在當代數位系統中，高效且安全地驗證大量資料集已成為一項關鍵需求。

想像一下，您是否能證明自己是某個特定俱樂部或社團的成員，卻不必透露您的身份或公開完整的會員名單？

這是區塊鏈系統中常見的一個挑戰，其中成員需要證明其會員資格，卻不分享敏感資料。這正是密碼學累加器 (cryptographic accumulators) 應運而生的地方。

什麼是密碼學累加器？

密碼學累加器是一種原語，能夠為一個項目集合生成一個簡短的綁定承諾，同時也為集合中的每個元素提供簡短的成員/非成員證明。

換句話說，密碼學累加器能夠將大量數值壓縮成一個單一的小數值，同時保持快速且私密的成員資格檢查。區塊鏈不再需要分享龐大的資料集，而是可以使用簡潔的證明來檢查一個元素是否屬於某個集合。

使用者可以創建一個簡短的證明，稱為「見證」(witness)，該證明可確認成員資格，而不會透露集合中的任何其他資訊。這使得累加器在資料快速增長或隱私至關重要的系統中不可或缺。

隨著網路尋求在驗證方面更好的隱私和可擴展性，累加器已成為一種有價值的工具。它們有助於支援輕客戶端 (light clients)、保護使用者資料，並減少節點不再需要儲存所有內容的負擔，從而改善使用者透過數位錢包或其他輕量級介面互動時的體驗。

密碼學累加器的類型

密碼學累加器有幾種類型。知名的類型包括 RSA 累加器、多項式累加器和基於 Merkle 樹的累加器。每種設計在效率、安全假設和證明大小之間取得不同平衡。

RSA 累加器: 這些累加器使用 RSA 風格的密碼學，並提供強大的安全保障。它們允許非常小的證明，並且能有效地驗證成員資格。它們的主要缺點是在初始化時需要可信設置 (trusted setup)。如果設置被攻擊，累加器將失去安全性。

多項式累加器: 多項式累加器基於多項式承諾 (polynomial commitments)。它們支援零知識證明 (zero-knowledge proofs)，並常見於採用 ZK rollups 和遞歸證明 (recursive proofs) 的系統中。

基於 Merkle 樹的累加器: Merkle 樹是區塊鏈中最廣泛使用的認證資料結構，並作為基於雜湊的累加器運作。它們不需要可信設置且易於實施。每個成員證明都是從葉子到根的雜湊路徑。這些樹在大多數區塊鏈中用於驗證交易或資料，而無需下載所有內容。

建構累加器: 要創建一個累加器，系統會從一個初始值開始，然後使用乘法或雜湊等數學運算組合集合中的每個元素。當添加一個新元素時，累加器會更新以顯示集合的新狀態。

創建證明: 為了證明一個元素在集合中，會創建一個「見證」。這個見證是一小段資訊，顯示該元素如何與累加器契合。見證不透露關於其他元素的任何資訊。見證充當匹配組件，只有當該元素是集合的成員時才會匹配成功。

驗證成員資格: 驗證者會收到累加器值和見證。他們可以判斷見證是否準確地對應於所聲明的元素。如果是，他們就知道該元素在集合中。如果不是，他們就知道該聲明是假的。

更新元素: 有些累加器允許在累加器創建後添加和刪除元素。移除元素更困難，因為它需要更新相關的證明和見證。

隨著區塊鏈系統的發展，某些功能變得必要而非可選。累加器在幕後默默運作，卻能實現許多下一代功能。了解它們，能讓讀者更清楚地了解複雜的密碼學如何促進整個加密生態系統的發展、安全和使用者隱私。