作者:benlaw.eth
你之前是否阅读过一些零知识证明的文章,但仍一头雾水?这些文章可能:
只以故事和童话作例子来论述ZKP,无法深入其本质。
内含大量密码学术语,数学公式,学术论文等,对初学者而言过于复杂。
本文提供了对ZKP简明扼要的概述,并从数学、密码学和编程角度进一步阐述ZKP的核心要素。
向色盲提供颜色证明
如何向色盲患者证明两个球的颜色确实是不同的?这其实并不复杂:
让他在手里握住两个球,背到背后,然后随机选择交换或不交换两个球的位置,再展示给你看,你告诉他这两个球的位置是否有变化。
在他看来,你可以通过瞎蒙来完成一次证明。不过,如果成千上万次地重复这个过程:如果你总是能说出正确答案,那么靠纯蒙的方式来保持一直正确的概率,是小到可以忽略的。因此可以通过这种方式来向色盲患者证明:两个球的颜色确实不一样,并且我们也有感知和区分的能力。
公链Sui推出Web3游戏预览Sui Capys:11月4日消息,据官方公告,公链Sui在测试网上推出Web3游戏预览Sui Capys,玩家可以购买、交易、繁殖和装饰Capys。Capys利用Sui面向对象的特性允许玩家可以交易和购买帽子、自行车和围巾在内的配饰,并根据父母属性生成新的Capys。作为Sui上的可编程对象,Capys展示了Sui上的资产所有权、可转移性以及动态字段等功能。开发者使用Sui Move语言开发Sui Capys需要定义基本模块、创建类型并构建注册表进行记录和验证。官方强调Sui Capys是一个专门用于激励Sui开发者社区的演示,并不是空投。[2022/11/4 12:16:55]
颜色证明
上述证明过程是典型的零知识证明:
验证者无法在证明过程中获得任何关于颜色的知识,因为经过验证过程后他依然没有区分颜色的能力。
该验证过程是概率性的而非决定性的。
该过程是交互式的,需要多轮交互。不过,零知识证明中也有许多协议,通过高级技巧将证明过程转化成了非互动式的。
元宇宙专委会执行会长罗军:布局元宇宙产业,做好顶层设计至关重要:金色财经报道,10月13日,在谈到元宇宙究竟是什么,以及如何更清晰地理解和认识元宇宙时,中国计算机行业协会元宇宙专委会执行会长罗军表示,目前全世界对元宇宙的定义还没有标准答案,而且很难有一个标准答案。元宇宙是5G通讯、物联网、人工智能、人机交互、区块链等众多先进技术融合的产物,与现实世界保持及时链接的虚拟空间。元宇宙的实质是互联网,是下一代互联网。现在的互联网是二维的、平面的空间结构,而元宇宙则是三维、四维,乃至多维结构,是立体的互联网空间表现形态。元宇宙经济就是互联网经济,是数字经济新的外延和内涵。
罗军还提到,元宇宙的本质是游戏,核心是软件。之所以说是“游戏”,因为元宇宙立足于互联网空间,是虚拟存在的,我们把所有虚拟的网络活动都称之为“游戏”。在元宇宙空间,虚拟人、数字孪生、云渲染无处不在。[2022/10/15 14:28:09]
掌握知识的证明
我们已经分享了一种现实世界中的零知识证明的例子,接下来再来看一下在二进制世界中如何实现零知识证明。
美国联邦存款保险公司正对Voyager Digital的虚假宣传展开调查:7月8日消息,美国联邦存款保险公司(FDIC)发言人表示,FDIC正对Voyager Digital的虚假宣传展开调查。Voyager Digital在2019年在其官网上公开表示,由于与Metropolitan Commercial Bank(纽约大都会商业银行)的合作,存放在该公司的任何美元资金都由FDIC保险承保。这种保护将在“极少数情况下由于公司或其银行合作伙伴的失败而导致用户的美元资金受到损害”的情况下生效。但这一措辞后来进行了修改,并于周四删除了对公司或银行倒闭的明确提及,而是说“在用户美元资金受到损害的罕见情况下,用户将得到全额补偿(最高25万美元),因此用户在Voyager持有的现金受到保护”。大都会商业银行也对此发布声明称,FDIC保险仅适用于防止大都会商业银行的失败,并不保护Voyager的失败、Voyager或其员工的任何作为或不作为,或加密货币或其他资产的价值损失。
FDIC今年5月出台了一项最终规定,禁止公司做出此类虚假陈述或滥用FDIC的名称或标识。违反规定者将面临执法行动,包括处罚。(彭博社)[2022/7/8 2:00:17]
Arthur是Elon的朋友,并且知道对方的手机号。Betty不知道Elon的号码。如果Arthur想要向Betty证明他知道,但又不想泄露号码,应该怎么实现呢?
美联储巴尔金:对央行数字货币概念持开放态度:6月21日消息,美联储巴尔金称,在利用资产负债表加大紧缩力度方面门槛很高。调整资产负债表缩减可能是明智的,但这是“未来的方案”。关于是否出售抵押贷款支持证券的任何决定都还有待做出。我仍然对美联储是否需要数字货币持怀疑态度,但我对央行数字货币概念持开放态度。[2022/6/22 4:43:37]
知识证明
一种不成熟的方案是,Elon发布自己电话号码的哈希,Arthur通过一个程序输入哈希的原像,程序进行运算并检查结果。这个方法有一些致命的缺陷:
根据哈希,Betty可以通过暴力破解的方式得到原像,能破解出来的概率是不可忽略的,而且得到的结果几乎是确定性的。
Arthur必须向该程序输入原像。如果程序在Arthur的电脑上,Betty就会对此有疑问:我怎么知道你有没有作弊,你的电脑也许会一直声称你的证明是对的?
如果程序在Betty的电脑上运行,Arthur也会担心,自己输入的信息会不会被窃取,即使程序肉眼可见的代码中并没有窃取信息的命令。
派盾:两笔共4277枚ETH转入Celsius钱包地址:6月14日消息,据PeckShield监测,1小时前有两笔共4277枚ETH(约合500万美元)转入Celsius钱包地址。[2022/6/14 4:26:31]
因为无法将程序分开在不同的环境中运行,这个信任问题是难以解决的。
常规的方法在这里碰壁了,是时候让零知识证明出场了!
基于密码学的零知识证明的实现方案
在此我会用零知识证明中的SigmaProtocol来解决问题,因为它比较简单。并且,为了简洁和易于理解,这里不会使用严格的密码学和数学中的定义、术语及推导过程等。
核心流程
使用零知识证明证明一个人有特定的知识,我们采取如下办法:
Sigma协议
定义一个P阶的有限群及其生成元g。我们可以暂时忽略这些奇怪的名词具体什么意思。
根据上面的定义,某个拥有知识或能接触到知识的第三方,将知识通过h=g^w(modP)的方式加密后,将h发布出去。
证明者启动零知识证明流程。生成一个随机数r,计算a=g^r,并将a发送给验证者。
验证者生成一个随机数e并发送给证明者。
证明者计算z=r+ew并发送给验证者。
验证者检查g^z==a·h^e(modP)。如果为真,则验证者确实掌握其声称的知识。
好啦,该证明协议到此就结束了!非常简短,但你仍可能对上面的一些数学运算感到困惑,但这不要紧,我们先有个大概印象再深入理解。
数学原理
这套流程背后的核心数学原理是离散对数难题:当P是一个很大的质数时,对于给定的h,很难找到满足h=g^w(modP)的w。该原理适用于上面所有类似的式子。
我们来一步一步解析下:
经过加密的知识h=g^w(modP),是难以被暴力破解的。由于求余运算的特点,即使被破解了也不具备单一确定解。这意味着对证明者而言,通过暴力破解来作弊,验证者,是不可行的。
然后我们将3,4,5步作为一个整体来看一下他们为什么要交换这些随机数:
I.证明者并不想暴露其秘密,所以他必须用随机数包裹一下将其隐藏起来。而验证者也需要通过添加一些随机数,让该知识可被自己验证的同时防止证明者作弊,而且不会窥探到证明者的秘密。
II.如果验证者先发送了随机数e,很明显,证明者可以通过编造a=g^z·h^-e来在最终检查中验证者,即使没有知识也可以通过。所以证明者必须先手发送一个承诺(a=g^r),但非r本身,来避免可作弊场景,同时不让验证者通过w=(z-r)/e提取到秘密。
III.在收到承诺后,验证者向证明者发送随机数e。由于其本身或者其衍生物无法泄露任何一方的信息,这个数不需要加密。之后证明者计算z=r+ew并将z发送给验证者。验证者最终通过检查g^z=g^(r+ew)=g^r·(gw)^e=a·h^e来确定证明者是否掌握知识。
通过这种往返交错的结构,我们收获了三个性质:
完备性:当且仅当证明者输入正确知识,验证才能通过。
可靠性:当且仅当证明者输入错误知识,验证才会失败。
零知识性:验证者无法在验证过程中获取任何知识。
上述三点即零知识证明的核心特性。通过数学和密码学,我们构建出了一套光怪陆离的证明体系。恭喜你一路走了这么远,现在应该已经可以说正式迈入了富丽堂皇又奥妙无穷的ZKP圣殿。
Havefun!
进一步了解
模拟器和零知识性
我们现在来考虑一些魔幻场景。如果一个证明者具有预言或篡改验证者生成的随机数的超能力,我们称其为模拟器。
模拟器vs验证者
设想,模拟器在验证者的随机数e生成前就对其进行了篡改,确保其生成后是自己预设的值。根据上面II所说,这种能力使模拟器能编造承诺a来验证者。不论模拟器的输入是什么,验证者总会得出结论模拟器具有知识,然而实际上他并没有。
显然,经过这种思想实验我们可以得出结论,验证者无法在该零知识证明协议中获取任何知识,也即其零知识性是成立的:
零知识性<==?模拟器S,使得S(x)与真实的协议执行不可区分,其中S(x):选择随机的z和e,令a=g^z·h^-e,其中(a,e,z)的分布与真实的随机数环境一致并满足g^z=a·h^e。
抽取器和可靠性
再来想象一下另一种超能力者——抽取器,具有时光倒流的能力。不过这次是抽取器作为验证者,面对一个正常的证明者。
当协议结束时,抽取器发起时间倒流,回到协议的起点,并持有上一轮得到的(z,e,a)。现在,协议重新执行一遍。由于证明者没有超能力无法进行时间旅行只能在固定的时间线上做确定的事,他又生成了一个一模一样的随机数r以及承诺a=g^r,而抽取器则可以生成新的随机数e'给证明者。
证明者vs抽取器
现在,抽取器获得了:g^z=a·h^e,g^z'=a·h^e=>g^(z-z')=h(e-e')=>加密后的知识h=g^((z-z')/(e-e'))=>知识w=(z-z')/(e-e').
显然,只要证明者真的掌握了知识,抽取器总是可以将其抽取出来,也即完备性成立:完备性<==?抽取器E,对给定的任何h,在掌握(a,e,z),(a,e',z')且e≠e'的情况下,都能输出ws.t.(h,w)∈R.
完备性
完备性不需要任何特殊角色来证明,因为:g^z=g^r+ew=g^r·(g^w)^e=a·h^e.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。