报告摘要:
零知识证明是一种基于概率的验证方式,验证的内容包括“事实类陈述”和“关于个人知识的陈述”。验证者基于一定的随机性向证明者提出问题,如果都能给出正确回答,则说明证明者大概率拥有他所声称的“知识”。Zerocoin(零币协议)将零知识验证用于铸造零币和赎回零币过程中,以隐藏了一笔交易对应的发送方和接收方信息,Zerocash(零钞协议)采用更新颖的zkSNARKs技术,将需要验证的交易内容转换成证明两个多项式乘积相等,结合同态加密等技术在保护隐藏交易金额的同时进行交易验证。缺点在于若网络收到攻击超发零钞,则无法发现或采取措施;Zerocoin和Zerocash均需要进行预先的“信任设置”,没有达到真正的“去信任”。英特尔SGX、zkSTARKs等新技术有可能解决上述问题,但仍需经过实践的检验。
一、零知识证明原理
零知识证明是一种加密方案,最初在20实际80年代由MIT研究人员在论文中提出。“零知识协议是一方(证明方)可以向另一方(验证方)证明某事是真实的方法,除了这一具体陈述是真实的事实以外,不透露任何额外的信息。例如对于现在登录网站而言,在Web服务器上存储了客户的密码的哈希值,为了验证客户实际上知道密码,目前大部分网站采用的方式是服务器对客户输入的密码进行哈希计算,并与已存结果对比,但是这种方式的弊病在于服务器在计算时就可以知道客户的原始密码,一旦服务器被攻击,用户的密码也就泄露了。如果能够实现零知识证明,那么就可以在不知道客户密码的前提下,进行客户登录的验证,即使服务器被攻击,由于并未存储客户明文密码,用户的账户还是安全的。
基本的零知识证明协议是交互式的,需要验证方向证明方不断询问一系列有关其所掌握的“知识”的问题,如果均能够给出正确回答,那么从概率上来讲,证明方的确很有可能知道其所声称的“知识”。例如某人声称知道一个数独难题的答案,一种零知识证明的方式是验证方随机指定这一次按列、按行还是按九宫格来检测,每次检测不需要看到数字摆的具体位置,只需要检测出来是否包含了1-9个数字即可,只要验证的次数足够多,那么可以大概率相信证明方是知道数独题目的解的。但是这样简单的方式还不能让人相信证明方和验证方均没有作假,在数独的案例中,两者有可能事先串通好,从而使得证明方在不知道答案的前提下通过验证。如果他们想让第三方信服,验证方必须也要证明自己每次的检测方案是随机的且自己没有和证明方串通。
由于第三方观察者难以验证交互式零知识证明的结果,因此当我们向多人证明某些内容时,我们需要付出额外的努力和成本。而非交互式的零知识证明顾名思义,不需要互动过程,避免了串通的可能性,但是可能会额外需要一些机器和程序来决定试验的序列:例如在数独的例子中,通过程序的方式来决定哪一次按行、哪一次按列来检测,但是这个试验序列必须保密,否则验证方预先知道了试验的序列就有可能利用这个信息,提前准备,在并不知道真实“知识”的情况下通过验证。
零知识证明的内容可以概括为两类:“事实”类陈述:例如证明“一个特定的图可以进行三着色。”或者“一个数N是合数”;关于个人知识的陈述:例如“我知道这个特定图的染色方案”或者“我知道N的因式分解”。
但并不是所有的问题都有零知识证明的加密方案,Goldreich, Micali 和 Wigderson 给出了理论上存在零知识证明解的有效范围。他们发现对于在多项式时间内可以验证解的决策问题(问题的答案仅为是/否),存在已知的零知识证明方案。只需要在这样NP问题中找到想要证明的论述,并转化为三色问题的一个实例,那么就可以利用已有的协议实现零知识证明。由于三色问题属于NPC问题,任何其他的NP问题都可以转化为这个问题的实例。
二、区块链中的零知识证明应用
在区块链上的交易中,如比特币和以太坊网络网络,除了使用地址来替换交易双方的真实身份,使得交易具有部分匿名性以外,发送、接收地址和金额都是已知的,别人有可能通过网络上的各种信息、和现实世界发生的交互记录等将比特币地址和真实身份对应起来,也因此具有隐私暴露的隐患。Zerocoin设计了一种全新的思路,无法通过交易历史分析来获得用户真实身份。Zerocoin里需要消耗一定价值的要交易的货币,以生成具有独特序列号的一枚零币。零知识证明可以在不透露花费了具体哪个货币的基础上,验证出你的确花了这笔钱。为了将这笔钱转给他人,逻辑上需要我们使得这枚零币不能再被别人花费,零币的办法是大家共同维护一个作废列表,存着所有已经花费的零币的序列号。矿工在验证这笔花费交易时运用零知识证明的方法,不需要知道具体花掉哪一个零币,也可以验证零币的序列号是否在作废列表里。由于花费交易并没有输入地址和签名的信息,整个交易过程中,矿工也并不知道这个零币的来源,因此也就难以对交易历史进行分析而获取用户身份。
在零币里,交易的金额是可以知道的,而采用zkSNARKs技术的Zerocash连交易金额都可以隐密,账本唯一公开记录的唯一内容就是交易的存在性。可以证明对于NP中的所有问题存在zkSNARKs。它引入了多项创新技术,使它们可以在区块链中使用。最重要的是,zkSNARKs减少了证明的大小和验证它们所需的计算量。它的过程可以简述为。
1. 将要验证的程序拆解成一个个逻辑上的验证步骤,将这些逻辑上的步骤拆解成由加减乘除构成的算数电路。
2. 通过一系列的变换将需要验证的程序转换成验证多项式乘积是相等的,如证明t(x)h(x)= w(x)v(x)。
3. 为了使得证明更加简洁,验证者预先随机选择几个检查点s,检查在这几个点上的等式是否成立。
4. 通过同态编码/加密的方式使得验证者在计算等式时不知道实际的输入数值,但是仍能进行验证。
5. 在等式左右两边可以同时乘上一个不为0的保密的数值k,那么在验证(t(s)h(s)k)等于(w(s)v(s)k)时,就无法知道具体的t(s)、h(s)、w(s)、v(s),因此可以使得信息得到保护。
不同于Zerocoin的密码学原语RSA累加器,zkSNARKs技术较新,未经广泛验证,存在风险,同时由于更强的匿名性,Zerocash的漏洞也更难发现,和Zerocoin相比,Zerocash由于交易金额信息也是未知的,所以如果有攻击者无限制地发行零钞,这样的情况是无法检测的。
除此以外Zerocoin 和Zerocash均需要提前内置生成参数,用户在使用这些网络的时候必须信任这些参数没有被泄露,但是一旦这些参数被泄露,整个网络将面临毁灭性打击。复杂的信任设置使得Zerocash存在争议,即使他们设计了一套“仪式”(例如录下砸坏存有密钥电脑的过程)来证明自己。
可能的解决办法包括利用像英特尔SGX和ARM TrustZone这样的现代“可信执行环境”。就英特尔的SGX技术而言,即使应用程序、操作系统、BIOS或VMM遭到了破坏,私钥也是安全的。除此以外,最新提出的zkSTARKs技术不需要进行信任设置。
根据zkSTARKs白皮书中所述,zkSTARKs是首次实现既可以不依赖任何信任设置来完成区块链验证,同时计算速度随着计算数据量的增加而指数级加速的系统。它不依赖公钥密码系统,更简单的假设使得它理论上更安全,因为它唯一的加密假设是散列函数(如SHA2)是不可预测的(这一假设也是比特币挖掘稳定性的基础),因此也使其具有抗量子性。作为一种新颖的技术,和zkSTARKs一样,它也需要经过时间的检验。
参考文献:
- Zcoin中文社区,《Zcoin和Zcash: 相似性和不同处》.http://www.zcoinchina.org/zcoin-and-zcash/
- Zcash团队,《What are zk-SNARKs?》https://z.cash/technology/zksnarks.html.
- 零币技术白皮书《一种通过使用零币协议(zerocoin protocol)来保障账务隐私的加密货币》
- Christian Reitwiessner,《zkSNARKs in a nutshell》,https://blog.ethereum.org/2016/12/05/zksnarks-in-a-nutshell/
- Matthew Green,《Zero Knowledge Proofs: An illustrated primer》,https://blog.cryptographyengineering.com/2014/11/27/zero-knowledge-proofs-illustrated-primer/
- 老钱,《一个数独引发的惨案:零知识证明(Zero-Knowledge Proof)》,http://www.sohu.com/a/224915382_117959
文章版权为哈希未来所有,如需转载,请联系哈希未来工作人员。
作者: 陈致佳、蒙绎泽、谢倩、江泽武
哈希未来以科普小白区块链知识,“协议层—技术层—应用层”三位一体的区块链资产交易平台,解决资产上链与跨链流通,聚焦底层技术与应用场景的研究平台,致力于打造可信的数字时代。
支持机构: