ETH:从简单和实用出发，一文读懂零知识证明_stETH价格

作者：benlaw.eth

你之前是否阅读过一些零知识证明的文章，但仍一头雾水？这些文章可能：

只以故事和童话作例子来论述ZKP，无法深入其本质。

内含大量密码学术语，数学公式，学术论文等，对初学者而言过于复杂。

本文提供了对ZKP简明扼要的概述，并从数学、密码学和编程角度进一步阐述ZKP的核心要素。

向色盲提供颜色证明

如何向色盲患者证明两个球的颜色确实是不同的？这其实并不复杂：

让他在手里握住两个球，背到背后，然后随机选择交换或不交换两个球的位置，再展示给你看，你告诉他这两个球的位置是否有变化。

在他看来，你可以通过瞎蒙来完成一次证明。不过，如果成千上万次地重复这个过程：如果你总是能说出正确答案，那么靠纯蒙的方式来保持一直正确的概率，是小到可以忽略的。因此可以通过这种方式来向色盲患者证明：两个球的颜色确实不一样，并且我们也有感知和区分的能力。

Magic Eden比特币NFT市场上线带有搜索和自注功能的域名服务:金色财经报道，据Magic Eden比特币NFT市场官推Magic Eden on Bitcoin宣布，带有搜索和自注功能的域名服务已上线，用户现在可以在Magic Eden平台上为可用域名编写域名注释。此外，Magic Eden表示当前搜索功能支持的域名包括“.sats”、“.magic”、“.btc”、“.xbt”、以及“.gm”等，未来将支持更多可搜索域名。Magic Eden提醒域名服务功能仍处于试运行阶段，因此建议用户对数据进行自己的研究（DYOR）和交叉验证。[2023/6/11 21:29:46]

颜色证明

上述证明过程是典型的零知识证明：

验证者无法在证明过程中获得任何关于颜色的知识，因为经过验证过程后他依然没有区分颜色的能力。

该验证过程是概率性的而非决定性的。

该过程是交互式的，需要多轮交互。不过，零知识证明中也有许多协议，通过高级技巧将证明过程转化成了非互动式的。

国家区块链技术创新中心将落户北京:金色财经报道，国家区块链技术创新中心将落户北京，将突破区块链领域的基础性和前沿引领性关键核心技术，实现重大基础研究成果产业化，成为国家新型数字基础设施的重要支撑力量。该中心由北京微芯区块链与边缘计算研究院牵头，联合国内顶尖高校、科研院所和行业骨干企业共同建设。

区块链国创中心将重点围绕区块链基础理论、软硬件关键技术、基础平台与验证网络、共性平台与服务等开展关键技术攻关与产业化应用，建成持续开放的区块链底层平台，产出一批高水平标志性原创科技成果，服务国计民生重大场景应用等。

另外，区块链国创中心将积极探索企业主导的产学研联合攻关机制，建立有效的高层次人才激励与引进培养机制，引进集聚一批国际一流科技领军人才，强化创新资源开放共享，加大国际科技合作与交流，形成链接全球资源的创新网络。[2023/2/9 11:56:30]

掌握知识的证明

我们已经分享了一种现实世界中的零知识证明的例子，接下来再来看一下在二进制世界中如何实现零知识证明。

孙宇晨将超5000万枚USDC转移到未知钱包:金色财经报道，链上数据显示，孙宇晨（Justin Sun）已将50,493,907枚美元稳定币USDC转移到未知钱包，约合50,506,530美元，交易哈希为

ca0db8360eca04b075d597923fbd43e55e7238ca323301d8e034c2bd67442940，转出地址TPyjyZfsYaXStgz2NmAraF1uZcMtkgNan5，转入地址为TNSBA6KvSvMoTqQcEgpVK7VhHT3z7wifxy。[2022/12/26 22:07:10]

Arthur是Elon的朋友，并且知道对方的手机号。Betty不知道Elon的号码。如果Arthur想要向Betty证明他知道，但又不想泄露号码，应该怎么实现呢？

知识证明

一种不成熟的方案是，Elon发布自己电话号码的哈希，Arthur通过一个程序输入哈希的原像，程序进行运算并检查结果。这个方法有一些致命的缺陷：

Solana借贷协议Solend因网络拥堵出现坏账风险:11月9日消息，借贷协议Solend因Solana网络拥堵而清算缓慢，导致大量头寸未得到及时清算。在SOL贷款池中，用户欠协议2970万美元USDC，而SOL抵押品仅为3260万美元。LTV高达91.1%，已超过85%的清算门槛。该协议必须出售近200万美元的SOL抵押品才能使贷款回到清算门槛之下。（theblock）[2022/11/9 7:23:29]

根据哈希，Betty可以通过暴力破解的方式得到原像，能破解出来的概率是不可忽略的，而且得到的结果几乎是确定性的。

Arthur必须向该程序输入原像。如果程序在Arthur的电脑上，Betty就会对此有疑问：我怎么知道你有没有作弊，你的电脑也许会一直声称你的证明是对的？

如果程序在Betty的电脑上运行，Arthur也会担心，自己输入的信息会不会被窃取，即使程序肉眼可见的代码中并没有窃取信息的命令。

因为无法将程序分开在不同的环境中运行，这个信任问题是难以解决的。

全球首个K-12 Web3线上学院JetLearn完成120万欧元种子轮融资:金色财经报道，全球首个面向K-12教育的Web3线上学院JetLearn宣布完成120万欧元种子轮融资，由欧洲工商管理学院天使集团（INSEAD Angel Group）领投，一些著名天使投资人参投，包括 Soho House 首席财务官、Backed VC 前任首席财务官 Humera Afzal，以及由红杉和软银支持的硅谷新兴独角兽 Zum 创始人 Ritu Narayan。JetLearn总部位于阿姆斯特丹，帮助儿童学习包括 Web 3.0、AI（人工智能）和机器人技术在内的新时代技术技能，据悉 JetLearn 的 STEM.org 认证计划是世界上第一个也是唯一一个针对 K-12 教育的 Web 3.0 课程。（globalbankingandfinance）[2022/7/13 2:09:36]

常规的方法在这里碰壁了，是时候让零知识证明出场了！

基于密码学的零知识证明的实现方案

在此我会用零知识证明中的SigmaProtocol来解决问题，因为它比较简单。并且，为了简洁和易于理解，这里不会使用严格的密码学和数学中的定义、术语及推导过程等。

核心流程

使用零知识证明证明一个人有特定的知识，我们采取如下办法：

Sigma协议

定义一个P阶的有限群及其生成元g。我们可以暂时忽略这些奇怪的名词具体什么意思。

根据上面的定义，某个拥有知识或能接触到知识的第三方，将知识通过h=g^w(modP)的方式加密后，将h发布出去。

证明者启动零知识证明流程。生成一个随机数r，计算a=g^r，并将a发送给验证者。

验证者生成一个随机数e并发送给证明者。

证明者计算z=r+ew并发送给验证者。

验证者检查g^z==a·h^e(modP)。如果为真，则验证者确实掌握其声称的知识。

好啦，该证明协议到此就结束了！非常简短，但你仍可能对上面的一些数学运算感到困惑，但这不要紧，我们先有个大概印象再深入理解。

数学原理

这套流程背后的核心数学原理是离散对数难题：当P是一个很大的质数时，对于给定的h，很难找到满足h=g^w(modP)的w。该原理适用于上面所有类似的式子。

我们来一步一步解析下：

经过加密的知识h=g^w(modP)，是难以被暴力破解的。由于求余运算的特点，即使被破解了也不具备单一确定解。这意味着对证明者而言，通过暴力破解来作弊，验证者，是不可行的。

然后我们将3，4，5步作为一个整体来看一下他们为什么要交换这些随机数：

I.证明者并不想暴露其秘密，所以他必须用随机数包裹一下将其隐藏起来。而验证者也需要通过添加一些随机数，让该知识可被自己验证的同时防止证明者作弊，而且不会窥探到证明者的秘密。

II.如果验证者先发送了随机数e，很明显，证明者可以通过编造a=g^z·h^-e来在最终检查中验证者，即使没有知识也可以通过。所以证明者必须先手发送一个承诺(a=g^r)，但非r本身，来避免可作弊场景，同时不让验证者通过w=(z-r)/e提取到秘密。

III.在收到承诺后，验证者向证明者发送随机数e。由于其本身或者其衍生物无法泄露任何一方的信息，这个数不需要加密。之后证明者计算z=r+ew并将z发送给验证者。验证者最终通过检查g^z=g^(r+ew)=g^r·(gw)^e=a·h^e来确定证明者是否掌握知识。

通过这种往返交错的结构，我们收获了三个性质：

完备性:当且仅当证明者输入正确知识，验证才能通过。

可靠性:当且仅当证明者输入错误知识，验证才会失败。

零知识性:验证者无法在验证过程中获取任何知识。

上述三点即零知识证明的核心特性。通过数学和密码学，我们构建出了一套光怪陆离的证明体系。恭喜你一路走了这么远，现在应该已经可以说正式迈入了富丽堂皇又奥妙无穷的ZKP圣殿。

Havefun!

进一步了解

模拟器和零知识性

我们现在来考虑一些魔幻场景。如果一个证明者具有预言或篡改验证者生成的随机数的超能力，我们称其为模拟器。

模拟器vs验证者

设想，模拟器在验证者的随机数e生成前就对其进行了篡改，确保其生成后是自己预设的值。根据上面II所说，这种能力使模拟器能编造承诺a来验证者。不论模拟器的输入是什么，验证者总会得出结论模拟器具有知识，然而实际上他并没有。

显然，经过这种思想实验我们可以得出结论，验证者无法在该零知识证明协议中获取任何知识，也即其零知识性是成立的：

零知识性<==?模拟器S，使得S(x)与真实的协议执行不可区分，其中S(x)：选择随机的z和e，令a=g^z·h^-e，其中(a,e,z)的分布与真实的随机数环境一致并满足g^z=a·h^e。

抽取器和可靠性

再来想象一下另一种超能力者——抽取器，具有时光倒流的能力。不过这次是抽取器作为验证者，面对一个正常的证明者。

当协议结束时，抽取器发起时间倒流，回到协议的起点，并持有上一轮得到的(z,e,a)。现在，协议重新执行一遍。由于证明者没有超能力无法进行时间旅行只能在固定的时间线上做确定的事，他又生成了一个一模一样的随机数r以及承诺a=g^r，而抽取器则可以生成新的随机数e'给证明者。

证明者vs抽取器

现在，抽取器获得了：g^z=a·h^e,g^z'=a·h^e=>g^(z-z')=h(e-e')=>加密后的知识h=g^((z-z')/(e-e'))=>知识w=(z-z')/(e-e').

显然，只要证明者真的掌握了知识，抽取器总是可以将其抽取出来，也即完备性成立：完备性<==?抽取器E，对给定的任何h，在掌握(a,e,z),(a,e',z')且e≠e'的情况下，都能输出ws.t.(h,w)∈R.

完备性

完备性不需要任何特殊角色来证明，因为：g^z=g^r+ew=g^r·(g^w)^e=a·h^e.

标签：ETHstETHSTETETethnostETH币STEER币stETH价格

比特币热门资讯