零知识证明的发展与应用

零知识证明的历史

零知识证明体系最早源于1985年Goldwasser、Micali和Rackoff的研究成果。他们探讨了在交互系统中，通过多轮交互来证明一个声明正确性所需交换的知识量。如果可以在不交换任何知识的情况下完成证明,就被称为零知识证明。

早期的零知识证明系统在效率和实用性方面存在不足,主要停留在理论层面。近10年来,随着密码学在加密货币领域的兴起,零知识证明开始蓬勃发展,成为一个重要研究方向。其中,开发通用、非交互、证明规模有限的零知识证明协议是关键探索方向之一。

零知识证明的一个重要突破是Groth在2010年提出的短配对非交互式零知识证明。这为zk-SNARK奠定了理论基础。2015年,Zcash采用零知识证明系统实现交易隐私保护,标志着零知识证明开始广泛应用。

其他一些重要学术成果包括:

• 2013年的Pinocchio:将证明和验证时间压缩到可用范围
• 2016年的Groth16:精简了证明大小,提升验证效率
• 2017年的Bulletproofs:提出无需可信设置的短证明
• 2018年的zk-STARKs:提出无需可信设置的新型协议

此外,PLONK、Halo2等也是重要进展,对zk-SNARK做出了改进。

零知识证明的应用

零知识证明最广泛的两个应用是隐私保护和扩容。

隐私保护

早期隐私交易项目如Zcash和Monero推出后,一度成为重要方向。但由于隐私交易的必要性未达预期,这类项目逐渐进入二三线阵营。

Zcash采用zk-SNARKs技术,其交易步骤包括:系统设置、生成公私钥、铸币、生成证明、验证和接收。但Zcash基于UTXO模型,只是屏蔽了部分交易信息,而非完全隐藏。其隐私交易使用率不到10%。

Tornado Cash采用单一大混币池设计,基于以太坊网络,使用zk-SNARK技术。它可以保证只有存入的币可被提取,每个币只能提取一次,证明过程与废止通知绑定。

扩容

ZK扩容可在一层网络(如Mina)或二层网络(即zk-rollup)上实现。zk-rollup包括Sequencer和Aggregator两类角色。Sequencer负责打包交易,Aggregator将大量交易合并并生成零知识证明,更新以太坊状态树。

zk-rollup的优点是费用低、快速达成最终性,缺点是计算量大、可能存在安全问题。

目前主要的zk-rollup项目包括:StarkNet、zkSync、Aztec Connect、Polygon Hermez/Miden、Loopring、Scroll等。它们在SNARK/STARK选择和EVM兼容性方面存在差异。

EVM兼容性一直是个难题。一些项目选择开发自己的虚拟机和语言,但这增加了开发者学习成本。目前业界主要有两种方案:完全兼容Solidity操作码,或设计新的ZK友好虚拟机并兼容Solidity。近期EVM兼容性取得重要进展,有望实现开发者无缝迁移。

ZK-SNARK实现原理

ZK-SNARK(Zero-Knowledge Succinct Non-Interactive Argument of Knowledge)是一种零知识证明系统,具有以下特点:

• 零知识:证明过程不泄露额外信息
• 简洁:验证体积小
• 非交互:无需多轮交互
• 可靠性:有限计算能力的证明者无法伪造证明
• 知识性:证明者必须知道有效信息才能构建证明

Groth16的ZK-SNARK证明过程包括:

1. 将问题转换为电路
2. 将电路转换为R1CS形式
3. R1CS转换为QAP形式
4. 建立可信设置,生成proving key和verifying key
5. 生成和验证ZK-SNARK证明

零知识证明技术仍在快速发展,未来有望在隐私保护、扩容等方面发挥更大作用。