區塊鏈:零知識證明：身份隱私中的ZK_OLY

在區塊鏈世界中，身份可以以多種方式表現出來。真實世界的實體(如人或組織)可以在一個或多個區塊鏈上采用不同的形式，區塊鏈上的一個身份可以代表幾個真實世界的實體。這樣的身份可以通過擁有私鑰、擁有特殊類型的NFT、參與某種類型的 DeFi 等進行建立。

圖1：數字身份演示

這種通用且靈活的身份概念可以實現前所未有的用例和體驗——但我們也同時需要注意隱私。一個人的身份可能是以一種特定的方式相互關聯的多種事物，但只有其中的某一部分可能在一個環境中才是最重要的。例如，一場只允許BAYC NFT持有者參加的音樂會的組織者并不真正關心你擁有哪一個NFT，只要你至少擁有其中一個就可以。參加DeFi會議可能要求去年你在某個DeFi交易所借出了5萬個代幣，但不確切說明借出了多少、參與了多長時間等。

數據：過去一周零知識區塊鏈上的交易量和投資者存款激增:5月24日消息，DeFi用戶正涌向使用“零知識證明”的基于以太坊的區塊鏈，DefiLlama數據顯示，zkSync Era、Starknet和Polygon zkEVM的活動在過去一周大幅飆升，這些鏈上去中心化交易所交易量過去一周分別增長了88%、48%和230%，總鎖定價值(Total Value Locked，簡稱TVL) 過去一周增長分別增長了13%、16%和219%。[2023/5/24 15:22:47]

零知識(ZK)證明可以真正實現這樣的用例，同時為相關實體提供數學上可證明的隱私。為了進一步闡述這一點，讓我們回到前一段的兩個例子。對于第一個例子，ZK證明將表明一個想要參加音樂會的人P知道一個地址A的密鑰，該地址屬于BAYC NFT持有者的10,000個地址集。進一步分解：

以太坊生態零知識協議Semaphore發布V2版本:7月7日消息，以太坊生態針對開發者的零知識協議 Semaphore 推出 V2 版本，更新內容包括不再需要擁有 EdDSA 私鑰，從而實現更簡單的電路（circuit）和更高效的零知識證明生成；用于身份承諾和 Merkle 樹的哈希函數從 MiMC 遷移到 Poseidon，將證明時間減半并提高了 Gas 效率；合約模塊化、三個新的 JavaScript 庫等。

Semaphore 最早由以太坊社區成員 Kobi Gurkan、Koh Wei Jie 和 Barry Whitehat 提出，在 2019 年發布 V1 版，可以讓以太坊用戶可以證明他們的群組成員身份，并在不透露原始身份的情況下發送諸如投票或支持的信號。Semaphore 不是面向用戶的應用程序，旨在為以太坊開發人員提供強大而簡單的工具，以使用私有憑據構建 DApp。[2022/7/7 1:57:35]

公共輸入是在鏈中某一特定NFT的所有地址的集合S;；

Polygon 推出基于STARK零知識證明的擴容方案 Miden，采用Facebook開源技術且兼容EVM:11月16日消息，Polygon宣布推出基于零知識的、與 EVM 兼容的擴容解決方案Miden，同時也將開源其核心組件的早期原型版本Polygon Miden 虛擬機 (VM) 。Polygon Miden 是一個基于 STARK 的 ZK Rollup，Polygon Miden VM 是完全開源的基于 STARK 的虛擬機，它的作用是驗證程序執行并為DApp 部署提供增強的盡職調查。Miden VM 通過利用Facebook的Novi開發的STARK證明器/驗證器Winterfell 對基于Rust語言編寫的零知識虛擬機 Distaff VM進行了擴展。Distaff VM和Winterfell的核心開發人員Bobbin Threadbare將加入 Polygon 作為 Miden Lead，致力于重新整合 Distaff，將 Distaff 和 Winterfell 結合起來，并繼續開發 Miden VM 及其周圍的生態系統。

除Polygon Miden外，Polygon價值10億美元的ZK策略資金還孵化Polygon Hermez和Polygon Nightfall。Polygon Hermez是此前收購的Hermez Network，Polygon Nightfall是與安永共同開發構建的以隱私為重點保護的Rollup。[2021/11/17 21:56:06]

私人輸入P為密鑰sk1；

動態 | 全新零知識證明論文被IEEE學術會議收錄 或能抵抗量子計算機:由四位研究人員共同發表的論文透明多項式委托及其在零知識證明中的應用被第 41 屆電氣電子工程師學會安全隱私學術會議（IEEE S&P 2020）接受，其作者之一的Yupeng Zhang在推特上公開了該消息，他來自于德克薩斯州農工大學，另外三名作者來自于加州大學伯克利分校，分別是Jiaheng Zhang、Tiancheng Xie和Dawn Song （宋曉冬），宋曉冬教授也是區塊鏈隱私計算平臺Oasis Labs的創始人。據Yupeng Zhang介紹，該論文提出了一個全新且透明的零知識證明機制，可以提供非常快的驗證時間，也不需要可信設置（trusted setup）。論文中介紹到，該零知識證明機制僅使用了輕量級的加密算法比如抗碰撞的哈希函數，所以也可能是量子安全的。[2019/12/26]

我們想在ZK中證明的是，從sk派生的地址在集合S中。

聲音 | V神：零知識證明技術對Layer 2更有幫助:在萬向區塊鏈實驗室主辦的第五屆區塊鏈全球峰會上，當被問及最新進展時，V神表示目前正在關注零知識證明，該技術經過十幾年的發展仍然有創新，Zk-SNARKs就取得了一些進步。V神還表示，零知識證明對Layer 2 也許并沒有太大幫助，但對Layer 2也許會有幫助。[2019/9/18]

在零知識學術文獻中，這種證明通常被稱為成員證明。有幾種方法可以生成這樣的證明。如果集合不是太大，可以使用RSA累加器。

使用RSA累加器，集合S可以用一個短值表示——成員證明也很短。在S中添加或刪除地址的代價也很低，與累計值的數量無關。然而，在最壞的情況下，累積集合S和產生證明所花費的時間可能與S的大小成線性關系(實際的時間范圍取決于設置的具體情況，甚至可能是恒定時間)。這里還有另一個問題：我們不僅想證明某個地址A在集合中，而且還想證明A是從sk派生出來的。我們可以為前者設計自定義 ZK 協議（例如，離散對數知識) ，但通用的ZK系統通常最適合后者。另一個問題是以一種有效的方式將三個組件粘合在一起(成員關系、離散日志和哈希的原像)。

上面提到的第二個用例比第一個要復雜一些。有興趣參加DeFI會議的人需要表明他們向區塊鏈發送了交易tx(如以太坊)，該區塊鏈在DeFI合約中調用了借貸功能，比如 DF。他們還需要表明，tx轉了至少5萬個代幣，并且它被添加到對應于 2021 年開始和結束的兩個區塊之間的區塊鏈中。現在，根據區塊鏈，一年內可能會生成數十萬區塊。每個區塊包含的所有交易的哈希(通常稱為交易哈希)。ZKP 可以用來表明 tx 被“包含”在某個區塊 B 的交易哈希中——而不顯示 tx 本身——但這會揭示比預期的還要多的信息。在極端情況下，如果 B 只包含合約 DF 的一筆交易，那么 ZKP 是沒有意義的。理想情況下，我們希望證明 tx 包含在2021 年的其中一個區塊的交易哈希中。

生成一個包含2021年以來所有區塊(或至少有一些DF交易的區塊)的Merkle樹，并證明包含tx的區塊只是Merkle樹的葉子之一，這將是一個更具可擴展性的方法。對于這個問題：

公共輸入是 2021 年以來所有區塊集合的Merkle 根(或至少是它們的正確子集)，和合約DF的代碼(通過鏈上的合約地址引用);

私人輸入是用于簽署 tx的密鑰 sk，tx本身，包含tx的區塊B，以及B在Merkle樹中的路徑；

我們想要證明的是：sk 用于簽署 tx，tx 包含在 B 中，B 是 Merkle 樹的一部分，tx 調用 DF 中的適當函數，并且 tx 轉了至少5萬個代幣（其他tx 的參數應保持隱藏狀態）。

我們只是觸及了可以在不同用例中進行的大量身份驗證的皮毛，ZK語句已經開始顯示出一些復雜性。事實上，一旦我們開始更具體地思考，它們會變得更加復雜(誠然，上面關于DeFi會議參與問題的語句相當簡單)。其中的復雜性包括：

DF不是直接調用的，而是通過另一個合約或一系列合約進行調用的；

tx包含在區塊鏈中，但對DF的狀態沒有預期的效果；

會議關心的是以今天的利率借出的實際美元數量，而不是代幣。

不過我們不必太擔心。ZKP的美妙之處在于，幾乎任何你能想到的語句都可以在零知識中被證明(確切地說，任何可以在多項式時間內被驗證的關系也可以在零知識中被證明)。雖然 ZKP 的非交互式版本最適合解決 L1 上的機密性、隱私、狀態增長、完整性等問題，但交互式證明對于需要基于區塊鏈的身份斷言的許多應用程序可能很有意義。

圖 2：ZKP 交互式版本示例

上述音樂會入場的例子可以用來說明這一點。對于NFT所有權的ZK成員證明，只需要一個確定的驗證者，而不是典型的 L1 設置中的數百或數千個身份不明的驗證者。證明者可以主動與驗證者接觸，并在會話過程中交換多條消息，從而擺脫了非交互式ZK證明固有的復雜性。事實上，證明不必很短，驗證者的復雜度也不必很低，因此可以充分探索 ZK-SNARK（最流行的非交互式證明系統，也有簡潔的證明）之外的 ZK 證明范圍。我們將能夠使用具有更好的證明復雜性、底層安全假設等的證明系統。

請參閱下表，了解不同證明系統的高級比較。當我們沿著表格往下看時，證明復雜度和安全性假設變得越來越好，而證明大小變得越來越差。雖然基于mpc的ZK證明系統提供了最好的證明復雜性，并且具備無需信任的設置，但證明是交互式的并且僅適用于特定的驗證者（證明者與之交互的那個），所以當身份斷言必須對鏈下的特定一方做出判斷時，這可能就不是問題。(ZK證明系統的其他一些特征，如后量子安全性，在表中沒有體現。)

表 1：不同證明系統的高級比較

總之，世界上的身份不一定是基于區塊鏈的，也不一定是基于非區塊鏈的。展望未來，它們當然可以是兩者的結合——這將使保護隱私的身份斷言變得更加有趣!

Source：https://medium.com/delendum/zk-in-identity-980493401d80

Tags：區塊鏈LYGOLYPolygon區塊鏈專業學什么課程polygon幣當前美元價格polygon幣圈Polygon Ecosystem Index

幣安app官方下載最新版