zk-SNARK:创新的零知识证明技术及其应用
背景知识
零知识证明(Zero-Knowledge Proof,ZKP)是一种密码学技术,最早由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初的一篇名为《The Knowledge Complexity Of Interactive Proof Systems》的论文中提出。在该文中,它是作为一个理论模型被构想出来,解决的是在不透露证据的情况下如何验证数学陈述的问题。这一概念在学术界引起了广泛关注,因为它挑战了传统加密技术的界限,并为处理敏感信息提供了全新的方法。
随着时间的推移,ZKP从一个抽象的理论构想逐步演变成具体的协议,它们能够被集成进各种应用中。在2010年,Groth发表了一篇名为《Short Pairing-based Non-interactive Zero-Knowledge Arguments》的论文,这篇论文成为了ZKP中重要的解决方案 zk-SNARK的理论先驱文章。零知识证明在应用上最重要的进展就是 2015 年 Z-cash 使用的零知识证明系统,实现了对交易及金额隐私的保护,后来发展到 zk-SNARK 和智能合约相结合,zk-SNARK 进入了更为广泛的应用场景。
zk-SNARK的技术原理
传统的ZKP需要的遵守的原则有三点:
- 完备性(Completeness,也译作完整性) - 如果陈述是真实的,诚实的证明者总能够通过验证者的检验。
- 健壮性(Soundness,也译作合理性) - 如果陈述是假的,任何欺诈的证明者都将只有微小的概率能够误导验证者相信该陈述是真的。
- 零知识性(Zero-knowledge) - 如果陈述是真实的,验证者将无法学习任何其他的信息,除了该陈述是正确的。换句话说,验证过程不会泄露任何能够用于构造证明的信息。
ZKP的原理得以通过简单的例子来理解:如果我需要向A证明我拥有B的电话号码,我不需要直接把B的电话号码告诉B,而是可以直接通过拨打B的电话,在打通后即可证明我确实拥有B的电话号码,这个过程并不会泄露B的号码信息。
而zk-SNARK则是在此基础进一步升级,其具有以下特点:
- 零知识:验证者不能从证明中获得任何有用的信息;
- 简洁:证明的大小很小(通常只有几十字节),验证时间很短(通常只需几毫秒);
- 非交互式:证明者只需要发送一次证明给验证者,无需进一步沟通;
- 可信参数:证明者和验证者都需要使用一个由可信第三方生成的CRS(公共参考字符串),这个CRS可能包含一些敏感信息,如果泄露或篡改,可能会导致系统的安全性受到威胁。
在Groth的论文中, 他提出基于配对的非交互式零知识论证方法将一个计算问题转化为一个二次算术程序(QAP),然后利用椭圆曲线密码学和哈希函数构造一个有效的证明。后来的zk-SNARK一般在设计时分为四个步骤:
- 系统设置:由一个可信第三方执行,生成一个CRS,包括一个用于生成证明的密钥 pk 和一个用于验证证明的密钥 vk。这个过程只需要执行一次,CRS可以被多次重用。
- 问题编码:将一个计算问题 f(x) = y 转化为一个 QAP 的形式 A(x)·B(x) = C(x)·Z(x),其中 A(x)、B(x)、C(x) 是由 f 的电路结构决定的多项式,Z(x) 是一个固定的多项式,x 是一个随机选择的点,y 是 f 的输出。这个过程可以由证明者或验证者执行,或者由第三方提前完成。
- 证明生成:由证明者执行,使用 pk、x 和 f 的输入 w 生成一个证明 \pi ,证明他知道一个满足 f(w) = y 的 w,而不透露 w 的具体值。这个过程涉及到多项式的计算、椭圆曲线的运算和哈希函数的运算,最终生成一个由几个椭圆曲线点和一个哈希值组成的 \pi 。
- 证明验证:由验证者执行,使用 vk、x、y 和 \pi 进行验证,判断证明者是否真的知道一个满足 f(w) = y 的 w。这个过程也涉及到多项式的计算、椭圆曲线的运算和哈希函数的运算,最终得到一个布尔值,表示证明是否有效。
举个简单的例子幫助理解:假设你有一张藏宝图,它能指引你到一个埋藏宝藏的确切位置。你想证明给某人看你知道宝藏的位置,但你不想揭露宝藏图的内容或宝藏的实际位置。如果你使用zk-SNARK技术的话,你還需要制作一份藏宝图的复杂拼图。你选择了一小块关键拼图(一个证明),并展示给对方看,足以让他们确信你知道完整的拼图如何组合,即宝藏的位置,而无需看到整个拼图。但是,为了做到这一点,你需要从一个可信的印刷厂获取一些特殊的标记,这些标记用来证明你的拼图片段是真实的。
为什么需要zk-SNARK?
传统方案零知识证明采用的是交互式证明方法,即示证者(宣称某一命题为真)和验证者(确认该命题确实为真)之间反复确认,你可以理解为示证者不断向验证者询问“是或不是?”,然后验证者不断给出回答,直到最后碰出一个正确答案来,所以效率很低。而zk-SNARK通过可信第三方获得了CRS,就不用反复确认,所有的示证者都可以直接对比CRS来产看真假。这样能大大节省ZKP的效率。
同时zk-SNARK还具有以下优势:
- 隐私保护:zk-SNARK可以让证明者在不泄露任何私密信息的情况下,向验证者证明他拥有某些知识或满足某些条件。这对于一些涉及敏感数据或隐私数据的场景非常有用,比如身份认证、匿名投票、隐私交易等。
- 可扩展性:zk-SNARK可以将一个复杂的计算问题压缩为一个小而快的证明,从而降低了验证者的计算负担和存储需求。这对于一些需要高效验证和存储大量数据的场景非常有用,比如云计算、区块链扩容、可验证计算等。
- 安全性:zk-SNARK基于数学上难以破解的假设,如离散对数问题和双线性映射问题,因此具有很高的安全性。在非量子计算的前提下,除非可信第三方泄露或篡改了CRS,否则证明者无法伪造证明,验证者无法伪造验证结果。
zk-SNARK的现实应用
zk-SNARK的第一个应用是Zcash,允许用户进行完全匿名的交易,因为其通过zk-SNARK隐藏了发送者、接受者和金额等信息。目前的Web3领域,zk-SNARK技术还在区块链扩容和交易所储备金阵容等方面发挥着重大作用。
区块链扩容
区块链扩容(Layer2):由于区块链的共识机制和安全性要求,其吞吐量和效率受到了很大的限制。为了解决这个问题,一种常见的方案是使用 Layer2 技术,在区块链之上构建一个额外的层次,将大量的交易或计算从主链(Layer1)迁移到 Layer2 上进行,从而提高系统的性能和可用性。
zk-SNARK可以在这个方案中发挥重要的作用,它可以将 Layer2 上的交易或计算压缩为一个小而快的证明,然后提交到主链上进行验证,从而保证 Layer2 的正确性和一致性。目前有两种主流的基于 zk-SNARK 的 Layer2 方案,一种是 ZK-rollup,另一种是 Validium。
- ZK-rollup:这种方案将 Layer2 上的所有状态数据都存储在主链上,但只使用证明来验证状态转换的有效性。这样可以保证 Layer2 的数据可用性和安全性,但也会增加主链的存储负担。以zk-Sync为例,将状态数据存储在以太坊主链上,并通过零知识证明来确保状态转换的有效性。类似的项目还有Polygon zkEVM、Scroll等。
- Validium:这种方案将 Layer2 上的所有状态数据都存储在 Layer2 上或其他可信第三方上,只使用证明来验证状态转换的有效性,并将证明提交到主链上。这样可以减轻主链的存储负担,但也会降低 Layer2 的数据可用性和安全性。DeversiFi 就利用 Validium 技术在保持 Layer2 交易速度和效率的同时,确保了数据的私密性。Loopring提供了一种 Validium 模式来减少主链的存储压力。
交易所储备金
由于加密货币市场的波动性和不确定性,很多交易所需要持有一定量的储备金来应对潜在的风险或需求。但是,这些储备金往往缺乏透明度和可信度,用户无法知道交易所是否真的拥有足够的储备金来保障他们的资产安全。
zk-SNARK可以在这个方面提供一个解决方案,它可以让交易所向用户或监管机构证明他们拥有足够数量和价值的储备金,而不需要透露具体的资产细节或位置。
一个典型的例子就是Gate.io交易所采用了zk-SNARK+默克尔树的方法将用户数据加密后通过被约束的电路来生成100种代币的储备金证明来证明自己拥有100%的偿付能力。
来源:https://www.gate.io/proof-of-reserves
扩展阅读:《zk-SNARK如何改进Gate.io的储备金证明》
除了在Web3领域的应用,zk-SNARK也可以用于非区块链领域,比如
- 身份认证:zk-SNARK 可以让用户在不泄露任何个人信息的情况下,向第三方证明他们拥有某些身份属性或资格,比如年龄、国籍、学历等。这对于一些需要身份认证或授权的场景非常有用,比如网上购物、在线教育、数字签名等。
- 电子投票:zk-SNARK 可以让用户在不泄露任何投票内容或元数据的情况下,向第三方证明他们进行了某些投票活动,并遵守了某些协议或规则。这对于一些需要保护投票隐私或安全的场景非常有用,比如民主选举、社区治理、公共决策等。
技术局限性和挑战
在上文中,我们介绍了zk-SNARK的技术原理,其中说到了zk-SNARK通过寻找可信第三方生成CRS来提高证明效率,这也导致了zk-SNARK一些原生的缺陷和挑战。
- 可信参数:zk-SNARK需要一个由可信第三方生成的CRS,这个CRS可能包含一些敏感信息,如果泄露或篡改,可能会导致系统的安全性受到威胁。为了防止这种情况,一些项目采用了多方计算(MPC)的方式来生成CRS,让多个参与者共同参与CRS的生成,并销毁各自的秘密信息。但是,这种方式仍然存在一些问题,比如参与者的诚信度、通信成本、协调难度等。
- 通用性:zk-SNARK目前只能适用于一些特定的计算问题,比如 QAP 或 R1CS,而不能适用于任意的计算问题。为了解决这个问题,一些项目尝试了使用通用电路(GC)或通用递归证明(GRS)来扩展zk-SNARK的适用范围 。但是,这种方式也会带来一些代价,比如证明大小的增加、效率的降低、复杂度的提高等。
- 可验证性:zk-SNARK虽然可以保证证明者不会泄露任何私密信息,但也无法保证证明者不会作弊或欺骗验证者。为了解决这个问题,一些项目引入了可验证随机函数(VRF)或可验证延迟函数(VDF)来增加证明者的诚信度 。但是,这种方式也会增加系统的复杂性和开销。
综合来看,目前有多种解决方法来解决zk-SNARK的原生缺陷。
未来的应用场景
zk-SNARK作为一种前沿的密码学技术,有着广阔的未来应用场景,尤其是在隐私应用领域:
- 隐私智能合约:zk-SNARK可以让用户在不泄露任何合约逻辑或状态的情况下,向第三方证明他们执行了某些智能合约,并得到了正确的输出。这对于一些涉及商业秘密或敏感规则的场景非常有用,比如供应链管理、保险理赔、版权保护等1。
- 隐私计算:zk-SNARK可以让用户在不泄露任何输入或输出数据的情况下,向第三方证明他们执行了某些计算任务,并得到了正确的结果。这对于一些涉及敏感数据或隐私数据的场景非常有用,比如医疗诊断、数据分析、机器学习等。
- 隐私通信:zk-SNARK可以让用户在不泄露任何通信内容或元数据的情况下,向第三方证明他们进行了某些通信活动,并遵守了某些协议或规则。这对于一些需要保护通信隐私或安全的场景非常有用,比如即时通讯、社交网络、电子邮件等。
结语
zk-SNARK技术代表了隐私保护和加密验证领域的一个重要突破,不仅因其在提供强大隐私保障方面的潜力,而且因为它在扩展区块链可用性和其他多种应用中的实用性。尽管存在技术挑战和局限性,但通过不断的研究创新,我们期待zk-SNARK将继续进化,不仅仅优化现有系统,更能激发新的应用模式,推动隐私保护和加密技术向前发展。随着技术的成熟和社会对数据隐私重视程度的提高,zk-SNARK有潜力成为数字时代不可或缺的工具,赋予用户更多控制自己信息的能力,同时促进安全、透明的数字交互。
相关文章
如何质押 ETH?
zk-SNARK:创新的零知识证明技术及其应用
背景知识
零知识证明(Zero-Knowledge Proof,ZKP)是一种密码学技术,最早由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初的一篇名为《The Knowledge Complexity Of Interactive Proof Systems》的论文中提出。在该文中,它是作为一个理论模型被构想出来,解决的是在不透露证据的情况下如何验证数学陈述的问题。这一概念在学术界引起了广泛关注,因为它挑战了传统加密技术的界限,并为处理敏感信息提供了全新的方法。
随着时间的推移,ZKP从一个抽象的理论构想逐步演变成具体的协议,它们能够被集成进各种应用中。在2010年,Groth发表了一篇名为《Short Pairing-based Non-interactive Zero-Knowledge Arguments》的论文,这篇论文成为了ZKP中重要的解决方案 zk-SNARK的理论先驱文章。零知识证明在应用上最重要的进展就是 2015 年 Z-cash 使用的零知识证明系统,实现了对交易及金额隐私的保护,后来发展到 zk-SNARK 和智能合约相结合,zk-SNARK 进入了更为广泛的应用场景。
zk-SNARK的技术原理
传统的ZKP需要的遵守的原则有三点:
- 完备性(Completeness,也译作完整性) - 如果陈述是真实的,诚实的证明者总能够通过验证者的检验。
- 健壮性(Soundness,也译作合理性) - 如果陈述是假的,任何欺诈的证明者都将只有微小的概率能够误导验证者相信该陈述是真的。
- 零知识性(Zero-knowledge) - 如果陈述是真实的,验证者将无法学习任何其他的信息,除了该陈述是正确的。换句话说,验证过程不会泄露任何能够用于构造证明的信息。
ZKP的原理得以通过简单的例子来理解:如果我需要向A证明我拥有B的电话号码,我不需要直接把B的电话号码告诉B,而是可以直接通过拨打B的电话,在打通后即可证明我确实拥有B的电话号码,这个过程并不会泄露B的号码信息。
而zk-SNARK则是在此基础进一步升级,其具有以下特点:
- 零知识:验证者不能从证明中获得任何有用的信息;
- 简洁:证明的大小很小(通常只有几十字节),验证时间很短(通常只需几毫秒);
- 非交互式:证明者只需要发送一次证明给验证者,无需进一步沟通;
- 可信参数:证明者和验证者都需要使用一个由可信第三方生成的CRS(公共参考字符串),这个CRS可能包含一些敏感信息,如果泄露或篡改,可能会导致系统的安全性受到威胁。
在Groth的论文中, 他提出基于配对的非交互式零知识论证方法将一个计算问题转化为一个二次算术程序(QAP),然后利用椭圆曲线密码学和哈希函数构造一个有效的证明。后来的zk-SNARK一般在设计时分为四个步骤:
- 系统设置:由一个可信第三方执行,生成一个CRS,包括一个用于生成证明的密钥 pk 和一个用于验证证明的密钥 vk。这个过程只需要执行一次,CRS可以被多次重用。
- 问题编码:将一个计算问题 f(x) = y 转化为一个 QAP 的形式 A(x)·B(x) = C(x)·Z(x),其中 A(x)、B(x)、C(x) 是由 f 的电路结构决定的多项式,Z(x) 是一个固定的多项式,x 是一个随机选择的点,y 是 f 的输出。这个过程可以由证明者或验证者执行,或者由第三方提前完成。
- 证明生成:由证明者执行,使用 pk、x 和 f 的输入 w 生成一个证明 \pi ,证明他知道一个满足 f(w) = y 的 w,而不透露 w 的具体值。这个过程涉及到多项式的计算、椭圆曲线的运算和哈希函数的运算,最终生成一个由几个椭圆曲线点和一个哈希值组成的 \pi 。
- 证明验证:由验证者执行,使用 vk、x、y 和 \pi 进行验证,判断证明者是否真的知道一个满足 f(w) = y 的 w。这个过程也涉及到多项式的计算、椭圆曲线的运算和哈希函数的运算,最终得到一个布尔值,表示证明是否有效。
举个简单的例子幫助理解:假设你有一张藏宝图,它能指引你到一个埋藏宝藏的确切位置。你想证明给某人看你知道宝藏的位置,但你不想揭露宝藏图的内容或宝藏的实际位置。如果你使用zk-SNARK技术的话,你還需要制作一份藏宝图的复杂拼图。你选择了一小块关键拼图(一个证明),并展示给对方看,足以让他们确信你知道完整的拼图如何组合,即宝藏的位置,而无需看到整个拼图。但是,为了做到这一点,你需要从一个可信的印刷厂获取一些特殊的标记,这些标记用来证明你的拼图片段是真实的。
为什么需要zk-SNARK?
传统方案零知识证明采用的是交互式证明方法,即示证者(宣称某一命题为真)和验证者(确认该命题确实为真)之间反复确认,你可以理解为示证者不断向验证者询问“是或不是?”,然后验证者不断给出回答,直到最后碰出一个正确答案来,所以效率很低。而zk-SNARK通过可信第三方获得了CRS,就不用反复确认,所有的示证者都可以直接对比CRS来产看真假。这样能大大节省ZKP的效率。
同时zk-SNARK还具有以下优势:
- 隐私保护:zk-SNARK可以让证明者在不泄露任何私密信息的情况下,向验证者证明他拥有某些知识或满足某些条件。这对于一些涉及敏感数据或隐私数据的场景非常有用,比如身份认证、匿名投票、隐私交易等。
- 可扩展性:zk-SNARK可以将一个复杂的计算问题压缩为一个小而快的证明,从而降低了验证者的计算负担和存储需求。这对于一些需要高效验证和存储大量数据的场景非常有用,比如云计算、区块链扩容、可验证计算等。
- 安全性:zk-SNARK基于数学上难以破解的假设,如离散对数问题和双线性映射问题,因此具有很高的安全性。在非量子计算的前提下,除非可信第三方泄露或篡改了CRS,否则证明者无法伪造证明,验证者无法伪造验证结果。
zk-SNARK的现实应用
zk-SNARK的第一个应用是Zcash,允许用户进行完全匿名的交易,因为其通过zk-SNARK隐藏了发送者、接受者和金额等信息。目前的Web3领域,zk-SNARK技术还在区块链扩容和交易所储备金阵容等方面发挥着重大作用。
区块链扩容
区块链扩容(Layer2):由于区块链的共识机制和安全性要求,其吞吐量和效率受到了很大的限制。为了解决这个问题,一种常见的方案是使用 Layer2 技术,在区块链之上构建一个额外的层次,将大量的交易或计算从主链(Layer1)迁移到 Layer2 上进行,从而提高系统的性能和可用性。
zk-SNARK可以在这个方案中发挥重要的作用,它可以将 Layer2 上的交易或计算压缩为一个小而快的证明,然后提交到主链上进行验证,从而保证 Layer2 的正确性和一致性。目前有两种主流的基于 zk-SNARK 的 Layer2 方案,一种是 ZK-rollup,另一种是 Validium。
- ZK-rollup:这种方案将 Layer2 上的所有状态数据都存储在主链上,但只使用证明来验证状态转换的有效性。这样可以保证 Layer2 的数据可用性和安全性,但也会增加主链的存储负担。以zk-Sync为例,将状态数据存储在以太坊主链上,并通过零知识证明来确保状态转换的有效性。类似的项目还有Polygon zkEVM、Scroll等。
- Validium:这种方案将 Layer2 上的所有状态数据都存储在 Layer2 上或其他可信第三方上,只使用证明来验证状态转换的有效性,并将证明提交到主链上。这样可以减轻主链的存储负担,但也会降低 Layer2 的数据可用性和安全性。DeversiFi 就利用 Validium 技术在保持 Layer2 交易速度和效率的同时,确保了数据的私密性。Loopring提供了一种 Validium 模式来减少主链的存储压力。
交易所储备金
由于加密货币市场的波动性和不确定性,很多交易所需要持有一定量的储备金来应对潜在的风险或需求。但是,这些储备金往往缺乏透明度和可信度,用户无法知道交易所是否真的拥有足够的储备金来保障他们的资产安全。
zk-SNARK可以在这个方面提供一个解决方案,它可以让交易所向用户或监管机构证明他们拥有足够数量和价值的储备金,而不需要透露具体的资产细节或位置。
一个典型的例子就是Gate.io交易所采用了zk-SNARK+默克尔树的方法将用户数据加密后通过被约束的电路来生成100种代币的储备金证明来证明自己拥有100%的偿付能力。
来源:https://www.gate.io/proof-of-reserves
扩展阅读:《zk-SNARK如何改进Gate.io的储备金证明》
除了在Web3领域的应用,zk-SNARK也可以用于非区块链领域,比如
- 身份认证:zk-SNARK 可以让用户在不泄露任何个人信息的情况下,向第三方证明他们拥有某些身份属性或资格,比如年龄、国籍、学历等。这对于一些需要身份认证或授权的场景非常有用,比如网上购物、在线教育、数字签名等。
- 电子投票:zk-SNARK 可以让用户在不泄露任何投票内容或元数据的情况下,向第三方证明他们进行了某些投票活动,并遵守了某些协议或规则。这对于一些需要保护投票隐私或安全的场景非常有用,比如民主选举、社区治理、公共决策等。
技术局限性和挑战
在上文中,我们介绍了zk-SNARK的技术原理,其中说到了zk-SNARK通过寻找可信第三方生成CRS来提高证明效率,这也导致了zk-SNARK一些原生的缺陷和挑战。
- 可信参数:zk-SNARK需要一个由可信第三方生成的CRS,这个CRS可能包含一些敏感信息,如果泄露或篡改,可能会导致系统的安全性受到威胁。为了防止这种情况,一些项目采用了多方计算(MPC)的方式来生成CRS,让多个参与者共同参与CRS的生成,并销毁各自的秘密信息。但是,这种方式仍然存在一些问题,比如参与者的诚信度、通信成本、协调难度等。
- 通用性:zk-SNARK目前只能适用于一些特定的计算问题,比如 QAP 或 R1CS,而不能适用于任意的计算问题。为了解决这个问题,一些项目尝试了使用通用电路(GC)或通用递归证明(GRS)来扩展zk-SNARK的适用范围 。但是,这种方式也会带来一些代价,比如证明大小的增加、效率的降低、复杂度的提高等。
- 可验证性:zk-SNARK虽然可以保证证明者不会泄露任何私密信息,但也无法保证证明者不会作弊或欺骗验证者。为了解决这个问题,一些项目引入了可验证随机函数(VRF)或可验证延迟函数(VDF)来增加证明者的诚信度 。但是,这种方式也会增加系统的复杂性和开销。
综合来看,目前有多种解决方法来解决zk-SNARK的原生缺陷。
未来的应用场景
zk-SNARK作为一种前沿的密码学技术,有着广阔的未来应用场景,尤其是在隐私应用领域:
- 隐私智能合约:zk-SNARK可以让用户在不泄露任何合约逻辑或状态的情况下,向第三方证明他们执行了某些智能合约,并得到了正确的输出。这对于一些涉及商业秘密或敏感规则的场景非常有用,比如供应链管理、保险理赔、版权保护等1。
- 隐私计算:zk-SNARK可以让用户在不泄露任何输入或输出数据的情况下,向第三方证明他们执行了某些计算任务,并得到了正确的结果。这对于一些涉及敏感数据或隐私数据的场景非常有用,比如医疗诊断、数据分析、机器学习等。
- 隐私通信:zk-SNARK可以让用户在不泄露任何通信内容或元数据的情况下,向第三方证明他们进行了某些通信活动,并遵守了某些协议或规则。这对于一些需要保护通信隐私或安全的场景非常有用,比如即时通讯、社交网络、电子邮件等。
结语
zk-SNARK技术代表了隐私保护和加密验证领域的一个重要突破,不仅因其在提供强大隐私保障方面的潜力,而且因为它在扩展区块链可用性和其他多种应用中的实用性。尽管存在技术挑战和局限性,但通过不断的研究创新,我们期待zk-SNARK将继续进化,不仅仅优化现有系统,更能激发新的应用模式,推动隐私保护和加密技术向前发展。随着技术的成熟和社会对数据隐私重视程度的提高,zk-SNARK有潜力成为数字时代不可或缺的工具,赋予用户更多控制自己信息的能力,同时促进安全、透明的数字交互。
相关文章
如何质押 ETH?