密碼學可以說是區塊鏈技術的基石,而其中的零知識證明更是因為深度契合區塊鏈的技術特點,而得到了廣泛的應用和關注。

本文旨在用最簡單的語言和形式,向大家介紹零知識證明相關的歷史、概念、原理、技術實現以及發展現狀。

那麼讓我們開始吧。

歷史和起源

密碼學是一門可以追溯到2000 多年前的古老學問,其發展歷史主要可以劃分為以下幾個階段:

古典密碼學

這一時期的密碼學主要被應用於軍事領域,如何有效的傳遞密文,又能防止被敵人截穫後破解,是其主要考量。 16 世紀由法國人發明的「維吉尼亞密碼」是古典密碼理論發展上的一個重要里程碑,它使用一個詞組作為密鑰,詞組中每一個字母都將確定一個替換錶,「維吉尼亞密碼」循環的使用每一個替換錶完成明文字母到密文字母的變化。

  • 明文:ilovebitcoin
  • 密鑰:satoshi

簡明理解零知識證明歷史、原理與發展現狀

對於第一個字母i,取第i 行第s 列,得到A;第二個字母l,取第l 行第a 列,得到L…依次循環,最後得到密文:ALHJWIQLCHWF。可見,在不知道密鑰的前提下,不借助計算機已經非常難以破解這樣的密碼。

近代密碼學

這一階段真正的開始源於香農在20 世紀40 年代末發表的一系列論文,特別是1949 年的「Communication Theory of Secrecy Systems (保密系統通信理論)」,把已有數千年曆史的密碼學推向了基於信息論的科學軌道,密碼學終於從藝術轉向科學。

這一時期的重要突破是DES 的出現,直至今日也只能用窮舉法對其進行破解。 DES 加密算法風行世界,並在金融等商業領域得到了廣泛的應用。

現代密碼學

1977 年,麻省理工學院的Ron Rivest、Adi Shamir、Leonard Adleman 提出的非對稱加密算法RSA,有效的解決了密鑰傳送的問題,標誌著密碼學進入了百家爭鳴的現代階段。

簡明理解零知識證明歷史、原理與發展現狀

1989 年,由麻省理工學院研究人員Goldwasser、Micali 及Rackoff 提出了「零知識證明」的概念,當時的他們一定不曾想到,若干年後出現的區塊鏈技術徹底激活了零知識證明的應用,而零知識證明則為區塊鏈技術提供了一種絕佳的解決方案。零知識證明的方法特點和區塊鏈技術的系統特點達成了完美的契合。

零知識證明及zkSNARK

零知識證明是指,在不揭曉我所知道或擁有的某樣東西的前提下,向別人證明我有很大概率確實知道或擁有這樣東西。

zkSNARK 則是在區塊鏈中應用最廣泛的一種零知識證明,其全稱是「zero-knowledge Succinct Non-Interactive Arguments of Knowledge (簡潔非交互式零知識證明)」。

光聽定義,大家一定一頭霧水,本節將藉用一個例子,盡可能接地氣的向大家介紹這兩個概念。

Alice、Bob 和Charlie 都是數獨愛好者,所謂數獨是這樣一種遊戲,玩家需要根據9×9 盤面上的已知數字,推理出所有剩餘空格的數字,並滿足每一行、每一列、每一個粗線宮(3x3)的數字均含1 到9,且不重複。

簡明理解零知識證明歷史、原理與發展現狀

有一天Alice 設計了一道巨難的數獨題目來考Bob 和Charlie,Bob 苦思冥想了幾天也做不出,便向Alice 抱怨這肯定是道無解的題目。 Alice 不想將實際的解告訴Bob,但是又需要證明她確實知道解,於是她設計了一種巧妙的「零知識證明」的方式。

  • 證明(The Proof )

Alice 拿出81 (9x9)張空白的卡片,並在每張紙上寫上1-9 中的一個數字,接著她將代表謎面的卡片數字面朝上、代表謎底的卡片數字面朝下都放在桌上,並組成了9x9 的矩陣。

簡明理解零知識證明歷史、原理與發展現狀

  • 隨機挑戰(The Random Challenge)

接下來怎麼讓Bob 確認這就是正確的解呢?很簡單,由Bob 隨機選擇行、列或是粗線宮中的一種進行驗證,假如選擇行,則將這81 張卡片按9 行分別放到9 個麻布袋中,搖勻並確保卡片次序打亂。

簡明理解零知識證明歷史、原理與發展現狀

  • 驗證(The Verify)

簡明理解零知識證明歷史、原理與發展現狀

  • 簡潔(Succinct)

雖然數獨遊戲有3 種情況需要驗證(行、列、粗線宮),但每次驗證時Bob 實際只需要驗證其中的一種,這有效減少了驗證工作量,提供給驗證者的實際是一個比原命題小的多的證明,這就是所謂的簡潔。

  • 重複(Repeat)

之後重複這個隨機驗證步驟,我們假設Alice 運氣很好,每次都能提前猜中Bob 會選擇哪種驗證方式,並以此來模擬一個解,那麼她通過1 次驗證的概率為1/3,通過2 次驗證的概率為1/9,通過10 次驗證概率就只有1/59049 了。在不厭其煩的進行了20 次驗證之後,Bob 無奈的承認,Alice 是真的知道這個答案的解,因為Alice 憑運氣通過驗證的概率只有35 億分之一! (這也是為何我們說零知識證明是在概率上成立的證明)

  • 模擬(The Simulation)

這個時候,Charlie 也來向Alice 抱怨這個題目的無解,Alice 和Bob 又重複了剛才的證明,沒想到卻沒有得到Charlie 的認可。 Charlie 提出了這個證明中的漏洞,如果Bob 和Alice 是一伙的,每次Bob 都會提前告訴Alice 他要選擇的驗證方式,那麼Alice 就可以很容易的在沒有解的情況下模擬出一個證明來通過這些測試。

  • 非交互式證明(Non-Interactive Proofs)

不可能讓每個持有這種懷疑的人都重複一遍Bob 進行的隨機驗證,於是三個小伙伴設計了一台神奇的機器,Alice 只需要提交一次卡片,這台機器就可以按照初始設置好的驗證序列,自動化的對這些卡片進行重複驗證。驗證從交互式的,變成了非交互式的。這裡我們要注意,並不是說非交互式證明就沒有重複隨機實驗這個過程。實際上,只不過是隨機點不由驗證者給出,而是由一個可信的第三方在初始化階段就給出,這樣一來,證明者就可以直接給出證明,驗證者只需要驗證證明即可,驗證者和證明者之間不再需要交互。

簡明理解零知識證明歷史、原理與發展現狀

  • 可信設置儀式(Trusted Setup Ceremony)

其中最有趣也最重要的環節就是驗證序列的初始設置。在機器啟動前,會有一排設置旋鈕,通過這些旋鈕可以選定每一輪的驗證方式。在設置這些旋鈕時,每個人依次進入放置機器的房間,選擇一個旋鈕並設置好,之後就用一個鐵盒子徹底焊死這個旋鈕,讓其他人無法看見也無法改變這個旋鈕的選擇。為了讓初始設置盡可能的可信,小伙伴們邀請了鎮長、小學校長和警察局長這三位小鎮上最德高望重的長者來參加設置儀式,大家都相信他們絕對不可能參與作假,因此他們稱之為「可信任的初始設置儀式」。

簡明理解零知識證明歷史、原理與發展現狀

一台數獨遊戲的簡潔非交互式零知識證明機,誕生了!

zkSNARK 的技術實現

通過上一節我們已經弄明白了零知識證明和zkSNARK 的基本概念和原理,這一節我們再來一窺zkSNARK 的技術實現。可以說整個實現過程相當的繁瑣晦澀,且需要一定的背景知識,因此本小節只力圖講清楚其核心思想,而不拘泥於過分複雜的數學推導。

我們從一個方程式開始,X^3 + X + 5 = 35,顯然解是3。那麼現在,證明者如何向驗證者證明自己知道方程的解是3,而又不告訴驗證者這個解呢?

首先,我們將方程轉化為計算機語言,這很容易實現:

y = x*3

return x + y + 5

接著,我們將上面的代碼拍平。所謂將代碼拍平,是指讓代碼一次只做一件事,形如x = y op z。

拍平後,代碼變成以下語句:

sym_1 = x * x

y = sym_1 * x

sym_2 = y + x

~out = sym2 + 5

然後,我們引入R1CS 一階約束系統(rank-1 constraint system),R1CS 是一個由三向量組(a, b, c)組成的序列,同時有一個解向量s,s 滿足s·a * s· b - s·c = 0。

在本例中,s 的結構為(~one, x, ~out, sym_1, y, sym_2),可見其由一個特殊的~one、方程的解x、方程的輸出~out 和一系列中間變量(拍平後的語句等號左邊的變量)構成,其順序不重要,只要保證有序即可。

我們把語句變換成如下形式,來方便我們求解abc:

x * x - sym_1 = 0

sym_1 * x - y = 0

y + x - sym_2 = 0

sym_2 + 5 - ~out = 0

我們很容易得出第一個式子對應的三個向量:

a = [0, 1, 0, 0, 0, 0]

b = [0, 1, 0, 0, 0, 0]

c = [0, 0, 0, 1, 0, 0]

推導過程其實很簡單,我們知道要滿足s·a * s·b - s·c = 0,那麼對應第一個式子x * x - sym_1 = 0,只需要s·a = x、s·b = x、s·c = sym_1 即可,而s =(~one, x, ~out, sym_1, y, sym_2),那麼a 只要在x 的位置等於1,其餘位置等於0,即得出(0 ,1,0,0,0,0)。

大家可能對上面一系列眼花繚亂的變換感到莫名其妙,我們究竟在做什麼?這裡要揭曉謎底了,我們對每個式子驗證s·a * s·b - s·c = 0,其本質是在驗證每一步都得到了正確的計算,也即如果我們可以驗證每一步都是正確的,那麼最終結果也一定是正確的。

以上的每一步,看似都在捨近求遠,因為s 裡本身就包含了方程的解x,驗證者只需把x 代入就能進行驗證。但從另一個角度看,通過這一系列的轉換,我們構建了一種將證明和驗證分離的方式。在證明過程中,證明者需要知道解並生成一系列中間結果,而驗證者則只需要驗證其一系列結果構成的解向量是否滿足一系列約束,而不需要關心這個解到底是多少。

現在只剩一個問題留待解決,就是能否通過一種方式,讓驗證者看不到裸著的解x,同時依然可以進行驗證過程。答案是肯定的,藉由橢圓曲線、雙線性對運算和指數知識假設這一系列數學手段我們就可以做到這一點,因為其推導過程過於復雜,本文不做贅述。整個zkSNARK 的技術實現流程參見下圖,需要了解更多細節的同學可以閱讀參考資料中給出的Vitalik 的文章。

簡明理解零知識證明歷史、原理與發展現狀

零知識證明發展現狀

零知識證明協議

零知識證明目前有如下幾種協議,每個協議代表一條實現零知識證明的道路,不同道路最後會產生不一樣的效果。

簡明理解零知識證明歷史、原理與發展現狀

其中,安全性最高的是STARKs 算法,其不依賴數學難題假設,具有抗量子性,並實現了透明通用字符串;Proof size 最小的snarks 協議是groth16 算法;Plonk 是SNARK 協議中的一個算法,Proof size 和安全性處於適中狀態。

SNARKs 協議算法

作為區塊鏈技術中應用最廣泛的SNARKs,已經發展出了諸多各具特點的協議算法:

  • Groth16:Groth16 是目前最快、數據量最小的zk-SNARK,被用於Zcash 等。 Groth16 的CRS (the Common Reference String)不是通用的,其設置需要綁定到一個特定的電路。由於其速度和證明的小數據量,因此常常被新的zk-SNARK 拿來比較性能。

Groth16 論文鏈接

  • Sonic:Sonic 是一種早期的通用zk-SNARK 協議,支持通用、可升級的參考字符串,論文發表於2019 年1 月。 Sonic 的證明大小固定,但是驗證成本高,理論上可以將多個證明分批驗證以獲得更好的性能。下面列舉的許多新的zk-SNARK 都是基於Sonic。

Sonic 論文鏈接

  • Fractal:Fractal 是一種允許遞歸的zk-SNARK。通過對電路的預處理實現了透明設置。證明最大250KB,這比其他構建生成的證明都要大的多。

Fractal 論文鏈接

  • Halo:Halo 支持遞歸證據組織,無需可信設置,與其他新的zk-SNARK 構建不同,Halo 的驗證時間是線性的。

Halo 論文鏈接

  • SuperSonic:Sonic 的改進版,是第一個在驗證時間和證明數據量方面實用化的透明zk-SNARK。

SuperSonic 論文鏈接

  • Marlin:Sonic 的改進版,證明時間縮短10 倍,驗證時間縮短4 倍。

Marlin 論文鏈接

  • Plonk:Sonic 的改進版,證明時間縮短5 倍。

Plonk 論文鏈接

硬件成本

當前零知識證明缺乏專用硬件,導致硬件成本偏高,租用雲服務器滿負荷下成本約為0.002 元/ 筆,有空載情況下約為0.02 元/ 筆。 Vitalik 曾提出一個設想,當以太坊共識機制改為PoS,不需要那麼多挖礦硬件後,這些算力可以經改造後轉向支持零知識證明,這可能有效降低零知識證明的運行成本。

寫在最後

如今,零知識證明已經在區塊鏈領域大放異彩,包括第一個實現zkSNARK 的匿名加密貨幣Zcash (ZEC)、Layer2 的主要解決方案zk Rollup 等等。

DeGate 團隊也將在產品實現中大量應用零知識證明,藉由其強大特性,我們將Orderbook 的撮合交易轉到MatchNode (Layer3)中進行,使用戶可以實時的掛單、撤單和成交,且其中掛單撤單免費;之後再將訂單批量結果生成證明,傳回Layer2 上進行驗證,這讓DeGate 在繼承以太坊安全性的同時,既可以隱藏下單關鍵信息又可以有效降低Layer2 上的Gas 費消耗。而我們的最終目標是,無論在操作體驗上,還是手續費消耗上,都使DeGate 達到媲美中心化交易所的水平。

參考資料