如何既不泄密，又能取信于人？非玄学，是零知识证明

　　先来看一张图：

　　显而易见，图中有无数企鹅。不过，其中藏着一只与企鹅相似的海鹦（如下图）。

　　现在的情况是，我知道这个海鹦藏的地方，但是我不想告诉你具体的位置。问题在于：我要怎么做才能在不泄露具体位置的情况下，向你证明我的确知道海鹦的位置呢？一个简单办法是，我拿一块塑料板，上面留个孔，把整张图放到板子后面，并且让海鹦对准那个孔。

　　只要你通过洞往里边看，你就可以看到海鹦。

　　回顾一下这个过程，你可以发现：虽然我没有指出海鹦的具体位置，也没有给出任何明示或暗示信息，但你能肯定图中确实有一只海鹦，而且你也相信我知道这个位置。

　　这就是“零知识证明（zero-knowledge proof）”。

　　奇怪的定义

　　零知识证明指的是证明者能够在不向验证者提供任何有用信息的情况下，使验证者相信某个论断是正确的。其实质是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。简言之，零知识证明系统要完成的任务是“证明某一个事实并且不泄露知识”。

　　官方定义比较拗口，可以再举个通俗易懂的经典例子加以说明。

　　假设：现在你的手里有红绿两个小球，面对一个有红绿色盲的朋友，你不能告诉他你两个球分别是什么颜色，但是你要让他相信那的确是两个不同颜色的球。这种情况下，你要怎么做？

　　方案：先将两个球分别放在他的两只手中，并记住最初左右手中球的颜色；让他将手放背后，随机决定是否在背后交换手中的球，然后将手中的球展示给你并让你判断他是否在背后交换了手中的球。

　　从结果来说，你通过对比他手中球的颜色就可以直接判断出他是否在背后换了球。你的朋友知道换球的次数，可以证明你的判断正确与否。同时为了排除偶然性，可以进行反复多次试验，只要你的判断每次都是正确的，基本就可以说明这两个球的确是不同色的。

　　在证明的整个过程中，你（证明者）并没有向他（验证者）透露任何有关球的颜色的具体信息，他也无法自行判断球的颜色，因此在这个过程中并没有传递任何关于被证明消息的有用的信息，同时他也确实相信了“两个球是不同色”的论断。

　　零知识证明的研究最早始于1985年，由MIT教授 Shafi Goldwasser，Silvio Micali 和密码学大师Charles Rackoff在《The Knowledge Complexity of Interactive Proof-Systems》论文中提出。这篇文章提出了“零知识证明”这一概念，并逐步成为了现代密码学理论的根基之一。

　　一个正常工作的零知识证明系统必须包含三个属性：

• 完备性（completeness）：在证明者与验证者都是诚实的情况下，证明过程符合规则并且正确，那么这个证明一定是成功的，证明者最终会说服验证者。
• 可靠性（Soundness）：只有证明者能够做出证明，且证明者只能说服验证者该陈述是否属实，证明者没有办法通过欺诈的手段让验证者相信他。
• 零知识性（Zero-knowledgeness）：证明过程执行完之后，验证者只获得了“证明者拥有这个知识”这条信息，而没有获得关于这个知识本身的信息。

　　应用：从象牙塔走到区块链

　　最初关于零知识证明的研究基本只在学术界进行，研究人员把主要精力都放在块加密、流加密和公钥体系的密码学研究上。但随着互联网尤其移动互联网的发展，大量涉及隐私性的信息在联网设备上存储、交换和计算，不可避免地造成大量的隐私信息泄露和互联网诈骗事件盛行。

　　在隐私安全备受关注的今天，零知识证明有了更大的“用武之地”。比如：

　　保护隐私数据：购买保险的时候，只想证明自己没有家族病史，而不想暴露病例的所有信息。不管是哪种信息，都可以把不想暴露的部分换成一个很像随机数字的零知识证明，在证明数据真实可信的同时也保护了其他隐私。

　　身份认证：在使用网站时，用户可以向网站证明他拥有私钥，或者知道某个只有自己才知道的答案，网站不用知道密钥，但可以通过零知识证明确认用户身份，通过去中心化存储，服务器可以向用户证明数据被妥善保存下来且不被泄露。

　　计算压缩与区块链扩容：在传统的区块架构中，同样的计算被重复多次，比如签名校验，交易的合法性校验，智能合约执行等一些其他的地方，因为有了计算的证明，同一个计算就不需要多次重复了，计算过程可以被零知识技术证明压缩。

　　4个主流的零知识证明开发库推荐

　　理论上，凡是今天存储的数据必然都会在未来泄露，泄露的早晚只是一个时间的问题。技术上能做的只是在这个数据泄露上增加一个难度，让其泄露时缺乏即时性和完整性，降低其利用价值。针对这一方面，设计良好的零知识协议实际是一个比较有前景的方案。推荐4 个主流的零知识证明开发库，希望对读者有所帮助。

　　libsnark：SCIPR Lab开发的zkSNARK方案实现，开发语言为C++，应用于zcash等多个项目。

　　snarkjs：zkSARNK方案的javascript实现库。利用snarkjs你可以进行可信设置、生成证据并验证证据。

　　bellman：用于开发zk-SNARK电路的Rust库，它提供电路接口、基础结构以及一些基本电路实现，例如布尔和数值抽象。

　　pysnark：用Python开发的zk-snark方案实现，支持Pinocchio协议，支持生成用于以太坊的智能合约用于验证零知识证据。

　　参考资料：

​​　　https://zhuanlan.zhihu.com/p/421087406​​

​​　　https://www.bilibili.com/video/BV1tF411p73s/​​