撰文:0xKira
编译:Block unicorn
在密码学和区块链不断发展的格局中,几乎没有哪项创新能像零知识(ZK)证明这样引发如此巨大的关注。零知识证明曾经只是计算机科学理论论文中晦涩难懂的学术概念,如今已迅速从纸上谈兵走向主网,成为下一代加密基础设施的基石。
零知识证明的核心在于挑战数字系统中一个长期存在的假设:验证需要暴露信息。无论是登录应用程序、验证身份还是确认交易,我们过去总是需要披露某些信息才能获得信任。零知识证明技术打破了这种权衡,使我们能够在不泄露底层信息的情况下,证明关于身份、数据或计算的事实。
除了隐私保护之外,零知识证明还能在全球范围内实现可扩展性、互操作性和无需信任的验证。从扩展区块链吞吐量的ZK rollup,到保护隐私的身份和合规系统,零知识证明正在重新定义加密领域的可能性。
概要
- 零知识(ZK)证明能够在不透露底层数据的情况下验证身份、余额或交易有效性等信息。
- 尽管零知识证明技术最早于 20 世纪 80 年代提出,但由于计算、密码学和区块链技术的进步,直到最近才变得实用。
- ZK 证明为私有交易、去中心化身份、DAO 投票和跨链互操作性提供支持,同时通过 ZK Rollup 将数千笔交易打包成单个证明,从而扩展以太坊的规模。
- 尽管计算量较大,但ZK rollup算法具有即时最终性、更低的费用和更强的安全性,使其领先于 Optimistic 类方案。
什么是零知识证明?
零知识(ZK)证明是一种密码学方法,它使一方(证明者)能够向另一方(验证者)证明某个陈述为真,而无需透露该陈述为何为真或任何额外信息。
例如,爱丽丝想向鲍勃证明她知道山洞里一扇隐藏门的密码,但她又不能直接告诉他密码。她进入山洞,打开门,然后从另一边出现。鲍勃看不到她是怎么做到的,但他知道她肯定知道密码。
零知识证明的经典比喻 —— Chainlink
传统上,验证需要披露一些信息:例如身份信息、密码或数据。零知识证明颠覆了这种模式,无需暴露数据本身即可证明身份、真实性或所有权。
在数字系统中,这意味着你可以:
- 在无需透露出生日期即可证明自己已年满 18 周岁。
- 在不透露钱包余额的情况下证明资金充足
- 在不泄露交易内容的情况下证明交易的有效性
这种「不泄露信息即可证明」的能力是保持隐私、安全和透明的系统的基础,而零知识证明恰好能同时兼顾这两个特点。
它们是如何运作的?
零知识证明依赖于深奥的数学结构和密码学原语,但从概念上讲,它们可以归结为三个基本属性:
- 完整性(Completeness):如果该陈述为真,诚实的证明者能够说服验证者它为真。
- 可靠性(Soundness):如果陈述是错误的,任何作弊的证明者都无法说服验证者使其相信该陈述是错误的。
- 零知识(Zero-Knowledge):验证者除了知道该陈述为真之外,不会获知任何其他信息。
实际上,零知识证明有好几种类型,但目前讨论的焦点主要集中在两种类型上:交互式和非交互式零知识证明。
在早期设计中,零知识证明是交互式的。证明者和验证者进行双向对话,验证者提出随机挑战,证明者则提供证明作为回应,共同构建对某个陈述真实性的信心。虽然这种模型在理论上行之有效,但在区块链环境中,各方往往难以实时互动,因此效率并不高。
为了使其更具实用性,密码学家开发了非交互式零知识证明(NIZK),这种证明只需要证明者向验证者发送一条消息即可完成。其中最著名的是 zk-SNARKs,它能够生成极其紧凑的证明,并在毫秒内完成验证。另一个变体是 zk-STARKs,它无需可信设置,并提供后量子安全级别。
zk-SNARKs 的工作原理 —— Midnight Network
本质上,这些系统允许证明者生成有效计算的数学「指纹」。验证者随后可以检查该指纹,而无需重新进行整个计算。这正是它们在区块链扩展中如此强大的原因:只需检查单个加密证明,即可快速且低成本地验证数千笔交易。
零知识证明什么时候被发明的?
零知识证明可以追溯到 20 世纪 80 年代中期,当时研究人员 Shafi Goldwasser、Silvio Micali 和 Charles Rackoff 在他们的开创性论文《交互式证明系统的知识复杂性》(「The Knowledge Complexity of Interactive Proof Systems」)(1985 年)中引入了这一概念。
他们早期的理论模型为随后几十年的密码学创新奠定了基础,但直到 2010 年代,由于计算效率的提高和区块链技术的兴起,零知识证明才变得实用。
Zcash 等项目于 2016 年推出,是最早大规模部署零知识证明的项目之一,它们使用 zk-SNARKs 在公共账本上实现私有交易。此后,零知识证明技术取得了显著发展,效率更高,证明生成速度更快,并且出现了新的框架(例如 zk-STARKs、Halo 和 PLONK),使其更易于开发者使用,也更适合实际系统扩展。
零知识证明在加密领域的应用有哪些?
最直观、最广为人知的应用场景是隐私保护交易。零知识证明允许用户在公共区块链上进行交易,而无需暴露交易金额或交易对手等敏感信息。Zcash 是该技术的先驱,它引入了「屏蔽交易」(shielded transactions)机制,在保护用户隐私的同时,还能维护链上可验证的完整性。在此基础上,Tornado Cash、Aztec 和 Railgun 等项目已将零知识证明技术扩展到以太坊,从而实现了私密的智能合约交互和保密的 DeFi 交易。
Tornado Cash 的工作原理 - Elliptic
除隐私保护之外,零知识证明正在革新数字身份和监管合规领域。它支持选择性披露,使用户能够在不泄露个人数据的情况下证明自身特定事实。例如,用户可以在不透露姓名的情况下证明自己已通过 KYC 验证,或者在不提供身份信息的情况下确认自己不在制裁名单上。这一原则是 Worldcoin 的人格证明、Polygon ID 和 zkPass 等新兴零知识身份系统的基础。
Polygon ID:一种支持零知识证明的身份系统 - Polygon
零知识证明在投票和治理方面也具有强大的应用价值。在去中心化自治组织(DAO)中,它们可以促进匿名但可验证的投票过程,确保结果透明,同时保护个人投票者的身份隐私。这有助于降低胁迫或报复的风险,鼓励更诚实地参与集体决策,从而强化去中心化治理的民主原则。
零知识证明的另一个优势体现在跨链验证领域。在多链环境中,传统上,在不同的区块链之间建立信任需要中间机构或复杂的桥接机制。零知识证明提供了一种更优雅的解决方案:一条链上生成的证明可以证明其状态的有效性,而另一条链可以独立验证该证明。这实现了无需信任的互操作性,使不同的区块链能够在不依赖中心化验证器的情况下进行安全通信。
ZK 技术也正通过 ZK Rollup 来提升以太坊的可扩展性。通过将数千笔交易打包成一个单一的加密证明,这些 Rollup 在确保安全性的同时,显著降低了链上数据负载。其结果是交易处理速度更快、成本更低、效率更高,为以太坊在不损害其去中心化特性的前提下应对大规模应用奠定了基础。
ZK Rollup 详解
在所有基于零知识证明的应用中,ZK rollup无疑是最具变革性的。它们解决了加密货币领域最大的挑战之一:区块链的可扩展性。
自区块链技术诞生之初,所有区块链都面临着区块链三难困境:即所有区块链只能在安全性、可扩展性和去中心化这三大核心属性中实现两项。像以太坊这样的区块链虽然安全且去中心化,但速度仍然很慢,而且费用昂贵。每笔交易都必须经过所有节点的验证,这造成了瓶颈,限制了吞吐量,推高了 gas 费用,严重降低了区块链的可用性。
Rollup 是一种 Layer-2 解决方案,它在链下执行交易,然后将汇总信息发布回主链或 Layer-1(通常是以太坊)。Rollup 主要分为两种类型:Optimistic rollup 和 ZK rollup。
在 ZK Rollup 中,成百上千笔链下交易被打包在一起。证明者生成一个零知识证明(也称为有效性证明),表明所有打包的交易都符合区块链的规则。然后,该单一证明被提交到主链,主链可以快速且确凿地验证它。
ZK Rollup 的工作原理 - Messari
这种设计大幅减少了Layer-1的数据量和计算负担,同时保持了与单独处理每笔交易相同的安全保证,从而消除了Layer-1 的速度和规模瓶颈。
一些 ZK rollup 的代表项目包括:
- zkSync Era:由 Matter Labs 开发,使用 zk-SNARKs 实现快速最终性。
- StarkNet:基于 zk-STARKs 构建,强调可扩展性和透明性
- Polygon zkEVM:以太坊虚拟机 (EVM) 的零知识实现,使其能够与以太坊上现有的智能合约完全兼容。
- Lighter:一个基于自定义 ZK rollup 构建的永续 DEX 平台,使用 zk-SNARKs,具体来说是 Plonky2。
ZK Rollup 的优势
通过将数千笔交易压缩成单个密码学证明,ZK rollups 可以显著提高吞吐量,使以太坊等区块链能够在不牺牲去中心化或安全性的情况下处理更多的活动。
安全性是另一项关键优势。与依赖经济激励和为期一周的挑战期来检测欺诈的Optimistic rollup不同,ZK rollup使用数学有效性证明来预先保证正确性。一旦链上验证了证明,底层交易即为最终且不可篡改,从而消除了延迟和不确定性。
这也意味着更快的确认速度。ZK rollup中的交易会在其对应的证明被验证后立即结算,与Optimistic系统中常见的等待时间相比,用户几乎可以即时获得最终结果。
成本效益是另一项主要优势。由于 ZK Rollups 仅向 Layer-1 区块链提交极少量的数据,因此 Gas 费用显著降低,使得用户和应用程序在以太坊上运行的成本更低。
更令人振奋的是,ZK rollup 为增强隐私保护打开了大门。由于其本身建立在零知识密码学之上,理论上可以将机密性直接嵌入到 rollup 本身,从而实现大规模的私密且可验证的交易。
目前的主要限制在于计算需求。生成零知识证明仍然需要消耗大量资源,需要强大的硬件和先进的密码学技术。然而,持续的进步,尤其是在硬件加速、电路设计和递归证明方面的进展,正在稳步降低这些成本,使得每一代ZK rollup的效率都更高。
与 Optimistic Rollup 的对比
Optimistic rollup,例如 Arbitrum 和 Optimism,则遵循不同的理念。它们默认所有链下交易都是有效的。只有当有人质疑这一假设时,系统才会要求提供「欺诈证明」来验证争议,这个过程通常需要一周左右。这种模型在实践中运行良好,但会造成交易最终确认的延迟,并且依赖于激励机制来促使参与者发现并举报无效活动。
而 ZK rollup 为每一批交易附带一个零知识有效性证明,在写入主链之前就用数学方式确认其正确性,从而提供即时最终性和更强的安全保障,但同时也带来了更高的技术复杂性和更大的计算量。
本质上,这两种模型代表了不同的权衡取舍。OptimisticRollup 更容易实现,并且由于其简单性和与以太坊虚拟机 (EVM) 的完全兼容性,目前在以太坊的 Layer-2 领域占据主导地位。ZK rollup更复杂,计算量更大,但它提供了更快的结算速度、更低的成本以及内置隐私的潜力。
结论
零知识证明代表着我们对数字系统中信任、隐私和验证方式的范式转变。这项起源于 20 世纪 80 年代的抽象密码学理论,如今已成为推动下一代去中心化基础设施发展的最有前景的技术之一。
在加密货币领域,零知识证明为私有交易、去中心化身份、跨链互操作性以及最重要的可扩展rollup架构提供支持,这些架构在保持以太坊级别安全性的同时,还能成倍提升吞吐量。它们的应用范围也超越了区块链,扩展到金融、人工智能和数据验证等领域。
尽管零知识证明的应用仍处于相对早期阶段,但其发展轨迹已然清晰。零知识证明正从密码学领域的新奇技术转变为基础设施建设的必然组成部分。如果区块链要在保障隐私和去中心化的同时扩展到数十亿用户规模,那么零知识证明很可能就是开启这一未来的关键。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
