首页   

Zcash - 图解Transaction结构

星想法  ·  · 4 年前

最近又重新看了看ZCash的白皮书。话说,看ZCash的白皮书需要一点耐心,144页的白皮书形式化太多,通篇就只有一张图(地址和Key生成关系图)。本文画图总结了Sprout和Sapling的Transaction的数据结构。

经过Sprout和Sapling两次升级,目前ZCash中Transaction中集成了三种交易:1/ 透明交易 2/ JoinSplit(Sprout)3/ Spend/Output (Sapling)。

01
Sprout


Sprout使用JoinSplit结构表示一笔交易。JoinSplit中的Vold和Vnew实现了隐私和透明交易的交易金额的平衡。rt是Note commit形成merkle树的树根。nf和cm分别是Nullifier和Note的commitment(在Sprout都是使用的sha256算法)。Note,Note Plaintext, 以及Nullifier相对直白。

1.1 JoinSplitSig

JoinSplitSig对整个Transaction数据使用私钥进行签名,保证Transaction的数据不被篡改。签名的数据要被验证,必须提供“公钥”。在ZCash的框架中,隐私考虑,转账双方的“公钥”都不能公开。为了能提供签名,就只能重新生成临时的“公钥”/“私钥”对(JoinSplitPublicKey, JoinSplitPrivateKey)。用JoinSplitPrivateKey对整个Transaction的“SIGHASH_ALL"的结果进行签名,生成JoinSplitSig。

1.2 hsig 和 h

hsig是一个比较有意思的设计。试想,如果只有JoinSplitSig机制,虽然保证了Transaction数据的完整性,但并没有保证签名本身不能变。完全可以在Transaction其他数据不变的情况下,重新生成JoinSplitPublicKey,从而生成新的JoinSplitSig。hsig就是为了解决这个问题。hsig“绑定”所有的nf的数据和当前使用的JoinSplitPublicKey。并且,使用每个nf中对应的“私钥”,对hsig进行hash计算,生成h。也就是说,每个nf对应的私钥都“授权”使用当前的JoinSplitPublicKey。这样,JoinSplitPublicKey就不能随意修改,要做改动,必须知道每个nf对应的“私钥”。

1.4 Cenc

Sprout使用的是"In-band secret distribution"。简单的说,需要传输给转账对方的信息(Note plaintext),加密后存储在链上。采用这种方式,转账对方不需要实时在线,任何时候都能同步链上数据确认交易。和JoinSplitSig一样的思想,转账对方的信息不能直接作为加密密钥。先随机生成epk/esk,再和pkenc结合,生成加密密钥。

02
Sapling

Sapling是一个比较大的升级,零知识证明的性能提升了十几倍。Sapling不用JoinSplit结构表示交易,而是用SpendDescription和OutputDescription直接表示“花费”和“支出”。一个比较重要的设计是:valueBalance,SpendDescription中的cv以及OutputDescription中的cv都是value的同态commit。所谓的同态commit,就是value的计算后的commit和commit再计算的结果相等。

2.1 spendAuthSig

SpendDescription中的spendAuthSig是对整个SpendDescription进行签名。和Sprout签名的思想类似。先随机出rsk和rk密钥对,再使用rsk进行签名,同时把rk放在SpendDescription中。

2.2 Cenc和Cout

Sapling同样使用的是"In-band secret distribution"。Cenc是对Note Plaintext进行加密的结果。和Sprout类似,加密的密钥由esk和pkd生成。Sapling比Sprout设计了更多的密钥“权限”。众多密钥中,有个ovk(outgoing viewing key),也就是拥有ovk,可以查看outgoing的交易。原理很简单,就是用ovk将esk和pkd加密,生成Cout。

2.3 bindingSig

bindingSig也是整个Transaction数据的签名。签名使用的公钥/私钥(bvk/bsk)是通过cv以及生成cv时采用随机数生成。因为同态commit的算法保证bvk=bsk*R (R是生成元),所以,bsk和bvk存在公钥/私钥关系。bingdingSig就是用bsk对整个Tansaction签名的结果。

总结:

ZCash的白皮书形式化描述比较多,看完整理需要耐心。ZCash已经经过了三个阶段:Overwinter,Sprout和Sapling。画图总结了Sprout和Sapling的交易数据结构,更直观理解ZCash的隐私设计。


星想法

技术改变世界

长按二维码关注我




往期精彩回顾
零知识证明 - 深入理解ZoKrates
零知识证明 - zkSNARK应用的Nullifier Hash攻击
Zcash - 深入浅出Pedersen Hash/Commitment计算
零知识证明 - bellman源码分析
零知识证明 - Coda SNARK挑战(Stage1)
零知识证明 - Coda SNARK挑战(Stage2)
零知识证明 - 再谈EYBlockchain
零知识证明 - 深入理解EYBlockchain
CUDA - cuda-fixnum源代码导读
零知识证明 - Groth16算法介绍
零知识证明 - 从QSP到QAP
零知识证明 - zkSNARK入门
Filecoin - PoRep和PoSt算法源代码导读
Filecoin逻辑梳理及源代码导读
区块链 - 用力过猛后的理性分析
以太坊 - 君士坦丁堡升级以及重入攻击
2018年,我都干了些啥?
区块链 - 深入浅出Bancor协议
区块链 - IDEX去中心化交易平台
签名算法 - BLS签名算法介绍
星云链源代码分析 - 完整篇
区块链 - HoneyBadgerBFT共识算法
区块链 - Conflux共识机制
共识机制 - Algorand共识算法介绍


你点的每个赞,我都认真当成了喜欢
推荐文章
参考消息  ·  日媒关注:70%中国造  ·  1 周前  
智谷趋势  ·  当代年轻人:不敢花钱,也不想攒钱  ·  7 月前  
代谢组metabolome  ·  (8.25)气相色谱——质谱(GC-MS)联 ...  ·  8 月前  
© 2022 51好读
删除内容请联系邮箱 2879853325@qq.com