一、導(dǎo)論——在不泄露秘密的前提下，如何證明你擁有秘密？

1.1 定義范式：證明者、驗(yàn)證者與三大支柱

所謂零知識證明（Zero-Knowledge Proof, ZKP），是一種精妙的密碼學(xué)協(xié)議。它讓一方（證明者）能向另一方（驗(yàn)證者）確證某個(gè)論斷為真，卻不必透露任何與論斷內(nèi)容相關(guān)的蛛絲馬跡。整個(gè)證明過程，除了“此話為真”這一結(jié)論外，不泄露分毫證明者所持有的“秘密知識”（即“見證”，witness）。

• 完整性（Completeness）： 若論斷為真，一個(gè)誠實(shí)的證明者總能成功說服一個(gè)誠實(shí)的驗(yàn)證者。簡單說，真的假不了。
• 可靠性（Soundness）： 若論斷為假，一個(gè)欺騙的證明者幾乎不可能說服一個(gè)誠實(shí)的驗(yàn)證者。這意味著偽造有效證明在計(jì)算上是行不通的。零知識證明本質(zhì)上是概率性的，但通過重復(fù)驗(yàn)證或引入更強(qiáng)的密碼學(xué)假設(shè)，可以將“被蒙騙”的概率降至無窮小。
• 零知識性（Zero-Knowledge）： 若論斷為真，驗(yàn)證者在交互結(jié)束后，除了確信“論斷為真”外，一無所獲。證明過程不會泄露任何關(guān)于秘密的知識。在理論定義中，這個(gè)特性通常用一個(gè)叫“模擬器”（Simulator）的概念來刻畫：想象一個(gè)聰明的“模擬器”，它根本不知道秘密，卻能憑空偽造出一段看起來完全真實(shí)的交互記錄。既然如此，那段真實(shí)的交互記錄自然也就沒有泄露任何秘密。

1.2 直觀類比：從阿里巴巴的洞穴到現(xiàn)代密碼學(xué)

為了將這些抽象概念拉下神壇，密碼學(xué)界構(gòu)想了許多巧妙的類比，“阿里巴巴的洞穴”便是其中最經(jīng)典的一個(gè)。

想象一個(gè)環(huán)形洞穴，它有一個(gè)入口，延伸出A、B兩條通道，兩通道的盡頭由一扇需要密碼才能打開的門相連。證明者Peggy聲稱她知道開門密碼，而驗(yàn)證者Victor想確認(rèn)此事，但Peggy不愿泄露密碼。

他們的證明游戲這樣進(jìn)行：

1. Victor在洞口等待，不看Peggy進(jìn)入哪條通道。
2. Peggy隨機(jī)選擇一條通道（比如A）進(jìn)入深處。
3. Victor走到洞口，隨機(jī)喊出一條通道的名字（比如B）。
4. Peggy必須從Victor指定的通道（B）走出來。

這個(gè)看似簡單的捉迷藏游戲，卻完美詮釋了ZKP的三大屬性：

• 完整性： 如果Peggy真有密碼，無論Victor喊A還是B，她都能從容地打開中間的門，按要求現(xiàn)身。
• 可靠性： 如果Peggy是騙子，她只能從她進(jìn)去的那條路原路返回。她猜中Victor選擇的概率僅有50%。如果游戲重復(fù)N次，她每次都僥幸過關(guān)的概率是 。當(dāng)N足夠大時(shí)（比如30次），這個(gè)概率小到可以忽略不計(jì)，Victor幾乎可以百分百確信Peggy掌握著密碼。
• 零知識性： Victor全程只看到Peggy從他指定的通道走出，他沒有學(xué)到關(guān)于密碼的任何信息。即便他錄下整個(gè)過程，這段錄像也無法向第三方證明Peggy知道密碼，因?yàn)檎麄€(gè)互動可以被輕易“模擬”——Victor和Peggy完全可以事先串通好每一次的選擇。

類似的類比還有很多，比如證明自己知道一個(gè)數(shù)獨(dú)的解法卻不展示任何數(shù)字，或是在《威利在哪里？》的畫中找到了威利卻不指出其具體位置。它們都指向同一個(gè)核心思想：傳遞關(guān)于知識的知識，而非知識本身。

1.3 ZKP的時(shí)代價(jià)值：隱私、擴(kuò)容與可驗(yàn)證計(jì)算

零知識證明正從密碼學(xué)的理論奇珍，迅速成長為解決現(xiàn)代數(shù)字世界核心矛盾的基石技術(shù)。

它首先重塑了我們對隱私的想象。在這個(gè)數(shù)據(jù)被肆意采集和利用的時(shí)代，ZKP開創(chuàng)了一種革命性的數(shù)據(jù)交互范式。用戶可以證明自己符合特定條件（如年齡達(dá)標(biāo)、收入滿足貸款門檻），而無需暴露任何具體數(shù)據(jù)。這從根源上切斷了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，因?yàn)轵?yàn)證方自始至終都未曾接觸過原始敏感信息。ZKP的價(jià)值在于將數(shù)字交互的范式從“信任”轉(zhuǎn)向“驗(yàn)證”。傳統(tǒng)系統(tǒng)要求我們將數(shù)據(jù)托付給銀行、社交平臺等中心化機(jī)構(gòu)，并祈禱它們誠實(shí)可靠。ZKP則讓驗(yàn)證方在無需被信任的情況下完成驗(yàn)證，為構(gòu)建更安全、更去中心化的系統(tǒng)鋪平了道路。

ZKP的另一重磅價(jià)值在于衍生出了可驗(yàn)證計(jì)算（Verifiable Computation）。它允許我們將繁重的計(jì)算任務(wù)外包給一個(gè)強(qiáng)大但未必可信的計(jì)算方（如鏈下服務(wù)器），計(jì)算方在返回結(jié)果時(shí)，附帶一個(gè)極其簡短且易于驗(yàn)證的證明。驗(yàn)證方（如鏈上智能合約）只需檢查這個(gè)小巧的證明，便能確信計(jì)算過程準(zhǔn)確無誤，而無需親自重復(fù)一遍漫長的計(jì)算。這正是ZK-Rollup等區(qū)塊鏈擴(kuò)容方案的精髓，它能極大地提升區(qū)塊鏈網(wǎng)絡(luò)的處理能力和效率。

在分布式系統(tǒng)中，ZKP還能保障計(jì)算完整性。一個(gè)節(jié)點(diǎn)可以向全網(wǎng)證明它正確執(zhí)行了某個(gè)狀態(tài)轉(zhuǎn)換，而無需所有節(jié)點(diǎn)都重復(fù)執(zhí)行。這不僅提升了效率，也鞏固了系統(tǒng)的安全與去中心化。

二、無（零）信任證明的起源：歷史視角

2.1 奠基性突破：GMR的1985年里程碑論文

零知識證明的理論曙光，出現(xiàn)在1985年。三位后來的圖靈獎得主——Shafi Goldwasser、Silvio Micali和Charles Rackoff——共同發(fā)表了劃時(shí)代的論文《交互式證明系統(tǒng)的知識復(fù)雜性》。這篇論文引入了數(shù)個(gè)革命性概念，徹底顛覆了人們對“證明”的傳統(tǒng)認(rèn)知。

• 交互式證明系統(tǒng)（IP）： 此前，數(shù)學(xué)家們熟悉的NP類問題，其“證明”是一個(gè)靜態(tài)的字符串，驗(yàn)證過程是確定性的。GMR論文則開創(chuàng)了一種全新的證明模型：一個(gè)算力有限的驗(yàn)證者與一個(gè)算力無限的證明者之間展開多輪對話。通過引入概率和隨機(jī)性，這種交互式系統(tǒng)能夠處理比NP更廣泛的問題。
• 知識復(fù)雜性（Knowledge Complexity）： 論文的洞見超越了“什么可以被證明”，而深入探尋“證明過程中究竟泄露了多少信息”。他們首次提出了“知識復(fù)雜性”這一度量，并在此基礎(chǔ)上，為“零知識”——即知識泄露量為零——給出了嚴(yán)格的數(shù)學(xué)定義。
• 首個(gè)實(shí)例： 為了證明這不僅是理論游戲，論文還給出了第一個(gè)不屬于已知高效可識別語言的零知識證明實(shí)例：二次剩余問題。這宣告了ZKP作為一種強(qiáng)大應(yīng)用工具的潛力。

2.2 從交互到宣告：非交互式證明的誕生

早期的ZKP協(xié)議有一個(gè)致命的實(shí)踐局限：它們是交互式的。證明者和驗(yàn)證者必須同時(shí)在線，像打乒乓球一樣來回傳遞信息。這種模式對于區(qū)塊鏈這類異步的分布式系統(tǒng)而言，幾乎是無法部署的。

為了掙脫這種實(shí)時(shí)通信的束縛，研究者們發(fā)展出了非交互式零知識證明（NIZKPs）。在NIZKP的世界里，證明者可以獨(dú)立生成一個(gè)單一、緊湊的證明字符串。任何持有公共參數(shù)的人，都可以在任何時(shí)間、任何地點(diǎn)獨(dú)立驗(yàn)證它，無需與證明者有任何瓜葛。

實(shí)現(xiàn)這一飛躍的關(guān)鍵，是一種名為Fiat-Shamir啟發(fā)式的通用轉(zhuǎn)換技巧。其神來之筆，在于用一個(gè)密碼學(xué)哈希函數(shù)巧妙地“取代”了驗(yàn)證者的角色。在交互式協(xié)議中，驗(yàn)證者會在關(guān)鍵步驟拋出隨機(jī)的“挑戰(zhàn)數(shù)”；在非交互式版本里，證明者則將協(xié)議中已產(chǎn)生的所有消息打包，進(jìn)行哈希計(jì)算，并將哈希結(jié)果作為那個(gè)“挑戰(zhàn)數(shù)”。由于密碼學(xué)哈希的輸出被認(rèn)為是不可預(yù)測的（偽隨機(jī)），這便有效地模擬了驗(yàn)證者的隨機(jī)挑戰(zhàn)。

GMR論文的精髓在于揭示了“交互”與“隨機(jī)性”可以用來提煉知識的證明，而無需提煉知識本身。Fiat-Shamir啟發(fā)式則更進(jìn)一步，表明這種隨機(jī)性可以在非交互環(huán)境中被模擬出來，從而將一個(gè)動態(tài)的對話過程，“固化”成一個(gè)靜態(tài)的證明對象。這一轉(zhuǎn)變，為所有現(xiàn)代實(shí)用的NIZKP系統(tǒng)鋪平了道路。

三、“知識證明”的革命：現(xiàn)代ZKP系統(tǒng)的演進(jìn)之路

從理論走向?qū)嵱茫阒R證明分化出了幾條截然不同的技術(shù)路線，它們各自懷揣著不同的理想，在效率、安全和靈活性之間尋求著獨(dú)特的平衡。

首先登場的是zk-SNARKs，它以極致的簡潔性和實(shí)用性震驚了世界。zk-SNARKs生成的證明尺寸小到令人難以置信，通常只有幾百字節(jié)，驗(yàn)證過程快如閃電，且這一切都與被證明的計(jì)算任務(wù)本身的復(fù)雜程度無關(guān)。這種特性使其成為在區(qū)塊鏈這樣資源寶貴的“寸土寸金”之地進(jìn)行驗(yàn)證的理想選擇。其技術(shù)內(nèi)核，是將復(fù)雜的計(jì)算問題通過“算術(shù)化”（如QAP）翻譯成多項(xiàng)式方程，再借助橢圓曲線配對這種密碼學(xué)“魔法”，在不暴露多項(xiàng)式本身的情況下，高效地驗(yàn)證方程是否成立。

然而，這份極致的效率肯定不會沒有代價(jià)。早期的zk-SNARKs，如大名鼎鼎的Groth16協(xié)議，背負(fù)著一個(gè)沉重的“原罪”——可信設(shè)置。系統(tǒng)啟動前，必須舉行一次儀式生成公共參數(shù)，這個(gè)過程會產(chǎn)生一份被稱為“有毒廢料”的秘密數(shù)據(jù)。這份秘密一旦泄露，持有者便能偽造任意證明，顛覆整個(gè)系統(tǒng)的安全性，且無法被察覺。為了緩解這種信任危機(jī)，社區(qū)發(fā)明了“多方安全計(jì)算”（MPC），邀請眾多互不信任的參與者共同生成參數(shù)，只要其中一人誠實(shí)地銷毀了自己的秘密，系統(tǒng)就是安全的。即便如此，Groth16還有一個(gè)更棘手的限制：它的可信設(shè)置是“電路特定”的，意味著每開發(fā)一個(gè)新程序，就需要興師動眾地再搞一次儀式，這極大地阻礙了創(chuàng)新的步伐和靈活性。

對可信設(shè)置的普遍憂慮，催生了另一條截然不同的道路——zk-STARKs。它的核心追求是透明性和面向未來的安全性。STARKs徹底拋棄了可信設(shè)置，其安全性僅依賴于抗碰撞哈希函數(shù)（如SHA-256）這類更基礎(chǔ)、更久經(jīng)考驗(yàn)的密碼學(xué)假設(shè)。這意味著它從根源上杜絕了“有毒廢料”的風(fēng)險(xiǎn)，并且由于哈希函數(shù)被認(rèn)為能抵抗量子計(jì)算機(jī)的攻擊，STARKs也天然具備了抗量子的特性。為了實(shí)現(xiàn)這一點(diǎn)，STARKs采用了全新的算術(shù)化方案（AIR）和一種名為FRI的高效協(xié)議。它的擴(kuò)展性也極為出色，對于超大規(guī)模的計(jì)算，其證明生成速度甚至優(yōu)于SNARKs。當(dāng)然，STARKs的這份透明與穩(wěn)健也需要權(quán)衡：它的證明尺寸比SNARKs大得多，通常達(dá)到數(shù)十KB，這使得它在鏈上驗(yàn)證的成本相對高昂。

在SNARKs和STARKs這兩大主流之外，還存在著一些獨(dú)辟蹊徑的探索者，Bulletproofs便是其中之一。它同樣無需可信設(shè)置，但選擇了一條與STARKs不同的技術(shù)路徑。它沒有追求極致的驗(yàn)證速度，而是專注于優(yōu)化證明尺寸。其核心創(chuàng)新是一種高效的“內(nèi)積論證”，使得證明大小僅隨秘密信息的規(guī)模對數(shù)增長，極為緊湊。然而，它的驗(yàn)證時(shí)間卻與秘密信息的規(guī)模線性相關(guān)，這意味著它不適合驗(yàn)證極其復(fù)雜的計(jì)算。這種獨(dú)特的性能取舍，使其在特定場景中大放異彩，例如隱私幣Monero就用它來做范圍證明，在無需信任的前提下，極大地壓縮了交易體積。

面對Groth16的僵化和STARKs的龐大，ZKP世界迫切需要一種更均衡的方案。PLONK應(yīng)運(yùn)而生，它被視為zk-SNARKs的一次重大進(jìn)化。PLONK巧妙地引入了通用且可更新的可信設(shè)置。這意味著，只需一次MPC儀式，生成的公共參數(shù)便可以服務(wù)于生態(tài)中所有（在一定規(guī)模內(nèi)的）應(yīng)用，而且這個(gè)設(shè)置還可以隨時(shí)由新參與者加入來增強(qiáng)其安全性。這極大地降低了應(yīng)用ZKP的門檻。通過新穎的“置換論證”等技術(shù)創(chuàng)新，PLONK在保留SNARKs高效驗(yàn)證和緊湊證明優(yōu)勢的同時(shí)，提供了前所未有的靈活性，迅速成為行業(yè)的新寵。

至此，一幅清晰的“ZKP三難困境”圖景浮現(xiàn)出來：開發(fā)者必須在證明尺寸/驗(yàn)證速度、證明者效率和安全假設(shè)（可信設(shè)置/抗量子性）之間做出艱難抉擇。Groth16是追求極致性能的“速度之王”，STARKs是堅(jiān)守透明與未來的“安全衛(wèi)士”，Bulletproofs是在特定賽道精耕細(xì)作的“專家”，而PLONK則是在這個(gè)權(quán)衡三角中尋找最佳平衡點(diǎn)的“集大成者”。

四、權(quán)衡與妥協(xié)：技術(shù)選擇背后的戰(zhàn)略考量

為了更直觀地把握各技術(shù)路線的特點(diǎn)，我們可以借助一個(gè)簡明的矩陣來對比。

然而，技術(shù)選型遠(yuǎn)非查閱這張表格那么簡單，其背后是深刻的權(quán)衡妥協(xié)和戰(zhàn)略博弈。在區(qū)塊鏈的世界里，每一字節(jié)數(shù)據(jù)和每一次計(jì)算操作都需支付gas費(fèi)，鏈上空間是極其寶貴的“數(shù)字地產(chǎn)”。這使得zk-SNARKs（Groth16和PLONK）那小巧如斯的證明尺寸，直接轉(zhuǎn)化為更低的交易成本和更快的驗(yàn)證速度，使其成為ZK-Rollup等擴(kuò)容方案在以太坊主網(wǎng)上驗(yàn)證的首選。反觀zk-STARKs，其龐大的證明雖然在理論上更安全、更具前瞻性，但高昂的鏈上驗(yàn)證成本構(gòu)成了現(xiàn)實(shí)的商業(yè)壁壘。這解釋了為何在當(dāng)前的ZK-Rollup競賽中，基于SNARKs的方案在市場采用上暫時(shí)領(lǐng)先。

與此同時(shí)，當(dāng)計(jì)算任務(wù)的規(guī)模變得異常龐大，例如需要證明一個(gè)虛擬機(jī)數(shù)百萬步的完整執(zhí)行過程時(shí)，證明者的計(jì)算效率便成為主要瓶頸。此時(shí)，zk-STARKs優(yōu)越的漸進(jìn)可擴(kuò)展性開始顯現(xiàn)威力，其證明生成速度有望超越SNARKs。

更深層次的考量則觸及了去中心化世界的哲學(xué)核心——信任模型。可信設(shè)置始終是去中心化理想的一塊心病。Groth16的電路特定設(shè)置，要求社區(qū)為每一個(gè)新應(yīng)用組織復(fù)雜的MPC儀式并寄望于參與者的誠實(shí)，這無疑限制了無需許可的自由創(chuàng)新。PLONK的通用可更新設(shè)置極大地緩解了這一痛點(diǎn)，讓信任假設(shè)的頻率和范圍大幅降低。而STARKs的完全透明性，則被許多人奉為去中心化信任模型的“黃金標(biāo)準(zhǔn)”，它徹底消除了對任何秘密參數(shù)的依賴，其抗量子的特性更是為其贏得了長期的戰(zhàn)略優(yōu)勢，使其在面對未來計(jì)算范式的變革時(shí)更具魯棒性。這便是靈活性與性能、當(dāng)前經(jīng)濟(jì)性與未來安全性之間的永恒權(quán)衡。

五、從理論到現(xiàn)實(shí)：ZKP的應(yīng)用版圖

零知識證明的價(jià)值，早已通過一系列真實(shí)世界的應(yīng)用得到了印證。在增強(qiáng)區(qū)塊鏈隱私方面，Zcash和Monero是兩個(gè)教科書級的案例。Zcash作為zk-SNARKs的先驅(qū)，利用該技術(shù)實(shí)現(xiàn)了完全匿名的“屏蔽交易”，其發(fā)展歷程本身就是一部zk-SNARKs從理論走向?qū)嵱玫倪M(jìn)化史。而Monero則另辟蹊徑，選擇了Bulletproofs來高效地隱藏交易金額，這充分體現(xiàn)了“為特定任務(wù)選擇最合適工具”的工程智慧。

而在引爆整個(gè)行業(yè)想象力的區(qū)塊鏈擴(kuò)容領(lǐng)域，ZK-Rollups正扮演著主角。它通過在鏈下捆綁處理成千上萬筆交易，并為整個(gè)批次生成一個(gè)單一的有效性證明提交上鏈，從而實(shí)現(xiàn)了吞吐量的指數(shù)級飛躍。在這條賽道上，不同的項(xiàng)目展現(xiàn)了涇渭分明的戰(zhàn)略抉擇。以StarkNet為代表的陣營，全面擁抱zk-STARKs，他們押注于技術(shù)的長期優(yōu)勢——極致的可擴(kuò)展性、透明性和抗量子安全，甚至為此打造了專用的編程語言Cairo。他們相信，壓倒性的性能最終會吸引開發(fā)者克服學(xué)習(xí)和遷移的成本。另一邊，以zkSync Era和Polygon zkEVM為代表的陣營，則選擇了基于SNARKs的路線，將與以太坊虛擬機(jī)（EVM）的兼容性作為核心戰(zhàn)略。他們致力于讓以太坊開發(fā)者能夠無縫遷移應(yīng)用，旨在最大化地利用以太坊龐大的開發(fā)者生態(tài)和網(wǎng)絡(luò)效應(yīng)。這場“性能為王”與“生態(tài)為王”的路線之爭，正在通過市場的實(shí)際采用情況，檢驗(yàn)著兩種關(guān)于區(qū)塊鏈未來的不同假設(shè)。

當(dāng)然，ZKP的潛力遠(yuǎn)不止于加密世界。隨著技術(shù)的成熟，它的應(yīng)用版圖正在迅速擴(kuò)張。在去中心化身份（DID）領(lǐng)域，人們可以證明自己的年齡或國籍等屬性，而無需暴露身份證上的所有敏感信息。在可驗(yàn)證人工智能（Verifiable AI）領(lǐng)域，可以證明一個(gè)機(jī)器學(xué)習(xí)模型正確執(zhí)行了推理，而無需泄露模型本身或輸入數(shù)據(jù)。此外，在私密金融審計(jì)、安全電子投票等眾多場景，ZKP都展示出重塑行業(yè)規(guī)則的巨大潛力。

六、通往可驗(yàn)證的未來：ZKP的前景與挑戰(zhàn)

零知識證明的故事遠(yuǎn)未結(jié)束，它仍是一個(gè)充滿活力的前沿研究領(lǐng)域。當(dāng)前，研究的焦點(diǎn)正集中于突破性能瓶頸和降低使用門檻。通過硬件加速（專門的FPGA和ASIC芯片）來指數(shù)級縮短證明生成時(shí)間，已成為業(yè)界的共同追求。以Nova為代表的折疊方案（Folding Schemes） 等新一代證明系統(tǒng)，正在為實(shí)現(xiàn)更高效的遞歸證明開辟道路。同時(shí)，如何將高級編程語言高效地“編譯”為ZKP友好的數(shù)學(xué)表示，即 改進(jìn)算術(shù)化，也是降低開發(fā)者門檻、釋放ZKP潛能的關(guān)鍵。

盡管前景光明，ZKP要走向大規(guī)模主流應(yīng)用，仍需翻越幾座大山。首先是開發(fā)者體驗(yàn)，目前編寫高效安全的ZKP程序仍是一項(xiàng)高度專業(yè)化的技能，需要深厚的數(shù)學(xué)功底。改善開發(fā)工具鏈、提供更高層次的抽象是當(dāng)務(wù)之急。其次是標(biāo)準(zhǔn)化問題，當(dāng)前ZKP領(lǐng)域“百家爭鳴”，不同系統(tǒng)之間缺乏互操作性，這阻礙了生態(tài)系統(tǒng)的成熟。最后，教育與可及性也是一個(gè)軟肋，ZKP復(fù)雜的理論內(nèi)核使其對大眾而言仍是一個(gè)“黑箱”，打破這種神秘感，建立廣泛的理解與信任，是其被社會廣泛接納的前提。

結(jié)論

從一個(gè)深奧的理論構(gòu)想，到驅(qū)動下一代互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的核心引擎，零知識證明已經(jīng)走過了一段非凡的旅程。它不再僅僅是密碼學(xué)家的智力游戲，而是我們用以解決數(shù)字世界中隱私與透明、安全與效率這對根本矛盾的強(qiáng)有力工具。通過用數(shù)學(xué)的確定性取代對中心化機(jī)構(gòu)的脆弱信任，ZKP為我們描繪了一個(gè)更加安全、私密、高效且可信的數(shù)字未來。在這個(gè)未來里，信任將不再是一種必需品，因?yàn)槲覀兠總€(gè)人都將擁有驗(yàn)證的能力。

附錄：里程碑論文與進(jìn)一步閱讀

（這個(gè)學(xué)術(shù)引用列表中我盡可能把每個(gè)分支的重要論文都列在這里了，有興趣深入了解朋友可以照此研究參考）

理論基礎(chǔ)

• Goldwasser, S., Micali, S., & Rackoff, C. (1989). The knowledge complexity of interactive proof systems. SIAM Journal on computing, 18(1), 186-208. (會議初版發(fā)表于1985年)

貢獻(xiàn)： 首次提出了交互式證明系統(tǒng)和零知識證明的形式化定義，奠定了整個(gè)領(lǐng)域的理論基礎(chǔ)。

zk-SNARKs

• Gennaro, R., Gentry, C., Parno, B., & Raykova, M. (2013). Quadratic Span Programs and Succinct NIZKs without PCPs. EUROCRYPT 2013.

貢獻(xiàn)： 提出了QSP（二次跨度程序），這是一種高效的算術(shù)化方法，為后續(xù)許多實(shí)用的zk-SNARKs方案（如Groth16）奠定了基礎(chǔ)。

• Parno, B., Howell, J., Gentry, C., & Raykova, M. (2013). Pinocchio: Nearly Practical Verifiable Computation. IEEE Symposium on Security and Privacy.

     貢獻(xiàn)： 首個(gè)將QAP（二次算術(shù)程序）與配對密碼學(xué)結(jié)合，構(gòu)建出接近實(shí)用的通用zk-SNARKs系統(tǒng)，是Zcash早期版本的技術(shù)原型。

• Groth, J. (2016). On the Size of Pairing-based Non-interactive Arguments. EUROCRYPT 2016.

     貢獻(xiàn)： 提出了Groth16協(xié)議，至今仍是證明尺寸最小、驗(yàn)證速度最快的zk-SNARKs方案之一，被廣泛應(yīng)用于Zcash Sapling升級和眾多ZK-Rollup項(xiàng)目中。

zk-STARKs

• Ben-Sasson, E., Bentov, I., Horesh, Y., & Riabzev, M. (2018). Scalable, transparent, and post-quantum secure computational integrity. IACR Cryptology ePrint Archive, 2018/46.

貢獻(xiàn)： 首次完整提出了zk-STARKs的理論框架，引入了AIR算術(shù)化和FRI協(xié)議，實(shí)現(xiàn)了第一個(gè)無需可信設(shè)置、具有可擴(kuò)展性和抗量子安全性的實(shí)用證明系統(tǒng)。

Bulletproofs

• Bünz, B., Bootle, J., Boneh, D., Poelstra, A., Wuille, P., & Maxwell, G. (2018). Bulletproofs: Short Proofs for Confidential Transactions and More. IEEE Symposium on Security and Privacy.

貢獻(xiàn)： 提出了一種無需可信設(shè)置、證明尺寸呈對數(shù)增長的零知識證明方案，尤其適用于范圍證明，并被Monero等項(xiàng)目采用。

通用zk-SNARKs

• Gabizon, A., Williamson, Z. J., & Ciobotaru, O. (2019). PLONK: Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge. IACR Cryptology ePrint Archive, 2019/953.

貢獻(xiàn)： 提出了PLONK協(xié)議，引入了通用且可更新的可信設(shè)置，以及新穎的置換論證，極大地提高了zk-SNARKs的靈活性和實(shí)用性，成為新的行業(yè)標(biāo)準(zhǔn)。

本文轉(zhuǎn)載自??上堵吟??，作者：一路到底的孟子敬