零知识概念和应用

密码学中,零知识证明(英语:zero-knowledge proof)或零知识协议(zero-knowledge protocol)是一方(证明者)向另一方(检验者)证明某命题的方法,特点是过程中除“该命题为真”之事外,不泄露任何信息。因此,可理解成“零泄密证明”。[1]例如,欲向人证明自己拥有某情报,则直接公开该情报即可,但如此则会将该细节亦一并泄露;零知识证明的精粹在于,如何证明自己拥有该情报而不必透露情报内容。这也是零知识证明的难点。[2]

若该命题的证明,需要知悉某秘密方能作出,则检验者单凭目睹证明,而未获悉该秘密,仍无法向第三方证明该命题(即单单转述不足以证明)。待证的命题中,必定包含证明者宣称自己知道该秘密,但过程中不能传达该秘密本身。否则,协议完结时,已给予检验者有关命题的额外的信息。此类“知识的零知识证明”是零知识证明的特例,其中待证命题仅有“证明者知道某事”。

交互式零知识证明中,需要各方交互,靠通信过程证明某方具备某知识,而另一方检验该证明是否成立。[2]

也有某种非交互式零知识证明[3][4],但证明之所以成立,依赖计算假设(典型假设是理想的密码散列函数)。

生活示例

以下有一个熟知的故事,总结零知识证明的若干重要概念。故事最早由Jean-Jacques Quisquater及同事发表于《如何向你的孩子解释零知识协议》。[5]设有小静(证明者)和阿严(验证者)两人。[注 1]

故事中,小静发现洞穴中某扇魔法门的开门暗号。洞穴呈环形,入口在一侧,对侧则有魔法门隔断。阿严想知小静是否已知该暗号,但小静很注重隐私,不希望泄露暗号予阿严,也不想全世界知道她有暗号之事。

两人分别将入口左右两条通道标示为A路、B路。首先,阿严在洞口外,待小静进入洞内。小静自行选择行A路或B路,但阿严不准窥视小静所选为何。然后,阿严行入洞穴,均匀随机喊出A路或B路,表明希望小静由该方向返回。假若小静确实知道暗号,则很易达成,因为即使起初所选不是同一条路,她也可以开门通过,从另一条路返回。

然而,若她其实不知道暗号,则祗有一半概率能从阿严所选的方向返回,因为阿严随机选A路和B路,恰有一半机会选中起初小静进入的方向。若两人重复以上过程,比如连续20次,则小静靠运气全部碰巧从正确方向返回的概率极小,为220分之1。

所以,若小静连续多次从阿严所选的方向返回,则阿严可以推断,小静很可能知道暗号。

以下考虑第三方的观点。即使假设阿严佩戴隐蔽的镜头,录影所见的整个过程,镜头所见亦只有阿严喊“A!”小静从A路返回;或阿严喊“B!”小静从B路返回。此种片段极易由两人共谋伪造(祗需小静与阿严事前商讨多次验证中阿严将选该串A、B的次序),从而对第三方而言,不具说服力,即阿严无法借此向第三方证明小静知道暗号。事实上,即使录影换成现场在阿严身旁监控亦同,因为两人可能一早已协调彩排好。

但是,若阿严在镜头前掷硬币,然后按该硬币喊A或B,则协议不再零知识。该段录影可能足以说服第三方,两人无法伪造,因为阿严难以准确掷出预定的AB次序。于是,虽然证明过程没有泄露暗号予阿严,但是阿严可借此说服世人,证明小静知道暗号,与小静起初的意欲完全相反。不过,数字的密码学中,“掷硬币”以伪随机数生成器实现,类似于一枚结果已预定好的硬币,但该结果(由其随机种子决定)仅有硬币主人知道。若阿严的硬币实际是以此法运作,则协议又恢复为零知识协议,因为两人又有可能共同伪造“实验”结果,所以使用伪随机数生成器与掷真硬币不同,前者不会向世人泄露小静知道暗号。

还有另一种做法,小静以独一次实验已可向阿严证明自己知道暗号,而不泄漏。方法是,两人一同走入洞口,然后阿严目送小静沿A路走,没有原路折返,但从B路返回。如此,小静必然已向阿严证明自己知道暗号,而没有告知阿严暗号。不过此种证明亦非零知识:若第三方观察到过程,或阿严有录影,则该证明对第三方具说服力。换言之,小静无法宣称自己与阿严串通,所以无法向第三方说该证明无效。如此,小静无法控制何人得知她拥有暗号之事。

定义

零知识证明要具备下列三种性质:

完备(complete)

        若所要证之事为真,则诚实(意即依协议行事)的证明者能说服诚实验证者。

健全(sound)

        若命题为假,则作弊证明者仅得极小机会能说服诚实验证者该事为真。

零知识(zero-knowledge)

        若命题为真,则验证者除此之外,过程中没有得悉任何其他信息。换言之,仅知命题为真(而不知秘密本身)已足以“想像”出一个交互的情境,其中证明者的确知道该秘密。此性质能严格定义为:每个验证者皆有相应的模拟器,输入欲证事实时,无需求助于证明者,已可输出一套通信誊本,看似诚实验证者与证明者的通信记录。

前两种性质,更广义的交互式证明系统亦应具备。第三种性质使该交互证明称为零知识。

零知识证明不用算是数学证明,因为尚允许有很少(但非零)概率,令作弊证明者能向验证者“证明”假命题。该概率称为可靠度误差(soundness error)。换言之,零知识证明是概率“证明”,而非决定性。不过,也有技巧将可靠度误差压到忽略不计。

      “零知识”的定义有若干变形,分别在于如何严谨定义模拟结果“看似”真实的交互记录,简单来说零知识条件的变式可以有下面三个变式:

完美零知识(perfect zero-knowledge)

        模拟器与真正交互产生的概率分布完全相等。离散对数示例即属此类。

统计零知识(statistical zero-knowledge)

        两个分布并非完全相等,但统计上接近,即有某个可忽略函数,使该两列分布[注 3]在任意集合取值的概率差,皆小于该函数。[8]

计算零知识(computational zero-knowledge)

        无高效算法分辨两个分布。

零知识的应用:

身份验证

        零知识证明的研究,是受身份验证系统启发。验证时,一方要向另一方证明自己身份,通常藉赖证明自己持有某种袐密(如通行密码),但不希望对方知悉该袐密,称为零知识知识证明。不过,通行密码一般不是太短,就是不够随机,不能用于许多零知识知识证明方案。零知识通行码证明就是有考量密码长度限制的一类零知识知识证明。[来源请求]

2015年4月,Sigma协议(“其中之一”证明,英语:one-out-of-many proofs)面世。[9]2021年8月,美国网络基建、安全公司Cloudflare采用该种证明机制,以供应方硬件[请求校对翻译]为私人网络提供验证服务。[10]

道德行为

        密码学协议之中使用零知识证明,可以在不退让隐私的情况下,确保各方诚实。粗略言之,方法是迫用户零知识地证明,其所作所为是依足协议。[11][12]由健全性,用户必先确实跟从协议,才能服众。又由于证明是零知识,此过程并无犠牲用户的隐私。

核裁军

        2016年,普林斯顿等离子物理实际室与普林斯顿大学展示一个技巧,或许适用于未来的核裁军谈判。其特点是,无需揭露某对象内部的机密构造,亦可允许督查员判断该对象是否核武器。[13]

区块链

        零知识证明用于小零币与大零币协议中,最终于2016年发展成小零币[14](2020年改称飞熔币[15]大零币两种加密货币。小零币内置有混币模型,以确保匿名,且该模型无需信任任何点对点用户或中央集权混币者。[14]用户可以用另一种基准币交易,也可以将该币卖出买入小零币。[16]:118大零币协议的模型也类似(该变式称为非交互式零知识证明[17],而且可以掩盖交易额,但小零币则不能。大零币的交易数据如此隐密,所以与小零币相比,较不易受到隐私计时攻击。不过,此层额外隐私,可能导致不能追踪假币,倘因此造成大零币供给的超通涨,可能无法侦测到。[14][18]

2018年,防弹证明(bulletproofs)面世。其改进自非交互式零知识证明,不再需要可信的安装环境。[19]其后,实现成“结舌”协议(Mimblewimble protocol,Grin和Beam两种加密币皆出自该协议)和门罗币[20]2019年,飞熔币实现Sigma协议,是对应小零币协议无可信环境的改进。[21][9]同年,飞熔币引入莱兰托斯协议(Lelantus protocol),更自Sigma协议改进,隐去交易的源头与金额。[22]

  • 33
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值