zk-SNARKs/STARKs详解：隐私保护新技术

当前位置 : 首页>科技业界>zk-SNARKs/STARKs详解：隐私保护新技术

zk-SNARKs/STARKs详解：隐私保护新技术

隐私一直是加密货币社区非常重视的特性，它也是互换性的前提，而互换性对于一种广泛使用的货币来说是必不可少的。同样，大多数加密资产持有者也不希望他们的持有量和交易历史完全公开。在旨在为区块链提供隐私的各种密码学技术中，zk-SNARK 和 zk-STARK 证明是两个值得注意的例子。

zk-SNARK 代表零知识简洁非交互式知识证明，zk-STARK 代表零知识简洁透明知识证明。zk-SNARK 证明被加密货币项目（如 Zcash）使用，应用于基于区块链的支付系统，以及作为安全地将客户端认证到服务器的一种方式。虽然 zk-SNARKs 已经取得了显著进展，并得到了广泛采用，但 zk-STARK 证明现在被吹捧为该协议的改进版本，解决了 zk-SNARKs 以前许多缺点。

阿里巴巴的山洞寓言

1990 年，密码学家 Jean-Jacques Quisquater（以及其他合作者）发表了一篇题为“如何向你的孩子解释零知识协议”的论文。这篇论文用一个关于阿里巴巴山洞的寓言介绍了零知识证明的概念。自从它被创造出来以来，这个寓言已经被改编过多次，现在我们有多个版本。尽管如此，其根本信息基本相同。

想象一下一个环形山洞，只有一个入口和一个将两条侧路径分开的魔法门。为了穿过魔法门，需要低声说出正确的秘密话语。假设爱丽丝（黄色）想向鲍勃（蓝色）证明她知道秘密话语是什么——同时仍然保密。为此，鲍勃同意在爱丽丝进入山洞并走到两条路径的其中一条尽头时在外面等待。在这个例子中，她决定走路径 1。

过了一会儿，鲍勃走到入口处，大声喊出他想要爱丽丝从哪条路径出现（在本例中是路径 2）。

如果爱丽丝真的知道秘密，她会可靠地从鲍勃指名的路径出现。

整个过程可以重复多次，以确认爱丽丝不是靠运气选择正确的路径。

阿里巴巴的山洞寓言阐述了零知识证明的概念，它是 zk-SNARK 和 zk-STARK 协议的一部分。零知识证明可以用来证明拥有某种知识，而无需透露任何关于该知识的信息。参与的双方通常被称为证明者和验证者，他们秘密持有的陈述被称为见证。这些证明的主要目标是在双方之间尽可能少地透露数据。换句话说，可以使用零知识证明来证明他们拥有某些知识，而无需透露任何关于知识本身的信息。

在 SNARK 首字母缩写中，“简洁”意味着这些证明体积较小，可以快速验证。“非交互式”意味着证明者和验证者之间几乎没有交互。旧版本的零知识协议通常需要证明者和验证者来回通信，因此被认为是“交互式”零知识证明。但在“非交互式”结构中，证明者和验证者只需要交换一个证明。

目前，zk-SNARK 证明依赖于证明者和验证者之间的初始可信设置，这意味着需要一组公共参数来构建零知识证明，从而实现私有交易。这些参数就像游戏的规则；它们被编码到协议中，并且是证明交易有效的必要因素之一。然而，这会产生潜在的中心化问题，因为参数通常是由非常小的一组人制定的。

虽然初始可信设置是当今 zk-SNARK 实现的基础，但研究人员正在努力寻找其他替代方案，以减少该过程中所需的信任量。初始设置阶段对于防止伪造支出非常重要，因为如果有人能够访问生成参数的随机性，他们就可以创建对验证者来说看似有效的虚假证明。在 Zcash 中，初始设置阶段被称为参数生成仪式。

接下来是首字母缩写中的“知识证明”部分。zk-SNARK 被认为是计算上健全的，这意味着不诚实的证明者在没有实际拥有支持其陈述的知识（或见证）的情况下成功作弊的可能性非常低。此属性称为健全性，并假设证明者具有有限的计算能力。

理论上，拥有足够计算能力的证明者可以创建虚假证明，这也是许多人认为量子计算机对 zk-SNARK（以及区块链系统）构成威胁的原因之一。

零知识证明易于验证，并且通常比标准比特币交易占用更少的数据。这为 zk-SNARK 技术作为隐私和可扩展性解决方案铺平了道路。