零知识证明的技术路径之争:zk-SNARK和zk-STARK谁更优?

wudaoshana2022-12-27 15:05:03链茶馆

作者:Chloe


Crypto行业被广泛关注的零知识证明(Zero—Knowledge Proof)技术,并非是这几年刚冒出来的新技术,而是在1980年就被数学家S.Goldwasser、S.Micali及C.Rackoff提出。


识证涉及一系列步骤,可以密码学中的「可用而不可知」。


区块链有着公开透明、不可篡等特征,意味着加密投资者的链上资产及交易记录是没有隐私可言的,于是零知识证明技术被引入了区块链,当中以zk-SNARK和zk-STARK最为关注。


zk-SNARK被项目方采用得最多,zk-STARK则被密码学专家认为优于ZK-SNARK。那么综合技术与实际应用,二者谁更优?


  zk-SNARK:简洁 + 非交互性


Alessandro Chiesa等人在2012年开发了zk-SNARK协议,这是一种简洁化、非交互式的零知识证明技术,全称是zero-knowledge succinct non-interactive arguments of knowledge,可以拆解成三部分来理解:


zero-knowledge:

零知识证明,在不暴露隐私情况下向对方证明一件事情,让数据「可用而不可知」。


succinct:

简洁性,证明的东西占用的空间很小,而且可以快速验证(几毫秒)


non-interactive:

非交互性,意味着证明者和验证者之间不需要有交集即可快速地得到验证结果。


zk-SNARK的简洁性和非交互性,是相对于传统的零知识证明方案而言的。


单来说,传统方案是交互式证明,即示证(宣称某一命题为真)和验证者(确认该命题确实为真)之间反复确认,你可以理解为示证不断向验证者询问“是或不是?”,然后验证者不断给出回答,直到最后碰出一个正确答案来,所以效率很低。


zk-SNARK的解决方案则不需要双方反复确认“是或不是”,而是提前先搞一个「可信初始化」,从而生成公共参考字符串(CRS),然后所有的示证者都可以直接访问它。


打一个通俗的比方。交互式证明相当于老师要批改每一个考生的每一道考题,效率很低,但正确答案只掌握在老师这边,基本不存在有人偷答案的情况。


zk-SNARK直接上传了正确案,后让考生自己对答案(把自己解的某道题发送给后台系统,就会直接得到正确与否的最终结果),非常高效,代价是答案有可能被泄露,虽然这个答案系统是经过加密的。


因此针对zk-SNARK容易被泄露的问题,有很多围绕着提高「答案系统」安全性的解决方案,不同采用zk-SNARK的项目方的方案各有不同。如zCloak钱包是直接把算法以纯文本的形式发给用户,用户下载到本地去做计算(所以即使断网也依旧能完成工作


  zk-STARK:概率证明+缓冲时间


zk-STARK是成立于2017年12月的StarkWare团队开发的,它是针对zk-SNARK的替代解决方案。研发历时一年多,经过无数次迭代才彻底搞定,已经到2019年了。


zk-SNARK是提前生成公共参考字符串,用非交互式证明的方式提高了证明效率,但也留下了隐患。zk-STARK虽然是交互式证明,但它是一种巧妙的交互式证明——通过哈希函数碰撞(一种概率证明的方式)保证安全性,因此也实现了高效证明。


这个思路直接借鉴自2015年推出的交互式预言机证明(IOP)技术,简单来说是先把问题用密码学的方式打碎,然后验证者随机向示证提出几个的问题,如果几轮下来,示证都给出准确的回答,那么验证就通过了。


所以zk-STARK同样也只需要极少的计算资源就可以完成证明,但是它更安全,不存在答案泄露的风险。并且为了进一步确保安全性,还设置了争议时间延迟(DTD)来作为缓冲。


  zk-SNARK和zk-STARK的区别


1.透明度


zk-SNARK的公共参考字符串通常由一个小团体来保管,因此有泄露的可能性,从而被恶意利用,如创建虚假证明。


zk-STARK则直接利用生成随机性的参数来验证,不需要任何第三方的「答案系统」,因此透明度大幅提高。


2.抗量子计算机攻击


zk-SNARK未来会轻易被量子计算机暴力破解(通过分解计算从公钥中提取私钥)。当然,量子计算何时到来还是个问题。


zk-STARK采用的是哈希函数碰撞的方法来证明,理论上量子计算机的暴力破解是无效的。


3.可扩展性


zk-SNARK的证明在链上更具可扩展性(生成的证明的字节数更小)zk-STARK在纯链上似乎没有优势。


StarkWare官网宣称是最快的,可能是因为zk-STARK允许链下进行大规模计算和存储,然后在链上完成验证,因此可扩展性显著提升(甚至可以提高10倍),而成本显著降低。


  总结


zk-SNARK技术被采用得最多,尤其是在以太坊扩容场景中。zk-SNARK主要是围绕「隐私保护」去做身份、支付、DeFi、资产证明等各种应用。


zk-STARK虽然也在发展之中,但技术尚不成熟,至少在通用性上受限,所以我们看到大多是围绕着「可扩展性」去做各种应用。


不过据StarkWare团队在2022年的说法,已经解决了可扩展性,该把目标瞄准「隐私保护」了,而方式是通过StarkNet的Layer3以及Layer4中以分形分层的方式解决,这似乎与zk-STARK证明系统本身没有直接关系。


至少就目前而言,大多数以太坊Layer2项目(zkSync、Aztec、Loopring、Scroll等)都采用的是zk-SNARK技术路线,除了通用性上受限,还有一个原因是普遍反馈说zk-STARK的开发难度过大……


当然长远来看,zk-STARK可承载的运算量更大,可能更有前景。


总的来说,zk-SNARK和zk-STARK的关系,有些像Optimistic rollups和ZK rollups的关系,前者短期利好,后者长期利好。



热门赛道专题


 DeFi | GameFiNFT | DAO  SocialFi 

以太坊 | 元宇宙 | 跨链公链 

A&T View: 低门槛钱包——大众大规模采用Web3应用的必要工具

</h1>01摘要TL;DR:现有助记词钱包的用户体验和安全性都远远达不到Web2的级别,使用助记词钱包的高门槛阻止了大量Web2用户进入Web3世界。低门槛钱包的使命就是解决此问题。低门槛钱包的核心范式是2/2操作模型,它使得...

以太坊:抗审查之路

撰文:DonovanChoy,Bankless撰稿人编译:Zion,CT中文以太坊尚未实现抗审查……以下是开发者正在采取的措施。2022年8月8日,美国财政部制裁了TornadoCash。所有人都知道监管机构讨厌加密货币,但这一制裁令DeFi措手...

Beosin盘点 | 黑客依旧嚣张,11月区块链生态损失总金额超5亿美元!

又到了每月安全盘点时刻!据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,2022年11月,各类安全事件数量和涉及金额较10月有所下降。11月发生较典型安全事件超『17』起,各类安...

将 Web2 用户带入 Web3 —— 未来属于无助记词钱包

本文由YoubiCapital的ChenLi,IvyZeng和IvoEntchev共同撰写。对于第一次接触Web3的Web2用户来说,初次上手的体验(客气地说)是不大愉悦的。传统的EOA钱包需要经过钱包生成,私钥管理,保存助记词等一系列复杂繁琐的...

融资1000万美元的NFT流动性市场,能否成为NFTfi的基础设施?

作者:Chloe苏富比今年2月原先要拍卖一组被分割成104份的CryptoPunksNFT,估价高达2-3千万美元,但后来买家突然反悔导致这场交易失败。藏家就把这组NFT作为抵押品,在MetaStreet上成功贷款830万美元,刷新了NFT藏品抵...

上一篇:DAOrayaki &amp; THUBA DAO |NFTFi的核心机制和赛道分析
下一篇:Bankless:下一次牛市什么时候来临?