撰文：康水跃，Fox Tech CEO；孟铉济，Fox Tech 首席科学家

7月28日中午，国家主席习近平和夫人彭丽媛在四川省成都市金牛宾馆举行宴会，欢迎出席成都第31届世界大学生夏季运动会开幕式的国际贵宾。习近平主席在宴会上发表致辞，引发各界共鸣。大家表示，习近平主席的致辞表明了携手世界青年促进和平与发展、团结应对全球性挑战、推动文明交流互鉴的信心和决心，为国际社会汇聚正能量。

密码学当中的零学问讲授技巧在 web3 天下有着平凡的应用，包括进行隐秘策动、zkRollup 等等。其中 Layer2 名堂 FOX 所使用的 FOAKS 即是一个零学问讲授算法。在上述的一系列应用当中，关于零学问讲授算法而言，有两方面属性极为首要，那即是算法的成果以及交互性。

算法成果的首要性不言而谕，高效的算法不错显着的缩短系统脱手时辰，从而缩短客户端蔓延，显耀的进步用户体验和成果，这亦然 FOAKS 奋勉于已毕线性讲授时辰的一个首要原因。

另一方面，从密码学的角度来讲，零学问讲授系统的缱绻不时依赖讲授者和考证者的多轮交互。举例在好多先容零学问讲授的科普著述当中王人会使用的“零学问洞穴”的故事当中，讲授的已毕就依赖于阿里巴巴（讲授者）和记者（考证者）多轮的信息传递交互智力已毕。可是事实上，在好多应用场景当中，依赖交互会使得系统不再可用，或者极高的增多蔓延。就像在 zkRollup 系统当中，咱们渴望讲授者（也即是 FOX 当中的 folder）能够在腹地，不依赖于和考证者交互的情况下就策动出正确的讲授值。

从这个角度说，何如将交互式的零学问讲授公约矫正为非交互式，即是一个很特真谛的问题。在这篇著述当中，咱们将先容 FOX 使用经典的 Fiat-Shamir 启发式（heuristic）来生成 Brakedown 中的挑战从良友毕非交互式公约的历程。

零学问讲授算法跟着应用的铺开而变得颠倒火爆，近些年也出生了包括 FOAKS、Orion、zk-stark 等在内的多样算法。这些算法，以及密码学界早期的 sigma 公约等的中枢讲授逻辑王人是讲授者（Prover）先将某个值发送给考证者（Verifier），考证者通过腹地当场数产生一个挑战（Challenge），将这个当场产生的挑战值发给讲授者，讲授者需要真的有学问智力以大约率作念出通过考证者的反应。举例在零学问洞穴当中，记者抛一个硬币，告诉阿里巴巴从左侧出来已经从右侧出来，这里的“左和右”即是对阿里巴巴的挑战，他如简直的知说念咒语，就一定不错从要求的标的走出来，不然就有一半的概率失败。

这里咱们谨防到，Challenge 的生成是一个很关键的圭臬，它有两个要求，当场和不可被讲授者瞻望。第少许，当场性保证了它的概率属性。第二点，如果讲授者不错瞻望挑战值那就意味着公约的安全性被坎坷了，讲授者莫得学问也不错通过考证，不错赓续类比，阿里巴巴如果能瞻望记者要求他从哪边出来，他即使莫得咒语也不错提前干涉那一边，戒指发达出来一样不错通过公约。

是以咱们需要一种办法，能够让讲授者我方腹地生成这么一个不可瞻望的当场数，同期还能够被考证者考证，这么就不错已毕非交互式的公约。

哈希函数的名字对咱们来说偶然并不目生，非论是在比特币的共鸣公约 POW 当中担任挖矿的数学难题，已经压缩数据量，构造音信考证码等等，王人有哈希函数的身影。而在上述不同的公约当中，其实是愚弄了哈希函数的多样不同性质。

具体来讲，安全的哈希函数的性质包括以下几点：

压缩性：细宗旨哈希函数不错将即兴长度的音信压缩成为固定长度。

灵验性：给定输入 x，策动输出 h（x）是容易的。

抗碰撞性：给定一个输入 x1，但愿找到另一个输入 x2，x1x2，h（x1）= h（x2），是穷苦的。

谨防，如果哈希函数知足抗碰撞性，那么势必知足单向性，也即是说给定一个输出 y，要找出 x 知足 h（x）= y 是穷苦的。在密码学当中，还弗成构造出表面上齐备知足单向性的函数，可是哈希函数在本体应用当中不错基本视作单向函数。

这么一来，不错发现上述的几种应用别离对应于哈希函数的几点不同的性质，同期咱们说，哈希函数还有一个很首要的作用是提供当场性，天然密码学表面当中要求的完好的当场数生成器当前也无法构造，可是哈希函数在本体当中相同不错充任这个变装，这就为咱们后文先容的 Fiat-Shamir 启发式（Heuristic）的妙技提供了基础。

事实上，Fiat-Shamir 启发式（Heuristic）即是利用哈希函数来对前边生成的剧本进行哈希运算，从而获得一个值，用这个值来充任挑战值。

因为将哈希函数 H 视作一个当场函数，挑战是均匀当场的被聘请，零丁于讲授者的公开信息和同意的。安全分析以为 Alice 弗成瞻望 H 的输出，只可将其动作一个 oracle。在这种情况下，Alice 在不罢职公约的情况下作念出正确反应的概率 ( 尽头是当她不知说念必要的奥妙时 ) 与 H 的值域的大小成反比。

图 1: 利用 Fiat-Shamir Heuristic 已毕非交互式讲授

在本节，咱们具体展示 Fiat-Shamir 启发式在 FOAKS 公约当中的应用，主淌若用来产生 Brakedown 部分的挑战，从良友毕非交互式的 FOAKS。

率先咱们看到，在 Brakedown 生成讲授的圭臬当中，需要挑战的圭臬是“类似性检会”以及 Merkle Tree 的讲授部分（读者不错参考之前的著述《一文了解 FOAKS 当中的多项式同意公约 Brakedown》）。关于第少许原来的历程是讲授者在这里需要考证者产生的一个当场向量，策动历程如下图所示：

图 2: 非交互讲授 FOAKS 中的 Brakedown Checks

当今咱们使用哈希函数，让讲授者我方产生这个当场向量。

令γ0=H(C1,R, r0,r1)，对应的，在考证者的考证策动当中，也需要增多这个策动出γ0的圭臬。字据这么的构造，不错发现，在生成同意之前，讲授者并弗成提前瞻望挑战值，于是弗成提前字据挑战值来对应的“舞弊”，也即是对应的生成假的同意值，同期，字据哈希函数输出的当场性，这个挑战值也知足当场性。

关于第二点，令 Î =H(C1,R, r0,r1,c1,y1,cγ0,yγ0)。

咱们使用伪代码给出矫正后非交互式的 Brakedown 多项式同意当中的讲授和考证函数，这亦然 FOAKS 系统当中使用的函数。

好多的零学问讲授算法在缱绻之初王人依赖讲授者和考证者两边的交互，可是这种交互式讲授公约不合乎用在追求高效，收集通信支拨大的应用场景下，比如链上数据隐秘保护和 zkRollup 等等。通过 Fiat-Shamir 启发式（Heuristic），不错在不坎坷公约安全性的条目下让讲授者腹地生成当场数“挑战”，而况不错被讲授者考证。字据这种措施，FOAKS 相同已毕了非交互式的讲授，并应用在系统当中。

皇冠hg86a

1.Fiat, Amos; Shamir, Adi (1987). "How To Prove Yourself: Practical Solutions to Identification and Signature Problems". Advances in Cryptology — CRYPTO' 86. Lecture Notes in Computer Science. Springer Berlin Heidelberg. 263: 186–194. doi:10.1007/3-540-47721-7_12. ISBN 978-3-540-18047-0.

2.https://www.cnblogs.com/zhuowangy2k/p/12246575.html亚星电子游戏