Zcash - 图解Transaction结构

最近又重新看了看ZCash的白皮书。话说，看ZCash的白皮书需要一点耐心，144页的白皮书形式化太多，通篇就只有一张图（地址和Key生成关系图）。本文画图总结了Sprout和Sapling的Transaction的数据结构。

经过Sprout和Sapling两次升级，目前ZCash中Transaction中集成了三种交易：1/ 透明交易 2/ JoinSplit（Sprout）3/ Spend/Output （Sapling）。

Sprout使用JoinSplit结构表示一笔交易。JoinSplit中的Vold和Vnew实现了隐私和透明交易的交易金额的平衡。rt是Note commit形成merkle树的树根。nf和cm分别是Nullifier和Note的commitment（在Sprout都是使用的sha256算法）。Note，Note Plaintext， 以及Nullifier相对直白。

1.1 JoinSplitSig

JoinSplitSig对整个Transaction数据使用私钥进行签名，保证Transaction的数据不被篡改。签名的数据要被验证，必须提供“公钥”。在ZCash的框架中，隐私考虑，转账双方的“公钥”都不能公开。为了能提供签名，就只能重新生成临时的“公钥”/“私钥”对（JoinSplitPublicKey, JoinSplitPrivateKey）。用JoinSplitPrivateKey对整个Transaction的“SIGHASH_ALL"的结果进行签名，生成JoinSplitSig。

1.2 hsig 和 h

hsig是一个比较有意思的设计。试想，如果只有JoinSplitSig机制，虽然保证了Transaction数据的完整性，但并没有保证签名本身不能变。完全可以在Transaction其他数据不变的情况下，重新生成JoinSplitPublicKey，从而生成新的JoinSplitSig。hsig就是为了解决这个问题。hsig“绑定”所有的nf的数据和当前使用的JoinSplitPublicKey。并且，使用每个nf中对应的“私钥”，对hsig进行hash计算，生成h。也就是说，每个nf对应的私钥都“授权”使用当前的JoinSplitPublicKey。这样，JoinSplitPublicKey就不能随意修改，要做改动，必须知道每个nf对应的“私钥”。

1.4 Cenc

Sprout使用的是"In-band secret distribution"。简单的说，需要传输给转账对方的信息（Note plaintext），加密后存储在链上。采用这种方式，转账对方不需要实时在线，任何时候都能同步链上数据确认交易。和JoinSplitSig一样的思想，转账对方的信息不能直接作为加密密钥。先随机生成epk/esk，再和pkenc结合，生成加密密钥。

Sapling是一个比较大的升级，零知识证明的性能提升了十几倍。Sapling不用JoinSplit结构表示交易，而是用SpendDescription和OutputDescription直接表示“花费”和“支出”。一个比较重要的设计是：valueBalance，SpendDescription中的cv以及OutputDescription中的cv都是value的同态commit。所谓的同态commit，就是value的计算后的commit和commit再计算的结果相等。

2.1 spendAuthSig

SpendDescription中的spendAuthSig是对整个SpendDescription进行签名。和Sprout签名的思想类似。先随机出rsk和rk密钥对，再使用rsk进行签名，同时把rk放在SpendDescription中。

2.2 Cenc和Cout

Sapling同样使用的是"In-band secret distribution"。Cenc是对Note Plaintext进行加密的结果。和Sprout类似，加密的密钥由esk和pkd生成。Sapling比Sprout设计了更多的密钥“权限”。众多密钥中，有个ovk（outgoing viewing key），也就是拥有ovk，可以查看outgoing的交易。原理很简单，就是用ovk将esk和pkd加密，生成Cout。

2.3 bindingSig

bindingSig也是整个Transaction数据的签名。签名使用的公钥/私钥（bvk/bsk）是通过cv以及生成cv时采用随机数生成。因为同态commit的算法保证bvk=bsk*R (R是生成元)，所以，bsk和bvk存在公钥/私钥关系。bingdingSig就是用bsk对整个Tansaction签名的结果。

总结：

ZCash的白皮书形式化描述比较多，看完整理需要耐心。ZCash已经经过了三个阶段：Overwinter，Sprout和Sapling。画图总结了Sprout和Sapling的交易数据结构，更直观理解ZCash的隐私设计。

往期精彩回顾

零知识证明 - 深入理解ZoKrates

零知识证明 - zkSNARK应用的Nullifier Hash攻击

Zcash - 深入浅出Pedersen Hash/Commitment计算

零知识证明 - bellman源码分析

零知识证明 - Coda SNARK挑战（Stage1）

零知识证明 - Coda SNARK挑战（Stage2）

零知识证明 - 再谈EYBlockchain

零知识证明 - 深入理解EYBlockchain

CUDA - cuda-fixnum源代码导读

零知识证明 - Groth16算法介绍

零知识证明 - 从QSP到QAP

零知识证明 - zkSNARK入门

Filecoin - PoRep和PoSt算法源代码导读
Filecoin逻辑梳理及源代码导读

区块链 - 用力过猛后的理性分析

以太坊 - 君士坦丁堡升级以及重入攻击

2018年，我都干了些啥？

区块链 - 深入浅出Bancor协议

区块链 - IDEX去中心化交易平台

签名算法 - BLS签名算法介绍

星云链源代码分析 - 完整篇

区块链 - HoneyBadgerBFT共识算法

区块链 - Conflux共识机制

共识机制 - Algorand共识算法介绍

你点的每个赞，我都认真当成了喜欢