詳細講解:零知識證明 之 ZCash 完整的匿名交易流程
作者:林冠巨集 / 指尖下的幽靈
部落格:http://www.cnblogs.com/linguanh/
掘金:https://juejin.im/user/587f0dfe128fe100570ce2d8
GitHub : https://github.com/af913337456/
目錄
- 前序
- 交易體的結構 note
- commitment 和 nullifier
- ZCash 1.0 的公私鑰機制
- 轉賬人發出交易 note
- 收款人如何獲取 note 的使用權
- 零知識自證
- 後記
前序
在這篇文章中,我將承接上一篇文章 詳細講解:零知識證明 之 zk-SNARK 開篇 (開篇中介紹了什麼是零知識證明及其它術語) 來從一個完整的交易流程
ZCash 是如何利用零知識證明的zk-SNARK 實現匿名交易的。
其中第六部分 收款人如何獲取 note 的使用權 是目前國內網上所有的介紹 ZCash 的文章都沒有談及的,造成了讀者只知道交易的發出,而不知道交易是憑藉什麼機制讓收款人有許可權使用的。
此外,"現在關於 ZCash 的文章和回答,很多都不準確,甚至是有誤導性的!"此話---引自 woodstock
文章不從原始碼分析的角度去展開,那樣的寫作和閱讀成本太高。
交易體的結構 note
首先 ZCash 在交易的整體模式上,參考了 BTC 的 UTXO 模型,擁有交易輸入和交易輸出的概念,對於 UTXO
UTXO 的優秀文章還是很多的。
UTXO 是一種模型,模型是可以被以不同的形式展現出的。在 ZCash 中,交易原始的輸入輸出結構體被形象成了程式碼中的 note 結構體。
一個完整的 note 包含有如下的變數:
- 持有者的公鑰: a_pk,又稱收款人地址
- 面額: value,又被簡稱為 v,代幣這筆 note 的代幣數值
- 隨機數: rho, 是每一條 note 的唯一標識,當一條 note 被消費了之後,這個值會被放置到
nullifier表中,代表這條 note 已經被消費了,再次進行消費同一條 note的時候,會觸發雙花錯誤,即交易雙花防護機制。 - 隨機數: r
用向量組代表上面的 note,可以表示為:note = <a_pk , v , r , rho>
commitment 和 nullifier
在 ZCash 中,存在兩種表格,分別是:commitment 和 nullifier,下圖取自於 ZCash 的官方文件 How Transactions Between Shielded Addresses Work 中,提示:該文章內部並沒有指出 note 的收款人是如何對一筆 note 有使用許可權的,看完也會有很多疑問。
圖中顯示出了 commitment 和 nullifier 表格的大致結構:
左邊的 hashed notes 就是 commitment 列表,右邊的 nullifier set 就是 nullifier 列表。
commitment 列表儲存的是所有的,注意!是所有。儲存所有 note 經過不可逆 hash 函式後生成的 hash 值 Hx x∈ (1,2,3,4,5,6...N)
nullifier 列表儲存的是已經被消費的 note 中的隨機數 r 生成的 hash 值 nfx。r 就是 note 結構中的 r。nullifier 中文意思:作廢,nullifier set 作廢集合。
注意一點:對於兩個不同的 note,他們的 commitment hash 值一定不相同,從 hash 值又無法推測出其背後的 note.。
如上圖所示,在右邊我們可以看到 r2 對應的 note2 的 nf1 已經被記錄到了 nullifier 列表中,這個 nf1 就是結構體中的 rho。被記錄到了這裡,代表著 note2 不再是 UTXO,不再是沒被花費的輸出,它已經被消費了。
一條被花費的輸出 output會導致一條新產生的交易輸入 input。繼續以上圖為例子,note2 作為被消費了的輸出,據表可以, note3 應該是它所產生的交易的輸入,此時 note3 還沒被消費,因為它的 nf3 還沒被記錄到 nullifier 列表。note2 相對於 note3 來說,note2 是 note3 的輸入。note3 作為一條新的交易輸入,還沒輸出給其它的 note。
ZCash 1.0 的公私鑰機制
在認識交易被髮出前的操作,我們現來認識下 ZCash 1.0 的公私鑰機制,下圖取自於官方文件:
下面我將講解下這圖的主要要表達的意思,上面我列舉的 note ,是一個整體的講解,在實際的 ZCash 原始碼中,note 其實還分為兩種,分別是:SproutNote 和 SaplingNote。目前 ZCash 使用的是第一種,本文所談的也是 SproutNote 。ZCash的發展將會慢慢向第二種 SaplingNote 遷移。
因為 note 結構中有一個 a_pk 欄位,在SproutNote 和 SaplingNote中,內部的欄位組成是不同的,原始碼的定義如下圖所示:
SaplingNote 中,明顯 a_pk 不見了,多了其它的。回到下圖,我們主要看左邊的 Sprout,其中:
- 雙豎線表示相同
- 箭頭表示生成關係,如果 A 指向B, 那麼表示A可以生成B。
下圖的Sprout 中 a_sk 代表的是私鑰,由 a_sk 可以生成第一個公鑰 a_pk 和 私鑰 sk_enc,由 sk_enc 可以生成第二個公鑰pk_enc。意味著:
在ZCash 1.0 中,一個錢包地址裡面包含由兩個公鑰:a_pk , pk_enc
轉賬人發出交易 note
現在進行到轉賬人發出交易 note,假設轉賬人是A,收款人是B,A 要轉 5 個幣個B。
那麼 A 組裝 note 的過程如下:
- 首先 A 找到自己的一條或多條沒消費的 note,即是
UTXO輸出,每條 note 中有對應的 value,我們假設一條就足夠轉出,多條的情況是如果一條 note 無法滿足目標轉出 value,才會湊多條 note 作為輸出。 - A 找出了 note 1 ,使用自己的
私鑰 sk_enc解密 note 1,獲取 note 1 中的 value 和其它資料,假設 value 是8,此時8 > 5。 - A 先新建兩條 note,分別是 note4 和 note5,note4 內部的 value 設定為 5,代表是要給 B 的。note 5 的 value 是 (8-5=3),代表給自己找零,不找零將會損失掉這3個幣,相關的
找零解析見UTXO模型介紹。 - A 為 note 4 和 note 5 分別生成隨機數 r4 和 r5
- A 將 B 的 a_pk 公鑰設定到 note 4 裡面去, 代表收款人是 B。再將自己的 a_pk 公鑰設定到 note 5 裡面去,代表收款人是自己。
- 使用 hash 函式生成 note 4 和 note 5 的 rho。
PS: ( rho = nf = HASH (r) ) - 此時 note 4 和 note 5 分別是:
note4 = <B的a_pk ,v=5,r4,rho4>
note5 = <A的a_pk ,v=3,r5,rho5>
- 與此同時,A 還要將 note 1 的 nf2 (
nf2=HASH (r1)) 發往公鏈的節點網路,即 note 1 的 rho,此時節點在收到 nf2 後會判斷是否已經在nullifier列表存在 nf2 了,是的話,那麼判斷 note 1 被雙花了。否則,就將 note 1 的 nf2 記錄下來了。 - A 此時使用 B 的 pk_enc 簽名 note 4,和自己的 pk_nec 簽名 note 5。這裡 B 的 pk_enc 是公開的,注意!ZCash 1.0 中,一個地址的 a_pk 和 pk_enc 都是公開的。
- A 將 note 4 通過祕密通道發給 B,自己的 note 5 便自己儲存,同時將 note 4 和 note 5 的 hash 值 h4、h5 發給所有鏈上的節點。
- 以上便是一個
發起交易的流程。
對上述流程可以提出下面細節。
- 節點能夠知道的只有 note1 的 nf2 和 note4 的 h4 和 note5 的 h5。他們對收款人地址,金額是多少都一無所知。
- 此時鏈上節點們維護的
commitment和nullifier表變成了如下的樣子。
| note hashs(commitments) | nullifier set |
|---|---|
| h1=HASH (note1) | nf1 = HASH (r2) |
| h2=HASH (note2) | nf2 = HASH (r1) |
| h3=HASH (note3) | |
| h4=HASH (note4) | |
| h5=HASH (note5) |
- A 發給 B note4 的祕密通道。這裡我們不展開說,它的方式有很多,可以在用加密的電子郵件傳送,或者可以面對面傳遞小紙條。具體見官方完整的文件:完整文件
- B 手上有經過了自己的 sk_enc 簽名了的 note4
收款人如何獲取 note 的使用權
其實在上面小節中,讀者應該能理會到 B 是可以使用自己的原始私鑰 a_sk 對自己獲取到的 note4 資料進行解密的,進而獲取到裡面的 <a_pk,v,r,rho>,到了這一步,B 儲存好 note4 的 rho,那麼他就能夠向 nullifier 表傳送 note4 的 rho ,達到消費 note4 的目的。
至此,ZCash 的匿名交易流程形成了閉環。
那麼為什麼 a_sk 能對 sk_enc 簽名的資料,進行解密呢?因為在 ZCash 1.0 中,由地址的公私鑰生成規則,可知原始私鑰 a_sk 可以匯出 sk_enc。在ZCash 1.0 的公私鑰機制 小節中也做了說明。
零知識自證
- 節點在校驗完了一個 note 的 rho 後,如何判斷髮送者是真正對 note 擁有使用權的?
答:對於 note 的所有權擁有者A 來說,好像除了公佈 note 裡面的內容外,好像沒其它手段來自我證明?這個時候零知識證明就排上用場了,note 的擁有者在釋出使用該 note 的時候還要向節點出示稱為 Π 的零知識證明憑據,根據 Π ,節點們作為驗證者,能夠驗證 note 的使用權的確屬於A。ZCash 在這裡應用到了零知識證明,它的程式碼是根據zk-SNARK 理論完成的,同時也參考了 Zerocash。
- PS:如何統計一個地址的餘額?
答:不在本文的討論範圍內,詳細可以見官方完整的文件:完整文件 的第4章,關於 Balance 的描述。
後記
為了理清 ZCash 的匿名交易的最後一部分,也即是收款人是如何獲得 note 的所有權的,使整個流程形成閉環。
我查閱了很多文章都、文件和諮詢了一位網友已經查看了部分原始碼。目前網上的其它文章都沒有講到 收款人如何獲取 note 的使用權 這一部分。稍微較好的是對官方文件 在隱藏地址之間如何進行交易的直接做了翻譯,但是由於官方的這篇文章是個簡版,也沒有對 收款人如何獲取 note 的使用權 做出解析,所以,幾乎所有的翻譯文章都是沒答案的,而且大部分文章,本身還有一些錯誤,可能作者自己也一知半解。
感謝下面的人和文給予了我有用的資訊引導:
人:woodstock
文:
- https://z.cash/zh/blog/zcash-private-transactions/
- https://github.com/zcash/zips/blob/master/protocol/protocol.pdf
- https://zhuanlan.zhihu.com/p/25168970
- https://zhuanlan.zhihu.com/p/58006716
- https://blog.csdn.net/lvbin2012/article/details/87339907