当前位置:首页 > 资讯 > 区块链新闻 > 正文

Zcash - 图解Transaction结构

发布:中币网   时间:2019-08-05 00:00:00   加入收藏 打赏

最近又重新看了看ZCash的白皮书。话说,看ZCash的白皮书需要一点耐心,144页的白皮书形式化太多,通篇就只有一张图(地址和Key生成关系图)。本文画图总结了Sprout和Sapling的Transaction的
最近又重新看了看ZCash的白皮书。话说,看ZCash的白皮书需要一点耐心,144页的白皮书形式化太多,通篇就只有一张图(地址和Key生成关系图)。本文画图总结了Sprout和Sapling的Transaction的数据结构。

经过Sprout和Sapling两次升级,目前ZCash中Transaction中集成了三种交易:1/ 透明交易 2/ JoinSplit(Sprout)3/ Spend/Output (Sapling)。

1. Sprout

Sprout使用JoinSplit结构表示一笔交易。JoinSplit中的Vold和Vnew实现了隐私和透明交易的交易金额的平衡。rt是Note commit形成merkle树的树根。nf和cm分别是Nullifier和Note的commitment(在Sprout都是使用的sha256算法)。Note,Note Plaintext, 以及Nullifier相对直白。

1.1 JoinSplitSig

JoinSplitSig对整个Transaction数据使用私钥进行签名,保证Transaction的数据不被篡改。签名的数据要被验证,必须提供“公钥”。在ZCash的框架中,隐私考虑,转账双方的“公钥”都不能公开。为了能提供签名,就只能重新生成临时的“公钥”/“私钥”对(JoinSplitPublicKey, JoinSplitPrivateKey)。用JoinSplitPrivateKey对整个Transaction的“SIGHASH_ALL"的结果进行签名,生成JoinSplitSig。

1.2 hsig 和 h

hsig是一个比较有意思的设计。试想,如果只有JoinSplitSig机制,虽然保证了Transaction数据的完整性,但并没有保证签名本身不能变。完全可以在Transaction其他数据不变的情况下,重新生成JoinSplitPublicKey,从而生成新的JoinSplitSig。hsig就是为了解决这个问题。hsig“绑定”所有的nf的数据和当前使用的JoinSplitPublicKey。并且,使用每个nf中对应的“私钥”,对hsig进行hash计算,生成h。也就是说,每个nf对应的私钥都“授权”使用当前的JoinSplitPublicKey。这样,JoinSplitPublicKey就不能随意修改,要做改动,必须知道每个nf对应的“私钥”。

1.3 Cenc

Sprout使用的是"In-band secret distribution"。简单的说,需要传输给转账对方的信息(Note plaintext),加密后存储在链上。采用这种方式,转账对方不需要实时在线,任何时候都能同步链上数据确认交易。和JoinSplitSig一样的思想,转账对方的信息不能直接作为加密密钥。先随机生成epk/esk,再和pkenc结合,生成加密密钥。

2. Sapling

Sapling是一个比较大的升级,零知识证明的性能提升了十几倍。Sapling不用JoinSplit结构表示交易,而是用SpendDescription和OutputDescription直接表示“花费”和“支出”。一个比较重要的设计是:valueBalance,SpendDescription中的cv以及OutputDescription中的cv都是value的同态commit。所谓的同态commit,就是value的计算后的commit和commit再计算的结果相等。

2.1 spendAuthSig

SpendDescription中的spendAuthSig是对整个SpendDescription进行签名。和Sprout签名的思想类似。先随机出rsk和rk密钥对,再使用rsk进行签名,同时把rk放在SpendDescription中。

2.2 Cenc和Cout

Sapling同样使用的是"In-band secret distribution"。Cenc是对Note Plaintext进行加密的结果。和Sprout类似,加密的密钥由esk和pkd生成。Sapling比Sprout设计了更多的密钥“权限”。众多密钥中,有个ovk(outgoing viewing key),也就是拥有ovk,可以查看outgoing的交易。原理很简单,就是用ovk将esk和pkd加密,生成Cout。

2.3 bindingSig

bindingSig也是整个Transaction数据的签名。签名使用的公钥/私钥(bvk/bsk)是通过cv以及生成cv时采用随机数生成。因为同态commit的算法保证bvk=bsk*R (R是生成元),所以,bsk和bvk存在公钥/私钥关系。bingdingSig就是用bsk对整个Tansaction签名的结果。

总结:

ZCash的白皮书形式化描述比较多,看完整理需要耐心。ZCash已经经过了三个阶段:Overwinter,Sprout和Sapling。画图总结了Sprout和Sapling的交易数据结构,更直观理解ZCash的隐私设计。

币搜:比特币领域的搜索引擎www.btcsearch.com

来源:网络




来源:中币网  https://www.zhongbi.net/news/blocknews/145653.html
声明:登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。 此文如侵犯到您的合法权益,请联系我们3111859717@qq.com,我们将第一时间处理。