Last Challenge Attack:KZG-based SNARK中Fiat-Shamir Transform实现漏洞

最新推荐文章于 2025-08-17 23:20:09 发布
最新推荐文章于 2025-08-17 23:20:09 发布
阅读量668 收藏 10
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 零知识证明 文章标签: 零知识证明
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mutourend/article/details/139045688

1. 引言

2024年4月17日OpenZeppelin团队论文《The Last Challenge Attack: Exploiting a Vulnerable Implementation of the Fiat-Shamir Transform in a KZG-based SNARK》,开源实现:

Fiat-Shamir transform广泛用于将sound public-coin interactive协议,转换为,sound non-interactive协议。尽管Fiat-Shamir transform自身相对清晰简单,但为性能等原因,某些工程实现与Fiat-Shamir transform规范存在偏差,从而让导致漏洞。

本文揭示了某 KZG-based PLONK verifier实现偏差所导致的漏洞,该偏差源自:

  • PLONK协议中last challenge的不正确计算,在此之前,独立于KZG evaluation proofs,已计算了KZG batching proof challenge。

为此,本文提供了:

  • 对于,使用至少2个不同evaluation points的batched KZG proof evaluations,的batched KZG方案,的knowledge-soundness安全论证。
Fiat-Shamir transform零知识证明
反之亦然
04-09 2427
零知识证明是区块链密码学的重要内容。近期在学习环签名,因此了解了一下证明机制。 零知识证明:向对方证明自己知道某个秘密,但不泄露秘密。 一个传统的证明步骤如下: 1 以离散对数加密为例,一证明者公开一系列信息(g,y1)(g,y1)(g,y_1),其中g是本原元,如果用椭圆曲线离散对数就是基点坐标,y1就是公钥。 2 选择一个伪随机数v∈Zqv∈Zqv\in \mathbb{Z}_...
07、the Fiat-Shamir TransformFiat-Shamir转换】
qq_43479839的博客
01-28 635
The Fiat-Shamir Transform
Fiat-Shamir 变换
taylorswift的博客
02-22 788
上述方法就叫做 Fiat-Shamir 变换。Fiat-Shamir 变换只能将公开随机数的交互证明转化为非交互证明。
非交互零知识证明Fiat-Shamir Transform
weixin_44885334的博客
05-07 1936
非交互证明系统 令R⊆X×YR \subseteq X \times YR⊆X×Y是一个有效关系,那么关于RRR的非交互系统是一个算法对(Gen,Check)(Gen,Check)(Gen,Check),定义如下: GenGenGen:一个有效的概率算法,形如π←RGen(x,y)\pi \leftarrow_R Gen(x,y)π←R​Gen(x,y),其中(x,y)∈R(x,y) \in R(x,y)∈R,π∈PS\pi \in PSπ∈PS,这里的PSPSPS是证明空间(proof space) C
学习笔记:ZKP & Fiat-Shamir变换的漏洞
日常学习记录,随缘更新
04-19 723
Jim Miller关于 Fiat-Shamir transformation和ZKP的开篇blog。文章相对基础,可以帮助初学者快速理解交互式零知识证明Fiat-Shamir变换的问题:https://blog.trailofbits.com/2021/02/19/serving-up-zero-knowledge-proofs/#comments 这个漏洞对所有未规范使用Fiat-Shamir变换的证明系统都产生威胁。 ZKP & Fiat-Shamir变换ZKP简介类比“网球”ZKP与Fia
kzgKZG对BLS12-381的承诺
02-13
KZG承诺:在Rust中实现BLS12-381的加密技术解析》 在现代密码学领域,KZG承诺(Kasumi-Groth-Zippel承诺)是一种重要的数学构造,广泛应用于零知识证明、分布式计算等领域。BLS12-381是基于椭圆曲线的加密算法,...
go-kzg:Go中的FFT,数据恢复和KZG承诺(也称为Kate承诺)-*超级实验性*
05-07
这是Go中的一种实现,最初旨在对数据进行分块和扩展,并为输出数据构建/验证KZG证明。 KZG证明或Kate证明建立在BLS12-381的基础上。 Eth2阶段1的低延迟数据可用性采样网络原型的一部分。请参阅 代码基于: 特征:...
learning-android:ABANDONED - 学习 Android 的源项目
06-18
6. **资源管理**:Android应用中的字符串、颜色、图像等资源存储在专门的资源文件中,通过R类访问。理解资源的组织和使用方式对于开发高效的应用至关重要。 7. **权限管理**:在Android 1.0时代,应用需要明确声明...
KZG300/1600-U/X_K~B型快开式隔膜压滤机在唐山矿业分公司选煤厂的应用
06-16
介绍了唐山矿业分公司选煤厂原使用的XMZ500/1500型箱式压滤机存在的主要问题,阐述了KZG300/1600-U/XBK型快开式隔膜压滤机的结构、工作原理和技术特点,并介绍了该机在该厂煤泥水系统中的应用效果。
Go实现FFT和KZG承诺:数据可用性采样与优化
资源摘要信息:"go-kzg:Go中的FFT,数据恢复和KZG承诺(也称为Kate承诺)-*超级实验性*" 知识点详细说明: 1. FFT(快速傅里叶变换): - FFT是一种算法,用于将一组数字转换为它们在频域中的表示,这在信号处理、...
零知识证明四——Fiat-Shamir,三分钟零知识证明入门
The future is already here it's just not evenly distributed。
07-15 4357
看了一些密码学的书籍,都是老外的,才发现歪果仁还真是喜欢alice和bob,这二位霸占了密码学的故事的主角。今天我们也邀请二位来参与我们的故事。今天介绍的是比较简单的零知识证明,交互式零知识证明——Fiat-Shamir,不过这就是为了把大家领上道,实际应用是比这个要负责的; Fiat-Shamir 要进行Fiat-Shamir,首先进行准备工作,由可信第三方,随机选...
Fiat-Shamir heuristic(含实现)和Random oracle
[email protected]
07-02 1679
1. Fiat-Shamir 定义 通过Fiat-Shamir转换,可将Bulletproof中Verifier多次challenge的interactive证明切换为Non-Interactive proof. The Fiat-Shamir heuristic. The Fiat-Shamir transformation takes an interactive public coin ar...
Bulletproofs和Plonk等ZKP系统中Fiat-Shamir实现漏洞Frozen Heart
[email protected]
04-14 607
1. 引言 Trail of Bits团队近期发布Coordinated disclosure of vulnerabilities affecting Girault, Bulletproofs, and PlonK,指出Bulletproofs和Plonk等ZKP系统中的Fiat-Sharmir实现存在漏洞,使得恶意用户可为随机statement伪造proof。Trail of Bits将该漏洞命名为Frozen Heart,其中Frozen代表FoRging Of ZEro kNowledge pro
Plonky1 & Plonky2 & Plonky2.5 & Plonky3
[email protected]
05-10 1508
Plonky1 & Plonky2 & Plonky2.5 & Plonky3
FiatShamir heuristic 启发式的应用 理解 代码实现
ChainingBlocks
12-07 1353
先讲问题,再引入FiatShamir heuristic。 问题 平时我们使用密码注册和登录一个网站的过程可能是这样的。我们使用用户名和密码注册一个网站,网站后台收到用户名和密码之后,使用一个hash算法计算密码的哈希值,然后将用户名和哈希值存入数据库。下次用户登录的时候,后台以同样的方式计算出哈希值,对比数据库中的是否一样,如果两者的用户名和哈希值都一样,登录成功。好一点的后台可能在计算哈希值...
Fiat-Shamir零知识证明
y734564892的博客
05-26 5415
零知识证明:不泄露个人信息的前提下证明自己是某信息的合法拥有者 Fiat-Shamir heuristic 根据wiki:前提:持有相同的message x的用户可以相互认证,他们持有相同的验证函数,以指数函数为例 f(x)=gx  1. alice想向bob证明她知道message x 同时又不想泄露出x2. Alice取一个非零整数v,同时得到t=gv3. 用加密哈希函数 c=H(g,y,t)...
密码学系列 - 零知识证明(ZKP) - 多种承诺方案
搬砖魁首的博客
08-17 1083
KZG承诺方案在简洁方面是最好的,因为它的证明规模和验证时间都是恒定的,这意味着电路规模的增加不会导致证明规模的增加。与FRI承诺相比,KZG10承诺有一些独特的功能,它不是对某个字节做出的承诺,而是对多项式的承诺。FRI即Fast Reed-Solomon IOPP,FRI承诺的核心是对要承诺的多项式进行“折叠”,通过“折叠”将一个计算次数很高的多项式逐步转化为计算次数较低、验证者可以接受的计算复杂度的多项式。3.4.4 不同方案的对比不同的零知识证明算法的关键差别,是它们采用了不同的多项式承诺方案。
qt5-qttools-libs-designer-5.15.2-3.el8.tar.gz
08-21
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
AIdea 是一款支持 GPT 以及国产大语言模型通义千问、文心一言等,支持 Stable Diffusion 文生图、图生图、 SDXL1.0、超分辨率、图片上色的全能型 APP
最新发布
08-21
资源下载链接为: https://pan.quark.cn/s/4a78bf995ed8 AIdea 是一款集成主流大语言模型与绘图模型的 APP,支持 AI 聊天、协作及图像生成功能,采用 Flutter 开发,代码完全开源。 项目默认分支为 v2 版本(当前开发中),若需自行部署,需切换至 v1.x 分支。搭建编译打包 APP 的开发环境,可参考以下教程(后续将持续更新更多相关文章): 需注意,部分用户在编译过程中可能频繁遇到失败,这并非异常问题,而是 Flutter 随版本更新存在的常见特性,编译失败属于常态情况。建议参考本地环境配置以提高成功率。 若无需使用托管云服务,可自行部署服务端,具体部署方法可查阅相关指引;若不愿自行操作,也可选择专业协助部署服务,详情可参考服务器代部署说明。 产品支持多端使用,包含移动端、MacOS 端、Windows 端(均提供产品截图参考)。项目遵循 MIT 许可证,Copyright (c) 2025, mylxsw。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值