什么是零知识证明?|ZK 科普系列(一)
近来,我们在国外社区看到越来越多关于 ZKP (零知识证明)的讨论。无论是 Aztec 的新一轮融资,还是以 Polygon 为代表的以太坊二层网络的进展,都让 ZK 受到了极大的关注。但在国内,ZK 技术尚没有得到大规模的讨论,这其中原因不乏通俗易懂科普资料的匮乏。而作者,作为 ZK 的爱好者和初学者,试图通过系统的资料归纳和学习定期为大家奉献一系列的科普文章,让大家对于 ZK 有更全面的理解。本文为 ZK 科普系列第一篇:《什么是零知识证明?》
零知识证明(Zero-knowledge proofs,以下简称 ZKP)
零知识证明的想法最初是在1980年的一份学术论文中——《交互性证明系统的知识复杂度》中被提出。论文中提到:证明者可以在不披露信息本身的情况下向验证者证实信息的真实性。
从更技术的角度说,ZKP 是证明者与验证者两方之间的一个协议,证明者可以在不透露证明本身之外任何信息的前提下,让验证者确认某项证明是有效的。这是证明的“零知识”部分——没有知识或信息可以支持这条证明,除了证明本身。这听起来毫无道理,也似乎是不可能的。正是如此,这些技术才更加重要。
经常拿来解释 ZKP 的例子是一个名叫《寻找 Waldo》的游戏。证明者如何利用零知识来向验证者证明他知道 Waldo 在图中的哪个地方。一般的情况来说,证明者只需要在图上指出 Waldo 的位置即可,或者说 Waldo 在红白条纹的帐篷旁边,这样通过提供知识来向验证者证明他确实知道 Waldo 在哪儿。
但是如果用零知识的方法,证明者需要拿出一张纸,在中间剪个洞,并将洞放在 Waldo 上面来展示给验证者。这样,验证者可以看到 Waldo,知道证明者说的是真的,而且过程中也没有任何知识/信息的泄露。
这个例子可以很好地解释零知识证明,因为验证者可以询问 “Waldo 在哪儿”,证明者通过一张带洞的纸来证明了他知道 Waldo (只有 Waldo 自己)的位置。证明本身就是事实的证据。
如果验证者问的是“Waldo 在哪儿”,而证明者指出的是一艘小船,验证者只通过证明本身就知道证明者在撒谎。
从结构上来说,ZKP 有三个主要部分:
完整性 如果证明者说的是真的,验证者不需要额外的信息就可以得出结论;
比如:通过指出 Waldo 自己的位置,验证者立即可以验证证明者确实知道 Waldo 在哪里,不需要其它额外的信息。
可靠性 如果证明者的说法是错误的,验证者绝不可能认为是真的;
如果证明者指出的不是 Waldo 而是其它内容,验证者便知道这不是 Waldo。
零知识 证明者没有提供除了证明本身外的任何其它知识;
只用一张带洞的纸指出了 Wlado ,没有其它任何语言等暗示。
作为读者,你可能会想:故事不错,但是 ZKP 有什么现实意义呢?
有两个非常重要的方向:
隐私性——ZKP 做到了信息的隐私性。在交易中,你需要能证明你拥有某种未花费的资产,但是不想暴露资产的整个来源去向,可解决比特币等区块链平台中交易透明性带来的信息泄露,如转账地址和金额;
可拓展性——若某个区块直接验证的时间很长,可改为由一人验证并生成证明,而网络中的其它人快速验证该证明,而不再需要每个人都花很长时间来直接验证;
从上面的例子来看:
证明者只指出了 Waldo,而没有展示其它任何信息。因此关于 Waldo 具体位置的信息是隐私的;
对于验证者来说,通过带洞的剪纸看到 Waldo 比坐着听证明者试图用语言描述 Waldo 在图片中的哪个位置可以更快地进行验证。而这样,为了让验证者更快速地进行验证,证明者需要在执行过程中做更多的工作;
ZKP 本身非常复杂,这种简化的举例说明可以让大家对于 ZKP 的基础有个大概的了解。
零知识证明的分类
ZKP 主要有两种类型:zkSNARK 和 zkSTARK
zkSNARK 的概念最早于 2013年被学者提出。SNARK 分别是以下几个字母的首字母缩写。
Succinct (简洁)
Non-Interactive (非交互)
ARgument (论证)
of Knowledge (知识)
ZKP 是“简洁的”——即便在数据量很大的情况下,也可以快讯进行验证(几毫秒),验证长度只有几百字节。这意味着,验证时间不会随着运算吞吐量而成倍增长(因此可以用来扩容)。
在最初的零知识证明中,证明者和验证者为了建立可信度,可能需要多次交互。这样产生的问题是,交互越多,效率越低,会进而减慢 ZKP 的速度并影响可拓展性。而在非交互式 ZKP 中,证明只是从证明者到验证者的单条信息,这让整个过程变得更加高效。在实践中,可以生成非交互式且足够短到向区块链发布的、最高效的零知识证明方法是从 SNARK 设置之初(也就是“初始设置阶段 initial setup phase”)就在证明者和验证者之间创造一个公共参考字符串。从技术上讲复杂度很高,但这样也许可以帮助理解:
交易依靠 zkSNARK 的公共参数来在区块链上进行 ZKP 的构建和验证。公共参数的生成可以理解为创建一个公共/私密钥匙串(就像你创建一个 MetaMask 账户,获得你的地址——公钥,和助记词——私钥)。但问题是设置 SNARK 的个人是知晓私钥的(可信设置),有私钥就有滥用系统的可能性,因此为了保证 SNARK 的安全性,私钥必须要被有效破坏掉。
2017年,Zcash 成为首个使用 zkSNARK 的加密货币项目。在一场非常引人注目的仪式上,Zcash 销毁了私钥。zkSNARK 需要确保私钥不被任何人所知,这也被认为是其最主要的安全风险。
zkSNARK 是 ZKP 的一种形式。zkSNARK 很简洁,可以被快速验证,验证时间不会随验证计算量的增长而线形增加。zkSNARK 是非交互式的,证明者和验证者之间少有交互,因此也更高效。可信设置是必须的,但是可能存在安全风险。
zkSTARK 技术2018年在一份学术论文中被提出。论文作者随后创建了 StarkWare。zkSTARK 构建于 zkSANRK 之上,并试图对其进行改进:
STARK 是以下几个首字母的缩写:
Scalable (可拓展)
Transparent(透明)
ARgument(论证)
of Knowledge(知识)
STARK 的目标是比 SNARK 更具可拓展性,STARK 的 “S” 是可扩展性。这种可拓展性被 STARK 的创造者之一 Eli Ben-Sasson 形容为“full scalability”,主要包括两部分:
随着 STARK 中转账数量的增加,验证速度相比执行速度呈指数型增长;
Prover 复杂度是拟线性的 (Quasi-linear),随着 STARK 扩展性提高,STARK 的证明复杂度并没有相应增加;
为了解决 zkSNARK 中存在的可信设置问题,zkSTARK 使用可公开验证的随机数来产生 STARK。这也是 STARK 中 “Transparent”(透明)的部分。
zkSTARK 相比于 zkSANRK 的第三个改进是“抗量子计算”,意味着其并不会被量子计算破解。当然,这些改进同时也伴随着牺牲。相比于 SNARK,STARK 更加复杂,proof size 更大,而且消耗的以太坊验证手续费也更高。
总结一下,SNARK 是首个被成功应用于主流加密货币项目(Zcash)的 ZKP 技术。SNARK 是非常领先的密码学技术,但是可信设置有一定的安全风险。STARK 构建于 SNARK 基础之上,解决了可信设置的问题,创造了一种更具可拓展性的 ZKP,也因此更加复杂,需要更大的 prove size 和更高的 gas 费用。
其实我们无需夸大 SNARK 和 STARK 之间的区别,也无需在二者之间非要分出高低。无论人们选择构建 SNARK 还是 STARK,我们都期待会有有越来越多的人看到 ZKP 的价值。
原文链接 https://cryptoexplainere60.substack.com/p/zk-world-pt-2-zkp
译者:ZK 爱好者
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场
相关资讯
-
Taproot 及 MuSig2 回顾
本文将介绍一些关于 Taproot 输出的背景知识,以及如何通过密钥路径和脚本路径来花费它。本文也会介绍两个签名方参与的 MuSig2 签名流程。注意,不论哪一个话题,我都不会穷尽细节。相反,这篇文章只是想唤醒你对这些话题的记忆,或者说给你足够多的关于 Taproot 输出和 MuSig2 工作原理的知识,这样你会更容易读懂下一篇文章。如果你想理解这两个话题的细节,有许多更好的文章;而且,勇敢一点的话,你可以去看 BIP:Schnorr 签名、Taproot、Tapscript 和 MuSig2。
-
田野调查:实现 MuSig2
相比于脚本式的多签名构造,MuSig 有两大长处。第一点,也是最明显的一点,其交易体积更小(因此矿工手续费更少)。链上的一个签名是 64 ~ 73 字节,换算过来是 16 ~ 18.25 虚拟字节(vB),而 MuSig 可以将两个(甚至更多)签名合并为一个签名。在 BitGo 的 2-of-3 多签名钱包中,使用 MuSig 密钥路径的一个输入只需 57.5 vB,而一个原生的隔离见证输入需要 104.5 vB、使用深度为 1 的脚本路径的 tapscript 输入需要 107.5 vB.第二个好处是,
-
MuSig2签名会话中的状态最小化
在一个钱包的标准签名流程中,将 “会话 ”理解为完整签名一笔交易的过程,会更加合理。有可能一笔交易的所有输入,都会通过同一次 “descriptor containing musig()” 来获得,而签名者会一次性为所有输入产生 nonce 公开值(pubnonce)/签名。
-
什么是多签名钱包?常用的加密货币多签钱包盘点
多签名钱包常被缩写为 “Multisig wallet”。本文会给出非常基础的介绍。我会解释人们为什么需要多签名钱包、其运作原理、公开地址的生成流程,以及交易的签名流程。最后,我会介绍集中多签名钱包,比如 Armory、BitGo、CoPay、Coinbase 和 Electrum。
-
比特币到底是什么?不讲技术的比特币概述
要想一上来就理解比特币并不容易。我认为,对那些刚接触到比特币的人,先解释比特币是什么(而不是它是怎么工作的)会更好。它可以做什么,它要解决什么问题,为什么这个问题很重要。等等。
-
比特币到底是什么?不讲技术的比特币概述
要想一上来就理解比特币并不容易。我认为,对那些刚接触到比特币的人,先解释比特币是什么(而不是它是怎么工作的)会更好。它可以做什么,它要解决什么问题,为什么这个问题很重要。等等。
-
闪电网络是由谁提出的?闪电网络能解决哪些问题?
闪电网络是由Joseph Poon和Thaddeus Dryja共同提出的。他们在2015年联合发布了一份名为《闪电网络:无中心化的比特币交易》的白皮书,详细介绍了闪电网络的工作原理和优势。
- 成交量排行
- 币种热搜榜