作者:benlaw.eth
你之前是否阅读过一些零知识证明的文章,但仍一头雾水?这些文章可能:
只以故事和童话作例子来论述ZKP,无法深入其本质。
内含大量密码学术语,数学公式,学术论文等,对初学者而言过于复杂。
本文提供了对ZKP简明扼要的概述,并从数学、密码学和编程角度进一步阐述ZKP的核心要素。
向色盲提供颜色证明
如何向色盲患者证明两个球的颜色确实是不同的?这其实并不复杂:
让他在手里握住两个球,背到背后,然后随机选择交换或不交换两个球的位置,再展示给你看,你告诉他这两个球的位置是否有变化。
在他看来,你可以通过瞎蒙来完成一次证明。不过,如果成千上万次地重复这个过程:如果你总是能说出正确答案,那么靠纯蒙的方式来保持一直正确的概率,是小到可以忽略的。因此可以通过这种方式来向色盲患者证明:两个球的颜色确实不一样,并且我们也有感知和区分的能力。
0x316地址在过去3天内总共使用25万美元买入17.72万枚LBR:金色财经报道,据Spot On Chain监测显示,0x316地址在2小时前以平均1.514美元的价格买入9.907万LBR(15万美元),随后价格上涨 4%。该地址在过去3天内总共使用25万美元买入17.72万枚LBR。每次买入后,LBR的价格都会飙升,该地址目前仍持有全部,现值26.7万美元。
此外,地址0x316也从两个流行的meme coin赚取了总计约28.9万美元:从7月24日到7月28日,将9500万枚RSR (18.8万美元) 兑换为 2.53亿枚RLB (现价值46.1万美元),从8月10日起,将7.5万枚USDT兑换为74万枚BITCOIN(现价值9.1万美元)。[2023/8/12 16:22:04]
颜色证明
上述证明过程是典型的零知识证明:
验证者无法在证明过程中获得任何关于颜色的知识,因为经过验证过程后他依然没有区分颜色的能力。
该验证过程是概率性的而非决定性的。
NEOS申请推出比特币高收益ETF和比特币量化趋势ETF:金色财经报道,专注于基于期权收益ETF的公司NEOS申请推出比特币高收益ETF和比特币量化趋势ETF。主动管理的高收入ETF将采用比特币期货看涨期权策略,而另一个ETF则寻求捕捉比特币价格的积极势头,同时通过使用现金和现金替代产品,力求将下跌风险降至最低。
后者的ETF将持有比特币期货合约、美国政府证券和货币市场基金,以及短期固定收益和现金替代ETF。NEOS提议,这些基金在5月中旬提交申请后60天内生效。[2023/5/28 9:46:26]
该过程是交互式的,需要多轮交互。不过,零知识证明中也有许多协议,通过高级技巧将证明过程转化成了非互动式的。
掌握知识的证明
我们已经分享了一种现实世界中的零知识证明的例子,接下来再来看一下在二进制世界中如何实现零知识证明。
Arthur是Elon的朋友,并且知道对方的手机号。Betty不知道Elon的号码。如果Arthur想要向Betty证明他知道,但又不想泄露号码,应该怎么实现呢?
特朗普NFT系列最高成交价0.84ETH 24小时交易额居OpenSea首位:金色财经报道,OpenSea数据显示,当前美国前总统特朗普发行的首个NFT系列Trump Digital Trading Cards地板价突破0.6ETH,今日成交价一度达0.84ETH,该系列NFT24小时交易额达2991ETH,居OpenSea首位,24小时增加80%。该系列NFT总交易额达4778ETH,共计15,825个持有地址。[2022/12/18 21:52:11]
知识证明
一种不成熟的方案是,Elon发布自己电话号码的哈希,Arthur通过一个程序输入哈希的原像,程序进行运算并检查结果。这个方法有一些致命的缺陷:
根据哈希,Betty可以通过暴力破解的方式得到原像,能破解出来的概率是不可忽略的,而且得到的结果几乎是确定性的。
Arthur必须向该程序输入原像。如果程序在Arthur的电脑上,Betty就会对此有疑问:我怎么知道你有没有作弊,你的电脑也许会一直声称你的证明是对的?
瑞士信贷上个季度为客户持有3200万美元的数字资产:金色财经报道,根据监管文件,瑞士信贷在第二季度末为其客户持有3100 万瑞士法郎(约合 3200 万美元)的资产和负债,并隐晦地描述如下:其中数字资产保护资产。它没有报告在前两个季度持有这些资产。该文件没有提供数字资产的具体数额。
一位知情人士说,瑞士信贷披露,它根据美国证券交易委员会的会计准则为其客户持有代币化证券。所谓的“?SAB 121?”指示为客户持有“加密资产”的公司在资产负债表上将其报告为资产和负债。监管机构在 3 月份公布了该指南,以强调加密货币托管的“重大风险”。瑞士信贷在其年度报告中指出,它现在遵循该会计准则。[2022/9/1 13:01:18]
如果程序在Betty的电脑上运行,Arthur也会担心,自己输入的信息会不会被窃取,即使程序肉眼可见的代码中并没有窃取信息的命令。
因为无法将程序分开在不同的环境中运行,这个信任问题是难以解决的。
常规的方法在这里碰壁了,是时候让零知识证明出场了!
加拿大安大略省证券委员会对交易所Bybit和KuCoin采取执法行动:金色财经报道,加拿大安大略省证券委员会 (OSC) 周三宣布,对加密货币交易所Bybit和KuCoin采取了执法行动,因为它们未能遵守加拿大安大略省的证券法。Bybit与监管机构达成和解协议,向OSC支付了近250万加元(190万美元)的罚款,并同意与该机构合作以正确注册。与此同时,Bybit不再接受安大略省客户的新账户或在该省推广其服务。
而KuCoin被指控不配合OSC的调查,这家总部位于塞舌尔的交易所被永久禁止参与安大略省资本市场。OSC还对该交易所处以200万加元(150万美元)的罚款,以及近100,000 加元(77,000 美元)的调查相关费用。OSC执法官员Jeff Kehoe表示,想要在安大略省运营的外国加密资产交易平台必须遵守规则,否则将面临执法行动。今天宣布的结果应该清楚地表明我们拒绝容忍不遵守安大略省证券法的行为。[2022/6/23 1:25:40]
基于密码学的零知识证明的实现方案
在此我会用零知识证明中的SigmaProtocol来解决问题,因为它比较简单。并且,为了简洁和易于理解,这里不会使用严格的密码学和数学中的定义、术语及推导过程等。
核心流程
使用零知识证明证明一个人有特定的知识,我们采取如下办法:
Sigma协议
定义一个P阶的有限群及其生成元g。我们可以暂时忽略这些奇怪的名词具体什么意思。
根据上面的定义,某个拥有知识或能接触到知识的第三方,将知识通过h=g^w(modP)的方式加密后,将h发布出去。
证明者启动零知识证明流程。生成一个随机数r,计算a=g^r,并将a发送给验证者。
验证者生成一个随机数e并发送给证明者。
证明者计算z=r+ew并发送给验证者。
验证者检查g^z==a·h^e(modP)。如果为真,则验证者确实掌握其声称的知识。
好啦,该证明协议到此就结束了!非常简短,但你仍可能对上面的一些数学运算感到困惑,但这不要紧,我们先有个大概印象再深入理解。
数学原理
这套流程背后的核心数学原理是离散对数难题:当P是一个很大的质数时,对于给定的h,很难找到满足h=g^w(modP)的w。该原理适用于上面所有类似的式子。
我们来一步一步解析下:
经过加密的知识h=g^w(modP),是难以被暴力破解的。由于求余运算的特点,即使被破解了也不具备单一确定解。这意味着对证明者而言,通过暴力破解来作弊,验证者,是不可行的。
然后我们将3,4,5步作为一个整体来看一下他们为什么要交换这些随机数:
I.证明者并不想暴露其秘密,所以他必须用随机数包裹一下将其隐藏起来。而验证者也需要通过添加一些随机数,让该知识可被自己验证的同时防止证明者作弊,而且不会窥探到证明者的秘密。
II.如果验证者先发送了随机数e,很明显,证明者可以通过编造a=g^z·h^-e来在最终检查中验证者,即使没有知识也可以通过。所以证明者必须先手发送一个承诺(a=g^r),但非r本身,来避免可作弊场景,同时不让验证者通过w=(z-r)/e提取到秘密。
III.在收到承诺后,验证者向证明者发送随机数e。由于其本身或者其衍生物无法泄露任何一方的信息,这个数不需要加密。之后证明者计算z=r+ew并将z发送给验证者。验证者最终通过检查g^z=g^(r+ew)=g^r·(gw)^e=a·h^e来确定证明者是否掌握知识。
通过这种往返交错的结构,我们收获了三个性质:
完备性:当且仅当证明者输入正确知识,验证才能通过。
可靠性:当且仅当证明者输入错误知识,验证才会失败。
零知识性:验证者无法在验证过程中获取任何知识。
上述三点即零知识证明的核心特性。通过数学和密码学,我们构建出了一套光怪陆离的证明体系。恭喜你一路走了这么远,现在应该已经可以说正式迈入了富丽堂皇又奥妙无穷的ZKP圣殿。
Havefun!
进一步了解
模拟器和零知识性
我们现在来考虑一些魔幻场景。如果一个证明者具有预言或篡改验证者生成的随机数的超能力,我们称其为模拟器。
模拟器vs验证者
设想,模拟器在验证者的随机数e生成前就对其进行了篡改,确保其生成后是自己预设的值。根据上面II所说,这种能力使模拟器能编造承诺a来验证者。不论模拟器的输入是什么,验证者总会得出结论模拟器具有知识,然而实际上他并没有。
显然,经过这种思想实验我们可以得出结论,验证者无法在该零知识证明协议中获取任何知识,也即其零知识性是成立的:
零知识性<==?模拟器S,使得S(x)与真实的协议执行不可区分,其中S(x):选择随机的z和e,令a=g^z·h^-e,其中(a,e,z)的分布与真实的随机数环境一致并满足g^z=a·h^e。
抽取器和可靠性
再来想象一下另一种超能力者——抽取器,具有时光倒流的能力。不过这次是抽取器作为验证者,面对一个正常的证明者。
当协议结束时,抽取器发起时间倒流,回到协议的起点,并持有上一轮得到的(z,e,a)。现在,协议重新执行一遍。由于证明者没有超能力无法进行时间旅行只能在固定的时间线上做确定的事,他又生成了一个一模一样的随机数r以及承诺a=g^r,而抽取器则可以生成新的随机数e'给证明者。
证明者vs抽取器
现在,抽取器获得了:g^z=a·h^e,g^z'=a·h^e=>g^(z-z')=h(e-e')=>加密后的知识h=g^((z-z')/(e-e'))=>知识w=(z-z')/(e-e').
显然,只要证明者真的掌握了知识,抽取器总是可以将其抽取出来,也即完备性成立:完备性<==?抽取器E,对给定的任何h,在掌握(a,e,z),(a,e',z')且e≠e'的情况下,都能输出ws.t.(h,w)∈R.
完备性
完备性不需要任何特殊角色来证明,因为:g^z=g^r+ew=g^r·(g^w)^e=a·h^e.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。