零知識證明的歷史、應用與原理

一、零知識證明的發展歷程

零知識證明體系源於1985年Goldwasser、Micali和Rackoff的論文，該論文探討了在交互系統中證明一個陳述正確性所需交換的知識量。如果可以做到零知識交換,就稱爲零知識證明。早期的零知識證明系統效率和可用性欠佳,主要停留在理論層面。近十年來,隨着密碼學在加密貨幣領域興起,零知識證明迎來快速發展。

零知識證明的關鍵突破是Groth在2010年提出的zk-SNARK理論。2015年,Zcash將零知識證明應用於交易隱私保護,開啓了更廣泛的應用場景。其他重要進展包括:

• 2013年Pinocchio協議:壓縮了證明和驗證時間
• 2016年Groth16:精簡了證明大小,提升驗證效率
• 2017年Bulletproofs:提出短小的非交互式零知識證明
• 2018年zk-STARKs:無需可信設置的協議

此外,PLONK、Halo2等也對zk-SNARK做出了重要改進。

二、零知識證明的主要應用

零知識證明目前主要應用於隱私保護和擴容兩個方面。

隱私保護

早期隱私交易項目如Zcash和Monero備受關注,但隨着需求減弱,逐漸退居二線。主要的隱私交易項目包括:

• Zcash:使用zk-SNARKs
• Monero:使用Bulletproof
• Tornado Cash:基於以太坊的混幣池

擴容

零知識證明在擴容方面的應用主要是zk-rollup。zk-rollup包括Sequencer和Aggregator兩類角色:

• Sequencer負責打包交易
• Aggregator負責合並交易並生成零知識證明

zk-rollup的優點是費用低、快速終局性,缺點是計算量大、需要可信設置等。

主流的zk-rollup項目有:StarkNet、zkSync、Aztec Connect、Polygon Hermez、Loopring、Scroll等。它們在SNARK/STARK選擇和EVM兼容性上有所不同。

三、ZK-SNARK的基本原理

zk-SNARK代表零知識簡潔非交互式知識論證,具有以下特點:

• Zero Knowledge:證明過程不泄露額外信息
• Succinct:驗證簡潔
• Non-interactive:非交互
• Arguments of Knowledge:證明者需要知道有效信息

Groth16的zk-SNARK證明流程如下:

1. 將問題轉換爲電路
2. 將電路轉爲R1CS形式
3. R1CS轉爲QAP形式
4. 生成可信設置參數
5. 生成和驗證證明

零知識證明仍在快速發展中,未來有望在更多領域發揮重要作用。