zk-SNARKs: какую революцию они могут принести?

Автор: 0xKira

Компиляция: Block unicorn

В условиях постоянно развивающейся криптографии и блокчейна едва ли какая-либо инновация привлекла бы столько внимания, как доказательства с нулевым разглашением (ZK). Доказательства с нулевым разглашением когда-то были трудными для понимания академическими концепциями в научных статьях по компьютерным наукам, но теперь они быстро перешли от теории к основной сети и стали основой инфраструктуры следующего поколения в области криптографии.

Суть нулевого знания заключается в вызове долгосрочной гипотезы в цифровых системах: для проверки необходимо раскрывать информацию. Будь то вход в приложение, проверка личности или подтверждение транзакции, ранее нам всегда приходилось раскрывать определенную информацию, чтобы получить доверие. Технология нулевого знания разрушает этот компромисс, позволяя нам доказывать факты о личности, данных или вычислениях, не раскрывая основную информацию.

Помимо защиты конфиденциальности, доказательства с нулевым разглашением могут обеспечить масштабируемость, интероперабельность и верификацию без доверия на глобальном уровне. От ZK rollup, расширяющих пропускную способность блокчейнов, до систем идентификации и соблюдения норм с защитой конфиденциальности, доказательства с нулевым разглашением переопределяют возможности криптографии.

Сводка

Доказательства с нулевым разглашением (ZK) могут проверять информацию, такую как личность, баланс или действительность транзакций, не раскрывая при этом исходные данные.

Хотя технология нулевых знаний была предложена еще в 80-х годах XX века, она стала практичной лишь недавно благодаря достижениям в области вычислений, криптографии и технологии блокчейн.

ZK-доказательства поддерживают частные транзакции, децентрализованные идентичности, голосование DAO и межсетевую совместимость, одновременно упаковывая тысячи транзакций в одно доказательство с помощью ZK Rollup, тем самым увеличивая масштаб Ethereum.

Несмотря на большую вычислительную нагрузку, алгоритм ZK rollup обладает мгновенной окончательностью, более низкими затратами и более высокой безопасностью, что делает его более продвинутым по сравнению с оптимистичными решениями.

Что такое нулевое знание?

Доказательство с нулевым разглашением (ZK) — это криптографический метод, который позволяет одной стороне (доказателю) продемонстрировать другой стороне (проверяющему), что утверждение является истинным, не раскрывая, почему это утверждение истинно, или какую-либо дополнительную информацию.

Например, Алиса хочет доказать Бобу, что знает пароль от скрытой двери в пещере, но она не может просто сказать ему пароль. Она заходит в пещеру, открывает дверь и затем появляется с другой стороны. Боб не видит, как она это сделала, но он знает, что она определенно знает пароль.

Классическая метафора нулевого знания — Chainlink

Традиционно для верификации требуется раскрытие некоторой информации: например, личной информации, паролей или данных. Нулевые знания революционизировали эту модель, позволяя доказывать идентичность, подлинность или право собственности без раскрытия самих данных.

В цифровой системе это означает, что вы можете:

Доказать, что вам исполнилось 18 лет, не раскрывая дату рождения.

Подтвердите наличие достаточных средств, не раскрывая баланс кошелька.

Доказать действительность транзакции, не раскрывая содержание сделки.

Способность «доказывать, не раскрывая информации» является основой систем, обеспечивающих приватность, безопасность и прозрачность, и доказательства с нулевым знанием как раз могут одновременно учитывать эти две характеристики.

Как они работают?

Нулевые доказательства основаны на сложных математических структурах и криптографических примитивах, но концептуально их можно свести к трем основным свойствам:

Целостность (Completeness): Если это утверждение истинно, честный доказатель может убедить проверяющего в его истинности.

Надежность (Soundness): если утверждение неверно, ни один мошеннический доказатель не может убедить проверяющего в том, что это утверждение неверно.

Нулевое знание (Zero-Knowledge): проверяющий, кроме того, что знает, что это утверждение истинно, не получает никакой другой информации.

На самом деле существует несколько типов нулевых доказательств, но в настоящее время основной фокус обсуждения сосредоточен на двух типах: интерактивных и неинтерактивных нулевых доказательствах.

В ранних разработках доказательства с нулевым разглашением были интерактивными. Доказатель и проверяющий взаимодействовали в двустороннем диалоге, проверяющий выдвигал случайные вызовы, а доказатель предоставлял доказательства в ответ, совместно создавая уверенность в истинности определенного утверждения. Хотя эта модель теоретически эффективна, в условиях блокчейн-среды сторонам часто трудно взаимодействовать в реальном времени, поэтому ее эффективность не высока.

Чтобы повысить его практическую ценность, криптографы разработали неинтерактивные нулевые доказательства (NIZK), которые требуют от доказателя отправки сообщения проверяющему для завершения. Самым известным из них являются zk-SNARKs, которые могут генерировать чрезвычайно компактные доказательства и завершать проверку за миллисекунды. Другой вариант — zk-STARKs, который не требует надежной настройки и обеспечивает уровень безопасности после квантовых вычислений.

Принцип работы zk-SNARKs — Сеть Midnight

По сути, эти системы позволяют доказателям генерировать математские «отпечатки» эффективных вычислений. Затем проверяющие могут проверить этот отпечаток, не выполняя повторно все вычисления. Именно поэтому они так мощны в масштабировании блокчейна: достаточно проверить одно криптографическое доказательство, чтобы быстро и недорого подтвердить тысячи транзакций.

Когда были изобретены нулевые знания?

Доказательства с нулевым разглашением восходят к середине 1980-х годов, когда исследователи Шафи Голдвассер, Сильвио Микали и Чарльз Ракофф ввели эту концепцию в своей новаторской статье «Сложность знаний интерактивных систем доказательства» (1985 года).

Их ранние теоретические модели заложили основу для криптографических инноваций на последующие десятилетия, но только в 2010-х годах, благодаря повышению вычислительной эффективности и возникновению технологии блокчейн, доказательства с нулевым разглашением стали практическими.

Проекты, такие как Zcash, были запущены в 2016 году и являются одними из первых, которые широко внедрили доказательства с нулевым разглашением. Они используют zk-SNARKs для реализации частных транзакций в публичной бухгалтерии. С тех пор технологии доказательства с нулевым разглашением значительно развились, повысилась их эффективность, скорость генерации доказательств увеличилась, а также появились новые фреймворки (например, zk-STARKs, Halo и PLONK), что облегчает их использование разработчиками и делает их более подходящими для масштабирования реальных систем.

Каковы применения нулевых знаний в области криптографии?

Самым интуитивным и известным приложением является защита конфиденциальности транзакций. Нулевое доказательство позволяет пользователям проводить транзакции в публичной блокчейн-сети, не раскрывая такие чувствительные данные, как сумма транзакции или контрагент. Zcash является пионером этой технологии, которая представила механизм «защищенных транзакций» (shielded transactions), обеспечивая конфиденциальность пользователей и поддерживая проверяемую целостность в цепочке. На этой основе такие проекты, как Tornado Cash, Aztec и Railgun, расширили технологию нулевых доказательств на Ethereum, обеспечивая конфиденциальное взаимодействие смарт-контрактов и секретные DeFi-транзакции.

Как работает Tornado Cash - Elliptic

Помимо защиты конфиденциальности, доказательства с нулевым разглашением революционизируют область цифровой идентичности и соблюдения нормативных требований. Они поддерживают выборочное раскрытие, позволяя пользователям доказывать определенные факты о себе, не раскрывая личные данные. Например, пользователи могут подтвердить, что прошли проверку KYC, не раскрывая своих имен, или подтвердить, что они не находятся в санкционных списках, не предоставляя идентификационной информации. Этот принцип является основой новых систем идентификации с нулевым разглашением, таких как доказательство личности Worldcoin, Polygon ID и zkPass.

Polygon ID: система идентификации, поддерживающая доказательства с нулевым разглашением - Polygon

Доказательства нулевого знания также имеют большую ценность в области голосования и управления. В децентрализованных автономных организациях (DAO) они могут способствовать анонимному, но проверяемому процессу голосования, обеспечивая прозрачность результатов при защите конфиденциальности личных голосующих. Это помогает снизить риск принуждения или мести, поощряя более честное участие в коллективном принятии решений, тем самым укрепляя демократические принципы децентрализованного управления.

Еще одно преимущество нулевых знаний проявляется в области межцепочечной верификации. В многоцепочечной среде традиционно для установления доверия между различными блокчейнами требуются посреднические организации или сложные мостовые механизмы. Нулевые знания предлагают более элегантное решение: доказательство, созданное на одной цепи, может подтвердить действительность своего состояния, в то время как другая цепь может независимо проверить это доказательство. Это достигает межоперабельности без доверия, позволяя различным блокчейнам безопасно взаимодействовать без зависимости от централизованных валидаторов.

Технология ZK также повышает масштабируемость Ethereum с помощью ZK Rollup. Упаковывая тысячи транзакций в одно единственное криптографическое доказательство, эти Rollup значительно снижают нагрузку на данные в цепочке, обеспечивая при этом безопасность. В результате скорость обработки транзакций становится выше, затраты ниже, а эффективность выше, что закладывает основу для того, чтобы Ethereum мог справляться с крупномасштабными приложениями без ущерба для своих децентрализованных характеристик.

Подробное объяснение ZK Rollup

Во всех приложениях, основанных на доказательствах с нулевым знанием, ZK rollup безусловно является самым революционным. Они решают одну из крупнейших проблем в области криптовалют: масштабируемость блокчейна.

С момента появления технологии блокчейн все блокчейны сталкиваются с тройной проблемой блокчейна: все блокчейны могут реализовать только две из трех основных характеристик: безопасность, масштабируемость и децентрализация. Блокчейн, такой как Эфириум, хотя и безопасен и децентрализован, но его скорость по-прежнему очень медленна, а затраты высоки. Каждая транзакция должна проходить проверку всеми узлами, что создает узкое место, ограничивает пропускную способность, повышает газовые сборы и значительно снижает доступность блокчейна.

Rollup — это решение уровня 2, которое выполняет транзакции вне цепи, а затем публикует сводную информацию обратно в основную цепь или уровень 1 (обычно Ethereum). Rollup в основном делится на два типа: Optimistic rollup и ZK rollup.

В ZK Rollup сотни и тысячи оффчейн-транзакций упаковываются вместе. Доказатель генерирует нулевое знание (также известное как доказательство действительности), которое показывает, что все упакованные транзакции соответствуют правилам блокчейна. Затем это одно доказательство отправляется в основную цепь, которая может быстро и однозначно его проверить.

Принцип работы ZK Rollup - Messari

Этот дизайн значительно уменьшает объем данных и вычислительную нагрузку на Layer-1, при этом сохраняя те же гарантии безопасности, что и при отдельной обработке каждой транзакции, устраняя тем самым узкие места по скорости и масштабируемости Layer-1.

Некоторые代表ные проекты ZK rollup включают:

zkSync Era: разработан Matter Labs, использует zk-SNARKs для достижения быстрой финализации.

StarkNet: построен на основе zk-STARKs, акцент на масштабируемости и прозрачности

Polygon zkEVM: реализация нулевого знания Ethereum Virtual Machine (EVM), которая обеспечивает полную совместимость с существующими смарт-контрактами на Ethereum.

Lighter: это платформа вечного DEX, построенная на основе настраиваемого ZK rollup, использующая zk-SNARKs, а именно Plonky2.

Преимущества ZK Rollup

С помощью сжатия тысяч транзакций в одно криптографическое доказательство, ZK rollups могут значительно увеличить пропускную способность, позволяя таким блокчейнам, как Ethereum, обрабатывать больше операций без ущерба для децентрализации или безопасности.

Безопасность является еще одним ключевым преимуществом. В отличие от Optimistic rollup, который полагается на экономические стимулы и недельный период испытаний для выявления мошенничества, ZK rollup использует математические доказательства корректности для предварительного обеспечения правильности. Как только доказательство проверено в блокчейне, базовые транзакции становятся окончательными и необратимыми, что устраняет задержки и неопределенности.

Это также означает более быструю скорость подтверждения. Транзакции в ZK rollup будут немедленно завершены после проверки соответствующего доказательства, в отличие от обычного времени ожидания в оптимистичной системе, пользователи могут практически мгновенно получить окончательный результат.

Соотношение затрат и выгод является еще одним важным преимуществом. Поскольку ZK Rollups отправляют на блокчейн Layer-1 лишь незначительное количество данных, комиссия за газ значительно снижается, что делает затраты для пользователей и приложений, работающих на Ethereum, более низкими.

Более того, ZK rollup открыл двери для улучшения защиты конфиденциальности. Поскольку он сам основан на нулевых знаниях криптографии, теоретически можно встроить конфиденциальность прямо в сам rollup, обеспечивая тем самым масштабируемые, приватные и проверяемые транзакции.

Основное ограничение в настоящее время заключается в вычислительных требованиях. Генерация нулевых знаний все еще требует значительных ресурсов, необходимых мощное оборудование и продвинутые криптографические технологии. Тем не менее, постоянные улучшения, особенно в области аппаратного ускорения, проектирования схем и рекурсивных доказательств, постепенно снижают эти затраты, делая каждое поколение ZK rollup более эффективным.

Сравнение с оптимистичным роллапом

Оптимистичные роллапы, такие как Arbitrum и Optimism, следуют другой идее. Они предполагают, что все оффлайн-транзакции являются действительными по умолчанию. Только когда кто-то ставит под сомнение это предположение, система требует предоставить «доказательства мошенничества» для проверки спора, и этот процесс обычно занимает около недели. Эта модель хорошо работает на практике, но приводит к задержкам в окончательном подтверждении транзакций и зависит от механизма стимулов, чтобы побудить участников обнаруживать и сообщать о недействительных действиях.

А ZK rollup прикрепляет к каждой партии транзакций доказательство нулевого знания о ее действительности, подтверждая ее правильность математическим способом до записи в основную цепь, что обеспечивает мгновенную окончательность и более высокую безопасность, но также приводит к более высокой технической сложности и большему объему вычислений.

По сути, эти две модели представляют собой разные компромиссы. Optimistic Rollup легче реализовать, и из-за своей простоты и полной совместимости с виртуальной машиной Ethereum (EVM) в настоящее время он доминирует в области Layer-2 Ethereum. ZK rollup более сложен, требует больших вычислительных мощностей, но он предлагает более быструю скорость расчетов, более низкие затраты и потенциал для встроенной конфиденциальности.

Заключение

Доказательства с нулевым разглашением представляют собой парадигмальный сдвиг в нашем восприятии доверия, конфиденциальности и методов верификации в цифровых системах. Эта концепция, возникшая в абстрактной криптографической теории 1980-х годов, сегодня стала одной из наиболее многообещающих технологий, способствующих развитию следующего поколения децентрализованной инфраструктуры.

В области криптовалют нулевое доказательство поддерживает частные транзакции, децентрализованную идентификацию, межцепочечную совместимость и, что наиболее важно, масштабируемые архитектуры rollup, которые могут многократно увеличить пропускную способность при сохранении уровня безопасности Ethereum. Их область применения также выходит за рамки блокчейна и охватывает такие области, как финансы, искусственный интеллект и верификация данных.

Хотя применение нулевых знаний все еще находится на относительно ранней стадии, его траектория развития уже ясна. Нулевые знания превращаются из новаторской технологии в области криптографии в неотъемлемую часть инфраструктурного строительства. Если блокчейн хочет расшириться до миллиардов пользователей, обеспечивая при этом конфиденциальность и децентрализацию, то нулевые знания, вероятно, станут ключом к этому будущему.