共计 2627 个字符,预计需要花费 7 分钟才能阅读完成。
本文由云 + 社区发表
当区块链遇到零知识证明
什么是零知识证明
零知识证明的官方定义是能够在不向验证者任何有用的信息的情况下,使验证者相信某个论断是正确的。这个定义有点抽象,下面笔者举几个例子,来帮助读者理解这个概念
例子一:小明有钥匙
地主有一个漂亮的女儿,一直没有嫁出去,有一天地主捡到一把锁,他灵光闪现,何不让老天爷来决定我闺女嫁给谁,于是乎他就发布告示,如果有谁拥有这把锁的钥匙,他就把女儿嫁给他。
小明看到那把锁,心想这不是我前两天扔的那把锁吗?我有钥匙啊,但是他又不想把钥匙拿出来让大家看到,因为钥匙上有不可告人的秘密。于是他找到地主,说出了自己的苦衷,地主略微思考了一下,想到了一个好办法。
他让人搬了一个密封的大木箱,把自己的贴身玉佩放到了箱子里,然后用锁锁起来,说如果小明第二天把玉佩交给他,那小明就可以娶到他的女儿。
小明晚上偷偷用钥匙打开了箱子,然后把玉佩取出来,第二天交到了地主手中。然后和美女幸福的生活在了一起。
这个故事中小明并没有把钥匙给地主看,也没有当着地主把锁打开,但是却证明了自己确实有钥匙。
例子二:哥德巴赫猜想的证明
众所周知,哥德巴赫猜想是一个世界级别的数学难题,有一天一个中国大学生小明找到了证明哥德巴赫猜想的方法。但是他说我能证明出来,没人相信他,甚至没人愿意看他的证明过程,因为名气太小了。这时候他就想到可以让导师出面证明他已经找出了证明方法,但是他遇到了一个两难的问题:
如果他把证明方法给导师看,导师可能直接说这个证明方法是他发现的。
如果他不把证明方法给导师看,导师也不相信他能找到哥德巴赫猜想的证明方法。
实在是难坏了小明!!!!!!!!
零知识证明可以帮助小明解决他的难题,零知识证明的世界里,小明可以不把实际的证明过程给导师看,只需要提供给导师另外一段数据,导师拿到这段数据经过验证可以知道小明真的有哥德巴赫猜想的证明方法,但是导师并没有看到真正的证明过程。
比特币的困境
假如你对比特币有了解的话应该知道,比特币就是一个共有的账本,A 转给 B 一笔钱就是在区块链上写一条记录“A 转给 B 10 块钱”,A 的 10 块钱从哪儿来呢?要求必须是以前某人 C 在区块链上写一条记录“C 转给 A 10 块钱”。于是比特币的区块链上就是存放了一条一条的账本条目:
C 转给 A 10 块钱
A 转给 B 10 块钱
B 转给 D 5 块钱
B 转给 E 5 块钱
E 转给 D 5 块钱
D 转给 A 10 块钱
……
但是这样会带来一个问题,号称匿名的比特币系统却做不到真的匿名,因为账本是公开的,所以大家都能看到 A,B,C,D,E 都有多少钱,并且是在什么时间得到的这笔钱的。而所谓的匿名性其实是不存在的。
PS:比特币的匿名性其实是指一般无法把 A 对应到真正的交易人实体,A 只是一个账户标号,而不是类似“小明”这样的实际个人。但是假如小明是 A 账户的拥有者,而小明最终有可能因为操作账户 A 兑换了人民币或者购买什么东西,而被发现其实 A 就是小明。所以这个匿名性并不是真正的匿名性。
ZCASH 怎么结合零知识证明到区块链
为了解决比特币的非匿名问题,零知识证明被 ZCASH 引入到比特币系统中。那么它是怎么实现匿名性的呢?且看娓娓道来。
假设有一个大池子,里面有一大堆的箱子,每一个箱子都被锁住并且只有一把钥匙可以打开,而且箱子中都有一张纸条,内容格式如下:
“这个箱子值 x 块钱”
我们暂且叫这个大池子为“大池子账本”。
ZCASH 整个交易系统就是这样一个大池子,当 A 要转给 B 10 块钱的时候,A 会填写一张字条:“这个箱子值 10 块钱”,然后把这个字条放到一个箱子里,锁上,把箱子和箱子对应的钥匙一起给了 B,B 拿到箱子和钥匙,用钥匙打开了箱子一看字条的内容是,“这个箱子值 10 块钱”B 就知道他确实得到了 10 块钱,然后把箱子扔到大池子里,而钥匙他保留了下来,这样 B 就相当于在“大池子账本”里记录了他拥有了 10 块钱这个事实。
因为 B 有钥匙,所以他能知道自己有多少钱,并且在适当的时候花掉这笔钱,但是别人(除了 A)只能看到箱子,看不到纸条的内容,并不知道箱子值多少钱,并且也不知道箱子到底属于谁(B 有钥匙这件事儿他们不知道)。也就是 ZCASH 这个“大池子账本”系统,做到了隐藏两个比特币系统不能隐藏的事实:
1、交易的参与者是谁
2、交易的金额是多少
如果你想从系统中找出 B 有多少钱的信息,因为你打不开箱子,甚至都不知道哪些箱子是 B 的,所以你会一无所获
聪明的读者可能会发现这个系统有一个关键的问题没有解决,A 凭啥就可以做一个箱子并且说这个箱子值 10 块钱?B 和别的参与者凭啥相信 B 这个箱子真的值 10 块钱,这里就要靠零知识证明的强大力量了。
其实大池子中有一个箱子 a 是属于 A 的,A 拥有这个箱子的钥匙 akey,并且箱子里面的纸条上写着:“这个箱子值 10 块钱”。当 A 创建箱子 b 和对应的钥匙 bkey 的时候也会创建一个零知识证明的凭条 akill,这个凭条的作用就是作废掉箱子 a。
这个零知识凭条 akill 的神器功能就是:
1、所有参与者看到这个 akill 凭条就知道它对应到大池子里的一个箱子
2、所有参与者看到 akill 就知道它又生成了一个箱子 b,并且箱子的纸条是合法的
3、除了 A 之外的所有参与者并不知道 akill 对应的就是 a 这个箱子
4、akey 和 akill 是一一对应的关系
有点绕,简单来说,就是 A 在不提供钥匙 akey 只提供零知识证明凭条 akill 的情况下证明两件事
1、自己拥有一把可以打开大池子中某个箱子的钥匙
2、证明箱子 b 是合法的
这样就简单了,A 把箱子 b 给 B 的时候,先把 akill 扔到了大池子里,让大家看,B 看到了 akill 被放到了大池子里,他就相信 b 箱子是合法的,他确实值 10 块钱。
余下最后一个问题?如果 A 每次都说自己拥有打开某个箱子的钥匙,一笔钱被花了很多次怎么办?
akill 和 akey 是一一对应的,并且 akill 被放到大池子里了,所有参与者都能看见,如果下次他又想给 C 一个箱子 c 并且用 akill 来证明,因为 C 看到 akill 已经在大池子里了,所以 C 就不相信 A 了。
PS:这里可能部分人会疑惑另外一个问题,当 A 扔 akill 到大池子里,或者 B 扔箱子到大池子里的时候他们的身份不就暴漏了吗?
这里可以认为他们是偷偷扔的,具体对应到网络上的实现就是 B 随便找了一台网络设备把箱子 b 对应的数据上传到区块链上。而想通过这台设备找到 B 很难,并且 B 也可以托 C 上传箱子 b 的数据。
此文已由作者授权腾讯云 + 社区发布
搜索关注公众号「云加社区」,第一时间获取技术干货,关注后回复 1024 送你一份技术课程大礼包!