tokenpockettokenpocket安卓版免费下载|kzg代表什么 _比特派(Bitpie)官网-比特派钱包app官方下载-bitpie官网下载app

Danksharding | ethereum.org

sharding | ethereum.org跳转至主要内容学习用法构建参与研究搜索语言 ZH帮助更新此页面本页面有新版本，但现在只有英文版。请帮助我们翻译最新版本。翻译页面没有错误！此页面未翻译，因此特意以英文显示。不再显示首页/以太坊路线图/Danksharding页面最后更新: 2023年9月25日在本页面什么是 Proto-Danksharding？如何验证二进制大对象中的数据？什么是 KZG？什么是 KZG 仪式？什么是 Danksharding？当前进展延伸阅读DankshardingDanksharding 是让以太坊成为真正的可扩展区块链的方案，但要实现这个方案，需要进行一系列协议升级。 Proto-Danksharding 是这个过程中的一个中间步骤。两者都是为了让用户在二层网络上的交易尽可能便宜，并将以太坊扩展到每秒处理 >100,000 次交易。什么是 Proto-Danksharding？Proto-Danksharding，也称为 EIP-4844(opens in a new tab)，是一种让卷叠以更经济的方式向区块添加数据的方法。这一名称来自提出这个想法的两位研究人员：Protolambda 和 Dankrad Feist。目前，卷叠在降低用户交易的成本方面受到了限制，因为它们是将交易发布在 CALLDATA 中。这是一种昂贵的方法，因为数据需要经所有以太坊节点处理，并且永远存在于链上，即使卷叠只在很短的时间需要这些数据。 Proto-Danksharding 引入了可以发送并附加到区块上的数据二进制大对象。这些二进制大对象中的数据不可通过以太坊虚拟机访问，并且在固定的时间（1-3 个月）后会自动删除。这意味着卷叠可以更经济的方式发送其数据，节省的费用会让最终用户的交易更加便宜。为什么二进制大对象能让卷叠更经济？更多卷叠是一种通过在链下批量处理交易然后将结果发布到以太坊来扩展以太坊的方法。卷叠本质上由两部分组成：数据和执行检查。数据是由卷叠处理的完整交易序列，用于产生要发布到以太坊的状态变化。执行检查是由某个诚实的参与者（称为“证明者”）重新执行这些交易，以确保提出的状态变化是正确的。为了进行执行检查，交易数据必须在足够长的时间内可用，以便任何人都可以下载和检查。这意味着卷叠排序者的任何不诚实行为都可以被证明者发现和质疑。但是，交易数据不需要永远可用。为什么可以删除二进制大对象的数据？更多卷叠将其交易数据承诺发布在链上，并且在数据二进制大对象中提供实际的数据。这意味着证明者可以检查承诺是否有效或质疑他们认为错误的数据。在节点层面，数据二进制大对象保存在共识客户端中。共识客户端证明他们已经检查了数据，并且数据已经在网络中传播。如果数据永远保留，这些客户端会变得臃肿并导致运行节点的硬件要求很高。相反，可以每隔 1-3 个月将数据从节点中自动删除。共识客户端的认证表明，证明者有足够的机会来验证数据。实际数据可以由卷叠运营商、用户或其他人在链下存储。如何验证二进制大对象中的数据？卷叠将其执行的交易发布在数据二进制大对象中。它们也发布一个对数据的“承诺”。为此，他们会对数据拟合一个多项式函数。然后，这个函数可以在各个点计算。例如，如果我们定义一个非常简单的函数 f(x) = 2x-1，那么可以就 x = 1、x = 2、x = 3 计算这个函数，得到结果 1, 3, 5。证明者对数据应用相同的函数，并在相同的点计算。如果原始数据被更改，函数就不会相同，因此每个点计算出来的值也不会相同。在实际操作中，承诺和证明会更加复杂，因为它们会被包裹在密码学函数中。什么是 KZG？KZG 代表 Kate-Zaverucha-Goldberg - 是三位原创作者(opens in a new tab)名字的缩写，他们提出了一项将数据二进制大对象缩减为小型密码学“承诺”(opens in a new tab)的方案。卷叠提交的数据二进制大对象必须经过验证，以确保卷叠没有错误行为。这需要证明者重新执行二进制大对象中的交易，以检查承诺是否有效。从概念上讲，这与执行客户端使用默克尔证明检验一层网络上的以太坊交易的有效性的方式相同。 KZG 是一种将多项式方程拟合到数据上的替代式证明。 "承诺"在某些保密数据点处计算多项式。证明者将在数据上拟合相同的多项式，并在相同（保密数据点）取值处进行计算，以校验（多项式）结果是否相同。这种验证数据的方式与一些卷叠使用并且最终也会用于以太坊协议的其他部分的零知识技术兼容。什么是 KZG 仪式？KZG 仪式是指以太坊社区的许多人共同生成一个随机的私密数字字符串，用于验证一些数据的一种方式。这个数字字符串必须是未知的，不能由任何人重新创建。为了确保做到这一点，每个参加仪式的人都会收到前一位参与者发送的一个字符串。然后，他们会创建一些新的随机值（例如：通过允许他们的浏览器测量鼠标的移动）并将这些值与前面的值混合在一起。之后，他们将这个值发送给下一位参与者并将其在本地计算机中销毁。在这个仪式中，只要有一个人诚实地执行了这一过程，攻击者就无法知道最终值是什么。 EIP-4844 KZG 仪式是对外公开的，成千上万的人参与其中，并添加了自己的熵（随机值）。如果想破坏这个仪式，那么必须 100% 的参与者都不诚实。从参与者的角度来看，如果他们知道自己是诚实的，就不需要相信其他任何人，因为他们知道自己确保了仪式的安全性（他们个人满足了，N 个参与者至少有一个诚实的要求）。KZG 仪式上的随机数是用来做什么的？更多当卷叠在二进制大对象中发布数据时，他们提供了一个发布到链上的"承诺"。该承诺是在特定点对数据计算多项式拟合的结果。这些点是由 KZG 仪式上生成的随机数决定的。然后，证明者可以在相同的点上对多项式进行计算以验证数据 - 如果得出相同的值，则数据是正确的。为什么 KZG 的随机数据必须保密？更多如果有人知道用于承诺的随机位置，就可以很容易地生成一个可在这些特定点上拟合的新多项式（即“碰撞”）。这意味着他们可以在二进制大对象中添加或删除数据，并且仍然提供有效的证明。为了防止这种情况的出现，他们不向证明者提供实际的私密位置，而是使用椭圆曲线将位置封装在加密“黑盒”中并提供给证明者。这样做可以有效打乱值，使得原始值无法被逆向工程，但通过一些巧妙的代数，证明者和验证者仍然可以在它们所代表的点上计算多项式。Danksharding 和 Proto-Danksharding 都没有采用传统的将区块链分成多个部分的“分片”模式。分片链不再是路线图的一部分。相反，Danksharding 使用跨数据块的分布式数据采样来扩展以太坊。这实施起来要简单得多。这种模式有时被称为“数据分片”。什么是 Danksharding？Danksharding 全面实现了从 Proto-Danksharding 开始的卷叠扩展。 Danksharding 将为以太坊带来大量空间，以便卷叠堆放他们的压缩交易数据。这意味着以太坊能够轻松支持数百个单独卷叠，并实现每秒处理数百万次交易。它的实现方式是将附中到区块的二进制大对象从 Proto-Danksharding 阶段的 1 个增加至完全实现 Danksharding 时的 64 个。所需的其余变更都是对共识客户端的运行方式进行更新，使它们能够处理新的较大二进制大对象。其中的一些变更已经由于 Danksharding 之外的目的列入路线图。例如，Danksharding 要求贯彻执行提议者与构建者分离的理念。这一升级会将构建区块与提议区块的工作分开由不同的验证者完成。同样，Danksharding 还要求进行数据可用性采样，但开发不存储大量历史数据的超轻量级客户端（“无状态客户端”）也要求这样做。为什么 Danksharding 要求提议者与构建者分离？更多要求提议者与构建者分离为了防止单个验证者需要为 32MB 的数据块数据生成昂贵的承诺和证明。这会给家庭质押人造成太大的压力，要求他们投资购置更强大的硬件，这将不利于去中心化。相反，这项昂贵的计算工作可以由专门的区块构建者负责。之后，他们可以向区块提议者提供区块，以进行广播。区块提议者只需要选择收益最高的区块即可。任何人都能够以便宜快捷的方式验证数据块，这意味着所有普通验证者都可以检查区块构建者是否诚实。这样一来，处理大型二进制大对象就不需要牺牲去中心化。行为不端的区块构建者会被逐出网络并受到罚没 — 其他人会接替他们的位置，因为区块构建是收益很高的活动。为什么 Danksharding 要求进行数据可用性采样？更多要求进行数据可用性采样是为了让验证者快速、高效地验证二进制大对象数据。通过数据可用性采样，验证者可以非常确定二进制大对象数据是否可用和正确提交。每个验证者都可以随机在几个数据点采样并创建证明，这意味着验证者不必核对整个二进制大对象。如果有数据丢失，可以快速识别并拒绝二进制大对象。当前进展完全实现 Danksharding 还需要几年时间。但是，Proto-Danksharding 的实现应该比较快。在本文章撰写时（2023 年 2 月），KZG 仪式仍然在开放并且至今已经吸引了超过 50,000 名贡献者。 Proto-Danksharding 的以太坊改进提案(opens in a new tab)已经成熟，规范已商定，客户端已经创建了原型，目前正在测试中并准备投入生产。下一步将在公共测试网上实施一些更改。你可以使用EIP 4844 准备情况检查表(opens in a new tab)跟踪最新信息。延伸阅读Proto-Danksharding 说明(opens in a new tab) - Vitalik ButerinDankrad 关于 Danksharding 的说明(opens in a new tab)Dankrad、Proto 和 Vitalik 关于 Danksharding 的讨论(opens in a new tab)KZG 仪式(opens in a new tab)Carl Beekhuizen 在以太坊开发者大会上关于可信设置的演讲(opens in a new tab)更多关于针对二进制大对象进行数据可用性采样的信息(opens in a new tab)Dankrad Feist 关于 KZG 承诺和证明的演讲(opens in a new tab)KZG 多项式承诺(opens in a new tab)本文对你有帮助吗？是否编辑页面(opens in a new tab)在本页面什么是 Proto-Danksharding？如何验证二进制大对象中的数据？什么是 KZG？什么是 KZG 仪式？什么是 Danksharding？当前进展延伸阅读网站最后更新: 2024年3月13日(opens in a new tab)(opens in a new tab)(opens in a new tab)学习学习中心什么是以太坊？什么是以太币 (ETH)？以太坊钱包什么是 Web3？智能合约Gas fees运行节点以太坊安全和预防欺诈措施测试中心以太坊词汇表用法指南选择钱包获取以太币Dapps - 去中心化应用稳定币NFT - 非同质化代币DeFi - 去中心化金融DAO - 去中心化自治组织去中心化身份质押ETH二层网络构建构建者首页教程相关文档通过编码来学习设置本地环境资助基础主题用户体验/用户界面设计基础Enterprise - Mainnet EthereumEnterprise - Private Ethereum参与社区中心在线社区以太坊活动为 ethereum.org 做贡献翻译计划以太坊漏洞悬赏计划以太坊基金会以太坊基金会的博客(opens in a new tab)生态系统支持方案(opens in a new tab)Devcon(opens in a new tab)研究以太坊白皮书以太坊路线图安全性增强以太坊技术史开放研究以太坊改进提案（Eip）以太坊治理关于我们以太坊品牌资产Code of conduct工作机会隐私政策使用条款缓存政策联系我们(opens in a new tab)本页面对你有帮

一文详解以太坊 KZG 仪式以及它的重大意义 - 知乎

一文详解以太坊 KZG 仪式以及它的重大意义 - 知乎切换模式写文章登录/注册一文详解以太坊 KZG 仪式以及它的重大意义巴比特已认证账号撰文：以太坊基金会编译：巴比特编者注：近日，以太坊基金会启动了一个 KZG 仪式，它将开启以太坊可扩展性的下一章，在为期大约 60 天的贡献期内，以太坊生态的参与者们都可以为这一仪式贡献自己的秘密值。而对于众多 L2 网络而言，这次活动也具有非常大的意义。Proto-danksharding（又名 EIP-4844）是对以太坊协议的计划更改，它引入了临时数据存储。因为数据不需要永久存储在网络中，所以使用起来比链上存储（即 CALLDATA）更便宜。 Rollups（L2）可以使用此存储将交易数据或证明发布回第 1 层（主网）。这样做的好处是 L2 的交易费用更低，可扩展性更强，更多人可以更容易访问！然而，Proto-danksharding 需要一个新的密码学方案：KZG 承诺。该仪式有时称为“可信设置”，它将生成承诺工作所需的结构化引用字符串(SRS)。只要仪式中的一名参与者成功地隐藏了他们的秘密，SRS 就是安全的。这是一个多方参与的仪式:每个贡献者创建一个秘密，并运行一次计算，将其与之前的贡献混合在一起。然后，输出被公开并传递给下一个贡献者。为了防止有人试图破坏仪式，参与者需要一个以太坊地址或 GitHub 账户，并有一定的交易历史记录才能参加。该仪式的最终输出将包含在未来的升级中，以帮助扩展以太坊网络。FAQ1、什么是 EIP-4844（又名 Proto-Danksharding），它与扩容以太坊有何关系？以太坊社区正在通过二层网络 (L2) 扩展到全球可访问性。 L2 增加了用户可用的总区块空间，同时仍保持以太坊一层网络 (L1) 提供的安全性。L2 网络需要在以太坊上发布大量数据，而 L1 网络目前为此收取很高的费用。为了解决这个问题，以太坊将创建一个新的数据层，通常称为分片（sharding）。这为 L2 用户提供了所谓的“数据可用性”（DA）保证。 L1 只在有限的时间内保存数据，这意味着我们可以在不牺牲较小 L1 节点运营商的去中心化的情况下扩展区块链。目前这方面的领先设计被称为 Danksharding。这项功能的推出将分几个步骤进行，而第一步是 EIP-4844，也被称为 Proto-Danksharding。2、什么是召唤仪式？仪式使用秘密输入来产生输出，这种方式使逆向工程和发现最初的秘密变得不可能。以下是它们如何工作的的简要总结:参与者 1 选择一个随机数（例如 5），然后对其进行计算。该计算的输出被传递给参与者2，在那里他们用自己的秘密输入(例如3)重复步骤1，并将其与第一个参与者的输出（例如 5x3=15）混合。重复这个过程，直到有足够数量的参与者，此时序列中的最后一个输出就成为最终输出。仪式也被称为“可信设置”，最著名的是 Zcash 用来引导他们的隐私功能。然而，它也可以用于添加可扩展性机制，就像以太坊正在做的那样。Carl Beekhuizen 有关于这个仪式的 Devcon 演讲‌，其简单而深入地解释了这个仪式是如何以及为什么起作用的。或者，你可以探索仪式规范‌来真正深入了解细节，并可能编写自己的实现。3、为什么 (Proto)-Danksharding 需要一个仪式？(Proto)-Danksharding 需要一个能够快速证明和验证底层数据的承诺方案，同时承诺大小较小。而最符合数据可用性抽样（DAS）标准的多项式承诺方案是 KZG 承诺（KZG commitments）。KZG 方案通过以秘密值（特别是椭圆曲线点）对其进行评估来提交多项式。这个仪式的目的，在于以一种没有人知道这个秘密是什么的方式来构建这个秘密值，并且以一种很多人确信即使在很多年之后也没有人知道的方式来实现。4、我如何为仪式做贡献？就在这个网站‌上，你可以使用自己的以太坊地址或 Github 帐户登录参与。如果你想要此界面的替代方案，可以使用其他几个 CLI 和网页（链接 + IPFS）。在这个公共贡献期之后，我们将接受来自定制实现或独特随机生成的特殊贡献。这两项都有资金支持，更多信息将在未来几周内分享。5、KZG 代表什么？KZG 来自 Kate, Zaverucha 和 Goldberg。他们是论文“常数大小多项式及其应用‌”中的作者，这篇论文概述了 EIP-4844 计划使用的底层密码学机制。要深入研究 KZG 承诺的密码学，Dankrad Feist 的博客文章‌是一个很好的起点。6、在这个仪式上要做什么?该界面将引导你完成以下步骤:1、你提供来自三个不同来源的随机输入。2、使用以太坊钱包或 Github 账户登录以防止垃圾信息。3、询问 Sequencer（排序器）你是否可以参加。轮到你的时候，排序器会给你发送“Powers of Tau”数据。4、你的计算机会将你的随机性混合到 Powers of Tau 中，完成后，将其发送回 Sequencer（排序器）。5、排序器将验证你的计算机是否正确执行了所有操作，并将 Powers of Tau 传递给下一个参与者。仪式结束后，你应返回以核实你的贡献是否确实包含在最终报告单中。7、Powers of Tau 是什么？“Powers of Tau”这个名称来自关于可信设置和 SRS 的密码学文献。“Tau”来自希腊字母 τ，是本文档中提到的“秘密”的简写。“Powers" 是指我们不仅需要秘密，还需要秘密的连续幂（乘方）。(即）值得注意的是，Powers of Tau 不是原始数字，而是被编码为“加密”的椭圆曲线点，因此隐藏了它们。8、什么是 Sequencer（排序器），它有什么作用？Sequencer （排序器）是由以太坊基金会托管的服务器，用于协调贡献。它跟踪谁在尝试贡献，为他们提供下载所需的数据，并在将数据发送给下一个参与者之前验证每个贡献。你不必相信排序器会产生有偏差或无效的最终输出。报告单提供了所有随机性贡献的可验证记录，你可以自己验证。9、不能使用另一种没有“可信设置”的承诺方案吗?使用 KZG 以外的任何东西(例如 IPA 或 SHA256)会使分片路线图变得更加困难。从 Vitalik 的 Proto-Danksharding 常见问题解答‌中，你可以了解更多信息。10、需要出什么差错才能破坏仪式的安全性?这个仪式有一个“1-of-N”的信任假设，这意味着整个仪式中需要有一个参与者没有泄露秘密输入，那么一切都是安全的。这意味着每个参与者都必须分解他们用于贡献的软件，让软件为他们提供秘密，然后与每个其他参与者合谋重建最终的秘密。更现实的故障模式是一个常见的错误，它会泄露随机性。为了解决这个问题，这个站点已经经过了审计，并且有构建在完全不同的软件堆栈上的贡献软件的替代实现。这就是为什么会有成千上万的参与者在不同的操作系统上使用不同的软件，来帮助防止人员和硬件/软件中的单点故障。11、在这种情况下可能会发生什么攻击?如果以某种方式从 Powers of Tau 中提取秘密，攻击者将能够对 EIP-4844 中的数据做出任意声明。这将有效地破坏依赖于 EIP-4844 blob 数据的所有服务和应用。12、参与贡献需要多长时间？这取决于在同一时间有多少人试图参与，你可能要等待一段时间。一旦轮到你，在标准笔记本电脑和互联网连接的情况下，完成贡献应该只需要不到 3 分钟的时间。13、为什么我需要登录以太坊或 GitHub?为了减少针对仪式的女巫攻击，排序器需要验证你是一个(有点)独特的人，否则一个人可能会提交许多不同的贡献，从而阻止其他人做出贡献。1、使用以太坊钱包登录-这是首选的选择，因为它是所有以太坊社区成员都应该已经拥有的东西，并且它允许签名，以便以后验证贡献。每个账户必须发送至少 3 笔交易，以防止参与者为这个仪式创建新的账户。2、用 GitHub 登录——这个选项是为那些距离社区较远，但仍想参与的人提供的替代选择。14、我如何知道我的贡献被纳入了?当这个仪式结束时，你应该查看一下仪式的记录(将在本网站上托管，并在互联网上广泛传播)。这份记录将包含所有必要的数据，以核实谁参加了。如果你使用以太坊钱包地址登录，那么你将通过来自钱包帐户的签名消息获得你参与的密码学证明。15、我如何验证最终的仪式输出？仪式结束后，社区验证仪式是否正确运行是很重要的，这包括两个部分:1、通过检查记录中出现的身份，来验证你或足够多你信任的人是否真的参加了仪式。2、验证记录是正确构建的，包括所有 witness（正确贡献的证明）以及 Powers of Tau。在贡献结束时下载你的收据，以检查它是否由 sequencer（排序器）地址签名。你可以查看这些说明‌。16、为什么我不能在移动设备上参与贡献?虽然一些移动设备的处理能力足以参与这个仪式，但很多移动浏览器不能很好地处理 WASM，在计算完成之前锁定屏幕或降频 CPU，而且通常设备之间存在很大差异，这很难解释。发布于 2023-01-16 14:43・IP 属地中国香港比特币 (Bitcoin)区块链(Blockchain)以太坊2.0赞同1 条评论分享喜欢收藏申请

宣布启动 KZG 仪式 | 以太坊基金会博客

KZG 仪式 | 以太坊基金会博客以太坊基金会博客搜索跳转到内容分类研发研究与开发活动活动组织组织内部资料生态系统支持计划生态系统支持计划ETH.org Ethereum.org安全安全性NxBn Next Billion协议协议公告语言搜索该帖子有 7 语言版本：简体中文宣布启动 KZG 仪式由 EF 协议支持团队发布于 2022年1月16日协议公告高昂的费用使得旅行者难以走出这片黑森林。内存池曾托管在云端，而 1559 过滤器现已问世，这表明内存池不够深，难以维持。

据传闻，社会将在 DankShard 带来的丰富性下繁荣发展，在滋养数据集 Blob 的领域正掀起一股巨浪，每个 Blob 都在为自己的分维营养层提供支持。

*为了召唤 DankShard 的力量，我们的指南将带领我们完成仪式。我们鼓励以太坊内外的所有成员做出贡献。每位成员都将为集体做出独特的贡献，并以此照亮前进的道路。*

概述

KZG 仪式是一种协调的公共仪式，它将为 EIP-4844（又名 proto-danksharding）等以太坊扩容工作提供密码学基础。这些类型的事件也被称为“可信设置”，最著名的是 Zcash 使用它来引导链的隐私功能。然而，它们也可以用于支持扩容机制，就像以太坊计划那样。

Proto-danksharding 需要一个新的密码学方案：KZG 承诺。它们将生成承诺工作所需的“结构化引用字符串”(SRS)。只要仪式中的一名参与者成功地隐藏了他们的秘密，SRS 就是安全的。

这是一个多方参与的仪式：每个贡献者创建一个秘密，并运行一次计算，将其与之前贡献的秘密混合在一起。然后，输出被公开并传递给下一个贡献者。该仪式的最终输出将包含在未来的升级中，以帮助扩展以太坊网络。

资料来源：Vitalik 的博客“可信设置如何运作？”

要了解更多信息，请参见 Carl Beekhuizen 的 Devcon Talk，其中进行了全面深入的介绍。你也可以查看资源库中提供的链接。

为什么它如此重要

你的参与具有深远的意义，甚至超出了仪式本身的技术输出及其将启用的扩容机制。

在这里，更广泛的以太坊社区有了难得的机会，可以直接为核心协议的开发做出贡献。事实上，该仪式现在的可信度以及在未来能够长久地保持可信度，取决于来自许多不同路径的众多贡献。

当我们构建自己的基础设施时，我们会提醒自己希望以太坊带给世界什么东西：任何人都可以使用或对其做出贡献的可访问协议。这样，大家都可以参与到集体建设的实践当中来，维护我们社区的共同理想。我们的召唤为不断变化的世界赋予了新的意义。

如何参与？

以太坊社区通过四种主要方式来帮助构建这一重要的基础设施（按技术难度从低到高排序）：

浏览器接口

通过您偏好的浏览器创建和贡献您自己的随机性供你参考和帮助你参与的主要资源是 ceremony.ethereum.org。 **确保您访问的是这个网址而不是其他网址！**可能存在网络钓鱼/仿冒尝试的情况可以通过托管接口或在 IPFS 上进行参与者需要提供以太坊地址（截至 2023 年 1 月 13 日至少发送了 4 笔交易），或登录 Github 帐号以防止垃圾贡献。

命令行实现

如果您习惯使用命令行，请查看一些 CLI 实现，以从您的本地计算机做出贡献

以独特的方式产生熵

您可以使用独特而疯狂的方法生成随机性，并使用上述方法之一将其添加到仪式中。（如果出于某种原因，您需要更多的时间来做出贡献，请联系 ceremony@ethereum.org）例如， 2018 年，作为 Zcash Sapling 仪式的一部分，Ryan Pierce 和 Andrew Miller 使用盖革计数器和切尔诺贝利的项目在飞机上产生熵 - 链接可申请资助：点击这里申请

编写你自己的实现

为了尽可能简单地为仪式编写你自己的实现，已经付出了很多努力（有些人甚至用一下午的时间完成）。查看综合性仪式规范。如果你真的想让自己相信秘密没有被泄露，请考虑编写你自己的 BLS12-381 实现。你只需要进行 G1 和 G2 整数乘法，不正确的贡献将被排序器拒绝，因此你无法破坏仪式。如果出于某种原因，您需要更多的时间来做出贡献，请联系 ceremony@ethereum.org可申请资助：点击这里申请

时间线

该项目自 2022 年中以来一直在开发中：点击此处探索完整时间线。主要工作领域包括底层加密组件的实现、排序器和用于支持参与（基于浏览器）的接口。这些工作见证了生态系统的广泛参与，以及来自数十个团队与个人做出的贡献：其中包括以太坊基金会（协议支持、隐私和扩容探索 (PSE)、开发运营、Eth.org 和研究）Worldcoin 中的几个团队以及独立贡献者（名称如下！）。

第一个贡献期将持续两个月，从 2023 年 1 月 13 日星期五到 3 月 13 日。之后，将进入特殊的贡献期，在此期间定制实现和产生独特的熵，可能需要提供额外的支持。

在这两个阶段结束后，排序器将恢复接受一般贡献，直至 EIP-4844 准备好安排网络升级。

此时，排序器将停止接受新的贡献并产生其最终输出。至少需要进行一次公开验证，以验证这是正确的输出 - 还会邀请个人使用像这个脚本一样简单的脚本来进行验证。

常见问题解答

下面列出了人们通常会提出的另外几个问题。

我需要事先注册才能做出贡献吗？不用！您只需要提供一个在 2023 年 1 月 13 日之前至少发送过 4 笔交易的以太坊地址即可。

需要参与多长时间？参与本身是很快的，通常不到一分钟，但等待轮候的时间可能较长。试图做出贡献的每个人集中一个大厅里，然后随机选择下一个做出贡献的人。

需要出什么差错才能破坏仪式？这个仪式有“1/N”的信任假设，这意味着整个仪式中只要有一个参与者没有泄露秘密输入，那么一切都是安全的。这意味着要破坏仪式，每个参与者需要合作提取并重组他们的秘密，否则每个单独的实现都会有一个漏洞。

点击 ceremony.ethereum.org，查看常见问题解答的完整列表。

感谢隐私和扩容探索团队的 Nico Serrano、Geoff Lamperd、Chiali 和 Takamichi Tsutsumi，Worldcoin 的 Remco Bloemen、Marcin Kostrzewa、Grzegorz Świrski 和 Philipp Sippl，EF 开发运营团队的 Rafael Matias 和 Parithosh Jayanthi，除此之外还要感谢 Kevaundray Wedderburn、Marius Van Der Wijden、Daniel Knopik、Ignacio Hagopian、Antonio Sanso 以及 Paul Wackerow 等人为启动本次仪式所做的大量工作。

这篇帖子从英文翻译而来，因此可能不完全准确，也不是最新内容。原版可在英语中找到。上一个帖子下一个帖子订阅协议公告注册以接收协议相关公告的电子邮件通知，如网络升级、常见问题或安全问题。你可以随时选择不接收这些通知。注册以太坊基金会•Ethereum.org•生态系统支持计划•漏洞奖励计划•不跟踪•存档分类研究与开发•活动•组织内部资料•生态系统支持计划•Ethereum.org•安全性•Next Billion•协

Danksharding | ethereum.org

百度知道 - 信息提示

百度首页

商城

网页

资讯

视频

图片

知道

文库

贴吧采购

地图更多

搜索答案

我要提问

百度知道>提示信息

知道宝贝找不到问题了>_

该问题可能已经失效。返回首页

15秒以后自动返回

帮助

| 意见反馈

| 投诉举报

详解 KZG 如何应用于 zk-rollup 以及以太坊 DA 方案_腾讯新闻

详解 KZG 如何应用于 zk-rollup 以及以太坊 DA 方案

原文作者：Scroll 研究员 Andy Arditi

编译： DeFi 之道

感谢 Yi Sun 和 Kobi Gurkan 的反馈和评论。

图片来源：由无界版图 AI工具生成

简介

由于数学复杂性，零知识证明在其周围形成了一种神秘的气质，它们被亲切地称为“月球数学”，因为它们被大多数人视为超凡脱俗的魔法。

我们 Scroll 想要揭开零知识证明内部运作的神秘面纱，这并没有让它们变得不那么神奇，但我们认为帮助社区了解这些技术是很重要的。

在这篇文章中，我们介绍了很多零知识证明系统的关键要素：多项式承诺（polynomial commitment）方案。然后我们简要解释一下 KZG，它是实践中使用最广泛的多项式承诺方案之一。接着，我们会继续讨论如何在 Scroll 的 zk-rollups 以及以太坊的 Proto-Danksharding 中使用 KZG。最后，我们展示了 zk-rollups 以及 Proto-Danksharding 如何能够高效、优雅地相互集成——这种集成是通过它们各自使用多项式承诺方案来实现的。

为什么我们要讨论多项式？

多项式是非常强大的工具，它们在很多不同领域都有有用的应用。多项式可用于以一种有效的方式表示大型对象。

我们可以表示为多项式的一个标准对象是域元素

的 n 维向量。我们可以制作一个多项式 ϕ(x) ，通过确保 ϕ(x) 通过点 (i,vi)（i=1,2,…,n）来表示 v。

例如，我们可以取 3 维向量 v =[2,0,6]，并将其表示为多项式 ϕ(x)=4x^2−14x+12. 你可以插入值来验证 ϕ(1)=2, ϕ(2) = 0 ，以及 ϕ(3)=6。这样，多项式 ϕ(x) “编码”了向量 v。

总的来说，取 n 个任意点，并找到一个唯一的 n-1 次多项式（它通过所有这些点）是可能的。这个过程被称为“多项式插值”，并且有人已建立了有效完成这个任务的方法。（查看 Wolfram Alpha 提供的这个漂亮的在线工具‌，它可以在给定输入向量的情况下插值多项式！）

什么是多项式承诺（polynomial commitment）方案？为什么它们是有用的？

多项式承诺方案是具有一些不错的附加属性的承诺方案。在一般的承诺方案中，committer 通过输出一些 commitment c 来承诺一则消息 m。committer 随后可以显示消息 m，验证者可以验证 commitment c 确实对应于 m。承诺方案应该是“绑定的”（一旦发布 c，committer 应该无法找到其他一些消息，即发布 c 不应泄露有关底层消息 m 的任何信息）。

现在，使用多项式承诺方案，committer 提交一个多项式 ϕ，而不是一些任意消息 m。多项式承诺方案满足上述正常承诺方案的属性，并且还实现了一个附加属性：committer 应该能够“开放”对承诺多项式的某些评估，而不会透露整个事情。例如，committer 应该能够证明 ϕ(a)=b 而无需确切透露 ϕ(x) 是什么。

这是一个非常棒的属性，它对于零知识应用是非常有用的！我们可用它来证明我们有一些满足某些性质的多项式（在这种情况下，它通过某个点 (a,b)），而无需揭示多项式是什么！

这个属性有用的另一个原因是，commitment c 通常比它所代表的多项式要小得多。我们将看到一个承诺方案，其中任意大次数的多项式可以通过其 commitment 表示为单个组元素。当考虑在链上发布数据时，这尤为可取，因为区块空间是一种宝贵的资产，任何形式的压缩都可立即转化为成本上的节约。

KZG 多项式承诺方案

好的，现在我们已经简单了解了多项式承诺方案，让我们看看如何实际构建一个。我们将关注的是一个称为 Kate-Zaverucha-Goldberg‌ (简称 KZG) 多项式承诺方案。 KZG 被广泛用于区块链领域的许多任务（它已经被 Scroll 的证明系统使用，并且很快将通过 Proto-Danksharding‌ (EIP-4844) 集成到以太坊的协议中）。稍后我们将详细介绍这些用例中的每一个。

本节将简要概述 KZG 多项式承诺方案的数学结构，它并不是全面的，但应该能清楚地说明事情是如何运作的。对于数学爱好者，我们将在本节末尾提供一些进一步的参考资料。

无论如何，让我们从解释开始。 KZG 多项式承诺方案由四个步骤组成：

步骤1（设置）：

1、第一步是一次性可信设置。完成此步骤后，可以重复其他步骤以提交和揭示各种不同的多项式。

2、设为一些配对友好的椭圆曲线群

的生成器。

3、设为我们要承诺的多项式的最大次数。

4、选择一些随机 field 元素

5、计算

，然后将其公开发布（注意 τ 不应该被揭示，它是设置的一个秘密参数，应该在设置仪式后丢弃它，这样没有人可以弄清楚它的值）

步骤2 （Commit to 多项式）：

1、给定一个多项式

2、计算并输出 commitment

尽管 committer 不能直接计算

，因为他并不知道 τ，他可以使用设置

的输出计算它。

步骤3 （证明一个评估）：

1、给定一个评估 ϕ(a)=b

2、计算并输出证明

其中

，这被称为“商多项式”。请注意，当且仅当 φ(a)=b 时，这样的 q(x) 才存在。因此，该商多项式的存在可作为评估的证明。

步骤4 （验证一个评估证明）：

1、给定一个 commitment

，一个评估 ϕ(a)=b,以及一个证明

2、验证

，其中 e 是一个 non-trivial 双线性映射。

（1）一些代数（见下面的链接注释）表明这相当于检查步骤 3 中的属性在 τ

时是否成立。

（2）双线性映射使我们能够在不知道秘密设置参数 τ 的情况下检查此属性。

（3）一旦验证完成，我们可以得出商多项式是正确的结论（概率极高），因此评估是正确的。

这是 KZG 背后数学的一个非常简化的讲解，其中省略了一些细节。要了解更多深度的东西（并查看一个很酷的扩展，你可以使用一个证明来证明多个评估），请查看以下的优秀资源：

1、Dankrad Feist 的 KZG 笔记‌；

2、Alin Tomescu 的 KZG 笔记‌；

KZG 多项式 commitment 方案的用例

1、Scroll 的 zk-rollups

在 zk-rollups 的情况下，我们想证明发生在 L2 上的一些计算是有效的。简单来讲，发生在 L2 上的计算可通过称为“ witness 生成”的过程表示为二维矩阵。然后可以用多项式列表来表示矩阵 - 每列都可以编码为其自己的一维向量。然后，计算的有效性可以表示为这些多项式之间必须保持的一组数学关系。[2] 例如，如果前三列分别由多项式 a(x)、b(x) 以及 c(x) 表示，我们可能需要关系 a(x)⋅b(x)−c(x)=0 保持。多项式（代表计算）是否满足这些“正确性约束”可通过在一些随机点评估多项式来确定。如果“正确性约束”在这些随机点上得到了具体的满足，则一名验证者可以非常高的概率断言计算是正确的。 [3]

人们可以很自然地看到像 KZG 这样的多项式承诺方案，是如何直接插入到这个范式中的：rollup 将 commit to 一组多项式，它们一起代表计算。然后，验证者可要求对一些随机点进行评估，以检查正确性约束是否成立，从而验证多项式表示的计算是否有效。 [4]

Scroll 专门将 KZG 用于其多项式承诺方案。还有一些其他的承诺方案也可以发挥类似的作用，但与 KZG 相比，它们目前都有缺点：

1、Inner Product Argument (IPA) 方案很有吸引力，因为它不需要可信设置，并且还能以有效的方式递归组合。但是，它需要一个特定的椭圆曲线循环（称为“Pasta 曲线”）才能实现其良好的递归特性。以太坊目前不支持对这些 Pasta 曲线进行有效操作，这意味着在以太坊执行层进行的证明验证效率极低。如果在没有递归特性的情况下使用（例如，使用非 Pasta 曲线），IPA 的证明验证时间会随着电路的大小线性增长，这使得它对于 zk-rollups 所需的巨大电路而言是不可行的。

2、Fast Reed-Solomon IOP of Proximity (FRI) 方案也不需要可信设置，它不依赖椭圆曲线密码学，因此具有快速的证明生成（生成证明不需要昂贵的椭圆曲线操作），并且它是抗量子计算的。但是，与 KZG 相比，FRI 方案的证明大小和验证时间都很大。

2、以太坊的 Proto-Danksharding

Proto-Danksharding (EIP-4844) 是一项提案，其旨在降低 rollup 在以太坊 L1 上发布数据的成本，它将通过引入一种称为“blob-carrying transaction”的新交易类型来做到这一点。这种新的交易类型将携带一个更大的数据 blob（大约 128 kB）。但是，数据 blob 将无法从以太坊的执行层访问（即智能合约不能直接读取数据 blob）。相反，只有对数据 blob 的 commitment 才能从执行层访问。

现在，我们应该如何创建对数据 blob 的 commitment ？我们可通过简单地哈希数据 blob 来生成一个 commitment。但这存在一点限制，因为我们无法在不揭示整个事物的情况下证明数据 blob 的任何属性。 [5]

我们也可以将数据 blob 视为一个多项式（请记住，将诸如数据向量之类的数学对象表示为多项式很容易），然后使用一个多项式承诺方案来提交数据。这使我们不仅能够实现对数据的 commitment，而且能够有效地检查数据 blob 的某些属性，而无需读取整个数据。

多项式承诺方案为数据 blob 启用的一项非常有用的功能，是数据可用性采样 (DAS)‌。使用 DAS，验证者可以验证数据 blob 的正确性和可用性，而无需下载整个数据 blob。我们不会深入解释 DAS 的具体工作原理，但它是由我们上面讨论的多项式承诺方案的特殊属性实现的。虽然 DAS 的实际实施并未包含在最初的 Proto-Danksharding (EIP 4844) 提案中，但它将在不久之后实施，即以太坊实现“完整” 的 Danksharding 时。

以太坊计划专门使用 KZG 作为其多项式承诺方案。研究人员探索了其他多项式承诺方案，并得出结论认为，KZG 在中短期内为以太坊的 Danksharding 路线图带来了最优雅、最高效的实现。[6]

3、Scroll 的 zk-rollups 和以太坊的 Proto-Danksharding 如何实现交互？

我们现在讨论了 KZG 方案的两个看似独立的用途：Scroll 使用它来提交在 L2 上执行的计算，而以太坊使用它来提交数据 blob。现在我们将看看 KZG 的这两种用途，如何以一种很酷的方式交互在一起！

在 L2 上处理一批交易并计算出新的状态根后，Scroll 将基本上将三件事发布到以太坊 L1：

T，在 L2 上执行的交易列表；

Si，在 time-step i 的新状态根；

π，新状态根 Si 为有效的一个证明；

我们不仅要验证新的状态根 Si 是有效的（即存在一些交易列表，当正确执行时，会导致先前的状态根 Si-1更改为新的状态根 Si），而且交易列表 T 实际上是导致状态根从 Si-1 变为 Si 的交易列表，为了实现这一点，我们需要以某种方式强制 T 和 π 之间的连接。

T 将作为数据 blob 发布，因此验证者合约将有权访问它的 KZG commitment。证明 π 本身将包含对表示计算的各种多项式的 KZG commitment。一个在 π 内提交的多项式是表示已处理交易列表的多项式。因此，我们对相同的数据有两个单独的 KZG commitment，我们称它们为 CT （来自数据 blob）以及 Cπ（来自证明），假设它们代表相同的基础多项式 φT （这个多项式是事务列表 T 的一个表示）。我们可通过“等价证明”有效地检查两个 commitment 是否表示相同的多项式：

1、计算

2、在 commitment CT 以及 Cπ 下发布 φ(z)=a 的评估证明

这里的想法是选择一个随机（ish）点，并检查两个多项式之间的相等性。如果多项式在随机选择的点处相等（并且总点的数量足够大），则两个多项式相同的概率非常高。 [7]

这种等价性证明实际上适用于多项式承诺方案的任何组合[8]——如果一个是 FRI commitment，而另一个是 KZG commitment，这实际并不重要，只要两者都可以在某个点打开即可。

总结

让我们回顾一下。

我们从简单解释多项式开始，多项式是可以轻松表示大型数学对象的有用对象。当我们引入多项式承诺方案时，它们变得更加有用。多项式承诺方案类似于普通的密码学承诺方案，其具有可以在不揭示整个多项式的情况下证明点评估的附加属性。

然后，我们对最流行的多项式承诺方案之一 KZG 进行了数学描述，该方案有四个步骤：（1）一次性可信设置；（2）一个 commitment

；（3）一个证明

，其中 q(x) 是一个商多项式；（4）使用一个双线性映射进行验证，检查 ϕ(x) 和 q(x) 之间的关系是否正确。

多项式承诺方案的点评估（point-evaluation）特性可以实现非常酷的应用。

我们在 zk-rollups 的情况下看到了一个这样的应用：计算表示为一个多项式，并且可通过检查多项式是否满足某些约束来验证其有效性。由于多项式承诺方案允许点评估证明，zk-rollups 可以简单地使用简洁的 commitment 来表示计算，而不是冗长的多项式本身。

另一个应用是 Proto-Danksharding：数据 blob 表示为多项式，它们的 commitment 通过 KZG 计算。 KZG 的数学特性支持数据可用性采样（DAS），这对于以太坊数据层的扩容是至关重要的。

最后，我们检查了 Scroll 的 zk-rollup 证明中的 commitment 如何与以太坊上的数据 blob commitment 进行交互。

脚注

1、虽然这听起来是一项艰巨的任务，但研究人员已通过使用多方计算 (MPC) 建立了以弱信任假设（1-of-N信任假设）进行此类可信设置仪式的方法。有关可信设置如何工作的更多信息，请查看 Vitalik 撰写的这篇文章‌。

2、这种将计算转换为数学对象并将其有效性表达为数学关系的过程称为“算术化”（arithmetization）。有多种方法可以进行这种转换，而 Scroll 使用的是 Plonkish 算术化‌。

3、这个想法被正式称为 Schwartz Zippel 引理‌，它被广泛用于有效地验证多项式的属性。

4、请注意，验证者在随机点查询多项式的这种交互式挑战可通过 Fiat-Shamir 变换‌转换为非交互式协议。

5、我们也可以使用简洁的证明来证明数据 blob 的某些属性（例如，证明哈希到正确哈希的数据的知识，然后证明该数据的某些属性），但是这对于每次需要访问/验证关于数据 blob 的信息执行来说太昂贵了。

6、从长远来看，KZG 可能需要更换成抗量子的多项式承诺方案。 Proto-Danksharding 的实施方式‌使得承诺方案可以在未来被替换掉。

7、这再次源自 Schwartz Zippel 引理。请注意，在提交数据之前，证明者必须不能知道评估点 z 的值，这一点很重要- 这将使证明者能够轻松构建一个伪多项式，该多项式满足 z 处的等式检查。通过将 z 设置为两个承诺的哈希值，证明者在两个多项式提交之前无法知道 z。

8、然而，当两个多项式承诺方案在不同的组上运行时，就会出现一个复杂的问题。例如，Scroll 目前使用的是 BN254 曲线‌，而以太坊计划将 BLS12-381 曲线‌用于 Proto Danksharding。在这种情况下，我们无法直接比较组元素，就像上面概述的等价证明一样。但我们也有一种解决方法，你可以在 Dankrad Feist 的笔记中阅读到。

如何在证明中使用 KZG 承诺 · Ethereum Community Network

明中使用 KZG 承诺 · Ethereum Community Network新闻资讯零时学院开发者门户生态漫游ΞSearch by 如何在证明中使用 KZG 承诺本文介绍了如何在 zk 证明中有效地使用 KZG 承诺，提高证明验证的效率。DFDankrad Feist 2023-02-10来源 | notes.ethereum.org/@dankrad

作者 | Dankrad Feist

翻译 | Renaissance

校对 | doublespending，Franci

感谢 ECN 翻译志愿者 Renaissance 和 doublespending 对本文的贡献！

在 Discord 私信 ECN “EthereumCN#9778”，加入 ECN 内容生成者联盟！

EIP-4844 将一个新的对象引入到以太坊：使用 KZG 承诺对额外的 calldata 进行承诺

C=[f(s)]1C = [f(s)]_1C=[f(s)]1

其中，fff 是一个函数，用来评估在一些固定点 (4096 阶单位根) 上插值数据，sss 是 KZG 受信任初始化秘密，[x]1=xg1[x]_1=xg_1[x]1=xg1 是 G1G_1G1 元素的简写。

函数 fff 被定义为插值多项式

f(wi)=dif(w^i)=d_if(wi)=di

ω4096=1ω^{4096} = 1ω4096=1，w 是 4096 阶单位根，did_idi定义数据点。（或者，应用可以忘记did_idi，简单地将多项式本身视为输入）。

以太坊数据交易仅能获取 KZG 承诺 C 用作输入，且无法直接访问数据。提供的唯一访问方式是验证评估的预编译函数，例如给定 CCC， xxx 和 yyy, 验证 f(x)=yf(x)=yf(x)=y。

当前，Optimistic rollup倾向于使用多轮挑战，因此任何欺诈声明最终总能通过归纳到 f(x) 上的一个点上的分歧来解决。然而，ZKRollups 如何做到同样的事情呢？

对本来就基于 KZG 承诺证明的方案很容易，例如使用 BLS12_381 的 PLONK。然而，许多应用会选择不同的证明方案，更重要的是，会选择其他具有不同群阶的椭圆曲线，并因而产生其他域。。这在证明中计算 KZG 承诺将非常昂贵（4096 BLS12_381 操作）。我们怎样才能降低这个成本？

取巧方案

最初的取巧方案是众所周知的；在同样的域上，给定两个多项式承诺C1C1C1 and C2C2C2 （但不是同一个方案，例如它们可以是 KZG 和 FRI，或者都是 KZG，但具有不同的受信任初始化方案），存在有效的方式可以证明2个多项式等价，例如对相同的f(x)f(x)f(x)进行承诺:

设 x=hash(C1,C2)x=hash(C_1,C_2)x=hash(C1,C2)

计算 y=f(x)y=f(x)y=f(x)

产生证明 π1π_1π1, 可以证明与多项式C1C_1C1对应的 y=f(x)y=f(x)y=f(x)

产生证明π2π_2π2, 可以证明与多项式C2C_2C2对应的 y=f(x)y=f(x)y=f(x)

证明者发送 C1C_1C1，C2C_2C2，yyy，π1π_1π1，π2π_2π2，如果 y=f(hash(C1,C2))y=f(hash(C_1,C_2))y=f(hash(C1,C2)) 并且证明π1π_1π1 和 π2π_2π2 被验证通过，验证者则接受。

如果域足够大（256 位的域可以得到 128 位级别的安全型），则该方案的正确性来自 Schwarz-Zippel 理论。

（此技术由 Vitalik 在这里总结：https://ethresear.ch/t/easy-proof-of-equivalence-between-multiple-polynomial-commitment-schemes-to-the-same-data/8188）

非对齐域上的 ZKP

前面看到的取巧方案，只有C1C_1C1 和 C2C_2C2多项式在同样的域上才能有效工作。但是大多数证明系统在不同域上工作。所以在这种形式下它没有那么有用。

然而，也并非全然没用。有两种方法可以通过将 kzg 承诺数据引入到一个证明之中来设计出高效可行的机制。

方法一：使用默克尔树

一颗叶子为 d0d0d0,…,d4095d_{4095}d4095 的 Merkle 树实际上就是一个多项式承诺。为了评估一个点，证明者简单把点d0d0d0,…,d4095d_{4095}d4095 给到验证者。验证者可以基于这些点重构f(x)f(x)f(x) 并检查是否f(x)=yf(x)=yf(x)=y。

这样做的缺点是产生的证明庞大，但在我们的场景中还好：这个证明只是证明的见证，我们希望电路能够访问数据 d0d_0d0,…,d4095d_{4095}d4095 。剩下的就是评估这些点的成本。使用barycentric formula，可以使用 4096 次乘法和 4096 次除法来完成。

总成本将数据引入电路的全部成本包括 (1) Merkle 树计算，需要 4095 次哈希和 (2) 8192 个非对齐域操作（乘法和除法）。

自从引入像 Plookup 这样的方案以来，非对齐的域操作成本已经下降了很多。

方法二：使用“Fiat 输入”

“fiat 输入”是为了如下构造尝试提出的名字，：让 e0,…,e_{k-1} 是域元素，通过一种 “合适的” 承诺方案对这些元素进行承诺。“合适的”意味着它在某种形式上与证明方案兼容。给定承诺设为 EEE。

之所以对电路来说 e0e_0e0,…,ek−1e_{k−1}ek−1 是“fiat输入”，意思是域元素 e0e_0e0,…,ek−1e_{k−1}ek−1 具有和输入线一样的可用性，以及其对应的一条包含 E 的线（也可能是为了用一个域元素表示而被截断的承诺）。

下面我将证明使用 KZG 承诺向 PLONK 添加 “Fiat输入” 很容易，只需让验证者增加少量工作即可。特别是，需要的工作量是恒定的，并不与kkk成比例关系。相信这种构造可以推广到几乎任何证明者方案，但也确实需要对方案进行一些修改。

首先看下如果我们有“Fiat input”能做什么：让我们添加数据did_idi作为 fiat 输入。如果证明域比BLS（Barreto Lynn Scott）域更大，可以设定ei=die_i=d_iei=di并留下一些前导零。如果是更小，就需要用几个eee域元素来编码一个ddd BLS 元素。

现在就可以在C1C_1C1 和 C2C_2C2上，设定C2=EC_2=EC2=E 并执行多项式承诺等效性证明了。

总成本在电路内部，我们现在只需评估多项式，即 8192 个非对齐域操作。不需要哈希（除了单独一个用于计算随机的点xxx需要外）。

如果电路中的执行哈希很昂贵，则此方法有很大的优势。如果出于安全原因不应使用算术哈希函数，则大多数情况下会出现这种情况；如果可以使用算术哈希函数，则哈希成本可能与评估成本相似，并且这种技术的优点不值得把方案复杂化。

在 PLONK 中构建 Fiat 输入

为了展示可以构造具有上述属性的Fiat输入，我接下来将分析如何修改 PLONK 协议以添加Fiat输入。这最好被描述为对 PLONK 协议（特别是基于 KZG 的 PLONK 协议）的一个小修改，因此请对着 PLONK 的论文阅读本节。

我们想要添加 Fiat 输入 e=e0e=e_0e=e0,…,ek−1e_{k−1}ek−1 到电路。意味着我们想把输入 e=e0e=e_0e=e0,…,ek−1e_{k−1}ek−1 以及我们将对 E 应用 map_to_field(E)。

请注意，PLONK 保留了电路中的 ℓ 公共输入。我们将占用 (abuse) 前 k+1 公共输入用作 fiat 输入。其工作流程如下：

对于证明者，我们添加以下步骤：

通过对函数FI(X)=∑i=0k−1eiLi(X)FI(X)=∑^{k−1}_{i=0}e_iL_i(X)FI(X)=∑i=0k−1eiLi(X)，E=[FI(s)]1E=[FI(s)]_1E=[FI(s)]1应用KZG 承诺，证明者对 fiat 输入进行承诺。

作为证明的一部分，证明者添加EEE以及一个KZG证明πππ，表明域上除了i=0,…,k−1i=0,…,k−1i=0,…,k−1之外满足FI(X)FI(X)FI(X)为0。

对于验证者，我们添加以下步骤：

验证证明 πππ，即在域中除i=0,…,−1i=0,…,−1i=0,…,−1满足FI(X)FI(X)FI(X) 为0。

当计算公共输入时，需要添加已经“被占用”的Fiat 输入。出于这个目的，公共输入多项式就变成了 PI(X)=−FI(X)−map_to_field(E)Lk(X)−∑i=k+1ℓ−1xiLi(X)PI(X)=−FI(X)−map\_to\_field(E)L_k(X)−∑^{ℓ−1}_{i=k+1}x_iL_i(X)PI(X)=−FI(X)−map_to_field(E)Lk(X)−∑i=k+1ℓ−1xiLi(X). 实际上，验证者并不知道多项式，但是可以计算承诺 [FI(s)]1=−E−[−map_to_field(E)Lk(S)−∑i=k+1ℓ−1xiLi(s)]1[FI(s)]_1=−E−[−map\_to\_field(E)L_k(S)−∑^{ℓ−1}_{i=k+1}x_iL_i(s)]_1[FI(s)]1=−E−[−map_to_field(E)Lk(S)−∑i=k+1ℓ−1xiLi(s)]1 ，这已经足够完成对证明的验证。

这足以将Fiat输入添加到 PLONK；事实上，与这个想法相似的，任何使用加法同态承诺的方案都应该是有效的。如果没有加法同态承诺，事情会变得有点困难，但至少只要承诺是有效的，仍然有办法获得Fiat输入。

ECN 的翻译工作旨在为以太坊中文社区传递优质资讯和学习资源，文章版权归原作者所有，转载须注明原文出处以及ethereum.cn，若需长期转载，请联系eth@ecn.co 进行授权。Ethereum Community Network以太坊社区网络订阅 Ethereum Community Network以太坊社区网络订阅

kzg是什么意思？在密码学领域kzg表示什么？-第三财经网

首页

区块链

虚拟货币

元宇宙

链游

币种数据

比特币

USDT

以太坊

币圈资讯

交易所

钱包

币圈问答

币圈快讯

首页 > 区块链 > 文章正文

kzg是什么意思？在密码学领域kzg表示什么？

第三财经网

2023-06-03 13:44

405

现在的数字世界中，我们经常会听到一些密码学的专业术语，包括kzg。那么，kzg是什么意思？在密码学领域kzg表示什么？

什么是kzg？

在密码学中，kzg是指“Karatsuba-Ofman commitment with Zero GCD”，即具有零最大公约数的Karatsuba-Ofman承诺。在解释这个术语之前，我们需要先了解一下什么是承诺机制。

承诺机制是一种通过对信息进行隐藏和绑定，确保参与者不以任何方式更改消息的机制。用更简单的话说，承诺是一种保密的方式，它允许你发送消息并维护你在稍后公布它的权利。这就像你把一封信放进一个邮筒里，信封关闭并封装，没有人可以知道信封里面的内容，除非你公开发送这个信封。

承诺机制在密码学中具有广泛的应用。比如，在电子竞技游戏中，承诺机制被用来保护参与者的游戏态度，并避免作弊行为。在电子投票中，承诺机制被用来确保数据的安全性和不可更改性。

回到kzg承诺，它是一种基于多项式的承诺机制。其中，Karatsuba-Ofman是一种加速多项式乘法的算法，也是实现完整的kzg承诺的算法之一。具有零最大公约数是指随机的多项式定义域中，生成的两个多项式的GCD为0。

kzg在密码学中的应用

在密码学中，kzg有多种应用。一种主要的应用是在零知识证明中。零知识证明是一种交互式证明，允许一个人证明他拥有某些信息，而不需要透露这些信息的详细内容。其中，kzg承诺机制能够对证明者提供保密性和不可更改性，从而让证明者能够自信地将证据公开，并且不用担心别人会篡改数据。

同时，在数据隐私领域，kzg承诺也有应用。在数据协作中，有时候需要将数据放到公共的存储区域中，这些数据可能是敏感的或私人的。如果能够使用kzg承诺机制，可以保证数据的安全性和不可更改性，从而让数据拥有者能够更加放心地将数据放到公共存储区域中。

结论

在密码学领域中，kzg承诺机制是一种非常有用的工具，可以保证数据的安全性和不可更改性。它现在已被广泛应用于多种场合，从零知识证明到数据隐私领域。随着技术的进一步发展，kzg承诺机制未来将会有更多的应用。

去中心化数据与人工智能协同作用下透明高效的中小企业贸易融资

Web3.0世界的余额宝波场TRON首个RWA产品stUSDT正式上线

| 基于狗狗币支持者特斯拉首席执行官Elon Musk的AI技术代币X.DOGE空投

盘点即将IDO的3个项目：TgPet、Sociapol及SatoshiVM

加密叙事与产品构建孰轻孰重？

坎昆升级将至，盘点利好的赛道及20个代表项目

什么是股市？ - 知乎

什么是股市？ - 知乎首页知乎知学堂发现等你来答切换模式登录/注册股票市场什么是股市？我翻阅了知乎网上大多数关于股市的初级问答，但是好像没有一个详细的介绍。所以我就想问问关于我对股市的理解是否正确？ 1.股市是否是上市公司以虚拟的形式…显示全部关注者2,016被浏览1,416,367关注问题写回答邀请回答好问题 1272 条评论分享482 个回答默认排序猫七测评关注某公司没钱用了,他就随便找来一张纸,写上100万,然后卖给你(免不了要吹一通说这纸怎么怎么值钱,要不然你也不会去买),这张纸就是股票如果他赚了钱,你要凭这张纸来领钱,这叫派息如果他亏损了,不要紧,他说明年我们会赚的,这叫预期收益当然,每年都要告诉赚没赚,出个文件,这叫年报表怕你老担心,年中出一次,这叫半年报还不行?一个季度汇报一次,叫季报你还是拿不准,要求退钱,那不行,但你可以把这纸买给别人,这叫股票交易他又没有钱用了,再找张纸写上100万,这叫增发新股终于赚到钱了,讨论每个人分多少,有这种纸的都可以来,这叫股东大会大家投票决定每具有10股的人得钱1元,出个通知告诉没来的人,叫公告你觉得少了?我公司总共有200万股?你都买去,就由你说了算,这叫收购你觉得这纸还是不错的,好吧,我们按每具有10股的人再得一股,这叫送股你高兴了,现在市场上这种纸走俏,10元一股,得一股就像得10元,比派息好结果第二天市场上该股只卖9元,这叫除权你一想11股*9元=99元,和原来10股*10元=100元,还差1元,这叫贴权你正想不通,每二天涨到10元了,真赚了(11股*100元)-100元=10元,这叫填权涨了你也不卖,好,你被称为投资者有利你就卖,OK,你被称为投机者你买得多,多到能够影响股价,你被称为庄家你买得少,随时准备跑,你被称为散户你买得不多不少,介于之间,你被称为大户你代表你们单位,用单位的钱买,你就是机构你认为要涨,你被称为多头你认为要跌,你被称为空头你把全部的钱都买了股票,你就满仓了;只用了一半:半仓;完全没买:空仓要是今天买了就能卖,或者卖了后可以立即买,那叫T+0今天买了只能明天卖,叫T+1;后天才能卖:T+2;后后天才能卖:T+3.....专门买卖纸的地方叫交易所现在科技发达了,连纸都不用了,只用符号了,记录这些符号的掌柜叫证券结算公司,决定哪张纸可以拿出来卖的叫证监会拿到了钱想溜之大吉,即”闪人”的叫退市,拿到了钱花完了,再也没人信了,然后换个马甲再卖纸的叫重组,男女订婚预约某日结婚的叫可转换债券到时懒婚的可得到一点点青春损失费叫可转债利息股票交易就是一张纸（符号）转来又转去,转到你的手上后没人再要了叫套牢,套得实在太深了叫死猪不怕开水烫套得太可怕了,自己都不敢算了叫手中有股,心中无股,跳水：股价如郭晶晶的优美入水动作,绝的是竟然还没水花溢出,阴跌：股价如凌迟一般,一小块一小块的割掉你的肉,大家都买这张纸,涨了,高兴,舍不得卖,再买一张,这叫追涨,这张低赔了,你感觉这张纸还能涨回了,你以半价的价格又买了一张,叫补仓,这张纸赔了,只剩半张纸的价了,你想想,算了吧卖了,这叫割肉,卖完后悔了,原来二张加一起也不值半张钱了,卖了吧,叫斩仓,这张纸只剩六分之一价格了,大家都说已经是最低价了,这叫谷底,结果只涨了一点点,这叫触底反弹,没想到这张纸又涨回来了,价格还高了不少,卖了吧,高兴啊,数着手里的钱,总在想什么时候再买一张,在挣这么多啊,这叫股民的心理,这张纸赔了,卖了,想着在添点钱,把赔的钱在挣回来,这叫赌徒的心理,大家都说这张纸不值钱了,可我非得买,结果挣了,这叫疯子的心理,大家都说这张纸能挣钱,我买了,结果赔了庄家跑了,只剩我这样的人了,这叫散户抬轿当这张纸涨多的时候,利润叫泡沫,政府要来分你的利润,那就加税,就是称挤泡沫,当这张纸跌多的时候,政府告诉你要坚定信心,长期持有,获得财产性收入,证明你爱国,可有一点,就是你的钱永远也拿不回来啦,留给儿孙,只要这家公司不退市的话.**今天，像黄世仁大摇大摆走进去；明天，如杨白老哭哭啼啼爬出来...先到这，我歇会儿~~觅食去！没人竖大拇指的话，我就安分点画上句号发布于 2015-08-25 15:41赞同 5 万477 条评论分享收藏喜欢收起财商大叔只有掌握财富规律，才能驾驭财富关注举个简单的例子假设一个市场，有两个人在卖烧饼，有且只有两个人，姑且称他们为烧饼甲、烧饼乙。　　假设他们的烧饼价格没有物价局监管。　　假设他们每个烧饼卖一元钱就可以保本（包括他们的劳动力价值）　　假设他们的烧饼数量一样多。　　经济模型都这样，假设需要很多。　　再假设他们生意很不好，一个买烧饼的人都没有。这样他们很无聊地站了半天。　　甲说好无聊。　　乙说好无聊。　　看故事的你们说：好无聊。　　这个时候的市场叫做很不活跃！　　为了让大家不无聊，甲对乙说：要不我们玩个游戏？乙赞成。　　于是，故事开始了……　　甲花一元钱买乙一个烧饼，乙也花一元钱买甲一个烧饼，现金交付。　　甲再花两元钱买乙一个烧饼，乙也花两元钱买甲一个烧饼，现金交付。　　甲再花三元钱买乙一个烧饼，乙也花三元钱买甲一个烧饼，现金交付。　　……　　于是在整个市场的人看来（包括看故事的你）烧饼的价格飞涨，不一会儿就涨到了每个烧饼60元。但只要甲和乙手上的烧饼数一样，那么谁都没有赚钱，谁也没有亏钱，但是他们重估以后的资产“增值”了！甲乙拥有高出过去很多倍的“财富”，他们身价提高了很多，“市值”增加了很多。　　这个时候有路人丙，一个小时前路过的时候知道烧饼是一元一个，现在发现是60元一个，他很惊讶。　　一个小时以后，路人丙发现烧饼已经是100元一个，他更惊讶了。　　又一个小时以后，路人丙发现烧饼已经是120元一个了，他毫不犹豫地买了一个，因为他是个投资兼投机家，他确信烧饼价格还会涨，价格上还有上升空间，并且有人给出了超过200元的“目标价”（在股票市场，他叫股民，给出目标价的人叫研究员）。　　在烧饼甲、烧饼乙“赚钱”的示范效应下，甚至路人丙赚钱的示范效应下，接下来的买烧饼的路人越来越多，参与买卖的人也越来越多，烧饼价格节节攀升，所有的人都非常高兴，因为很奇怪：所有人都没有亏钱……　　这个时候，你可以想见，甲和乙谁手上的烧饼少，即谁的资产少，谁就真正的赚钱了。参与购买的人，谁手上没烧饼了，谁就真正赚钱了！而且卖了的人都很后悔--因为烧饼价格还在飞快地涨……　　那谁亏了钱呢？　　答案是：谁也没有亏钱，因为很多出高价购买烧饼的人手上持有大家公认的优质等值资产--烧饼！而烧饼显然比现金好！现金存银行能有多少一点利息啊？哪比得上价格飞涨的烧饼啊？甚至大家一致认为市场烧饼供不应求，可不可以买烧饼期货啊？于是出现了认购权证……　　有人问了：买烧饼永远不会亏钱吗？看样子是的。但这个世界就那么奇怪，突然市场上来了一个叫李子的，李子曰：有亏钱的时候！那哪一天大家会亏钱呢？　　假设一：市场上来了个物价部门，他认为烧饼的定价应该是每个一元。（监管）　　假设二：市场出现了很多做烧饼的，而且价格就是每个一元。（同样题材）　　假设三：市场出现了很多可供玩这种游戏的商品。（发行）　　假设四：大家突然发现这不过是个烧饼！（价值发现）　　假设五：没有人再愿意玩互相买卖的游戏了！（真相大白）　　如果有一天，任何一个假设出现了，那么这一天，有烧饼的人就亏钱了！那谁赚了钱？就是最少占有资产--烧饼的人！　　这个卖烧饼的故事非常简单，人人都觉得高价买烧饼的人是傻瓜，但我们再回首看看我们所在的证券市场的人们吧。这个市场的有些所谓的资产重估、资产注入何尝不是这样？在ROE高企，资产有高溢价下的资产注入，和卖烧饼的原理其实一样，谁最少地占有资产，谁就是赚钱的人，谁就是获得高收益的人！　　所以作为一个投资人，要理性地看待资产重估和资产注入，忽悠别人不要忽悠自己，尤其不要忽悠自己的钱！　　在高ROE下的资产注入，尤其是券商借壳上市、增发购买大股东的资产、增发类的房地产等等资产注入，一定要把眼睛擦亮再擦亮，慎重再慎重！　　因为，你很可能成为一个持有高价烧饼的路人。股票的起源和发展视频推荐，建议先收藏并在WIFI下观看大市·中国第1集从头开始大市·中国第2集大门开启大市·中国第3集不一样的路大市·中国第4集规矩方圆大市·中国第5集锻造蓝筹大市·中国第6集走出家门大市·中国第7集引领创新大市·中国第8集股市人生记得关注我的公众号“财商大叔”微信号fquncle1 每日精选投资和理财类文章，助您实现财务自由编辑于 2016-01-16 11:58赞同 53136 条评论分享收藏喜欢

零知识证明 - KZG多项式承诺 - 知乎

零知识证明 - KZG多项式承诺 - 知乎切换模式写文章登录/注册零知识证明 - KZG多项式承诺Star.Li在网络上看到一篇非常棒的介绍KZG多项式承诺的文章：https://dankradfeist.de/ethereum/cryptography/2020/06/16/kate-polynomial-commitments.html翻译了一下，方便感兴趣的小伙伴查看。Dankrad多次帮忙校对翻译内容，甚至在他的blog创建了中文翻译链接。感谢Dankrad :)https://dankradfeist.de/ethereum/2021/10/13/kate-polynomial-commitments-mandarin.html欢迎关注 “星想法”，交流零知识证明技术。编辑于 2021-10-15 23:26零知识证明赞同 14添加评论分享喜欢收藏申请

国内外电解电容品牌汇总(图片介绍) - 豆丁网

拖拽LOGO到书签栏收藏网站（轻点去首页）

频道

全国院校考研资料库

小学数学知识点精讲

升级大会员文档免费下

上传

书房

创业

案例

会议

企业工具

专题

社区

APP

文档分类

建筑

资讯

资料

视频课堂

施组

方案

图纸

施工交底

考研

合同

报告

薪酬

在家学习

VIP会员

漫画

作文

总结

医疗

文档合伙人

扫一扫安装书房APP

扫一扫关注微信号

环保

基础教育

论文

中学教育

高等教育

外语学习

IT计算机

研究报告

办公文档

行业资料

生活休闲

幼儿/小学教育

研究生考试

建筑/环境

法律/法学

通信/电子

管理/人力资源

经济/贸易/财会

汽车/机械/制造

医学/心理学

资格/认证考试

金融/证券

文学/艺术/军事/历史

图书

杂志

会议

医疗

漫画

通信/电子 >

运营商及厂商资料 >

国内外电解电容品牌汇总(图片介绍)

4,775阅读

3顶

11人收藏

23页hancejohn上传

举报/认领

图片版展开

本文档由 hancejohn 分享于2012-02-15 10:02

含品牌介绍、实物图片，相当详细。

文档格式：

.doc

文档大小：

3.32M

文档页数：

23页

顶 /踩数：

收藏人数：

评论次数：

文档热度：

文档分类：

通信/电子

—

电子电气自动化

添加到豆单

文档标签：

电解电容

系统标签：

电解电容

电容

品牌

rubycon

oscon

kzg

下载文档

打印

转格式

转本文档

转其他文档

分享赚钱赏

君，已阅读到文档的结尾了呢~~

立即下载

加入会员，超低价下载

分享赚钱赏

下载文档

加入会员

超低价下载

菜单

列表阅读

幻灯片阅读

书签

放大

缩小

上传文档

文档信息

关于豆丁

全屏

扫扫二维码，随身浏览文档

手机或平板扫扫即可继续访问

推荐豆丁书房APP 扫扫更高清

分享文档

将文档分享至：

分享完整地址

文档地址：

复制

粘贴到BBS或博客

flash地址：

复制

支持嵌入FLASH地址的网站使用

html代码：

复制

默认尺寸450px*300px480px*400px650px*490px

支持嵌入HTML代码的网站使用

分享到

QQ空间

新浪微博

微信

QQ好友

更多...

豆丁提示

您的内容已经提交成功

您所提交的内容需要审核后才能发布，请您等待！

3秒自动关闭窗口

确定

im钱包官网下载 数字资产服务平台

tokenpockettokenpocket安卓版免费下载|kzg代表什么

Danksharding | ethereum.org

一文详解以太坊 KZG 仪式以及它的重大意义 - 知乎

宣布启动 KZG 仪式 | 以太坊基金会博客

Danksharding | ethereum.org

百度知道 - 信息提示

详解 KZG 如何应用于 zk-rollup 以及以太坊 DA 方案_腾讯新闻

如何在证明中使用 KZG 承诺 · Ethereum Community Network

kzg是什么意思？在密码学领域kzg表示什么？-第三财经网

什么是股市？ - 知乎

零知识证明 - KZG多项式承诺 - 知乎

国内外电解电容品牌汇总(图片 介绍) - 豆丁网

im钱包官网下载
数字资产服务平台

国内外电解电容品牌汇总(图片介绍) - 豆丁网