隐私一直是加密货币领域一项宝贵的特性,它是可替代性的前提,而可替代性对于一种广泛使用的货币来说是必要的。大多数加密资产持有者也不希望他们的持仓和交易记录完全公开。在旨在为区块链提供隐私的各种密码学技术中,zk-SNARK 和 zk-STARK 证明是两个值得注意的例子。

zk-SNARK 代表零知识简洁非交互式知识证明,zk-STARK 代表零知识简洁透明知识证明。zk-SNARK 证明被加密货币项目(如 Zcash)使用,用于基于区块链的支付系统,以及作为安全地将客户端认证到服务器的一种方式。但尽管 zk-SNARKs 已经取得了显著进展,并得到了广泛的采用,zk-STARK 证明现在却被吹捧为该协议的改进版本,解决了 zk-SNARKs 以前许多缺点。

阿里巴巴的山洞比喻

1990 年,密码学家 Jean-Jacques Quisquater(以及其他合作者)发表了一篇题为“如何向你的孩子解释零知识协议”的论文。这篇论文用一个关于阿里巴巴山洞的比喻介绍了零知识证明的概念。自从它被创造以来,这个比喻已经被改编过很多次,现在我们有多种变体。尽管如此,其根本信息基本相同。

想象一下一个环形山洞,只有一个入口和一个将两条侧路径分开的魔法门。为了穿过魔法门,需要低声说出正确的秘密词语。假设爱丽丝(黄色)想向鲍勃(蓝色)证明她知道秘密词语是什么——同时仍然保密。为此,鲍勃同意在她进入山洞并走到其中一条路径的尽头时在外面等待。在这个例子中,她决定走路径 1。

过了一会儿,鲍勃走到入口处,喊出他想要爱丽丝从哪条路径出现(在本例中是路径 2)。

如果爱丽丝真的知道秘密,她将可靠地从鲍勃指定的路径出现。

整个过程可以重复多次,以确认爱丽丝不是靠运气选择正确的路径。

阿里巴巴的山洞比喻说明了零知识证明的概念,它是 zk-SNARK 和 zk-STARK 协议的一部分。零知识证明可以用来证明拥有某种知识,而无需透露任何关于它的信息。参与的双方通常被称为证明者和验证者,他们秘密持有的陈述称为见证。这些证明的主要目标是在双方之间尽可能少地透露数据。换句话说,可以使用零知识证明来证明他们拥有某种知识,而无需透露任何关于该知识本身的信息。

在 SNARK 首字母缩写中,“简洁”意味着这些证明体积较小,可以快速验证。“非交互式”意味着证明者和验证者之间几乎没有交互。旧版本的零知识协议通常需要证明者和验证者来回通信,因此被认为是“交互式”零知识证明。但在“非交互式”结构中,证明者和验证者只需要交换一个证明。

目前,zk-SNARK 证明依赖于证明者和验证者之间的初始可信设置,这意味着需要一组公共参数来构建零知识证明,从而进行私有交易。这些参数就像游戏规则一样;它们被编码到协议中,并且是证明交易有效的必要因素之一。然而,这会造成潜在的中心化问题,因为这些参数通常是由非常小的一组人制定的。

虽然初始可信设置对于当今的 zk-SNARK 实现至关重要,但研究人员正在努力寻找其他替代方案,以减少过程中所需的信任量。初始设置阶段对于防止伪造支出非常重要,因为如果有人能够访问生成参数的随机性,他们就可以创建对验证者来说似乎有效的虚假证明。在 Zcash 中,初始设置阶段被称为参数生成仪式。

接下来是首字母缩写中的“知识证明”部分。zk-SNARK 被认为是计算上健全的,这意味着不诚实的证明者在没有实际拥有支持其陈述的知识(或见证)的情况下成功作弊的可能性非常低。此属性称为健全性,并假设证明者具有有限的计算能力。

理论上,拥有足够计算能力的证明者可以创建虚假证明,这也是许多人认为量子计算机对 zk-SNARK(以及区块链系统)构成威胁的原因之一。

零知识证明可以快速验证,并且通常比标准比特币交易占用更少的数据。这为 zk-SNARK 技术作为隐私和可扩展性解决方案铺平了道路。

zk-STARKs

zk-STARKs 由以色列理工学院教授 Eli-Ben Sasson 创建。作为 zk-SNARK 证明的替代版本,zk-STARK 通常被认为是该技术的更高效的变体——根据实现情况,它可能更快、更便宜。但更重要的是,zk-STARK 不需要初始可信设置(因此,“T”代表透明)。

从技术上讲,zk-STARK 不需要初始可信设置,因为它们依赖于通过抗碰撞哈希函数进行更精简的加密。这种方法还消除了 zk-SNARK 的数论假设,这些假设计算成本高昂,理论上容易受到量子计算机的攻击。

换句话说,zk-STARK 证明在密码学假设方面呈现出更简单的结构。然而,这项新技术至少有一个主要缺点:与 zk-SNARK 相比,证明的大小更大。这种数据大小的差异可能会根据使用环境而带来限制,但这可能是随着技术的进一步测试和研究而可以解决的问题。

结束语

很明显,zk-SNARK 和 zk-STARK 都能满足人们日益增长的对隐私的关注。在加密货币世界中,这些协议具有巨大的潜力,并且可能是迈向主流采用的突破性途径。