最近在学习零知识证明,因为内容很多并且难度也大,想根据自己的学习路线做一系列总结,这是第一篇文章,主要介绍零知识证明的一些重要概念和思想,可以对零知识证明有直观的理解,然后讲解一个经典简洁的零知识证明安全协议Schnorr协议。
本篇文章主要包含四个方面,首先来总体介绍一下零知识证明,然后以地图三染色问题为例,体现零知识证明思想,然后分析交互式Schnorr协议和非交互式Schnorr协议。
零知识证明(Zero-Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。
“P”表示 “证明者(Proofer)”:作为零知识证明的参与方,他在证明命题真实性的同时,不会泄漏任何相关信息。
“V”表示 “验证者(Verifier)”:作为零知识证明的另一参与方,验证证明者提出的命题以及对应的证明是不是正确。
“承诺阶段(Commit)”:证明者针对命题做出承诺,并等待验证者提出挑战并进行验证。
“挑战阶段(Challenge)”:验证者选择随机数,对提出的承诺进行挑战。
“回应挑战阶段(Response)”:证明者将收到的随机数并结合给出的承诺,返回挑战的回应。
“验证阶段(Verify)”:验证者验证,挑战的回应是否正确,错误的话那就证明失败,如果成功就可进行下一次挑战,直到可以相信的概率达到验证者接受的条件,这样就证明成功。
在零知识证明中,需要满足三个性质:
正确性。没有人能够假冒P使这个证明成功。如果不满足这条性质,也就是P不知道“知识”,再怎么证明,V也很难相信P拥有正确的知识。
完备性。如果P和V都是诚实的,并证明过程的每一步都进行正确的计算,那么这个证明一定是成功的。也就是说如果P知道“知识”,那么V会有极大的概率相信P。
零知识性。证明执行完之后,V只获得了“P拥有这个知识”这条信息,而没有获得关于这个知识本身的任何信息。
数据的隐私保护:在隐私场景中,根据零知识性,不泄漏交易的接收方,发送方,交易余额等细节的前提下,证明区块链上的资产转移是有效的。再比如买保险的时候,保险公司需要了解是否患有某种疾病,但是我不想让保险公司知道我的全部病历信息,那我可以证明给保险公司看,我没有相关疾病就足够了。
计算压缩与区块链扩容:在当前的区块链架构中,同样的计算会被重复多次,比如签名的校验,交易合法性校验,智能合约的执行等等。这些计算过程都可以被零知识证明技术进行压缩。比如以太坊采用 zkSNARK,带来几十倍的性能提升。
端到端的通讯加密:用户可以互相通信,但是消息记录不会完全暴露在服务器上,同时消息也可以按照服务器的要求,出示相应的零知识证明,比如消息的来源、与发送的目的地。
身份认证:用户可以向网站证明,他拥有私钥,网站并不需要知道私钥的内容,可以通过验证这个零知识证明, 确认用户的身份。
去中心化存储:服务器可以向用户证明他们的数据被妥善保存,并且不泄露数据的内容。
三染色问题:假设存在一个地图,不同城市之间修建一些道路,三染色问题即为是否存在一种染色方式,使得每个城市都用特定的三种颜色之一表示,并且任意有道路相连的两个城市都不是相同的颜色。
下面设计一个交互协议: Alice是「证明者」,Bob是「验证者」
Alice拥有一个对特定地图的三染色方案,希望在不泄漏任何信息的条件下向Bob证明自己拥有该方案。
首先,在承诺阶段,Alice 先要对染过色的图进行一些「变换」,把颜色进行置换,例如把所有的蓝色变成绿色,绿色变成橙色,橙色变成蓝色。这样 Alice 得到了一个新的染色答案,这时候她把新图的每一个顶点都用纸片盖上,然后出示给 Bob 看。
下面进入挑战阶段,bob要挑战Alice是否真的知道答案,但是他不能直接打开所有信封,只能随机选择任意一条边,要求Alice打开相邻两个节点的纸片进行验证两个顶点的颜色是否相同。
然后进入回应挑战阶段,假设 Bob 挑选的是最下面的一条边。Alice打开Bob指定的两个节点,作为对挑战的回应,让 Bob 检查,发现这两个顶点的颜色是不同的,那么 Bob 认为这次检验正确。但是Bob 只看到了图的局部,一次挑战不能让他信任,但是多次挑战可能让Bob获取到Alice全部的染色方案,极端情况就是Bob查看了所有边的相邻节点颜色,从而完全重构出染色方案。
所以要对上述三个阶段进行多次重复,每次在承诺阶段Alice都会将染色方案进行一次随机置换,使得Bob每次验证,只能得到指定的两个相邻节点染色是否相等的信息。随着重复的次数足够多,Bob有极大概率相信Alice拥有一个正确的染色方案。但是Bob 每次看到的局部染色情况,都是 Alice 变换过后的结果,无论 Bob 看多少次,都不能拼出一个完整的三染色答案出来。Bob 在这个过程中,虽然获得了很多「信息」,但是却没有获得真正的「知识」。
通过这个例子,对零知识证明可以有直观的了解。接下来,介绍一个简洁,用途广泛的零知识证明系统 —— Schnorr 协议。
Schnorr机制是一种基于离散对数难题的零知识证明机制。证明者声称知道一个密钥x的值,通过使用Schnorr加密技术,可以在不揭露x的情况下,向验证者证明对x的知情权。可用于证明你有一个私钥但是不披露私钥的内容。
原始的Schnorr机制是一个交互式的机制。Schnorr中涉及到的技术有哈希函数的性质、椭圆曲线的离散对数难题。
(椭圆曲线的离散对数难题是指,已知椭圆曲线E和点G,随机选择一个整数d,容易计算椭圆曲线上另一点Q=d*G,但是给定的Q和G来计算d就非常困难。)
假设Alice 拥有一个秘密数字,a,我们可以把这个数字当成「私钥: sk」,然后把它「映射」到椭圆曲线群上的一个点 a*G,简写为 aG。这个点我们把它当做「公钥: PK」。
Schnorr 协议充分利用了有限域和循环群之间单向映射,实现了简洁的零知识证明安全协议:Alice 向 Bob 证明她拥有 PK 对应的私钥 sk,那么如何证明呢。
交互式Schnorr协议的流程分为三步:
第一步:为了保证零知识,Alice 需要先产生一个随机数r,这个随机数是用来保护私钥无法被 Bob 抽取出来,会映射到椭圆曲线群上的点rG上,记为R发送给Bob。
第二步:Bob 要提供一个随机数进行挑战,把它称为 c。
第三步:Alice 根据挑战数计算 z = r + a * c,然后把 z 发给 Bob,Bob通过式子进行检验:z*G ?= R + c*PK
由于z=r+c*sk,等式两边添加相同的生成元可得:z*G= rG + c*(aG)=c*PK+R。就可以验证Alice确实拥有私钥sk,但是验证者Bob并不能得到私钥sk的值,因此这个过程是零知识的,并且是交互式的。
由于椭圆曲线上的离散对数问题,知道R和G的情况下通过R=r*G解出r是不可能的,所以保证了r的私密性。
但是,整个过程是在证明者和验证者在私有安全通道中执行的。这是由于协议存在交互过程,只对参与交互的验证者有效,其他不参与交互的验证者,无法判断整个过程是否存在串通的舞弊行为,一旦两个验证者相互串通,交换自己得到的值,便可以推出私钥。因此,是无法公开验证的。
进一步分析,为什么需要验证者回复一个随机数c呢?这是为了防止Alice造假。
如果Bob不回复一个c,就变成一次性交互。由于椭圆曲线上的离散对数问题,知道PK和G的情况下通过PK = a * G接触a是不可能的,所以保证了a的私密性。
但是这种方案是存在问题的,a和r都是Alice自己生成的,她知道Bob会用PK和R相加然后再与z * G进行比较。所以她完全可以在不知道a的情况下构造:R = r * G - PK 和 z = r。 这样Bob的验证过程就变成:z * G ?== PK + R ==> r * G ?== PK + r * G - PK。这是永远成立的,所以这种方案并不正确。
所以在交互式Schnorr协议中存在的私钥泄露问题,使得算法无法在公开的环境下使用。
可以将原始的交互式协议转变为非交互式协议来解决这个问题!
下面来看,如何把一个三步的 Schnorr 协议变成一步。
回顾一下交互式Schnorr 协议的第二步,Bob 需要给出一个随机的挑战数 c,这里我们可以让 Alice 用下面这个式子来计算这个挑战数,从而达到去除协议第二步的目的。
c = Hash(PK, R) 。
其中 R 是 Alice 发给 Bob 的椭圆曲线点,PK 是公钥。
这个式子达到了两个目的:
第一个,Alice 在产生承诺 R 之前,没有办法预测 c,即使 c 最终是 Alice 生成的。
第二个,c 通过 Hash 函数计算,会均匀分布在一个整数域内,可以作为一个随机数。
Hash 函数是「单向」的,这样一来,虽然 c 是 Alice 计算的,但是 Alice 并没有能力实现通过挑选 c 来作弊。因为只要 Alice 一产生 R, c 就相当于固定下来了。
这样,就把三步Schnorr协议合并为一步。Alice可直接发送(R,z),因为Bob拥有Alice的公钥PK,于是Bob可自行计算出c。然后验证z*G?=R+c*PK。
如图,利用 Hash 函数,把三步 Schnorr 协议合并为了一步。Alice 可以直接发送:(R, c, z)。又因为 Bob 拥有 PK,于是 Bob 可以自行计算出 c,于是 Alice 可以只发送 (R, z) 即可。
·Alice:均匀随机选择r,并依次计算 R=r*G c=Hash(R,PK) z=r+c*sk
·Alice:生成证明(R,z)
·Bob(或者任意一个验证者):计算e=Hash(PK,R)
·Bob(或者任意一个验证者):验证z*G?==R+c*PK
Schnorr 协议可以用于数字签名。
首先,为了保证攻击者不能随意伪造签名,使用离散对数难题和Hash函数满足抗第二原象(防碰撞)作为安全假设。
提出数字签名的出发点有两个:
一是,接收方希望证实消息在传递过程中没有被篡改;
二是,希望确认发送者的身份,可以理解为发送者有一个私钥,并且私钥和这条消息进行关联计算。
首先要证明发送者的身份,这正是Schnorr协议的功能,能够向对方证明「我拥有私钥」这个陈述。并且这个证明过程是零知识的,不泄露关于「私钥」的任何知识。而c=Hash(m,R)可以保证发送者与信息相关联。
上图就是Schnorr签名方案。在这里还有一个优化,Alice发给Bob的内容不是(R,z)而是(c,z),这是因为R可以通过c,z计算出来。
分析下优化的原理,令n是有限域大小的位数。假设采用了非常接近2^256的有限域,也就是说z是256bit,那么椭圆曲线群的大小也差不多要接近256bit,这样一来,把2^256开平方根后就是2^128,所以说256bit椭圆曲线群的安全性只有128bit。那么,挑战数c也只需要128bit就足够了。这样Alice发送c要比发送R要更节省空间,而后者至少需要256bit。c只需要128bit。相比ECDSA签名方案来说,可以节省1/4的空间。