منذ فترة كنت أترجم كتابًا عن تكنولوجيا إثبات المعرفة الصفرية. تمت ترجمة المحتوى الأساسي في نهاية الشهر الماضي. استغرقت الترجمة وقتًا أطول بكثير مما كنت أتوقع. ونناقش حاليًا بعض الأخطاء الكتابية في الكتاب مع المؤلف ونجهز للمسودة النهائية.
على أية حال، أخيراً لدي بعض الوقت للنظر في شيء جديد. لنبدأ بخوارزمية نوفا~
** المعلومات المتعلقة بخوارزمية Nova **
هناك ثلاث معلومات يمكن أن تساعد في فهم خوارزمية Nova:
ورق نوفا:
هجمات نوفا المحتملة والتصحيحات المقابلة لها:
ملخص فهم هجمات نوفا المحتملة:
هذه المقالة هي فهم وملخص للمعلومات المذكورة أعلاه. ** بعض الصور الموجودة في هذه المقالة مأخوذة من المعلومات المذكورة أعلاه ولن يتم تصنيفها واحدة تلو الأخرى في هذه المقالة. **
ابدأ بـ IVC
خوارزمية Nova هي خوارزمية جديدة لإثبات المعرفة الصفرية لـ IVC (الحساب الذي يمكن التحقق منه بشكل متزايد). IVC، أي نفس الوظيفة تحسب بشكل متكرر الإخراج السابق باعتباره الإدخال التالي. عملية الحساب التكرارية للدالة F هي كما يلي:
z0 هو الإدخال الأولي، ويتم استخدام النتيجة الناتجة عن حساب الدالة F كمدخل للدالة F التالية.
استرخِ في R1CS والتزام Slack R1CS
كما نعلم جميعًا، فإن R1CS هو تمثيل لقيود الدائرة في تقنية إثبات المعرفة الصفرية. يمكن رؤية R1CS المريحة كشكل ممتد من R1CS. على أساس R1CS، يتم إضافة العددية u ومتجه الخطأ E. يتم تمثيل مثيل R1CS المريح بواسطة (E، u، x).
يُلزم الالتزام المريح R1CS بالنواقل E وW استنادًا إلى R1CS المريح. يتم تمثيل مثيل التزام Slack R1CS بواسطة (\bar{E}, u, \bar{W}, x)، حيث x وu متغيران عامان.
الامتداد من R1CS إلى R1CS المريح لنظام الطي. لاحظ أنه من منظور R1CS المريح، فإن R1CS هي حالة خاصة منه. بمعنى آخر، R1CS هو أيضًا R1CS متأخر "خاص".
** مخطط للطي **
من الناحية البديهية، مخطط الطي للعلاقة R هو "انهيار" حالتين مطابقتين للعلاقة R إلى مثيل جديد للعلاقة المركبة R. التزام Slack R1CS/Relax يمكن لـ R1CS إجراء طيات مماثلة. عملية الطي متشابهة لكليهما. مخطط الطي لـ Slack Commitment R1CS هو كما يلي:
يتكون مخطط الطي بأكمله من 4 خطوات. في الخطوة الأولى، يرسل المثل P التزامًا \bar{T} للعنصر التبادلي T إلى المدقق. في الخطوة الثانية، يرسل المدقق تحديًا عشوائيًا إلى المثبت. والخطوة الثالثة هي طي الالتزام الذي يجب على كل من المثبت والمحقق القيام به. في الخطوة الرابعة، يؤدي المُثبِّت بمفرده ويطوي متجهي E وW للحالتين.
** الدالة المعززة F' (وظيفة وسيطة)**
نظام الانهيار، تم تخفيف مثيل R1CS المطوي. إذًا ما هي الحسابات التي أثبتتها أمثلة R1CS المريحة؟ من الواضح أن هذه الحسابات تتضمن حسابات قابلة للطي. هذه الحسابات ليست فقط الدالة F في حسابات IVC، بل تسمى أيضًا الدالات المعززة F'. يتكون حساب الدالة المعززة F' بشكل أساسي من جزأين:
1/ الدالة F في IVC
2/ حساب الطي لمثيل R1CS
المظهر المثالي
مع الفهم أعلاه، يمكنك أن تتخيل عملية الطي:
من بينها، الدائرة هي الدائرة المقابلة للوظيفة المعززة F'. acc{1,2,3,4,5,6} هو مثيل R1CS للالتزام البطيء. تحتوي الدائرة على عمليتين حسابيتين: 1/تخفيف طي مثيل الالتزام R1CS، مثل acc1+acc2->acc3.2/احسب الدالة F، وتغيير الحالة من الحالة 1 إلى الحالة 2، ثم من الحالة 2 إلى الحالة 3، وما إلى ذلك.
لاحظ أن الدائرة المقابلة للوظيفة المعززة F' هي في حد ذاتها مثيل R1CS، والذي يمكن التعبير عنه كمثيل R1CS مريح. وهذا هو acc4 وacc6 في الصورة. "تلخيص" هو تحويل مثيل R1CS Slack إلى مثيل R1CS Slack.
بالنظر بعناية إلى مدخلات الدائرة الثانية، فإن acc3 هو مثيل R1CS للالتزام المريح بعد الطي، وac4 هو مثيل R1CS للالتزام المريح الذي يثبت أن ac3 هي نتيجة الطي الصحيحة. ستدخل هاتان المثيلتان إلى الطي التالي وتولدان acc5. يمكنك أن تتخيل أنه إذا كان ac3 وac4 عبارة عن مثيلات R1CS مرضية للالتزام البطيء، فهذا يعني أن acc3 مطوي من مثيلين R1CS مرضيين للالتزام البطيء، وبعبارة أخرى، يعد ac1 وac2 التزامات Slack مرضية، مثيل R1CS. يمكن استنتاج هذا النوع من الموثوقية خطوة بخطوة، مما يثبت صحة حساب الدالة F في كل دائرة. بشكل عام، من خلال استيفاء مثيلات R1CS ذات الالتزام البطيء المتوافقة مع دائرة معينة، يمكن إثبات صحة جميع حسابات IVC السابقة.
النظرة الحقيقية
الأصدقاء الذين هم على دراية ببراهين المعرفة الصفرية يعرفون أن المنحنيات الإهليلجية غالبًا ما تستخدم في مخططات الالتزام متعددة الحدود. يتم تمثيل الالتزام متعدد الحدود المقابل على المجال العددي بالمجال الأساسي للمنحنى الإهليلجي. عادة ما يتم تمثيل دوائر R1CS بالمجال العددي. انظر بعناية، "التلخيص" في الصورة أعلاه يتضمن تحويل النطاق. بمعنى، إذا كنت تريد طي مثيل R1CS الخاص بالالتزام البطيء المطابق لدائرة، فيجب عليك "طيه" في دائرة أخرى. في هذا الوقت، هناك حاجة إلى تقديم دورة منحنى إهليلجي. بين اثنين أو أكثر من المنحنيات الإهليلجية، يكون المجال القياسي لمنحنى واحد هو نفس المجال الأساسي للمنحنى الآخر. ومن قبيل الصدفة، المجال العددي لهذا المنحنى هو نفس المجال المجال الأساسي للمنحنى السابق. باستخدام مثل هذه الحلقة المنحنية الإهليلجية، يمكن تحقيق "المظهر المثالي":
تنقسم عملية الطي بأكملها إلى دائرتين للطي. يمكن تسمية الجزء العلوي بطية الدائرة 1، ويمكن تسمية الجزء السفلي بطية الدائرة 2. يوجد تمثيل رسمي للعلاقة بين الدائرتين في الصفحة 8 من ورقة "الهجمات المحتملة على نوفا والتصحيحات المقابلة". يمثل U المثيل المطوي، ويمثل u المثيل المريح المطابق لمثيل R1CS. لاحظ أن الدائرة 1 تطوي مثيل R1CS للالتزام البطيء الموافق للدائرة 2، بينما تقوم الدائرة 2 بانهيار مثيل R1CS للالتزام البطيء المقابل للدائرة 1. الغرض الرئيسي من الدائرة 2 هو انهيار مثيل R1CS المتوافق مع الدائرة 1، وحساب الوظيفة في دائرتها لا معنى له. بدلاً من ذلك، يتم تنفيذ الدالة F في الدائرة 1. بالاشتراك مع "المظهر المثالي"، يمكننا تقريبًا تخمين مدى استيفاء U{i+2}^2, u{i+2}^1, u{i+2}^2, U{i+2}^1 هو جزء مهم من الإثبات.
لأن "الدائرة" مقطوعة إلى قسمين، والدائرة المعنية مطوية في الدائرة الأخرى. هناك العديد من مشكلات الربط بين المثيلات: الارتباط بين مثيلات u وU وربط مثيلات u التي تمر بين دائرتين. من أجل حل مشاكل الربط هذه، تم تقديم المتغيرات العامة x_0/x_1 في الدائرة، حيث تحدد x_1 مثيل U لإخراج الدائرة المرتبط بمثيل u وإخراج الدالة F الحالية (من أجل تبسيط هيكل الدائرة، لا ينعكس في الشكل). تعتقد أنه إذا تم تقديم نتيجة H_1 لمثيل U في الدائرة، وإذا كان مثيل u مرضيًا، فإن x_0/x_1 حقيقي وموثوق به، أي أنه "مرتبط" بـ U. ينشئ x_0 علاقة الربط بين الإدخال u وU، وينشئ x_1 علاقة الربط بين الإخراج u وU.
على سبيل المثال، عند استخدام u{i+1}^1 كمدخل للنصف الثاني من الدائرة، فإنه يمر عبر الدائرة 2، ومخرجها u{i+1}^2.x0 = u{i+1 }^1.x1، لذلك، عند الإدخال إلى الجزء العلوي من الدائرة، إذا كان من الممكن تلبية u{i+1}^2، فيجب أن تكون x_0 مساوية لنتيجة H1 لـ U_{i +1}^2. يتم التحقق من ذلك في الدائرة 1. بهذه الطريقة، يتم ضمان تمرير المثيل الصحيح بين الدائرتين.
إثبات IVC
من أجل إثبات أن IVC تم حسابه بشكل صحيح في تكرار معين، يجب إثبات المعلومات التالية بشكل منطقي:
بالإضافة إلى إثبات إمكانية استيفاء أربعة حالات، من الضروري أيضًا إثبات العلاقة الملزمة بين اثنين x1، كما هو موضح في الشكل التالي:
يتطلب ما إذا كانت هذه المعلومات صحيحة تنفيذ دائرة إثبات إضافية. أي أن إثبات حساب IVC هو دليل على الدائرة. من المتصور أنه إذا كانت عملية حسابية تحتوي على العديد من التكرارات، فيجب في الأصل تنفيذ هذه التكرارات في الدائرة واحدًا تلو الآخر، ولكن الآن يلزم التحقق من أربع حالات فقط من الدائرة للتأكد من علاقات الإشباع والربط. تحسن الأداء ضخم.
** الهجوم وتصحيح الخوارزمية **
عند رؤية الصورة أعلاه، لدي حدس، وأشعر أن مثيلات الدوائر العلوية والسفلية "منفصلة" وليس لها أي ارتباط. في الواقع، هذه هي الطريقة التي يتم بها تنظيم الهجوم.
تعد U_i^1 وU{i+1}^2 المزورة، على الرغم من تزويرها، حالات مرضية. قم بتكوين u{i+1}^1، وقم بتعديل x_0 وx_1 لتتوافق مع مثيل U المزور. من الواضح أن مثيل u{i+1}^1 غير راضٍ. على الرغم من أنها غير راضية، إلا أنه لا يزال من الممكن أن تكون دائرة الدائرة 2 راضية، لكن مثيل الإخراج U{i+1}^1 غير راضٍ. إذا تم إنشاء u{i+1}^2 بنجاح، فيمكن للدائرة 1 إنشاء u{i+2}^1 وU_{i+2}^2 مرضية، وتلبية العلاقة الملزمة لـ x1. وبهذه الطريقة، يتم إنشاء نصف دليل التزوير النهائي أولاً. من خلال التماثل، يمكن بناء مثيل الإخراج للنصف السفلي. ومن خلال "ربط" نتائج البناءين، يمكن تزوير إثبات حساب IVC.
منطق الفحص المعدل هو كما يلي:
يقدم الفصل السادس من المقالة "الهجمات المحتملة على Nova والإصلاحات المقابلة" تحليلًا أمنيًا مفصلاً. يمكن للأصدقاء المهتمين التحقق من الورقة الأصلية بأنفسهم.
الفكرة الأساسية لـ Nova هي طي مثيلات الدائرة من خلال مخطط قابل للطي. المنطق معقد إلى حد ما ويتطلب تفكيرًا متأنيًا حول عملية طي الدائرة والعلاقات الملزمة في الدائرة.
كلمة واحدة لوصفها: المطلق~
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
التقدم الثوري في تكنولوجيا إثبات المعرفة الصفرية: استكشاف متعمق لخوارزمية نوفا
منذ فترة كنت أترجم كتابًا عن تكنولوجيا إثبات المعرفة الصفرية. تمت ترجمة المحتوى الأساسي في نهاية الشهر الماضي. استغرقت الترجمة وقتًا أطول بكثير مما كنت أتوقع. ونناقش حاليًا بعض الأخطاء الكتابية في الكتاب مع المؤلف ونجهز للمسودة النهائية.
على أية حال، أخيراً لدي بعض الوقت للنظر في شيء جديد. لنبدأ بخوارزمية نوفا~
** المعلومات المتعلقة بخوارزمية Nova **
هناك ثلاث معلومات يمكن أن تساعد في فهم خوارزمية Nova:
هذه المقالة هي فهم وملخص للمعلومات المذكورة أعلاه. ** بعض الصور الموجودة في هذه المقالة مأخوذة من المعلومات المذكورة أعلاه ولن يتم تصنيفها واحدة تلو الأخرى في هذه المقالة. **
ابدأ بـ IVC
خوارزمية Nova هي خوارزمية جديدة لإثبات المعرفة الصفرية لـ IVC (الحساب الذي يمكن التحقق منه بشكل متزايد). IVC، أي نفس الوظيفة تحسب بشكل متكرر الإخراج السابق باعتباره الإدخال التالي. عملية الحساب التكرارية للدالة F هي كما يلي:
z0 هو الإدخال الأولي، ويتم استخدام النتيجة الناتجة عن حساب الدالة F كمدخل للدالة F التالية.
استرخِ في R1CS والتزام Slack R1CS
كما نعلم جميعًا، فإن R1CS هو تمثيل لقيود الدائرة في تقنية إثبات المعرفة الصفرية. يمكن رؤية R1CS المريحة كشكل ممتد من R1CS. على أساس R1CS، يتم إضافة العددية u ومتجه الخطأ E. يتم تمثيل مثيل R1CS المريح بواسطة (E، u، x).
يُلزم الالتزام المريح R1CS بالنواقل E وW استنادًا إلى R1CS المريح. يتم تمثيل مثيل التزام Slack R1CS بواسطة (\bar{E}, u, \bar{W}, x)، حيث x وu متغيران عامان.
الامتداد من R1CS إلى R1CS المريح لنظام الطي. لاحظ أنه من منظور R1CS المريح، فإن R1CS هي حالة خاصة منه. بمعنى آخر، R1CS هو أيضًا R1CS متأخر "خاص".
** مخطط للطي **
من الناحية البديهية، مخطط الطي للعلاقة R هو "انهيار" حالتين مطابقتين للعلاقة R إلى مثيل جديد للعلاقة المركبة R. التزام Slack R1CS/Relax يمكن لـ R1CS إجراء طيات مماثلة. عملية الطي متشابهة لكليهما. مخطط الطي لـ Slack Commitment R1CS هو كما يلي:
يتكون مخطط الطي بأكمله من 4 خطوات. في الخطوة الأولى، يرسل المثل P التزامًا \bar{T} للعنصر التبادلي T إلى المدقق. في الخطوة الثانية، يرسل المدقق تحديًا عشوائيًا إلى المثبت. والخطوة الثالثة هي طي الالتزام الذي يجب على كل من المثبت والمحقق القيام به. في الخطوة الرابعة، يؤدي المُثبِّت بمفرده ويطوي متجهي E وW للحالتين.
** الدالة المعززة F' (وظيفة وسيطة)**
نظام الانهيار، تم تخفيف مثيل R1CS المطوي. إذًا ما هي الحسابات التي أثبتتها أمثلة R1CS المريحة؟ من الواضح أن هذه الحسابات تتضمن حسابات قابلة للطي. هذه الحسابات ليست فقط الدالة F في حسابات IVC، بل تسمى أيضًا الدالات المعززة F'. يتكون حساب الدالة المعززة F' بشكل أساسي من جزأين:
1/ الدالة F في IVC
2/ حساب الطي لمثيل R1CS
المظهر المثالي
مع الفهم أعلاه، يمكنك أن تتخيل عملية الطي:
من بينها، الدائرة هي الدائرة المقابلة للوظيفة المعززة F'. acc{1,2,3,4,5,6} هو مثيل R1CS للالتزام البطيء. تحتوي الدائرة على عمليتين حسابيتين: 1/تخفيف طي مثيل الالتزام R1CS، مثل acc1+acc2->acc3.2/احسب الدالة F، وتغيير الحالة من الحالة 1 إلى الحالة 2، ثم من الحالة 2 إلى الحالة 3، وما إلى ذلك.
لاحظ أن الدائرة المقابلة للوظيفة المعززة F' هي في حد ذاتها مثيل R1CS، والذي يمكن التعبير عنه كمثيل R1CS مريح. وهذا هو acc4 وacc6 في الصورة. "تلخيص" هو تحويل مثيل R1CS Slack إلى مثيل R1CS Slack.
بالنظر بعناية إلى مدخلات الدائرة الثانية، فإن acc3 هو مثيل R1CS للالتزام المريح بعد الطي، وac4 هو مثيل R1CS للالتزام المريح الذي يثبت أن ac3 هي نتيجة الطي الصحيحة. ستدخل هاتان المثيلتان إلى الطي التالي وتولدان acc5. يمكنك أن تتخيل أنه إذا كان ac3 وac4 عبارة عن مثيلات R1CS مرضية للالتزام البطيء، فهذا يعني أن acc3 مطوي من مثيلين R1CS مرضيين للالتزام البطيء، وبعبارة أخرى، يعد ac1 وac2 التزامات Slack مرضية، مثيل R1CS. يمكن استنتاج هذا النوع من الموثوقية خطوة بخطوة، مما يثبت صحة حساب الدالة F في كل دائرة. بشكل عام، من خلال استيفاء مثيلات R1CS ذات الالتزام البطيء المتوافقة مع دائرة معينة، يمكن إثبات صحة جميع حسابات IVC السابقة.
النظرة الحقيقية
الأصدقاء الذين هم على دراية ببراهين المعرفة الصفرية يعرفون أن المنحنيات الإهليلجية غالبًا ما تستخدم في مخططات الالتزام متعددة الحدود. يتم تمثيل الالتزام متعدد الحدود المقابل على المجال العددي بالمجال الأساسي للمنحنى الإهليلجي. عادة ما يتم تمثيل دوائر R1CS بالمجال العددي. انظر بعناية، "التلخيص" في الصورة أعلاه يتضمن تحويل النطاق. بمعنى، إذا كنت تريد طي مثيل R1CS الخاص بالالتزام البطيء المطابق لدائرة، فيجب عليك "طيه" في دائرة أخرى. في هذا الوقت، هناك حاجة إلى تقديم دورة منحنى إهليلجي. بين اثنين أو أكثر من المنحنيات الإهليلجية، يكون المجال القياسي لمنحنى واحد هو نفس المجال الأساسي للمنحنى الآخر. ومن قبيل الصدفة، المجال العددي لهذا المنحنى هو نفس المجال المجال الأساسي للمنحنى السابق. باستخدام مثل هذه الحلقة المنحنية الإهليلجية، يمكن تحقيق "المظهر المثالي":
تنقسم عملية الطي بأكملها إلى دائرتين للطي. يمكن تسمية الجزء العلوي بطية الدائرة 1، ويمكن تسمية الجزء السفلي بطية الدائرة 2. يوجد تمثيل رسمي للعلاقة بين الدائرتين في الصفحة 8 من ورقة "الهجمات المحتملة على نوفا والتصحيحات المقابلة". يمثل U المثيل المطوي، ويمثل u المثيل المريح المطابق لمثيل R1CS. لاحظ أن الدائرة 1 تطوي مثيل R1CS للالتزام البطيء الموافق للدائرة 2، بينما تقوم الدائرة 2 بانهيار مثيل R1CS للالتزام البطيء المقابل للدائرة 1. الغرض الرئيسي من الدائرة 2 هو انهيار مثيل R1CS المتوافق مع الدائرة 1، وحساب الوظيفة في دائرتها لا معنى له. بدلاً من ذلك، يتم تنفيذ الدالة F في الدائرة 1. بالاشتراك مع "المظهر المثالي"، يمكننا تقريبًا تخمين مدى استيفاء U{i+2}^2, u{i+2}^1, u{i+2}^2, U{i+2}^1 هو جزء مهم من الإثبات.
لأن "الدائرة" مقطوعة إلى قسمين، والدائرة المعنية مطوية في الدائرة الأخرى. هناك العديد من مشكلات الربط بين المثيلات: الارتباط بين مثيلات u وU وربط مثيلات u التي تمر بين دائرتين. من أجل حل مشاكل الربط هذه، تم تقديم المتغيرات العامة x_0/x_1 في الدائرة، حيث تحدد x_1 مثيل U لإخراج الدائرة المرتبط بمثيل u وإخراج الدالة F الحالية (من أجل تبسيط هيكل الدائرة، لا ينعكس في الشكل). تعتقد أنه إذا تم تقديم نتيجة H_1 لمثيل U في الدائرة، وإذا كان مثيل u مرضيًا، فإن x_0/x_1 حقيقي وموثوق به، أي أنه "مرتبط" بـ U. ينشئ x_0 علاقة الربط بين الإدخال u وU، وينشئ x_1 علاقة الربط بين الإخراج u وU.
على سبيل المثال، عند استخدام u{i+1}^1 كمدخل للنصف الثاني من الدائرة، فإنه يمر عبر الدائرة 2، ومخرجها u{i+1}^2.x0 = u{i+1 }^1.x1، لذلك، عند الإدخال إلى الجزء العلوي من الدائرة، إذا كان من الممكن تلبية u{i+1}^2، فيجب أن تكون x_0 مساوية لنتيجة H1 لـ U_{i +1}^2. يتم التحقق من ذلك في الدائرة 1. بهذه الطريقة، يتم ضمان تمرير المثيل الصحيح بين الدائرتين.
إثبات IVC
من أجل إثبات أن IVC تم حسابه بشكل صحيح في تكرار معين، يجب إثبات المعلومات التالية بشكل منطقي:
بالإضافة إلى إثبات إمكانية استيفاء أربعة حالات، من الضروري أيضًا إثبات العلاقة الملزمة بين اثنين x1، كما هو موضح في الشكل التالي:
يتطلب ما إذا كانت هذه المعلومات صحيحة تنفيذ دائرة إثبات إضافية. أي أن إثبات حساب IVC هو دليل على الدائرة. من المتصور أنه إذا كانت عملية حسابية تحتوي على العديد من التكرارات، فيجب في الأصل تنفيذ هذه التكرارات في الدائرة واحدًا تلو الآخر، ولكن الآن يلزم التحقق من أربع حالات فقط من الدائرة للتأكد من علاقات الإشباع والربط. تحسن الأداء ضخم.
** الهجوم وتصحيح الخوارزمية **
عند رؤية الصورة أعلاه، لدي حدس، وأشعر أن مثيلات الدوائر العلوية والسفلية "منفصلة" وليس لها أي ارتباط. في الواقع، هذه هي الطريقة التي يتم بها تنظيم الهجوم.
تعد U_i^1 وU{i+1}^2 المزورة، على الرغم من تزويرها، حالات مرضية. قم بتكوين u{i+1}^1، وقم بتعديل x_0 وx_1 لتتوافق مع مثيل U المزور. من الواضح أن مثيل u{i+1}^1 غير راضٍ. على الرغم من أنها غير راضية، إلا أنه لا يزال من الممكن أن تكون دائرة الدائرة 2 راضية، لكن مثيل الإخراج U{i+1}^1 غير راضٍ. إذا تم إنشاء u{i+1}^2 بنجاح، فيمكن للدائرة 1 إنشاء u{i+2}^1 وU_{i+2}^2 مرضية، وتلبية العلاقة الملزمة لـ x1. وبهذه الطريقة، يتم إنشاء نصف دليل التزوير النهائي أولاً. من خلال التماثل، يمكن بناء مثيل الإخراج للنصف السفلي. ومن خلال "ربط" نتائج البناءين، يمكن تزوير إثبات حساب IVC.
منطق الفحص المعدل هو كما يلي:
يقدم الفصل السادس من المقالة "الهجمات المحتملة على Nova والإصلاحات المقابلة" تحليلًا أمنيًا مفصلاً. يمكن للأصدقاء المهتمين التحقق من الورقة الأصلية بأنفسهم.
الفكرة الأساسية لـ Nova هي طي مثيلات الدائرة من خلال مخطط قابل للطي. المنطق معقد إلى حد ما ويتطلب تفكيرًا متأنيًا حول عملية طي الدائرة والعلاقات الملزمة في الدائرة.
كلمة واحدة لوصفها: المطلق~