零知识证明是一种特殊的交互式证明,其中证明者知道问题的答案,他需要向验证者证明“他知道答案”这一事实,但是要求验证者不能获得答案的任何信息。
一个典型的零知识证明示例是阿里巴巴和强盗的故事:
阿里巴巴知道打开藏着财宝的山洞的咒语。四十大盗抓住他,让他说出咒语。
如果阿里巴巴说出咒语,就会因为没有利用价值而被杀死。如果阿里巴巴坚持不说,强盗不会相信他真的掌握咒语,也会杀死他。
但阿里巴巴想了一个好办法,他对强盗说:“你们离我一箭之地,用弓箭指着我,你们举起右手我就念咒语打开石门,举起左手我就念咒语关上石门,如果我做不到或逃跑,你们就用弓箭射死我。”
通过这样的动作,阿里巴巴就可以向强盗证明他的确知道开启山洞的咒语,但是强盗却不能知道咒语是什么。
零知识证明
零知识证明是交互式证明体系的一种,交互式证明体系的目标是对一个语言L,和一个给定的输入x,判断x是否在L中。
交互式证明体系由两个实体:验证者(verifier)和证明者(prover)组成,两者都可以看作是某类图灵机。
而它的计算过程为:给定了输入x,通过验证者和证明者之间交换信息,最终,由验证者来根据证明者给出的信息,判断给定的输入是不是在语言L中。
零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。大量事实证明,零知识证明在密码学中非常有用。如果能够将零知识证明用于验证,将可以有效解决许多问题。
零知识证明满足三个属性:
1、如果语句为真,诚实的验证者(即,正确遵循协议的验证者)将由诚实的证明者确信这一事实。
2、如果语句为假,不排除有概率欺骗者可以说服诚实的验证者它是真的。
3、如果语句为真,证明者的目的就是向验证者证明并使验证者相信自己知道或拥有某一消息,而在证明过程中不可向验证者泄漏任何有关被证明消息的内容。
另外一个零知识证明的典型示例是数独求解问题。
证明者和验证者都拿到了一个数独的题目,证明者知道一个解法,他可以采取如下这种零知识证明方法:
他找出81张纸片,每一张纸片上写上1到9的一个数字,使得正好有9份写有从1到9的纸片。然后因为他知道答案,他可以把所有的纸片按照解法放在一个9乘9的方格内,使得满足数独的题目要求(每列、每行、每个九宫格都正好有1到9)。
放好之后他把所有的纸片翻转,让没有字的一面朝上。这样验证者没办法看到纸片上的数字。接下来,验证者就验证数独的条件是否满足。
比如他选一列,这时证明者就把这一列的纸片收集起来,把顺序任意打乱,然后把纸片翻过来,让验证者看到1到9的纸片都出现了。整个过程中验证者都无法得知每张纸片的位置,但是却能验证确实是1到9都出现了。
ZCash的零知识证明
Zcash是第一个开放的,无需权限的加密货币,使用零知识密码技术充分保护交易的隐私。为了实现匿名性,Zcash使用了零知识证明。
下面考虑如何在区块链中实现隐私交易。在区块链中,用户需要将交易明文广播给所有矿工,由他们来校验交易的合法性。
但是有些情况下,基于隐私的考虑,又不想把交易的具体内容公布出来。这就形成了一对矛盾。
解决这个矛盾的关键思路是:
校验一个事件正确与否,并不需要验证者重现整个事件。
比如,验收一款软件,通常只要看最终测试结果是否通过即可,并不需要把整个软件开发过程的每一个细节都重放一遍。
阿里巴巴给强盗的提议,其实也是类似一个验收测试。
对于比特币的例子,一笔转帐交易合法与否,其实只要证明三件事:
- 发送的钱属于发送交易的人
- 发送者发送的金额等于接收者收到金额
- 发送者的钱确实被销毁了
整个证明过程中,矿工其实并不关心具体花掉了多少钱,发送者具体是谁,接受者具体是谁。矿工只关心系统的钱是不是守恒的。
zcash 就是用这个思路实现了隐私交易。
参考:
