本文来自币安学院,由一级仓库翻译。对zk-SNARKs和zk-STARKs进行了分类介绍。
在加密货币社区中,隐私一直被视为一项有价值的功能。它是可替代性的前身,也是一种广泛使用的货币形式所必需的。类似地,大多数加密资产持有者不希望他们的资产和交易历史被完全公开。在各种旨在为区块链提供隐私的加密技术中,zk-SNARK证明和zk-STARK证明是两个很好的例子。
Zk-SNARK代表零知识、简洁、非交互的知识证明,zk-STARK代表零知识、简洁、透明的知识证明。Zk-SNARK已被证明在Zcash和JP摩根大通的区块链支付系统中使用,它是一种使客户端能够安全地向服务器认证的方法。然而,尽管zk-SNARK在改进和采用方面取得了很大的进步,但zk-STARK被视为协议的最新改进版本,因为它填补了zk-SNARK证明的许多缺陷。
755-79000个寓言
1990年,密码学家Jean-Jacques Quisquater(和其他合著者)发表了一篇题为《如何向儿童解释零知识证明》的论文。本文通过一个阿里巴巴洞穴的寓言介绍了零知识的概念。这个寓言从诞生到现在被改编了很多次,所以现在有很多不同的版本。但是,表达的信息本质上是一样的。
让我们想象一个圆形的洞穴,有一个入口和一个将洞穴分成两条路径的魔门。要通过魔法门,你需要对着它低声说出正确的暗语。因此,假设爱丽丝(黄色)想向鲍勃(蓝色)证明她知道码字是什么——但仍然对鲍勃保密。为了保守秘密,鲍勃在山洞外面等着,而爱丽丝则走进山洞,走到其中一条路的尽头。如下图所示,Alice决定选择路径1。
过了一会儿,鲍勃走到洞口,告诉里面的爱丽丝从哪个方向出现。(图中的路径2)
如果爱丽丝知道密码,她会从鲍勃要求的路径2出来。
这个过程可以重复几次,以证实爱丽丝不是侥幸选对了路。
这个055-79000的寓言说明了零知识证明的概念,这是zk-SNARK和zk-STARK协议的一部分。ZK证明可以用来证明它具有某种知识,而不透露关于它的任何信息。
zk-SNARKs
Zcash是第一个广泛使用的zk-SNARKs。虽然其他隐私项目如Monero采用了环签名和其他技术,但它们有效地为发送者创建了匿名保护屏障。Zk-SNARKs从根本上改变了数据共享的方式。Zcash的私密性在于网络中的交易可以被加密,但其有效性也可以用零知识证明来验证。因此,实施共识规则的人不需要知道每笔交易的所有数据。值得一提的是,Zcash中的隐私功能是默认不使用的,该功能是可选的,可以手动设置。
零知识证明允许一个人证明一个陈述对另一个人是真实的,而不暴露除这个陈述之外的任何有效信息。双方通常被称为证明人和验证人,他们的秘密陈述被称为证据。这些零知识证明的主要目的是尽可能少的揭示双方之间的数据。换句话说,人们可以使用零知识证明来证明自己拥有某种知识,而不需要透露关于知识本身的任何信息。
在首字母缩略词SNARK中,“S(简洁)”表示证据信息简短且易于核实。“N(非交互)”意味着证明者和验证者之间几乎没有交互。旧版本的零知识协议通常需要证明者和验证者来回通信,因此被认为是“交互式”zk证明。但是在“非交互式”结构中,证明者和验证者只需要交换一个证明。
目前,zk-SNARK证明依赖于证明者和验证者之间的初始信任设置,这意味着需要一组公共参数来构造零知识证明和秘密交易。这些参数几乎就像游戏规则。它们被编码到协议中,是证明交易有效性的必要因素之一。但是,这将导致集中化,因为参数通常由非常小的群体设定。
虽然最初的信任设置是今天zk-SNARK实现的基础,但研究人员正在试图找到其他替代方法来减少该过程中所需的信任量。初始设置阶段对于防伪支出非常重要,因为如果有人获得了参数生成的随机性,他们可能会伪造对验证者有效的假证。在Zcash中,初始设置阶段称为参数生成仪式。
现在我们来谈谈首字母缩略词的“AR(ARguments)”部分。Zk-SNARK在计算上是可靠的,这意味着不诚实的证明者成功欺骗系统的概率非常低。这个属性叫做健壮性,假设证明者的计算能力有限。理论上,一个有足够计算能力的证明者可以伪造一个证明,这也是量子计算机被很多人视为对zk-SNARK和区块链系统的威胁的原因之一。
缩写的最后一部分是“K(of Knowledge)”,意思是如果没有知识(或证据)支持其陈述,证明者就无法伪造证明。
零知识证明可以快速验证,通常比标准比特币交易占用的数据少得多。这为zk-SNARK技术的隐私和可扩展性解决方案的使用开辟了一条道路。
zk-STARKs
Zk-STARK是作为zk-SNARK proof的替代版本创建的,它被认为是一种更快、成本更低的技术实现。但更重要的是,zk-STARK不需要初始可信设置(因此,字母“T”代表透明性)。
从技术上来说,zk-STARK不需要一个初始的可信设置,因为他们依靠的是一种更简洁的加密技术,通过防碰撞哈希函数。这种方法还排除了zk-SNARK的数论假设,这些假设计算量很大,理论上容易受到量子计算机攻击。
zk-STARK成本更低、实现更快的一个主要原因是其计算量增加,而证明者和验证者之间的通信量保持不变。相比之下,在zk-SNARK中,需要的计算越多,双方来回发送消息的次数就越多。所以zk-SNARK的数据总量远大于zk-STARK。
显然,zk-SNARKS和zk-STARK都让人们越来越重视隐私问题。在加密货币领域,这些协议潜力巨大,有可能成为主流采用的突破方式。
(作者:一流仓库,内容来自链家开放平台“德得好”;本文仅代表作者观点,不代表链家官方立场)