零知识证明（ZKP）——详解

零知识证明定义

定义

零知识证明（Zero-knowledge proofs, ZKPs）是一种密码学方法，用于证明关于某条数据的知识，而无需泄露数据本身。

虽然区块链固有的透明性在许多情况下提供了一个优势，但也有许多智能合约用例由于各种商业或法律原因需要隐私，例如使用专有数据作为输入来触发智能合约的执行。在公共区块链网络上实现隐私的一个日益常见的方法是通过零知识证明 (ZKPs) —— 一方以密码学方式向另一方证明他们拥有关于某条信息的知识，而无需泄露实际的底层信息。在区块链网络的上下文中，ZKP 在链上揭示的唯一信息是，某些隐藏的信息是有效的，并且证明者以高度的确定性知晓。

在本文中，我们将探讨零知识证明如何工作以提供隐私保证，它们为用户提供的核心优势，以及利用 ZKP 的一系列区块链用例。此外，我们将展示 Chainlink 的 DECO 技术如何实现创建保护隐私的预言机网络，这些网络可以以保密和向后兼容的方式证明数据来自特定的 Web 服务器。

零知识 vs. 零信任

“零知识”指的是零知识证明的特定加密方法，而“零信任”是组织用于保护其数据、场所和其他资源的一般网络安全模型。

零信任框架假设每个人和设备，无论是网络的内部的还是外部的，都可能由于恶意行为或简单的无能而构成威胁。为了减轻威胁，零信任系统要求用户和设备在被授予访问资源的权限之前进行身份验证、授权和持续验证。

零知识证明可以用作零信任框架的一部分。例如，零知识身份验证解决方案允许员工访问其组织的网络，而无需泄露个人详细信息。

零知识证明是如何工作的

从高层次上讲，零知识证明的工作原理是让验证者要求证明者执行一系列操作，只有在证明者知道底层信息的情况下才能准确地执行这些操作。如果证明者只是猜测这些操作的结果，那么他们最终会被验证者的测试以很高的概率证明是错误的。

零知识证明最初由 Shafi Goldwasser 和 Silvio Micali 在 1985 年麻省理工学院的一篇论文中描述，该论文题为“交互式证明系统的知识复杂性”。在本文中，作者证明了一个证明者可以使验证者相信关于数据点的特定陈述是真实的，而无需披露关于该数据的任何附加信息。ZKP 可以是交互式的——证明者使特定的验证者信服，但需要为每个单独的验证者重复此过程——也可以是非交互式的——证明者生成一个证明，该证明可以被任何使用相同证明的人验证。

定义 ZKP 的三个基本特征包括：

• 完备性：如果一个陈述是真实的，那么一个诚实的验证者可以被一个诚实的证明者说服，他们拥有关于正确输入的知识。
• 可靠性：如果一个陈述是错误的，那么任何不诚实的证明者都不能单方面地说服一个诚实的验证者，他们拥有关于正确输入的知识。
• 零知识：如果该状态为真，那么验证者从证明者那里学到的除了该陈述为真之外，没有其他信息。

零知识证明如何工作以证明关于数据的知识而不向另一方泄露数据的概念示例。

零知识证明示例

一个直观地理解零知识数据证明的概念性示例是想象一个只有一个入口的洞穴，但有两条路径（路径 A 和 B）在由密码短语锁定的公共门处连接。Alice想向Bob证明她知道该门的密码，但不想向Bob透露该密码。为此，Bob站在洞穴外面，Alice走进洞穴，选择两条路径中的一条（Bob不知道选择了哪条路径）。然后，Bob要求Alice选择两条路径中的一条返回洞穴入口（随机选择）。如果Alice最初选择走 A 路径到门口，但Bob要求她走 B 路径返回，那么完成这个谜题的唯一方法是Alice知道锁着的门的密码。这个过程可以重复多次，以证明Alice知道门的密码，并且最初选择正确的路径只是以很高的概率发生。

在完成此过程后，Bob高度确信Alice知道门的密码，而无需向Bob透露密码。虽然这只是一个概念性的例子，但 ZKP 部署了相同的策略，但使用密码学来证明关于数据点的知识，而无需泄露数据点。在这个洞穴例子中，有一个输入、一条路径和一个输出。在计算中，有类似的系统，电路，它接受一些输入，通过电气门的路径传递输入信号并生成输出。零知识证明利用像这样的电路来证明陈述。

想象一下一个计算电路，对于给定的输入，它在曲线上输出一个值。如果用户能够始终如一地提供曲线上某个点的正确答案，那么可以确信该用户拥有关于该曲线的一些知识，因为在每个连续的挑战回合中，猜测正确答案的可能性越来越小。你可以将电路想象成Alice在洞穴中行走的路径，如果她能够用她的输入遍历电路，她就可以证明她拥有一些知识，即电路的“密码”，并且具有很高的概率。能够证明关于数据点的知识，而不泄露除了数据知识之外的任何附加信息，可以提供许多关键优势，尤其是在区块链网络的背景下。

什么是零知识证明 (ZKP)？- YouTube

【Chainlink 的照片图片】(https://www.youtube.com/channel/UCnjkrlqaWEBSnKZQ71gdyFA?embeds_referring_euri=https%3A%2F%2Fchain.link%2F)

Chainlink

14.8 万订阅者

什么是零知识证明 (ZKP)？

Chainlink

搜索

信息

购物

点击取消静音

如果稍后没有开始播放，请尝试重启设备。

你已退出帐号

你观看的视频可能会被添加到电视的观看记录，并影响推荐内容。为了避免这种情况，请在你的计算机上取消并登录 YouTube。

取消确认

分享

包含播放列表

检索分享信息时出错。请稍后重试。

稍后观看

分享

复制链接

在观看

0:00

/ •直播

•

在 YouTube 上观看

零知识证明的类型

ZKP 有多种实现方式，每种实现方式都有其自身的证明大小、证明者时间、验证时间等方面的权衡。它们包括：

zk-SNARKs

SNARK 代表“简洁的非交互式知识论证”，尺寸小且易于验证。它们使用椭圆曲线生成加密证明，这比 STARKS 使用的哈希函数方法更节省 Gas。

zk-STARKs

STARK 代表“可扩展的透明知识论证”。基于 STARK 的证明需要在证明者和验证者之间进行最少的交互，这使得它们比 SNARK 快得多。

PLONK

PLONK 代表“用于普适非交互式知识论证的拉格朗日基置换”，PLONK 使用一个通用的可信设置，该设置可以与任何程序一起使用，并且可以包含大量参与者。

Bulletproofs

Bulletproofs 是无需可信设置的短的非交互式零知识证明。它们旨在为加密货币启用私有交易。

已经有许多零知识项目在使用这些技术，包括 StarkNet、ZKsync 和 Loopring。

使用不同零知识解决方案的项目的示例。

零知识证明的优势

零知识证明的主要优势是能够在透明系统中（例如以太坊的公共区块链网络）利用保护隐私的数据集。虽然区块链的设计是高度透明的，任何运行自己的区块链节点的人都可以查看和下载存储在账本上的所有数据，但 ZKP 技术的添加允许用户和企业在执行智能合约时利用他们的私有数据集，而无需泄露底层数据。

确保区块链网络中的隐私对于传统机构（如供应链公司、企业和银行）至关重要，这些机构希望与智能合约交互并启动智能合约，但需要对其商业秘密保密以保持竞争力。此外，此类机构通常受法律约束，必须保护其客户的个人身份信息（PII），并遵守欧盟的《通用数据保护条例》（GDPR）和美国的《健康保险流通与责任法案》（HIPAA）等法规。

虽然许可的区块链网络已经出现，作为一种为机构从公众眼中保护交易隐私的手段，但 ZKP 允许机构安全地与公共区块链网络交互，这些网络通常受益于全球用户的巨大网络效应，而无需放弃对敏感和专有数据集的控制。因此，ZKP 技术正在成功地为公共区块链网络开辟广泛的机构用例，这些用例以前是无法访问的，从而激励了创新并创造了更高效的全球经济。

零知识证明用例

零知识证明在 Web3 中开启了令人兴奋的用例，增强了安全性，保护了用户隐私，并通过第二层支持扩展。

私有交易

ZKP 已被 Zcash 等区块链用于允许用户创建保护隐私的交易，从而保护货币金额、发送者和接收者地址的隐私。

可验证计算

去中心化预言机网络，它为智能合约提供对链下数据和计算的访问，也可以利用 ZKP 来证明关于链下数据点的某些事实，而无需在链上泄露底层数据。

高度可扩展和安全的第二层

通过诸如 zk-Rollups、Validiums 和 Volitions 等方法进行的可验证计算，实现了高度安全和可扩展的第二层。使用以太坊等第一层作为结算层，它们可以为 dApp 和用户提供更快、更高效的交易。

去中心化身份和身份验证

ZKP 可以支持身份管理系统，使用户能够验证其身份，同时保护其个人信息。例如，基于 ZKP 的身份解决方案可以使一个人无需提供护照详细信息即可验证他们是某个国家的公民。

使用 DECO 保护隐私

正在开发中的基于零知识证明的预言机解决方案的一种实现是 DECO，它是 Chainlink 网络安全链下计算套件中的一种保护隐私的预言机协议。通过扩展 HTTPS/TLS —— 用于通过 Internet 传输数据的最常用协议 —— DECO 保证数据在从各种私有和高级数据源传输过程中保持私有和防篡改。DECO 适用于现代 TLS 版本，不需要可信硬件，并且以向后兼容的方式运行，无需服务器端修改。因此，启用 DECO 的 Chainlink 预言机节点可以证明从受信任服务器获取的数据的事实，而无需在链上泄露数据，同时还可以证明数据的来源，因为保留了 TLS 托管链。

借助像 DECO 这样的 ZKP，可以实现广泛的智能合约用例，包括抵押不足的贷款，借款人可以通过保护隐私的方式生成高保证凭证来证明他们的信用度。具体来说，借款人可以根据权威在线来源（例如已建立的机构）的记录生成这些凭证，而无需暴露潜在的敏感数据，例如他们的姓名、位置或确切的信用评分值（仅表明它超过了预定义的阈值）。

DECO 还可以用于支持创建 去中心化身份 (DID) 协议，例如 CanDID，用户可以在其中获取和管理自己的凭据，而不是依赖于中心化的第三方。此类凭据由称为颁发者的实体签名，这些实体可以权威地将声明与用户关联起来，例如公民身份、职业、大学学位等。DECO 允许任何现有的 Web 服务器成为颁发者，并提供密钥共享管理来备份帐户，以及基于明确的唯一标识符（例如社会安全号码 (SSN)）的保护隐私的女巫攻击防御形式。

最后，像 DECO 这样的 ZKP 解决方案不仅有利于用户，而且还使传统机构和数据提供商能够以保密的方式将其专有和敏感数据集货币化。无需将数据直接发布在链上，只需要发布从证明数据事实的 ZKP 推导出的证明。这为数据提供商开辟了新的市场，数据提供商可以将其现有数据集货币化并增加收入，同时确保零数据泄漏。当与 Chainlink Mixicles 结合使用时，隐私会扩展到执行协议的输入数据之外，还包括协议本身的条款。

结论

通过将区块链网络固有的透明性与零知识证明的隐私保护设计相结合，企业和机构可以从两全其美中受益：他们可以保持其内部数据集的私密性，同时仍然可以在智能合约应用程序的可靠执行环境中使用它们。

阅读 Chainlink 2.0 白皮书 ，以更深入地了解去中心化预言机网络在保密智能合约系统中的作用，并注册 Chainlink 官方新闻通讯 ，以获取有关 Chainlink 网络的最新更新。

同态加密

零知识区块链项目概述

安全多方计算

了解 zk-SNARK 和 zk-STARKS 之间的区别

什么是 Zk-Rollups（零知识 Rollups）？

什么是知识证明？

什么是零知识加密？

什么是 Schnorr 签名？

什么是 zkEVM？

零知识证明：应用和用例

• 原文链接： chain.link/education/zer...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～