. 测试用例 5.1 设计电路 用 Circom 语言实现一个电路。 例如这个简单的证明人们知道将整数 n 分解为两个整数而不透露整数。 该电路有两个名为 p 和 q 的私有输入以及一个名为 n 的公共输入。 // p and q are factorizations of n pragma circom 2.0.0;template Factor() {// Private Inputs:signal input p;signal input q;// Public Inputs:signal output n;assert(p 1);assert(q 1);n p * q; } component main Factor();5.2 测试用例 A, B, C, D 两个私有输入 p 和 q以及一个公共输入 n。 5.3 测试网部署 合约 zksnark12381deploy.scrypt 部署和解锁 测试网部署交易: 交易 eba34263bbede27fd1e08a84459066fba7eb10510a3bb1d92d735c067b8309dd