零知識證明的發展及其應用潛力

作者: Internet Computer / Dfinity

編譯: ChainCatcher

"零知識證明可以讓你證明一個陳述是真實的，除了陳述是真實的事實之外，不透露任何其他信息，"Jens Groth 解釋道，他拿出一副紙牌來說明他的意思。 "假設我選了一張牌，看着它，然後告訴你這是一張紅牌。我告訴你的可能是真的也可能是假的，當然，我可以給你看這張牌來證明它真的是紅色的，但給你看這張牌會揭示的不僅僅是這張牌實際上是紅色的事實。"然後 Groth 將所有黑牌攤開，紅牌面朝下。 "現在你知道這張牌是紅色的，但不知道它是紅心皇后，例如。"

Groth 是一位領先的密碼學家，他以發明實用的基於配對的非互動式零知識 (NIZK) 證明徹底改變了零知識證明領域而聞名------這就是他如何謙虛地解釋他與他人合著的研究論文的本質阿米特薩海。這篇題為雙線性群的高效非互動式證明系統的論文自 2008 年在 Eurocrypt 上發表以來，已被用於隨後開發實用密碼方案和應用程序的許多研究工作中。今天，國際密碼學研究協會 (IACR)為作者頒發了時間考驗獎，以表彰他們的證明對公鑰密碼學產生的持久影響。

"我很高興也很自豪，時間考驗獎將這項研究認可為這一發展過程中的重要一步。長期以來，我一直有一種直覺，即零知識證明具有很大的應用潛力，但當時的實際用例仍然專門針對特定的加密協議。現在，整個零知識證明領域正在蓬勃發展，看到研究和工程齊頭並進取得了很大進展，這表明通用領域已經變得多麼重要。"

這一切是如何開始的 這一切都始於對數學的熱愛，同時也渴望在可以將研究轉化為實際應用的領域工作。 Groth 在奧胡斯大學期間開始參加各種密碼學課程，完全沒有意識到他有幸得到 Peter Landrock 教授和 Ivan Damgaard 教授等世界級密碼學家的指導。他最終在 Damgaard 教授的指導下攻讀了理學碩士學位，後來與一家名為 Cryptomathic 的公司合作獲得了工業博士學位，該公司當時正在開發一種電子投票解決方案。

完成博士學位後，Groth 在加州大學洛杉磯分校擔任博士後職位，在那裡他遇到了他的合著者 Amit Sahai。導致 Groth-Sahai 獲獎論文的研究路線始於想要將非互動式零知識證明的構造與基於配對的密碼學聯繫起來，這在其他密碼學構造中顯示出自己的通用性。 Rafail Ostrovsky 和 Amit Sahai 的一項初步工作首先表明，您可以使用配對來構建高效的 NIZK 證明，證明布爾電路具有令人滿意的輸入，使電路輸出為真。但是，您要在密碼協議中證明的那種陳述通常並不會直接表示為布爾電路。

在後來獲得 2021 年 IACR 時間測試獎的一篇論文中，Groth 證明了可以給出基於配對的 NIZK 證明，這些證明直接適用於基於配對的密碼學中自然出現的那種陳述。缺點是這些 NIZK 證明非常昂貴。 Groth 堅持不懈地提出了下一個合乎邏輯的問題：是否存在既有效又廣泛適用於基於配對的密碼協議設計的 NIZK 證明。

在幾個月的艱苦努力中，Groth 和 Sahai 設法不斷將 NIZK 證明的複雜性降低到較小的規模，並且還制定了對陳述的一般描述，他們可以證明這些陳述表達了基於配對的密碼學中的大部分操作。

NIZK 證明簡而言之，這項研究探索了密碼學如何使我們能夠以一種只透露陳述真實性的方式證明關於數字數據的陳述。本質上，零知識證明允許證明者證明她/他正在按照協議或預期行為行事，而無需泄露她/他的機密數據。有許多可能的實際用例，其中 NIZK 證明會很有用。例如，在電子投票協議中，您可能想要證明加密投票對其中一位可能的候選人有效，並且它不是雙重投票或反對票。另一個用例是在管理基金中，您可能希望在不透露資產構成的情況下證明償付能力。

應用 無論用例是什麼，零知識證明都需要高效。 Groth-Sahai 零知識證明是非互動式的，這意味著它們不需要證明者和驗證者之間的來回通信。證明者只是構建一個可以在一條消息中發送給驗證者的證明------就像一次顯示所有黑牌一樣。它們的大小也很合理，隨著語句的複雜性按比例增加。此外，它們可以直接應用於密碼學家在設計基於配對的協議時通常想要表達的那種陳述。

Groth 和 Sahai 構建的 NIZK 證明系統被用於基於配對的密碼方案，例如環簽名、群簽名、加密方案等。通常一個方案有幾個子組件，NIZK 證明可以作為一種粘合劑通過證明組件的正確構造和彼此一致來將它們結合在一起。也有一些關於結構保持密碼學的研究，這是一種純粹的基於配對的密碼學方法，特別適合 Groth-Sahai 證明。

Groth 和該領域其他研究人員的後續工作表明，您可以使用後來被標記為零知識簡潔非互動式知識論證 (zk-SNARKs) 的東西獲得更高的效率。 Groth-Sahai 證明適用於小規模陳述，而 zk-SNARKs 是大規模陳述的理想選擇。 SNARKs 構成了幾個以隱私為中心的區塊鏈的核心。它們也是 zk-rollups 的基礎，它允許人們進行鏈下計算並將最終結果連同最終結果正確的簡潔 NIZK 證明一起提交給區塊鏈。 SNARK 在這裡是理想的，因為它們很緊湊，這意味著存儲和通信成本低，並且需要很少的計算來驗證。

Groth 和互聯網計算機 Groth 主要關注互聯網計算機協議的安全性，他設計了一些互聯網計算機在分佈式密鑰生成協議中使用的特殊用途的 zk-SNARKs。

除了 DFINITY，互聯網計算機生態系統中還有一些開發人員對協議實施零知識證明。 Demergent Labs 的 Jordan Last 一直大力提倡使用 zkWasm 為互聯網計算機上智能合約的正確計算提供額外的保證，來自 ICME 的 Wyatt Benno 正在開發一個原型。

Groth on LifeGroth 喜歡在空閒時間做即興戲劇和打羽毛球。當他不考慮密碼學證明和互聯網計算機的安全性時，Groth 的腦海裡充滿了政治、經濟、歷史的閱讀，並思考技術進步等事物對社會的潛在積極好處。雖然現代社會的複雜性給我們帶來了巨大的好處，但他認識到沒有一個人能夠全面掌握現代社會，他擔心這會造成民主赤字。 Groth 希望零知識證明可以在這方面提供幫助：

"從哲學上講，SNARK 告訴我們，驗證一個陳述的成本可能比陳述本身的複雜性小得多。從這個概念推斷，即使我們無法掌握整個社會，也許我們可以驗證對我們重要的事情。錯誤信息尤其是一個問題，零知識證明可能是解決方案的一部分。"

關於 Jens GrothJens Groth 是一位領先的密碼學家，其作品在過去十年中已在頂級密碼學會議 ASIACRYPT、EUROCRYPT 和 CRYPTO 上發表。他的工作徹底改變了零知識證明領域，發明了實用的基於配對的非互動式零知識證明，這在 2007 年獲得了加州大學洛杉磯分校校長的博士後研究獎，現在通過了兩項 IACR 測試-時間獎勵。

關於 IACR 時間測試獎 IACR 時間測試獎是在 IACR 大會（Eurocrypt、Crypto 和 Asiacrypt）上頒發的年度獎項。它表彰對公鑰密碼學產生持久影響並在 15 年或更早之前發表的傑出論文。