为帮助开发者了解 AZTEC 的核心概念及使用方式，我们开发了一套去中心化借贷应用，并撰写本系列文章，带领读者一步步了解开发流程。文章及范例需要读者有网站及 solidity 开发的基本概念。6 ~- @' h6 z4 u9 c9 b# h
此系列分成以下四个部分：; v. s6 U; R  n' V- L7 ^
AZTEC 协定简介 (英文原文)发布 AZTEC 至 Ganache证明、签收、及检视密钥管理建立及使用加密资产( G% R) a+ F0 l; U& F0 |
, k) u9 Z% S- ]% j
首先，让我们介绍为什么要使用 AZTEC。( n  }9 _: A1 z* G- H
现在大部分的区块链应用都跟有价资产有关，服务本身也许仍以网站或 App 的形式出现，但会额外使用智能合约来管理及保护使用者的资产。例如：一个投资管理公司将用户的债券转为等值货币纪录在以太坊上，并撰写智能合约在一定条件下由发行人直接转给投资人利息，中间并不透过该公司。所以即使公司倒闭，双方仍可以继续在区块链上履行彼此的权利义务。区块链的本质确保了在链上的数据不会被窜改，且用户数据不会完全被该公司所拥有。但这也衍生了另一个问题?—?隐私。" N7 F; {8 {& B9 s* V- J5 O% \" x
区块链上每笔交易的输入输出数据都是公开的。; E7 p1 i5 B8 r: }
以上面的例子来说，债券的价值及票面利率等，都必须公开于链上才能保障双方的交易。然而在真实世界中，这些资料都是被投资公司所保管的。
& O. A  C9 ?! f2 @' e  x* f2 EAZTEC 协定 就是用来确保在区块链上的数据仍能兼顾保密性。它运用一系列零知识证明 (zero-knowledge proofs) 及同态加密 (homomorphic encryption) 来处理数值，并可对这些加密数据做特定逻辑运算。于是我们可以存取这些加密讯息至区块链，对其做运算验证，而不会透露出它们真正的值。7 U* \* Y, E% m& E
运作原理+ T2 w( {% Q3 }( |
传统的零知识验证系统如果跑在区块链上将会花费相当可观的燃料费 (gas)，且在链上的验证会很耗时，不同资产间也无法互相转换。当中最耗费的运算是范围证明 (range proof)。范围证明可以验证一个加密的值是否落在特定范围内，这对处理椭圆曲线上两点的相加特别重要。在椭圆曲线上，负值是极大的正值，于是需要范围证明来规范最大值。AZTEC 下的信赖建置系统 (trusted setup) 将以相对传统系统极小的花费来执行范围证明运算。" v* J! V3 q: j4 ?
一旦确保了加密数据在可接受范围内，我们即可用椭圆曲线的点相加定理来做逻辑验证。基于同态加密原则，当我们对两个密文做处理，得到的结果也会是密文。于是我们可以安心的在区块链上验证加密数据，而不会暴露真实的值。) i: i% y  `+ j
综合以上两项基础，我们可以衍生出一系列可运用在区块链上的逻辑陈述。如果想知道 AZTEC 协议下详尽的证明，请参考这份白皮书。
. S5 T( `- I" m2 P) L1 ?, I1 iAZTEC 的核心概念
1 h$ A6 X; J, bAZTEC 遵照的 UTXO 模型类似于比特币的模型。AZTEC 票据 (note) 是协议里运算的基础单元。票据的值已被加密。每个票据的状态都纪录在票据登记所 (note registry) 里。) L4 M- H, e) ?$ B+ X& U) ]4 X
用户的 AZTEC 资产是一个票据登记所里所有被该用户地址所拥有的有效票据的和。
( C+ m8 o1 o( M3 M+ x
" D$ \% W& P4 ]. s9 i             - AZTEC 的 UTXO 模型-1 _' F2 D8 V7 H/ _
公有链 (public blockchain) 有两个主要优势：独立不受任何单位控制的经济体系，以及资产的互操作性 (interoperability，从某个产品得到的收益可以用来支付另一个服务的费用)。然而当今大部分的零知识系统都缺乏互操作性。他们运作在孤立的圈子里，使得不同数字资产间难以流通。AZTEC 也解决了这项问题。! G& }2 b8 L0 C& j  H4 s" y
要达到互操作性，所有 AZTEC 资产将共享单一信赖建置系统，他们的状态也将由一个智能合约统一管理，此合约称为 ACE (AZTEC Cryptography Engine)。ACE 有两个主要功能：利用指派的合约来执行证明，并于验证通过后，更新票据登记所里相关票据的状态。
1 W* y/ r1 E: u7 Z
6 j# @( t# z, b; Y$ ^AZTEC 协议设计了一套开发模块来帮助开发者打造兼顾信息保密的去中心化应用。目前 AZTEC 提供了七个工具组：% z7 `; R; f1 S* C  r) X) Y
Join Split (转账)
  ~* E9 A  j( S4 J; |" p! m% zJoin Split 证明能将一个或多个票据结合或拆解成一个或多个不同的票据，并保证输入的票据实值总和等于输出的和。9 p2 [/ l% f) t
这个证明也可用来与 ERC20 互动：把公开的 ERC20 值转换成 AZTEC 票据，或是将 AZTEC 票据转回 ERC20。
: b/ m  |# J# C, k% q) QBilateral Swap (交换)
, z0 X0 n3 ~7 ~' }6 U: A" I0 s( ABilateral Swap 证明能让用户互换票据。例如用来交换代表两种资产的票据：法定货币换贷款/债券/抵押品。此证明验证甲方提供的票据等于乙方要求的票据，而乙方提供的票据等于甲方要求的票据。
  T$ m7 A, L3 ^* T6 dDividend8 P8 Y" z1 y  |4 l5 F1 Q; {# l
Dividend 能验证输入票据的值等于输出票据的值乘上一个公开值。此证明能用来验证收到的利息是否正确。% B/ S6 @4 J! _1 [- d4 n! d5 d2 E& ?
Mint
% K% ~2 a" p! ?; D/ N6 U8 O! z$ E+ jMint 证明让可信的用户能增加票据的供给。例如在收到转入账户的稳定货币后产生一个等值的 AZTEC 票据。
9 g2 U3 [  F1 _1 B" E% {Burn
, b9 D# g$ K3 q2 b* |3 {: z( l/ d" OBurn 证明让可信的用户销毁票据。例如在转出稳定货币给他人后销毁一个等值的 AZTEC 票据。
, }1 r& o" U* s1 J6 [Private Range2 K; x& L3 u, h) b0 c8 `  f
Private Range 能验证一个票据的值是否大于另一个票据的值。此证明可用来保证资产小于规范。
( ]! F& T3 {7 i  `; tPublic Range
5 u4 r9 }' b4 }& d( `( nPublic Range 能验证一个票据的值是否大于另一个公开的整数。此证明可用来保证资产小于规范。1 \+ x" R' \6 h) n0 _
隐私、匿名、与保密
9 c: [. x) A! J! M* D4 E4 h' U: x% u这些名词在零知识系统里很常被提到。接下来我们将解释他们之间的差异以及以 AZTEC 实作各项的可能性。
4 M4 O2 j2 a, ]4 {隐私 (privacy)：交易的所有信息都不被第三方得知。0 p2 M* E! a' {  L0 D9 ?: L, f
匿名 (anonymity)：交易的输入与输出信息都是公开的，但保护交易的来源与去向以防透露出交易双方的身分。0 l  U. [, O2 [; O0 U
保密 (confidentiality)：隐藏交易的输入与输出信息，但交易双方的身分则是公开的。- Y+ Y/ K/ D  x  Y) o2 V9 \% D
AZTEC 提供交易的保密性。透过协议加密输入输出数据，将使得第三方无法解密公开于链上的信息。! @( r0 e* B; V
如传递一般的以太坊地址至 AZTEC 工具组，产生的证明是无法自动达到匿名的。然而匿名仍是可以与 AZTEC 并行。协议里的验证并不要求票据的收送方为交易的发送方。于是我们可以透过第三方代为执行交易进而隐藏用户的身分。未来版本的 AZTEC 将实作去中心化的代转交易并隐藏燃料费用，届时使用协议将可以做到完全的隐私。( C- R* R$ _% {- {! v& |
建立保密资产
0 r, }; x  ]: i+ F0 N, FEIP 1724 旨在标准化一个接口，以与 UTXO 模型为底的保密资产互动。AZTEC 的 NPM 套件 @aztec/protocol 中参照了 EIP 1724 对资产型态的定义：
2 m7 q* z# M/ V, k4 s3 Jhttps://cdn-images-1.medium.com/max/800/1*kgUXqtqUwAkDpy57nlRGKg.png4 L3 \5 N  Z" V0 ^
EIP 1724 ZkAsset 标准
8 I0 Q, s. k3 ?& S; ]- Z3 @7 n接下来让我们看一个简单的例子：
0 z2 B- o( B  n+ y; L" I* L* P假设一个 dApp 需要做逻辑检查来确保交易方的资产在交易后会少于规范的最大值。
, l! _$ n0 q: e7 d这个检查在一般的 dApp 里可以简单实作。合约将检查现有资产 assetBalance[buyer] 加上预计收到的款项 tradeNotional 小于规范的最大值 regulatoryMax。( }& o  k' P2 @; A' j, x
if (tradeNotional + assetBalance[buyer]
! W4 F; R) y  I7 Z; u+ A2 T( X3 B在信息需被保密的情况下，同样的逻辑可以使用 AZTEC 协议达成。差别在于所有参数将被加密成 AZTEC 票据，并建构一个证明，此证明再交由 ACE 验证。0 |- ~( k; v3 P4 }
这个例子将使用 Private Range 证明：2 A, B, W9 M- v8 Y; l, |0 Y0 J" r% H
const {
0 [5 Z2 e5 P6 |2 f9 T    proofData,, P! A' |) n- X
} = await aztec.proof.privateRange.encodePrivateRangeTransaction({' \0 `8 m2 j. m- f% Z5 B6 z. s
    originalNote: regulatoryMax,/ l  y2 \' v0 v$ R7 }
    comparisonNote: postTradeUserBalance,
' q& g/ W1 C2 w6 ]    senderAddress: accounts[0],4 j7 G& Z, u3 n7 t; h
});
, A% o$ O7 q! c以上证明宣告 comparisonNote 的值少于 originalNote 。接下来再将产生的 proofData 送至合约上由 ACE 验证：
* Z5 K% Y$ {4 |, h* ](bytes memory _proofOutputs) = ACE.validateProof(7 a3 z4 f8 u. J6 J2 |" m; [
    PRIVATE_RANGE_PROOF,  a0 @3 G$ E( [2 k4 E# E7 A
    address(this),
' ~6 {$ W! R+ _    _proofData% U  E0 Y3 R7 S: |2 D
);
2 g1 W: K% F5 f  m! f5 Y// 交易可以进行
2 ~+ j- f! u# j- e% FAZTEC 的设计让用户可以运用这些逻辑检查来打造一个复杂的去中心化加密金融应用。接下来的文章将进一步列举更复杂的例子。