📜 [專欄新文章] [ZKP 讀書會] Trust Token Browser API
✍️ Yuren Ju
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Trust Token API 是一個正在標準化的瀏覽器 API，主要的目的是在保護隱私的前提下提供跨站授權 (Cross-domain authorization) 的功能，以前如果需要跨站追蹤或授權通常都使用有隱私疑慮的 Cookies 機制，而 Trust Token 則是希望在保護隱私的前提下完成相同的功能。

會在 ZKP (Zero-knowledge proof) 讀書會研究 Trust Token 主要是這個 API 採用了零知識證明來保護隱私，這也是這次讀書會中少見跟區塊鏈無關的零知識證明應用。

問題

大家應該都有點了一個產品的網頁後，很快的就在 Facebook 或是 Google 上面看到相關的廣告。但是產品網頁並不是在 Facebook 上面，他怎麼會知道我看了這個產品的頁面？

通常這都是透過 Cookie 來做跨網站追蹤來記錄你在網路上的瀏覽行為。以 Facebook 為例。

當使用者登入 Facebook 之後，Facebook 會透過 Cookie 放一段識別碼在瀏覽器裡面，當使用者造訪了有安裝 Facebook SDK 來提供「讚」功能的網頁時，瀏覽器在載入 SDK 時會再度夾帶這個識別碼，此時 Facebook 就會知道你造訪了特定的網頁並且記錄下來了。如此一來再搭配其他不同管道的追蹤方式，Facebook 就可以建構出特定使用者在網路上瀏覽的軌跡，從你的瀏覽紀錄推敲喜好，餵給你 Facebook 最想給你看的廣告了。

不過跨站追蹤也不是只能用在廣告這樣的應用上，像是 CDN (Content Delivery Network) 也是一個應用場景。CDN 服務 Cloudflare 提供服務的同時會利用 Captcha 先來確定進入網站的是不是真人或是機器人。而他希望使用者如果是真人時下次造訪同時也是採用 Cloudflare 服務的網站不要再跳出 Captcha 驗證訊息。

雖然 Cloudflare 也需要跨站驗證的功能來完成他們的服務，但是相較於 Google 或 Facebook 來說他們是比較沒那麼想知道使用者的隱私。有沒有什麼辦法可以保護使用者隱私的狀況下還能完成跨站驗證呢？

這就是今天要講的新 API: Trust Token。

Trust Token API - The Chromium Projects

Trust Token / Privacy Pass 簡介

Trust Token 其實是由 Privacy Pass 延伸而來。Privacy Pass 就是由 Cloudflare 所開發的實驗性瀏覽器延伸套件實作一個驗證機制，可以在不透漏過多使用者隱私的前提下實作跨站驗證。而 Trust Token 則是標準化的 Privacy Pass，所以兩個運作機制類似，但是實作方式稍有不同。

先看一下 Privacy Pass 是如何使用。因為這是實驗性的瀏覽器延伸套件所以看起來有點陽春，不過大致上還是可以了解整個概念。

以 hCaptcha 跟 Cloudflare 的應用為例，使用者第一次進到由 Cloudflare 提供服務的網站時，網站會跳出一些人類才可以解答的問題比如說「挑出以下是汽車的圖片」。

當使用者答對問題後，Cloudflare 會回傳若干組 blind token，這些 blind token 還會需要經過 unblind 後才會變成真正可以使用的 token，這個過程為 issue token。如上圖所示假設使用者這次驗證拿到了 30 個 token，在每次造訪由 Cloudflare 服務的網站時就會用掉一個 token，這個步驟稱為 redeem token。

但這個機制最重要的地方在於 Cloudflare 並無法把 issue token 跟 redeem token 這兩個階段的使用者連結在一起，也就是說如果 Alice, Bob 跟 Chris 都曾經通過 Captcha 測試並且獲得了 Token，但是在後續瀏覽不同網站時把 token 兌換掉時，Clouldflare 並無法區分哪個 token 是來自 Bob，哪個 token 是來自 Alice，但是只要持有這種 token 就代表持有者已經通過了 Captcha 的挑戰證明為真人。

但這樣的機制要怎麼完成呢？以下我們會透過多個步驟的例子來解釋如何達成這個目的。不過在那之前我們要先講一下 Privacy Pass 所用到的零知識證明。

零知識證明 (Zero-knowledge proof)

零知識證明是一種方法在不揭露某個祕密的狀態下，證明他自己知道那個秘密。

Rahil Arora 在 stackexchange 上寫的比喻我覺得是相對好理解的，下面簡單的翻譯一下：

假設 Alice 有超能力可以幾秒內算出樹木上面有幾片樹葉，如何在不告訴 Bob 超能力是怎麼運作並且也不告訴 Bob 有多少片葉子的狀況下證明 Alice 有超能力？我們可以設計一個流程來證明這件事情。

Alice 先把眼睛閉起來，請 Bob 選擇拿掉樹上的一片葉子或不拿掉。當 Alice 睜開眼睛的時候，告訴 Bob 他有沒有拿掉葉子。如果一次正確的話確實有可能是 Alice 幸運猜到，但是如果這個過程連續很多次時 Alice 真的擁有數葉子的超能力的機率就愈來愈高。

而零知識證明的原理大致上就是這樣，你可以用一個流程來證明你知道某個秘密，即使你不真的揭露這個秘密到底是什麼，以上面的例子來說，這個秘密就是超能力運作的方式。

以上就是零知識證明的概念，不過要完成零知識證明有很多各式各樣的方式，今天我們要介紹的是 Trust Token 所使用的零知識證明：DLEQ。

DLEQ (Discrete Logarithm Equivalence Proof)

說明一下以下如果小寫的變數如 c, s 都是純量 (Scalar)，如果是大寫如 G, H則是橢圓曲線上面的點 (Point)，如果是 vG 則一樣是點，計算方式則是 G 連續相加 v 次，這跟一般的乘法不同，有興趣可以程式前沿的《橢圓曲線加密演算法》一文解釋得比較詳細。

DLEQ 有一個前提，在系統中的所有人都知道公開的 G 跟 H 兩個點，此時以下等式會成立：

假設 Peggy 擁有一個秘密 s 要向 Victor 證明他知道 s 為何，並且在這個過程中不揭露 s 真正的數值，此時 Victor 可以產生一個隨機數 c 傳送給 Peggy，而 Peggy 則會再產生一個隨機數 v 並且產生 r，並且附上 vG, vH, sG, sH：

r = v - cs

所以 Victor 會得到 r, sG, sH, vG, vH 再加上他已經知道的 G, H。這個時候如果 Victor 計算出以下兩個等式就代表 Peggy 知道 s 的真正數值：

vG = rG + c(sG)vH = rH + c(sH)

我們舉第二個等式作為例子化簡：

vH = rH + c(sH) // 把 r 展開成 v - csvH = (v - cs)H + c(sH) // (v - cs)H 展開成 vH - csHvH = vH - c(sH) + c(sH) // 正負 c(sH) 消掉vH = vH

這樣只有 Peggy 知道 s 的狀況下才能給出 r，所以這樣就可以證明 Peggy 確實知道 s。

從簡易到實際的情境

Privacy Pass 網站上透過了循序漸進的七種情境從最簡單的假設到最後面實際使用的情境來講解整個機制是怎麼運作的。本文也用相同的方式來解釋各種情境，不過前面的例子就會相對比較天真一點，就請大家一步步的往下看。

基本上整個過程是透過一種叫做 Blind Signature 的方式搭配上零知識證明完成的，以下參與的角色分為 Client 與 Server，並且都會有兩個階段 issue 與 redeem token。

Scenario 1

如果我們要設計一個這樣可以兌換 token 來確認身分的系統，其中有一個方法是透過橢圓曲線 (elliptic curve) 完成。Client 挑選一個在橢圓曲線上的點 T 並且傳送給 Server，Server 收到後透過一個只有 Server 知道的純量 (scalar) s 對 T 運算後得到 sT 並且回傳給 Client，這個產生 sT 的過程稱為 Sign Point，不過實際上運作的原理就是橢圓曲線上的連續加法運算。

SignPoint(T, s) => sT

等到 Client 需要兌換時只要把 T 跟 sT 給 Server，Server 可以收到 T 的時候再 Sign Point 一次看看是不是 sT 就知道是否曾經 issue 過這個 token。

Issue

以下的範例，左邊都是 Client, 右邊都是 Server。 -> 代表 Client 發送給 Server，反之亦然。

// Client 發送 T 給 Server, 然後得到 sT

T -> <- sT

Redeem

// Client 要 redeem token 時，傳出 T 與 sT

T, sT ->

問題：Linkability

因為 Server 在 issue 的時候已經知道了 T，所以基本上 Server 可以透過這項資訊可以把 issue 階段跟 redeem 階段的人連結起來進而知道 Client 的行為。

Scenario 2

要解決上面的問題，其中一個方法是透過 Blind Signature 達成。Client 不送出 T，而是先透過 BlindPoint 的方式產生 bT 跟 b，接下來再送給 Server bT。Server 收到 bT 之後，同樣的透過 Sign Point 的方式產生結果，不一樣的地方是情境 1 是用 T，而這邊則用 bT 來作 Sign Point，所以得出來的結果是 s(bT)。

Client:BlindPoint(T) => (bT, b)

Server:SignPoint(bT, s) => sbT

而 Blind Signature 跟 Sign Point 具備了交換律的特性，所以得到 s(bT) 後可以透過原本 Client 已知的 b 進行 Unblind：

UnblindPoint(sbT, b) => sT

這樣一來在 Redeem 的時候就可以送出 T, sT 給 Server 了，而且透過 SignPoint(T, s) 得出結果 sT’ 如果符合 Client 傳來的 sT 就代表確實 Server 曾經簽過這個被 blind 的點，同時因為 T 從來都沒有送到 Server 過，所以 Server 也無法將 issue 與 redeem 階段的 Client 連結在一起。

Issue

bT -> <- s(bT)

Redeem

T, sT ->

問題：Malleability

以上的流程其實也有另外一個大問題，因為有交換律的關係，當 Client 透過一個任意值 a 放入 BlindPoint 時產生的 a(sT) 就會等於 s(aT)：

BlindPoint(sT) => a(sT), a// a(sT) === s(aT)

此時如果將 aT 跟 s(aT) 送給 Server Redeem，此時因為

SignPoint(aT, s) => s(aT)

所以就可以兌換了，這樣造成 Client 可以無限地用任意數值兌換 token。

Scenario 3

這次我們讓 Client 先選擇一個純數 t，並且透過一種單向的 hash 方式來產生一個在橢圓曲線上的點 T，並且在 redeem 階段時原本是送出 T, sT 改成送出 t, sT。

因為 redeem 要送出的是 t，上個情境時透過任意數 a 來產生 s(aT) 的方法就沒辦法用了，因為 t 跟 sT 兩個參數之間並不是單純的再透過一次 BlindPoint() 就可以得到，所以就沒辦法無限兌換了。

Issue

T = Hash(t) bT -> <- sbT

Redeem

t, sT ->

問題：Redemption hijacking

在這個例子裏面，Client 其實是沒有必要傳送 sT 的，因為 Server 僅需要 t 就可以計算出 sT，額外傳送 sT 可能會導致潛在的 Redemption hijacking 問題，如果在不安全的通道上傳輸 t, sT 就有可能這個 redemption 被劫持作為其他的用途。

不過在網站上沒講出實際上要怎麼利用這個問題，但是少傳一個可以計算出來的資料總是好的。Client 只要證明他知道 sT 就好，而這可以透過 HMAC (Hash-based Message Authentication Code) 達成。

Scenario 4

步驟跟前面都一樣，唯一不一樣的地方是 redeem 的時候原本是傳 t, sT，現在則改傳 t, M, HMAC(sT, M)，如果再介紹 HMAC 篇幅會太大，這邊就不解釋了，但可以是作是一個標準的 salt 方式讓 Hash 出來的結果不容易受到暴力破解。

這樣的特性在這個情境用很適合，因為 Server 透過 t 就可以計算出 sT，透過公開傳遞的 M 可以輕易地驗證 client 端是否持有 sT。

Issue

T = Hash(t) bT -> <- sbT

Redeem

t, M, HMAC(sT, M) ->

問題：Tagging

這邊的問題在於 Server 可以在 issue 階段的時候用不一樣的 s1, s2, s3 等來發出不一樣的 sT’，這樣 Server 在 Redeem 階段就可以得知 client 是哪一個 s。所以 Server 需要證明自己每次都用同樣的 s 同時又不透漏 s 這個純亮。

要解決這個問題就需要用到前面我們講解的零知識證明 DLEQ 了。

Scenario 5

前面的 DLEQ 講解有提到，如果有 Peggy 有一個 s 秘密純量，我們可以透過 DLEQ 來證明 Peggy 知道 s，但是又不透漏 s 真正的數值，而在 Privacy Pass 的機制裡面，Server 需要證明自己每次都用 s，但是卻又不用揭露真正的數值。

在 Issue 階段 Client 做的事情還是一樣傳 bT 給 Server 端，但 Server 端的回應就不一樣了，這次 Server 會回傳 sbT 與一個 DLEQ 證明，證明自己正在用同一個 s。

首先根據 DLEQ 的假設，Server 會需要先公開一組 G, H 給所有的 Client。而在 Privacy Pass 的實作中則是公開了 G 給所有 Client，而 H 則改用 bT 代替。

回傳的時候 Server 要證明自己仍然使用同一個 s 發出 token，所以附上了一個 DLEQ 的證明 r = v - cs，Client 只要算出以下算式相等就可證明 Server 仍然用同一個 s (記住了 H 已經改用 bT 代替，此時 client 也有 sbT 也就是 sH)：

vH = rH + c(sH) // H 換成 bTvbT = rbT + c(sbT) // 把 r 展開成 v - csvbT = (v - cs)bT + c(sbT) // (v - cs)bT 展開成 vbT - csbTvbT = vbT - c(sbT) + c(sbT) // 正負 c(sbT) 消掉vbT = vbT

這樣就可以證明 Server 依然用同一個 s。

Issue

T = Hash(t) bT -> <- sbT, DLEQ(bT:sbT == G:sG)

Redeem

t, M, HMAC(sT, M) ->

問題：only one redemption per issuance

到這邊基本上 Privacy Pass 的原理已經解釋得差不多了，不過這邊有個問題是一次只發一個 token 太少，應該要一次可以發多個 token。這邊我要跳過源文中提到的 Scenario 6 解釋最後的結果。

Scenario 7

由於一次僅產生一個 redeem token 太沒效率了，如果同時發很多次，每次都產生一個 proof 也不是非常有效率，而 DLEQ 有一個延伸的用法 “batch” 可以一次產生多個 token, 並且只有使用一個 Proof 就可以驗證所有 token 是否合法，這樣就可以大大的降低頻寬需求。

不過這邊我們就不贅述 Batch DLEQ 的原理了，文末我會提及一些比較有用的連結跟確切的源碼片段讓有興趣的人可以更快速的追蹤到源碼片段。

Issue

T1 = Hash(t1) T2 = Hash(t2)T3 = Hash(t3)b1T1 ->b2T2 ->b3T3 -> c1,c2,c3 = H(G,sG,b1T1,b2T2,b3T3,s(b1T1),s(b2T2),s(b3T3)) <- sb1T1 <- sb2T2 <- sb3T3 <- DLEQ(c1b1T1+c2b2T2+c3b3T3:s(c1b1T1+c2b2T2+c3b3T3) == G: sG)

Redeem

t1, M, HMAC(sT1, M) ->

結論

Privacy Token / Trust Token API 透過零知識證明的方式來建立了一個不需要透漏太多隱私也可以達成跟 cookie 相同效果的驗證方式，期待可以改變目前許多廣告巨頭透過 cookie 過分的追蹤使用者隱私的作法。

不過我在 Trust Token API Explainer 裡面看到這個協議裡面的延伸作法還可以夾帶 Metadata 進去，而協議制定的過程中其實廣告龍頭 Google 也參與其中，希望這份協議還是可以保持中立，盡可能地讓最後版本可以有效的在保護隱私的情況下完成 Cross-domain authorization 的功能。

參考資料

IETF Privacy Pass docs

Privacy Pass: The Protocol

Privacy Pass: Architectural Framework

Privacy Pass: HTTP API

Cloudflare

Supporting the latest version of the Privacy Pass Protocol (cloudflare.com)

Chinese: Cloudflare支持最新的Privacy Pass扩展_推动协议标准化

Other

Privacy Pass official website

Getting started with Trust Tokens (web.dev)

WICG Trust Token API Explainer

Non-interactive zero-knowledge (NIZK) proofs for the equality (EQ) of discrete logarithms (DL) (asecuritysite.com) 這個網站非常實用，列了很多零知識證明的源碼參考，但可惜的是 DLEQ 這個演算法講解有錯，讓我在理解演算法的時候撞牆很久。所以使用的時候請多加小心，源碼應該是可以參考的，解釋的話需要斟酌一下。

關鍵源碼

這邊我貼幾段覺得很有用的源碼。

privacy pass 提供的伺服器端產生 Proof 的源碼

privacy pass 提供的瀏覽器端產生 BlindPoint 的源碼

github dedis/kyber 產生 Proof 的源碼

[ZKP 讀書會] Trust Token Browser API was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

再蹭米其林 - 政治正確

上一篇貼文用了”政治正確”這個字, 收到網友私下來問: 甚麼是政治正確?

這個有點難說清楚, 因為米其林向來不做任何說明, 所有的都只能從已發生過的或公布的名單做邏輯性的歸納, 整理, 分析, 詮釋, 以及… 揣測. 但也不是憑空捏造.

米其林總是說它的評鑑是: 只看餐盤裡的品質, 硬體的裝潢不在考量(最常被拿來做反證的就是東京地下室餐廳的次郎壽司, 或是新加坡的了凡這些特例). 但是前總編Jean-Luc Naret又用過珍珠做比喻: 一顆在粗糙貝殼裡的漂亮珍珠和放在精緻的珠寶盒裡, 予人的價值感是不一樣的.

如果我們逐步擴大上述例子的詮釋: 把一道擺盤很精緻漂亮的菜放在一個庸俗醜陋的白鐵盤子裡, 像在喫牢飯, 價值感覺絕對低. 如果放在一個精緻的瓷盤上, 美感大大地加分, 價值感也大增.

如果用如此精緻盤子呈現的這道菜放在一個舒適宜人的餐桌上 – 燦亮的銀製餐具, 晶閃的水晶酒杯, 潔白平整的桌巾, 華美富麗的燭台, 旁邊用餐的都是香衫鬢影的人 – 那自然又不同了. 品嘗的客觀條件升高, 整體的價值也跟著升高, 菜當然也變得格外香美.

如果再加上專業的服務, 餐酒的搭配, 賞心悅目的空間感… 菜, 還是那一道原本在牢裡白鐵盤裡的那一道, 起始價值可能只要20歐元, 現在你需要掏出200歐元才能享受到.

所謂的附加價值. 同樣的道理, 這些附加條件會不會影響品嘗到的滋味? 絕對會.

所以當米其林說他只評鑑盤子裡的品質… 老實說, 我個人不信. 但是, 沒有盤子裡的水準這個最基本重要的因素, 其他周邊的”附加價值”都只是浮誇虛榮, 表面工夫. 可以撐出一點門面, 但是撐不高也撐不久的.

想裝在珠寶盒裡, 至少拿出珍珠, 不要拿出石頭. 先把盤裡菜餚的水準做到, 再去想辦法增添其周邊的硬體軟體條件來抬轎. 再昂貴精美的珠寶盒也無法讓石頭變珍珠的. 一道平庸的作品硬要被包裝出來, 那只是一種假掰, 很容易被看穿的.

沒那個屁股就不要坐那個馬桶. (好啦, 這個成語用得不好…)

你聽出其中的涵義了嗎? 不管你是否聽出來, 總之, 關於星星的詮釋權總是在米其林自己手上.

所謂的政治正確又是甚麼? 我用法國餐廳做比喻, 因為每次寫到台灣餐廳, 就會一直被來信指正(除了指出事實錯誤以外): 某餐廳不希望被這樣寫; 某主廚不敢如此居功; 有時還有這樣寫不尊重XXX; 對不起YYY… 唉. (好想要有言論自由～XD)

某一年法國公布的新兩星餐廳名單就被批評一大半是高級旅館裡的餐廳, 它們擁有財團的雄厚實力和旅館基本客源的保證. 和獨立餐廳必須自行負擔盈虧相比, 很不公平. 米其林的星星頒佈有鼓勵餐廳往硬體奢華上走的嫌疑.

隔年, 高級旅館拿到星的比例大幅降低, 一大票個人主廚的獨立餐廳紛紛出頭.

又有一年, 米其林被批評三星老是頒給擁有最多資源和消費客人眾多的巴黎餐廳, 對於外省偏鄉地帶努力不懈的獨立餐廳很不公平. 果然, 隔年就是外省的某餐廳出線成為新三星.

這些, 當然可以視為巧合, 但是也未必那麼巧合.

米其林, 甚至地方政府鄉鎮都很清楚, 一家星級餐廳對越偏僻的地方在經濟觀光與稅收上的影響就越大. 也因此當某窮鄉僻壤有家一星, 就很會被鼓勵, 期望它變成兩星; 兩星的會被地方政府優惠, 期待它登上三星寶座.

反之亦然. 被拿掉星星有可能非常影響地方的榮譽感與觀光經濟的實際收入. 最好的例子就是位在小村Joigny的前三星餐廳Le Côte Saint-Jacques. 這個村子沒有甚麼觀光資源, 如果沒有這家老牌三星支撐地方的經濟, 稅收, 就業, 觀光, 就會大影響. 而且還有面子問題.

法國這幾年一直傳聞: 新三星都落在巴黎, 因此外省出現的比例就會增高. 之前布列塔尼和波爾多這兩省都有實力非常堅強的兩星. 去年就一口氣給了三家新三星: 大西洋岸的Coutenceau, 普羅旺斯的Oustau de Beaumanière和巴黎的Kei.

和過去一年只有一家新三星相比, 這是前所未有的多. 顯示一個現象: 有三星的高水準餐廳越來越多, 米其林給的速度也比過去快多了.

你真的相信米其林的評論”只看餐盤裡的品質”? 別太天真. 當一件事的經濟利益龐大到牽一髮動全身時, 不會只看一個點.

來聊聊米其林的”台灣政治正確”是甚麼.

如果政府請來米其林最重要的目的是推廣台灣美食上國際, 那麼, 如何呈現台灣美食的多元性, 在地性, 特殊性是一個重要任務; 另一個任務則是推台灣上國際. 而這需要靠星級餐廳和廚師來創造話題性. 因為小吃固然較能反映台灣人平常的實際生活面貌, 但是只有星級主廚和餐廳能引起國際活動的重視, 受邀與他國廚師聯手合作.

台灣的高級餐廳不外: 日式料理, 法式餐廳和中/台菜餐廳.

當中餐廳領域中已經有頤宮卡位成功後, 下一個出現的新三星日式或法式餐廳機會較大.

五家兩星: 態芮, RAW, 龍吟, 請客樓, 鮨天本.

請客樓和頤宮類似, 都是高級飯店裡資本雄厚財團支持下的餐廳, 資源條件都比獨立餐廳豐富, 但是頤宮在前, 請客樓就先讓讓吧.

鮨天本水準相當好, 但會員制的訂位模式常被批評, 去年東京兩家三星(次郎和齋藤)分別被米其林除名, 原因就是訂位系統. 這可能是鮨天本要拿三星的障礙.

剩下眾所矚目的態芮, RAW和龍吟.

之前說過, RAW的罩門是過大且吵雜的空間, 服務有時也傳出批評, 都是餐廳面對的問題. 否則以RAW的水準, 這一年來旺盛的創作活力和堅持在台灣味(姑且不論是否真正的”台灣味”)上的美食論述, 是非常符合米其林的價值觀.

龍吟實力堅強, 江湖上對服務和菜餚水準也始終普遍好評. 也是強調台灣食材的當下潮流, 主廚手藝當然沒有話說, 他的企圖心, 野心, 力求完美的毅力都在餐盤裡感受得到. 然而, 他是否高過同門的香港兩星的龍吟, 甚至已經可以和東京的三星龍吟平起平坐了? 而且, 他要面對另一個強勁對手: 態芮的何順凱.

從態芮開幕以來, 主廚何順凱的法式台魂就是餐飲界裡的一枝獨秀, 除了很能討好熟悉法國料理的密探的法國手法, 重新詮釋台灣傳統味道, 玩弄文字遊戲的菜名(後來被很多人抄襲)… 等等, 如果要推一個代表當下台灣高級料理的餐廳, 態芮贏面多些. 因為他有米其林喜愛的三星獨立餐廳的所有元素: 推廣在地美食文化, 主廚個人特殊風格, 手藝扎實細緻, 座位少空間幽靜.

不過態芮也不是沒有缺點: 服務有時遭人詬病, 酒單不夠堅強…等.

有人說, 米其林史上一年給一星, 三年拿到三星的非常少. 是沒錯啦, 可是頤宮不就是第一年就三星? 上海的Ultra Violet不是第二年就三星? 當然是因為這些餐廳或主廚在米其林降落之前就江湖名聲很強了.

以上只是一個蹲在巴黎無法到處旅行喫飯的台灣人的無聊觀察, 純屬茶餘飯後蹭米其林用.

明天就揭曉了, 好期待這個大熱門話題. 不過大家別太認真, 緊張, 讓廚師餐廳們去緊張, 咱們老百姓在悶燥煩鬱的疫情世界裡, 看熱鬧聊八卦, 平常心就好.

#像極了愛情
#永遠都不對味的愛情
#蹭米其林哈

甚麼都不確定, 只有一樣可以確定: 很多人會很爽, 也很多會很不爽啦!

《如何有效整理單字筆記II》進階篇

💁🏻‍♂️ 考高中需具備2000字，考大學需具備7000字，考托福需具備24000字，考GRE的話....乾脆背字典算了📚😆

如果在有限的時間內，需要快速累積大量單字，筆記的整理，一樣是個最佳的讀書方法！學習的原則基於「先求有，再求好」，才可真正提升讀書效率。若是一開始太鑽牛角尖字字句句，不但會浪費許多時間，學習的續航力反而會日漸減弱。
先求有➡️概念的建立
再求好➡️細節的掌握

1⃣️字首字根字尾心智圖
光是跟-pose有關的字就好多啊！要怎麼記下來呢？若您還記得Ken第一則分享的單字筆記，你可以發現，心智圖只鎖定在最基礎的單字，並沒有延伸太多。最主要的原因在於，基礎字要先非常熟悉，你才能夠再進行下一步的延伸字彙。

基礎單字➡️ oppose
延伸單字➡️ opposite, oppositely, opposition, oppositional...

如果我們今天先背oppositional，卻不知道oppose的意思，這樣單字的建構，非但對學習英文來說並不紮實，且更加容易遺忘。

當然，如筆記上所撰寫，dispose(處置)和disposable(用完即丟的)，雖然都是以-pose出發，但這兩個字在意義上並沒有直接關係，因此，我會用橘色的筆來標示中文，以提醒自己字義上的差別。若是還是記不住，別忘了！方法很多，找其他方法來救援，比方說，在單字旁邊畫圖，或是寫下同義字一起背，也可以自編例句來幫助記誦(例: The chopsticks are disposable. 這雙筷子是可以被我處置的！⬅️ 表示用完就可以被我折斷丟掉。）

2⃣️ 搭配詞
平時我就有搜集搭配詞的習慣，以便日後在寫作或是口說時，能夠用出比較道地的英文，避免中式英文(例:drink soup喝湯)。整理搭配詞還有一個好處，你可以發現，很多單字並非同義字，但是搭配某個字時，意思就會變得一樣，比方說，「交通擁擠」，我們可以說(busy/ congested/ heavy)+traffic。若是沒有整理搭配詞的習慣，腦袋字彙庫可能永遠只停留在國中所教的traffic jam。

如筆記上，繁榮的經濟&蕭條的經濟，我們可以直接用符號去記單字，而不依賴翻譯，比方說prosperous, healthy, sound...這些是正面屬性的單字，統一都畫上(+)的符號，反之亦然。下次看到sound economy，至少你心中知道，這經濟狀況是好的、穩定的。

3⃣️ 情緒單字6大類
我時常會將單字歸類在簡易單字的範疇底下，雖然許多單字用法上有所差別，至少概念都是差不多的，比方說devastated這個字，有「心力交瘁」之意，我就會將它歸類在 “Sad”的範疇底下。一旦用歸類的方式去記這些單字，不僅不需依賴中文，讀久了，這些相同概念的相關字，還可以串連起來，不易遺忘。若是這些相關字都記住了，我們再來研究它們有什麼不同。

4⃣️ 正反字大集合
我們小時候在學中文的時候，一樣也會用這種方法來學習，冷配熱，高配低...，以這種對照的記法，首先至少要知道其中一個字，用此方法才管用，比方說我不知道cowardly的意思，但我知道反義字是brave(勇敢)，我自然就會知道，cowardly 是膽小的意思。

5⃣️ 易混淆單字
英文當中，有很多單字是同音異義，或是看起來極為相似，我會先把它們整合起來，再加註KK音標，有時間的話，我會利用「相似單字造句法」講這些貌似雙胞胎的單字連結起來。比方說，She is my heroine instead of heroin. (她是我的女英雄而不是海洛因。)

在開學前，好好規劃一下自己的筆記學習旅程吧！

🌲 Lily英文聊天術(口說課程)：https://bit.ly/36I05CF
📚 Lily新制托福課程：https://bit.ly/2GIs3mC

中英夾雜一直是一個很尷尬也很少被討論的話題，
卻正好是我現在研究的一個重要概念，
這次和大家分享三個人為什麼會語言混雜的原因。

希望大家可以踴躍的留言，說說你的看法！
1. 有沒有什麼字或概念是中文有但英文沒有，反之亦然？
2. 你會不會中英夾雜，或甚至混雜其他語言，為什麼？和我說的原因相似嗎？
3. 如果你認為語言混雜是負面的，為什麼？
4. 關於這個話題，你想了解什麼也歡迎告訴我。I can do all the reading for you :P

我的目標是讓這個頻道成為大家能自由自在討論語言現象的地方
歡迎你加入這個對話 :)

【影片裡的單字與用法】

1. Heatwave (n) 熱浪
2. Tip of the tongue (phr) 舌尖現象，話在嘴邊
3. Hazelnut (n) 榛果 （字幕打錯了，應該是一個字才對）
4. Troublesome (a) 令人煩惱的，棘手的
5. Annoying (a) 討厭的，惱人的

Reference:
• Fedric, F. (2005). Long-term effects of CS: clues to structural borrowing. International Journal of Bilingualism, 9(3-4), 341-360
• Heredia, R., & Altarriba, J. (2001). Bilingual language mixing: why do bilinguals code-switch? Current Directions in Psychological Science, 10(5), 164-168.

⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂

ღ Instagram: https://www.instagram.com/chennlilyy/
ღ Facebook: https://www.facebook.com/chennlilyy/
ღ 合作邀約：chenlilyofficial@gmail.com

⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂⁂

我是Lily Chen. 加拿大McGill University 語言教育碩士
我的頻道分享語言學習方法、實境生活英文，以及留學、托福相關資訊
希望能藉由應用語言學的知識，讓更多人成為自信的bilingual(雙語者)