ROO:用程序员听得懂的方式介绍零知识证明

本来想写《用人话解释零知识证明》，但是发现做不到，因为至今我也没能用人话解释区块链原理，零知识证明比区块链原理更抽象，网上的资料90%以上是关于这个算法的推导，但是对于90%以上的程序员来说，我们并不关心哈希算法的原理，我们只关心哈希算法怎么用。（作为一个10年+老码农，我也不懂哈希的原理，但我并不惭愧，会用就好）

首先，这是一个非常基础的函数结构：

如果这个function是一个哈希算法，那么，输入任意文件，就可以得到对应的哈希值。假设有这样的一个情况，某个哈希值我们大家都知道了，想要知道是哪个文件，这个文件在你手上，你很兴奋的说，文件找到了，大伙说好啊你把文件拿出来，我们算一下哈希，看能不能对上。这时候你就犯愁了，这是个机密文件，哪能说提供就提供的，咋办？

NFT项目Slick City将发布其第一套基于实用程序的NFT:金色财经报道，以太坊区块链上的NFT项目Slick City将发布其第一套基于实用程序的NFT，该NFT包含4444个独特的、下一个一代、高级时尚、半人类/半外星人的收藏品。[2022/7/19 2:24:01]

这就请来零知识证明，这个算法结构如下：

橙色部分就是zk-proof，分成证明和验证两个部分，其中证明部分也叫电路circuit，需要用电路描述语言编程（Rust\C++\Circom），最终编译为电路逻辑（.wsam\.r1cs）。在这个例子里，我们用circuit写了个哈希算法，用来替代原来的function，circuit的特点是输入是不需要公开的，输出的是哈希值和proof，这个proof证明的就是：

加密硬件钱包应用程序LedgerLive集成Zerion:7月27日，加密硬件钱包应用程序LedgerLive于昨日宣布集成Zerion。用户能在LedgerLive上使用Rainbow和Zerion的NFT及DeFi功能，同时享受Nano硬件钱包的严密安全性。此前报道，今年6月LedgerLive已集成去中心化交易聚合平台ParaSwap，用户能在LedgerLive上使用ParaSwap以去中心化的方式交换以太坊原生代币。[2021/7/27 1:17:44]

重要的事情说三遍！并且我还要画出来：

3个应用程序已经窃取加密货币一年而未被发现:金色财经报道，1月7日消息，被称为ElectroRAT的新远程访问木马（RAT）已被用于清空数千名Windows、macOS和Linux用户的加密货币钱包，具有极强的侵入性。此木马已存在长达一年并部署于Jamm、eTrade/Kintum和DaoPoker的网站上。

安全公司Intezer Labs表示，不断上涨的加密货币价格造成了黑客和寻求经济利益的恶意行为者的活动加剧。该恶意软件在过去一年中一直在传播，但直到2020年12月才被发现。此木马具有如键盘记录，拍摄屏幕截图，从磁盘上传文件，下载文件等功能，并在受害者的控制台执行命令。

在2020年，已经有一些案例表明，MetaMask或Ledger等合法应用和浏览器扩展的假版本已经进入受害者的电脑。这可能与Ledger在12月中旬发生的大规模数据泄露事件有关。[2021/1/7 16:38:18]

这个proof就相当于对这个过程的认证盖章，就这么板上钉钉了，无争议了，别问input是啥，问就是不知道，所以叫零知识。已知的是啥呢，电路逻辑（这部分理应开源），输出的值，还有证明文件proof。

区块链初创公司Bloom与TransUnion合作推出移动应用程序:区块链初创公司Bloom希望利用去中心化为消费者创建基于区块链的身份，让用户完全控制自己的信息流。Bloom与美国信用报告机构TransUnion合作推出其第二款移动应用程序。（Bitcoin Exchange Guide）[2020/4/16]

在这个例子中，电路逻辑相当于哈希函数，如果你算出的哈希值和公开的那个哈希值一样，那就说明你输入的文件就是大家要找的那个机密文件，而你并不需要提供这个文件，只需要提供证明文件proof就行。

验证的时候，大家把哈希值和proof放进verify函数，返回true，那就证明了：

那还能是哪个文件，那肯定是那个正确的文件啊，要不怎么生成这个哈希！

zk-proof显而易见在隐私场景很有用。混币的原理是用户把币存进保险箱，保险箱的密码的哈希值帖在保险箱上，谁要是能提供这个密码，谁就能把保险箱里的币全部拿走。跟上面这个找文件的原理是一样的，用户不用提供密码，只要提供proof就行，合约校验通过就让你提币。

还有一个问题，如果你能开某个保险箱，那就说明你就是放钱进去的人，谁放了多少钱到哪个保险箱，这在链上是可查的，所以你开哪个保险箱，你不能说。在合约里用树形结构来存放保险箱，且层数固定，一般为16层。从你要开的保险箱到树根root，中间的15个节点确定了，就确定了你要开哪个保险箱，所以这15个节点（路径），也在circuit的private input里面。

最后合约校验的时候，证明了保险箱的位置、保险箱密码全部正确，但不知道是什么密码也不知道是哪个保险箱，可能用户也不知道，但是用户把proof保管好就行，谁拿这个proof都可以去提款。

zk-proof除了隐私场景的应用，这两年还发现可以做区块链扩容。区块里的每一个tx，都有用户的签名，用来证明这个（转账）操作不是伪造的，一个区块的大小是有限的（固定的），所以要是能在区块中塞入的tx越多，TPS也就越高。

如果把签名砍掉，给tx瘦身，那就可以塞入更多的tx。问题是，砍掉了签名，又如何证明这个操作是用户签名过的呢？用零知识证明，把用户签名的校验逻辑写进circuit电路，输入是（包括签名的）区块数据，输出是（不包含签名的）区块数据，并附上proof，一个proof这就能证明所有tx都是被用户签名过的，达到瘦身目的。本文来源：https://bress.xyz/zh/post/nKtuByYTvPri75xHQoA7f8vNyJ6NQPvCL_YH8KVp31Q

作者：加戈

标签：ROOPROProofDGEROOBEE币ZUZ Protocol0XPROOF币Corgi of PolkaBridge

区块链热门资讯