ALI:巴比特现场 | 郭宇：3分钟搞懂零知识证明，为何它是一把双刃剑？

12月22日，2019数字资产与区块链年会暨中国投资协会数字资产研究中心成立大会在北京召开。安比实验室创始人、数字资产研究院学术与技术委员郭宇以《零知识证明，区块链技术缺失的一环》为题进行了分享。

以下是郭宇演讲内容精编，由巴比特整理发布。

什么是区块链？在网上搜索了批评区块链的文章，其中一个理由是吞吐率低。比特币交易速度只有7笔/秒，以太坊交易处理速度不超过30笔/秒，而国际信用卡Visa至少2000笔/秒。区块链吞吐率如此低下，核心原因在于网络带宽。当全球超过1万个节点进行分布式共识时，不可避免的造成吞吐率的下降。单纯靠提高出块速度来提升吞吐率，到以太坊已经是极致了，出块速度快则会导致分叉的频繁出现，不会实质上提升吞吐率，或者靠降低节点数量提升吞吐率，会让系统安全将得不到保证。那么，如何在不降低安全性的基础上，提高吞吐率？

反直觉的零知识证明

零知识证明就是解决方案之一。以太坊创始人Vitalik在2018年做了一个实验，引入零知识证明，以太坊的吞吐率可以有几十倍的显著提升，可以达到500TPS。最新的路印协议采用了零知识证明技术方案——ZKRollup，根据他们的测试数据，能够在以太坊上实现高达10500TPS的去中心化应用。

1985年，麻省理工学院的研究人员ShafiGoldwasser，SilvioMicali和CharlesRackoff提出了“交互式证明系统”与“零知识证明”的概念，后来前两位因为这个工作而获得2012ACM图灵奖。

Celsius应用程序将在90天内关闭，确定PayPal负责BTC分销:金色财经报道，破产的加密借贷平台Celsius发布修订后的披露声明，透露其计划在90天内关闭其应用程序。在声明中，Celsius概述了其为债权人提供加密货币大幅追偿的计划。该公司打算向符合条件的债权人分发流动性加密货币，包括比特币（BTC）和以太坊（ETH）。预计分配金额约为20.3亿美元，价值受BTC和ETH价值潜在波动的影响。

此外，为了有效管理，Celsius选择与第三方分销代理合作，认为PayPal是向美国个人债权人进行某些分配的潜在代理。对于其他发行版，Celsius正在积极寻找其他发行代理。如果找不到合适的代理人，Celsius将在生效日期后九十天保持其平台开放，以方便向特定债权人进行分配。[2023/8/12 16:22:33]

解释零知识证明前，我们首先要问，“证明”是什么？这个词从古希腊开始，它代表“洞见”；到1920年代，证明意味着形式化逻辑，怀特海和罗素在《数学原理》里花了几百页来证明1+1=2，它代表“符号推理”；到1970年代，证明被发现实际上“程序”没有区别；而到了1985年，证明的概念被延拓到了一个更广泛的概念“交互系统”，零知识证明系统正是一种交互系统。

报告：预计到2027年加密货币和区块链将为250万亿美元的跨境支付行业提供动力:金色财经报道，金融科技巨头Ripple最近发布的一份报告揭示了加密货币和区块链技术在跨境支付中日益重要的作用，预计到2027年，这一领域的价值将达到惊人的250万亿美元。报告指出，促进资金从一个账户转移到另一个账户的底层基础设施已经成熟，亟待改进，加密货币和区块链可以实现高效的资金转移。报告称，44%的受访者认为支付是最有可能推动加密货币应用的因素，近一半的受访者认为跨境支付是加密货币的关键用例。超过80%的全球金融领导者预计未来三年将在其业务中使用加密货币。报告还指出，预计到2025年，移动银行将被超过65%的美国人口使用，而在线银行预计到2024年，亚洲用户将达到近10亿。[2023/7/20 11:07:10]

但是，零知识证明非常反直觉。为什么这么说？如图所示，右边的Bob把输入X传给左边的硬件设备，在这个硬件设备上会跑一个程序Y=F(X,W)，W则是一个秘密数据，设备算出结果后，会返回Y，Bob如何相信Y的计算过程没有问题呢？这就需要零知识证明了，只要设备再附加上一个零知识证明，而我们就能完全相信Y确实是F计算的结果，就能完全相信一个不受控制的硬件，可能是有后门的硬件设备，跑出的运算结果是没有经过恶意篡改的。准确点说，零知识证明能够保证远程计算的完整性，但这是反直觉的。

灰度GBTC负溢价率扩大为39.68%:金色财经报道，据Coinglass数据显示，当前灰度总持仓量达165.88亿美元，主流币种信托溢价率如下：BTC，-39.68%；ETH，-47.26%；ETC，-68.56%；LTC,-53.02%；BCH，-49.07%。[2023/1/13 11:10:49]

零知识证明还有什么用？我简单罗列一下，区块不断膨胀，越来越大？而用零知识证明技术，你只需要下载一个区块就可以了；链上交易可追踪，零知识证明可以保护用户的交易匿名性，可以保护用户身份的情况下进行身份认证、可以保护上链数据的隐私，实现安全地数据共享，以及链上链下的数据关联，都可以用零知识证明完成。

通过三染色问题理解零知识证明

零知识证明背后的原理是我今天要讲的重点，希望能让大家快速地理解。这是一个寻找地图三染色答案的问题，我们把一个地图想象成一个个城市，然后把城市用线连起来，相邻的城市必须用不同的颜色来染色。那么相当于我们要求一个图上的每一条边的两端顶点颜色必须不同。寻找地图三染色答案是一个NP-Complete的问题，也就是一个NP难解问题。

假设Alice有一个三染色答案，她要向Bob证明这件事，但是又不能让对方知道每个点的颜色是什么，实现所谓的“零知识”证明。这时候应该怎么做？第一步，Alice会把颜色对调成另一套颜色，但是对调颜色之后，这个地图仍然是一个三染色答案，然后Alice把答案的每个节点盖上纸片给Bob看。

Binance Pay、Alchemy Pay等为Artaverse提供加密支付服务:6月9日消息，Binance Pay、Alchemy Pay、ePayments、QponBay将合作在Artaverse推广离线加密支付方法。据悉，Artaverse是一项NFT和元宇宙活动，将于6月3日至12日在中国香港举行。

Artaverse活动参与者将能够使用加密货币直接在网站上购买NFT。支持的币种包括BNB、ETH、ACH和USDT。（Bitcoin.com）[2022/6/9 4:13:08]

第二步，Bob看不见每一个顶点，但他会随机选择一条边让Alice来揭开纸片。

第三步，Alice揭开纸片后，Bob会看到两边的颜色是不同的，这时候他能相信顶点三染色问题是一个正确的答案吗？不一定，因为可能他选的这条边可能凑巧没问题，但是其它边可能是有问题的。

调查：目前NFT游戏（链游）在印度最受欢迎:金色财经消息，根据Finder最近发布的报告“NFT Gaming Adoption Report”，在其调查的国家/地区中，NFT游戏（链游）在印度最受欢迎，34%的受访者表示他们“玩过P2E游戏”。其次为中国香港（28.7%）、阿联酋（27%）、菲律宾（25%）。

另一方面，英国（7.6%）、法国（5.8%）和德国（7.4%）等欧盟国家/地区的渗透率较低，瑞典最低，为4.3%。美国排名第18位（9.4%），日本未纳入调查。

据悉，该调查于2022年3月进行，针对来自26个国家/地区的43312人。报告显示，全球平均P2E游戏渗透率为6%。然而，全球用户数量正在增加，预计到年底P2E游戏的渗透率将提高到15%。（Coinpost）[2022/5/27 3:45:54]

那么再来一遍，重复三步，Alice重新把颜色交换，Bob再随机挑一条边看，这时候Bob能相信吗？不一定，可能恰好两次都被Alice都蒙着了，有这种可能。

但是Bob可以不断的试，试N次，只要N足够大，Alice作弊的概率就会指数级减小，减小到几乎不可能。

通过这个方案，Alice成功以零知识的方式向Bob证明了自己确实拥有一个三染色答案，这就是零知识证明的最基本概念。

零知识证明的运行逻辑

说了这么多，大家可能觉得这和我们所说的“反直觉”非常遥远。如何信任一个远程计算呢？我具体说明下零知识证明技术是怎么做到的。

假设我们有一个超级摄像机，它把远程计算的详细过程，包括CPU、内存、程序的全部状态拍摄下来，我把视频从头放一遍，理论上就会知道这个计算过程没有问题，因为在任何一步作弊，理论上都可以找出来。但实际做不到，因为视频巨大无比，检验过程基本不可实现。

接下来我们做一个简单转换，用“算术电路”来重新表达这个计算过程。算术电路是什么意思呢？理论上大部分可终止的计算过程都可以转化为由“+”“×”两种电路门构成的电路来计算完成。在电路这头输入X，就会从另一头的引脚上得到Y。因此我们不再需要一个摄像机了，而只需要拍摄一张照片即可，然后我就可以“分别检查“每个门的计算过程是否正确。

但这仍然存在问题，就是验证过程太长了，意味着我们要检查所有门，检查一次哈希计算需要检查两万多个门的输入输出，显然这很麻烦。一个改进思路就是，用多项式编码所有门，把N次检验压缩到1次。

如图右侧所示，这个黄色的曲线编码了正确的计算过程，如果Alice要作弊，她只要改动任意一个引脚上的数字，曲线就会变得非常不一样，改动会被放大。理论上，我们通过一个叫做Schwatz-Zippel的定理，检查X轴上任意一点，就能知道这个曲线有没有改动过，这就是用代数理论，把N次检验转换成一次。

但这个问题还没有结束，这个过程中我们需要检验数据，但不想让Bob知道计算过程中的任何中间数据和结果数据，也就是说要对Bob是零知识的。这时候我们的思路是把多项式运算同态映射到椭圆曲线群上。在正常运算时我们得到的是“0、1、2、3…”这样的整数，它可以映射到椭圆曲线群上的N个点，进行一一对应。

通过椭圆曲线上的点你很难倒推回整数域，因为它是“离散对数难题”。接下来我们要去除交互过程，变成非交互零知识证明。思路是我们在X轴上随意选个点，由一个第三方预先产生一个加密挑战数，用来挑战曲线。最后就会形成一个简洁方案，即由第三方生成一个加密挑战数，生成两个密钥，Bob把计算交给Alice，Alice进行计算，完成零知识证明的动作，这就是2013年诞生的Pinocchio协议。

零知识证明离不开形式化验证

零知识证明安全吗？密码学教授MatthewGreen这样评论：“使用零知识证明技术就好像走了一条捷径：通过中土庞大地下城——摩瑞亚，这比翻山越岭要快不少，但是你可能会与炎魔作斗争。”所以说零知识证明是一把锋利的双刃剑，因为一旦你用了零知识证明，黑客攻击也将是零知识的，也就是说没有人知道已经被黑客攻击了。

2018.3.1ZCash团队的ArielGabizon发现了论文中附录B有一个致命错误，可导致无限造币。但有趣的是，在长达4年的时间里，没有其它密码学家发现这个漏洞，直到2019年2月份，BCTV14的论文作者和Zcash团队才同时公布了这个严重漏洞。

我的结论是，如果用零知识证明，请一定要进行严格的形式化验证。最后我想强调可信的3方面：1、区块链提供的共识协议的信任；2、零知识证明提供了数据信任和计算完整性；3、形式化验证最终保证这个计算逻辑是完全没有问题的。这三者结合在一起，才能形成真正可信任的数学基础，谢谢大家！

标签：ALIBOBLICALICEAustralian KelpieBlinky BobVISA Application ChainAliceNet

币安交易所app下载热门资讯