零知识证明：如何用数学魔法保护你的隐私

零知识证明的工作原理和主要技术

零知识证明是一种密码学技术，可以让一个人向另一个人证明自己拥有某些秘密信息，而不需要透露这些信息。零知识证明有两种基本类型：交互式和非交互式。

交互式零知识证明

交互式零知识证明需要证明者和验证者进行多轮通信，每轮通信包括三个阶段：证据、挑战和回应。

证据：证明者利用自己的秘密信息构造一些问题，这些问题只有知道秘密信息的人才能正确回答。证明者随机选择一个问题，计算出答案，并发送给验证者。

挑战：验证者从问题集合中随机选择另一个问题，要求证明者给出答案。

回应：证明者收到问题后，计算出答案，并发送给验证者。验证者根据证明者的回应判断证明者是否知道秘密信息。

这个过程可以重复多次，直到验证者对证明者的真实性有足够的信心。例如，如果每次验证者有 1/2 的概率猜中问题，那么经过十轮验证后，证明者如果不知道秘密信息却能每次都回答正确的概率只有 0.00097656，这样验证者就可以认为证明者是真实的。

非交互式零知识证明

交互式零知识证明有一些缺点，比如需要证明者和验证者同时在线并进行多次通信，以及每次生成的证明都不能复用。为了克服这些缺点，Manuel Blum, Paul Feldman, 和 Silvio Micali 提出了非交互式零知识证明，它只需要一次通信，并且可以让多个验证者使用同一个证明。

非交互式零知识证明的核心思想是让证明者和验证者共享一个密钥，这个密钥可以用来生成和检验有效性证明。有效性证明是一种特殊的数学表达式，它可以表达出链下进行的计算的正确性。验证者只需要用密钥和一种算法来检验有效性证明是否合法。一旦生成了有效性证明，任何拥有密钥和算法的人都可以对其进行验证。

非交互式零知识证明是零知识证明技术的重大进展，推动了现在使用零知识证明系统的发展。主要方法有 ZK-SNARK 和 ZK-STARK。

零知识证明的主要技术路径

Alchemy（2022）将零知识证明的技术路径分为 ZK-SNARK、ZK-STARK 和 递归ZK-SNARK。

ZK-SNARK 是一种简洁、非交互式、零知识的有效性证明。

公链上执行交易需要所有节点都重新运行每笔交易来保证正确性。但这样会导致网络速度变慢，可扩展性受限。节点还需要存储所有交易数据，导致区块链规模急剧增长。

ZK-SNARK 可以解决这些问题。它可以让节点不需要重复运行链下的计算，就能验证其正确性。它也可以减少节点存储交易数据的需求，提高网络的吞吐量。

ZK-SNARK 的工作原理是将链下的计算转化为一个数学表达式，然后生成一个有效性证明。验证者只需要检查有效性证明是否满足一些条件，就能判断链下的计算是否正确。有效性证明的大小远小于它所代表的计算，所以我们说 ZK-SNARK 是简洁的。

ZK-SNARK 的一个应用是 ZK Rollup，它是一种扩展方案，可以让更多的交易在链下进行，然后用 ZK-SNARK 来保证其正确性。ZK Rollup 的一般流程如下：

1. L2 的用户签署交易后提交给验证者。

2. 验证者用密码学方法将多个交易压缩成一个有效性证明（SNARK）。

3. L1 链上的智能合约验证有效性证明，决定是否将这批交易发布到主链上。

值得注意的是，ZK-SNARK 需要一个可信的设置过程。在这个过程中，密钥生成器会用一个程序和一个秘密参数来生成两个公钥，分别用于创建证明和验证证明。这两个公钥只需要生成一次，就可以多次使用。用户需要相信密钥生成器没有作恶，也没有泄露秘密参数。如果有人知道秘密参数，就可以伪造有效性证明，欺骗验证者，所以这是一个安全隐患。目前有研究员在探索 ZK-SNARK 不需要信任假设的方案。

ZK-SNARK 的优势

1. 安全性

ZK Rollup 被认为是比 OP Rollup 更安全的扩展方案，因为 ZK-SNARK 使用了先进的加密安全机制，很难被攻破或者篡改。

2. 高吞吐量

ZK-SNARK 减少了以太坊底层的计算量，缓解了主网堵塞情况，链下计算分担交易费用，带来更快的交易速度。

3. 小证明尺寸

SNARK 证明的小尺寸使它们容易在主链上得到验证，这意味着验证链下交易的 Gas Fee 较低，减少了用户的成本。

ZK-SNARK 的局限

1. 相对中心化

大多数时候都依赖于一个可信的设置。这和区块链去信任的初衷相违背。

用 ZK-SNARK 生成有效性证明是一个计算密集型的过程，证明者必须投资于专门的硬件。这些硬件价格昂贵，只有少数人负担得起，因此 ZK-SNARK 的证明过程是高度集中的。

2.ZK-SNARK 使用椭圆曲线密码学（ECC）来加密用于产生有效性证明的信息，目前相对安全，但量子计算的进步可能会打破其安全模型。