用ZoKrates编写电路以证明年龄超过21岁

Question

我正在尝试查看是否可以在用户可以向验证者证明年龄超过21岁而无需透露出生日期的情况下使用ZoKrates。我认为它是零知识证明的好用例，但喜欢理解实现它的最佳方法。

电路代码（示例）将用户名作为公共输入（名称证明是由DMV之类的受信机构完成的，并且很可能是离线/在线机制的组合），然后是出生日期，即私人输入。

//8297122105 = "Razi" is decimal.
def main(pubName,private yearOfBirth, private centuryOfBirth):
  x = 0
  y = 0
  z = 0
  x = if centuryOfBirth == 19 then 1 else 0 fi
  y = if yearOfBirth < 98 then 1 else 0 fi
  z = if pubName == 8297122105 then 1 else 0 fi
  total =  x + y + z 
  result = if total == 3 then 1 else 0 fi

  return result 

现在，使用./target/release/zokrates generate-proof命令获取可用作verifier.sol输入的输出。

A = Pairing.G1Point(0x24cdd31f8e07e854e859aa92c6e7f761bab31b4a871054a82dc01c143bc424d, 0x1eaed5314007d283486826e9e6b369b0f1218d7930cced0dd0e735d3702877ac);
A_p = Pairing.G1Point(0x1d5c046b83c204766f7d7343c76aa882309e6663b0563e43b622d0509ac8e96e, 0x180834d1ec2cd88613384076e953cfd88448920eb9a965ba9ca2a5ec90713dbc);
B = Pairing.G2Point([0x1b51d6b5c411ec0306580277720a9c02aafc9197edbceea5de1079283f6b09dc, 0x294757db1d0614aae0e857df2af60a252aa7b2c6f50b1d0a651c28c4da4a618e], [0x218241f97a8ff1f6f90698ad0a4d11d68956a19410e7d64d4ff8362aa6506bd4, 0x2ddd84d44c16d893800ab5cc05a8d636b84cf9d59499023c6002316851ea5bae]);
B_p = Pairing.G1Point(0x7647a9bf2b6b2fe40f6f0c0670cdb82dc0f42ab6b94fd8a89cf71f6220ce34a, 0x15c5e69bafe69b4a4b50be9adb2d72d23d1aa747d81f4f7835479f79e25dc31c);
C = Pairing.G1Point(0x2dc212a0e81658a83137a1c73ac56d94cb003d05fd63ae8fc4c63c4a369f411c, 0x26dca803604ccc9e24a1af3f9525575e4cc7fbbc3af1697acfc82b534f695a58);
C_p = Pairing.G1Point(0x7eb9c5a93b528559c9b98b1a91724462d07ca5fadbef4a48a36b56affa6489e, 0x1c4e24d15c3e2152284a2042e06cbbff91d3abc71ad82a38b8f3324e7e31f00);
H = Pairing.G1Point(0x1dbeb10800f01c2ad849b3eeb4ee3a69113bc8988130827f1f5c7cf5316960c5, 0xc935d173d13a253478b0a5d7b5e232abc787a4a66a72439cd80c2041c7d18e8);
K = Pairing.G1Point(0x28a0c6fff79ce221fccd5b9a5be9af7d82398efa779692297de974513d2b6ed1, 0x15b807eedf551b366a5a63aad5ab6f2ec47b2e26c4210fe67687f26dbcc7434d);

问题

请考虑以下情况：用户（例如Razi）可以获取上述证明（可能以QR码的形式）并在将在合同上运行verifierTx方法的机器（确认年龄超过21岁）上进行扫描。由于证明中明确包含“ Razi”，并且合同可以在不知道实际出生日期的情况下验证年龄，因此我们可以获得更好的隐私权。但是，现在的挑战是，其他人都可以重用该证明，因为该证明已在交易中使用。缓解此问题的一种方法是确保证明在有限的时间内有效（或可能仅适合一次使用）。另一种方式是以毫无疑问地满足的方式（例如，通过在区块链上确认身份等）来确保用户身份的证明（“ Razi”）。

有没有办法确保用户可以多次使用证明？

我希望这个问题和解释有意义。很高兴对此进行详细说明，所以让我知道。

Answer 1

What you will need is:

• Razi owning an ethereum public/private key
• a (salted) fingerprint fact (e.g. birthday as unix timestamp) associated with Razi's public ethereum address and endorsed on-chain by an authority

Now you can write a ZoKrates program like this

def main(private field salt, private field birthdayAsUnixTs, field pubFactHashA, field pubFactHashB, field ts) -> (field)
    // check that the fact is corresponding to the endorsed salted fact fingerprint onchain
    h0, h1 = sha256packed(0,0,salt,birthdayAsUnixTs)
    h0 == pubFactHashA
    h1 == pubFactHashB

    // 18 years is pseudo code only!
    field ok = if birthdayAsUnixTs * 18 years <= ts then 1 else 0 fi

    return ok

Now in your contract you can

• check that msg.sender is the owner of the endorsed fact
• require(ts <= now)
• call verifier with the proof and public input: (factHash, ts, 1)

Answer 2

您可以通过对证明进行哈希处理并将该哈希添加到“已使用证明”列表中来做到这一点，因此没有人可以再次使用它。

现在，ZoKrates在证明的生成中增加了随机性，以防止透露使用了相同的证人，因为zkproofs不会显示任何有关证人的信息。因此，如果您要防止该人多次使用其凭据（证明他已经21岁以上），则必须使用无效符（请参见“如何将zk-SNARK应用到”中的ZCash方法创建屏蔽交易”部分）。

基本上，您使用带有Razi nullifier_string = centuryOfBirth+yearOfBirth+pubName数据的字符串，然后将其哈希值nullifier = H(nullifier_string)发布到显示的无效符表中。在ZoKrates方案中，您必须将nullifier添加为公共输入，然后验证nullifier对应于提供的数据。像这样：

import "utils/pack/unpack128.code" as unpack
import "hashes/sha256/256bitPadded.code" as hash
import "utils/pack/nonStrictUnpack256.code" as unpack256

def main(pubName,private yearOfBirth, private centuryOfBirth, [2]field nullifier):

  field x = if centuryOfBirth == 19 then 1 else 0 fi
  field y = if yearOfBirth < 98 then 1 else 0 fi
  field z = if pubName == 8297122105 then 1 else 0 fi
  total =  x + y + z 
  result = if total == 3 then 1 else 0 fi

  null0 = unpack(nullifier[0])
  null1 = unpack(nullifier[1])
  nullbits = [...null0,...null1]

  nullString = centuryOfBirth+yearOfBirth+pubName
  unpackNullString = unpack256(nullString)

  nullbits == hash(unpackNullString)


  return result 

必须这样做，以防止Razi提供与其数据无关的随机无效符。

完成此操作后，如果在显示的nullifier表中注册了提供的nullifier，则可以检查它是否已被使用。

您所遇到的问题是出生年份是一个很难计算的数字。有人可以对无效者进行暴力攻击，并揭露Razi的出生年份。您必须在验证中添加一个大数字（Razi机密ID？数字签名？）以防止这种攻击。

注意1：我有一个旧版本的ZoKrates，所以请正确检查导入路径。

注2：检查ZoKrates哈希函数的实现，您可能对输入的填充有问题，我想unpack256函数可以防止这种情况，但是您可以再次检查以防止错误。