详细讲解：零知识证明 之 zk-SNARK 开篇

作者：林冠宏 / 指尖下的幽灵

博客：http://www.cnblogs.com/linguanh/

掘金：https://juejin.im/user/587f0dfe128fe100570ce2d8

GitHub ： https://github.com/af913337456/

腾讯云专栏： https://cloud.tencent.com/developer/user/1148436/activities

虫洞区块链专栏：https://www.chongdongshequ.com/article/1536563643883.html

---

目录

• 前序
• 零知识证明
• 零知识证明 与 zk-SNARK 的关系
• ZCash 使用 zk-SNARK 达到了什么目的

前序

zk-SNARK 全称是“Zero-Knowledge Succinct Non-Interactive Argument ofKnowledge”，中文是“零知识简洁的非交互知识论证”。

zk-SNARK是“零知识证明”理论在区块链中的一个已经落地的被应用起来了的论证。

早在之前曾学习过 zk-SNARK，无耐当时能够稍微讲明白的文章都相当少见，我本身也是一个经常写技术文章的人，写作的人最容易陷入的状况就是写着写着，文章中的一些词突然冒了出来，只有自己知道它是怎么被推算出的，却没有说清楚。在读者看来就感到一头雾水的莫名其妙。

zk-SNARK 的知识部分分有几大部分。各个部分，说实话，都离不开数学知识的应用，非数学专业的读者理解起来，相当地困难。我将会分成5篇文章来逐个全面说清楚它们。开篇，也即是第一篇，是广义术语篇。

零知识证明

既然 zk-SNARK 是基于零知识证明理论的，那么我们得先理解下零知识证明。零知识证明是由S.Goldwasser、S.Micali及C.Rackoff这三个人在20世纪80年代初提出的。但是真正让它火了起来是区块链的zk-SNARK 。

零知识证明，它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。

有两种角色，证明者 和 验证者，和一个要点: 有用的信息。

• 证明者，证明自己知道问题的答案
• 验证者，验证证明者的答案是正确的

下面列举 2个例子来说明下零知识证明。

例子1 钱包的主人

A 作为验证者，捡到了一个钱包，此时B作为证明者，想要向A证明，这个钱包属于它的，即证明钱包属于B。要符合零知识的证明，那么要满足下面的证明要求：

1. A此时不能能让B看到钱包，更不能让他看到钱包里有什么东西。
2. B必须提供足够多的准确无误的信息，证明钱包就是自己的。

B 此时可以提供：

1. 钱包的颜色、大小、品牌分别是什么，等信息。
2. 钱包里有什么东西？比如多少钱？什么证件？证件信息是什么？

A 在B回答完后，进行验证，如果 B 全部说对了，则确认B就是钱包主人。这种信息验证的手段就是零知识证明。B 没有向 A 直接提供钱包的情况下，证明了钱包是自己的，它也无法提供钱包，因为钱包在验证者A手上。实体的钱包就代表者有用的信息。

例子2 阿里巴巴和40大盗

这是网上一个很普遍的讲述零知识证明的例子。阿里巴巴是一个人名，下面简称 A，A 是证明者，大盗是验证者。

A 知道打开藏着财宝的山洞的咒语。强盗抓住他，让他说出咒语。如果A说出咒语，就会因为没有利用价值而被杀死。如果A坚持不说，强盗不会相信他真的掌握咒语，也会杀死他。A想了一个办法，他对强盗说：“你们离我一箭之地，用弓箭指着我，你们举起右手我就念咒语打开石门，举起左手我就念咒语关上石门，如果我做不到或逃跑，你们就用弓箭射死我。”

这样子，A 就能在距离大盗足够远的位置说出咒语打开石门，而大盗听不到咒语是什么，A。大盗眼见为实，石门的确被打开，验证A的确掌握咒语。这个过程 A 没有直接透露给大盗咒语，咒语就是有用的信息。

此外还有一个数独的例子。感兴趣的读者可以自行去浏览器搜索。这种证明方式有点类似于数学中的间接证明的意味。

零知识证明 与 zk-SNARK 的关系

零知识证明，相信通过上面的两个例子，大家都能理解了。如果依然无法理解，我觉得可以过段时间再来读读我这篇文章，现在不建议继续读下去。

如果直接在生活中，使用语言，动作来完成一次零知识证明，这是很好操作的。就像钱包的例子一样，大家凑到一块，说说话，就能完成。

然而从计算机的角度去看，如何将问题转化为程序的形式，让计算机去帮我们完成零知识证明呢？这就需要我们把实际的零知识证明类问题转化为数学的描述形式，这样就能使用计算机程序去表达。

zk-SNARK，就是一个为了将实际的零知识证明类问题转为计算机程序问题的理论。全称“zero knowledge Succinct Non-interactive ARgument of Knowledge” 可以拆分为下面几点去理解：

• zero knowledge，零知识，即不透露任何有用的信息。
• succinct，简洁的，主要是指计算机程序在验证的过程不涉及大量数据传输以及保证验证算法的简单。
• non-interactive，无交互。交互是个抽象名词，我这里要解释一下它。比如交互式程序就是你给它一个指令，它反馈给你一个对应的信息，而非交互式程序就是你给它一个指令，正确它就执行，错误它就不执行，而且它也不会将错误信息反馈给你。因此zk-SNARK的无交互，就是证明者提交证明后，错误的时候验证者是不会透露错误的信息是什么的。
• arguments，争议性。zk-SNARK 是有被攻击的争议的，这种争议仅且仅当证明者拥有足够的算力来通过伪造证据来欺骗验证者，才会存在，注意关键词：足够的算力，它足以打破公钥的加密，所以可以说概率极低。

目前，区块链中的公链 ZCash 就应用了 zk-SNARK 的理论。

ZCash 使用 zk-SNARK 达到了什么目的

目前区块链中一些著名公链，例如BTC和ETH的交易，在交易成功后，我们去区块链浏览器或调用对应的RPC接口查看对应的交易记录的时候。是可以看出包含但不限于下面的数据的：

• 交易发送者地址
• 交易接收者地址
• 交易的数值

虽然说，单靠一个显示一串数字和字母组成的地址，例如：0xD224cA0c819e8E97ba0136B3b95ceFf503B79f53 也起到了很好的匿名效果，因为作为观察者来看，我们根本不知道拥有该地址的人是谁，是男是女。

追求绝对的极致，那么能否将上面的数据也隐藏掉，达到全部数据匿名的效果呢？使用了zk-SNARK原理的ZCash公链就做到了。

ZCash拥有一个匿名交易系统，它支持多种交易类型，其中一种就是能够隐藏交易双方地址和交易数值的交易。这是完全的隐藏，而不是说数据还存放在ZCash的节点数据库中，而不向外显示出的隐藏。而是连节点都不知道交易的内容。可以说，在某一些对私密性要求跟高的应用上，零知识证明所带来的数据隐藏性是很高的。

关于 ZCash 在隐藏地址之间进行的交易中使用到了zk-SNARK。第二篇文章，我将重点介绍下：ZCash 在隐藏地址之间进行交易。