PrivacyIN第一周讲座回顾 | ZKP密码学的基础知识 - 张宇鹏博士的研究概述

介绍

隐私网的第一届ZK夏令营于7月9日9：30拉开帷幕。在ZK密码学基础与研究概述中，夏令营的第一堂课，德克萨斯A&M大学计算机科学与工程系助理教授张玉鹏博士专注于ZK理论及其应用。90分钟的密码学强化讲座由一小群专注于密码学和相关领域的专家学者参加。

完整的讲座可在youtube上找到：https://youtu.be/dx70mlBT39o

主要内容

零知识证明的概念最早是由戈德瓦瑟、米卡利和拉科夫在1985年提出的。零知识证明是一种在证明者和验证者之间起作用的加密协议。具体而言，证明者向验证者证明它可以为计算问题（陈述）提供解决方案（见证），而不会泄露有关解决方案（见证）的任何其他信息。

零知识证明在不损害用户隐私的情况下确保了正确性，这使其成为一种强大的工具，已被广泛用于各个领域，包括电子投票，匿名证明，团体签名，可验证的外包计算等。特别是，随着Web 3技术的进步，零知识证明现在与加密货币和区块链技术紧密相连。

在本次讲座中，张博士专注于零知识证明，并涵盖了证明系统，零知识证明的定义和历史，以及它们在加密货币和区块链领域的应用。

张博士首先以毕达哥拉斯定理为例描述了传统的证明问题：证明AC²=AB²+BC²给定△ABC在B处的直角。以下是我们如何证明毕达哥拉斯定理：从B开始绘制一个垂直线，并在D处与AC相交，然后该定理可以被证明为垂直线两侧的三角形与整个三角形相似并且彼此相似。

在这里，AC²=AB²+BC² 充当证明的陈述，证明定理的过程构成了证明。语句可以表示任何计算问题，传统的语句是通过提供所有证明步骤然后执行验证来给出的。在这个过程中，信息（知识）被公开。

证明者/验证者交互式证明计算模型是一个典型的证明系统。张博士举了一个颜色验证过程的例子，证明者声称他“知道有一张不同颜色的纸”（声明）。

在上述情况下引入了随机性挑战：验证者生成随机数以确定是否翻转论文以进行随机性挑战，证明者通过回答论文是否翻转来接收挑战。一个诚实的证明者总是会正确回答（100%）验证者是否翻转了论文。如果证明者试图通过盲目猜测来回答随机性挑战，那么给出正确答案的概率只有50%。在多次重复该过程（100次或更多）之后，如果证明者每次都正确回答验证者的挑战，那么证明者很可能（几乎100%）知道正确答案。换句话说，这證明了證人所声称的陈述：他知道有一张不同颜色的纸。另一方面，如果证明者不知道答案，他每次猜对的概率就会非常低。如果该过程重复 100 次，则概率为 1/2¹⁰⁰，可以忽略不计。因此，这证明证明者是不诚实或恶意的。

标准证明系统主要由证明者、验证者和公共计算C组成。特别是，证明者拥有数据并生成证明以表明他使用公共计算C获得结果。然后，证明者将计算证明发送给验证者，验证者将检查证明的正确性。

典型的校样系统主要具有以下特点：

正确性
一个诚实的证明者可以以极高的概率（几乎100%）检查证明的正确性。
如果证明者是不诚实或恶意的，那么他得到验证的机会将微不足道。

高效的证明系统主要以验证时间短和证明小为特征。换句话说，证明大小应该简洁。

基于常规证明系统的零知识证明（ZKP）系统能够检查计算的正确性，而无需在证明中披露来自证明者的任何原始数据，这代表了零知识证明。

在讲座中，张先生回顾了零知识证明的历史，并介绍了最早的ZKP系统，该系统由戈德瓦瑟，米卡利和拉科夫提出。他还介绍了一些与ZKP系统相关的早期复杂性理论，包括交互式证明，概率可检查证明（PCP）定理，零知识等。

匹诺曹标志着ZKP系统历史上的一个重要里程碑。该协议是第一个近乎实用的zkSNARK（简洁的非交互式知识论证）。支持通用计算，匹诺曹将计算问题转换为R1CS（Rank1约束系统）格式，然后转换为QAP（二次算术程序），从而实现简洁的多项式证明和验证。匹诺曹的出现标志着零知识证明从理论到实践的进步，这也是Groth16协议的基础。