零知识证明的进展映射了去中心化的速度

我们可以从硬件需求的角度来观察技术进步。 随着新要求和用例的出现，芯片制造商设计了针对特定功能和软件优化的专用 GPU、FPGA 和 ASIC。 从云计算到计算机图形学再到人工智能和机器学习，所有主要的科技行业都已经发展到需要硬件来加速计算的速度和效率。 通常，在确定硬件的通用模型和专用用途之前，制造具有初始功能（存储内存、渲染图形、运行大规模模拟）的芯片是相当简单的。 理想情况下，随着时间的推移，这种硬件会变得更便宜，更容易为消费者所用。

数码相机的发展很好地说明了这一趋势。 1960 年代 半导体被集成到胶片相机中，以自动执行简单的功能，例如测量快门速度或根据试图捕捉的光线质量调整光圈大小，但在内存中捕捉图像尚不可能。 到 1970 年代，人们意识到在内存中捕获图像的问题可以使用磁泡（一种在内存中存储单个数据的原始形式）的概念来解决，并且第一个实验是用数码相机和电荷 电荷耦合器件 (CCD) 用于将光以电子的形式吸收和存储在硅上。 由于当时半导体的局限性，相机的解析力很差，速度和存储空间更不用说了，所以最初对数码相机技术的描述并没有提到百万像素的概念。 当时第一台相机的分辨率约为 0.01 兆像素，图像从缓冲区传输到内存需要 23 秒。 直到 1990 年代，百万像素的数量和相机的内存之间一直存在着紧张的权衡 一种新型传感器——互补金属氧化物半导体 (CMOS)——变得更便宜且广泛使用，百万像素数量和内存之间的平衡大幅改善。 （现代 iPhone 使用 CMOS 并提供大约 12 兆像素的相机质量）。

几十年来，数码相机已经从使用昂贵半导体的巧妙设备，发展到价值数万美元的专业设备，再到数十万美元就能买到的日常手机基本设备。

其他领域的发展也遵循了类似的轨迹：从通用硬件到专用硬件。 针对加密货币进行硬件优化的一个例子是加密货币挖矿：2009 年推出比特币挖矿时，任何人都可以在标准多核 CPU 上运行 SHA256 哈希算法。 随着时间的推移，挖矿竞争变得更加激烈，区块奖励下降，随着人们越来越接受并想要一个全球性的、抗审查的货币体系，为了更有效地挖矿而展开的竞争使行业生态得以发展。 首先，它过渡到 GPU 挖矿，将挖矿并行度从个位数扩展到五位数。 今天，用于挖掘比特币的 ASIC 设备可以达到大约 90-100 兆哈希/秒，这比 CPU 还快。 芯片的功能大约是其 50 亿倍。

也就是说，比特币挖矿的发展证明去中心化货币不仅是可能的，而且是可取的。 虽然我们处于 ASIC 挖矿的高级阶段，但我们也处于 Web 3 硬件的初始阶段。

随着区块链吸引了数百万用户，并且它们托管的应用程序的复杂性不断增加，两个关键需求变得显而易见：隐私和可扩展性。 此外，有两个趋势很明显，一是以前为加密货币领域的应用开发的专用硬件正在蓬勃发展，二是为维护去中心化和隐私而针对消费级硬件优化的算法也在加速推进。 零知识证明领域的发展很好地解释了后一种趋势。

零知识证明现状简述

零知识证明提供了一种以密码方式证明对一组特定信息或数据的了解的方法，而无需泄露该组信息或数据内容的确切细节。 通常构建零知识证明涉及“证明者”和“验证者”。 Prover 根据系统输入的知识创建证明，而 Verifier 有能力确认 Prover 在不知道输入或重新计算自身的情况下如实评估了计算。 零知识证明在当今的区块链中有多种用例——最常见的是 (1) 隐私空间零知识证明 比特币，例如 IronFish、TornadoCash、Worldcoin、Zcash； (2) 通过计算验证链下状态转换来扩展以太坊 在实施研讨会中，例如 Starknet、zkSyn 和 Polygon 的 ZK-Rollup 系列。 Aleo 和 Aztec 等项目提议同时解决隐私和可扩展性问题。

令人兴奋的是，密码学在过去十年中取得的进步使所有这些应用程序变得可行且速度更快，也许更重要的是它实现了审查抵制和去中心化。 基于算法和硬件的进步，生成和验证证明变得相对便宜且计算要求较低。 在许多方面，这些进步反映了类似于数码相机发展的技术民主化过程：从昂贵且低效的过程开始，然后逐渐使事情变得更便宜和更快。 也许更关键的是，零知识算法的进步开始为需要在服务器和其他集中式环境中生成证明的计算提供替代方案。

证明设置涉及算术电路，表示对代表程序的一组多项式进行计算的门； 当您尝试扩展这些多项式所代表的信息量时，这些门会变得越来越复杂。 理想情况下，你希望 Prover 的可能输出范围尽可能大，以减少 Prover 通过暴力计算出 Verifier 期望值的可能性。 这是一个叫做抗碰撞的概念。 通过增加这些输出范围，可以增加证明的概率安全性，就像在 POW 挖矿中一样。 但是，大输出可能代价高昂且计算速度慢。 这是需要证明算法和硬件进步的地方。

zkSNARKs 于 2011 年首次推出，一直是取得进步的关键因素。 zkSNARKs 可以有效且可控地扩展多项式的数量，从而释放零知识证明的速度和更复杂的潜在应用。

zkSNARK 的“SNARK”部分代表“Succinct Non-Interactive Arguments of Knowledge”。 在 Web3 的背景下，这里的关键词是“简洁”和“非交互”。 zkSNARK 中的证明只有几百个字节，这使得 Verifier 可以轻松快速地检查证明是否正确（尽管证明本身可能需要很长时间才能生成）。 非交互部分也是关键：非交互证明使验证者不必质疑证明者提交的声明； 在区块链的背景下，这样的挑战需要在客户和验证者之间来回进行，这是耗时且难以构建的。 值得注意的是，当 zkSNARKs 首次被纳入区块链时，并没有提及将其用于隐私保护区块链或扩展交易； 在编译数据集的情况下，对大量数据运行高效计算。 虽然这个例子在理论上类似于隐私和扩展方面的用例，但该领域的人们花了几年时间才将 zkSNARKs 应用于加密货币。

当零知识证明遇上区块链

第一个实现 zkSNARKs 的加密协议是 Zcash，它是 2014 年开发的一种私人支付加密货币。Zcash 是一个基于比特币 UTXO 模型的工作量证明网络，它的改进是密码学进步如何导致更具可扩展性的一个很好的例子形式的隐私。 Sprout 协议是 Zcash 的最初实现，它使用 SHA256 压缩函数来创建椭圆曲线，虽然这在密码学上是安全的，但它也是时间和内存密集型的：生成证明需要几分钟和大约 3KB 的内存才能完成。 几年后，Zcash 核心团队开发了一种名为 Bowe-Hopwood-Pedersen 的新哈希函数来替代 SHA256，并于 2018 年将 Zcash 从 Sprout 协议过渡到 Sapling 协议。此外，该团队还采用了 Groth16 证明系统的电路并重新设计了他们在网络中处理帐户的方式，这使得证明的生成时间缩短到大约 2.6 秒和 40MB 的内存。 从此，可以在手机上生成证明。

Zcash 的升级说明了两个有趣的概念，这些概念一直存在于零知识证明系统的改进中。 首先是您可以通过组合不同的匹配和证明系统来提高效率。 人们可以将证明电路、曲线、约束系统和承诺方案视为可互换的成分，以创建具有不同速度、效率和安全假设的“零知识配方”。 其次，对隐私的需求推动了这些改进——如果证书不是在设备上生成的（如电脑或手机），则需要由第三方生成，这可能会泄露相关的私人信息，因为你的“隐私”输入”以明文形式发送。 我们可以将 Zcash 视为区块链领域早期基于零知识证明开发的例子，即通过对算法的改进，可以非常快速地优化用户友好性和去中心化。 保护隐私的加密货币 IronFish 等新项目进一步推动了这种去中心化的价值，使任何人都可以直接从其网络浏览器中挖掘和运行节点。

普隆进场

2019 年，Ariel Gabizon、Zac Williamson 和 Oana Ciobotaru 发表了一篇论文，提出了一种新的证明系统 PLONK，其中包含多项关键进展。 第一个重大突破是 PLONK 只需要一个单一的、通用的可信设置——证明者和验证者在初始化仪式期间为给定的零知识证明系统使用的通用字符串。

正如 Vitalik Buterin 在他的“理解 PLONK”一文中所解释的那样，一个单一的可信设置是可取的，因为“与其为你想要证明的每个程序都有一个单独的可信设置，整个方案一个单一的可信设置，之后你可以使用该方案与任何程序。” 虽然 Zcash 必须为其证明系统（包括 Sprout 和 Sapling）的每个实例进行可信设置，但 PLONK 设置只需要完成一次就可以被任意数量的用例永久使用。 2019 年，Aztec 网络进行了 176 人参加的可信启动仪式，这种运作方式被其他从事零知识证明的团队效仿，包括 Matter Labs/zkSync、Mina 以及即将推出的新版 Zcash。

PLONK 带来的另一个关键进步是它提供了相对较快的证明时间。 测试发现，消费级计算机（16GB RAM 的 SurfacePro 6）可以在 23 秒内生成证明。 不过，这些只是基准，今天 PLONK 证明的实际实施可能需要更长的时间来生成证明零知识证明 比特币，因为有许多实施 PLONK 证明的团队正在将其应用于需要将数千个链下交易聚合到单个证明 ZK-Rollup 中的应用程序。 这些交易通常由具有大量计算能力的证明者处理，并将这些交易的记录发送给排序者以在以太坊主网上发布。

在研究 Rollups 时，出现了关于如何以及在何处定位去中心化的问题。 Matter Labs 正在采用的一种方法是 zkPorter，一个二级账户，用于链下数据可用性的 Rollups，它允许人们选择在提供 L1 以太坊的 zkSync 或 zkPorter 安全性和每秒 2,000 笔交易的吞吐量上进行交易，而 zkPorter 可以达到每秒超​​过 20,000 个交易的吞吐量。 更重要的是，zkPorter 被设计成一个 POS 网络，通过“Guardians”抵押代币来跟踪链下状态，在实现强大安全保障的同时，将交易成本降低了几个数量级。 虽然 Matter Labs 尚未专注于 Prover 的去中心化，但网络级去中心化是 Rollup 可以优先考虑中立性同时还可以提高速度的另一个关键方式。 此外，Aztec 是一种隐私保护的 Rollup，允许在手机或电脑上生成证明，并提出了一种联合 Prover 网络的方法。 但需要注意的是，所有这些提案都处于早期阶段，团队仍在迭代其具体实施。

其他基于硬件的区块链隐私计划包括 Worldcoin，它使用 Semaphore 零知识证明系统来创建分散的、抗女巫攻击的货币。 为了做到这一点，Worldcoin 用户需要使用 Orb 进行虹膜扫描，以验证每个人只为 Worldcoin 注册过一次，但 Worldcoin 不会存储或泄露用户的私人信息。 注册Worldcoin时，用户需要在手机上生成一个Semaphore公钥，Orb扫描用户的公钥（二维码形式）和用户的虹膜，输出一个哈希值。 然后 Worldoin 验证哈希值是否与已经生成的哈希值相匹配，确保一个人只能注册一次。 通过使用哈希而不是存储生物识别数据，Worldcoin 能够使用零知识证明来保护用户隐私。

可以建造什么？

站在不可阻挡的技术革命的尾端并声称它带来的巨大经济和社会变革很容易； 今天的 iPhone 包含数量惊人的功能 - 摄影、存储、互联网访问、通信。 但人们可能没有意识到，要使这些技术成为可能，需要付出巨大的努力，这与站在一场尚未解决的大规模社会和经济变革的前沿一样困难，而且很难说需要多长时间才能实现彻底的变革。

尽管在过去十年中在速度、效率、用户友好性和去中心化方面取得了惊人的进步，但我们目前正处于零知识证明方案一系列进展的早期阶段。 在极短的时间内，零知识证明已经从用于少数面向消费者的应用程序，发展为大量用于为隐私和可扩展性而生的应用程序和区块链技术。

我们很难预测这些新兴技术的另一面会是什么样子。 很难想象，当每个人都能从手机上获得完整的隐私交易保障，成为众多去中心化应用的主人时，会发生什么。 是否会出现一个拥有无国界、去中心化货币且每个人都有权使用的世界？ 当我们生活在我们这个时代的转折点时，重要的是要牢记指导这个空间发展的核心价值观：可访问性、去信任，以及最重要的去中心化。

结尾