我正在尝试看看我是否可以在用户可以向验证者证明年龄超过 21 岁而不透露出生日期的情况下使用 ZoKrates。我认为这是零知识证明的一个很好的用例,但喜欢了解实现它的最佳方法。
电路代码(样本)将用户的名称作为公共输入(名称证明由DMV等受信任的权威机构完成,并且最有可能是离线/在线机制的组合),然后是出生日期,这是私人输入。
//8297122105 = "Razi" is decimal.
def main(pubName,private yearOfBirth, private centuryOfBirth):
x = 0
y = 0
z = 0
x = if centuryOfBirth == 19 then 1 else 0 fi
y = if yearOfBirth < 98 then 1 else 0 fi
z = if pubName == 8297122105 then 1 else 0 fi
total = x + y + z
result = if total == 3 then 1 else 0 fi
return result
现在,使用./target/release/zokrates generate-proof命令获取可用作输入的输出verifier.sol.
A = Pairing.G1Point(0x24cdd31f8e07e854e859aa92c6e7f761bab31b4a871054a82dc01c143bc424d, 0x1eaed5314007d283486826e9e6b369b0f1218d7930cced0dd0e735d3702877ac);
A_p = Pairing.G1Point(0x1d5c046b83c204766f7d7343c76aa882309e6663b0563e43b622d0509ac8e96e, 0x180834d1ec2cd88613384076e953cfd88448920eb9a965ba9ca2a5ec90713dbc);
B = Pairing.G2Point([0x1b51d6b5c411ec0306580277720a9c02aafc9197edbceea5de1079283f6b09dc, 0x294757db1d0614aae0e857df2af60a252aa7b2c6f50b1d0a651c28c4da4a618e], [0x218241f97a8ff1f6f90698ad0a4d11d68956a19410e7d64d4ff8362aa6506bd4, 0x2ddd84d44c16d893800ab5cc05a8d636b84cf9d59499023c6002316851ea5bae]);
B_p = Pairing.G1Point(0x7647a9bf2b6b2fe40f6f0c0670cdb82dc0f42ab6b94fd8a89cf71f6220ce34a, 0x15c5e69bafe69b4a4b50be9adb2d72d23d1aa747d81f4f7835479f79e25dc31c);
C = Pairing.G1Point(0x2dc212a0e81658a83137a1c73ac56d94cb003d05fd63ae8fc4c63c4a369f411c, 0x26dca803604ccc9e24a1af3f9525575e4cc7fbbc3af1697acfc82b534f695a58);
C_p = Pairing.G1Point(0x7eb9c5a93b528559c9b98b1a91724462d07ca5fadbef4a48a36b56affa6489e, 0x1c4e24d15c3e2152284a2042e06cbbff91d3abc71ad82a38b8f3324e7e31f00);
H = Pairing.G1Point(0x1dbeb10800f01c2ad849b3eeb4ee3a69113bc8988130827f1f5c7cf5316960c5, 0xc935d173d13a253478b0a5d7b5e232abc787a4a66a72439cd80c2041c7d18e8);
K = Pairing.G1Point(0x28a0c6fff79ce221fccd5b9a5be9af7d82398efa779692297de974513d2b6ed1, 0x15b807eedf551b366a5a63aad5ab6f2ec47b2e26c4210fe67687f26dbcc7434d);
问题
考虑这样一种情况:用户(比如 Razi)可以获取上述证明(可能以二维码的形式)并在机器上扫描它(确认年龄超过 21 岁),该机器将在合约上运行 verifierTx 方法。由于证明中明确包含"Razi",因此合同可以在不知道实际出生日期的情况下验证年龄,因此我们获得了更好的隐私。但是,现在的挑战是其他人都可以重用该证明,因为它已在交易中使用。缓解此问题的一种方法是确保证明在有限的时间内有效,或者(只是一次性使用可能有效)。另一种方法是确保用户身份证明("Razi"),以毫无疑问的方式(例如,通过在区块链上确认身份等)。
有没有办法确保证明可以被用户多次使用?
我希望这个问题和解释是有意义的。很高兴对此进行详细说明,所以请告诉我。
你需要的是:
- 拥有以太坊公钥/私钥的 razi
- 与 Razi 的公共以太坊地址相关联并由权威机构在链上背书的(加盐)指纹事实(例如生日作为 UNIX 时间戳)
现在你可以编写一个像这样的ZoKrates程序
def main(private field salt, private field birthdayAsUnixTs, field pubFactHashA, field pubFactHashB, field ts) -> (field)
// check that the fact is corresponding to the endorsed salted fact fingerprint onchain
h0, h1 = sha256packed(0,0,salt,birthdayAsUnixTs)
h0 == pubFactHashA
h1 == pubFactHashB
// 18 years is pseudo code only!
field ok = if birthdayAsUnixTs * 18 years <= ts then 1 else 0 fi
return ok
现在在您的合同中,您可以
- 检查 msg.sender 是否是认可事实的所有者
- 要求(TS <= 现在)
- 使用证明和公共输入调用验证器:(factHash,ts,1)
您可以通过散列证明并将该散列添加到"使用过的证明"列表中来做到这一点,这样就没有人可以再次使用它。
现在,ZoKrates在证明的生成中添加了随机性,以防止显示使用了相同的证人,因为zkproofs没有显示有关证人的任何信息。因此,如果您想防止此人多次使用他的凭据(证明他已年满 21 岁),则必须使用无效器(请参阅"如何应用 zk-SNARKs 创建屏蔽事务"部分中的 ZCash 方法)。
基本上,您将字符串与 Razinullifier_string = centuryOfBirth+yearOfBirth+pubName的数据一起使用,然后将其 Hashnullifier = H(nullifier_string)发布到揭示的无效符表中。在 ZoKrates 方案中,您必须将无效器添加为公共输入,然后验证无效器是否与提供的数据相对应。像这样:
import "utils/pack/unpack128.code" as unpack
import "hashes/sha256/256bitPadded.code" as hash
import "utils/pack/nonStrictUnpack256.code" as unpack256
def main(pubName,private yearOfBirth, private centuryOfBirth, [2]field nullifier):
field x = if centuryOfBirth == 19 then 1 else 0 fi
field y = if yearOfBirth < 98 then 1 else 0 fi
field z = if pubName == 8297122105 then 1 else 0 fi
total = x + y + z
result = if total == 3 then 1 else 0 fi
null0 = unpack(nullifier[0])
null1 = unpack(nullifier[1])
nullbits = [...null0,...null1]
nullString = centuryOfBirth+yearOfBirth+pubName
unpackNullString = unpack256(nullString)
nullbits == hash(unpackNullString)
return result
必须这样做,以防止 Razi 提供与其数据无关的随机无效器。
完成此操作后,如果提供的无效器已在显示的无效符表中注册,则可以检查该无效器是否已使用。
在您的情况下,这个问题是出生年份是一个弱数字。有人可以对无效者进行暴力攻击,并揭示拉齐的出生年份。您必须在验证中添加一个强数字(Razi秘密ID?数字签名?)以防止这种攻击。
注意1:我有一个旧版本的ZoKrates,所以请检查正确的导入路径。
注意2:检查ZoKrates哈希函数的实现,您可能在输入的填充方面遇到问题,我想unpack256函数可以防止这种情况,但您可以仔细检查以防止错误。