作者:陈致佳、蒙绎泽、谢倩、江泽武报告摘要:零知识证明是一种基于概率的验证方式,验证的内容包括“事实类陈述”和“关于个人知识的陈述”。验证者基于一定的随机性向证明者提出问题,如果都能给出正确回答,则说明证明者大概率拥有他所声称的“知识”。Zerocoin将零知识验证用于铸造零币和赎回零币过程中,以隐藏了一笔交易对应的发送方和接收方信息,Zerocash采用更新颖的zkSNARKs技术,将需要验证的交易内容转换成证明两个多项式乘积相等,结合同态加密等技术在保护隐藏交易金额的同时进行交易验证。缺点在于若网络收到攻击超发零钞,则无法发现或采取措施;Zerocoin和Zerocash均需要进行预先的“信任设置”,没有达到真正的“去信任”。英特尔SGX、zkSTARKs等新技术有可能解决上述问题,但仍需经过实践的检验。一、零知识证明原理零知识证明是一种加密方案,最初在20实际80年代由MIT研究人员在论文中提出。“零知识协议是一方可以向另一方证明某事是真实的方法,除了这一具体陈述是真实的事实以外,不透露任何额外的信息。例如对于现在登录网站而言,在Web服务器上存储了客户的密码的哈希值,为了验证客户实际上知道密码,目前大部分网站采用的方式是服务器对客户输入的密码进行哈希计算,并与已存结果对比,但是这种方式的弊病在于服务器在计算时就可以知道客户的原始密码,一旦服务器被攻击,用户的密码也就泄露了。如果能够实现零知识证明,那么就可以在不知道客户密码的前提下,进行客户登录的验证,即使服务器被攻击,由于并未存储客户明文密码,用户的账户还是安全的。基本的零知识证明协议是交互式的,需要验证方向证明方不断询问一系列有关其所掌握的“知识”的问题,如果均能够给出正确回答,那么从概率上来讲,证明方的确很有可能知道其所声称的“知识”。例如某人声称知道一个数独难题的答案,一种零知识证明的方式是验证方随机指定这一次按列、按行还是按九宫格来检测,每次检测不需要看到数字摆的具体位置,只需要检测出来是否包含了1-9个数字即可,只要验证的次数足够多,那么可以大概率相信证明方是知道数独题目的解的。但是这样简单的方式还不能让人相信证明方和验证方均没有作假,在数独的案例中,两者有可能事先串通好,从而使得证明方在不知道答案的前提下通过验证。如果他们想让第三方信服,验证方必须也要证明自己每次的检测方案是随机的且自己没有和证明方串通。由于第三方观察者难以验证交互式零知识证明的结果,因此当我们向多人证明某些内容时,我们需要付出额外的努力和成本。而非交互式的零知识证明顾名思义,不需要互动过程,避免了串通的可能性,但是可能会额外需要一些机器和程序来决定试验的序列:例如在数独的例子中,通过程序的方式来决定哪一次按行、哪一次按列来检测,但是这个试验序列必须保密,否则验证方预先知道了试验的序列就有可能利用这个信息,提前准备,在并不知道真实“知识”的情况下通过验证。零知识证明的内容可以概括为两类:“事实”类陈述:例如证明“一个特定的图可以进行三着色。”或者“一个数N是合数”;关于个人知识的陈述:例如“我知道这个特定图的染色方案”或者“我知道N的因式分解”。但并不是所有的问题都有零知识证明的加密方案,Goldreich,Micali和Wigderson给出了理论上存在零知识证明解的有效范围。他们发现对于在多项式时间内可以验证解的决策问题,存在已知的零知识证明方案。只需要在这样NP问题中找到想要证明的论述,并转化为三色问题的一个实例,那么就可以利用已有的协议实现零知识证明。由于三色问题属于NPC问题,任何其他的NP问题都可以转化为这个问题的实例。二、区块链中的零知识证明应用在区块链上的交易中,如比特币和以太坊网络网络,除了使用地址来替换交易双方的真实身份,使得交易具有部分匿名性以外,发送、接收地址和金额都是已知的,别人有可能通过网络上的各种信息、和现实世界发生的交互记录等将比特币地址和真实身份对应起来,也因此具有隐私暴露的隐患。Zerocoin设计了一种全新的思路,无法通过交易历史分析来获得用户真实身份。Zerocoin里需要消耗一定价值的要交易的货币,以生成具有独特序列号的一枚零币。零知识证明可以在不透露花费了具体哪个货币的基础上,验证出你的确花了这笔钱。为了将这笔钱转给他人,逻辑上需要我们使得这枚零币不能再被别人花费,零币的办法是大家共同维护一个作废列表,存着所有已经花费的零币的序列号。矿工在验证这笔花费交易时运用零知识证明的方法,不需要知道具体花掉哪一个零币,也可以验证零币的序列号是否在作废列表里。由于花费交易并没有输入地址和签名的信息,整个交易过程中,矿工也并不知道这个零币的来源,因此也就难以对交易历史进行分析而获取用户身份。在零币里,交易的金额是可以知道的,而采用zkSNARKs技术的Zerocash连交易金额都可以隐密,账本唯一公开记录的唯一内容就是交易的存在性。可以证明对于NP中的所有问题存在zkSNARKs。它引入了多项创新技术,使它们可以在区块链中使用。最重要的是,zkSNARKs减少了证明的大小和验证它们所需的计算量。它的过程可以简述为。1.将要验证的程序拆解成一个个逻辑上的验证步骤,将这些逻辑上的步骤拆解成由加减乘除构成的算数电路。2.通过一系列的变换将需要验证的程序转换成验证多项式乘积是相等的,如证明th=wv。3.为了使得证明更加简洁,验证者预先随机选择几个检查点s,检查在这几个点上的等式是否成立。4.通过同态编码/加密的方式使得验证者在计算等式时不知道实际的输入数值,但是仍能进行验证。5.在等式左右两边可以同时乘上一个不为0的保密的数值k,那么在验证hk)等于vk)时,就无法知道具体的t、h、w、v,因此可以使得信息得到保护。不同于Zerocoin的密码学原语RSA累加器,zkSNARKs技术较新,未经广泛验证,存在风险,同时由于更强的匿名性,Zerocash的漏洞也更难发现,和Zerocoin相比,Zerocash由于交易金额信息也是未知的,所以如果有攻击者无限制地发行零钞,这样的情况是无法检测的。除此以外Zerocoin和Zerocash均需要提前内置生成参数,用户在使用这些网络的时候必须信任这些参数没有被泄露,但是一旦这些参数被泄露,整个网络将面临毁灭性打击。复杂的信任设置使得Zerocash存在争议,即使他们设计了一套“仪式”来证明自己。可能的解决办法包括利用像英特尔SGX和ARMTrustZone这样的现代“可信执行环境”。就英特尔的SGX技术而言,即使应用程序、操作系统、BIOS或VMM遭到了破坏,私钥也是安全的。除此以外,最新提出的zkSTARKs技术不需要进行信任设置。根据zkSTARKs白皮书中所述,zkSTARKs是首次实现既可以不依赖任何信任设置来完成区块链验证,同时计算速度随着计算数据量的增加而指数级加速的系统。它不依赖公钥密码系统,更简单的假设使得它理论上更安全,因为它唯一的加密假设是散列函数是不可预测的,因此也使其具有抗量子性。作为一种新颖的技术,和zkSTARKs一样,它也需要经过时间的检验。参考文献:1.Zcoin中文社区,《Zcoin和Zcash:相似性和不同处》.http://www.zcoinchina.org/zcoin-and-zcash/2.Zcash团队,《Whatarezk-SNARKs?》https://z.cash/technology/zksnarks.html.3.零币技术白皮书《一种通过使用零币协议(zerocoinprotocol)来保障账务隐私的加密货币》4.ChristianReitwiessner,《zkSNARKsinanutshell》,https://blog.ethereum.org/2016/12/05/zksnarks-in-a-nutshell/5.MatthewGreen,《ZeroKnowledgeProofs:Anillustratedprimer》,https://blog.cryptographyengineering.com/2014/11/27/zero-knowledge-proofs-illustrated-primer/6.老钱,《一个数独引发的惨案:零知识证明》,http://www.sohu.com/a/224915382_117959文章版权为哈希未来所有,如需转载,请联系哈希未来工作人员。哈希未来以科普小白区块链知识,“协议层—技术层—应用层”三位一体的区块链资产交易平台,解决资产上链与跨链流通,聚焦底层技术与应用场景的研究平台,致力于打造可信的数字时代。
零知识硬件初创公司Cysic完成600万美元种子轮融资:金色财经报道,零知识 (ZK) 硬件初创公司 Cysic 完成了 600 万美元的种子轮融资。该轮融资由 Polychain Capital 领投,其他投资者包括 Hashkey、SNZ Holding、ABCDE 和 Web3.com 基金会。[2023/2/17 12:13:48]
多链Web3生态Hacker资助计划Dora Grant DAO首轮零知识投票环节结束:11月14日消息,社区驱动的多链Web3生态开源极客资助计划Dora Grant DAO已于北京时间11月13日23:59在开发者激励平台DoraHacks.io关闭首轮投票通道。投票最终结果和零知识证明文件将于14日晚八时公布。首期20万美金Grant奖金将会根据投票结果的排序进行发放。
Dora Grant DAO计划旨在持续支持在以下三个领域的多链Web3开源极客团队:多链Web3核心基础设施和工具,加密原生应用,加密-前沿科技交叉领域。[2022/11/14 13:01:29]
Zcash开发商称零知识证明系统Halo已获MIT开源许可:4月7日消息,Zcash开发商Electric Coin Company(ECC)表示,零知识证明系统Halo现已获得MIT开源许可。Zcash此前表示,Halo 2证明系统将于今年4 月份在Zcash中实施,引入聚合证明等来增强网络可扩展性。
Halo 2 最初是在Bootstrap开源许可证(BOSL)下发布的,MIT开源许可限制会更加宽松。2021年9月,Filecoin基金会和ECC、Protocol Labs和以太坊基金会公布了一项专注于Halo 2的多方面合作。[2022/4/7 14:10:45]
StarkWare已开源零知识证明代码ethSTARK:零知识证明研发机构StarkWare已在GitHub开源ethSTARK。StarkWare称,2018年我们获得以太坊基金会的资助去探索对STARK友好的哈希函数以及开源ZKP代码。ethSTARK代码的证明速度将比现有的任何ZKP代码快20倍。
注:2018年7月份,StarkWare获得了以太坊基金会提供的400万美元资助,将研发对STARK友好的哈希函数和技术,并为生态系统提供开源代码。STARK将允许区块链在兼备隐私和后量子安全的情况下进行大规模扩展(例如分片)。(Github)[2020/7/27]
声音 | ALabs负责人王增新:改进后的零知识证明是解决数据可用性问题的可行方案:今日,在日本东京举办的SmartBlock2018国际学术会议上,区块链研究院ALabs负责人王增新做了关于区块链安全隐私及扩展性的学术分享,他认为数据可用性问题是区块链广泛应用的瓶颈,改进后的零知识证明是解决数据可用性问题的可行方案,即将共识的复杂程度降低到对数级别,提高数据的交换与验证效率。ALabs将围绕这个方向进行探索,推动区块链行业应用发展。 SmartBlock2018国际学术峰会由Springer、早稻田大学、哥伦比亚大学、北京理工大学、伯明翰城市大学等顶尖学术院校联合主办,会议围绕前沿科技趋势进行探讨,包括人工智能、大数据、区块链等前沿技术,数百名学术大拿及企业高管出席活动。[2018/12/11]
虽然加密货币还没有像法定货币那样被广泛使用,但加密货币自动提款机却“悄悄”地成为了一种较受欢迎的流通媒介.
1900/1/1 0:00:00国外方面,利好消息和监管趋严态势并行。利好方面,俄企业家协会建议在俄罗斯建立加密谷;美国政府向区块链研究人员拨款80万美元;委内瑞拉实行双货币并行政策.
1900/1/1 0:00:00正如LightningLabs首席执行官伊丽莎白·斯塔克在今年年初所说,我们可能正在进入一个“比特币非区块链”的世界.
1900/1/1 0:00:00据重庆日报今日报道,重庆渝中区关注大数据智能化,重点发展区块链等产业,建设重庆“链岛”智能产业集聚区.
1900/1/1 0:00:00本周,各国政府加大对区块链技术投入力度,中小国家数字货币合法化进度加快。国外方面,美国一方面财政部呼吁对于金融科技领域创新采取更灵活、更有利的监管方法,另一方面美国证券交易委员会与美国商品期货交.
1900/1/1 0:00:00上周,至少有三家主要公司申请区块链相关专利的消息传出:美国银行寻求合法保护其基于区块链的系统,允许对数据进行外部验证;英国巴克莱银行提交了两项与数字货币转让、区块链数据存储相关的专利申请;而支付.
1900/1/1 0:00:00