零知識證明的發展、應用與原理

一、零知識證明的歷史沿革

零知識證明體系最早源於1985年Goldwasser、Micali和Rackoff合作的論文。該論文探討了在交互系統中,通過多輪交互來證明一個陳述正確性所需交換的知識量。如果可以實現零知識交換,則被稱爲零知識證明。早期的零知識證明系統在效率和可用性方面存在不足,主要停留在理論層面。

近十年來,隨着密碼學在加密貨幣領域的興起,零知識證明逐漸成爲關鍵研究方向。其中,開發通用、非交互式、證明體積有限的零知識證明協議是最重要的探索方向之一。零知識證明的核心是在證明速度、驗證速度和證明體積大小之間尋求平衡。

2010年,Groth發表的論文爲ZKP領域最重要的zk-SNARK奠定了理論基礎。2015年,Zcash使用的零知識證明系統實現了交易隱私保護,開啓了ZKP的廣泛應用。

其他一些重要的學術成果包括:

• 2013年的Pinocchio協議,壓縮了證明和驗證時間
• 2016年的Groth16,精簡了證明大小並提升驗證效率
• 2017年的Bulletproofs,提出了簡短的非交互式零知識證明
• 2018年的zk-STARKs,提出了無需可信設置的協議

此外,PLONK、Halo2等也是ZKP發展中的重要進展。

二、零知識證明的主要應用

零知識證明最廣泛的兩個應用是隱私保護和擴容。

隱私保護

早期隱私交易項目如Zcash和Monero一度備受關注,但由於實際需求未如預期,目前已逐漸退居二線。

以Zcash爲例,其基於zk-SNARKs的交易流程包括:系統設置、密鑰生成、鑄幣、傾倒、驗證和接收等步驟。但Zcash也存在局限性,如基於UTXO模型、難以擴展等。實際使用隱私交易的比例不到10%。

Tornado Cash採用單一大混幣池設計,基於以太坊網路,使用zk-SNARK實現隱私保護。其主要特性包括:只能提取存入的幣、幣不能被重復提取、證明過程與廢止通知綁定等。

擴容

ZK在擴容方面的應用主要是ZK Rollup。ZK Rollup包括Sequencer和Aggregator兩類角色。Sequencer負責打包交易,Aggregator將大量交易合並生成rollup並創建零知識證明,用於更新Layer 1狀態。

ZK Rollup的優點包括:費用低、快速最終性、可保護隱私等。缺點包括:計算量大、安全性問題、可能改變交易順序等。

目前主流的ZK Rollup項目有:StarkNet、zkSync、Aztec Connect、Polygon Hermez/Miden、Loopring、Scroll等。這些項目在技術路線上主要在SNARK(及改進版)和STARK之間選擇,以及是否支持EVM。

EVM兼容性是ZK系統面臨的一大挑戰。目前主要有兩種方案:完全兼容Solidity操作碼,或設計新的ZK友好虛擬機並兼容Solidity。EVM兼容性的提升將影響ZK的開發生態和競爭格局。

三、ZK-SNARK的基本原理

ZK-SNARK代表"零知識簡潔非交互式知識論證"。其核心特性包括:

• 零知識:證明過程不泄露額外信息
• 簡潔:驗證體積小
• 非交互:無需多輪交互
• 論證:具有計算可靠性
• 知識性:證明者需知曉有效信息

Groth16的ZK-SNARK證明過程主要包括:

1. 將問題轉換爲電路
2. 將電路轉化爲R1CS形式
3. R1CS轉換爲QAP形式
4. 建立可信設置,生成證明密鑰和驗證密鑰
5. 生成和驗證ZK-SNARK證明

ZK-SNARK的原理、應用及其與ZK-STARK的關係等內容將在後續報告中詳細探討。