Una guía para principiantes sobre pruebas de conocimiento cero: historia, aplicaciones y fundamentos

Autor: HashKey Capital El actual proyecto de prueba de conocimiento cero (ZKP) en la industria de la cadena de bloques está creciendo a un ritmo asombroso, especialmente el aumento de las aplicaciones ZKP en los dos niveles de expansión y protección de la privacidad, lo que nos ha puesto en contacto con una variedad de proyectos a prueba de conocimiento cero. Debido a la naturaleza extremadamente matemática de ZKP, para los entusiastas del cifrado, es mucho más difícil entender ZK en profundidad. Por lo tanto, también esperamos resolver algunos cambios en la teoría ZKP y el nivel de aplicación desde el principio, y explorar el impacto y el valor en la industria de la criptografía con los lectores, para aprender juntos en forma de varios informes y también como un resumen de la pensando en el equipo de investigación de HashKey Capital. Este artículo es el primero de la serie y presenta principalmente la historia del desarrollo, la aplicación y algunos principios básicos de ZKP. El moderno sistema de prueba de conocimiento cero se originó a partir del artículo publicado conjuntamente por Goldwasser, Micali y Rackoff: The Knowledge Complexity of Interactive Proof Systems (GMR85), que se propuso en 1985 y se publicó en 1989. Este documento explica principalmente cuánto conocimiento debe intercambiarse después de K rondas de interacción en un sistema interactivo para demostrar que una declaración es correcta. Si el conocimiento intercambiado se puede hacer cero, se llama prueba de conocimiento cero. Se supone que el probador (prover) tiene recursos ilimitados, mientras que el verificador (verifer) tiene solo recursos limitados. El problema con los sistemas interactivos es que la prueba no es del todo demostrable matemáticamente, sino probabilísticamente correcta, aunque la probabilidad es pequeña (1/2^n). Por lo tanto, el sistema interactivo no es perfecto, sino sólo aproximadamente completo.El sistema no interactivo (SN) que nace sobre esta base es completo y se convierte en la opción perfecta para el sistema de prueba de conocimiento cero. El sistema de prueba de conocimiento cero en los primeros años carecía de eficiencia y facilidad de uso, por lo que siempre se ha mantenido en el nivel teórico. No ha comenzado a florecer hasta los últimos 10 años. Con la criptografía ganando protagonismo en la criptografía, la prueba de conocimiento cero ha llegado a la vanguardia y se ha convertido en una dirección muy importante. En particular, desarrollar un protocolo de prueba de conocimiento cero no interactivo y de propósito general con un tamaño de prueba limitado es una de las direcciones de exploración más críticas. Básicamente, la prueba de conocimiento cero es una compensación entre la velocidad de prueba, la velocidad de verificación y el tamaño del volumen de prueba. El protocolo ideal es prueba rápida, verificación rápida y volumen de prueba pequeño. El avance más importante de la prueba de conocimiento cero es el artículo de Groth de 2010 Short Pairing-based Non-interactive Zero-Knowledge Arguments, que también es el pionero teórico del grupo más importante de zk-SNARK en ZKP. El avance más importante en la aplicación de la prueba de conocimiento cero es el sistema de prueba de conocimiento cero utilizado por Z-cash en 2015, que se dio cuenta de la protección de la privacidad de transacciones y cantidades. Más tarde, se desarrolló con la combinación de zk-SNARK y smart contratos, y zk-SNARK ingresó a los escenarios de aplicación más amplios. Durante este período, algunos logros académicos importantes incluyen: Pinocchio (PGHR13) en 2013: Pinocchio: Computación verificable casi práctica, que comprime el tiempo de prueba y verificación al alcance aplicable, y también es el protocolo básico utilizado por Zcash. Groth16: On the Size of Pairing-based Non-interactive Arguments en 2016, que simplifica el tamaño de la prueba y mejora la eficiencia de verificación, es actualmente el algoritmo básico ZK más utilizado. En 2017, Bulletproofs (BBBPWM17) Bulletproofs: Short Proofs for Confidential Transactions and More propuso el algoritmo Bulletproof, que es una prueba de conocimiento cero no interactiva muy corta y no requiere configuraciones confiables. Se aplicará a Monero después de 6 meses. que es muy rápido Vincular la teoría a la aplicación. La empresa de radiodifusión estadounidense CBS presenta solicitudes de marca registrada de NFT y Metaverse para el mercado de NFT Star Trek: el 19 de abril, el abogado estadounidense Mike Kondoudis tuiteó que la empresa de radiodifusión estadounidense CBS ha presentado una solicitud para el mercado de NFT "STAR TREK CONTINUUM" Solicitudes de marca registrada de NFT y metaverso , que cubre los mercados en línea que cubren NFT y tokens digitales, medios compatibles con NFT y coleccionables encriptados. [2022/4/19 14:33:16] zk-STARKs (BBHR18) Integridad computacional segura escalable, transparente y poscuántica en 2018 propuso un protocolo de algoritmo ZK-STARK que no requiere configuraciones confiables, que actualmente ZK tiene desarrolló otra dirección llamativa, y en base a esto, nació StarkWare, el proyecto ZK más importante. Otros desarrollos, incluidos PLONK, Halo2, etc., también son desarrollos extremadamente importantes y también han realizado algunas mejoras en zk-SNARK. Las dos aplicaciones más utilizadas de las pruebas de conocimiento cero son la protección de la privacidad y la expansión de la capacidad. En los primeros días, con el lanzamiento de transacciones privadas y varios proyectos bien conocidos como Zcash y Monero, las transacciones privadas alguna vez se convirtieron en una categoría muy importante, pero debido a que la necesidad de transacciones privadas no era tan prominente como esperaba la industria, este tipo de proyectos representativos comenzó a disminuir Lentamente entrar en el campo de los niveles segundo y tercero (no salir de la etapa de la historia). A nivel de aplicación, la necesidad de expansión de capacidad se ha elevado al límite Con la transformación de Ethereum 2.0 (rebautizado como capa de consenso) en una ruta centrada en rollup en 2020, la serie ZK ha vuelto oficialmente a la atención de la industria y se ha convertido en el foco. Transacciones privadas: hay muchos proyectos que han implementado transacciones privadas, incluidos Zcash usando SNARK, Tornado, Monero usando Bulletproof y Dash. Estrictamente hablando, Dash no usa ZKP, sino un sistema de mezcla de divisas simple y tosco, que solo puede ocultar la dirección pero no la cantidad, que se omite aquí. Los pasos de la transacción zk-SNARKs de la aplicación Zcash son los siguientes: La fase de configuración del sistema genera la clave de prueba (polinomio de prueba encriptada) y la clave de verificación, con la ayuda de la función KeyGen. Acuñación de clave pública y clave privada En la etapa de Monedas, el número de monedas nuevas generadas. En la fase de compromiso Vertido de la megafonía y las monedas, se genera una prueba zk-SNARK, y la prueba se agrega al libro mayor de transacciones de vertido. En la fase de Verificación, el verificador verifica si el volumen de transacciones de Mint and Pour es correcto. En la fase de Recepción, el receptor recibe las monedas. Si desea utilizar las monedas recibidas, continúe llamando a Pouring para realizar la verificación zk-SNARK, repita los pasos 4 a 6 anteriores para completar la transacción. Zcash todavía tiene limitaciones en el uso de conocimiento cero, es decir, se basa en UTXO, por lo que parte de la información de la transacción solo está protegida, en realidad no está cubierta. Debido a su red separada basada en el diseño de Bitcoin, es difícil de expandir (combinar con otras aplicaciones). La tasa de uso de blindaje (es decir, transacciones privadas) es inferior al 10 %, lo que indica que las transacciones privadas no se han ampliado con éxito. (desde 2202) El gran grupo de mezcla único utilizado por Tornado es más general y se basa en una red "probada" como Ethereum. Torndao es esencialmente un grupo de mezcla de divisas que utiliza zk-SNARK, y la configuración confiable se basa en el documento Groth 16. Las características que Tornado Cash puede proporcionar incluyen: solo se puede retirar la moneda depositada y ninguna moneda se puede retirar dos veces. El proceso de prueba y el aviso de revocación de la moneda (anulador) están vinculados, y el hash de la misma prueba pero diferente. No se permitirá el anulador. La seguridad de retiro tiene seguridad de 126 bits y no se degradará debido a la composición. Vitalik mencionó que, en comparación con la expansión, la privacidad es relativamente fácil de lograr. Si se pueden establecer algunos protocolos de expansión, la privacidad básicamente no será un problema Expansión: La expansión de ZK se puede hacer en la red de primera capa, como Mina, o en la red de segunda capa, es decir, zk-roll up.La idea de ZK roll up puede surgir primero de la publicación de Vitalik en 2018. , Escalamiento en cadena a ~500 tx/seg a través de validación de tx masiva. ZK-rollup tiene dos tipos de roles, uno es Secuenciador y el otro es Agregador. Sequencer es responsable de empaquetar transacciones, Aggregator es responsable de fusionar una gran cantidad de transacciones y crear un resumen, y formar una prueba SNARK (o una prueba de conocimiento cero basada en otros algoritmos), que se comparará con el estado anterior de Layer1 , y luego actualice el árbol Ethereum Merkle, calcule el nuevo árbol de estado. Fuente: Ventajas y desventajas del resumen PolygonZK: Ventajas: bajo costo, a diferencia de OP que será atacado económicamente, no necesita retrasar las transacciones, puede proteger la privacidad y lograr rápidamente la finalidad Desventajas: Formar pruebas ZK requiere una gran cantidad de cálculos, seguridad problemas (SNARK requiere una configuración de confianza), no es resistente a los ataques cuánticos (SNARK, STARK puede), el orden de la transacción puede cambiar Fuente: investigación de Ethereum Según la disponibilidad de datos y los métodos de prueba, Starkware tiene un mapa de clasificación clásico para L2 (la disponibilidad de datos de La capa puede elegir dentro o fuera de la cadena): Fuente: Starkware Los proyectos de acumulación de ZK más competitivos actualmente en el mercado incluyen: StarkNet de Starkware, zkSync de Matterlabs y Aztec connect de Aztec, Hermez y Miden de Polygon, Loopring, Scroll, etc. Básicamente el camino técnico radica en la selección de SNARK (y su versión mejorada) y STARK, así como el soporte para EVM (incluyendo compatibilidad o equivalente). Aztec ha desarrollado un protocolo SNARK generalizado: protocolo Plonk. Aztec3 en funcionamiento puede admitir EVM, pero la privacidad tiene prioridad sobre EVM. Starnet compatible usa zk-STARK, un zkp que no requiere configuraciones confiables, pero actualmente no es compatible con EVM, tiene su compilador propio y lenguaje de desarrollo zkSync también usa plonk, es compatible con EVM. zkSync 2.0 es compatible con EVM y tiene su propio zkEVMScroll, un paquete ZK compatible con EVM. El equipo también es un colaborador importante del proyecto zkEVM de la Fundación Ethereum. Discutir brevemente el problema de compatibilidad con EVM: la compatibilidad del sistema ZK y EVM siempre ha sido un dolor de cabeza, los proyectos generales elegirán entre los dos. Aquellos que enfatizan ZK pueden construir una máquina virtual en su propio sistema y tener su propio compilador y lenguaje ZK, pero aumentará la dificultad de aprendizaje para los desarrolladores, y debido a que básicamente no es de código abierto, se convertirá en una caja negra. La industria en general actualmente tiene dos opciones, una es ser totalmente compatible con el código de operación de Solidity y la otra es diseñar una nueva máquina virtual que sea compatible con ZK y con Solidity. La industria no esperaba una integración tan rápida al principio, pero la rápida iteración de la tecnología en los últimos uno o dos años ha elevado la compatibilidad de EVM a un nuevo nivel, y los desarrolladores pueden lograr un cierto grado de migración fluida (es decir, , la cadena principal de Ethereum a ZK rollup) es un desarrollo emocionante, que afectará la ecología del desarrollo y el patrón de competencia de ZK. Discutiremos este tema en detalle en un informe posterior. Goldwasser, Micali y Rackoff propusieron que las pruebas de conocimiento cero tienen tres propiedades: Integridad: cada declaración con un testigo razonable puede ser verificada por el verificador Las declaraciones con testigos razonables no deben ser verificadas por el verificador Conocimiento cero: el proceso de verificación es cero -conocimiento Entonces, para comprender ZKP, comenzamos con zk-SNARK, porque muchas aplicaciones actuales de blockchain se basan en el inicio de SNARK. En primer lugar, echemos un vistazo a zk-SNARK. zk-SNARK significa: Prueba de conocimiento cero (zh-SNARK) es ARgumentos de conocimiento sucintos no interactivos de conocimiento cero.

Tags：

ADA