作者 | 小六
编辑 | 小染
排版 | 小草帽

大家好呀，小六又来了！刚开始接触区块链技术领域的童鞋们，是不是和小六一样，都是从挖矿开始了解区块链背后的技术的呢？

其实从 HASH、BFT、PBFT、POS、POW 等这些算法一路走来，小六收获了很多课本以外的知识。如BFT&PBFT; 解决了恶意节点；POS&POW; 等共识算法虽然各有优劣，但是在一定程度上还是解决了共识问题；哈希算法则负责将区块保护的严严实实的……

这些算法都致力于区块的正常铸造，保障信息的真实性。但同时，小六脑子里又产生了一个新疑问——如果有人想要恶意泄露区块上的信息，又该如何应对呢？

我们都知道，区块链作为一个去中心的帐薄，信息是要公开透明的，但是这并不代表我们无法拥有自己的隐私权。

可是又要隐私，又要透明，区块链到底是如何做到的？

图片源于网络，侵删

其实在上一篇文章中，我们简要的介绍了 零知识证明，它解决的就是这个问题。乍一听起来可能觉得很神奇，但是看过小六上一篇文章的童鞋们，就应该能够理解零知识证明大法的巧妙之处。

零知识证明是一种加密方案，最初在 20 实际 80 年代由 MIT 研究人员在论文中提出。“零知识协议是一方（证明方）可以向另一方（验证方）证明某事是真实的方法，除了这一具体陈述是真实的事实以外，不透露任何额外的信息。”

那么问题来了，是不是所有的问题都有零知识证明的加密方案？

答案是否定的。Goldreich、Micali 和 Wigderson 早些年就指出：在理论上存在零知识证明解的有效范围。
但这不是我们这篇文章讨论的关键。

在本篇文章中，小六想要着重讨论——如何在区块链上使用零知识证明。上文我们提到了交互式零知识证明的局限性，所以本文我们将着重解释一下非交互式的零知识证明。

首先我们来了解一下 zk-snack，它是零知识密码学的一种新形式。zk-snack 的全称是“zero knowledge Succinct Non-interactive Argument of Knowledge” 即零知识简洁的非交互知识论证，是一种证明结构。

如果各位读者是非技术型人员，那么只需要知道，
采用 zkSNARKs 技术的 Zerocash，连交易金额都可以隐密。而账本公开记录的唯一内容，就是交易的存在性。

如果是技术人员，或者想要了解 zk-snack 的原理的话，请跳转至这篇文章进行了解

https://github.com/zcash/zips/blob/master/protocol/protocol.pdf

zcash （一种加密货币）是 zk-snack 技术的首次广泛应用。下面让我们进入基础原理剖析阶段。

如果你知道比特币交易的基本单元——UXTO （Unspent Transaction
Output，未花费输出），那么就应该不难理解什么是 note。如果不理解也没关系，只需要记住，note 是 ZCASH 交易的基本单元即可。

在 note=（PK，v，r）中，PK （proof key）是 zcash 所有者的公钥，v 是金额，r 是可以唯一区分该 note 的序列号。

首先需要明确，我们想要通过 zk-snack 达成什么目的。

假设在这样一个场景下，小明要转给小红 1zcash，那么使用零知识证明的目的有二：

一、保护交易者的隐私，不让大家知道交易人是小明和小红；

二、在一的前提下，证明确实有一笔这样的交易存在。

Note1 =（PK1，r1），Note2=（PK2，r2），Note3=（PK3,r3）

保护隐私的第一步就是要把 note 变形，即加密再储存。

H1=HASH （Note1 ）

H2=HASH （Note2 ）

H3=HASH （Note3）

注释：HASH （X）是一种加密算法，将信息转化为一串 64 位的字符串，了解请见文章 [ 逐个击破，直击密码学]

实际上，加密货币只是一串字符串。并不像我们的现金，如果你把这张钞票花出去了，那么钱包里面就没有了。因此，
区分哪些是未被花费的 note，是非常有必要的。所以在这里我们引入 nullifier，它是已花费的 HASH （r）（所有注释序列号 r 的哈希值）列表。

图片源于网络，侵删

比如 Note1 如果被花费了，那么数据库就会如下所示：

这样一来，我们就可以检验出哪些 notes 是未被花费的了。但是，又如何证明这些 notes 属于小明呢？

这就是零知识证明要发挥作用的地方了。除了以上几个值之外，小明还会发布一个 proof-string
——π，来说服所有发布次交易的节点，并且保证 PK，r 等信息不被公开。

事实上，这就是简化版的 Zcash 交易剖析。为什么是简化版呢？因为在以上过程中，我们暂时忽略了许多条件。比如说 nullifier 其实需要一种更加复杂的定义形式，以及小明和小红是否在私下有隐秘的交易通道……

接下来我们要介绍一下另一种加密货币—Zcoin。大家往往称 Zcash 为大零币，Zcoin 为小零币，其实它们都属于一种匿名币，同属于它们的兄弟姐妹还有达世币，门罗币等。其中，Zcoin 使用 1993 年推出的 RSA 累加器，作为匿名方案的基础。

图片源于网络，侵删

Zcoin 的原理其实很简单，比如说：你要转给你的同事 1zcoin，那么你钱包里原有的 1zcoin，将自动燃烧销毁，同时产生一个证明。这个证明允许你的同事兑换一个新币，而这个新币就像一张白纸一样的干净，没有任何的历史记录。此外原先产生的证明，也不会透露你的任何信息。因此你花出去的那 1zcoin，和重新铸造的 1zcoin 之间，找不到任何关联。

因为没有任何可以用来分析的交易历史，你的隐私将因此而得到保障，而这一过程就依托于零知识证明。

图片源于网络，侵删

那么有人会问，既然有了零知识证明，我们是不是可以高枕无忧了？

其实不是的。

就像 zcash 容易导致有人无限印钞，却无人能知一样。利用这个 bug，弄出一些空气币来，造成的后果小六想想就难过。有很多人认为，相比于 zcash，zcoin 可以为我们提供了一个更好的匿名系统。因为 zcoin 比较简单，而越简单，出错的可能性越小。

图片源于网络，侵删

但众说芸芸，小六在这里并不偏向它们中的任何一种，认清楚缺点很重要。让我们一起期待它们未来的发展。

参考文献：

[1]:https://electriccoin.co/blog/zcash-private-transactions/

[2]:https://www.jianshu.com/p/7b772e5cdaef?utm_source=oschina-app

[3]:https://www.sohu.com/a/116968317_529944

[4]:https://z.cash/technology/zksnarks.html




来源链接：mp.weixin.qq.com