【零知识证明】通读Tornado Cash白皮书（并演示）

news2024/9/21 0:49:11

1 Protocol description

协议描述有以下功能：

1.insert：向智能合约中存入资金，通过固定金额的单笔交易完成，金额由N表示（演示时用1 ETH）

2.remove：从智能合约中提取资金，交易由收款人发起，收款人应该有足够的以太币支付gas费，在这种情况下费用为0（无中继者）

在演示案例中，将实现存款功能和提款功能，无论谁调用提款函数都将是收款人

1.1 Setup（技术设置）

1. $\mathbb{B}= \left \{ 0,1 \right \}$

$\mathbb{B}$ 为在snark证明中使用的配对操作，它定义在素数阶 Q的群上。 $\mathbb{B}= \left \{ 0,1 \right \}$ 为二进制组合0，1。

2. $_{}$ $H_{1}:\mathbb{B}^{^{*}}\rightarrow \mathbb{Z}_{p}$

H1是pederden哈希函数，意味着一系列位，所以是一系列0和1。让这些哈希到素域中的一个整数是pedersen哈希函数。（将一堆位哈希到一个整数）

3. $H_{2}:\left \{ \mathbb{Z}_{p},\mathbb{Z}_{p} \right \}\rightarrow \mathbb{Z}_{p}$

作用是将两个叶子节点值哈希在一起，因此 $H_{2}$ 将一整组 $\mathbb{Z}_{p}$ 哈希到单一的整数 $\mathbb{Z}_{p}$ ，也就是之前实现的MiMC哈希函数。定义为海绵操作模式中Feistel模式下的MiMC置换。

4. $\tau$

$\tau$ 为高度20的merkle树（演示时将高度设置为10），其中，非叶子节点使用 $H_{2}$ 哈希两个叶子节点，该merkle树的叶子节点初始值为一个默认值，这些默认值会逐渐被来自 $\mathbb{Z}_{p}$ 的其他值替换。（因为当你存款时，树内节点的哈希值会变，并且被新的值填充）

5. $O\left ( \tau , l \right )$

$O\left ( \tau , l \right )$ 是索引为 $l$ 的叶子节点的merkle开口， $R$ 为从叶子节点 $l$ 到根节点 $\tau$ 路径上的姐妹节点值集合。（当你想要从某叶子节点 $l$ 构建路径到根节点 $\tau$ 时，你需要这条路径上的姐妹节点的值，来一起哈希，才能得到最终的根哈希值，因此 $R$ 为值集，包含了所有姐妹节点的值。）

6. $k,s\in \mathbb{B}^{256}$ , $A$

$k\in \mathbb{B}^{256}$ ， $k$ 为一串位序列。 $s\in \mathbb{B}^{256}$ ， $s$ 为秘密值，这是你用你的零知识证明和你的存款一起构建承诺哈希提交给torcash的东西。 $A$ 为代币接收者的以太坊地址，也就是接收者地址。

7.零知识证明的目标：

$S\left [ R,h,A \right ]$ 使用一组姐妹节点值集 $R$ ，以及零知识证明 $k$ 的pederden哈希 $h$ ，所以 $h = H_{1}\left ( k \right )$ ，外加接收者地址 $A$

$S\left [ R,h,A \right ] = \left \{ \textrm{I KNOW} k,s \in \mathbb{B}^{256}, O\in Z_{16}^{p}, \textrm{SUCH THAT} \ h = H_{1} ( k ) \textrm{AND O is the opening of } H_{1}(k || s) \ \textrm{at position } l \ \textrm{to} R\right \}$ 零知识证明试图证明：已知一个零知识证明和一个秘密都是256位， $C=H_{1}\left ( k || s \right )$ 被称为承诺commitment，因此零知识证明试图构建这个承诺。接收者地址包含在零知识证明中是为了防止抢跑。

8. $D = (d_{p}, d_{v})$

D是一组密钥， $d_{p}$ 是证明密钥， $d_{v}$ 是验证密钥。 $d_{p}$ 是groth16中生成的zkey， $d_{v}$ 包含在由groth16过程生成的验证器合约中。

9. $P$

$\textrm{Prove}(d_{p},R,k,l,A)\rightarrow P$ 是构造的最后的证明。其中你需要证明： $d_{p},R,k,l,A$ 。你将使用 $d_{p}$ 提交证明给验证器（验证器是之前使用solidity部署在链上的），证明器将验证你的证明。

10. $\mathfrak{C}$ 是智能合约，具有以下功能：

--1.存储最后的 $n=100$ 个历史根植在字典中。对于最新的Merkel树 $\tau$ ，合约还存储从最后一个添加的叶到根的路径上节点的值，这些值是计算下一个根所必需的。（一旦构建新的哈希路径，将保存每一层的哈希值给合约，当未来某一时刻存款人想用自己的存款检索姐妹节点哈希值时，可以只要求智能合约从内存中给出）

--2.它接受用数据 $C\in\mathbb{Z}_{p}$ 为1ETH 进行的支付，其中 $C$ 是承诺。将值 $C$ 添加到 Merkle 树中，（注意：此承诺添加到叶子节点）。重新计算从最后添加的值到最新根的路径，并将上一个根值添加到历史数组中。

--3.针对所提供的证明 $P$ ，验证提交公共值 $(R,h,A)$ 。如果验证成功，合约会向地址 $A$ 发送1ETH.

--4.验证代币之前是否被提取，通过检查证明中的零知识证明哈希 $h$ 以前是否出现过。如果该零知识证明哈希 $h$ 以前从未出现过，则将其添加到零知识证明哈希列表中。这意味着，每次提交有效证明并提取以太时，零知识证明的哈希 $h$ 都将被存储，并且不能再次花费，因此只能花费一次。

1.2 Deposit

要存入一枚代币，用户需按照如下方式进行：

1.生成两个随机数 $(k,s)$ 零知识证明k和密码s，是256位的数，并使用pederden哈希计算承诺 $C = H_{1}(k || s)$ （可以简单的理解为将这两个序列切割在一起后给pedersen）

2.发送一以太和数据 $C$ （也就是承诺 $C$ ）的交易给合约 $\mathfrak{C}$ ，如果Merkel树没有满，合约将接受交易并将承诺 $C$ 添加到树中作为一个新的非零叶子节点。（演示时设定树的高度为10，则叶子节点就有2^9=1024个叶子节点）

1.3 Withdrawal

要从树中位置为 $l$ 的地方提取一枚代币，用户需要按照如下方式进行：

1.选择接收的地址 $A$ 。

2.在合约中存储的根中选择一个根 $R^{*}$ ，计算以 $R^{*}$ 结尾的开口 $0(l)$ 。 $s$

3.计算零知识证明的pedersen哈希 $h=H_{1}(k)$ ，nullifier hash。

4.通过在 $d_{p}$ （密钥）上调用Prove来计算证明 $P$ 。

5.采用下列方式进行取款:
发送一个以太坊交易到合同 $\mathfrak{C}$ ，在交易数据中提供 $R^{*}$ （根植）， $h$ （零知识证明哈希）， $A$ （接收者地址）， $P$ （证明）。

该合约验证证明P和零知识证明哈希 $h$ 的唯一性，在成功的情况下，它发送给 $A$ ，并把 $h$ 添加到无效哈希列表中（已花费零知识证明哈希列表）。

2 Implementation

链下使用的加密函数在cricom库中实现。Merkel树、存款和取款逻辑以及MiMC由Solidity 实现。SNARK 密钥对和 Solidity 验证器代码使用 SnarkJs 生成。

3 Security claims

Tornado声称具有以下安全特性:
1.只有存入合约的代币才能提取；
2.任何代币不得提取两次；
3.任何代币如果参数 $\left ( k,s \right )$ 是已知的，则可以提取一次，除非已存放并提取了具有相同k的代币；
4.如果 $k$ 或 $s$ 未知，则无法提取代币。如果攻击者不知道 $k$ ，则无法阻止知道 $\left ( k,s \right )$ 的人提取代币(这包括所有抢先交易的情况) 。