本文作者:黑崎一户[1]
Verkle 树[2](音译为 “沃克尔树”)是一种承诺方案(commitment schme),其工作方式类似于 Merkle 树[3],但证据的大小要小得多。用向量承诺替换 Merkle 树中的哈希,这使得广泛的分支因子更高效。
感谢 Kevaundray Wedderburn 对帖子的反馈。
概述
有关 verkle 树如何工作的详细信息,请参阅:
- Dankrad 的博客[4]
- Vitalik 的博客[5]
- 从 Verkle 窥视 EIP[6]
本文的目的是,向希望实现 Verkle 树和想要深入研究 EIP 的客户端开发人员,解释 Verkle 树 草案 EIP[7] 的具体布局。
Verkle 树对树结构进行了许多改进,其中最重要的是:
- 从 20 字节密钥切换到 32 字节密钥(不要与 32 字节地址混淆);
- 帐户和存储树合并,并且是确定性的;
- 引入了 verkle 树本身,它使用向量承诺(vector commitments )而不是哈希。
作为 Verkle 树的向量承诺方案,我们使用 _Pedersen 承诺_——基于椭圆曲线。有关 Pedersen 承诺的介绍,以及如何使用内积参数将它们用作多项式或向量承诺,请参阅[8]此处。
我们用的是 Bandersnatch[9]曲线。选择 Bandersnatch 是因为它的高性能,也因为它将来可以让 BLS12_381 中高效的 SNARKs 推出 verkle 树 。这对于 rollup 和升级都非常有用,一旦实现,所有证据都可以压缩到一个 SNARK 中,无需进一步的承诺更新。
Bandersnatch 曲线的阶/标量域的大小为p = 13108968793781547619861935127046491459309155893440570251786403306729687672801,这是一个 253 位的素数。因此,我们只能安全地承诺最多 252 位的字符串,否则会溢出。我们为 verkle 树选择分支因子(宽度)为 256,意思是每个承诺最多可以包含 256 个 252 位的值(确切地说,是最大整数为 p - 1 )。承诺长度为 256 的列表v 写做 Commit(v_0, v_1, ..., v_{255}) 。
verkle 树的布局
Verkle 树 EIP 的设计目标之一是在访问相邻位置(例如存储地址几乎相同或者相邻的代码块)时可以更便宜。为此,密钥由 31 字节的词干和 1 字节的后缀组成,总共 32 个字节。密钥方案的设计让“邻近的”存储位置会映射到相同的词干和不同的后缀。详情请查看 EIP 草案[10]。
verkle 树本身由两种类型的节点组成:
- 扩展节点,代表 256 个有相同词干不同后缀的值
- 内部节点,最多有 256 个子节点,可以是其他内部节点或扩展节点。
扩展节点承诺是 4 个元素向量的承诺,剩余的位置将为 0:
C_1 和 C_2 是两个进一步的承诺,用于承诺所有与stem相等的词干值。需要两个承诺的原因是密钥有 32 个字节,但每个域元素只能存储 252 位,单个承诺不足以存储 256 位。因此,C_1 存储后缀 0 到 127 位的值,而 C_2 存储 128 到 255 位,值被分成两部分,以适应域的大小(我们稍后会谈到)。
扩展与承诺 C_1 和 C_2 一起被称为“扩展与后缀树”(extension-and-suffix tree 简称 EaS)。
图 1
图 1 是密钥0xfe0002abcd..ff04遍历树的表示: 路径经过 3 个内部节点,每个节点有 256 个子节点 (254, 0, 2),一个扩展节点表示abcd..ff和两个后缀树承诺,包括04— v₄ 的值。请注意,stem实际上是密钥的前 31 个字节,包括通过内部节点的路径。
叶子节点值承诺
每个 EaS 节点包含 256 个值。因为一个值是 256 位宽,而我们只能将 252 位安全地存储在一个域元素中,如果我们只是简单的将一个值存储在一个域元素中,就会丢失 4 位。
为了规避这个问题,我们将这 256 个值分成两组,每组 128 个值。即每 32 字节值被拆分为两个 16 字节值。所以值 vᵢ∈
