零知识证明的发展、应用与原理

一、零知识证明的历史沿革

零知识证明体系最早源于1985年Goldwasser、Micali和Rackoff合作的论文。该论文探讨了在交互系统中,通过多轮交互来证明一个陈述正确性所需交换的知识量。如果可以实现零知识交换,则被称为零知识证明。早期的零知识证明系统在效率和可用性方面存在不足,主要停留在理论层面。

近十年来,随着密码学在加密货币领域的兴起,零知识证明逐渐成为关键研究方向。其中,开发通用、非交互式、证明体积有限的零知识证明协议是最重要的探索方向之一。零知识证明的核心是在证明速度、验证速度和证明体积大小之间寻求平衡。

2010年,Groth发表的论文为ZKP领域最重要的zk-SNARK奠定了理论基础。2015年,Zcash使用的零知识证明系统实现了交易隐私保护,开启了ZKP的广泛应用。

其他一些重要的学术成果包括:

• 2013年的Pinocchio协议,压缩了证明和验证时间
• 2016年的Groth16,精简了证明大小并提升验证效率
• 2017年的Bulletproofs,提出了简短的非交互式零知识证明
• 2018年的zk-STARKs,提出了无需可信设置的协议

此外,PLONK、Halo2等也是ZKP发展中的重要进展。

二、零知识证明的主要应用

零知识证明最广泛的两个应用是隐私保护和扩容。

隐私保护

早期隐私交易项目如Zcash和Monero一度备受关注,但由于实际需求未如预期,目前已逐渐退居二线。

以Zcash为例,其基于zk-SNARKs的交易流程包括:系统设置、密钥生成、铸币、倾倒、验证和接收等步骤。但Zcash也存在局限性,如基于UTXO模型、难以扩展等。实际使用隐私交易的比例不到10%。

Tornado Cash采用单一大混币池设计,基于以太坊网络,使用zk-SNARK实现隐私保护。其主要特性包括:只能提取存入的币、币不能被重复提取、证明过程与废止通知绑定等。

扩容

ZK在扩容方面的应用主要是ZK Rollup。ZK Rollup包括Sequencer和Aggregator两类角色。Sequencer负责打包交易,Aggregator将大量交易合并生成rollup并创建零知识证明,用于更新Layer 1状态。

ZK Rollup的优点包括:费用低、快速最终性、可保护隐私等。缺点包括:计算量大、安全性问题、可能改变交易顺序等。

目前主流的ZK Rollup项目有:StarkNet、zkSync、Aztec Connect、Polygon Hermez/Miden、Loopring、Scroll等。这些项目在技术路线上主要在SNARK(及改进版)和STARK之间选择,以及是否支持EVM。

EVM兼容性是ZK系统面临的一大挑战。目前主要有两种方案:完全兼容Solidity操作码,或设计新的ZK友好虚拟机并兼容Solidity。EVM兼容性的提升将影响ZK的开发生态和竞争格局。

三、ZK-SNARK的基本原理

ZK-SNARK代表"零知识简洁非交互式知识论证"。其核心特性包括:

• 零知识:证明过程不泄露额外信息
• 简洁:验证体积小
• 非交互:无需多轮交互
• 论证:具有计算可靠性
• 知识性:证明者需知晓有效信息

Groth16的ZK-SNARK证明过程主要包括:

1. 将问题转换为电路
2. 将电路转化为R1CS形式
3. R1CS转换为QAP形式
4. 建立可信设置,生成证明密钥和验证密钥
5. 生成和验证ZK-SNARK证明

ZK-SNARK的原理、应用及其与ZK-STARK的关系等内容将在后续报告中详细探讨。