Написав: @Jesse_meta, дослідник інклюзивного фінансового вузла SUSS NiFT Сінгапурського університету соціальних наук; @EatonAshton2, дослідник Beosin; @kaplannie, дослідник безпеки в Least Authority
Примітка. Ця стаття є звітом про дослідження SUSS NiFT Blockchain Security Alliance
Незалежно від того, чи зберігається інформація в Інтернеті чи в офлайн-архівах, навмисно чи випадково, випадки витоку інформації сьогодні є звичайним явищем, і це годі й казати. Поки інформація зберігається централізовано, завжди існує ризик атаки з однієї точки. Поки для процесу перевірки потрібна довірена третя сторона, існуватимуть етичні ризики та неефективність. Рішення інформаційної безпеки є критично важливим і терміновим. Технологія підтвердження нульових знань дозволяє користувачам виконувати перевірку ефективніше та безпечніше, захищаючи свою конфіденційність.
Якщо біткойн є першим великим винаходом, який блокчейн привносить у реальний світ, забезпечуючи новий спосіб зберігання вартості, а смарт-контракти Ethereum є другою важливою віхою, що розкриває потенціал для інновацій, то застосування доказів нульового знання є Найбільша Третя за величиною технологічна інновація в історії розвитку блокчейну, що забезпечує конфіденційність і масштабованість. Це не лише важлива частина екосистеми Web3, а й важлива базова технологія, яка може сприяти суспільним змінам.
Ця стаття представляє сценарії застосування, принципи роботи, статус розробки та майбутні тенденції доказу з нульовим знанням з точки зору нетехнічної людини, щоб дозволити читачам без технічної підготовки зрозуміти основні зміни, які незабаром зазнає доказ з нульовим знанням. принести. **
1. Що таке доказ нульового знання?
Доведення з нульовим знанням (ZKP) — це математичний протокол, уперше запропонований у статті 1985 року «Складність знань інтерактивних доказів» у співавторстві Шафі Голдвассера, Сільвіо Мікалі та Чарльза Ракоффа. За винятком певного факту, який потрібно довести, буде не розкривати іншу інформацію. Верифікатор не має доступу до секретної інформації, яка створила доказ. Дозвольте навести вам приклад, який допоможе вам зрозуміти: я хочу довести, що я знаю чийсь номер телефону. Мені потрібно лише набрати номер телефону цієї людини при всіх, щоб підтвердити цей факт, не розкриваючи справжнього номера цієї людини. Докази з нульовим знанням забезпечують ефективний і майже безризиковий спосіб обміну даними. Використовуючи докази нульового знання, ми можемо зберегти право власності на дані, значно покращити захист конфіденційності та, сподіваємось, зробити витоки даних справою минулого.
Доказ нульового знання має три характеристики:
Завершеність
Якщо твердження правдиве, чесних верифікаторів переконають чесні докази. Тобто те, що правильно, не може бути неправильним.
раціональність
Якщо твердження хибне, у переважній більшості випадків оманливий доказ не може змусити чесного верифікатора повірити в хибне твердження. Тобто те, що не так, не може бути правильним.
НУЛЬ ЗНАНЬ
Якщо твердження правдиве, верифікатор не може отримати жодної додаткової інформації, окрім того, що твердження правдиве.
Докази з нульовим знанням мають дуже малу ймовірність створення обґрунтованих помилок, тобто обманний доказ може змусити верифікатор повірити в неправильне твердження. Доказ із нульовими знаннями є імовірнісним, а не детермінованим доказом, але ми можемо зменшити раціональну помилку до незначної за допомогою деяких методів.
2. Застосування доказу з нульовим знанням
Двома найважливішими сценаріями застосування доказу нульового знання є конфіденційність і масштабованість.
2.1 Конфіденційність
Докази з нульовим знанням дозволяють користувачам безпечно ділитися необхідною інформацією для отримання товарів і послуг без розкриття особистих даних, захищаючи їх від хакерів і витоку особистої інформації. З поступовою інтеграцією цифрового та фізичного полів функція захисту конфіденційності за допомогою підтвердження нульового знання стала вирішальною для інформаційної безпеки в Web3 і навіть за межами Web3. Без підтвердження нульового знання інформація про користувача існуватиме в довіреній сторонній базі даних і буде потенційно вразливою для хакерських атак. Першим випадком застосування доказу нульового знання в блокчейні є конфіденційна монета Zcash, яка використовується для приховування деталей транзакцій.
2.1.1 Захист і перевірка ідентифікаційної інформації
У онлайн-діяльності нам часто потрібно надавати таку інформацію, як ім’я, дата народження, адреса електронної пошти та складні паролі, щоб довести, що ми є користувачами з законними дозволами. Тому ми часто залишаємо конфіденційну інформацію в Інтернеті, яку не хочемо розголошувати. Зараз нерідко отримувати шахрайські дзвінки, які називають нас своїми іменами, що свідчить про те, що витік особистої інформації є дуже серйозним.
Ми можемо використовувати технологію блокчейн, щоб надати кожній людині спеціальний зашифрований цифровий ідентифікатор, який містить особисті дані. Цей цифровий ідентифікатор дозволяє побудувати децентралізовану ідентифікацію, і його неможливо підробити або змінити без відома його власника. Децентралізована ідентифікація дозволяє користувачам контролювати доступ до особистих даних, підтверджувати громадянство, не розкриваючи паспортні дані, спрощувати процес автентифікації та зменшувати кількість випадків, коли користувачі втрачають доступ через забуті паролі. Підтвердження нульового знання генеруються з загальнодоступних даних, які можуть підтверджувати особу користувача та особистих даних з інформацією про користувача, і можуть використовуватися для підтвердження особи, коли користувачі отримують доступ до послуг. Це не тільки скорочує громіздкий процес перевірки, покращує взаємодію з користувачем, але також дозволяє уникнути централізованого зберігання інформації користувача.
Крім того, докази з нульовим знанням також можна використовувати для створення приватних систем репутації, що дозволяє сервісним агентствам перевіряти, чи відповідають користувачі певним стандартам репутації, не розкриваючи свою особу. Користувачі можуть анонімно експортувати свою репутацію з таких платформ, як Facebook, Twitter і Github, при цьому маскуючи конкретний вихідний обліковий запис.
2.1.2 Анонімний платіж
Деталі транзакцій, оплачених банківськими картками, зазвичай доступні багатьом сторонам, включаючи постачальників платіжних послуг, банки та уряди. Це певною мірою розкриває конфіденційність звичайних громадян, і користувачі повинні довіряти відповідним сторонам, щоб вони не чинили зла.
Криптовалюти можуть дозволити здійснювати платежі без третіх сторін, дозволяючи прямі однорангові транзакції. Однак транзакції в основних публічних ланцюгах наразі є загальнодоступними. Хоча адреси користувачів є анонімними, особисті особи в реальному світі все ще можна знайти за допомогою аналізу даних пов’язаних адрес у ланцюзі та даних за межами ланцюга, таких як інформація KYC обміну та Twitter. Якщо ви знаєте адресу гаманця людини, ви можете будь-коли перевірити баланс свого банківського рахунку, що може навіть становити загрозу для особи та майна користувача.
Підтвердження з нульовим знанням може забезпечити анонімні платежі на трьох рівнях: конфіденційні монети, програми конфіденційності та публічні ланцюги конфіденційності. Монета конфіденційності Zcash приховує деталі транзакції, зокрема адресу відправника, одержувача, тип активу, кількість і час. Tornado Cash — це децентралізована програма на Ethereum, яка використовує безпідставне підтвердження, щоб маскувати деталі транзакцій для надання приватних переказів (але також часто використовується хакерами для відмивання грошей). Aleo — це блокчейн L1, розроблений для забезпечення функцій конфіденційності для програм на рівні протоколу.
2.1.3 Чесна поведінка
Докази з нульовим знанням можуть сприяти чесній поведінці, зберігаючи конфіденційність. Протокол може вимагати від користувачів надавати докази нульового знання, щоб підтвердити свою чесну поведінку. Через раціональність доказів із нульовим знанням (неправильне не може бути правильним), користувачі повинні діяти чесно відповідно до вимог протоколу, перш ніж вони зможуть надати дійсні докази.
MACI (Minimal Anti-Collusion Infrastructure) — це сценарій застосування, який сприяє чесності та запобігає змові під час голосування в мережі або інших форм прийняття рішень. Для досягнення цієї мети система використовує пари ключів і технологію підтвердження нульового знання. У MACI користувачі реєструють свої відкриті ключі в смарт-контракті та надсилають свої голоси за контракт за допомогою зашифрованих повідомлень. Функція запобігання змові MACI дозволяє виборцям змінювати свої відкриті ключі, щоб інші не дізналися про їхній вибір. Наприкінці періоду голосування координатор використовує підтвердження з нульовим знанням, щоб підтвердити, що він правильно обробив усі повідомлення, а кінцевим результатом голосування є сума всіх дійсних голосів. Це забезпечує чесність і чесність голосування.
2.1.4 Перевірка особистої інформації
Коли ми хочемо отримати позику, ми можемо отримати цифрову довідку про доходи від компанії, щоб подати заявку на позику. Легітимність цього доказу можна легко перевірити криптографічно. Банк може використовувати підтвердження нульової інформації, щоб підтвердити, що наш дохід досягає необхідного мінімуму, але він не отримає конфіденційну конкретну інформацію.
2.1.5 Поєднання машинного навчання для використання потенціалу приватних даних
При навчанні моделей машинного навчання зазвичай потрібні великі обсяги даних. Використовуючи докази з нульовим знанням, власники даних можуть довести, що їхні дані відповідають вимогам для навчання моделі, фактично не розкриваючи дані. Це допомагає використовувати особисті дані та монетизувати їх.
Крім того, докази з нульовим знанням можуть дозволити творцям моделей довести, що їхні моделі відповідають певним показникам продуктивності, не розкриваючи деталі моделі, щоб запобігти копіюванню чи підробці їхніх моделей іншими.
2.2 Розширюваний
Оскільки кількість користувачів блокчейну зростає, у блокчейні потрібно виконувати велику кількість обчислень, що спричиняє перевантаження транзакцій. Деякі блокчейни підуть на шлях розширення шардингу, але це потребує великої кількості складних модифікацій базового рівня блокчейну, що може загрожувати безпеці блокчейну. Ще одне більш можливе рішення — скористатися маршрутом ZK-Rollup, використати обчислення, які можна перевірити, передати обчислення суб’єктам іншого ланцюга для виконання, а потім надіслати докази з нульовим знанням і результати, які можна перевірити, до основного ланцюга для перевірки. Підтвердження з нульовим знанням гарантує автентичність транзакції. Основному ланцюгу потрібно лише оновити результат до стану. Немає необхідності зберігати деталі чи повторювати обчислення, і немає необхідності чекати, поки інші обговорять автентичність транзакції. транзакцій, що значно підвищує ефективність і масштабованість. Розробники можуть використовувати докази з нульовим знанням для розробки легких вузлів dapps, які можуть працювати на звичайному апаратному забезпеченні, такому як мобільні телефони, що більше сприяє охопленню Web3 масами.
Розширення доказу нульового знання може бути застосоване як до мережі першого рівня, такої як Mina Protocol, так і до ZK-зведень мережі другого рівня.
3. Як працює доказ нульового знання
Дмитро Лаверенов (2019) поділяє структури підтвердження з нульовим знанням на інтерактивні та неінтерактивні.
3.1 Інтерактивне підтвердження нульового знання
Основна форма інтерактивного доказу з нульовим знанням складається з трьох етапів: докази, оспорювач і відповідь
Докази: прихована таємна інформація є доказом доказу. Ці докази ставлять низку запитань, на які може дати правильну відповідь лише той, хто знає інформацію. Проверювач починає довільний вибір запитань і надсилає розраховані відповіді верифікатору для перевірки.
Завдання: верифікатор випадковим чином обирає інше запитання з набору та просить перевіряючого відповісти на нього.
Відповідь: перевіряльник приймає запитання, обчислює відповідь і повертає результат верифікатору. Відповідь перевіряючого дає можливість верифікатору перевірити, чи знає він докази.
Цей процес можна повторювати кілька разів, доки ймовірність того, що перевірник вгадає правильну відповідь, не знаючи секретної інформації, не стане достатньо низькою. Наведемо спрощений математичний приклад: якщо ймовірність того, що прувер зможе вгадати правильну відповідь, не знаючи секретної інформації, дорівнює 1/2, а взаємодія повторюється десять разів, то ймовірність того, що прувер влучить щоразу, становить лише 9,7 з 10 000. Якщо ви хочете перевірити Ймовірність того, що особа помилково підтвердить фальшиву сертифікацію, надзвичайно низька.
3.2 Неінтерактивне підтвердження нульового знання
Інтерактивні докази з нульовим знанням мають обмеження. З одного боку, довідник і верифікатор повинні існувати одночасно та виконувати повторні перевірки. З іншого боку, кожен обчислення нового доказу вимагає від довідника та верифікатора проходити набір інформації Доказ не можна повторно використовувати в незалежній перевірці.
Щоб вирішити обмеження інтерактивних доказів з нульовим знанням, Мануель Блум, Пол Фельдман і Сільвіо Мікалі запропонували неінтерактивні докази з нульовим знанням, у яких перевіряльник і верифікатор мають спільний ключ, і потрібен лише один раунд перевірки. щоб зробити доказ нульового знання ефективнішим. Проверювач обчислює секретну інформацію за допомогою спеціального алгоритму для створення доказу з нульовим знанням і надсилає його верифікатору. Верифікатор використовує інший алгоритм, щоб перевірити, чи знає прувер секретну інформацію. Коли це підтвердження з нульовим знанням буде згенеровано, будь-хто зі спільним ключем і алгоритмом перевірки може перевірити його.
Неінтерактивне підтвердження з нульовим знанням є великим проривом у технології підтвердження з нульовим знанням і сприяє розвитку сучасних систем підтвердження з нульовим знанням. Основні методи - ЗК-СНАРК і ЗК-СТАРК.
4. Основні технічні шляхи доказу з нульовим знанням
Алхімія (2022) поділяє технічні шляхи доказу з нульовим знанням на ZK-SNARK, ZK-STARK і рекурсивний ZK-SNARK.
4.1 ZK-SNARK
ZK-SNARK є коротким, неінтерактивним доказом нульового знання.
Щоб публічний ланцюжок забезпечував правильність транзакцій, що виконуються в мережі, це має бути досягнуто за допомогою повторного запуску кожної транзакції на інших комп’ютерах (вузлах). Однак цей метод змусить кожен вузол повторно виконувати кожну транзакцію, що сповільнить роботу мережі та обмежить масштабованість. Вузли також повинні зберігати дані транзакцій, що спричиняє експоненціальне зростання розміру блокчейну.
Для цих обмежень в гру вступає ZK-SNARK. Він може підтвердити правильність обчислень, виконаних поза мережею, не вимагаючи від вузлів повторного відтворення кожного кроку обчислення. Це також усуває необхідність у вузлах зберігати надлишкові дані транзакцій і підвищує пропускну здатність мережі.
Використання SNARK для перевірки обчислень поза мережею кодує обчислення в математичний вираз для формування доказу дійсності. Верифікатор перевіряє правильність доказу. Якщо доказ пройшов усі перевірки, базове обчислення вважається дійсним. Розмір підтвердження дійсності у багато разів менший за обчислення, які воно перевіряє, тому ми називаємо SNARK короткими.
Більшість зведених пакетів ZK з використанням ZK-SNARK виконують наступні дії.
**1. Користувачі L2 підписують транзакцію та надсилають її верифікатору. **
**2. Верифікатор використовує криптографію для стиснення кількох транзакцій для створення відповідних сертифікатів дійсності (SNARK). **
**3. Смарт-контракт у ланцюжку L1 перевіряє сертифікат дійсності та визначає, чи публікується ця партія транзакцій у головному ланцюзі. **
Варто зазначити, що ZK-SNARK вимагає надійних налаштувань. На цьому етапі генератор ключів використовує програму та секретний параметр для генерації двох доступних для використання відкритих ключів, одного для створення доказу, а іншого для перевірки доказу. Цим двом відкритим ключам потрібно лише один раз згенерувати загальнодоступні параметри під час довіреної церемонії налаштування, і вони можуть використовуватися кілька разів сторонами, які бажають брати участь у протоколі нульового знання. Користувачі повинні вірити, що учасники довірених ритуалів налаштування не є злими, і немає способу оцінити чесність учасників. Знання секретних параметрів може створити фальшиві докази та ввести в оману верифікатор, тому існують потенційні ризики для безпеки. Наразі є дослідники, які досліджують рішення ZK-SNARK, які не вимагають довіри.
Перевага
1. Безпека
Зведення ZK вважається більш безпечним рішенням розширення, ніж зведення OP, оскільки ZK-SNARK використовує розширений механізм безпеки шифрування, що ускладнює обман верифікаторів і зловмисну поведінку.
2. Висока пропускна здатність
ZK-SNARK зменшує кількість обчислень у нижній частині Ethereum, зменшуючи перевантаження основної мережі. Обчислення поза мережею розподіляють витрати на транзакції, забезпечуючи більш високу швидкість транзакцій.
3. Малий пробний розмір
Завдяки невеликому розміру доказів SNARK їх легко перевіряти в основному ланцюзі, що означає, що комісія за газ для перевірки транзакцій поза ланцюгом нижча, що зменшує витрати для користувачів.
Обмеження
1. Відносна централізація
Більшість часу покладається на надійну установку. Це суперечить початковому наміру блокчейну позбутися довіри.
Генерація доказів дійсності за допомогою ZK-SNARK є інтенсивним обчислювальним процесом, і перевіряльник повинен інвестувати в спеціалізоване обладнання. Це обладнання дороге, і лише кілька людей можуть його собі дозволити, тому процес перевірки ZK-SNARK дуже централізований.
2.ZK-SNARK використовує криптографію еліптичної кривої (ECC) для шифрування інформації, яка використовується для створення доказів дійсності. Наразі це відносно безпечно, але прогрес у квантових обчисленнях може порушити його модель безпеки.
Проекти з використанням ZK SNARK
Полігон Гермез
Polygon придбала Hermez за 250 мільйонів доларів США у 2021 році, ставши першим повним злиттям і поглинанням двох блокчейн-мереж. Технологія ZK та інструменти, які Hermez привніс у базу користувачів Polygon, що швидко зростає, дозволили Polygon отримати підтримку в розробці zkEVM. Hermez 1.0 — це платіжна платформа, яка виконує пакет транзакцій поза мережею, дозволяючи користувачам легко переносити токени ERC-20 з одного облікового запису Hermez на інший обліковий запис Hermez із до 2000 транзакцій на секунду.
Hermez 2.0 діє як zkEVM з нульовим знанням для прозорого виконання транзакцій Ethereum, включаючи смарт-контракти з перевіркою з нульовим знанням. Він повністю сумісний з Ethereum і не вимагає багато змін у коді смарт-контракту, що робить розробникам зручним розгортання проектів L1 на Polygon Hermez. Hermez 1.0 використовує SNARK-докази, а 2.0 використовує як SNARK-докази, так і STARK-докази. У 2.0 STARK-proof використовується для підтвердження дійсності транзакцій поза мережею. Однак вартість перевірки STARK-proof на головному ланцюзі дуже висока, тому SNARK-proof введено для перевірки STARK.
zkSync
zkSync 1.0, запущений Matter Labs у 2020 році, не підтримує смарт-контракти і в основному використовується для транзакцій або переказів. ZkSync 2.0, який підтримує розумні контракти, буде публічно запущений в основній мережі в березні 2023 року.
ZkSync компілює вихідний код смарт-контракту Solidity на Ethereum у Yul для досягнення сумісності з EVM. Yul — це проміжна мова, яку можна скомпілювати в байт-код для різних EVM. Код Yul можна перекомпілювати в набір байт-кодів, сумісний зі схемою, розроблений для zkEVM zkSync за допомогою фреймворку компілятора LLVM. Цей підхід усуває необхідність виконувати перевірки zk за допомогою коду вищого рівня для всіх етапів виконання EVM, полегшуючи децентралізацію процесу перевірки, зберігаючи високу продуктивність. У майбутньому можна буде додати підтримку Rust, Java або інших мов шляхом створення нових інтерфейсів компілятора, підвищення гнучкості архітектури zkEVM і охоплення більшої кількості розробників.
Ацтеки
Aztec — це перший гібридний zkRollup, який дозволяє виконувати публічні та приватні смарт-контракти в одному середовищі. Це середовище виконання з нульовим знанням, а не zkEVM. Конфіденційність досягається шляхом об’єднання публічних і приватних виконання в єдине гібридне зведення, як-от приватні транзакції для публічних AMM, приватні розмови в публічних іграх, приватне голосування за публічні DAO тощо.
4.2 ZK-STARK
ZK-STARK не вимагає надійного налаштування. ZK-STARK — це абревіатура від Zero-Knowledge Scalable Transparent Argument of Knowledge. У порівнянні з ZK-SNARK, ZK-STARK має кращу масштабованість і прозорість.
Перевага
1. Втратити довіру
ZK-STARK публічно перевіряє випадковість для заміни надійних налаштувань, зменшуючи залежність від учасників і покращуючи безпеку протоколу.
2. Розширені можливості розширення
Незважаючи на те, що складність базових обчислень зростає в геометричній прогресії, ZK-STARK все ще підтримує менший час перевірки та перевірки, а не лінійне зростання, як ZK-SNARK.
3. Вища гарантія безпеки
ZK-STARK використовує стійкі до колізій хеш-значення для шифрування замість схеми еліптичної кривої, яка використовується в ZK-SNARK, яка стійка до атак квантових обчислень.
Обмеження
1. Більший пробний розмір
Розмір перевірки ZK-STARK більший, що робить перевірку в основній мережі більш успішною.
2. Нижчий рівень прийняття
ZK-SNARK — це перше практичне застосування доказу нульового знання в блокчейні, тому більшість зведених пакетів ZK використовують ZK-SNARK, який має більш зрілі системи та інструменти для розробників. Хоча ZK-STARK також підтримується Ethereum Foundation, рівень його впровадження недостатній, і основні інструменти потребують вдосконалення.
**У яких проектах використовується ZK-STARK? **
Полігон Міден
Polygon Miden, рішення для масштабування на основі Ethereum L2, використовує технологію zk-STARK для інтеграції великої кількості транзакцій L2 в одну транзакцію Ethereum, таким чином збільшуючи потужність обробки та знижуючи витрати на транзакції. Без шардингу Polygon Miden може створити блок за 5 секунд, а його TPS може досягати понад 1000. Після шардингу TPS може досягати 10 000. Користувачі можуть вивести кошти з Polygon Miden на Ethereum всього за 15 хвилин. Основною функцією Polygon Miden є повна Тьюрингова віртуальна машина на основі STARK - Miden VM, яка полегшує формальну перевірку контрактів.
StarkEx і StarkNet
StarkEx — це платформа для розширень ліцензування рішень, налаштованих для конкретних програм. Проекти можуть використовувати StarkEx для виконання недорогих обчислень поза мережею та створення доказів STARK, які підтверджують правильність виконання. Таке підтвердження містить 12 000–500 000 транзакцій. Зрештою, підтвердження надсилається до валідатора STARK у ланцюжку, і оновлення статусу приймається після правильності підтвердження. Програми, розгорнуті на StarkEx, включають безстрокові опціони dYdX, NFT L2 Immutable, торговий ринок спортивних цифрових карт Sorare та багатоланцюговий агрегатор DeFi rhino.fi.
StarkNet — це L2 без дозволу, де будь-хто може розгортати смарт-контракти, розроблені мовою Cairo. Контракти, розгорнуті в StarkNet, можуть взаємодіяти один з одним для створення нових складених протоколів. На відміну від StarkEx, де програми відповідають за надсилання транзакцій, секвенсор StarkNet групує транзакції та надсилає їх на обробку та сертифікацію. StarkNet більше підходить для протоколів, яким потрібно синхронно взаємодіяти з іншими протоколами або які виходять за рамки додатків StarkEx. У міру розвитку StarkNet програми на основі StarkEx можна буде перенести на StarkNet і насолоджуватися компонуванням.
Порівняння ZK-SNARK і ZK-STARK
4.3 Рекурсивний ZK-SNARK
Звичайні зведені ZK можуть обробляти лише один блок транзакцій, що обмежує кількість транзакцій, які вони можуть обробити. Рекурсивний ZK-SNARK може перевіряти більше одного блоку транзакцій, об’єднуючи SNARK, згенеровані різними блоками L2, в єдиний сертифікат дійсності та надсилаючи його в ланцюг L1. Після того, як контракт L1 on-chain приймає надані докази, усі ці транзакції стають дійсними, що значно збільшує кількість транзакцій, які в кінцевому підсумку можуть бути завершені за допомогою доказів з нульовим знанням.
Plonky2 — це новий механізм перевірки від Polygon Zero, який використовує рекурсивні ZK-SNARK для розширення транзакцій. Рекурсивні SNARK розширюють процес створення доказів, об’єднуючи кілька доказів у рекурсивний доказ. Plonky2 використовує ту саму технологію, щоб скоротити час для створення нових доказів блоку. Plonky2 генерує докази для тисяч транзакцій паралельно, а потім рекурсивно об’єднує їх у блок доказів, тому швидкість генерації є дуже високою. Звичайний механізм перевірки намагається згенерувати перевірку всього блоку одночасно, що є ще менш ефективним. Крім того, Plonky2 також може генерувати докази на пристроях споживчого класу, вирішуючи проблему централізації апаратного забезпечення, часто пов’язану з доказами SNARK.
5. Zero Knowledge Rollup VS Optimistic Rollup
ZK-SNARK і ZK-STARK стали основною інфраструктурою проектів розширення блокчейну, особливо рішення Zero Knowledge Rollup. Zero-Knowledge Rollup відноситься до рішення розширення другого рівня для Ethereum, яке використовує технологію з нульовим знанням для передачі всіх обчислень на обробку поза мережею для зменшення перевантаження мережі. Основна перевага Zero Knowledge Rollup полягає в тому, що він може значно збільшити пропускну здатність транзакцій Ethereum, зберігаючи при цьому низькі комісії за транзакції, і щойно транзакцію буде упаковано в зведений пакет, її можна визначити негайно.
Окрім Zero Knowledge Rollup, поточні рішення розширення L2 Ethereum також включають Optimistic Rollup. Транзакції, запущені в Optimistic Rollup, є дійсними та виконуються негайно за умовчанням. Тільки коли буде виявлено шахрайську транзакцію (хтось надасть докази шахрайства), транзакцію буде скасовано. Тому безпека нижча, ніж Zero Knowledge Rollup. Щоб запобігти шахрайським транзакціям, Optimistic Rollup має період перевірки, після якого транзакцію потрібно завершити. Це може призвести до того, що користувачам доведеться чекати деякий час, перш ніж отримати свої кошти.
Коли EVM спочатку розроблявся, використання технології підтвердження нульового знання не розглядалося. Віталік, засновник Ethereum, вважає, що Zero Knowledge Rollup буде технічно складним у короткостроковій перспективі, але з часом переможе Optimistic Rollup у війні за розширення. Нижче наведено порівняння Zero Knowledge Rollup і Optimistic Rollup.
Джерело: SUSS NiFT, ChatGPT
6. Які майбутні перспективи технології з нульовим знанням?
Сфера технології підтвердження нульового знання знаходиться в унікальному становищі: останніми роками багато зусиль було спрямовано на розвиток досліджень у цій галузі, і багато результатів є досить новими в галузі криптографії та безпечного зв’язку. Тому академічна спільнота та спільнота розробників ще потребують відповіді на багато цікавих питань. У той же час технологія з нульовим знанням використовується в різних проектах, демонструючи виклики технології з нульовим знанням і розширюючи її вимоги.
Однією з проблем, що викликають занепокоєння технології захисту від нульового знання, є обговорення постквантової безпеки технології захисту від нульового знання. SNARK (Succinct Non-Interactive Arguments of Knowledge), що підлягають публічній перевірці, є ключовим компонентом у сфері технологій без знань. Однак більшість широко використовуваних схем SNARK, які можна перевірити публічно, не вважаються квантово безпечними. Приклади включають Groth16, Sonic, Marlin, SuperSonic і Spartan. Ці рішення спираються на математичні проблеми, які можна ефективно розв’язувати за допомогою квантових комп’ютерів, що значно ставить під загрозу їхню безпеку в постквантовому світі.
Ми виявили, що академічна спільнота активно шукає квантово-безпечні докази з нульовим знанням, які можна використовувати для різноманітних тверджень без етапу попередньої обробки. Поточні приклади найсучасніших квантово-безпечних доказів із нульовим знанням включають такі схеми, як Ligero, Aurora, Fractal, Lattice Bulletproofs і LPK22. Ligero, Aurora і Fractal засновані на хеш-функціях, тоді як Lattice Bulletproofs і LKP22 засновані на функціях решітки. Обидві функції вважаються квантово безпечними. Популяризація цих програм і підвищення їх ефективності стала тенденцією.
Ще одне очікування, яке ми маємо щодо майбутнього технології з нульовими знаннями, — це її здатність протистояти атакам і зрілості коду, пов’язаного з впровадженням. Враховуючи збільшення кількості написаного коду, буде більше безпечних і перевірених бібліотек і найкращих практик для різних методів підтвердження з нульовим знанням. Звичайно, у майбутньому буде більше поширених помилок, які чекатимуть, щоб їх виявили та повідомили. Ми очікуємо, що ця галузь стане зрілою та стане широко запровадженою, докладаючи зусиль щодо стандартизації протоколів і забезпечення сумісності між різними реалізаціями. Проект під назвою ZKProof уже почав це робити.
Ще одна тенденція, яка продовжить існувати в технологічному співтоваристві з нульовими знаннями, — це більше роботи над ефективними алгоритмами та, можливо, спеціальним обладнанням. В останні роки ми спостерігаємо зменшення розмірів доказів, а перевірки та верифікатори стають більш ефективними. Удосконалення алгоритмів, спеціального апаратного забезпечення та обчислювальної оптимізації можуть призвести до швидших і більш масштабованих реалізацій.
У той час як ефективність існуючих алгоритмів приносить користь майбутнім користувачам технології доказів з нульовим знанням, ми також очікуємо, що можливості доказів з нульовим знанням продовжуватимуть розширюватися. У минулому ми стикалися з багатьма випадками впровадження попередньо оброблених ZK-SNARK. Зараз ми бачимо все більше і більше масштабованих екземплярів ZK-SNARK. Крім того, деякі методи підтвердження з нульовим знанням використовуються більше через їхню простоту, ніж через їхні можливості з нульовим знанням.
Нарешті, ще одна тенденція в технології доказів з нульовим знанням — це перетин машинного навчання та доказів з нульовим знанням (ZKML). Ідея вимагає навчання великих мовних моделей у багатопартійному середовищі та використання методів нульового знання для перевірки обчислень. Це дуже корисно для сучасного штучного інтелекту. Є потенціал для появи проектів у цій сфері.
Висновок
Цю статтю спільно написали члени Blockchain Security Alliance. Завдяки введенню цієї статті ми можемо зрозуміти широке застосування, технічні шляхи, тенденції розвитку та проблеми доказу нульових знань у сфері блокчейну. **Ми віримо, що з розвитком апаратних технологій і криптографії докази з нульовим знанням досягнуть нових проривів у майбутньому, забезпечуючи швидші та безпечніші послуги додатків для цифрового світу. **
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Доказ нульового знання з нетехнічної точки зору: чому це стало третьою великою технологічною інновацією в історії розвитку блокчейна?
Написав: @Jesse_meta, дослідник інклюзивного фінансового вузла SUSS NiFT Сінгапурського університету соціальних наук; @EatonAshton2, дослідник Beosin; @kaplannie, дослідник безпеки в Least Authority
Примітка. Ця стаття є звітом про дослідження SUSS NiFT Blockchain Security Alliance
Незалежно від того, чи зберігається інформація в Інтернеті чи в офлайн-архівах, навмисно чи випадково, випадки витоку інформації сьогодні є звичайним явищем, і це годі й казати. Поки інформація зберігається централізовано, завжди існує ризик атаки з однієї точки. Поки для процесу перевірки потрібна довірена третя сторона, існуватимуть етичні ризики та неефективність. Рішення інформаційної безпеки є критично важливим і терміновим. Технологія підтвердження нульових знань дозволяє користувачам виконувати перевірку ефективніше та безпечніше, захищаючи свою конфіденційність.
Якщо біткойн є першим великим винаходом, який блокчейн привносить у реальний світ, забезпечуючи новий спосіб зберігання вартості, а смарт-контракти Ethereum є другою важливою віхою, що розкриває потенціал для інновацій, то застосування доказів нульового знання є Найбільша Третя за величиною технологічна інновація в історії розвитку блокчейну, що забезпечує конфіденційність і масштабованість. Це не лише важлива частина екосистеми Web3, а й важлива базова технологія, яка може сприяти суспільним змінам.
Ця стаття представляє сценарії застосування, принципи роботи, статус розробки та майбутні тенденції доказу з нульовим знанням з точки зору нетехнічної людини, щоб дозволити читачам без технічної підготовки зрозуміти основні зміни, які незабаром зазнає доказ з нульовим знанням. принести. **
1. Що таке доказ нульового знання?
Доведення з нульовим знанням (ZKP) — це математичний протокол, уперше запропонований у статті 1985 року «Складність знань інтерактивних доказів» у співавторстві Шафі Голдвассера, Сільвіо Мікалі та Чарльза Ракоффа. За винятком певного факту, який потрібно довести, буде не розкривати іншу інформацію. Верифікатор не має доступу до секретної інформації, яка створила доказ. Дозвольте навести вам приклад, який допоможе вам зрозуміти: я хочу довести, що я знаю чийсь номер телефону. Мені потрібно лише набрати номер телефону цієї людини при всіх, щоб підтвердити цей факт, не розкриваючи справжнього номера цієї людини. Докази з нульовим знанням забезпечують ефективний і майже безризиковий спосіб обміну даними. Використовуючи докази нульового знання, ми можемо зберегти право власності на дані, значно покращити захист конфіденційності та, сподіваємось, зробити витоки даних справою минулого.
Доказ нульового знання має три характеристики:
Завершеність
Якщо твердження правдиве, чесних верифікаторів переконають чесні докази. Тобто те, що правильно, не може бути неправильним.
раціональність
Якщо твердження хибне, у переважній більшості випадків оманливий доказ не може змусити чесного верифікатора повірити в хибне твердження. Тобто те, що не так, не може бути правильним.
НУЛЬ ЗНАНЬ
Якщо твердження правдиве, верифікатор не може отримати жодної додаткової інформації, окрім того, що твердження правдиве.
Докази з нульовим знанням мають дуже малу ймовірність створення обґрунтованих помилок, тобто обманний доказ може змусити верифікатор повірити в неправильне твердження. Доказ із нульовими знаннями є імовірнісним, а не детермінованим доказом, але ми можемо зменшити раціональну помилку до незначної за допомогою деяких методів.
2. Застосування доказу з нульовим знанням
Двома найважливішими сценаріями застосування доказу нульового знання є конфіденційність і масштабованість.
2.1 Конфіденційність
Докази з нульовим знанням дозволяють користувачам безпечно ділитися необхідною інформацією для отримання товарів і послуг без розкриття особистих даних, захищаючи їх від хакерів і витоку особистої інформації. З поступовою інтеграцією цифрового та фізичного полів функція захисту конфіденційності за допомогою підтвердження нульового знання стала вирішальною для інформаційної безпеки в Web3 і навіть за межами Web3. Без підтвердження нульового знання інформація про користувача існуватиме в довіреній сторонній базі даних і буде потенційно вразливою для хакерських атак. Першим випадком застосування доказу нульового знання в блокчейні є конфіденційна монета Zcash, яка використовується для приховування деталей транзакцій.
2.1.1 Захист і перевірка ідентифікаційної інформації
У онлайн-діяльності нам часто потрібно надавати таку інформацію, як ім’я, дата народження, адреса електронної пошти та складні паролі, щоб довести, що ми є користувачами з законними дозволами. Тому ми часто залишаємо конфіденційну інформацію в Інтернеті, яку не хочемо розголошувати. Зараз нерідко отримувати шахрайські дзвінки, які називають нас своїми іменами, що свідчить про те, що витік особистої інформації є дуже серйозним.
Ми можемо використовувати технологію блокчейн, щоб надати кожній людині спеціальний зашифрований цифровий ідентифікатор, який містить особисті дані. Цей цифровий ідентифікатор дозволяє побудувати децентралізовану ідентифікацію, і його неможливо підробити або змінити без відома його власника. Децентралізована ідентифікація дозволяє користувачам контролювати доступ до особистих даних, підтверджувати громадянство, не розкриваючи паспортні дані, спрощувати процес автентифікації та зменшувати кількість випадків, коли користувачі втрачають доступ через забуті паролі. Підтвердження нульового знання генеруються з загальнодоступних даних, які можуть підтверджувати особу користувача та особистих даних з інформацією про користувача, і можуть використовуватися для підтвердження особи, коли користувачі отримують доступ до послуг. Це не тільки скорочує громіздкий процес перевірки, покращує взаємодію з користувачем, але також дозволяє уникнути централізованого зберігання інформації користувача.
Крім того, докази з нульовим знанням також можна використовувати для створення приватних систем репутації, що дозволяє сервісним агентствам перевіряти, чи відповідають користувачі певним стандартам репутації, не розкриваючи свою особу. Користувачі можуть анонімно експортувати свою репутацію з таких платформ, як Facebook, Twitter і Github, при цьому маскуючи конкретний вихідний обліковий запис.
2.1.2 Анонімний платіж
Деталі транзакцій, оплачених банківськими картками, зазвичай доступні багатьом сторонам, включаючи постачальників платіжних послуг, банки та уряди. Це певною мірою розкриває конфіденційність звичайних громадян, і користувачі повинні довіряти відповідним сторонам, щоб вони не чинили зла.
Криптовалюти можуть дозволити здійснювати платежі без третіх сторін, дозволяючи прямі однорангові транзакції. Однак транзакції в основних публічних ланцюгах наразі є загальнодоступними. Хоча адреси користувачів є анонімними, особисті особи в реальному світі все ще можна знайти за допомогою аналізу даних пов’язаних адрес у ланцюзі та даних за межами ланцюга, таких як інформація KYC обміну та Twitter. Якщо ви знаєте адресу гаманця людини, ви можете будь-коли перевірити баланс свого банківського рахунку, що може навіть становити загрозу для особи та майна користувача.
Підтвердження з нульовим знанням може забезпечити анонімні платежі на трьох рівнях: конфіденційні монети, програми конфіденційності та публічні ланцюги конфіденційності. Монета конфіденційності Zcash приховує деталі транзакції, зокрема адресу відправника, одержувача, тип активу, кількість і час. Tornado Cash — це децентралізована програма на Ethereum, яка використовує безпідставне підтвердження, щоб маскувати деталі транзакцій для надання приватних переказів (але також часто використовується хакерами для відмивання грошей). Aleo — це блокчейн L1, розроблений для забезпечення функцій конфіденційності для програм на рівні протоколу.
2.1.3 Чесна поведінка
Докази з нульовим знанням можуть сприяти чесній поведінці, зберігаючи конфіденційність. Протокол може вимагати від користувачів надавати докази нульового знання, щоб підтвердити свою чесну поведінку. Через раціональність доказів із нульовим знанням (неправильне не може бути правильним), користувачі повинні діяти чесно відповідно до вимог протоколу, перш ніж вони зможуть надати дійсні докази.
MACI (Minimal Anti-Collusion Infrastructure) — це сценарій застосування, який сприяє чесності та запобігає змові під час голосування в мережі або інших форм прийняття рішень. Для досягнення цієї мети система використовує пари ключів і технологію підтвердження нульового знання. У MACI користувачі реєструють свої відкриті ключі в смарт-контракті та надсилають свої голоси за контракт за допомогою зашифрованих повідомлень. Функція запобігання змові MACI дозволяє виборцям змінювати свої відкриті ключі, щоб інші не дізналися про їхній вибір. Наприкінці періоду голосування координатор використовує підтвердження з нульовим знанням, щоб підтвердити, що він правильно обробив усі повідомлення, а кінцевим результатом голосування є сума всіх дійсних голосів. Це забезпечує чесність і чесність голосування.
2.1.4 Перевірка особистої інформації
Коли ми хочемо отримати позику, ми можемо отримати цифрову довідку про доходи від компанії, щоб подати заявку на позику. Легітимність цього доказу можна легко перевірити криптографічно. Банк може використовувати підтвердження нульової інформації, щоб підтвердити, що наш дохід досягає необхідного мінімуму, але він не отримає конфіденційну конкретну інформацію.
2.1.5 Поєднання машинного навчання для використання потенціалу приватних даних
При навчанні моделей машинного навчання зазвичай потрібні великі обсяги даних. Використовуючи докази з нульовим знанням, власники даних можуть довести, що їхні дані відповідають вимогам для навчання моделі, фактично не розкриваючи дані. Це допомагає використовувати особисті дані та монетизувати їх.
Крім того, докази з нульовим знанням можуть дозволити творцям моделей довести, що їхні моделі відповідають певним показникам продуктивності, не розкриваючи деталі моделі, щоб запобігти копіюванню чи підробці їхніх моделей іншими.
2.2 Розширюваний
Оскільки кількість користувачів блокчейну зростає, у блокчейні потрібно виконувати велику кількість обчислень, що спричиняє перевантаження транзакцій. Деякі блокчейни підуть на шлях розширення шардингу, але це потребує великої кількості складних модифікацій базового рівня блокчейну, що може загрожувати безпеці блокчейну. Ще одне більш можливе рішення — скористатися маршрутом ZK-Rollup, використати обчислення, які можна перевірити, передати обчислення суб’єктам іншого ланцюга для виконання, а потім надіслати докази з нульовим знанням і результати, які можна перевірити, до основного ланцюга для перевірки. Підтвердження з нульовим знанням гарантує автентичність транзакції. Основному ланцюгу потрібно лише оновити результат до стану. Немає необхідності зберігати деталі чи повторювати обчислення, і немає необхідності чекати, поки інші обговорять автентичність транзакції. транзакцій, що значно підвищує ефективність і масштабованість. Розробники можуть використовувати докази з нульовим знанням для розробки легких вузлів dapps, які можуть працювати на звичайному апаратному забезпеченні, такому як мобільні телефони, що більше сприяє охопленню Web3 масами.
Розширення доказу нульового знання може бути застосоване як до мережі першого рівня, такої як Mina Protocol, так і до ZK-зведень мережі другого рівня.
3. Як працює доказ нульового знання
Дмитро Лаверенов (2019) поділяє структури підтвердження з нульовим знанням на інтерактивні та неінтерактивні.
3.1 Інтерактивне підтвердження нульового знання
Основна форма інтерактивного доказу з нульовим знанням складається з трьох етапів: докази, оспорювач і відповідь
Цей процес можна повторювати кілька разів, доки ймовірність того, що перевірник вгадає правильну відповідь, не знаючи секретної інформації, не стане достатньо низькою. Наведемо спрощений математичний приклад: якщо ймовірність того, що прувер зможе вгадати правильну відповідь, не знаючи секретної інформації, дорівнює 1/2, а взаємодія повторюється десять разів, то ймовірність того, що прувер влучить щоразу, становить лише 9,7 з 10 000. Якщо ви хочете перевірити Ймовірність того, що особа помилково підтвердить фальшиву сертифікацію, надзвичайно низька.
3.2 Неінтерактивне підтвердження нульового знання
Інтерактивні докази з нульовим знанням мають обмеження. З одного боку, довідник і верифікатор повинні існувати одночасно та виконувати повторні перевірки. З іншого боку, кожен обчислення нового доказу вимагає від довідника та верифікатора проходити набір інформації Доказ не можна повторно використовувати в незалежній перевірці.
Щоб вирішити обмеження інтерактивних доказів з нульовим знанням, Мануель Блум, Пол Фельдман і Сільвіо Мікалі запропонували неінтерактивні докази з нульовим знанням, у яких перевіряльник і верифікатор мають спільний ключ, і потрібен лише один раунд перевірки. щоб зробити доказ нульового знання ефективнішим. Проверювач обчислює секретну інформацію за допомогою спеціального алгоритму для створення доказу з нульовим знанням і надсилає його верифікатору. Верифікатор використовує інший алгоритм, щоб перевірити, чи знає прувер секретну інформацію. Коли це підтвердження з нульовим знанням буде згенеровано, будь-хто зі спільним ключем і алгоритмом перевірки може перевірити його.
Неінтерактивне підтвердження з нульовим знанням є великим проривом у технології підтвердження з нульовим знанням і сприяє розвитку сучасних систем підтвердження з нульовим знанням. Основні методи - ЗК-СНАРК і ЗК-СТАРК.
4. Основні технічні шляхи доказу з нульовим знанням
Алхімія (2022) поділяє технічні шляхи доказу з нульовим знанням на ZK-SNARK, ZK-STARK і рекурсивний ZK-SNARK.
4.1 ZK-SNARK
ZK-SNARK є коротким, неінтерактивним доказом нульового знання.
Щоб публічний ланцюжок забезпечував правильність транзакцій, що виконуються в мережі, це має бути досягнуто за допомогою повторного запуску кожної транзакції на інших комп’ютерах (вузлах). Однак цей метод змусить кожен вузол повторно виконувати кожну транзакцію, що сповільнить роботу мережі та обмежить масштабованість. Вузли також повинні зберігати дані транзакцій, що спричиняє експоненціальне зростання розміру блокчейну.
Для цих обмежень в гру вступає ZK-SNARK. Він може підтвердити правильність обчислень, виконаних поза мережею, не вимагаючи від вузлів повторного відтворення кожного кроку обчислення. Це також усуває необхідність у вузлах зберігати надлишкові дані транзакцій і підвищує пропускну здатність мережі.
Використання SNARK для перевірки обчислень поза мережею кодує обчислення в математичний вираз для формування доказу дійсності. Верифікатор перевіряє правильність доказу. Якщо доказ пройшов усі перевірки, базове обчислення вважається дійсним. Розмір підтвердження дійсності у багато разів менший за обчислення, які воно перевіряє, тому ми називаємо SNARK короткими.
Більшість зведених пакетів ZK з використанням ZK-SNARK виконують наступні дії.
**1. Користувачі L2 підписують транзакцію та надсилають її верифікатору. **
**2. Верифікатор використовує криптографію для стиснення кількох транзакцій для створення відповідних сертифікатів дійсності (SNARK). **
**3. Смарт-контракт у ланцюжку L1 перевіряє сертифікат дійсності та визначає, чи публікується ця партія транзакцій у головному ланцюзі. **
Варто зазначити, що ZK-SNARK вимагає надійних налаштувань. На цьому етапі генератор ключів використовує програму та секретний параметр для генерації двох доступних для використання відкритих ключів, одного для створення доказу, а іншого для перевірки доказу. Цим двом відкритим ключам потрібно лише один раз згенерувати загальнодоступні параметри під час довіреної церемонії налаштування, і вони можуть використовуватися кілька разів сторонами, які бажають брати участь у протоколі нульового знання. Користувачі повинні вірити, що учасники довірених ритуалів налаштування не є злими, і немає способу оцінити чесність учасників. Знання секретних параметрів може створити фальшиві докази та ввести в оману верифікатор, тому існують потенційні ризики для безпеки. Наразі є дослідники, які досліджують рішення ZK-SNARK, які не вимагають довіри.
1. Безпека
Зведення ZK вважається більш безпечним рішенням розширення, ніж зведення OP, оскільки ZK-SNARK використовує розширений механізм безпеки шифрування, що ускладнює обман верифікаторів і зловмисну поведінку.
2. Висока пропускна здатність
ZK-SNARK зменшує кількість обчислень у нижній частині Ethereum, зменшуючи перевантаження основної мережі. Обчислення поза мережею розподіляють витрати на транзакції, забезпечуючи більш високу швидкість транзакцій.
3. Малий пробний розмір
Завдяки невеликому розміру доказів SNARK їх легко перевіряти в основному ланцюзі, що означає, що комісія за газ для перевірки транзакцій поза ланцюгом нижча, що зменшує витрати для користувачів.
1. Відносна централізація
Більшість часу покладається на надійну установку. Це суперечить початковому наміру блокчейну позбутися довіри.
Генерація доказів дійсності за допомогою ZK-SNARK є інтенсивним обчислювальним процесом, і перевіряльник повинен інвестувати в спеціалізоване обладнання. Це обладнання дороге, і лише кілька людей можуть його собі дозволити, тому процес перевірки ZK-SNARK дуже централізований.
2.ZK-SNARK використовує криптографію еліптичної кривої (ECC) для шифрування інформації, яка використовується для створення доказів дійсності. Наразі це відносно безпечно, але прогрес у квантових обчисленнях може порушити його модель безпеки.
Проекти з використанням ZK SNARK
Polygon придбала Hermez за 250 мільйонів доларів США у 2021 році, ставши першим повним злиттям і поглинанням двох блокчейн-мереж. Технологія ZK та інструменти, які Hermez привніс у базу користувачів Polygon, що швидко зростає, дозволили Polygon отримати підтримку в розробці zkEVM. Hermez 1.0 — це платіжна платформа, яка виконує пакет транзакцій поза мережею, дозволяючи користувачам легко переносити токени ERC-20 з одного облікового запису Hermez на інший обліковий запис Hermez із до 2000 транзакцій на секунду.
Hermez 2.0 діє як zkEVM з нульовим знанням для прозорого виконання транзакцій Ethereum, включаючи смарт-контракти з перевіркою з нульовим знанням. Він повністю сумісний з Ethereum і не вимагає багато змін у коді смарт-контракту, що робить розробникам зручним розгортання проектів L1 на Polygon Hermez. Hermez 1.0 використовує SNARK-докази, а 2.0 використовує як SNARK-докази, так і STARK-докази. У 2.0 STARK-proof використовується для підтвердження дійсності транзакцій поза мережею. Однак вартість перевірки STARK-proof на головному ланцюзі дуже висока, тому SNARK-proof введено для перевірки STARK.
zkSync 1.0, запущений Matter Labs у 2020 році, не підтримує смарт-контракти і в основному використовується для транзакцій або переказів. ZkSync 2.0, який підтримує розумні контракти, буде публічно запущений в основній мережі в березні 2023 року.
ZkSync компілює вихідний код смарт-контракту Solidity на Ethereum у Yul для досягнення сумісності з EVM. Yul — це проміжна мова, яку можна скомпілювати в байт-код для різних EVM. Код Yul можна перекомпілювати в набір байт-кодів, сумісний зі схемою, розроблений для zkEVM zkSync за допомогою фреймворку компілятора LLVM. Цей підхід усуває необхідність виконувати перевірки zk за допомогою коду вищого рівня для всіх етапів виконання EVM, полегшуючи децентралізацію процесу перевірки, зберігаючи високу продуктивність. У майбутньому можна буде додати підтримку Rust, Java або інших мов шляхом створення нових інтерфейсів компілятора, підвищення гнучкості архітектури zkEVM і охоплення більшої кількості розробників.
Aztec — це перший гібридний zkRollup, який дозволяє виконувати публічні та приватні смарт-контракти в одному середовищі. Це середовище виконання з нульовим знанням, а не zkEVM. Конфіденційність досягається шляхом об’єднання публічних і приватних виконання в єдине гібридне зведення, як-от приватні транзакції для публічних AMM, приватні розмови в публічних іграх, приватне голосування за публічні DAO тощо.
4.2 ZK-STARK
ZK-STARK не вимагає надійного налаштування. ZK-STARK — це абревіатура від Zero-Knowledge Scalable Transparent Argument of Knowledge. У порівнянні з ZK-SNARK, ZK-STARK має кращу масштабованість і прозорість.
Перевага
1. Втратити довіру
ZK-STARK публічно перевіряє випадковість для заміни надійних налаштувань, зменшуючи залежність від учасників і покращуючи безпеку протоколу.
2. Розширені можливості розширення
Незважаючи на те, що складність базових обчислень зростає в геометричній прогресії, ZK-STARK все ще підтримує менший час перевірки та перевірки, а не лінійне зростання, як ZK-SNARK.
3. Вища гарантія безпеки
ZK-STARK використовує стійкі до колізій хеш-значення для шифрування замість схеми еліптичної кривої, яка використовується в ZK-SNARK, яка стійка до атак квантових обчислень.
Обмеження
1. Більший пробний розмір
Розмір перевірки ZK-STARK більший, що робить перевірку в основній мережі більш успішною.
2. Нижчий рівень прийняття
ZK-SNARK — це перше практичне застосування доказу нульового знання в блокчейні, тому більшість зведених пакетів ZK використовують ZK-SNARK, який має більш зрілі системи та інструменти для розробників. Хоча ZK-STARK також підтримується Ethereum Foundation, рівень його впровадження недостатній, і основні інструменти потребують вдосконалення.
**У яких проектах використовується ZK-STARK? **
Polygon Miden, рішення для масштабування на основі Ethereum L2, використовує технологію zk-STARK для інтеграції великої кількості транзакцій L2 в одну транзакцію Ethereum, таким чином збільшуючи потужність обробки та знижуючи витрати на транзакції. Без шардингу Polygon Miden може створити блок за 5 секунд, а його TPS може досягати понад 1000. Після шардингу TPS може досягати 10 000. Користувачі можуть вивести кошти з Polygon Miden на Ethereum всього за 15 хвилин. Основною функцією Polygon Miden є повна Тьюрингова віртуальна машина на основі STARK - Miden VM, яка полегшує формальну перевірку контрактів.
StarkEx — це платформа для розширень ліцензування рішень, налаштованих для конкретних програм. Проекти можуть використовувати StarkEx для виконання недорогих обчислень поза мережею та створення доказів STARK, які підтверджують правильність виконання. Таке підтвердження містить 12 000–500 000 транзакцій. Зрештою, підтвердження надсилається до валідатора STARK у ланцюжку, і оновлення статусу приймається після правильності підтвердження. Програми, розгорнуті на StarkEx, включають безстрокові опціони dYdX, NFT L2 Immutable, торговий ринок спортивних цифрових карт Sorare та багатоланцюговий агрегатор DeFi rhino.fi.
StarkNet — це L2 без дозволу, де будь-хто може розгортати смарт-контракти, розроблені мовою Cairo. Контракти, розгорнуті в StarkNet, можуть взаємодіяти один з одним для створення нових складених протоколів. На відміну від StarkEx, де програми відповідають за надсилання транзакцій, секвенсор StarkNet групує транзакції та надсилає їх на обробку та сертифікацію. StarkNet більше підходить для протоколів, яким потрібно синхронно взаємодіяти з іншими протоколами або які виходять за рамки додатків StarkEx. У міру розвитку StarkNet програми на основі StarkEx можна буде перенести на StarkNet і насолоджуватися компонуванням.
Порівняння ZK-SNARK і ZK-STARK
4.3 Рекурсивний ZK-SNARK
Звичайні зведені ZK можуть обробляти лише один блок транзакцій, що обмежує кількість транзакцій, які вони можуть обробити. Рекурсивний ZK-SNARK може перевіряти більше одного блоку транзакцій, об’єднуючи SNARK, згенеровані різними блоками L2, в єдиний сертифікат дійсності та надсилаючи його в ланцюг L1. Після того, як контракт L1 on-chain приймає надані докази, усі ці транзакції стають дійсними, що значно збільшує кількість транзакцій, які в кінцевому підсумку можуть бути завершені за допомогою доказів з нульовим знанням.
Plonky2 — це новий механізм перевірки від Polygon Zero, який використовує рекурсивні ZK-SNARK для розширення транзакцій. Рекурсивні SNARK розширюють процес створення доказів, об’єднуючи кілька доказів у рекурсивний доказ. Plonky2 використовує ту саму технологію, щоб скоротити час для створення нових доказів блоку. Plonky2 генерує докази для тисяч транзакцій паралельно, а потім рекурсивно об’єднує їх у блок доказів, тому швидкість генерації є дуже високою. Звичайний механізм перевірки намагається згенерувати перевірку всього блоку одночасно, що є ще менш ефективним. Крім того, Plonky2 також може генерувати докази на пристроях споживчого класу, вирішуючи проблему централізації апаратного забезпечення, часто пов’язану з доказами SNARK.
5. Zero Knowledge Rollup VS Optimistic Rollup
ZK-SNARK і ZK-STARK стали основною інфраструктурою проектів розширення блокчейну, особливо рішення Zero Knowledge Rollup. Zero-Knowledge Rollup відноситься до рішення розширення другого рівня для Ethereum, яке використовує технологію з нульовим знанням для передачі всіх обчислень на обробку поза мережею для зменшення перевантаження мережі. Основна перевага Zero Knowledge Rollup полягає в тому, що він може значно збільшити пропускну здатність транзакцій Ethereum, зберігаючи при цьому низькі комісії за транзакції, і щойно транзакцію буде упаковано в зведений пакет, її можна визначити негайно.
Окрім Zero Knowledge Rollup, поточні рішення розширення L2 Ethereum також включають Optimistic Rollup. Транзакції, запущені в Optimistic Rollup, є дійсними та виконуються негайно за умовчанням. Тільки коли буде виявлено шахрайську транзакцію (хтось надасть докази шахрайства), транзакцію буде скасовано. Тому безпека нижча, ніж Zero Knowledge Rollup. Щоб запобігти шахрайським транзакціям, Optimistic Rollup має період перевірки, після якого транзакцію потрібно завершити. Це може призвести до того, що користувачам доведеться чекати деякий час, перш ніж отримати свої кошти.
Коли EVM спочатку розроблявся, використання технології підтвердження нульового знання не розглядалося. Віталік, засновник Ethereum, вважає, що Zero Knowledge Rollup буде технічно складним у короткостроковій перспективі, але з часом переможе Optimistic Rollup у війні за розширення. Нижче наведено порівняння Zero Knowledge Rollup і Optimistic Rollup.
Джерело: SUSS NiFT, ChatGPT
6. Які майбутні перспективи технології з нульовим знанням?
Сфера технології підтвердження нульового знання знаходиться в унікальному становищі: останніми роками багато зусиль було спрямовано на розвиток досліджень у цій галузі, і багато результатів є досить новими в галузі криптографії та безпечного зв’язку. Тому академічна спільнота та спільнота розробників ще потребують відповіді на багато цікавих питань. У той же час технологія з нульовим знанням використовується в різних проектах, демонструючи виклики технології з нульовим знанням і розширюючи її вимоги.
Однією з проблем, що викликають занепокоєння технології захисту від нульового знання, є обговорення постквантової безпеки технології захисту від нульового знання. SNARK (Succinct Non-Interactive Arguments of Knowledge), що підлягають публічній перевірці, є ключовим компонентом у сфері технологій без знань. Однак більшість широко використовуваних схем SNARK, які можна перевірити публічно, не вважаються квантово безпечними. Приклади включають Groth16, Sonic, Marlin, SuperSonic і Spartan. Ці рішення спираються на математичні проблеми, які можна ефективно розв’язувати за допомогою квантових комп’ютерів, що значно ставить під загрозу їхню безпеку в постквантовому світі.
Ми виявили, що академічна спільнота активно шукає квантово-безпечні докази з нульовим знанням, які можна використовувати для різноманітних тверджень без етапу попередньої обробки. Поточні приклади найсучасніших квантово-безпечних доказів із нульовим знанням включають такі схеми, як Ligero, Aurora, Fractal, Lattice Bulletproofs і LPK22. Ligero, Aurora і Fractal засновані на хеш-функціях, тоді як Lattice Bulletproofs і LKP22 засновані на функціях решітки. Обидві функції вважаються квантово безпечними. Популяризація цих програм і підвищення їх ефективності стала тенденцією.
Ще одне очікування, яке ми маємо щодо майбутнього технології з нульовими знаннями, — це її здатність протистояти атакам і зрілості коду, пов’язаного з впровадженням. Враховуючи збільшення кількості написаного коду, буде більше безпечних і перевірених бібліотек і найкращих практик для різних методів підтвердження з нульовим знанням. Звичайно, у майбутньому буде більше поширених помилок, які чекатимуть, щоб їх виявили та повідомили. Ми очікуємо, що ця галузь стане зрілою та стане широко запровадженою, докладаючи зусиль щодо стандартизації протоколів і забезпечення сумісності між різними реалізаціями. Проект під назвою ZKProof уже почав це робити.
Ще одна тенденція, яка продовжить існувати в технологічному співтоваристві з нульовими знаннями, — це більше роботи над ефективними алгоритмами та, можливо, спеціальним обладнанням. В останні роки ми спостерігаємо зменшення розмірів доказів, а перевірки та верифікатори стають більш ефективними. Удосконалення алгоритмів, спеціального апаратного забезпечення та обчислювальної оптимізації можуть призвести до швидших і більш масштабованих реалізацій.
У той час як ефективність існуючих алгоритмів приносить користь майбутнім користувачам технології доказів з нульовим знанням, ми також очікуємо, що можливості доказів з нульовим знанням продовжуватимуть розширюватися. У минулому ми стикалися з багатьма випадками впровадження попередньо оброблених ZK-SNARK. Зараз ми бачимо все більше і більше масштабованих екземплярів ZK-SNARK. Крім того, деякі методи підтвердження з нульовим знанням використовуються більше через їхню простоту, ніж через їхні можливості з нульовим знанням.
Нарешті, ще одна тенденція в технології доказів з нульовим знанням — це перетин машинного навчання та доказів з нульовим знанням (ZKML). Ідея вимагає навчання великих мовних моделей у багатопартійному середовищі та використання методів нульового знання для перевірки обчислень. Це дуже корисно для сучасного штучного інтелекту. Є потенціал для появи проектів у цій сфері.
Висновок
Цю статтю спільно написали члени Blockchain Security Alliance. Завдяки введенню цієї статті ми можемо зрозуміти широке застосування, технічні шляхи, тенденції розвитку та проблеми доказу нульових знань у сфері блокчейну. **Ми віримо, що з розвитком апаратних технологій і криптографії докази з нульовим знанням досягнуть нових проривів у майбутньому, забезпечуючи швидші та безпечніші послуги додатків для цифрового світу. **