zk-SNARKs/STARKs 零知识证明详解

数码系统

相机 win10

测评 win11

手机智车

华为 Tesla

小米理想

苹果蔚来

游戏软件

LOL 抖音

原神微信

当前位置：首页

web3.0

zk-SNARKs/STARKs 零知识证明详解

热心网友时间：2025-03-27

转载

隐私一直是加密货币社区中一项宝贵的特性，它是互换性的先决条件，而互换性对于一种广泛使用的货币来说是必要的。同样，大多数加密资产持有者都不希望他们的持仓和交易历史完全公开。在旨在为区块链提供隐私的各种加密技术中，zk-SNARK 和 zk-STARK 证明是两个值得注意的例子。

2025年主流加密货币交易所：

欧易OKX >>>进入官网<<< >>>官方下载<<<
币安Binance >>>进入官网<<< >>>官方下载<<<

zk-SNARK 代表零知识简洁非交互式知识证明，zk-STARK 代表零知识简洁透明知识证明。zk-SNARK 证明被加密货币项目（如 Zcash）使用，用于基于区块链的支付系统，以及作为一种安全地将客户端认证到服务器的方法。但是，虽然 zk-SNARKs 已经取得了显著进展，并得到了广泛采用，但 zk-STARK 证明现在被吹捧为该协议的改进版本，解决了 zk-SNARKs 以前许多缺点。

阿里巴巴的山洞寓言

1990 年，密码学家 Jean-Jacques Quisquater（以及其他合作者）发表了一篇题为“如何向你的孩子们解释零知识协议”的论文。这篇论文用一个关于阿里巴巴山洞的寓言介绍了零知识证明的概念。自从它被创造以来，这个寓言已经被改编了好几次，现在我们有多个版本。尽管如此，其根本信息基本上是一样的。

想象一下一个环形山洞，只有一个入口和一个将两条侧路径分开的魔法门。为了穿过魔法门，需要低声说出正确的秘密话语。所以假设爱丽丝（黄色）想向鲍勃（蓝色）证明她知道秘密话语是什么——同时仍然保密。为此，鲍勃同意在她进入山洞并走到两条可能路径的其中一条尽头时在外面等待。在这个例子中，她决定走路径 1。

过了一会儿，鲍勃走到入口处，喊出他想要爱丽丝从哪条路径出现（在本例中是路径 2）。

如果爱丽丝真的知道秘密，她就会可靠地从鲍勃指定的那条路径出现。

整个过程可以重复几次，以此来确认爱丽丝不是靠运气选择正确的路径。

阿里巴巴的山洞寓言阐述了零知识证明的概念，零知识证明是 zk-SNARK 和 zk-STARK 协议的一部分。零知识证明可以用来证明拥有某种知识，而无需透露任何关于该知识的信息。参与的双方通常被称为证明者和验证者，他们秘密持有的陈述被称为见证。这些证明的主要目标是在双方之间尽可能少地透露数据。换句话说，可以使用零知识证明来证明他们拥有某种知识，而无需透露任何关于知识本身的信息。

在 SNARK 首字母缩写词中，“简洁”意味着这些证明体积较小，并且可以快速验证。“非交互式”意味着证明者和验证者之间几乎没有交互。旧版本的零知识协议通常需要证明者和验证者来回通信，因此被认为是“交互式”零知识证明。但在“非交互式”结构中，证明者和验证者只需要交换一个证明。

目前，zk-SNARK 证明依赖于证明者和验证者之间的初始可信设置，这意味着需要一组公共参数来构建零知识证明，从而构建私有交易。这些参数就像游戏的规则；它们被编码到协议中，并且是证明交易有效的必要因素之一。然而，这会产生潜在的中心化问题，因为这些参数通常是由一个非常小的群体制定的。

虽然初始可信设置是当今 zk-SNARK 实现的基础，但研究人员正在努力寻找其他替代方案，以减少过程中所需的信任量。初始设置阶段对于防止伪造支出非常重要，因为如果有人可以访问生成参数的随机性，他们就可以创建对验证者来说似乎有效的虚假证明。在 Zcash 中，初始设置阶段被称为参数生成仪式。

接下来是首字母缩写词的“知识证明”部分。zk-SNARK 被认为是计算上可靠的，这意味着不诚实的证明者在没有实际拥有支持其陈述的知识（或见证）的情况下成功作弊的可能性非常低。此属性称为可靠性，并假设证明者具有有限的计算能力。

理论上，拥有足够计算能力的证明者可以创建虚假证明，这也是许多人认为量子计算机是对 zk-SNARK（以及区块链系统）的威胁的原因之一。

零知识证明可以快速验证，并且通常比标准比特币交易占用更少的数据。这为 zk-SNARK 技术作为隐私和可扩展性解决方案铺平了道路。