作者:benlaw.eth
你之前是否阅读过一些零知识证明的文章,但仍一头雾水?这些文章可能:
只以故事和童话作例子来论述ZKP,无法深入其本质。
内含大量密码学术语,数学公式,学术论文等,对初学者而言过于复杂。
本文提供了对ZKP简明扼要的概述,并从数学、密码学和编程角度进一步阐述ZKP的核心要素。
向色盲提供颜色证明
如何向色盲患者证明两个球的颜色确实是不同的?这其实并不复杂:
让他在手里握住两个球,背到背后,然后随机选择交换或不交换两个球的位置,再展示给你看,你告诉他这两个球的位置是否有变化。
在他看来,你可以通过瞎蒙来完成一次证明。不过,如果成千上万次地重复这个过程:如果你总是能说出正确答案,那么靠纯蒙的方式来保持一直正确的概率,是小到可以忽略的。因此可以通过这种方式来向色盲患者证明:两个球的颜色确实不一样,并且我们也有感知和区分的能力。
游戏生态开发公司Gamercraft完成500万美元种子轮融资:金色财经报道,基于人工智能技术驱动的竞技游戏生态开发公司Gamercraft宣布完成500万美元首笔种子轮融资,Le Fonds、Mistral Ventures、Quantic Fund、Stellaria Capital、以及计算机硬件巨头Alienware的几位联合创始人参投,据悉该公司正在继续募集资金并预计在今年内完成种子轮融资。Gamercraft 旨在推动基于技能的游戏经济,帮助玩家在满足被动游戏体验的同时获得切实回报,他们计划利用这笔最新融资探索区块链游戏市场并进行创新,同时拓展更多AAA级线上游戏。(Crypto-reporter)[2023/7/12 10:50:38]
颜色证明
上述证明过程是典型的零知识证明:
验证者无法在证明过程中获得任何关于颜色的知识,因为经过验证过程后他依然没有区分颜色的能力。
该验证过程是概率性的而非决定性的。
MetaMask Institutional、Cobo和Gnosis DAO联合开发灵魂绑定代币项目“Evolution”:12月14日消息,数字资产托管和区块链技术开发商Cobo于12月13日发布公告宣布,Cobo、MetaMask Institutional和Gnosis DAO联合灵魂绑定代币(SBT)项目“Evolution”,旨在帮助用户定义自己数字身份并了解最新行业趋势。(cointelegraph)[2022/12/14 21:44:03]
该过程是交互式的,需要多轮交互。不过,零知识证明中也有许多协议,通过高级技巧将证明过程转化成了非互动式的。
掌握知识的证明
我们已经分享了一种现实世界中的零知识证明的例子,接下来再来看一下在二进制世界中如何实现零知识证明。
Arthur是Elon的朋友,并且知道对方的手机号。Betty不知道Elon的号码。如果Arthur想要向Betty证明他知道,但又不想泄露号码,应该怎么实现呢?
瑞士央行官员:CBDC可以为DeFi发展提供高稳定性和更低的风险:10月1日消息,瑞士国家银行(SNB)董事会成员Thomas Moser在接受采访时表示,CBDC可以为DeFi的发展提供更高的稳定性和更低的风险。
Moser进一步表示,数字货币的中心化和去中心化实际上可以协同工作,因为中心化对DeFi来说并完全是坏事,USDT和USDC是DeFi中使用最广泛的Stablecoin,但二者都是中心化的,CBDC对于DeFi的风险要比Stablecoin更低,因为来自中央银行的资金不会带来交易对手风险。[2022/10/1 22:43:32]
知识证明
一种不成熟的方案是,Elon发布自己电话号码的哈希,Arthur通过一个程序输入哈希的原像,程序进行运算并检查结果。这个方法有一些致命的缺陷:
根据哈希,Betty可以通过暴力破解的方式得到原像,能破解出来的概率是不可忽略的,而且得到的结果几乎是确定性的。
Arthur必须向该程序输入原像。如果程序在Arthur的电脑上,Betty就会对此有疑问:我怎么知道你有没有作弊,你的电脑也许会一直声称你的证明是对的?
Lifeform完成数百万美元种子轮融资,Binance Labs领投:8月3日消息,Lifeform完成数百万美元种子轮融资,由Binance Labs领投。其前种子轮由Geekcartel独家投资。据悉,Lifeform是去中心化数字身份解决方案提供商。
Binance Labs投资总监Mia Mai对此评论说:“随着用户从Web2迁移到Web3,他们的在线形象将从数字模拟过渡到数字原生。Lifeform的底层技术为用户提供了一种表达个性的独特方式,最终将让用户在共生生态系统中寻求繁荣的愿景。我们期待与Lifeform密切合作,支持Web3数字公民。”[2022/8/3 2:55:25]
如果程序在Betty的电脑上运行,Arthur也会担心,自己输入的信息会不会被窃取,即使程序肉眼可见的代码中并没有窃取信息的命令。
因为无法将程序分开在不同的环境中运行,这个信任问题是难以解决的。
常规的方法在这里碰壁了,是时候让零知识证明出场了!
Web3游戏公司Ambrus Studio获得数百万美元融资,估值高达6500万美元:7月29日,据官方消息,Web3游戏初创公司Ambrus Studio宣布,其代币融资已达数百万美元,估值高达6500万美元。这些资金将用于促进产品开发。此轮融资由Spartan Group、M13领投,CVP NLH、6th Man Ventures、Axia8、Krypital、Red Building Capital、Cobo、Bas1s Ventures等参投。另外,娱乐圈具影响力的明星Paris Hilton 参投,期望与Ambrus Studio共创可持续性的游戏生态。
据悉,Ambrus Studio由前拳头游戏Riot Games亚太区 CEO-Johnson Yeh于2021年12月创立 ,旨在创建一个Free-to-play及强电竞属性的游戏及可持续的元宇宙生态系统。首款游戏《E4C:Final Salvation》希望打造成Web3游戏领域第一个融合电竞元素的MOBA手游。[2022/7/29 2:45:10]
基于密码学的零知识证明的实现方案
在此我会用零知识证明中的SigmaProtocol来解决问题,因为它比较简单。并且,为了简洁和易于理解,这里不会使用严格的密码学和数学中的定义、术语及推导过程等。
核心流程
使用零知识证明证明一个人有特定的知识,我们采取如下办法:
Sigma协议
定义一个P阶的有限群及其生成元g。我们可以暂时忽略这些奇怪的名词具体什么意思。
根据上面的定义,某个拥有知识或能接触到知识的第三方,将知识通过h=g^w(modP)的方式加密后,将h发布出去。
证明者启动零知识证明流程。生成一个随机数r,计算a=g^r,并将a发送给验证者。
验证者生成一个随机数e并发送给证明者。
证明者计算z=r+ew并发送给验证者。
验证者检查g^z==a·h^e(modP)。如果为真,则验证者确实掌握其声称的知识。
好啦,该证明协议到此就结束了!非常简短,但你仍可能对上面的一些数学运算感到困惑,但这不要紧,我们先有个大概印象再深入理解。
数学原理
这套流程背后的核心数学原理是离散对数难题:当P是一个很大的质数时,对于给定的h,很难找到满足h=g^w(modP)的w。该原理适用于上面所有类似的式子。
我们来一步一步解析下:
经过加密的知识h=g^w(modP),是难以被暴力破解的。由于求余运算的特点,即使被破解了也不具备单一确定解。这意味着对证明者而言,通过暴力破解来作弊,验证者,是不可行的。
然后我们将3,4,5步作为一个整体来看一下他们为什么要交换这些随机数:
I.证明者并不想暴露其秘密,所以他必须用随机数包裹一下将其隐藏起来。而验证者也需要通过添加一些随机数,让该知识可被自己验证的同时防止证明者作弊,而且不会窥探到证明者的秘密。
II.如果验证者先发送了随机数e,很明显,证明者可以通过编造a=g^z·h^-e来在最终检查中验证者,即使没有知识也可以通过。所以证明者必须先手发送一个承诺(a=g^r),但非r本身,来避免可作弊场景,同时不让验证者通过w=(z-r)/e提取到秘密。
III.在收到承诺后,验证者向证明者发送随机数e。由于其本身或者其衍生物无法泄露任何一方的信息,这个数不需要加密。之后证明者计算z=r+ew并将z发送给验证者。验证者最终通过检查g^z=g^(r+ew)=g^r·(gw)^e=a·h^e来确定证明者是否掌握知识。
通过这种往返交错的结构,我们收获了三个性质:
完备性:当且仅当证明者输入正确知识,验证才能通过。
可靠性:当且仅当证明者输入错误知识,验证才会失败。
零知识性:验证者无法在验证过程中获取任何知识。
上述三点即零知识证明的核心特性。通过数学和密码学,我们构建出了一套光怪陆离的证明体系。恭喜你一路走了这么远,现在应该已经可以说正式迈入了富丽堂皇又奥妙无穷的ZKP圣殿。
Havefun!
进一步了解
模拟器和零知识性
我们现在来考虑一些魔幻场景。如果一个证明者具有预言或篡改验证者生成的随机数的超能力,我们称其为模拟器。
模拟器vs验证者
设想,模拟器在验证者的随机数e生成前就对其进行了篡改,确保其生成后是自己预设的值。根据上面II所说,这种能力使模拟器能编造承诺a来验证者。不论模拟器的输入是什么,验证者总会得出结论模拟器具有知识,然而实际上他并没有。
显然,经过这种思想实验我们可以得出结论,验证者无法在该零知识证明协议中获取任何知识,也即其零知识性是成立的:
零知识性<==?模拟器S,使得S(x)与真实的协议执行不可区分,其中S(x):选择随机的z和e,令a=g^z·h^-e,其中(a,e,z)的分布与真实的随机数环境一致并满足g^z=a·h^e。
抽取器和可靠性
再来想象一下另一种超能力者——抽取器,具有时光倒流的能力。不过这次是抽取器作为验证者,面对一个正常的证明者。
当协议结束时,抽取器发起时间倒流,回到协议的起点,并持有上一轮得到的(z,e,a)。现在,协议重新执行一遍。由于证明者没有超能力无法进行时间旅行只能在固定的时间线上做确定的事,他又生成了一个一模一样的随机数r以及承诺a=g^r,而抽取器则可以生成新的随机数e'给证明者。
证明者vs抽取器
现在,抽取器获得了:g^z=a·h^e,g^z'=a·h^e=>g^(z-z')=h(e-e')=>加密后的知识h=g^((z-z')/(e-e'))=>知识w=(z-z')/(e-e').
显然,只要证明者真的掌握了知识,抽取器总是可以将其抽取出来,也即完备性成立:完备性<==?抽取器E,对给定的任何h,在掌握(a,e,z),(a,e',z')且e≠e'的情况下,都能输出ws.t.(h,w)∈R.
完备性
完备性不需要任何特殊角色来证明,因为:g^z=g^r+ew=g^r·(g^w)^e=a·h^e.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。