Abstract-在這個(gè)論文里面，我們提出了一個(gè)直接的設(shè)計(jì)和一個(gè)未來主義的隱私保護(hù)數(shù)據(jù)使用協(xié)議，它能在隱私數(shù)據(jù)上計(jì)算隱私模型。一個(gè)擴(kuò)展性的方案對(duì)于兩個(gè)設(shè)計(jì)來說是建立在離線計(jì)算之上。一個(gè)直接的設(shè)計(jì)是基于可信計(jì)算環(huán)境，一個(gè)未來的設(shè)計(jì)是基于同態(tài)加密和零知識(shí)證明。

1.動(dòng)機(jī)
2017年，全世界產(chǎn)生了22ZB的數(shù)據(jù)，但只有1%的被利用【1】。數(shù)據(jù)依然被鎖定，因?yàn)閿?shù)據(jù)的使用常常會(huì)危害數(shù)據(jù)隱私。一旦數(shù)據(jù)被分享和使用，它的提供者泄露出語義信息并且對(duì)于它分布和使用失去了控制。
虛弱的AI和機(jī)器學(xué)習(xí)應(yīng)用的進(jìn)步非常依賴于充裕的可用數(shù)據(jù)。在數(shù)據(jù)自然聚合的區(qū)域中，ai的速度提高了一個(gè)數(shù)量級(jí)。這些領(lǐng)域包括在線搜索，在線廣告和電子商務(wù)。相反，AI在健康、教育、生產(chǎn)和主流金融市場領(lǐng)域落后了。這就是那些數(shù)據(jù)自然聚合的領(lǐng)域，結(jié)果就是AI模型限制了效果。
從一個(gè)歷史的愿景來看，TCP/IP協(xié)議解決了數(shù)據(jù)轉(zhuǎn)移問題；IPFS協(xié)議解決了數(shù)據(jù)存儲(chǔ)問題；那未來需要的協(xié)議是解決數(shù)據(jù)使用問題。對(duì)于一個(gè)數(shù)據(jù)使用協(xié)議來說，任何人能使用他人的數(shù)據(jù)而不會(huì)破壞他們的隱私。開發(fā)者將選擇去構(gòu)建這個(gè)協(xié)議，因?yàn)檫@是極好的數(shù)據(jù)分享層。
中心化的數(shù)據(jù)中心這種傳統(tǒng)的解決方案已經(jīng)引人注目的在所有領(lǐng)域和國家都失敗了，在它的本質(zhì)上，有兩個(gè)問題：
隱私。數(shù)據(jù)擁有這不能信任這些中心化的實(shí)體來處理他們的隱私數(shù)據(jù)。
價(jià)值網(wǎng)絡(luò)。缺乏價(jià)值網(wǎng)絡(luò)來貨幣化數(shù)據(jù)的分配和使用。
最近，在區(qū)塊鏈和加密貨幣技術(shù)的發(fā)展已經(jīng)開辟了一條面相未來的道路。在歷史上第一次，一個(gè)隱私優(yōu)先的去中心化數(shù)據(jù)網(wǎng)絡(luò)可能被構(gòu)建。
隱私。隱私模型可以在隱私數(shù)據(jù)上計(jì)算。
價(jià)值網(wǎng)絡(luò)。數(shù)據(jù)所有者能因?yàn)樗麄償?shù)據(jù)的每一次基本使用而獲得補(bǔ)償。

2.綜述
問題聲明
數(shù)據(jù)所有者擁有一些隱私數(shù)據(jù)D。
模型訓(xùn)練者有一個(gè)隱私模型f（）。
一個(gè)隱私保護(hù)數(shù)據(jù)使用協(xié)議的目標(biāo)是：對(duì)于模型使用者，接收到計(jì)算結(jié)果R=f(D)在沒有損害數(shù)據(jù)D或模型f()隱私的前提之下--模型訓(xùn)練者不會(huì)獲得D的拷貝，數(shù)據(jù)所有者不會(huì)獲得模型f()的拷貝。
問題分解。3個(gè)子問題需要被解決，而我們在論文中提出了相應(yīng)的方案。
計(jì)算規(guī)模。模型f()的計(jì)算常常耗費(fèi)幾個(gè)小時(shí)或者幾天。
計(jì)算隱私。計(jì)算需要數(shù)據(jù)所有者和模型訓(xùn)練者之間轉(zhuǎn)移，并在相互隱私保證的前提之下。
計(jì)算證明。在去中心化的環(huán)境下，必須提供計(jì)算證明來保證計(jì)算的正確性。

A.計(jì)算規(guī)模
以太坊現(xiàn)在的虛擬機(jī)并不支持大數(shù)據(jù)計(jì)算。就像在以太坊白皮書里表述的【2】。
簡單來說，如果模型f（）耗費(fèi)3個(gè)小時(shí)計(jì)算并被寫入智能合約，之后所有的以太坊節(jié)點(diǎn)都不得不花費(fèi)3個(gè)小時(shí)去執(zhí)行合約，這是明顯不可行的。
我們創(chuàng)造CVM來解決這個(gè)問題。在CVM中，計(jì)算被轉(zhuǎn)移到離線的節(jié)點(diǎn)，所有其他的節(jié)點(diǎn)僅僅需要去驗(yàn)證它的計(jì)算證明。驗(yàn)證計(jì)算的過程明顯的比運(yùn)行那個(gè)計(jì)算本身，因此可能通過智能合約做大規(guī)模計(jì)算。未來，我們做重大的優(yōu)化來讓驗(yàn)證過程更加迅速。

B.隱私計(jì)算
有三種主流的替代方案解決隱私計(jì)算問題。
同態(tài)加密HE。
多方計(jì)算MPC。
可行執(zhí)行環(huán)境TEE。

屏幕快照 2019-01-17 下午2.38.46.png

以上三種，同態(tài)加密【3，4，5，6】和MPC【7】仍然處在理論發(fā)展階段與量子計(jì)算相當(dāng)，因此沒有合適的立即可用產(chǎn)品?，F(xiàn)成的方案是基于TEE【8,9】。TEE唯一的缺陷是它禁止使用GPUs，給用戶造成很多不便。我們采取TEE方案并且去除它們的限制通過將他們作為控制單元而非計(jì)算單元。
我們的Covalent X團(tuán)隊(duì)專注未來主義的解決方案，比如同態(tài)加密并且完成相關(guān)的系統(tǒng)設(shè)計(jì)和可用測試。我們嚴(yán)密地關(guān)注HE的可用性進(jìn)展，并將第一個(gè)將他們帶入到產(chǎn)品中。

C.計(jì)算證明
幾乎所有的計(jì)算證明機(jī)制都需要一個(gè)信任的實(shí)體（包括TEE和zk-SNARK）。表2對(duì)比領(lǐng)先的可選方案。同樣的，硬件安全區(qū)是一個(gè)最優(yōu)先的選擇在我們的領(lǐng)域，因?yàn)樗谛史矫嬷卮蟮母倪M(jìn)。我們在現(xiàn)階段的方案中采用它。

屏幕快照 2019-01-17 下午2.58.23.png

zk-STARK是一個(gè)近期的發(fā)展能使更無信任的計(jì)算證明成為可能。然而，這項(xiàng)技術(shù)就像量子計(jì)算一樣不成熟。X團(tuán)隊(duì)又將聯(lián)合HE和zk-STARK。

D.Covalent解決方案
在本篇論文里，我們提出現(xiàn)階段和未來的方案去面對(duì)這些問題。
CVM解決計(jì)算規(guī)模問題；
CES提供一個(gè)現(xiàn)成方案能解決隱私計(jì)算和計(jì)算證明；
CX提供一個(gè)未來的方案通過融合HE和zk-STARK。

3.CVM
在Covalent智能合約協(xié)議中，計(jì)算被轉(zhuǎn)移到鏈下的一個(gè)單節(jié)點(diǎn)，同時(shí)所有其他的節(jié)點(diǎn)只需要驗(yàn)證計(jì)算證明。驗(yàn)證計(jì)算的過程明顯的快于執(zhí)行計(jì)算冗余，因此做大數(shù)據(jù)運(yùn)算可能通過智能合約。我們也坐了重大的優(yōu)化來讓驗(yàn)證過程更為迅速。

A.crackHash
一個(gè)簡單的例子來說明為什么驗(yàn)證能尤其快過計(jì)算是，用智能合約執(zhí)行一個(gè)crackHash計(jì)算，在合約中我們定義一個(gè)在驗(yàn)證功能方面的crachHash函數(shù)，接收需要的hash，報(bào)告的輸出來自網(wǎng)絡(luò)上的單獨(dú)用戶。這樣，密集計(jì)算邏輯一次性地由單個(gè)節(jié)點(diǎn)執(zhí)行，同時(shí)更簡單的驗(yàn)證計(jì)算由網(wǎng)絡(luò)中閑置的節(jié)點(diǎn)執(zhí)行。

屏幕快照 2019-01-17 下午3.26.12.png

B.計(jì)算證明
在我們主要的模型訓(xùn)練中，我們根據(jù)驗(yàn)證函數(shù)定義startTraining函數(shù)，驗(yàn)證函數(shù)處理模型訓(xùn)練所涉及的計(jì)算完成的證據(jù)。比方說，安全區(qū)和zk-SNARK都允許計(jì)算證明被以對(duì)比計(jì)算模型本身少得多的工作得到。

C.實(shí)現(xiàn)
CVM兼容EVM的字節(jié)碼，但是我們添加了3個(gè)自定義指令來啟用所述的計(jì)算 - 驗(yàn)證范例。
一個(gè)承諾函數(shù)PF是一種特殊類型的智能合約函數(shù)，由伴隨驗(yàn)證器函數(shù)隱式定義，該函數(shù)接收函數(shù)的輸入和用戶在網(wǎng)絡(luò)上提出的返回輸出，并以確定的方式確定輸出是否正確。
當(dāng)一個(gè)智能合約調(diào)用PF執(zhí)行，執(zhí)行智能合約產(chǎn)生并向網(wǎng)絡(luò)發(fā)出事件。如果網(wǎng)絡(luò)上的一個(gè)用戶提供一個(gè)對(duì)于伴隨VF，然后執(zhí)行將繼續(xù)，并且將向用戶提供由原始執(zhí)行者支付的獎(jiǎng)勵(lì)。
三個(gè)自定義的指令如下：
promcreate--一個(gè)指令用來保存注冊狀態(tài)、VF指針和一個(gè)給予函數(shù)的可選處罰函數(shù)指針到內(nèi)存中。它為承諾創(chuàng)造了一個(gè)唯一的id基于承諾數(shù)據(jù)的存儲(chǔ)位置，產(chǎn)生子程序的執(zhí)行，并發(fā)出一個(gè)事件。
promsolce--一個(gè)指令，為一個(gè)給予的存儲(chǔ)內(nèi)存位置調(diào)用VF。
promcancel--將promise數(shù)據(jù)（實(shí)際上讓它無法解決這個(gè)承諾）與指向適當(dāng)?shù)膙f的指針一起歸零的指令。

D.優(yōu)化
我們將增加兩個(gè)指令來優(yōu)化驗(yàn)證處理。
GCM128DEC--解密輸入數(shù)據(jù)并用AES 128bit GCM Mode來解密的指令。
RSA2048VERIFY--接收一個(gè)RSA-2048公鑰，報(bào)告和簽名，確保提供的簽名與公鑰簽名的數(shù)據(jù)匹配。
驗(yàn)證計(jì)算能將能很快和這些增加的指令一起。我們的原型顯示出通過實(shí)現(xiàn)GCM128DEC指令，我們降低了86.04%的gas消費(fèi)。看Fig.1.

屏幕快照 2019-01-17 下午5.07.23.png

4.CES
我們的數(shù)據(jù)市場由這三條角色組成：
data owners(DOs)列舉自己的隱私數(shù)據(jù)出售使用權(quán)；
model trainers(MTs)想訓(xùn)練他們的隱私模型在市場的可用數(shù)據(jù)集上；
SGX host miners促進(jìn)交易同時(shí)滿足隱私和計(jì)算證明的需求。

屏幕快照 2019-01-17 下午5.31.02.png

一個(gè)簡單的心理模型在這很有用。我們的解決方案本質(zhì)的帶著數(shù)據(jù)所有者的數(shù)據(jù)和模型所有者的模型到一個(gè)虛擬的、安全的和隱蔽的計(jì)算環(huán)境。然后只有計(jì)算結(jié)果被返回給模型所有者，同時(shí)數(shù)據(jù)所有者得到報(bào)酬。
模型訓(xùn)練者支付使用數(shù)據(jù)集，而非獲得它。模型訓(xùn)練者不會(huì)一覽無余地看到數(shù)據(jù)集，但是去訓(xùn)練它們的模型并提取有用的模型參數(shù)。
數(shù)據(jù)所有者不會(huì)看到訓(xùn)練者的模型。

屏幕快照 2019-01-17 下午5.51.51.png

A.隱私：分離傳輸
隱私數(shù)據(jù)或模型都不通過任何對(duì)方能控制的環(huán)境。

B.隱私：中立
我們的硬件安全區(qū)COVAClave是中立的對(duì)于數(shù)據(jù)所有者、模型訓(xùn)練者和網(wǎng)絡(luò)的其余部分。安全區(qū)所屬主機(jī)，網(wǎng)絡(luò)中的礦工，也沒有存取安全區(qū)內(nèi)容的權(quán)限（這就是為什么稱之為安全區(qū)，應(yīng)為它保護(hù)外人窺視，甚至它是root主機(jī)。所有的主機(jī)能做的是停止、運(yùn)作和調(diào)用公認(rèn)的預(yù)定義函數(shù)來執(zhí)行參與者的交易。
在其中進(jìn)行重型模型訓(xùn)練計(jì)算的云實(shí)例是由COVAClave單獨(dú)控制的，因此繼承了它的中立性。

C.安全性
COVACLave的安全性繼承了SGX的安全級(jí)別。SGX在美軍和智能服務(wù)中廣泛使用，它是安全的在絕大多數(shù)用例中。未來，我們使用SGX-盾牌[10]來增加地址布局的熵，從而為我們提供概率保證，即對(duì)手無法在任何實(shí)際時(shí)間范圍內(nèi)提取秘密。我們還使用獨(dú)立密鑰對(duì)任何憑證進(jìn)行超級(jí)加密，以進(jìn)一步防止側(cè)通道攻擊。
計(jì)算實(shí)例的安全繼承了云計(jì)算提供者的安全級(jí)別，比如AWS，Azure或者阿里云。這些所有者提供的安全性足夠健壯對(duì)于幾乎所有的用例來說，同時(shí)幾乎比所有本地可選擇的計(jì)算環(huán)境都要更強(qiáng)大。

D.計(jì)算證明
安全區(qū)發(fā)出一個(gè)計(jì)算證明伴隨計(jì)算結(jié)果返回給智能合約，允許剩余的網(wǎng)絡(luò)去驗(yàn)證這個(gè)交易而不需要執(zhí)行多的計(jì)算。

E.結(jié)果檢查
那個(gè)結(jié)構(gòu)、規(guī)模和提交的計(jì)算結(jié)果的內(nèi)容被閹割的檢查，在發(fā)回給模型訓(xùn)練者之前。

最低限度地揭示結(jié)構(gòu)MRS。一個(gè)模型是一個(gè)數(shù)據(jù)集中的結(jié)構(gòu)的廣義表達(dá)。為了最大限度的隱私保護(hù)，MRS需要被提取出來。進(jìn)一步的，MRS必須是不可逆的。

當(dāng)前模型訓(xùn)練實(shí)踐。數(shù)據(jù)科學(xué)家主要使用流行的框架比如skLearn/Caffe/TensorFlow。Covalent促進(jìn)這些框架的使用通過顯示數(shù)據(jù)集的MRS。
數(shù)據(jù)科學(xué)家使用數(shù)據(jù)主要在兩個(gè)方面：
訓(xùn)練ML模型：MT想要一些摘要（和更多重要的不可逆的）數(shù)據(jù)集的結(jié)構(gòu)，通過運(yùn)行多樣流行的ML模型，比如隨機(jī)森林，神經(jīng)網(wǎng)絡(luò)，或SVM。
總結(jié)統(tǒng)計(jì)：MT想要提取總結(jié)統(tǒng)計(jì)。比方說：MT想要知道公司A支付不同族裔的平均薪水。

結(jié)果檢測模型。在訓(xùn)練傳統(tǒng)ML模型，多個(gè)方法在結(jié)果檢測中被采用：
1）圍繞著存在的流行模型結(jié)構(gòu)和模型性能方法的封裝器。確保只有這些元素能作為結(jié)果返回。
2）嚴(yán)格限制返回結(jié)果的規(guī)模。
3）索引隨機(jī)選擇來制止多樣的數(shù)據(jù)拷貝。
4）使用不同的隱私算法進(jìn)行預(yù)處理。
在附錄B中，我們展示一些在圖片數(shù)據(jù)上訓(xùn)練神經(jīng)網(wǎng)絡(luò)的模型訓(xùn)練代碼的例子。

代碼和圖片 TODO

提取統(tǒng)計(jì)資料的情形中，更多短缺的方法被采用：
1）提供一個(gè)官方的分組和映射庫。所有可能的計(jì)算都被限制在這個(gè)里面的函數(shù)。
2）一個(gè)自動(dòng)K-匿名算法【11】被應(yīng)用數(shù)據(jù)集上去確保急切的隱私保護(hù)。
在上述代碼片段2的示例中，我們論證了MT如何使用CovaSecureSummary撰寫簡易的統(tǒng)計(jì)運(yùn)算模型，只從加利福尼亞州的業(yè)主的個(gè)人信息記錄中獲取隱私保護(hù)的匯總表。

F.時(shí)序安排
在很多情況下，模型訓(xùn)練者想要使用map-reduce范例在一個(gè)數(shù)據(jù)集上并行運(yùn)算。我們允許這個(gè)和其他的分布計(jì)算范例并提供一樣的隱私保護(hù)。

設(shè)計(jì)原則
每一個(gè)工作都指派給單一的SGX主機(jī)礦工。
在云計(jì)算環(huán)境中每一個(gè)工作都有一個(gè)控制實(shí)例。所有范圍內(nèi)外的通信都按照這個(gè)控制實(shí)例的路徑發(fā)送。這最小化了攻擊面。
這個(gè)單一的控制實(shí)例能換到任何分部計(jì)算范例。絕大多數(shù)使用的框架是Apache Hadoop和Spark，但是其他利基框架同樣為我們的設(shè)計(jì)兼容。
我們每個(gè)ec2實(shí)例只允許1個(gè)計(jì)算任務(wù)。這可以防止由于vm轉(zhuǎn)義導(dǎo)致的數(shù)據(jù)缺陷。產(chǎn)生ec2實(shí)例所花費(fèi)的時(shí)間與實(shí)際計(jì)算所花費(fèi)的時(shí)間相當(dāng)。
Map reduce。圖6是一個(gè)細(xì)節(jié)的設(shè)計(jì)圖表顯示了Covalent數(shù)據(jù)網(wǎng)絡(luò)是如何兼容AWS Elastic Map-Reduce.
任務(wù)分配相關(guān)的參數(shù)通過各種結(jié)構(gòu)體來關(guān)聯(lián)，他們的細(xì)節(jié)在圖標(biāo)的底部。
SGX主機(jī)挖礦者的營私保護(hù)繼續(xù)存在于控制器實(shí)例，其后轉(zhuǎn)移到每一個(gè)ecs實(shí)例。通信的傳遞經(jīng)過控制實(shí)例為了最小化攻擊面。

5.Covalent X
Covalent X是一個(gè)未來的隱私優(yōu)先的去中心化數(shù)據(jù)網(wǎng)絡(luò)。它是未來的因?yàn)樗蕾囉邢Ｍ那胰匀晃闯墒斓募夹g(shù)來達(dá)到完全的免信任構(gòu)建。
Covalent X不需要任何行人構(gòu)建，因此它是完全去中心化的。
Covalent X使用同態(tài)加密來確保數(shù)據(jù)和模型安全。
Covalent X使用零知識(shí)證明來提交計(jì)算證明。
在這個(gè)章節(jié)，我們以下列順序來推進(jìn)：
1）介紹同態(tài)加密
2）介紹零知識(shí)證明
3）討論一個(gè)對(duì)于FHE和ZKP的最大問題的全面的可能性分析
4）提出一個(gè)全面的使用FHE和ZKP的系統(tǒng)設(shè)計(jì)來達(dá)到隱私優(yōu)先的去中心化數(shù)據(jù)網(wǎng)絡(luò)，同時(shí)完整的免信任設(shè)置

A.同態(tài)加密：隱私
同態(tài)加密僅僅使用密碼學(xué)來解決數(shù)據(jù)隱私問題。給予數(shù)據(jù)集D，模型f所有者想執(zhí)行計(jì)算f(D)。然后，因?yàn)閿?shù)據(jù)所有者D因?yàn)閾?dān)心隱私而不愿意分享數(shù)據(jù)，計(jì)算就不能執(zhí)行，數(shù)據(jù)依然被鎖定。對(duì)于同態(tài)加密來說，首先加密數(shù)據(jù)-E(D)，然后發(fā)送給模型訓(xùn)練者來計(jì)算f(E(D))。這種形式的計(jì)算不可思議的地方是能確保f(E(D))=f(D)。模型訓(xùn)練者不會(huì)看到D應(yīng)為它是加密的，但是它可以繼續(xù)運(yùn)行、執(zhí)行需要的計(jì)算并獲得同樣的結(jié)果！
更正規(guī)的說，HE是一種加密形式，它指示密文計(jì)算的結(jié)果與明文上的計(jì)算的解密結(jié)果相匹配。符號(hào)E(X)被用來指代加密消息X。
一個(gè)加密模式E被認(rèn)為對(duì)于某個(gè)符號(hào)@是同態(tài)的，當(dāng)且僅當(dāng)E(a@b)=E(a)@E(b)。如果加密模式是同態(tài)的，同時(shí)支持加法和乘法操作，那時(shí)它可以支持在密文上面的任意計(jì)算。這就是全同態(tài)(FHE)。Craig Gentry[12]，使用基于格的密碼學(xué)，描述了完全同態(tài)加密方案的合理構(gòu)造。
格基礎(chǔ)的FHE。理論上，Gentry的FHE構(gòu)建包含幾個(gè)關(guān)鍵的中間步驟：
構(gòu)造支持低次多項(xiàng)式估計(jì)的“有些同態(tài)”方案
將解密“壓縮”到低次多項(xiàng)式
稍微修改方案使其成為“啟動(dòng)技術(shù)”（即能夠評(píng)估自己的解密電路以及另外一個(gè)操作）

我們需要以下理想格的數(shù)學(xué)概念。設(shè)f∈Z[x]為n次的單變量多項(xiàng)式，取商z [x] / f。對(duì)于理想的I?Z[x]/f，理想的晶格是這樣的整數(shù)晶格L(B)?Z^n。于是
B = {g mod f : g∈I }
形式上加密模式E有6個(gè)算法：KeyGenE，EncryptE，DecryptE，SplitKeyE，ExpandCTE，EvaluateE，EvaluateE以公鑰pk，一個(gè)電路C∈CE和一個(gè)密文W作為輸入評(píng)估E的正確性。進(jìn)一步的，我們有計(jì)算復(fù)雜度的需求，這些計(jì)算都必須是安全參數(shù)入的多項(xiàng)式。
現(xiàn)在，核心的算法-加密算法E函數(shù)如下所示：
KeyGenE/SplitKeyE/EncryptE/ExpandCTE/DecryptE可在網(wǎng)絡(luò)中尋找。
在Gentry、Brakershi和Vaikuntanathan[13]進(jìn)一步的合作下，產(chǎn)出了第二代FHE系統(tǒng)。FHE主要的問題仍然是效率極低。最近，F(xiàn)an和Vercauteren[14]在LWE問題的基礎(chǔ)上移植Brakerski的FHE到ring-LWE設(shè)置并且介紹兩個(gè)重復(fù)線性化的優(yōu)化版本，不僅結(jié)果在更小的重復(fù)線性鑰匙上面，也達(dá)到了更快的計(jì)算。我們?nèi)匀粯酚^一個(gè)突破將在未來5-10年到來。

B.零知識(shí)證明：計(jì)算證明
在類似完全去中心化和免信任的Covalent X中，游戲系統(tǒng)的激勵(lì)很強(qiáng)，所以任何算力或者其他事情的貢獻(xiàn)需要被證明。進(jìn)一步的，在關(guān)注隱私之外，證明必須最小化且不會(huì)泄露計(jì)算的內(nèi)容。這看起來似乎是一個(gè)不可能完成的任務(wù)，除非使用零知識(shí)證明。
正式來說，一個(gè)ZKP是證明者能向其他驗(yàn)證者證明一個(gè)聲明是真的而不需要暴露除了這個(gè)聲明是真的之外的任何信息。它必修滿足3個(gè)屬性：
完整性。如果聲明是真的，誠實(shí)的證明者將確信誠實(shí)的證明者的真相。
公正性。如果聲明是假的，沒有惡意的證明者能讓誠實(shí)的驗(yàn)證者相信那是真的，除了非常小的概率。
零知識(shí)。如果聲明是真的，沒有驗(yàn)證者能學(xué)到出了那個(gè)聲明是真的之外的更多信息。

zk-SNARK。Zcash協(xié)議[15]。
zk-STARK。Ben-Sasson提出的坦率ZKP[16]，它不依賴信任構(gòu)建。

C.可行性分析
在計(jì)算理論水平，F(xiàn)HE和zk-STARK都面臨一樣的挑戰(zhàn)：多項(xiàng)式插值和評(píng)估（前者效果更差）。因此，我們將可行性分析簡化為單獨(dú)的zk并獲得有用的數(shù)量級(jí)下限。
在時(shí)間和空間復(fù)雜度的最大的瓶頸是執(zhí)行跟蹤的低度擴(kuò)展性能。LDE通常通過多項(xiàng)式插值計(jì)算，然后是其逆運(yùn)算 - 多點(diǎn)多項(xiàng)式評(píng)估步驟。
Ben-Sasson[16]運(yùn)行一個(gè)DNA簡況匹配程序來估算復(fù)雜度。程序的尺寸描述如下表3。表4中顯示了復(fù)雜度結(jié)果。通過這些結(jié)果，調(diào)用總計(jì)90954個(gè)乘法門需要消耗6分鐘和131G的內(nèi)存。

屏幕快照 2019-01-19 下午12.22.29.png

Toy機(jī)器學(xué)習(xí)算法。OLS回歸是機(jī)器學(xué)習(xí)和AI的鼻祖。我們有興趣知道可以運(yùn)行的OLS，其中zk-STARK計(jì)算證明仍然可以生成。
接下來做了一個(gè)實(shí)驗(yàn)，結(jié)果不太理想。
這些結(jié)果清晰的表明這些算法還沒有準(zhǔn)備好作為商業(yè)生產(chǎn)，我們認(rèn)為它們尤其值得估計(jì)，特別是意識(shí)到我們面臨的難題。世界上有很多杰出的想法在其上工作。更多地可驗(yàn)證計(jì)算和縮短證明長度是有希望的[17]。近期的進(jìn)展來自IBM的Halevi[18]加速了線性變換達(dá)75倍。

D.系統(tǒng)設(shè)計(jì)
在無計(jì)算設(shè)置中，數(shù)據(jù)能被簡單的通過FHE加密并被直接交易。FHE來保證數(shù)據(jù)隱私。在第三方計(jì)算設(shè)置中，一個(gè)礦工能在FHE加密的數(shù)據(jù)上計(jì)算并提交一個(gè)ZKP計(jì)算證明來確認(rèn)交易。
無計(jì)算設(shè)置。通過FHE，數(shù)據(jù)能被銷售就像在Amazon中的任何元素一樣。數(shù)據(jù)隱私在銷售、流通和使用中被自然的保護(hù)。
可以設(shè)想以數(shù)據(jù)為中心的范例，即使是微數(shù)據(jù)產(chǎn)品也可以方便地以多種方式（流媒體，許可，交換等）向多方（模型培訓(xùn)師，數(shù)據(jù)聚合器，其他數(shù)據(jù)所有者）銷售數(shù)據(jù)。看圖片7。一個(gè)數(shù)據(jù)網(wǎng)絡(luò)將被標(biāo)準(zhǔn)化：隱私數(shù)據(jù)以高速度和高流動(dòng)性流通各種系統(tǒng)，并一直保持隱私安全。

屏幕快照 2019-01-19 下午5.30.34.png

可追溯所有權(quán)在這個(gè)范例中被置于中心舞臺(tái)。數(shù)據(jù)所有者將在所有數(shù)據(jù)的流通和使用中得到回報(bào)。作為一個(gè)公開賬本，區(qū)塊鏈技術(shù)是解決這個(gè)問題的大的部件。Steem，BAT，F(xiàn)actom都是主動(dòng)觸及這個(gè)領(lǐng)域的解決方案。

三方計(jì)算設(shè)置。在很多解決方案中，數(shù)據(jù)所有者可能不想轉(zhuǎn)移加密數(shù)據(jù)給對(duì)方。這可能因?yàn)閮煞矫嬉蛩兀?br> 數(shù)據(jù)所有者有版權(quán)問題或希望按使用付費(fèi)收費(fèi)。
將計(jì)算邏輯直接寫在智能合約上是理想的方案。這是情景包括私人拍賣，在線診斷，私人期貨合約等。在這些情景下，允許第三方進(jìn)行計(jì)算并提交證據(jù)更為直觀。
圖片8是整體設(shè)計(jì)。

屏幕快照 2019-01-19 下午6.10.34.png

如下是一個(gè)更嚴(yán)厲的討論。
數(shù)據(jù)所有者：DOi和同態(tài)加密的輸入Di^{FHE以及公開的輸入Di}pub
算力供應(yīng)者：C，返回計(jì)算結(jié)果Ri

計(jì)算過程經(jīng)歷三個(gè)階段。這些階段被嚴(yán)格的增長的區(qū)塊時(shí)間T所限制。這對(duì)于防止因故障導(dǎo)致中途中止而言非常重要。
1）初始化。每一個(gè)DOi提交存款Di^{coin并加密輸入Di}FHE到智能合約中。T1被用來限制這個(gè)操作。中途中止導(dǎo)致退款給各方。
2）計(jì)算。C收到以上所有數(shù)據(jù)，然后執(zhí)行智能合約。
3）返回。在Oi產(chǎn)生以后，C構(gòu)建zk-STARK的計(jì)算證明Pc來表明Ri得到了正確計(jì)算。每一個(gè)Ri被相應(yīng)的DOi的公鑰Di^pub加密并返回。證明和加密結(jié)果在限制時(shí)間T2內(nèi)返回，否則合約就流產(chǎn)。Pc被智能合約驗(yàn)證，資金相應(yīng)的得到分配。每一個(gè)DOi使用自己的私鑰解密返回的結(jié)果Ri。
注意無論是FHE還是zk-STARK在處理中都不依賴信任設(shè)置，因此處理在無信任環(huán)境中是完整去中心化的。

6.鏈，挖礦和通證經(jīng)濟(jì)
鏈。擴(kuò)展性是區(qū)塊鏈?zhǔn)滓年P(guān)注點(diǎn)。傳統(tǒng)的擴(kuò)展性的最佳評(píng)估是交易數(shù)量，一個(gè)鏈能提供的TPS。計(jì)算擴(kuò)展性的最佳評(píng)估指標(biāo)是執(zhí)行智能合約的計(jì)算邏輯的gas消耗。Covalent主要的貢獻(xiàn)在改進(jìn)計(jì)算擴(kuò)展性。
計(jì)算擴(kuò)展性。CVM和它相關(guān)的計(jì)算證明設(shè)計(jì)（TEE或ZKP）能使我們的鏈擁有本質(zhì)的無窮計(jì)算擴(kuò)展性。無論計(jì)算多么大或者自定義，都可以被我們的智能合約系統(tǒng)最高的可能效率執(zhí)行-一個(gè)節(jié)點(diǎn)計(jì)算，剩余的僅僅需要來驗(yàn)證。這是以太坊很大的短板。
傳統(tǒng)擴(kuò)容。在無許可的方面，即將來臨的POS四通提供了一個(gè)對(duì)于無許可鏈的有希望的擴(kuò)展方案。不斷發(fā)展的狀態(tài)通道和切片有強(qiáng)大的希望。在許可方面，BFT被證明是擴(kuò)展性的方案。Covalent將首先采用Tendermint的許可制BFT共識(shí)算法在選擇一個(gè)擴(kuò)展的無許可POS共識(shí)算法被證明的安防出現(xiàn)之前。
挖礦。在目前的方案中，Covalent的SGX主機(jī)款共將通過執(zhí)行兩個(gè)函數(shù)來得到回報(bào)。
生產(chǎn)區(qū)塊和驗(yàn)證交易。
托管硬件飛地并促進(jìn)計(jì)算實(shí)例的產(chǎn)生。
在未來的方案中，Covalent的礦工將從兩個(gè)函數(shù)賺取收入。
生產(chǎn)區(qū)塊和驗(yàn)證交易。
提供計(jì)算資源作為第三方電腦。

科學(xué)的通證經(jīng)濟(jì)。新的tokens通過挖礦產(chǎn)生。存在的tokens以存款和支付的形式在系統(tǒng)中流轉(zhuǎn)。
通過沒收處罰存款來回收代幣。通證經(jīng)濟(jì)設(shè)計(jì)的目標(biāo)是確保y一下主要角色的恰當(dāng)行為。
提供算力和環(huán)境的礦工因?yàn)樗麄凃?yàn)證交易和托管硬件安全區(qū)獲得回報(bào)。
用戶在交易中存款和支付。在違反規(guī)則的情況下，存款被沒收并回收到令牌供應(yīng)中。
開發(fā)者貢獻(xiàn)流行的合約和dapps，收獲技術(shù)功能棧和帶來新的用戶。
新用戶通過營銷活動(dòng)獲得獎(jiǎng)勵(lì)，成為社區(qū)的一部分。

引用和附錄不詳述。附錄是一個(gè)關(guān)于機(jī)器學(xué)習(xí)的初始讀本。