zk-SNARKs: яку революцію вони можуть принести?

Автор: 0xKira

Переклад: Block unicorn

У постійному розвитку криптографії та блокчейну майже жодна інновація не привернула такої великої уваги, як нульові знання (ZK) докази. Нульові знання колись були лише незрозумілою академічною концепцією в теоретичних роботах з комп'ютерних наук, але тепер швидко перейшли з теорії до основної мережі, ставши основою інфраструктури наступного покоління криптографії.

Основною ідеєю нульового знання є оскарження довготривалої гіпотези в цифрових системах: перевірка вимагає розкриття інформації. Незалежно від того, чи це вхід до програми, підтвердження особи чи підтвердження транзакції, раніше нам завжди потрібно було розкривати певну інформацію, щоб отримати довіру. Технологія нульового знання розриває цей компроміс, дозволяючи нам підтверджувати факти про особу, дані або обчислення, не розкриваючи підґрунтову інформацію.

Окрім захисту конфіденційності, докази нульового знання також можуть забезпечити масштабованість, взаємодію та верифікацію без довіри на глобальному рівні. Від ZK rollup для розширення пропускної спроможності блокчейнів до систем ідентифікації та комплаєнсу, що захищають конфіденційність, докази нульового знання переосмислюють можливості криптоіндустрії.

Огляд

Докази нульового знання (ZK) можуть підтверджувати інформацію, таку як особа, залишок або дійсність транзакцій, не розкриваючи базові дані.

Хоча технологія нульових знань була запропонована вперше в 80-х роках XX століття, вона стала практичною лише нещодавно завдяки прогресу в обчисленнях, криптографії та технології блокчейн.

ZK-докази підтримують приватні транзакції, децентралізовану ідентичність, голосування в DAO та міжланцюгову інтероперабельність, водночас упаковуючи тисячі транзакцій в одне доказ за допомогою ZK Rollup, що дозволяє розширити масштабування Ethereum.

Незважаючи на велику обчислювальну потужність, алгоритм ZK rollup має миттєву остаточність, нижчі витрати та вищу безпеку, що робить його кращим за рішення класу Optimistic.

Що таке нульове знання?

Доказательство нулевого знания (ZK) — це криптографічний метод, який дозволяє одній стороні (доказнику) довести іншій стороні (перевіряючому), що певне твердження є істинним, не розкриваючи, чому це твердження є істинним, або будь-якої додаткової інформації.

Наприклад, Аліса хоче довести Бобу, що вона знає пароль до прихованих дверей у печері, але не може просто сказати йому пароль. Вона входить у печеру, відкриває двері, а потім з'являється з іншого боку. Боб не бачить, як вона це зробила, але знає, що вона точно знає пароль.

Класичне порівняння нульових знань — Chainlink

Традиційно для верифікації потрібно було розкривати певну інформацію: наприклад, особисту інформацію, паролі або дані. Докази з нульовим знанням руйнують цю модель, дозволяючи підтверджувати особу, правдивість або власність без необхідності розкриття самих даних.

У цифровій системі це означає, що ви можете:

Доказати, що вам виповнилося 18 років, не розкриваючи дату народження.

Доказати наявність коштів без розкриття балансу гаманця

Доказати дійсність транзакції без розкриття її вмісту.

Ця здатність «доказувати без розкриття інформації» є основою систем, які забезпечують конфіденційність, безпеку та прозорість, а нульові знання якраз можуть одночасно враховувати ці дві характеристики.

Як вони працюють?

Докази з нульовим знанням залежать від складних математичних структур та криптографічних примітивів, але концептуально їх можна звести до трьох основних властивостей:

Цілісність (Completeness): якщо це твердження вірне, чесний доводчик може переконати перевіряючого в його істинності.

Надійність (Soundness): якщо твердження є хибним, жоден шахрайський доказувач не зможе переконати верифікатора в тому, що це твердження є хибним.

Нульове знання (Zero-Knowledge): перевіряючий, окрім того, що знає, що твердження є істинним, не дізнається ніякої іншої інформації.

Насправді, існує кілька типів нульових знань, але наразі обговорення зосереджене переважно на двох типах: інтерактивних та неінтерактивних нульових знаннях.

У ранніх розробках нульові знання були інтерактивними. Доказувач і валідаційний учасник проводили двосторонній діалог, валідаційний учасник ставив випадкові запитання, а доказувач надавав докази у відповідь, спільно формуючи впевненість у правдивості певного твердження. Хоча ця модель теоретично дієва, в умовах блокчейну сторонам часто важко взаємодіяти в реальному часі, тому ефективність не є високою.

Щоб зробити їх більш практичними, криптографи розробили неінтерактивні нульові знання (NIZK), які вимагають від доводчика надіслати лише повідомлення на адресу перевіряючого. Найвідомішими є zk-SNARKs, які можуть генерувати надзвичайно компактні докази і завершувати верифікацію за мілісекунди. Іншим варіантом є zk-STARKs, які не потребують надійного налаштування і забезпечують рівень безпеки після квантових обчислень.

Принцип роботи zk-SNARKs — Midnight Network

В основному ці системи дозволяють доказувачам генерувати математичні «відбитки пальців» ефективних обчислень. Потім перевіряючі можуть перевірити цей відбиток пальця, не виконуючи все обчислення знову. Саме це робить їх настільки потужними в розширенні блокчейну: достатньо перевірити єдине криптографічне підтвердження, щоб швидко та недорого перевірити тисячі транзакцій.

Коли була винайдена нульова знання?

Докази з нульовим знанням можна відслідкувати до середини 80-х років минулого століття, коли дослідники Шафі Голдвассер, Сільвіо Мікалі та Чарлз Раккоф у своїй новаторській статті «Складність знань інтерактивних доказових систем» (1985 рік) ввели цю концепцію.

Їхні ранні теоретичні моделі заклали основу для подальших десятиліть криптографічних інновацій, але тільки у 2010-х роках, завдяки підвищенню обчислювальної ефективності та виникненню технології блокчейн, нульові знання стали практичними.

Проекти, такі як Zcash, були запущені в 2016 році і є одними з перших, які широко впровадили нульові докази. Вони використовують zk-SNARKs для реалізації приватних транзакцій у публічному реєстрі. З тих пір технологія нульових доказів значно розвинулася, стала більш ефективною, швидкість генерації доказів зросла, а також з'явилися нові фреймворки (такі як zk-STARKs, Halo та PLONK), що полегшують їх використання для розробників і роблять їх більш придатними для розширення реальних систем.

Які застосування нульових знань у криптографії?

Найбільш інтуїтивно зрозуміле та широко відоме застосування – це транзакції з захистом конфіденційності. Нульові знання дозволяють користувачам здійснювати транзакції в публічному блокчейні, не розкриваючи чутливу інформацію, таку як сума транзакції або контрагент. Zcash є піонером цієї технології, яка представила механізм «захищених транзакцій» (shielded transactions), що дозволяє зберігати конфіденційність користувача, зберігаючи при цьому перевірну цілісність у ланцюзі. На цій основі проекти, такі як Tornado Cash, Aztec та Railgun, розширили технологію нульових знань на Ethereum, що дозволяє здійснювати конфіденційні взаємодії смарт-контрактів та секретні транзакції DeFi.

Принцип роботи Tornado Cash - Elliptic

Окрім захисту конфіденційності, нульові знання революціонізують цифрову ідентичність і регуляторну відповідність. Це підтримує вибіркове розкриття, що дозволяє користувачам підтверджувати певні факти, не розкриваючи особисті дані. Наприклад, користувач може підтвердити, що він пройшов KYC-верифікацію, не розкриваючи ім'я, або підтвердити, що він не в санкційному списку, не надаючи особисту інформацію. Цей принцип є основою нових систем нульових знань, таких як перевірка особи Worldcoin, Polygon ID та zkPass.

Polygon ID: система ідентифікації, що підтримує нульове знання - Polygon

Докази з нульовим знанням також мають потужну прикладну вартість у голосуванні та управлінні. У децентралізованих автономних організаціях (DAO) вони можуть сприяти анонімному, але перевіреному процесу голосування, забезпечуючи прозорість результатів при цьому захищаючи конфіденційність особистих голосувальників. Це допомагає знизити ризик примусу або помсти, заохочуючи більш чесну участь у колективному ухваленні рішень, що, у свою чергу, зміцнює демократичні принципи децентралізованого управління.

Інша перевага нульових знань проявляється в області міжланцюгової перевірки. У багатоланцюговому середовищі традиційно для встановлення довіри між різними блокчейнами потрібні посередницькі організації або складні механізми мостів. Нульові знання пропонують більш елегантне рішення: доказ, згенерований на одному ланцюгу, може довести дійсність його стану, тоді як інший ланцюг може незалежно перевірити цей доказ. Це забезпечує можливість взаємодії без довіри, що дозволяє різним блокчейнам безпечно спілкуватися без залежності від централізованих перевірників.

Технологія ZK також підвищує масштабованість Ethereum за допомогою ZK Rollup. Упаковуючи тисячі транзакцій в один єдиний криптодоказ, ці Rollup суттєво знижують навантаження на дані в ланцюзі, забезпечуючи при цьому безпеку. В результаті обробка транзакцій відбувається швидше, коштує дешевше, а ефективність зростає, закладаючи основу для Ethereum, щоб впоратися з масштабними додатками без шкоди для його децентралізованих характеристик.

Детальний опис ZK Rollup

Серед усіх застосувань на основі нульових знань, ZK rollup безсумнівно є найбільш революційними. Вони вирішують одну з найбільших проблем у сфері криптовалют: масштабованість блокчейну.

З моменту виникнення технології блокчейн всі блокчейни стикаються з трьома труднощами блокчейну: тобто всі блокчейни можуть реалізувати лише дві з трьох основних характеристик: безпеку, масштабованість і децентралізацію. Блокчейн, такий як Ethereum, хоча і безпечний та децентралізований, але залишається повільним, а витрати на нього високі. Кожна транзакція повинна проходити перевірку через всі вузли, що створює вузькі місця, обмежує продуктивність, підвищує витрати на газ і серйозно знижує доступність блокчейну.

Rollup - це рішення Layer-2, яке виконує транзакції поза ланцюгом, а потім публікує зведену інформацію назад до основного ланцюга або Layer-1 (зазвичай Ethereum). Rollup в основному поділяється на два типи: оптимістичний роллап і ZK роллап.

У ZK Rollup сотні і тисячі поза ланцюгових транзакцій упаковуються разом. Доказувач генерує нульове знання доказ (також відомий як доказ дійсності), що всі упаковані транзакції відповідають правилам блокчейну. Потім цей єдиний доказ подається до основного ланцюга, який може швидко та беззаперечно його перевірити.

Принцип роботи ZK Rollup - Messari

Цей дизайн суттєво зменшує обсяг даних і обчислювальне навантаження Layer-1, водночас зберігаючи ті ж гарантії безпеки, що й при окремій обробці кожної транзакції, усуваючи тим самим вузькі місця швидкості та масштабованості Layer-1.

Деякі з представницьких проектів ZK rollup включають:

zkSync Era: розроблений компанією Matter Labs, використовує zk-SNARKs для досягнення швидкої фіналізації.

StarkNet: побудований на основі zk-STARKs, акцентує увагу на масштабованості та прозорості

Polygon zkEVM: реалізація нульового знання Ethereum Virtual Machine (EVM), що забезпечує повну сумісність з існуючими смарт-контрактами на Ethereum.

Lighter: перманентна DEX платформа, побудована на основі кастомного ZK rollup, що використовує zk-SNARKs, а саме Plonky2.

Переваги ZK Rollup

ZK rollups можуть значно підвищити пропускну здатність, стискаючи тисячі транзакцій в один криптографічний доказ, що дозволяє таким блокчейнам, як Ethereum, обробляти більше активності без шкоди для децентралізації або безпеки.

Безпека є ще однією ключовою перевагою. На відміну від Optimistic rollup, які покладаються на економічні стимули та тижневий період випробувань для виявлення шахрайства, ZK rollup використовує математичні докази дійсності для попереднього забезпечення правильності. Як тільки доказ верифікується в ланцюзі, базові транзакції стають остаточними та незмінними, що усуває затримки та невизначеність.

Це також означає швидше підтвердження. Транзакції в ZK rollup будуть негайно завершені після перевірки відповідних доказів, в порівнянні з типовим часом очікування в оптимістичних системах, користувачі майже миттєво отримують остаточний результат.

Ефективність витрат є ще однією основною перевагою. Оскільки ZK Rollups передають на блокчейн Layer-1 лише незначну кількість даних, витрати на газ значно знижуються, що робить витрати для користувачів і додатків на Ethereum нижчими.

Ще більш захоплююче, що ZK rollup відкриває двері для підвищення захисту конфіденційності. Оскільки він сам заснований на нульових знаннях криптографії, теоретично можливо безпосередньо вбудувати конфіденційність у сам rollup, що дозволяє здійснювати масштабні приватні та перевіряємні транзакції.

Основним обмеженням наразі є вимоги до обчислень. Генерація нульових доказів все ще потребує значних ресурсів, вимагаючи потужного апаратного забезпечення та передових криптографічних технологій. Проте постійний прогрес, особливо в галузі апаратного прискорення, проектування схем і рекурсивних доказів, поступово знижує ці витрати, підвищуючи ефективність кожного покоління ZK rollup.

Порівняння з Optimistic Rollup

Оптимістичні роллери, такі як Arbitrum та Optimism, дотримуються різних концепцій. Вони за замовчуванням вважають, що всі офлайн-транзакції є дійсними. Лише коли хтось ставить під сумнів це припущення, система вимагатиме надати “докази шахрайства” для підтвердження суперечки, що зазвичай займає близько тижня. Ця модель добре працює на практиці, але призводить до затримок у остаточному підтвердженні транзакцій і залежить від механізмів заохочення, щоб спонукати учасників виявляти і повідомляти про недійсну діяльність.

А ZK rollup супроводжує кожну партію транзакцій доказом нульового знання про їхню дійсність, що математично підтверджує їх правильність перед записом в основний ланцюг, що забезпечує миттєву остаточність та більшу безпеку, але водночас призводить до більшої технічної складності та більшого обсягу обчислень.

В основному ці дві моделі представляють різні компроміси. Optimistic Rollup легше реалізувати, і завдяки своїй простоті та повній сумісності з віртуальною машиною Ethereum (EVM), наразі вона домінує у сфері Layer-2 на Ethereum. ZK rollup є більш складним, вимагає більше обчислень, але пропонує швидшу швидкість розрахунків, нижчі витрати та потенціал вбудованої конфіденційності.

Висновок

Нульові знання представляють собою парадигму зміни довіри, конфіденційності та перевірки в цифрових системах. Ця концепція, що виникла в 80-х роках XX століття, сьогодні стала однією з найперспективніших технологій для розвитку наступного покоління децентралізованої інфраструктури.

У сфері криптовалют нульові докази підтримують приватні транзакції, децентралізовану ідентичність, міжланцюгову інтероперабельність, а також, що найголовніше, архітектуру масштабування rollup, яка здатна в рази підвищити пропускну здатність, зберігаючи при цьому рівень безпеки Ethereum. Їхнє застосування виходить за межі блокчейну, розширюючись на фінанси, штучний інтелект та верифікацію даних.

Хоча застосування нульових знань все ще перебуває на відносно ранній стадії, його траєкторія розвитку вже чітка. Нульові знання перетворюються з новизни в галузі криптографії на невід'ємну частину інфраструктурного будівництва. Якщо блокчейн хоче розширитися до мільярдів користувачів, забезпечуючи при цьому конфіденційність та децентралізацію, то нульові знання, швидше за все, стануть ключем до цього майбутнього.