विश्वसनीय सेटअप

Last updated on Oct 10, 2024

Trusted Setup एक ऐसा तंत्र (mechanism) है जिसका उपयोग ZK-SNARKs किसी गुप्त मान (secret value) पर एक बहुपद (polynomial) का मूल्यांकन (evaluate) करने के लिए करते हैं।

ध्यान दें कि किसी बहुपद $f(x)$ का मूल्यांकन, गुणांकों (coefficients) और $x$ की क्रमिक घातों (successive powers) के आंतरिक गुणनफल (inner product) की गणना करके किया जा सकता है:

उदाहरण के लिए, यदि $f(x)=3x^3+2x^2+5x+10$ है, तो इसके गुणांक $[3,2,5,10]$ हैं और हम इस बहुपद की गणना इस प्रकार कर सकते हैं:

f(x)=\langle[3,2,5,10],[x^3,x^2,x, 1]\rangle

दूसरे शब्दों में, हम आमतौर पर उपरोक्त बहुपद के लिए $f(2)$ का मूल्यांकन करने के बारे में इस प्रकार सोचते हैं:

f(2)=3(2)^3+2(2)^2+5(2)+10

लेकिन हम इसका मूल्यांकन इस प्रकार भी कर सकते हैं:

f(2)=\langle[3,2,5,10],[8,4,2,1]\rangle = 3\cdot8+2\cdot4+5 \cdot2+10\cdot1

अब मान लीजिए कि कोई व्यक्ति एक गुप्त स्केलर (secret scalar) $\tau$ चुनता है और गणना करता है:

[\tau^3,\tau^2,\tau,1]

फिर इनमें से प्रत्येक बिंदु को एक क्रिप्टोग्राफ़िक एलिप्टिक कर्व ग्रुप (cryptographic elliptic curve group) के जनरेटर बिंदु (generator point) से गुणा करता है। इसका परिणाम इस प्रकार होगा:

[\Omega_3, \Omega_2, \Omega_1, G_1]=[\tau^3G_1,\tau^2G_1,\tau G_1,G_1]

अब कोई भी structure reference string (SRS) $[\Omega_3, \Omega_2, \Omega_1, G_1]$ ले सकता है और $\tau$ पर 3 डिग्री (या उससे कम) के बहुपद का मूल्यांकन कर सकता है।

उदाहरण के लिए, यदि हमारे पास 2 डिग्री का बहुपद $g(x)=4x^2+7x+8$ है, तो हम इस बहुपद के साथ structured reference string का आंतरिक गुणनफल (inner product) लेकर $g(\tau)$ का मूल्यांकन कर सकते हैं:

\langle[0,4,7,8],[\Omega_3, \Omega_2, \Omega_1, G_1]\rangle=4\Omega_2+7\Omega_1+8G_1

अब हमने $\tau$ क्या है, यह जाने बिना ही $g(\tau)$ की गणना कर ली है!

इसे trusted setup भी कहा जाता है क्योंकि हालाँकि हम नहीं जानते कि $g(\tau)$ का डिस्क्रीट लॉग (discrete log) क्या है, लेकिन जिस व्यक्ति ने structured reference string बनाई है वह जानता है। इससे आगे चलकर जानकारी लीक हो सकती है, इसलिए हम यह भरोसा (trust) करते हैं कि जो संस्था trusted setup बना रही है, वह $\tau$ को डिलीट कर दे और उसे किसी भी तरह से याद न रखे।

Python में उदाहरण

from py_ecc.bn128 import G1, multiply, add
from functools import reduce

def inner_product(points, coeffs):
    return reduce(add, map(multiply, points, coeffs))

## Trusted Setup
tau = 88
degree = 3

# tau^3, tau^2, tau, 1
srs = [multiply(G1, tau**i) for i in range(degree,-1,-1)]

## Evaluate
# p(x) = 4x^2 + 7x + 8
coeffs = [0, 4, 7, 8]

poly_at_tau = inner_product(srs, coeffs)

यह जाँचना कि Trusted Setup सही ढंग से जनरेट किया गया था

एक structured reference string दिए जाने पर, हमें यह कैसे पता चलेगा कि वे वास्तव में $[x^d, x^{d-1},\dots,x,1]$ संरचना का पालन करते हैं और उन्हें बस किसी पासे (dice) के फेंकने की तरह यादृच्छिक रूप से नहीं चुना गया था?

यदि trusted setup करने वाला व्यक्ति $\Theta=\tau G_2$ भी प्रदान करता है, तो हम यह मान्य (validate) कर सकते हैं कि structured reference string वास्तव में $\tau$ की क्रमिक घातें (successive powers) हैं।

e(\Theta, \Omega_i)\stackrel{?}=e(G_2,\Omega_{i+1})

जहाँ $e$ एक bilinear pairing है। सहज रूप से (intuitively), हम बाईं ओर $\tau\cdot\tau^i$ और दाईं ओर $1\cdot\tau^{i+1}$ की गणना कर रहे हैं।

यह मान्य करने के लिए कि $\Theta$ और $\Omega_1$ में समान डिस्क्रीट लॉगरिदम (discrete logarithms) हैं (यह माना जाता है कि $\Omega_1$ , $\tau G_1$ है), हम जाँच कर सकते हैं कि:

e(\Theta,G_1)\stackrel{?}=e(G_2,\Omega_1)

एक मल्टीपार्टी कंप्यूटेशन (multiparty computation) के हिस्से के रूप में एक structured reference string जनरेट करना

यह एक अच्छी ट्रस्ट धारणा (trust assumption) नहीं है कि structured reference string जनरेट करने वाले व्यक्ति ने वास्तव में $\tau$ को डिलीट कर दिया है।

अब हम कई पक्षों (multiple parties) के लिए मिलकर structured reference string बनाने के एल्गोरिथम का वर्णन करते हैं, और जब तक उनमें से कोई एक भी ईमानदार (honest) है (यानी $\tau$ को डिलीट कर देता है), तब तक structured reference string के डिस्क्रीट लॉग्स (discrete logs) अज्ञात रहेंगे।

Alice structured reference string $([\Omega_n,...,\Omega_2,\Omega_1, G_1],\Theta)$ जनरेट करती है और इसे Bob को पास कर देती है।

Bob पिछले अनुभाग की जाँचों (checks) का उपयोग करके यह सत्यापित करता है कि SRS “सही” है। फिर Bob अपना स्वयं का गुप्त पैरामीटर $\gamma$ चुनता है और गणना करता है:

([\gamma^n\Omega_n,...,\gamma^2\Omega_2,\gamma\Omega_1,G_1],\gamma\Theta)

ध्यान दें कि srs के डिस्क्रीट लॉग्स अब यह हैं:

([(\tau\gamma)^n,...,(\tau\gamma)^2,(\tau\gamma),1],\tau\gamma)

यदि Alice या Bob दोनों में से कोई भी अपना $\tau$ या $\gamma$ डिलीट कर देता है, तो अंतिम srs के डिस्क्रीट लॉग्स पुनर्प्राप्त (recover) नहीं किए जा सकते।

बेशक, हमें प्रतिभागियों की संख्या दो तक सीमित करने की आवश्यकता नहीं है, हम जितने चाहें उतने प्रतिभागी रख सकते हैं।

इस मल्टीपार्टी कंप्यूटेशन को अक्सर अनौपचारिक रूप से powers of tau ceremony कहा जाता है।

ZK-SNARKs में trusted setup का उपयोग

एक structured reference string पर किसी बहुपद का मूल्यांकन करने से सत्यापनकर्ता (verifier) को बहुपद के बारे में जानकारी का पता नहीं चलता है, और प्रमाणकर्ता (prover) को यह नहीं पता होता है कि वे किस बिंदु पर मूल्यांकन कर रहे हैं। हम बाद में देखेंगे कि यह योजना (scheme) प्रमाणकर्ता को धोखा देने से रोकने में मदद करती है और उनके विटनेस (witness) को जीरो नॉलेज (zero knowledge) रखने में मदद करती है।