（宁志伟）白话零知识证明

原创 2017-08-24 秘猿科技Cryptape 宁志伟 白话零知识证明（一）

阿里巴巴知道打开藏着财宝的山洞的咒语。强盗抓住他，让他说出咒语。
如果阿里巴巴说出咒语，就会因为没有利用价值而被杀死。如果阿里巴巴坚持不说，强盗不会相信他真的掌握咒语，也会杀死他。
但阿里巴巴想了一个好办法，他对强盗说：“你们离我一箭之地，用弓箭指着我，你们举起右手我就念咒语打开石门，举起左手我就念咒语关上石门，如果我做不到或逃跑，你们就用弓箭射死我。”

零知识证明过程有两个参与方，一方叫证明者，一方叫验证者。证明者掌握着某个秘密，他想让验证者相信他掌握着秘密，但是又不想泄漏这个秘密给验证者。

双方按照一个协议，通过一系列交互，最终验证者会得出一个明确的结论，证明者是或不掌握这个秘密。整个协议有三个要点：

1. 零知识

故事中的阿里巴巴的遭遇并不鲜见。在文学作品中，还有阿诗玛等众多的主人公，都遇到了类似的情况。

抛开文学作品中，说了真相就变石头这类神奇的设定。现实中最主要的原因就是怕信息被盗用。因为现实中大量的秘密被用来鉴别用户的身份，如果披露了某个秘密给对方，通常意味着对方有能力冒充你的身份。因此，虽然直接把秘密提供给对方是最简单的验证方式，但是大部分情况下都不能这样做。

一个更具体的例子是在比特币中实现隐私交易。

在比特币网络中，用户需要将交易明文广播给所有矿工，由他们来校验交易的合法性。但是有些情况下，基于隐私的考虑，又不想把交易的具体内容公布出来。这就形成了一对矛盾。

解决这个矛盾的关键思路是：

校验一个事件正确与否，并不需要验证者重现整个事件。

比如，验收一款软件，通常只要看最终测试结果是否通过即可，并不需要把整个软件开发过程的每一个细节都重放一遍。阿里巴巴给强盗的提议，其实也是类似一个验收测试。

对于比特币的例子，一笔转帐交易合法与否，其实只要证明三件事：

1. 发送的钱属于发送交易的人
2. 发送者发送的金额等于接收者收到金额
3. 发送者的钱确实被销毁了

整个证明过程中，矿工其实并不关心具体花掉了多少钱，发送者具体是谁，接受者具体是谁。矿工只关心系统的钱是不是守恒的。

zcash 就是用这个思路实现了隐私交易。

2. 测试方式

上一节讲到证明者面临的困境，然后提出了一个验收测试的解决方案。接下来的问题就是测试的方式。

稍有常识就可以知道，测试不能完全由证明者给出。毕竟不能让一个人既当运动员又当裁判。通常这种情况下会采用** cut and choose **的策略。这个策略最简单的例子就是两人分粥。无论谁来分粥，都会给自己分的多，解决方法就是一个人分，另外一个人先挑。

故事里也是采用了这样的策略，强盗（验证者）以一个挑战者的姿态，每轮提出一个问题，验证者做出回应。

虽然验证者有瞎蒙的可能，但是多轮交互下来，这种可能会越来越小。这样的证明是一种交互的证明方式。双方需要实时交互，交流信息。对于比特币隐私转帐来说，这种证明方式就不太好了。

一个问题是，交互方式是一对一的，发交易的人要向所有矿工证明交易是合法的，一个一个证明效率太低了。

另外一个问题是，既然需要交互，就要求证明过程中双方都在线，这个也会给用户代码很大的不便。最好是有一种非交互式的证明方式，只要证明者给出了证明，后续就不再需要交互，任何人都可以验证这个证明是否正确。但是这明显跟我们一开始说的不能完全由证明者给出矛盾。

一个解决方案就是用公共参考串 ****Common Reference String。

证明者给出的证明里面虽然不像 cut and choose 策略一样，由验证者挑选问题来决定。但是也不是完全由证明者自己来决定，而是根据事先定好的一个种子产生的随机序列决定的。这样就相当于有一个中立的第三方来出题目，同样也能达到效果。当然前提是这个第三方确实是中立的。

就像分粥的例子，一个人先分，但不是另外一个人先挑，而是中立第三方产生一个随机数来决定谁拿哪碗粥。同样可以保证结果尽量公平。

**zcash **系统也是采用了这样的方案。详细信息可以搜索 zcash trust setup。

3. 测试内容

上一节其实讲的是验证者的困境。证明者天然具有信息优势，验证者必须要主动出击，才能防止被证明者欺骗。但其实还有一点是验证者自己需要注意的。

那就是测试题目的难度要有区分度。

就像一个软件项目的验收测试一样，不能说只是编译通过，跑起来不会** crash **就算验收通过了。一定要让真正掌握秘密的证明者通过的难度不大，而假的证明者无论有多强大的算力也无法蒙混过关。

阿里巴巴故事里的验证方法，其实是有漏洞的。

比如阿里巴巴并不真的掌握咒语，而是跟一个真正掌握咒语的人事先串通好。强盗举手之后，阿里巴巴偷偷把要不要开门的信息传递给暗中真正掌握咒语的人，由他来念咒语开门，就把强盗给骗过去了。所以强盗还应该增加难度，限制阿里巴巴做除了念咒语之外其他多余的动作。

在计算机领域，一般做法是把原始问题映射到NP问题。验证者只要验证证明者给出的NP问题的解即可，这个计算量需求不大。

如果某人掌握秘密，能解原始问题，那么转换一下就可以解对应的NP问题。如果不掌握秘密，绕过原始问题，直接暴力求解NP问题，一般可以认为是不可能的。

zcash 使用的 NP 问题是** QAP，更详细的内容可以参考 zcash 的一系列博客 https://z.cash/blog/snark-explain.html以上三点，其实刚好跟零知识证明的三条性质**对应：

• （1）完备性。如果证明方和验证方都是诚实的，并遵循证明过程的每一步，进行正确的计算，那么这个证明一定是成功的，验证方一定能够接受证明方。
• （2）合理性。没有人能够假冒证明方，使这个证明成功。
• （3）零知识性。证明过程执行完之后，验证方只获得了“证明方拥有这个知识”这条信息，而没有获得关于这个知识本身的任何一点信息。