【原创·区块链核心概念必读系列-07】一分钟教你看懂零知识证明

一、背景与概念

“零知识证明”其实并不是一个新概念。 早在1985年，它就由S.Goldwasser、S.Micali和C.Rackoff提出。 要说年龄的话，可能比币圈的很多人都要老。 但是，当时它还处于数学理论阶段零知识证明 比特币，除了科学界之外，并不为很多人所熟知。 近年来，随着区块链的普及以及零知识证明在其中的应用，这一概念逐渐进入大众视野。

所谓零知识证明（Zero-Knowledge Proof）本质上是一种涉及两方或多方的协议，即两方或多方完成一项任务需要采取的一系列步骤。 证明者向验证者证明并使他相信自己知道或拥有某个消息，但证明过程不能向验证者泄露关于已证明消息的任何信息。 简单的理解就是证明者可以在不向验证者提供任何有用信息的情况下说服验证者相信你。

二、案例

如果没有相关的理论依据，很多人第一眼看到上面的概念性解释可能会觉得“这不就是骗人的吗”。 但实际上，零知识证明是一种具有严谨数学基础的科学密码学原理。 在这里，一个有趣的小故事可以帮助你理解这个概念。

一日，山神被盗贼擒获，盗贼对山神施以酷刑，以求得入洞法术。 面对盗贼的迫害，山神想：如果我把咒语告诉他们，他们会认为我一文不值，会杀了我； . 我怎样才能在不向他们透露任何内容的情况下让他们相信我知道这个咒语？

这个问题很纠结。 想了半天，山神想出了一个好办法。 他对强盗说：“你在远处用弓箭指着我。当你举起右手时，我会念咒语来打开石门。当你举起左手时，我会念诵。一个关闭石门的咒语。如果我做不到或者逃跑，用弓箭射我。”

盗贼们答应了，因为这个方案不但没有让他们吃亏，而且还帮他们搞清楚山神是不是真会法术。 山神也不输，因为一箭之内的盗贼们是听不到他念出的咒语的，不用担心会泄露天机。 同时，他确信自己的法术是有效的，不会出现被枪杀的惨剧。

盗贼抬起右手，只见山神嘴巴动了几下，石门果然打开了。 强盗左手一扬，山神嘴巴动了几下，石门再次合上。 劫匪们还是不相信，说不定是巧合，他们不断变换着节奏，左右手一抬，石门就按照他们的节奏开合。 最后，强盗们想，如果他们还认为这只是巧合，那他们就是傻子。 那我还是信山神吧。

就这样，山神没有告诉盗贼们进入洞窟石门的法术，而是同时向盗贼们证明了自己会这个法术。

这是零知识证明的一个重要例子。

3. 零知识证明的属性和一般过程

通过山神被抓的故事，我们可以看出零知识证明必须满足以下三个属性：

(1) 正确性，即证明者不能欺骗验证者。 也就是说，如果山神不会法术，那么他能够骗过强盗的概率会很低，因为强盗只需要多试几次就知道自己有没有法术了。

(2)完整性，即验证者有足够的理由信任证明者。 故事中，山神真的会这个咒语，所以他可以像故事里说的那样做足够多的实验，让强盗相信他不是一次巧合，而是真的会这个咒语。 如果他不知道这个咒语，再多做几次实验可能就会真相大白，强盗也没有理由相信他会这个咒语。

(3) 零知识。 验证者无法获得任何额外的知识。 盗贼虽然知道山神有正确的法术，却不知道法术是什么。

这三个属性是不可分割的，必须同时满足。 因为山神向强盗证明他会咒语，可能会出现一种情况——他多次尝试是巧合，出现证明者欺骗验证者的情况。 但只要实验重复得足够多，或者一直在重复，这种巧合（小概率事件）发生的可能性就会降低到很低，甚至可以忽略不计。

4.申请

在区块链中，已经应用了零知识证明，最常见的是图灵机的计算模型（后面会详细讨论）。 另一个应用是ZCash，它使用零知识证明来实现交易过程的匿名性。

与ZCash相比，比特币转账有一个特点，就是不匿名。 只要我们知道了比特币地址，任何人都可以查出它所有的交易行为信息，比如谁从谁那里收到了币，又将币转给了谁。 这对某些领域来说当然很棒，比如反洗钱，但对其他领域来说，可能就没那么讨人喜欢了。 例如，一个普通人可能不想让别人知道他花了什么钱，他给谁买礼物。 如果每个人都可以随意查看，他会觉得自己的隐私受到了侵犯。 ZCash 的零知识证明解决了这些用户的需求。

在一次比特币交易中，如果A有3个比特币，想转1个比特币给B，那么在账本上就会记录：A转了2个比特币，其中1个比特币，转给了B。 另一个是2个比特币，是转给自己的。

那么，ZCash是如何利用“零知识证明”实现匿名交易的呢？

如果A有3个币，转1个币给B。A会先把1个币分成几份，随机放入一个“混炉”中，并指定B的收款地址。 在这个大熔炉里，还有其他人（交易方）投入的几个币。 这些币被熔炉随机拆分，然后随机组合，然后将几份“大杂烩”币合成一个币，转入B的地址。

在这种情况下，经过一系列的“混合”，我们只能知道A给了B一个币，而无法知道A的交易地址等信息，因为B收到的币实际上是多个交易者的“混合” ，并且它不是无法确定它的确切来源。

五、零知识证明的优缺点及意义

通过上面的解释不难看出，零知识证明最大的优势就是保护交易的匿名性，减少交易双方的信息交换。 更彻底地保护匿名隐私可以有效解决很多问题。

但这并不意味着零知识证明是完美无缺的，它也会导致一些问题。

首先，通过零知识证明实现匿名需要大量的证明信息和计算。 从上面的比特币和ZCash的交易过程我们可以看出这一点。 熔炉的重建需要大量的分裂和重组。 这可能会导致大量的资源浪费零知识证明 比特币，这也导致其可扩展性面临挑战。

此外，匿名可能会被一些不法分子利用，增加监管难度。 比特币的透明交易技术可以作为很好的反洗钱工具，而ZCash恰恰相反，可能为洗钱提供很多便利。 另外，黄赌毒等行业如果使用零知识证明，会给追踪和监管带来很多困难，也会引发一些社会问题。

因此，零知识证明本身有利也有弊，关键要看它应用于什么领域。 未来零知识证明在区块链中会如何发展，一方面取决于从业者如何使用，另一方面取决于监管部门如何对待。 当然，如果能够出现一种新技术来弥补零知识证明的缺陷，将为零知识证明的应用开辟广阔的空间。

参考：

（一）区块链解读——零知识证明 - CSDN博客

（二）一篇看懂区块链-零知识证明-Block Network

(3) 区块链行业词典-甲子光年