?譯者 | 李睿

審校 | 孫淑娟

零知識(shí)證明（ZKP）也稱(chēng)為ZKP協(xié)議，試圖以最小的信息交換量在雙方之間建立信任。在密碼學(xué)中，它旨在限制身份驗(yàn)證活動(dòng)期間的信息傳輸。ZKP的創(chuàng)始人明確研究了計(jì)算機(jī)證明中信息或知識(shí)的移動(dòng)。ZKP是當(dāng)時(shí)引入新的研究領(lǐng)域的一個(gè)重大進(jìn)步。如今在Web3和區(qū)塊鏈的背景下，將再次探討ZKP的含義。

1.證明系統(tǒng)中的知識(shí)復(fù)雜度

ZKP的更準(zhǔn)確名稱(chēng)可能是知識(shí)感知證明。提出這一觀點(diǎn)的第一篇論文出現(xiàn)在20世紀(jì)80年代末發(fā)表的幾篇變體論文中。該論文提到了與證明系統(tǒng)相關(guān)的知識(shí)復(fù)雜性，并提出了一個(gè)問(wèn)題：當(dāng)一方試圖向另一方證明一個(gè)陳述時(shí)，必須傳遞的最低信息是什么?

要記住的概念是，人們正在嘗試?yán)斫夂涂刂菩畔⒘?，同時(shí)支持有效的驗(yàn)證。 

2.ZKPvs.非對(duì)稱(chēng)加密

ZKP的想法來(lái)自上世紀(jì)70年代和上世紀(jì)80年代探索密碼學(xué)新概念領(lǐng)域的時(shí)代。這與給人們帶來(lái)非對(duì)稱(chēng)加密的環(huán)境相同。一些ZKP協(xié)議按照Diffie-Hellman密鑰交換或RSA加密算法使用素因子分解作為單向（或陷阱門(mén)）函數(shù)。

對(duì)于非對(duì)稱(chēng)加密，主要目標(biāo)是雙方達(dá)成共享秘密。在ZKP中，其目標(biāo)是在不透露無(wú)關(guān)信息的情況下提出索賠。在非對(duì)稱(chēng)加密中，雙方共享一個(gè)秘密數(shù)字；在ZKP中，證明者在不泄露該數(shù)字的情況下證明他們實(shí)際上擁有一個(gè)秘密數(shù)字。

而ZKP在區(qū)塊鏈中得到更多應(yīng)用并不足為奇。

3.區(qū)塊鏈和Web3中的ZKP

在不公開(kāi)基礎(chǔ)證明數(shù)據(jù)的情況下證明陳述或聲明的能力具有令人興奮的用途。一方面，很可能將ZKP與現(xiàn)有的身份驗(yàn)證應(yīng)用程序結(jié)合使用。如果可以在不透露密碼情況下證明擁有密碼，那么就消除了所有的攻擊向量。

不過(guò)，使用ZKP進(jìn)行密碼驗(yàn)證只是一個(gè)小步驟，它并沒(méi)有真正改變?nèi)藗內(nèi)缃袷煜さ幕灸Ｐ?。要使這種身份驗(yàn)證機(jī)制起到作用，仍然需要將密碼傳輸?shù)脚c之交互的服務(wù)的中央服務(wù)器并存儲(chǔ)在那里。更具革命性的方法需要考慮如果將ZKP集成到應(yīng)用程序安全系統(tǒng)的設(shè)計(jì)中會(huì)發(fā)生什么。在這種情況下，開(kāi)始看到現(xiàn)有身份驗(yàn)證的替代方案。如果政府部門(mén)和銀行機(jī)構(gòu)要承擔(dān)簽發(fā)加密密鑰以驗(yàn)證重要聲明的角色，用戶(hù)可以使用ZKP協(xié)議來(lái)驗(yàn)證聲明。

作為一個(gè)高級(jí)示例，如果政府部門(mén)將密鑰作為護(hù)照的一部分，則ZKP可用于證明公民身份，而無(wú)需透露護(hù)照號(hào)碼或公民姓名。通過(guò)采用哈希算法，公民可以使用ZKP來(lái)證明年齡等具體要求。

這種功能與Web3非常吻合，因?yàn)閰^(qū)塊鏈用戶(hù)已經(jīng)持有加密密鑰，并且知道如何使用它們。此外，ZKP可以允許在區(qū)塊鏈去中心化身份的背景下進(jìn)行身份和其他數(shù)據(jù)認(rèn)證，無(wú)論是與現(xiàn)有的Web2應(yīng)用程序在一起使用還是分開(kāi)。讓用戶(hù)能夠通過(guò)私鑰顯示其銀行對(duì)賬單或信用評(píng)分的零知識(shí)證據(jù)，這將在金融鏈上實(shí)現(xiàn)新的金融功能。

歸根結(jié)底，ZKP力求最大程度地減少與當(dāng)前身份驗(yàn)證模型相關(guān)的缺點(diǎn)：失去對(duì)用戶(hù)數(shù)據(jù)的控制、用戶(hù)數(shù)據(jù)暴露于黑客攻擊以及用戶(hù)數(shù)據(jù)的非自愿貨幣化。

4.ZKP的工作原理

在ZKP系統(tǒng)中，一方（證明者）向另一方（驗(yàn)證者）證明證明者擁有信息，在理想情況下除了這一事實(shí)之外不透露任何信息。有關(guān)ZKP的原始論文的作者使用了哈密頓圖的示例，這是一種訪問(wèn)連通圖中每個(gè)節(jié)點(diǎn)的圖。

確定證明者擁有這樣一個(gè)圖的一種簡(jiǎn)單方法是傳輸圖表本身。但這種方法可能泄漏大量信息，超出了證明者持有圖表的事實(shí)。用ZKP創(chuàng)始人的話來(lái)說(shuō)，它比單比特哈密頓量/非哈密頓數(shù)包含更多的信息。

可以想象這樣一個(gè)場(chǎng)景，驗(yàn)證者改為重復(fù)查詢(xún)圖中特定線和點(diǎn)的信息，而證明者做出響應(yīng)。如果證明者提供了足夠多的有效響應(yīng)，那么他們很可能確實(shí)持有哈密頓圖。而圖表本身永遠(yuǎn)不會(huì)被傳輸。

5.ZKP思想的實(shí)驗(yàn)

在公鑰加密中，參與者傳統(tǒng)上被稱(chēng)為Alice、Bob和Eve。在ZKP中，證明者稱(chēng)為Peggy，驗(yàn)證者稱(chēng)為Victor。 

假設(shè)Peggy有一個(gè)帶有兩個(gè)不同按鈕的房間。她邀請(qǐng)Victor確認(rèn)這兩個(gè)按鈕如何工作。證明她可以知道何時(shí)按下了一個(gè)按鈕或另一個(gè)按鈕。為了以“零知識(shí)”的方式證明這一說(shuō)法，Peggy與Victor分別在不同的房間，而Peggy看不到Victor在做什么，但她可以分辨出何時(shí)按下了不同的按鈕，并且可以將她看到的結(jié)果傳達(dá)給Victor。也許Peggy可以看到根據(jù)按下的按鈕發(fā)出不同顏色的燈光。圖1顯示了卡通形式的布局。 

圖1.Peggy的零知識(shí)房間和按鈕

Victor第一次按下按鈕時(shí)，Peggy提醒Victor有一個(gè)按鈕被按下。此時(shí)，Victor可以假設(shè)Peggy猜對(duì)了，或者她真的能夠看到其效果。任何一種可能性都同樣正確。

為了增加對(duì)Peggy作弊的幾率，兩人可以進(jìn)行多輪比賽。Victor可以每次按下相同的按鈕或不同的按鈕。如果她猜到了，Peggy的騙局很快就會(huì)被揭穿。每一輪正確猜測(cè)的概率都會(huì)變小。該過(guò)程可以重復(fù)多輪，以達(dá)到可接受的概率。

這個(gè)場(chǎng)景向Victor證明了Peggy知道什么時(shí)候按下按鈕以及按下按鈕的效果，——這就是Victor需要知道的全部?jī)?nèi)容。該實(shí)驗(yàn)沒(méi)有揭示按鈕的效果或Peggy監(jiān)控它們的原理。它向Victor展示了按下這些按鈕具有不同的效果，但他不需要知道這些效果是什么。

6.證明和概率

這里的關(guān)鍵是，Victor可以控制按下哪個(gè)按鈕，但他不知道按下之后的效果。他依賴(lài)Peggy來(lái)完成反饋循環(huán)。與此同時(shí)，他保留了以很高的概率來(lái)判斷Peggy是否能夠看到按下哪個(gè)按鈕的能力。這就是為什么說(shuō)ZKP是概率證明而不是確定性證明的原因。

關(guān)于Peggy和Victor的實(shí)驗(yàn)場(chǎng)景，還有一點(diǎn)需要注意的是，這就是所謂的交互式證明。在這個(gè)模型中，驗(yàn)證者可以隨意詢(xún)問(wèn)證明者。這與非交互式證明形成對(duì)比，在非交互式證明中，證明者自己進(jìn)行驗(yàn)證，其過(guò)程并不在與驗(yàn)證者交互的情況下傳輸證明。任何一種風(fēng)格都可以使用ZKP應(yīng)用。

7.進(jìn)一步使用ZKP

ZKP是一個(gè)不斷擴(kuò)展的領(lǐng)域，它為開(kāi)發(fā)人員探索令人興奮和不確定的領(lǐng)域創(chuàng)造了條件。最常見(jiàn)的通用協(xié)議是零知識(shí)簡(jiǎn)潔非交互式知識(shí)論證（zk-SNARK）。

以下是進(jìn)一步研究ZKP的一些建議：

• 有關(guān)ZKP在區(qū)塊鏈中的實(shí)際應(yīng)用，可以查看Mina項(xiàng)目。 
• ZKP在以?xún)?yōu)化性能為核心的以太坊2級(jí)中也發(fā)揮著重要作用。對(duì)于空間中的特定項(xiàng)目，需要參考Polygon的Nightfall項(xiàng)目。 
• 對(duì)于工作代碼和庫(kù)，可以參考Zilch項(xiàng)目。 
• 有關(guān)主流公司如何在這一領(lǐng)域開(kāi)展工作，可以參考Auth0與MATTR項(xiàng)目的合作。 

了解ZKP協(xié)議的一個(gè)很好的方法仍然是閱讀原始ZKP白皮書(shū)。這可以使人們了解實(shí)際的精神，在設(shè)想如何將計(jì)算時(shí)間的因素引入證明系統(tǒng)，以限制攻擊者在NP時(shí)間內(nèi)欺騙證明的能力。一切都源于此，而實(shí)施代碼和基礎(chǔ)設(shè)施以實(shí)現(xiàn)這些想法的承諾就是現(xiàn)在所處的位置。

原文鏈接：https://www.infoworld.com/article/3668549/zero-knowledge-proof-finds-new-life-in-the-blockchain.html