零知識證明的歷程與應用

一、零知識證明的發展歷程

零知識證明體系最早源於1985年Goldwasser、Micali和Rackoff的論文，該論文探討了交互系統中證明正確性所需交換的知識量。如果可以實現零知識交換，就稱爲零知識證明。早期的零知識證明系統效率和可用性不足，主要停留在理論層面。

近十年來，零知識證明迅速發展，成爲密碼學領域的重要方向。其中，發展通用、非交互、證明體積小的零知識證明協議是關鍵探索方向之一。零知識證明需要在證明速度、驗證速度和證明體積之間權衡。

2010年Groth的論文是ZKP領域的重要突破，爲zk-SNARK奠定了理論基礎。2015年Zcash應用零知識證明保護交易隱私，開啓了ZKP的廣泛應用。

其他重要學術成果包括:

• 2013年Pinocchio協議
• 2016年Groth16算法
• 2017年Bulletproofs算法
• 2018年zk-STARKs協議

此外，PLONK、Halo2等也是ZKP領域的重要進展。

二、零知識證明的應用

零知識證明主要應用於隱私保護和擴容兩個方面。

隱私保護

早期隱私交易項目如Zcash和Monero較爲突出，但目前已逐漸淡出主流視野。Zcash採用zk-SNARKs實現隱私交易,主要步驟包括系統設置、密鑰生成、鑄幣、交易、驗證和接收。

Tornado Cash使用單一大混幣池,基於以太坊網路,採用zk-SNARK實現隱私保護。其主要特性包括只有存入的幣可提取、幣不可重復提取、證明與廢止通知綁定等。

相比擴容,隱私保護的實現相對容易。如果擴容方案成功,隱私保護基本不會成爲問題。

擴容

ZK擴容可在一層或二層網路實現。ZK rollup是重要的二層擴容方案,包括Sequencer和Aggregator兩類角色。Sequencer負責打包交易,Aggregator合並交易並生成ZK證明,更新以太坊狀態樹。

ZK rollup優點是費用低、快速最終性等,缺點是計算量大、需可信設置等。目前主要的ZK rollup項目有StarkNet、zkSync、Aztec Connect、Polygon Hermez/Miden、Loopring、Scroll等。

技術路線主要在SNARK(及改進版)和STARK之間選擇,以及對EVM的支持程度。EVM兼容性是一個關鍵問題,影響開發生態和競爭格局。

三、ZK-SNARK的基本原理

ZK-SNARK具有完整性、可靠性和零知識三個特性。其實現原理主要包括:

1. 將問題轉換爲電路
2. 將電路轉爲R1CS形式
3. R1CS轉爲QAP形式
4. 建立trusted setup,生成隨機參數
5. 生成和驗證ZK-SNARK證明

ZK-SNARK的發展、應用及與ZK-STARK的關係等內容,將在後續進行深入探討。