零知識前沿：關于SNARKs，STARKs和未來的應用_STARK:ark幣是什么幣

原文標題：《TheZeroKnowledgeFrontier:OnSNARKs,STARKs,andFutureApplications》

原文作者：VaishPuri，TheTIE研究員

原文編譯：KurtPan

「我只知道一件事，那就是我一無所知」——蘇格拉底

在今天的文章中，我將剖析有史以來最強大但經常被誤解的密碼學工具之一：零知識證明。此外，我將重點介紹未來實現的用例和建議，并展示為什么零知識證明是crypto未來的關鍵。

為什么零知識證明很重要

簡單地說，零知識證明是證明者在不實際透露任何信息的情況下說服驗證者某事是真實的一種方式。讓我們用一個類比來說明這一點：假設我們有兩個人，Alice和Bob。Alice有一副密封的52張撲克牌。Alice偷偷拿了一張紅牌想向Bob證明她有一張紅牌，但不想出示該紅牌本身。為了做到這一點，Alice需要將所有的黑牌從牌堆中拿出來，然后將它們展示給Bob。Bob檢查所有26張黑牌，驗證其不重復不遺漏。由是確定Alice擁有的牌必是紅牌。因此，Alice能夠向Bob證明她有紅牌，而無需實際出示。這個類比是「極度」簡化的而且并沒有描繪出全貌，但技術背后的核心理念是一樣的。

GSR首席執行官：投資零知識證明、去中心化期權交易、借貸協議和去中心化保險感到興奮:金色財經報道，GSR首席執行官Jakob Palmstierna表示，如果你真的相信這個領域，現在是部署資本的好機會。Palmstierna表示對投資零知識證明、去中心化期權交易、借貸協議和去中心化保險感到特別興奮。

Palmstierna承認加密投資世界面臨著充滿挑戰的時期。一方面，利率上升使美國國債等安全資產的回報更具吸引力，從而減少了投資者可用于加密貨幣和風險投資等另類投資的現金。另一方面，資本成本更高，LP資本已經更難獲得了，籌集資金的環境要艱難得多[2022/12/2 21:18:10]

零知識證明并非這十年來甚至這個新千年來的新鮮事物。事實上，該想法是在1980年代由抽象數學的研究者首次提出的。該方案旨在解決當時的與證明者和驗證者之間的理論系統–交互式證明–相關的問題。

但是如果驗證者是惡意的怎么辦？除了驗證聲明的真實性之外，證明者還泄漏了多少額外信息？讓我們看看中心化服務器上口令的哈希是如何存儲的。傳統上，在與服務器交互時，服務器會知道明文口令。這是進行「身份證明」的一種糟糕方式，因此研究者轉向了一種可以在不泄露任何無關信息的情況下證明聲明的新系統。

波卡生態零知識證明項目Starks Network與KILT Protocol達成合作:據官方消息，2020年12月18日，波卡生態零知識證明項目Starks Network與來自德國柏林的KILT Protocol項目達成戰略合作協議。雙方將在中歐Web3數字身份實驗室的合作框架下，圍繞“自主權數據”與“自證明計算”的主題，并通過波卡區塊鏈的跨鏈功能進行功能交互與應用組合，在去中心化數字身份、可驗證數字憑證、零知識證明與數據隱私保護等方面展開全面合作。[2020/12/19 15:46:29]

更具體地說，假設我們有函數C，有兩個輸入C(x,y)。令x為公開輸入，y為秘密證據，函數的輸出為真或假。給定一個特定的公共輸入x，證明者必須證明他知道一個秘密證據y使得C(x,y)?==true。從證明者的角度來看，實現零知識需要隨機性。驗證者方面，也需要隨機性來產生對證明者的查詢。?被廣泛展示的第一個應用是一個NP完全的稱為圖三著色問題。這是一個巨大的突破，因為這個可以應用于NP類中的「任何問題」。簡直就是「一石N鳥」。

在區塊鏈領域，由于零知識證明能夠提供可擴展性以及在隱私模型中的實用性，因此有了許多實現。具體來說，與不用零知識證明系統的情況相比，驗證者執行的計算工作呈指數級減少。另一方面，證明者需要相當多的計算開銷來執行證明。我稍后會詳細討論這個問題。

動態 | 全新零知識證明論文被IEEE學術會議收錄 或能抵抗量子計算機:由四位研究人員共同發表的論文透明多項式委托及其在零知識證明中的應用被第 41 屆電氣電子工程師學會安全隱私學術會議（IEEE S&P 2020）接受，其作者之一的Yupeng Zhang在推特上公開了該消息，他來自于德克薩斯州農工大學，另外三名作者來自于加州大學伯克利分校，分別是Jiaheng Zhang、Tiancheng Xie和Dawn Song （宋曉冬），宋曉冬教授也是區塊鏈隱私計算平臺Oasis Labs的創始人。據Yupeng Zhang介紹，該論文提出了一個全新且透明的零知識證明機制，可以提供非常快的驗證時間，也不需要可信設置（trusted setup）。論文中介紹到，該零知識證明機制僅使用了輕量級的加密算法比如抗碰撞的哈希函數，所以也可能是量子安全的。[2019/12/26]

零知識協議

目前存在大量的零知識協議，但這篇文章中我將重點關注SNARK和STARK，并在后續文章中深入探討其他協議。

簡潔非交互知識論證，SNARK，是一種流行的證明機制，其納入了于2011年首次提出的零知識證明。在底層，zk-SNARK使用橢圓曲線來保證安全性并依賴于可信設置。一開始，創建導出交易所需證明和驗證所述證明的密鑰。這些密鑰包含一個參考字符串，將驗證密鑰和發送私有消息的密鑰聯系起來。為此，必須有刪除所創建的密鑰的方法，且密鑰的創建者必須是可信的。這種在創建階段對信任的依賴仍然是對zk-SNARKs的一大批評點。此外，參考字符串是不可更新的，這意味著如果程序需要更新，則需要重新運行可信設置階段。

動態 | 德勤在企業區塊鏈產品中添加零知識證明隱私技術:德勤（Deloitte）周二在阿姆斯特丹舉行的ZKProof社區活動上宣布，已在其企業區塊鏈產品中增加了零知識證明隱私技術。德勤與以色列的零知識證明專家QEDIT合作，幫助用戶控制區塊鏈共享有關他們所獲得的證書和資格的數據。（coindesk）[2019/10/29]

然而實際實踐中，zk-SNARK很少會獨自出現。在計算中往往需要檢查許多步驟，但是單獨檢查每個步驟的工作將花費大量時間。解決方案以多項式的形式出現。將計算編碼為多項式可以節省大量信息和時間。相比于數字之間的無數個方程，我們可以代替為「代表」它們的多項式表達式。

還有，通常會通過檢查每個系數來使用多項式驗證方程，但這又需要太長時間。多項式承諾在這里開始發揮作用。多項式承諾可以被視為用來「哈希」一個多項式的獨特方法，允許在更短的時間內進行驗證，無論多項式有多大。此外，多項式承諾「本質上」是保護隱私的，因為證明比多項式本身小得多。盡管可以添加隨機性，多項式承諾只會泄漏多項式的少量信息。如需更深入地了解多項式承諾和驗證，請查看此內容。

多項式承諾使用三種主要協議之一：bulletproof、KZG和FRI。比較和對比每一個都會使本文變得有點難懂，且超出了本文的范圍，因為每個都值得去深入研究。

動態 | 以色列理工學院教授違反知識產權規定建立零知識證明技術公司:據Bitcoin.com報道，以色列理工學院教授Eli Ben-Sasson因違反了該學校知識產權規定而被起訴。據報道，Ben-Sasson利用在為該機構工作時開發的知識產權建立了一家零知識證明技術公司。Ben-Sasson是區塊鏈技術初創公司Starkware的聯合創始人兼首席科學家，以色列理工學院在法庭提出要求Ben-Sasson轉讓其在該公司的50%股份。[2019/4/23]

2018年，因為厭倦了現狀，一群研究者試圖在零知識系統中加入透明性。透明性意味著不必依賴受可信方進行初始設置，從而消除了開放后門的威脅。這導致了可擴展透明知識論證，或STARKs，的發明。STARK使用哈希函數作為其安全性來源，這與SNARK使用的雙線性配對不同。名字里的可擴展指的是如下兩件事：

與SNARK相比，證明者運行時間在復雜性上要低得多。

驗證時間是多項式對數。STARKs使用了FRI，提升了信息存儲量和性能。

當前應用

雖然像Zcash這樣的zk-SNARK先驅已經存在了一段時間，是zk-STARK的發明使得開發空間迎來了爆炸式的增長。零知識協議方面的工作不僅限于rollups。事實上，一些L1已經是基于零知識證明來構建的了，以及剛萌芽的游戲項目。

StarkWare是zk-STARK的先驅，開發了兩個核心產品：StarkNet，一個無需許可的去中心化zk-rollup，以及StarkEx，一個獨立的zk-rollupSaaS。此外，StarkWare是名為Cairo的生產級零知識虛擬機(zkVM)的第一家生產商。Cairo聲稱通過實現圖靈完備的馮諾依曼架構以達到這一點。每個程序與它處理的數據一起駐留在VM的內存中。今天任何人都可以訪問Cairo，目前正被一些有名的StarkEx客戶所使用，如dydx、Immutable和DeversiFi。其他使用他們自己版本的zkVM的新應用包括PolygonMiden和RiscZero，后者正在嘗試構建通用zkVM。

與自啟動的zkVM思想相反的是zkEVM。zkVMs是從頭開始做針對零知識優化的新的區塊鏈虛擬機，或者只是適配Solidity工具和兼容性。另一方面，zkEVM實現了完整的EVM操作碼集。使用EVM操作碼有幾個好處：

實現與EVM生態系統和工具的完全兼容

繼承以太坊安全模型

效率可能類似于基于編譯器的方法

不出所料，zkVM和zkEVM陣營之間似乎存在很大的分歧。

zkEVM相對于zkVM的最大優勢是EVM等效性。歷史證明，通過低gas費激勵和為開發人員提供簡單的起始體驗來瞄準龐大的現有dApp社區是卓有成效的，這正是zkEVM建設者所期望的。

目前最流行的zkEVM項目是zkSync，它使用zk-SNARKs作為2層解決方案進行驗證和擴展。此外，zkSync選擇將數據可用性置于鏈下，并由zkSync代幣質押者使用權益證明進行保護。此實現的設計屬于StarkWare開發的名為Volition的解決方案。

最后，一個新玩家Scroll正在開發一個通用的L2zkEVM。Scroll采用了一種新方法來使用GPU的能力來在鏈下生成零知識證明。最近在零知識證明方面的突破，如Poseidonhash、Plookup和PLONK?，已經將成本降低到足以使zkEVM成為現實。此外，GPU和ASIC/?FPGA加速器的進步正在改善硬件條件，進一步降低成本。Scroll仍處于開發階段，計劃在未來幾個月內推出他們的zkEVM測試網。

未來的應用

零知識證明最初是為了保護隱私而開發的。盡管主流媒體可能將當前的用例集中在「允許更大的TPS」上，但事實仍然是零知識證明具有更廣闊的應用范圍。?一個這樣的應用是這個工具，它通過零知識電路來匿名檢查錢包中的資產或鏈上交易以驗證用戶的身份。

零知識身份具有極其強大的潛力，并且在現實世界中可以立即找到用例。例如，假設我是一名債務人，試圖證明自己的信譽，同時仍將銀行信息和活動保密。我會證明我已經從多家受信任的銀行償還了大筆貸款，但不會透露這些銀行的名字或這些貸款的規格。

零知識領域的另一個重大進展是zk-SNARK證明者的高效隱私代理。如前所述，證明時間相當緩慢。使用SHA2來哈希10kb數據需要140秒，而不是所需的幾毫秒。解決這個問題的方法是將證明過程外包。不幸的是，這帶來了另一個困境：秘密總是會泄露給外包的機器。于是需要的是外包隱私證明。通過仔細的實現，目前已經可以將證明代理給手機等設備，其速度比本地計算快26倍。這個新穎的框架由PratyushMishra在2022年4月的zkSummit上首次提出。

結語

我們在開發基于零知識證明的應用方面還處于非常早期的階段。盡管如此，進展的步伐還是很快的。原先專家認為在5年內無法達到的階段目前已經實現了。當然，還有很多事情要做。開發社區之間仍然存在很多沖突，因為陣營正在形成，觀點正在被化。只有時間會證明哪一方是正確的。可以肯定的是，當歷史學家回顧過去時，他們會將這一時期的零知識實現視為加密貨幣壯觀歷史中的開創性部分。

原文鏈接

Tags：ARKSTARSTARKSTAark幣是什么幣FSTAR幣StarkMetaStabinol

USDC