零知识证明

玻尔百科

核心要点

零知识证明必须满足三个核心属性：完备性（真实的陈述可被证明）、健全性（虚假的陈述不可被证明）以及零知识性。
零知识属性由“模拟器”的存在来正式定义，模拟器可以在不知道秘密信息的情况下，生成一个虚假但无法与真实交互区分的证明脚本。
非交互式零知识证明（NIZK）通常使用 Fiat-Shamir 启发式方法构建，它消除了实时交互的需求，从而实现了广泛的实际应用。
ZKP 正在改变数字安全，它实现了私密身份验证，并增强了 Zcash 和以太坊等区块链技术的隐私性和可扩展性。

引言

在一个日益数字化的世界里，能够在不揭示底层秘密信息的情况下证明一项声明的能力，已不仅仅是理论上的好奇——它已成为现代隐私和安全的基石。这就是零知识证明（Zero-Knowledge Proof, ZKP）的核心承诺。ZKP 是一种密码学协议，它允许一方说服另一方某个陈述是真实的，而除了该陈述的有效性本身之外，不透露任何其他信息。但是，一个人如何能证明自己知道一个秘密，比如密码或谜题的解，而又不泄露这个秘密呢？ZKP 正是为了解决在验证和隐私之间取得平衡这一根本性挑战而设计的。本文将深入探讨零知识证明这个精妙的世界。在第一章“原理与机制”中，我们将剖析保证 ZKP 完整性的三大支柱，并探索使其成为可能的精巧理论构造，如模拟器和承诺方案。随后，在“应用与跨学科联系”中，我们将从抽象的谜题出发，探寻其在身份验证、密码学和区块链技术中的变革性现实应用，揭示这些证明如何重塑我们的数字世界。

原理与机制

要真正欣赏零知识证明之舞，我们必须首先了解舞厅的规则。ZKP 不仅仅是一个巧妙的把戏；它是一个被严格定义的协议，受三个优美且不可违背的属性支配。可以把它们看作是这个密码学宇宙的物理定律。如果其中任何一个被破坏，整个结构就会崩溃，变得不安全或毫无用处。

信任的三大支柱

让我们想象一个证明者 Peggy，她想让验证者 Victor 相信她的一个声明。要使他们的交互符合零知识证明的资格，就必须坚定地立足于以下三大支柱：

完备性 (Completeness): 如果 Peggy 是诚实的并且她的声明是真实的，她必须能够说服诚实的 Victor。这是实用性的支柱。如果真实的陈述无法被证明，那么这个系统就毫无价值。
健全性 (Soundness): 如果 Peggy 不诚实并且她的声明是虚假的，她应该只有微乎其微的机会能骗过诚实的 Victor。这是安全性的支柱。一个可以用来证明谎言的证明系统是非常危险的。
零知识性 (Zero-Knowledge): 交互结束后，除了“Peggy 的声明是真实的”这一个比特的信息外，Victor 不应学到任何其他东西。他不会知道这个声明为什么是真实的。这是隐私的支柱。

陈述这些规则很容易，但要同时满足它们却要困难得多。设想一个简单的、但有严重缺陷的协议，旨在证明 Peggy 知道一个和为零的数字列表。她可以通过给每个数字加上一个大的随机数 $r$ 来“隐藏”她的数字，将修改后的列表发送给 Victor，然后告诉他从总和中减去 $n \cdot r$ 的值。这看起来很巧妙，但它会灾难性地失败。它具有完备性——诚实的 Peggy 会成功。但它不具有健全性，因为作弊的 Peggy 可以只发送一个随机列表，然后将该列表的总和作为她的“证明值”发送，从而每次都能骗过 Victor。更糟糕的是，它也严重违反了零知识属性，因为 Victor 可以轻易地从每个数字中减去 $r$ ，从而恢复 Peggy 的整个秘密列表！。这个简单的失败给了我们一个深刻的教训：构建这些证明需要精妙的平衡，既要让证明真相变得容易，又要让证明谎言变得不可能，同时还要让秘密完美无损。

机器中的幽灵：模拟器

我们如何能确定“什么”都没有被泄露？这就是计算机科学家们从帽子里变出兔子的时刻，他们提出了该领域最优雅的思想之一：模拟器 (simulator)。

想象一下，Victor 与 Peggy 完成了协议，并拥有了他们对话的完整脚本。零知识属性取决于这个问题：Victor 是否可以在完全不与 Peggy 对话的情况下，独自创建一个看起来完全相同的对话脚本？

模拟器就是一个能做到这一点的假设性算法。它只被给予待证明的公开陈述（例如，“这个数独有解”），而没有秘密的见证（解本身）。它的任务是生成一个虚假的脚本，这个脚本要好到任何人都无法将其与真实的脚本区分开来。。如果这样的模拟器存在，它就构成了隐私的最终证明。其逻辑既简单又有力：如果对话脚本可以由一个不知道秘密的机器生成，那么真实的对话就不可能包含任何关于该秘密的信息。从本质上讲，这次交互不包含任何知识。

但是，一个模拟器如何能伪造一个它并未参与的对话呢？在许多交互式证明中，验证者会向证明者发送随机的挑战。证明者知道秘密，所以可以回答任何挑战。而模拟器缺乏秘密，无法回答。因此，它以一种高明的方式“作弊”。它可能会提前猜测验证者的挑战，仅为那一个挑战准备一个有说服力的答案，然后启动协议。如果验证者恰好问了那个“正确”的问题，模拟器就成功了。如果不是呢？它会使用一种理论上的超能力：它回卷 (rewinds) 验证者，就像倒带一样，然后用一个新的猜测再次尝试。通过重复这个过程，它最终可以迫使验证者问出它唯一知道如何回答的问题，从而在不知道底层秘密的情况下生成一个看起来完美的脚本。这种“回卷”技巧是一个优美的理论构造，它弥合了无所不知的证明者与一无所知的模拟器之间的信息鸿沟。

牢不可破的保险箱：承诺方案

许多 ZKP 都建立在一个基础的密码学工具之上：承诺方案 (commitment scheme)。可以把它想象成终极的数字保险箱。Peggy 可以把她的秘密值放进去，锁上保险箱，然后交给 Victor。协议必须保证关于这个保险箱的两件事。

首先，它必须具有隐藏性 (hiding)。仅仅通过观察锁着的保险箱（即承诺），Victor 不应该知道里面是什么。这似乎是显而易见的，但很容易出错。想象一下，Peggy 想证明她知道一个图的三着色方案。她通过简单地哈希颜色的名称（例如 hash("red")）来承诺每个顶点的颜色。由于只有三种可能的颜色，Victor 只需预先计算出“red”、“green”和“blue”的哈希值。通过查看这些承诺，他可以立即确定整个秘密着色方案，从而完全破坏零知识属性。这个保险箱是透明的！。一个合格的承诺必须能抵御任何此类分析，隐藏秘密。

其次，保险箱必须具有绑定性 (binding)。一旦 Peggy 将她的值锁入其中并将保险箱交给 Victor，她就不能改变主意，声称里面是另一个不同的值。这个属性是健全性的基石。假设承诺方案有缺陷，不具绑定性。作弊的 Peggy 可以先承诺“什么都没有”，等待 Victor 的挑战，然后在事后为对她最有利的任何答案生成一个有效的开启值。这将使她能够证明一个虚假的陈述，因为她没有被她最初的声明所约束。整个 ZKP 的健全性将荡然无存。

保密性的层次：零知识的类型

“零知识”这个术语本身有不同层次的含义，每个层次对应不同的安全级别。区别在于模拟出的脚本与真实脚本的“不可区分性”程度如何。

完美零知识 (Perfect Zero-Knowledge, PZK): 这是绝对最强的保证。模拟器产生的虚假脚本的分布与真实脚本的分布在数学上完全相同。即使是拥有无限算力的计算机也无法区分它们，因为根本不存在统计上的差异。
统计零知识 (Statistical Zero-Knowledge, SZK): 这是稍弱的一种形式。真实脚本和模拟脚本的分布并非完全相同，但它们在“统计上非常接近”，以至于其差异（统计距离）可以忽略不计。拥有无限算力的计算机可以区分它们，但需要分析天文数字般的脚本数量才能注意到那微小的偏差。对于所有实际目的而言，它们是相同的。
计算零知识 (Computational Zero-Knowledge, CZK): 这是最常见和最实用的形式。真实脚本和模拟脚本在统计上可能差异很大，但是没有计算能力有限（即现实的、多项式时间的）的算法能够区分它们。这种安全性依赖于解决某些数学问题的难度，比如大数分解。对于我们这些凡人和我们的计算机来说，它是安全的，但一个全能的实体可以破解它。

从完美到计算的这种层级结构是现代密码学中一个优美的主题：我们常常用“足够好”的、适用于现实世界的计算安全性来换取绝对的、信息论上的安全性。

问题的核心：究竟证明了什么？

最后，我们必须问一个更深层次的问题：Peggy 究竟在证明什么？证明一个陈述是真实的，与证明你知道为什么它是真实的，这两者之间存在着一个微妙但至关重要的区别。

再次考虑图三着色问题。一个标准的 ZKP 可能会让 Victor 相信“这个图是可三着色的”。这是一个语言成员性证明——该图属于所有可三着色图的集合。而另一个更强的协议可以说服 Victor，“Peggy 知道这个图的一个有效的三着色方案”。这是一个知识证明。

知识证明的理论保证要强大得多。它意味着存在一个“知识提取器”——一个假设性的算法，可以通过与任何成功的证明者交互，并通过回卷他们，最终从他们那里提取出秘密见证（即三着色方案）。这形式化了这样一种直觉：如果你能持续地证明你知道一个秘密，那么这个秘密必须以一种可以被“抽取”出来的方式存在于你的“头脑中”。

这一区别阐明了为什么 ZKP 如此天然地适用于复杂度类 NP 中的问题。NP 中的问题的定义是它们拥有简短且可被高效验证的“见证”（如数独的解或图的三着色方案）。一个 NP 问题的 ZKP 从根本上说就是对其见证的知识证明。这也解释了计算中的一种深刻的不对称性。假设著名的猜想 $NP \neq co\text{-}NP$ 成立，那么证明像“这个图不可三着色”（一个 co-NP 陈述）这样的陈述在根本上是不同的。不存在简单、简短的不可着色性见证。因此，你无法为其构建一个对称的“知识证明”，因为没有知识——没有秘密见证——可供你证明！。零知识证明的原理不仅为我们带来了隐私；它们还为我们提供了一个强有力的透镜，通过它我们可以审视计算本身的基本结构。

应用与跨学科联系

在理解了零知识证明的原理——完备性、健全性以及那近乎神奇的零知识属性之间的精妙舞蹈之后，人们自然会问：“这一切都是为了什么？”这些仅仅是理论计算机科学家们玩的聪明的智力游戏，还是它们对我们的世界有切实的影响？事实证明，答案是响亮的“两者皆是！”零知识证明不仅是深刻理论美的源泉，而且正迅速成为现代数字安全和隐私的基石。让我们踏上一段从抽象和趣味到具体和变革的旅程。

证明而不泄露的艺术：谜题与抽象问题

建立对 ZKP 直觉的最简单方法，是在一个我们都能想象的场景中看待它们：解决一个谜题。想象一下，你花了几个小时解决了一个极其困难的数独谜题。你想向朋友证明你拥有答案，但又不想泄露它。你该怎么做呢？

你可以尝试一个交互式游戏。首先，你对你的解进行承诺。一个简单的可视化方法是：在你写下解之前，随机地打乱数字的身份——例如，每个“1”都变成“7”，每个“2”都变成“3”，以此类推。你把这个经过置换的解写在一组卡片上，然后将它们全部面朝下放置。现在，你请你的朋友向你发起挑战。他们可以要求你揭示任意一行、任意一列或任意一个 3x3 方格中的所有数字。无论他们选择哪一个，你都翻开那九张卡片。你的朋友不会看到原始数字，但他们会看到九个不同的符号。如果你真的有解，这个检查将永远通过。如果你在作弊，你的网格中必然在至少一行、一列或一个方格中存在错误。在任何一轮中，你至多有三分之二的机会隐藏你的瑕疵。在你成功应对了几轮他们的挑战后（每次都使用新的数字随机置换），他们就会在统计上相信你拥有解，但他们却没能从你的网格中学到任何一个数字！

同样的想法也适用于其他难题，比如证明你知道如何为一个复杂的图进行三着色——即一张地图，其中任意两个相邻的国家颜色都不同。在这里，协议的设计极其微妙。如果你的协议只允许验证者一次检查一条随机的边，一个拥有几乎正确着色（比如说，在数千条边中只有一条“坏”边）的作弊者可能会以极高的概率通过测试。这教给我们一个关键的教训：一个健全的 ZKP 必须被设计来捕捉任何可能的缺陷，而不仅仅是其中一部分。

这些证明不仅限于像数独和着色这样的“NP 完全”问题。它们也可以用于具有不同结构的问题，如图同构（Graph Isomorphism）——判断两个复杂的网络在节点重新标记后是否完全相同。这个问题的证明尤其优美。证明者取其中一个公开的图，秘密地打乱其节点，然后将这个打乱后的图呈现给验证者。验证者接着问：“告诉我这个打乱后的图如何映射回第一个原始图或第二个原始图。”如果证明者知道两个原始图之间的秘密映射关系，他们总能回答。如果他们不知道，他们只能为其中一个问题做准备，并有 50% 的机会被抓住。无论哪种情况，验证者看到的都只是一个随机的打乱，一个如同密码学上的一次性密码本的置换，完美地隐藏了证明者的秘密知识。

“零知识”的定义本身就带来了一个迷人的推论。一个协议只有在模拟器能够在不知道秘密的情况下伪造出令人信服的交互脚本时，才被称为零知识。这意味着，验证者 Bob 在被证明者 Alice 说服后，不能拿他们对话的脚本去说服第三方 Carol。为什么？因为 Bob 完全可以自己运行模拟器来生成完全相同的脚本！该证明只对与证明者直接交互的人有说服力。它本质上是不可转让的，是一种个人化的验证体验，而非公开的真理凭证。这与旨在被普遍验证的数字签名有着深刻的区别。

从谜题到数字现实：身份验证与密码学

虽然谜题很有启发性，但 ZKP 的真正威力在密码学的世界里得到了释放。考虑身份验证。传统上，你通过出示你知道的秘密（如密码）来证明你的身份。这是有风险的；如果服务器被攻破或通信线路被窃听，你的秘密就会被盗。

零知识证明提供了一种革命性的替代方案。想象一下，你的身份与一个秘密数字 $x$ 绑定，而一个公开值 $y = g^x \pmod{p}$ 作为你的公钥。你无需发送 $x$ ，而是可以参与一个协议来证明你知道与 $y$ 对应的那个 $x$ 。这就是著名的 Schnorr 协议的精髓。这是一个包含承诺、挑战和响应的交互式舞蹈，它能说服验证者你拥有私钥，而整个过程中私钥从未离开你的掌控。验证者对 $x$ 一无所知，只知道与他们对话的人知道它。

然而，“交互式”部分是一个重大的实践障碍。我们不希望每次需要证明某事时都与服务器进行实时对话。这正是现代密码学中最优雅的思想之一——Fiat-Shamir 启发式方法——发挥作用的地方。其洞见简单得惊人：如果证明者也能扮演验证者的角色呢？证明者计算出他们最初的“承诺”消息。然后，他们不是等待验证者的随机挑战，而是通过将承诺和其他公开数据输入一个密码学哈希函数来自己生成挑战。由于一个好的哈希函数的输出是不可预测的（其行为类似一个“随机预言机”），这有效地模拟了一个来自无偏验证者的随机挑战。证明者随后根据这个自生成的挑战计算出最终的“响应”。整个包——承诺、挑战、响应——可以被捆绑成一个单一的、静态的数据对象：一个非交互式零知识 (Non-Interactive Zero-Knowledge, NIZK) 证明。

从交互式对话到静态证明对象的这一飞跃，使得 ZKP 在数字世界中真正变得实用。但这种转换有时会带来一个新的要求：“公共参考字符串”（Common Reference String, CRS）。要理解为什么，回想一下模拟器。在交互式世界里，模拟器可以“回卷”验证者来作弊。在非交互式世界里，没有什么可以回卷的。相反，模拟器需要另一种优势。CRS 是由一个可信的设置过程创建的公开数据。关键是，这个过程也创建了一个秘密的“陷门”。模拟器，且只有模拟器，被赋予了这个陷门。这个特殊的秘密使它能够伪造看起来合法但实际上是在没有任何秘密知识的情况下创建的证明，从而确保了零知识属性的成立。

前沿领域：区块链、复杂性及其他

有了非交互式证明，我们现在可以应对现代计算中一些最大的挑战。当今最引人注目的应用是在区块链技术领域。

隐私： 像 Zcash 这样的加密货币使用 NIZK（特别是 zk-SNARKs）来实现真正的匿名交易。用户可以创建一个证明，证明他们拥有一定数量的货币并有权花费它，而无需向公共账本透露他们的身份、总余额或交易金额。该证明保证了交易根据系统规则的有效性，同时不泄露任何其他信息。
可扩展性： 像以太坊这样的区块链正在探索使用 NIZK 进行扩容。强大的服务器可以处理数千笔交易，并生成一个单一、微小的证明，证明所有这些交易都已正确执行，而无需网络中的每个节点都重新执行每笔交易来验证它。网络的其他部分只需要检查这一个小小的证明——这是一个快得多的过程，极大地提高了网络的容量。

但与任何强大的技术一样，我们必须注意其微妙之处。ZKP 的安全保证取决于模型的假设。如果一个恶意的验证者可以做一些意想不到的事情，比如重复“重置”证明者的硬件设备到其初始状态，会怎么样？这可能会迫使证明者重用他们的秘密随机性，从而让攻击者能够跨多个会话拼凑信息，并最终揭开本应受保护的秘密。这告诉我们，密码学的安全不仅关乎巧妙的数学；它还关乎理解现实世界环境的完整背景。

最后，在计算机科学的最前沿，零知识证明揭示了计算理论内部深刻而美丽的统一性。研究人员已经证明，如果我们能构建一个名为不可区分混淆 ( $i\mathcal{O}$ ) 的假设性主工具——一种能够“搅乱”任何计算机程序，使其内部工作原理被隐藏但功能得以保留的方法——我们就可以用它来为被称为 NP 的庞大类别中的任何问题构建 NIZK 证明。其思想是创建一个程序，该程序在给定任何输入时，检查该输入是否为我们问题的有效解，如果是则输出“1”。然后我们混淆这个程序。这个混淆后的程序本身就成了证明！它展示了解的存在性，而没有揭示任何具体的解。这些看似不同却又如此强大的概念之间如此深刻的交织，证明了计算理论优雅而统一的结构。

从简单的谜题到保护价值数万亿美元的数字资产，再到探索计算的极限，零知识证明已经完成了从理论上的好奇心到改变世界的技术的旅程。它们深刻地提醒我们，对抽象真理的追求可以产生具有巨大实用价值的工具。