JOVANA
Library Glossary Getting Started Three Levels Fields How it works Mission
Join the mission
All guides

零知识证明

让别人确信某个陈述为真,却又不泄露任何别的东西——连它为什么为真都不说。同一套把戏,既能藏住一个秘密,也能让一份小小的证明替成千上万笔交易作保。

一个听起来不可能的承诺

想象一个色盲的朋友,手里拿着两个球——一红一绿——除了颜色之外完全一样。在他眼里两个球看起来没有区别,他根本不相信颜色有什么不同。而你能清清楚楚看到颜色。你要怎样说服他这两个球确实不一样,却又不告诉他哪个球是哪个?

妙处就在这里。你的朋友每只手各握一个球,藏到背后,要么交换、要么不换——由他自己决定,你看不见。然后他把手再亮出来,问你:*我换了没有?* 如果两个球的颜色真的不同,你每一次都能答对。要是它们其实一模一样,你最多只能猜——大约一半对。玩上十轮,你靠瞎猜十轮全过的概率大约只有千分之一。最后你的朋友*确信*这两个球不一样,却对哪种颜色在哪只手里一无所知。这道缝隙——证明一件事为真,却不泄露事实本身以外的任何东西——正是零知识证明的全部精髓。

三条性质,以及它们各自的价值

密码学家用三条要求把这个想法钉死。一个好的零知识证明必须是完备的:只要陈述为真,诚实的证明者总能说服诚实的验证者。它必须是可靠的:只要陈述为假,作弊的证明者就伪造不出一份能蒙混过关的证明(除非撞上微乎其微的运气)。它还必须是零知识的:验证者只学到「这条陈述为真」,而且他*单凭自己*就能造出一份看起来一模一样的对话记录——所以证明里没有任何可被提取的秘密。

搞区块链的人为什么要在意这个?因为链所做的事,很大一部分就是*把别人已经做过的活儿重新核一遍*。每个全节点都把每笔交易重跑一遍,以确认结果诚实无误。这很安全,却很浪费。零知识证明给出另一笔划算的交易:重活只干一次,附上一份简短的证明,让其他所有人去验证这份证明,而不必重做那些活儿。验证可以比重新执行便宜上千倍——而同一套机器还能顺带把输入保密。

用大白话讲 zk-SNARK

色球游戏是一场*对话*——你来我往,要好多轮。但在区块链上,你想要的是一锤定音的东西:一份小小的文件,谁都能验,还不必跟你交谈。这正是 zk-SNARK 所提供的。这个拗口的名字拆开来其实很整齐。简洁(Succinct):证明极小——常常只有几百字节——无论它背后的计算有多庞大。非交互(Non-interactive):不用一来一回;证明者贴出一份证明就走人。知识论证(Argument of Knowledge):它表明证明者确实*知道*某个有效的秘密输入,而不只是说这样一个输入可能存在。

几百个字节怎么能为上百万步计算作保?背后的深层把戏,是把*整段计算*变成一个巨大的代数方程,再让证明者在验证者随机挑出的某一个点上去求值。一个在任何地方对不上的多项式,在一个随机点上几乎必然也对不上——所以一次随机抽查,就顶得上把全部都查一遍。撑起公钥密码学的,正是同一套数学,它让证明者把那些数值「锁定」下来,事后无法悄悄改动。

PROVER  (does the hard work, holds secrets)
  inputs: secret x, public statement S
  -->  builds proof  pi   (a few hundred bytes)

VERIFIER (cheap, knows no secret)
  has: statement S, proof pi
  -->  check(S, pi) == true ?   (milliseconds)

  true  => S holds, and prover knew a valid x
  false => reject;  x itself never travels
这种不对称:证明既昂贵又私密,验证则又快又公开。

两大收益:隐私与扩容

第一大收益是隐私。普通的链上交易把一切都摊开——付款人、收款人、金额。换成零知识证明,你可以*只*贴出一份证明,它说:「这笔支付遵守了每一条规则——付款人确实拥有这些币,没有凭空造币,进出账目对得平」——而金额和当事人始终隐而不露。网络拿到了它需要的诚实,却不必动用监视。同样的套路,能让你证明「我已年满 18 岁」或「我在白名单上」,却不必透露你的生日或身份。

第二大收益是扩容,而如今它的声量更大。ZK Rollup 把成千上万笔交易拿到一旁,在更便宜的硬件上执行,再向主链贴出新的状态、足够任何人据以重建该状态的交易数据,外加*一份* zk-SNARK,证明这其中每一笔交易都有效。基础链从不重跑它们;它只核对那份小小的证明。成千上万笔交易,坍缩成一次验证——而由于证明在数学上是可靠的,数据又公布在人人都能看到的地方,Rollup 继承的是主链的安全性,而不是要你去信任某个运营方。

诚实的边界,与一个量子问题

这一切都不是免费的,而且这门学问还很年轻。生成证明*计算量很大*——要花上几分钟,或动用专用硬件,才能为一批交易出具一份只需毫秒就能验完的证明。描述一段计算的电路繁复细密,很容易出现微妙的错误,而验证器里的一个 bug 可能是灾难性的——正因为大家对它是盲目信任的。这些都是活跃的工程难题,正在快速收窄,但尚未解决。

还有一个更长远的问题。今天许多 zk-SNARK,依赖的是与经典公钥密码学相同的难度假设——那类容易验证、却被认为难以逆推的问题。一台足够强大的量子计算机,理论上可能攻破其中某些特定的假设,这正是推动后量子密码学的同一份担忧。让人安心的一点是:这是个有解题方向的已知问题。STARK 风格的证明已经只依赖哈希函数,而哈希函数看起来对量子攻击颇有韧性,研究者也正积极地在后量子的根基上构建 SNARK。

退一步看,这个图景颇为惊人。一个念头——*证明一件事,别的什么都不透露*——悄悄地一次回答了区块链两个最棘手的张力:如何在一本公开账本上保持私密,以及如何在不要求人人重做人人活儿的前提下扩容。这正是零知识证明身处前沿、而非偏居一隅的原因。接下来,我们会看到 ZK Rollup 及其同类是怎样被缝进一张真正运转的网络的——把这段优美的数学,变成你真能发出去的交易。