零知识证明：历史、应用与原理

一、零知识证明的发展历程

现代零知识证明体系起源于1985年Goldwasser、Micali和Rackoff合作的论文。该论文探讨了在交互系统中，通过多轮交互来证明一个陈述正确性所需交换的知识量。如果可以实现零知识交换，就被称为零知识证明。早期的零知识证明系统在效率和实用性方面存在不足，主要停留在理论层面。

近十年来，随着密码学在加密货币领域的兴起，零知识证明开始蓬勃发展。其中，构建通用、非交互、证明规模有限的零知识证明协议成为关键探索方向之一。零知识证明的核心在于权衡证明速度、验证速度和证明体积大小。

2010年Groth发表的论文是零知识证明领域的重要突破，为zk-SNARK奠定了理论基础。2015年，Zcash采用零知识证明系统实现交易隐私保护,标志着该技术在应用层面的重要进展。此后，zk-SNARK与智能合约结合,拓展了更广泛的应用场景。

其他重要学术成果包括:

• 2013年的Pinocchio:压缩证明和验证时间至实用范围
• 2016年的Groth16:精简证明规模并提升验证效率
• 2017年的Bulletproofs:提出无需可信设置的短非交互式零知识证明
• 2018年的zk-STARKs:提出无需可信设置的ZK-STARK协议

PLONK、Halo2等技术的出现也为zk-SNARK带来了进一步改进。

二、零知识证明的应用

零知识证明最广泛的两个应用是隐私保护和扩容。早期隐私交易项目如Zcash和Monero一度备受关注,但由于实际需求不及预期,逐渐淡出主流。近年来,随着以太坊2.0转向以rollup为中心的路线,基于ZK的扩容方案重新成为焦点。

隐私交易

隐私交易的代表项目包括:

• 使用SNARK的Zcash和Tornado
• 使用Bulletproof的Monero

以Zcash为例,其zk-SNARKs交易流程包括:系统设置、密钥生成、铸币、交易、验证和接收等步骤。然而,Zcash仍存在一些局限性,如基于UTXO模型、难以扩展等。真正使用隐私交易的比例不到10%,说明其推广并不成功。

相比之下,Tornado采用单一大混币池的方式更加通用,且基于以太坊网络。Tornado本质上是一个使用zk-SNARK的混币池,可以提供多项隐私保护特性。

扩容

ZK在扩容方面的应用可分为一层网络(如Mina)和二层网络(即zk-rollup)。zk-rollup的核心思想最早由Vitalik在2018年提出。

zk-rollup主要涉及Sequencer和Aggregator两类角色。Sequencer负责打包交易,Aggregator负责合并交易并生成ZK证明,用于更新以太坊状态树。

zk-rollup的优势包括:低费用、快速最终性、隐私保护等。缺点则包括:计算量大、安全性考量(如SNARK需要可信设置)、可能改变交易顺序等。

目前市场上主要的zk-rollup项目有:StarkNet、zkSync、Aztec Connect、Polygon Hermez/Miden、Loopring、Scroll等。这些项目在技术路线上主要在SNARK(及其改进版本)和STARK之间选择,以及对EVM的支持程度。

ZK系统与EVM的兼容性一直是业界关注的焦点。目前主要有两种方案:完全兼容Solidity操作码,或设计新的ZK友好虚拟机并兼容Solidity。近年来技术快速迭代,EVM兼容性显著提升,为开发者提供了更多便利。

三、ZK SNARK的基本原理

零知识证明需满足三个性质:完整性、可靠性和零知识性。zk-SNARK(Zero-Knowledge Succinct Non-Interactive Argument of Knowledge)作为一种重要的零知识证明方案,具有以下特点:

• 零知识:证明过程不泄露额外信息
• 简洁:验证体积小
• 非交互:无需多轮交互
• 可靠性:有限计算能力的证明者无法伪造证明
• 知识性:证明者必须知道有效信息才能构建证明

以Groth16的zk-SNARK为例,其证明原理包括以下步骤:

1. 将问题转换为电路
2. 将电路转换为R1CS形式
3. R1CS转换为QAP形式
4. 建立可信设置,生成随机参数
5. 生成和验证zk-SNARK证明