[发明专利]用于零知识证明的证明方法、系统、电子设备和存储介质

说明书

本申请涉及零知识证明的技术领域，尤其是涉及一种用于零知识证明的证明方法、系统、电子设备和计算机可读存储介质。通过本申请，当存在尚未被FFT计算处理的R1CS子数据时，基于R1CS子数据，使用GPU进行FFT计算处理，得到R1CS子数据对应的多项式数据；以及基于R1CS子数据及R1CS子数据对应的多项式数据，使用CPU进行MultiExp计算处理，得到R1CS子数据对应的证明分量。当所有的R1CS子数据均已被FFT计算处理时，基于R1CS子数据及R1CS子数据对应的多项式数据，使用CPU和GPU并行进行MultiExp计算处理，得到R1CS子数据对应的证明分量；最后基于R1CS数据中所有的R1CS子数据对应的证明分量，生成证明。本申请能够加快零知识证明的生成。

技术领域

本发明涉及零知识证明的技术领域，尤其是涉及一种用于零知识证明的证明方法、系统、电子设备和计算机可读存储介质。

背景技术

零知识证明是指证明者能够在不透露任何有用信息的前提下，使验证者相信某个论断是正确的。零知识证明方法广泛应用于区块链、多方安全计算（MPC）、隐私计算等场景中。

现有的零知识证明方法有多种多样，包括交互式证明方法和非交互式证明（Non-Interactive Linear Proofs，简称为NILP）方法，其中非交互式证明方法不需要借助证明者和验证者之间的交互来产生证明，相对于交互式证明方法具有显著的优点。在非交互式证明方法中，零知识简洁非交互式知识证明（zero knowledge Succinct Non-interactiveArgument of Knowledge，简称为zk-SNARK）是当前常用的一类非交互式零知识证明方法，比较具有代表性的证明方法例如Groth16证明算法。

Groth16证明系统使用二次算术运算（Quadratic Arithmetic Program，简称为QAP）表示一阶约束系统（Rank-1 Constraint System，简称为R1CS）实例的可满足性。完整的Groth16证明系统包括三个过程，分别为设置过程、证明过程和验证过程。其中，对于每个QAP实例，设置过程仅运行一次，设置过程将创建证明密钥和验证密钥，证明密钥和验证密钥对证明者和验证者均公开；验证过程则使用验证密钥检查一个证明，以决定是接受还是拒绝该证明。证明过程则需要根据证明密钥生成一个证明，该过程主要包括两个计算部分，分别为FFT计算和MultiExp计算，涉及大量的计算，耗时比较长。

目前，Groth16证明方法已在开源项目bellperson实现，该开源项目中证明过程主要使用GPU进行计算。采用该开源项目提供的实现方案，即使配备AMD的7542型号64核CPU和Nvidia的2080Ti系列GPU的计算机系统，仍然需要花费几十分钟的时间才能完成具有亿级数量的电路约束的零知识证明。

发明内容

为了加快零知识证明的生成，本申请实施例提供了一种用于零知识证明的证明方法、系统、电子设备和计算机可读存储介质。

第一方面，本申请实施例提供了一种用于零知识证明的证明方法，包括：

获取证明参数和待证明数据，对所述证明参数和所述待证明数据进行电路合成处理，得到R1CS数据，其中，用于电路合成处理的电路包括至少一个子电路，所述R1CS数据包括至少一个R1CS子数据，每个所述子电路用于构造一个所述R1CS子数据；

当存在尚未被FFT计算处理的所述R1CS子数据时，基于所述R1CS子数据，使用GPU进行FFT计算处理，得到所述R1CS子数据对应的多项式数据；

当存在尚未被FFT计算处理的所述R1CS子数据时，基于所述R1CS子数据及所述R1CS子数据对应的多项式数据，使用CPU进行MultiExp计算处理，得到所述R1CS子数据对应的证明分量；