零知识证明的历程与应用

一、零知识证明的发展历程

零知识证明体系最早源于1985年Goldwasser、Micali和Rackoff的论文，该论文探讨了交互系统中证明正确性所需交换的知识量。如果可以实现零知识交换，就称为零知识证明。早期的零知识证明系统效率和可用性不足，主要停留在理论层面。

近十年来，零知识证明迅速发展，成为密码学领域的重要方向。其中，发展通用、非交互、证明体积小的零知识证明协议是关键探索方向之一。零知识证明需要在证明速度、验证速度和证明体积之间权衡。

2010年Groth的论文是ZKP领域的重要突破，为zk-SNARK奠定了理论基础。2015年Zcash应用零知识证明保护交易隐私，开启了ZKP的广泛应用。

其他重要学术成果包括:

• 2013年Pinocchio协议
• 2016年Groth16算法
• 2017年Bulletproofs算法
• 2018年zk-STARKs协议

此外，PLONK、Halo2等也是ZKP领域的重要进展。

二、零知识证明的应用

零知识证明主要应用于隐私保护和扩容两个方面。

隐私保护

早期隐私交易项目如Zcash和Monero较为突出，但目前已逐渐淡出主流视野。Zcash采用zk-SNARKs实现隐私交易,主要步骤包括系统设置、密钥生成、铸币、交易、验证和接收。

Tornado Cash使用单一大混币池,基于以太坊网络,采用zk-SNARK实现隐私保护。其主要特性包括只有存入的币可提取、币不可重复提取、证明与废止通知绑定等。

相比扩容,隐私保护的实现相对容易。如果扩容方案成功,隐私保护基本不会成为问题。

扩容

ZK扩容可在一层或二层网络实现。ZK rollup是重要的二层扩容方案,包括Sequencer和Aggregator两类角色。Sequencer负责打包交易,Aggregator合并交易并生成ZK证明,更新以太坊状态树。

ZK rollup优点是费用低、快速最终性等,缺点是计算量大、需可信设置等。目前主要的ZK rollup项目有StarkNet、zkSync、Aztec Connect、Polygon Hermez/Miden、Loopring、Scroll等。

技术路线主要在SNARK(及改进版)和STARK之间选择,以及对EVM的支持程度。EVM兼容性是一个关键问题,影响开发生态和竞争格局。

三、ZK-SNARK的基本原理

ZK-SNARK具有完整性、可靠性和零知识三个特性。其实现原理主要包括:

1. 将问题转换为电路
2. 将电路转为R1CS形式
3. R1CS转为QAP形式
4. 建立trusted setup,生成随机参数
5. 生成和验证ZK-SNARK证明

ZK-SNARK的发展、应用及与ZK-STARK的关系等内容,将在后续进行深入探讨。