零知識證明入門指南： 發展歷史、應用和基本原理_ARK:ASH

從頭梳理ZKP理論和應用層面的一些變化。

撰文：HashKeyCapital

當前區塊鏈行業里零知識證明項目增速驚人，特別是ZKP在擴容和隱私保護兩個層面應用的崛起，令我們接觸到了各種花樣繁多的零知識證明項目。由于ZKP極富數學性的特質，對于加密愛好者來說，想要深度了解ZK的難度大幅提升。因此我們也希望從頭梳理ZKP理論和應用層面的一些變化，與讀者一起探索對于crypto行業的影響和價值——通過幾篇報告的形式共同學習，也作為HashKeyCapital研究團隊的思考總結。本篇是該系列的第一篇，主要介紹ZKP的發展歷史、應用和一些基本原理。

一、零知識證明的歷史

現代零知識證明體系最早來源于Goldwasser、Micali和Rackoff合作發表的論文：TheKnowledgeComplexityofInteractiveProofSystems，該論文提出于1985年，發表于1989年。這篇論文主要闡釋的是在一個交互系統中，經過K輪交互，需要多少知識被交換，從而證明一個證言是正確的。如果可以讓交換的知識為零，則被稱之為零知識證明。這里面會假設證明者具有無限資源，而驗證者只具有有限資源。而交互式系統的問題在于證明不完全是數學上可證的，而是概率意義上正確的，雖然概率很小(1/2^n)。

所以交互式系統并不完美，只有近似完備性，以此為基礎誕生的非交互式系統系統則具有完備性，成為零知識證明系統的完美所選。

早年的零知識證明系統在效率以及可用性方面都有所欠缺，所以一直都停留在理論層面，直到最近10年才開始蓬勃發展，伴隨著密碼學在crypto成為顯學，零知識證明走向臺前，成為至關重要的一個方向。特別是發展出一個通用的、非交互的、證明大小有限的零知識證明協議，是其中最關鍵的探索方向之一。

Zcash開發商稱零知識證明系統Halo已獲MIT開源許可:4月7日消息，Zcash開發商Electric Coin Company（ECC）表示，零知識證明系統Halo現已獲得MIT開源許可。Zcash此前表示，Halo 2證明系統將于今年4 月份在Zcash中實施，引入聚合證明等來增強網絡可擴展性。

Halo 2 最初是在Bootstrap開源許可證（BOSL）下發布的，MIT開源許可限制會更加寬松。2021年9月，Filecoin基金會和ECC、Protocol Labs和以太坊基金會公布了一項專注于Halo 2的多方面合作。[2022/4/7 14:10:45]

基本上零知識證明就是要在證明的速度、驗證的速度和證明體積的大小之間做取舍，理想的協議是證明快、驗證快、證明體積小。

零知識證明最重要的突破是Groth在2010年的論文ShortPairing-basedNon-interactiveZero-KnowledgeArguments，也是ZKP里面最重要的一組zk-SNARK的理論先驅。

零知識證明在應用上最重要的進展就是2015年Z-cash使用的零知識證明系統，實現了對交易及金額隱私的保護，后來發展到zk-SNARK和智能合約相結合，zk-SNARK進入了更為廣泛的應用場景。

在此期間，一些重要的學術成果包括：

2013年的Pinocchio(PGHR13)：Pinocchio:NearlyPracticalVerifiableComputation，將證明和驗證時間壓縮到適用范圍，也是Zcash使用的基礎協議。

Polygon聯合創始人：承諾為零知識技術投資10億美元:12月25日消息，Polygon聯合創始人Sandeep Nailwal在接受采訪時表示，根據PolygonScan瀏覽器，Polygon平均出塊時間約為2.3秒，以太坊平均出塊時間則是15秒。然后Gas費大概是0.001 MATIC。

關于投資零知識技術的目標，Nailwal回答稱，“我們承諾為零知識技術投資10億美元，我們認為這是區塊鏈擴展的圣杯。隱私是第二個因素——這是每個人都會感到困惑的一個因素。因此，您可以使用ZK在以太坊上驗證計算，而無需發回全部數據。相反，您只需證明在第二層上所有計算都是正確的，并將一個簡潔的證明放回到以太坊。”

Nailwal還表示，“即使ETH 2.0升級已經實現，也不會提供足夠的可擴展性。明年，PoS升級將保持一切不變；就像以太坊現在每秒有13筆交易（TPS），在PoS之后也許會達到20 TPS，但不會超過這個數字。所以這不會增加任何可擴展性。假設在三到五年內，即使實現分片，我們預測會有64個分片，每個分片每秒處理20筆交易，但總的來說還是每秒1280筆交易，對嗎？這對整個世界來說還是不夠的。”（Cointelegraph）[2021/12/25 8:03:07]

2016年的Groth16：OntheSizeofPairing-basedNon-interactiveArguments，精簡了證明的大小，并提升了驗證效率，是目前應用最多的ZK基礎算法。

2017年的Bulletproofs(BBBPWM17)Bulletproofs:ShortProofsforConfidentialTransactionsandMore，提出了Bulletproof算法，非常短的非交互式零知識證明，不需要可信的設置，6個月以后應用于Monero，是非常快的理論到應用的結合。

門羅幣完成零知識證明系統Bulletproofs+代碼審計:2月15日，門羅幣官方發推稱，完成零知識證明系統Bulletproofs+代碼審計。此前消息，零知識證明系統Bulletproofs+代碼獲準可在門羅幣協議中使用。隨后官方計劃籌集90.3 XMR以進行零知識證明系統Bulletproofs+審計。[2021/2/15 19:49:05]

2018年的zk-STARKs(BBHR18)Scalable,transparent,andpost-quantumsecurecomputationalintegrity，提出了不需要可信設置的ZK-STARK算法協議，這也是目前ZK發展另一個讓人矚目的方向，也以此為基礎誕生了StarkWare這個最重量級的ZK項目。

其他的發展包括PLONK、Halo2等也是極為重要的進展，也對zk-SNARK做出了某些層面上的改進。

二、零知識證明的應用簡述

零知識證明最廣泛的兩個應用就是隱私保護和擴容。早期隨著隱私交易和幾個有名的項目Zcash和Monero等推出，隱私交易一度成為非常重要的門類，但由于隱私交易的必要性并沒有業界希望的那樣突出，因此這一類代表性項目開始慢慢進入二三線的陣營。而應用層面，擴容的必要性提升到無以復加，隨著以太坊2.0在2020年轉變為以rollup為中心的路線，ZK系列正式又回歸業界的視線，成為焦點。

隱私交易：隱私交易有很多已經實現的項目，包括使用SNARK的Zcash，Tornado,使用bulletproof的Monero,以及Dash。Dash嚴格意義上用的不是ZKP，而是一種簡單粗暴的混幣系統，只可以隱藏地址而不能隱藏金額，在此略過不表。

門羅幣計劃籌集90.3 XMR以進行零知識證明系統Bulletproofs和審計:1月15日，門羅幣官方宣布，現已為零知識證明系統Bulletproofs+審計提案籌集資金。官方表示，預計在約1個月內完成項目審計，但審計工作需要90.3 XMR（相當于1.5萬美元）的資金。[2021/1/15 16:13:36]

Zcash應用的zk-SNARKs交易步驟如下：

Source:DemystifyingtheRoleofzk-SNARKsinZcash

Systemsetup階段生成證明秘鑰和驗證秘鑰，借助KeyGenfunction

CPA階段ECIES加密方法用來生成公鑰和私鑰

MintingCoins階段，生成新幣的數量。公共地址和幣的commitment

Pouring階段，生成zk-SNARK證明，證明被加到了pour交易賬本中

Verification階段，驗證者驗證Mint和Pour的交易量是否正確

Receiving階段，receiver接收幣。如果想使用收到的幣，則繼續調用Pouring，形成zk-SNARK驗證，重復上述4-6的步驟，完成交易。

Zcash使用零知識還是有局限性的，就是其基于UTXO,所以部分交易信息只是被shield了，而不是真正的掩蓋。因為其基于比特幣的設計的單獨網絡，所以難以擴展。真正使用shielding的使用率只有不到10%，說明隱私交易并沒有很成功的擴展。

動態 | 全新零知識證明論文被IEEE學術會議收錄 或能抵抗量子計算機:由四位研究人員共同發表的論文透明多項式委托及其在零知識證明中的應用被第 41 屆電氣電子工程師學會安全隱私學術會議（IEEE S&P 2020）接受，其作者之一的Yupeng Zhang在推特上公開了該消息，他來自于德克薩斯州農工大學，另外三名作者來自于加州大學伯克利分校，分別是Jiaheng Zhang、Tiancheng Xie和Dawn Song （宋曉冬），宋曉冬教授也是區塊鏈隱私計算平臺Oasis Labs的創始人。據Yupeng Zhang介紹，該論文提出了一個全新且透明的零知識證明機制，可以提供非常快的驗證時間，也不需要可信設置（trusted setup）。論文中介紹到，該零知識證明機制僅使用了輕量級的加密算法比如抗碰撞的哈希函數，所以也可能是量子安全的。[2019/12/26]

Tornado使用的單一大混幣池更加通用，而且基于以太坊這樣“久經考驗”的網絡。Torndao本質上就是一個用了zk-SNARK的混幣池，可信設置基于Groth16的論文。TornadoCash可以提供的特性包括：

只有被存進去的coin可以被提取

沒有幣可以被提取兩次

證明過程和幣的廢止通知是綁定的，相同證明但不同Nullifier的哈希不會允許提幣

安全性有126-bit的安全，不會因為composition而降級

Vitalik提到過，和擴容相比，隱私相對比較容易實現，如果一些擴容的protocol都可以成立的話，隱私基本上不會成為問題。

擴容：ZK的擴容可以在一層網絡上做，如Mina，也可以在二層網絡上做，即zk-rollup.ZKrollup的思路可能最早來自于Vitalik于2018的post，On-chainscalingtopotentially~500tx/secthroughmasstxvalidation。

ZK-rollup有兩類角色，一類是Sequencer,還有一個是Aggregator。Sequencer負責打包交易，Aggregator負責將大量的交易合并并創造一個rollup,并形成一個SNARK證明，這個證明會和Layer1以前的狀態進行比較，進而更新以太坊的Merkle樹，計算新的狀態樹。

Source:Polygon

ZKrollup的優缺點：

優點：費用低，不像OP會被經濟攻擊，不需要延遲交易，可以保護隱私，快速達成最終性

缺點：形成ZK證明需要大計算量，安全問題，不抗量子攻擊，交易順序可能被改變

Source:以太坊research

根據數據可用性以及證明的方法，Starkware對L2有一張經典的分類圖：

Source:Starkware

目前市場上最有競爭力的ZKrollup項目有：Starkware的StarkNet，Matterlabs的zkSync和Aztec的Aztecconnect，Polygon的Hermez和Miden，Loopring，Scroll等。

基本上技術路線就在于SNARK(及其改進版本)和STARK的選擇，以及對EVM的支持。

Aztec開發了通用化的SNARK協議-Plonk協議，運行中的Aztec3可能會支持EVM，但是隱私優先于EVM兼容

Starnet用的是zk-STARK，一種不需要可信設置的zkp，但是目前不支持EVM，有自己的編譯器和開發語言

zkSync也是用的plonk，支持EVM。zkSync2.0是EVM兼容的，有自己的zkEVM

Scroll，一種EVM兼容的ZKrollup,團隊也是以太坊基金會zkEVM項目的重要貢獻者

簡要討論下EVM兼容性問題：

ZK系統和EVM的兼容一直令人頭疼，一般項目會在兩者間取舍。強調ZK的可能會在自己的系統里做一個虛擬機，并有自己的ZK語言以及編譯器，但會加重開發者的學習難度，而且因為基本上不開源，會變成一個黑箱子。一般業界目前是兩種選擇，一是和Solidity的操作碼完全兼容，另一種是設計一種新的虛擬機同時ZK友好并兼容Solidity。業界一開始也沒有想到可以這么快的融合，但是近一兩年技術的快速迭代，讓EVM的兼容提升到一個新高度，開發者可以做到一定程度的無縫遷移，是振奮人心的進展，這將影響ZK的開發生態和競爭格局。我們會在之后的報告中仔細討論這個問題。

三、ZKSNARK實現的基本原理

Goldwasser、Micali和Rackoff提出了零知識證明有三個性質：

完整性：每一個擁有合理見證的聲明，都是可以被驗證者驗證的

可靠性：每一個只擁有不合理見證的聲明，都不應該被驗證者驗證

零知識：驗證過程是零知識的

所以為了了解ZKP,我們從zk-SNARK開始，因為很多目前的區塊鏈應用都是從SNARK開始。首先，我們先了解一下zk-SNARK。

zk-SNARK的意思是：零知識證明是zero-knowledgeSuccintNon-interactiveARgumentsofKnowledge。

ZeroKnowledge：證明過程零知識，不會暴露多余信息

Succinct：驗證體積小

Non-interactive：非交互過程

ARguments：計算具備可靠性，即有限計算能力的證明者不能偽造證明，無限計算能力的證明者可以偽造證明

ofKnowledge：證明者無法在不知道有效信息的情況下構建出一個參數和證明

對于證明者來說，在不知道證據的情況下，構造出一組參數和證明是不可能的。

Groth16的zk-SNARK的證明原理和如下：

Source：https://learnblockchain.cn/article/3220

步驟是：

將問題轉換為電路

將電路拍平成R1CS的形式.

R1CS轉換成QAP形式

建立trustedsetup,生成隨機參數，包括PK(provingkey)，VK(verifyingkey)

zk-SNARK的證明生成和驗證

下一篇我們將開始研究zk-SNARK的原理、應用，通過幾個案例來透視ZK-SNARK的發展，并探索它與zk-STARK的關系等。

Tags：ARKNARASHPROStonk MarketNAR幣hashgardpros幣垃圾項目方

LTC