短期與長(zhǎng)期。

作者：Chloe

Crypto 行業(yè)被廣泛關(guān)注的零知識(shí)證明（Zero—Knowledge Proof）技術(shù)，并非是這幾年剛冒出來(lái)的新技術(shù)，而是在 1980 年就被數(shù)學(xué)家 S.Goldwasser、S.Micali 及 C.Rackoff 提出。

零知識(shí)證明涉及一系列步驟，可以實(shí)現(xiàn)密碼學(xué)中的「可用而不可知」。

而區(qū)塊鏈有著公開(kāi)透明、不可篡改等特征，意味著加密投資者的鏈上資產(chǎn)及交易記錄是沒(méi)有隱私可言的，于是零知識(shí)證明技術(shù)被引入了區(qū)塊鏈，當(dāng)中以 zk-SNARK 和 zk-STARK 最為關(guān)注。

zk-SNARK 被項(xiàng)目方采用得最多，zk-STARK 則被密碼學(xué)專家認(rèn)為優(yōu)于 ZK-SNARK。那么綜合技術(shù)與實(shí)際應(yīng)用，二者誰(shuí)更優(yōu)？

zk-SNARK：簡(jiǎn)潔 + 非交互性

Alessandro Chiesa 等人在 2012 年開(kāi)發(fā)了 zk-SNARK 協(xié)議，這是一種簡(jiǎn)潔化、非交互式的零知識(shí)證明技術(shù)，全稱是 zero-knowledge succinct non-interactive arguments of knowledge，可以拆解成三部分來(lái)理解：

zero-knowledge：

零知識(shí)證明，在不暴露隱私情況下向?qū)Ψ阶C明一件事情，讓數(shù)據(jù)「可用而不可知」。

succinct：

簡(jiǎn)潔性，要證明的東西占用的空間很小，而且可以快速驗(yàn)證（幾毫秒）。

non-interactive：

非交互性，意味著證明者和驗(yàn)證者之間不需要有交集即可快速地得到驗(yàn)證結(jié)果。

zk-SNARK 的簡(jiǎn)潔性和非交互性，是相對(duì)于傳統(tǒng)的零知識(shí)證明方案而言的。

簡(jiǎn)單來(lái)說(shuō)，傳統(tǒng)方案是交互式證明，即示證者（宣稱某一命題為真）和驗(yàn)證者（確認(rèn)該命題確實(shí)為真）之間反復(fù)確認(rèn)，你可以理解為示證者不斷向驗(yàn)證者詢問(wèn) “是或不是？”，然后驗(yàn)證者不斷給出回答，直到最后碰出一個(gè)正確答案來(lái)，所以效率很低。

zk-SNARK 的解決方案則不需要雙方反復(fù)確認(rèn) “是或不是”，而是提前先搞一個(gè)「可信初始化」，從而生成公共參考字符串（CRS），然后所有的示證者都可以直接訪問(wèn)它。

打一個(gè)通俗的比方。交互式證明相當(dāng)于老師要批改每一個(gè)考生的每一道考題，效率很低，但正確答案只掌握在老師這邊，基本不存在有人偷答案的情況。

但 zk-SNARK 直接上傳了正確答案，然后讓考生自己對(duì)答案（把自己解的某道題發(fā)送給后臺(tái)系統(tǒng)，就會(huì)直接得到正確與否的最終結(jié)果），非常高效，代價(jià)是答案有可能被泄露，雖然這個(gè)答案系統(tǒng)是經(jīng)過(guò)加密的。

因此針對(duì) zk-SNARK 容易被泄露的問(wèn)題，有很多圍繞著提高「答案系統(tǒng)」安全性的解決方案，不同采用 zk-SNARK 的項(xiàng)目方的方案各有不同。如 zCloak 錢包是直接把算法以純文本的形式發(fā)給用戶，用戶下載到本地去做計(jì)算（所以即使斷網(wǎng)也依舊能完成工作）。

zk-STARK：概率證明+緩沖時(shí)間

zk-STARK 是成立于 2017 年 12 月的 StarkWare 團(tuán)隊(duì)開(kāi)發(fā)的，它是針對(duì) zk-SNARK 的替代解決方案。研發(fā)歷時(shí)一年多，經(jīng)過(guò)無(wú)數(shù)次迭代才徹底搞定，已經(jīng)到 2019 年了。

zk-SNARK 是提前生成公共參考字符串，用非交互式證明的方式提高了證明效率，但也留下了隱患。zk-STARK 雖然是交互式證明，但它是一種巧妙的交互式證明——通過(guò)哈希函數(shù)碰撞（一種概率證明的方式）來(lái)保證安全性，因此也實(shí)現(xiàn)了高效證明。

這個(gè)思路直接借鑒自 2015 年推出的交互式預(yù)言機(jī)證明（IOP）技術(shù)，簡(jiǎn)單來(lái)說(shuō)是先把問(wèn)題用密碼學(xué)的方式打碎，然后驗(yàn)證者隨機(jī)向示證者提出幾個(gè)的問(wèn)題，如果幾輪下來(lái)，示證者都給出準(zhǔn)確的回答，那么驗(yàn)證就通過(guò)了。

所以 zk-STARK 同樣也只需要極少的計(jì)算資源就可以完成證明，但是它更安全，不存在答案泄露的風(fēng)險(xiǎn)。并且為了進(jìn)一步確保安全性，還設(shè)置了爭(zhēng)議時(shí)間延遲（DTD）來(lái)作為緩沖。

zk-SNARK 和 zk-STARK 的區(qū)別

1. 透明度

zk-SNARK 的公共參考字符串通常由一個(gè)小團(tuán)體來(lái)保管，因此有泄露的可能性，從而被惡意利用，如創(chuàng)建虛假證明。

zk-STARK 則直接利用生成隨機(jī)性的參數(shù)來(lái)驗(yàn)證，不需要任何第三方的「答案系統(tǒng)」，因此透明度大幅提高。

2. 抗量子計(jì)算機(jī)攻擊

zk-SNARK 未來(lái)會(huì)輕易被量子計(jì)算機(jī)暴力破解（通過(guò)分解計(jì)算從公鑰中提取私鑰）。當(dāng)然，量子計(jì)算何時(shí)到來(lái)還是個(gè)問(wèn)題。

zk-STARK 采用的是哈希函數(shù)碰撞的方法來(lái)證明，理論上量子計(jì)算機(jī)的暴力破解是無(wú)效的。

3. 可擴(kuò)展性

zk-SNARK 的證明在鏈上更具可擴(kuò)展性（生成的證明的字節(jié)數(shù)更?。瑉k-STARK 在純鏈上似乎沒(méi)有優(yōu)勢(shì)。

StarkWare 官網(wǎng)宣稱是最快的，可能是因?yàn)?zk-STARK 允許鏈下進(jìn)行大規(guī)模計(jì)算和存儲(chǔ)，然后在鏈上完成驗(yàn)證，因此可擴(kuò)展性顯著提升（甚至可以提高 10 倍），而成本顯著降低。

總結(jié)

zk-SNARK 技術(shù)被采用得最多，尤其是在以太坊擴(kuò)容場(chǎng)景中。zk-SNARK 主要是圍繞「隱私保護(hù)」去做身份、支付、DeFi、資產(chǎn)證明等各種應(yīng)用。

zk-STARK 雖然也在發(fā)展之中，但技術(shù)尚不成熟，至少在通用性上受限，所以我們看到大多是圍繞著「可擴(kuò)展性」去做各種應(yīng)用。

不過(guò)據(jù) StarkWare 團(tuán)隊(duì)在 2022 年的說(shuō)法，已經(jīng)解決了可擴(kuò)展性，該把目標(biāo)瞄準(zhǔn)「隱私保護(hù)」了，而方式是通過(guò) StarkNet 的 Layer3 以及 Layer4 中以分形分層的方式解決，這似乎與 zk-STARK 證明系統(tǒng)本身沒(méi)有直接關(guān)系。

至少就目前而言，大多數(shù)以太坊 Layer2 項(xiàng)目 (zkSync、Aztec、Loopring、Scroll 等) 都采用的是 zk-SNARK 技術(shù)路線，除了通用性上受限，還有一個(gè)原因是普遍反饋說(shuō) zk-STARK 的開(kāi)發(fā)難度過(guò)大……

當(dāng)然長(zhǎng)遠(yuǎn)來(lái)看，zk-STARK 可承載的運(yùn)算量更大，可能更有前景。

總的來(lái)說(shuō)，zk-SNARK 和 zk-STARK 的關(guān)系，有些像 Optimistic rollups 和 ZK rollups 的關(guān)系，前者短期利好，后者長(zhǎng)期利好。

免責(zé)聲明：作為區(qū)塊鏈信息平臺(tái)，本站所發(fā)布文章僅代表作者及嘉賓個(gè)人觀點(diǎn)，與趣幣網(wǎng)立場(chǎng)無(wú)關(guān)。文章內(nèi)的信息僅供參考，均不構(gòu)成任何投資建議及要約，并請(qǐng)您遵守所在國(guó)家或地區(qū)的相關(guān)法律法規(guī)。

熱點(diǎn)：rollup 以太 以太坊 區(qū)塊鏈 數(shù)據(jù) 計(jì)算機(jī) 錢包