簡析V神長期看好的零知識證明

EDZ

21-12-02 16:30

閱讀本文需 8 分鐘

AI 總結

看總結

隨着 Rollup 在以太坊生態中成爲了擴容首選，人們對於 Optimisitic 和 zk 這兩種安全模式都有所耳聞。V 神曾公開表示：「短期看好 Optimistic 模式，長期更關注 zk 的表現。」

律動研究院曾在《這是那些互聯網大廠不想讓你知道的數據隱私保護方案》一文中就零知識證明所解決的問題以及現存應用進行了介紹，然而對於零知識證明中細分的兩種算法 zkSNARKs 及 zkSTARKs 並未進行細節介紹。

本文出自零知識證明領域加密研究者 Alex Beckett，本文詳述了零知識證明的兩種細分算法的不同之處。律動 BlockBeats 對全文進行了翻譯：

在密碼學領域中，零知識證明是最前沿的技術之一，它的出現豐富了區塊鏈擴容以及隱私保護的方式。不僅如此，在其基礎之上又衍生出了兩個相似的技術，分別是 zkSNARKs 和 zkSTARKs。

通過零知識證明，一方能在不提供任何必要信息的情況下，向另一方證明某件事，從而達到保護隱私的效果。這其中，想要證明某事的一方被稱爲證明者，而確保信息正確的一方被稱爲驗證者。

比如，如果你想證明自己已經年滿 18 週歲的話，你可以向他人出示自己的駕駛證。然而，這樣做不僅會讓他人得知你的年齡，還會暴露你的姓名、出生日期等一系列個人信息。不過，零知識證明就可以讓你在不透露自己任何信息的情況下，證明自己確實已經過了 18 歲。在這個情景中，你便是證明者，而你試圖證明自己年齡的一方則是驗證者。

在使用了零知識證明之後，各方之間只需要發送並驗證一條證明，而不需要公佈所有必要信息，這樣也就大大提升了可擴展性。雖然零知識技術目前仍處於發展之中，但其中最著名的例子當屬 Mina 的區塊鏈了，其大小隻有 22kb，相當於幾條推文的大小。

zkSNARK 是一串縮寫，其中小寫字母代表零知識（zero-knowledge），而大寫字母則代表的是簡潔的非交互知識論證（Succinct Non-interactive Arguments of Knowledge）。

zkSNARKs 雖然簡短但十分高效，它能以較快的速度來創建並驗證證明。當 zkSNARKs 由 Rollup 擴容方案發布到 L1 上時，簡短的字節數也意味着人們無需花費太多 Gas 就能對其進行驗證。一般來說，zkSTARKs 或 zkSNARKs 在與 Rollup 擴容方案一起使用時，可以極大地提高區塊鏈的可擴展性，因爲它們可以一次性驗證一大批交易的真實性。

雖然說，zkSNARKs 會要求進行信任假設，因爲它們需要爲受信的初始化確定一套具體參數。但這也會同時引發中心化的問題，因爲 zkSNARK 的初始化過程通常是由一小部分人在一個封閉體系當中完成的。如果有人成功獲取了 zkSNARK 的初始化參數，那麼他就能僞造一份有效的 zkSNARKs 證明，並欺騙驗證者接受該證明。不過最近一些系統也在相繼誕生，在這些系統當中 zkSNARKs 不再需要進行受信的初始化。

人們一般認爲，zkSNARKs 更容易受到量子攻擊。在這種情況下，知識論證會假設證明者的計算能力有限，因爲從理論上講，一個計算能力較強的證明者有能力說服驗證者相信一個假的 zkSNARKs 證明。

zkSTARK 這串縮寫後半部分的意思是可擴展的透明知識論證（Scalable Transparent Arguments of Knowledge）。

雖然 zkSTARKs 的字節數比 zkSNARKs 多，但其大小並不能直接決定證明生成所需要的時間長短，因爲其計算類型也是一大影響因素。不過，字節長短也起到了一定的抑制作用，因爲使用 zkSTARKs 的 Rollup 擴容方案需要更高的 Gas 費才能把證明提交到 L1。

即便如此，zkSTARKs 的生成速度還是比 zkSNARKs 要快。當計算要求增加時，zkSTARKs 的證明者數量以及驗證時間的增長速度都將比 zkSNARKs 更爲緩慢，所以也有着更強的可擴展性。

ZkSTARKs 不需要有受信的初始化，因爲它們所創建的系統是依靠可公開驗證的隨機性來完成的。與 zkSNARKs 不同的是，zkSTARKs 由於在其設計中使用了更強的加密原語，如抗碰撞哈希函數，因此具備了抗量子性，這就是爲什麼其證明明顯長於 zkSNARKs 證明的原因了。因此，zkSTARKs 的知識論證並沒有假設證明者計算能力有限。

zkSTARKs 和 zkSNARKs 都屬於最前沿的密碼學領域技術，正推動着區塊鏈擴容不斷邁向更高的臺階。隨着技術以及硬件設施的日益改進，我們可以預見零知識證明在未來將作爲支撐模塊化擴展和區塊鏈發展的底層技術而得到更多普及。