zk-SNARKs与zk-STARKs：隐私技术深度解析

隐私一直被视为加密货币社区中的一项重要功能。它是实现通用货币所需的可替代性（fungibility）的前提条件。同样，大多数加密资产持有者也不希望他们的持有量和交易历史完全公开。在众多旨在为区块链提供隐私的加密技术中，zk-SNARK 和 zk-STARK 证明是两个值得注意的例子。

zk-SNARK 代表零知识简洁非交互式知识论证，而 zk-STARK 代表零知识简洁透明知识论证。zk-SNARK 证明被加密货币项目（如 Zcash）使用，应用于基于区块链的支付系统，并作为一种安全验证客户端与服务器的方式。尽管 zk-SNARKs 已经在建立和采用方面取得了显著进展，但 zk-STARK 证明现在被吹捧为协议的新版本和改进版本，解决了 zk-SNARKs 的许多先前缺点。

阿里巴巴的洞穴寓言

1990年，加密学家让-雅克·奎斯奎特（Jean-Jacques Quisquater）与其他合作者发表了一篇名为《如何向你的孩子解释零知识协议》的论文。该论文通过涉及阿里巴巴洞穴的寓言引入了零知识证明（zk proofs）的概念。自其问世以来，该寓言已被多次改编，我们现在有了多种变体。尽管如此，其基本信息本质上是相同的。

让我们想象一个环形洞穴，洞穴只有一个入口和一个魔法门，将两条侧路径分开。为了通过魔法门，需要轻声说出正确的秘密词语。假设爱丽丝（黄色）想向鲍勃（蓝色）证明她知道这些秘密词语，同时仍保持它们的秘密。为此，鲍勃同意在外面等待，而她进入洞穴并走到两条可能路径中的一条尽头。在这个例子中，她决定通过路径1。

过了一会儿，鲍勃走过入口并大声喊出他希望爱丽丝从哪个侧面出现（在本例中是路径2）。

如果爱丽丝真的知道秘密，她将可靠地从鲍勃指定的路径出现。

整个过程可以重复多次，以确认爱丽丝不是靠运气选择正确路径的。

阿里巴巴的洞穴寓言说明了零知识证明的概念，这是 zk-SNARK 和 zk-STARK 协议的一部分。ZK 证明可用于证明拥有某些知识，而不透露关于它的任何信息。

zk-SNARKs

Zcash 是使用 zk-SNARKs 的最早项目之一。虽然其他隐私项目如门罗币（Monero）使用环签名和其他技术，但 zk-SNARKs 从根本上改变了数据共享的方式。Zcash 的隐私性源于网络中交易可以保持加密，但仍可以通过零知识证明验证其有效性。因此，执行共识规则的人不需要知道每笔交易的所有数据。值得一提的是，Zcash 中的隐私功能并非默认激活，而是可选的，并依赖于手动设置。

零知识证明允许一个人向另一个人证明一个陈述是真实的，而不透露任何超出陈述有效性的信息。参与方通常被称为证明者和验证者，他们秘密持有的陈述称为见证。证明的主要目标是在两方之间尽可能少地透露数据。换句话说，可以使用零知识证明来证明拥有某些知识，而不透露关于知识本身的任何信息。

在 SNARK 首字母缩写词中，“简洁”意味着这些证明的尺寸较小，并且可以快速验证。“非交互式”意味着证明者和验证者之间几乎没有或没有互动。旧版零知识协议通常要求证明者和验证者来回通信，因此被认为是“交互式”ZK 证明。但在“非交互式”构造中，证明者和验证者只需交换一个证明。

目前，zk-SNARK 证明依赖于证明者和验证者之间的初始信任设置，这意味着需要一组公共参数来构建零知识证明，从而实现私人交易。这些参数几乎就像游戏规则；它们被编码进协议中，是证明交易有效的必要因素之一。然而，这可能会造成潜在的中心化问题，因为这些参数通常是由一个非常小的群体制定的。

尽管初始信任设置是当前 zk-SNARK 实现的基础，但研究人员正在寻找其他替代方案，以减少过程中的信任需求。初始设置阶段对于防止伪造花费很重要，因为如果有人能访问生成参数的随机性，他们可以创建看似有效的虚假证明。在 Zcash 中，初始设置阶段被称为参数生成仪式（Parameter Generation Ceremony）。

接下来讨论首字母缩写词中的“知识论证”部分。zk-SNARKs 被认为是计算上可靠的，意味着一个不诚实的证明者在没有实际拥有支持其陈述的知识（或见证）的情况下，成功欺骗系统的几率非常低。这种属性被称为可靠性，并假设证明者具有有限的计算能力。

理论上，一个拥有足够计算能力的证明者可以创建假证明，这就是许多人认为量子计算机对 zk-SNARKs（和区块链系统）构成威胁的原因之一。

零知识证明可以快速验证，通常比标准比特币交易占用的数据少得多。这为 zk-SNARK 技术作为隐私和可扩展性解决方案开辟了道路。

zk-STARKs

zk-STARKs 由以色列理工学院的教授埃利-本·萨松（Eli-Ben Sasson）创建。作为 zk-SNARK 证明的替代版本，zk-STARKs 通常被认为是技术的一种更有效的变体——可能更快更便宜，这取决于实现方式。但更重要的是，zk-STARKs 不需要初始信任设置（因此，首字母缩写词中的“T”代表透明）。

从技术上讲，zk-STARKs 不需要初始信任设置，因为它们依赖于通过抗碰撞哈希函数实现的更精简的加密。这种方法还消除了 zk-SNARKs 的数论假设，这些假设计算上昂贵且理论上容易受到量子计算机的攻击。

换句话说，zk-STARK 证明在加密假设方面呈现出更简单的结构。然而，这种新技术至少有一个主要缺点：与 zk-SNARKs 相比，证明的尺寸更大。这种数据大小的差异可能会根据使用场景呈现出限制，但随着技术的进一步测试和研究，这可能是可以解决的问题。

结束语

显然，zk-SNARKs 和 zk-STARKs 都迎合了日益增长的隐私关注。在加密货币世界中，这些协议具有巨大的潜力，可能是通往主流采用的突破性途径。