双线性映射：零知识证明的引擎

就像汽车一样，zk-SNARK零知识证明系统是由很多具有不同功能的部件组成的。在我看来zk-SNARK这辆车的引擎就是用来保护私有信息的双线性配对。配对是一种特殊的映射，它模糊了信息但依然允许你进行有限的计算，非常令人着迷。

用自己熟悉的语言学习以太坊DApp开发： Java | Php | Python | .Net / C# | Golang | Node.JS | Flutter / Dart

配对的基本概念

配对（Pairing）将输入的两个群成员映射为第三个群的成员，将配对记为e。

上式左边的群由椭圆曲线上的点构成。你可以在很多地方找到椭圆曲线数学的介绍，不过我推荐Nick Sullivan写的这篇。上式右边的群被称为目标群，通常是一些大型有限群。

有趣的是，第一个椭圆曲线配对是法国数学家André Weil二战期间在监狱中给出的：

配对必须具备一些代数特征，下面是最重要的一个，被称为双线性：

下面是另一种表达方式：

配对的另一个重要特征是非退化性（non-degeneracy）：

右边的1表示目标群中的乘法单位元。非退化性保证了只要我们选择椭圆曲线上的非单位成员G，就能得到目标群中的非单位元。

双线性配对在零知识证明中的应用

正如Vitalik Buterin指出的，配对可以用于验证一个数学过程是否正确执行，这也是配对在zk-SNARK中的用途。例如，假设我声称自己知道一个满足以下二次方程的数值：

为了说服你我的确知道上述方程的一个解，一个办法就是告诉你
我知道的这个解，然后你自己带入上述方程去验证。另一个办法
就是我不告诉你这个具体的解是多少，但是使用椭圆曲线上的配对
进行验证。

首先注意，如果：

那么k要么是0，要么是群的阶的倍数，因此如果以下等式成立，我们
就可以确定二次方程成立：

由于x²-x-42可以为0或目标群的阶的倍数， 因此我们需要更多x的信息来判断x的确是0，这一问题在另一篇文章已经介绍过了。

利用双线性，我们可以将上述等式重写为：

进一步整理：

现在，不需要验证原始的二次方程成立，只需要验证上面这个配对方程成立即可。
我不需要提供x的具体数值，只需要告诉验证人xG就可以了 —— 这隐藏了真实的x，
同时也让验证人可以验证我的x的确让等式成立。

原文链接：双线性配对：零知识证明的引擎 —— 汇智网