STAR:零知識證明的技術路徑之爭：zk-SNARK和zk-STARK誰更優？_StarSharks SEA

作者:Chloe

Crypto行業被廣泛關注的零知識證明（Zero—Knowledge Proof）技術，并非是這幾年剛冒出來的新技術，而是在1980年就被數學家S.Goldwasser、S.Micali及C.Rackoff提出。

零知識證明涉及一系列步驟，可以實現密碼學中的「可用而不可知」。

而區塊鏈有著公開透明、不可篡改等特征，意味著加密投資者的鏈上資產及交易記錄是沒有隱私可言的，于是零知識證明技術被引入了區塊鏈，當中以zk-SNARK和zk-STARK最為關注。

zk-SNARK被項目方采用得最多，zk-STARK則被密碼學專家認為優于ZK-SNARK。那么綜合技術與實際應用，二者誰更優？

zk-SNARK：簡潔 + 非交互性

Alessandro Chiesa等人在2012年開發了zk-SNARK協議，這是一種簡潔化、非交互式的零知識證明技術，全稱是zero-knowledge succinct non-interactive arguments of knowledge，可以拆解成三部分來理解：

零知識證明技術開發公司StarkWare推出第一個公開版本Cairo 1.0:1月6日消息，零知識證明技術開發公司 StarkWare 宣布推出第一個公開版本的 Cairo 1.0，Cairo 于 2020 年作為圖靈完備的編程語言首次推出，用于高效編寫 STARK 可證明的程序。Cairo 1.0 中最重要的變化之一是語法，新版本的 Cairo 允許編寫更安全的代碼。Cairo 1.0 還引入了 Sierra，這是一種新的中間表示，可確保每次 Cairo 運行都可以得到證明。StarkWare 表示，預計在接下來的幾周內，提供與舊版本相同的 Cairo 1.0 功能，對 StarkNet 合約的支持將在即將到來的 StarkNet Alpha 版本中加入。[2023/1/6 10:24:18]

zero-knowledge：

零知識證明，在不暴露隱私情況下向對方證明一件事情，讓數據「可用而不可知」。

Polygon聯合創始人：承諾為零知識技術投資10億美元:12月25日消息，Polygon聯合創始人Sandeep Nailwal在接受采訪時表示，根據PolygonScan瀏覽器，Polygon平均出塊時間約為2.3秒，以太坊平均出塊時間則是15秒。然后Gas費大概是0.001 MATIC。

關于投資零知識技術的目標，Nailwal回答稱，“我們承諾為零知識技術投資10億美元，我們認為這是區塊鏈擴展的圣杯。隱私是第二個因素——這是每個人都會感到困惑的一個因素。因此，您可以使用ZK在以太坊上驗證計算，而無需發回全部數據。相反，您只需證明在第二層上所有計算都是正確的，并將一個簡潔的證明放回到以太坊。”

Nailwal還表示，“即使ETH 2.0升級已經實現，也不會提供足夠的可擴展性。明年，PoS升級將保持一切不變；就像以太坊現在每秒有13筆交易（TPS），在PoS之后也許會達到20 TPS，但不會超過這個數字。所以這不會增加任何可擴展性。假設在三到五年內，即使實現分片，我們預測會有64個分片，每個分片每秒處理20筆交易，但總的來說還是每秒1280筆交易，對嗎？這對整個世界來說還是不夠的。”（Cointelegraph）[2021/12/25 8:03:07]

succinct：

兩位數學家因對零知識證明的研究獲得數學界大獎阿貝爾獎:據DeepTech深科技消息，近日，備受矚目的數學界大獎阿貝爾獎公布兩名獲獎者，一位是匈牙利數學家拉茲洛?洛瓦茲（László Lovász），一位是以色列計算機科學家阿維?威格森（Avi Wigderson）。兩位數學家因為對零知識證明的研究，而獲此殊榮。曾經讓純數學家看不起的零知識證明，卻獲得了數學界舉足輕重的阿貝爾獎。正如頒獎詞所說：“表彰其在理論計算機科學和離散數學方面做出的杰出貢獻，以及在將之塑造為現代數學中心領域中發揮的主導作用。”零知識證明比起其他復雜算法更為簡單，但這兩位數學家對于零知識證明的研究，不僅對現代數學核心計算有重大貢獻，還有巨大的現實意義：其一，零知識證明對數字貨幣的認證意義重大；其二，零知識證明還可以用于人的身份驗證，即在不透露密碼的前提下，驗證方通過一系列問題來讓對方提供 “我知道正確密碼”，或在信息安全領域，提供 “我就是本人” 的證明。[2021/5/2 21:16:57]

簡潔性，要證明的東西占用的空間很小，而且可以快速驗證（幾毫秒）。

孫宇晨：波場將于周日推出實現零知識證明的DApp“justwrapper”:孫宇晨昨日在微信群透露，波場將于周日下午兩點推出實現零知識證明技術的智能合約DApp“justwrapper”。第一版僅支持USDT，第二版開始支持TRX、BTT、USDJ、 JST、WIN等所有波場系token，未來還會支持BTC。孫宇晨稱，justwrapper轉賬享有零知識證明級別的隱私，只有轉賬的人和收到的人知道這筆轉賬的發生。[2020/9/26]

non-interactive：

非交互性，意味著證明者和驗證者之間不需要有交集即可快速地得到驗證結果。

zk-SNARK的簡潔性和非交互性，是相對于傳統的零知識證明方案而言的。

簡單來說，傳統方案是交互式證明，即示證者（宣稱某一命題為真）和驗證者（確認該命題確實為真）之間反復確認，你可以理解為示證者不斷向驗證者詢問“是或不是？”，然后驗證者不斷給出回答，直到最后碰出一個正確答案來，所以效率很低。

聲音 | 常山北明：將為至信鏈貢獻跨鏈交換、零知識證明、分片共識相關的技術:常山北明（SZ000158）董秘在互動平臺回復投資者對于“公司在區塊鏈布局及技術優勢”的提問表示，至信鏈是騰訊、中國網安和北明軟件做為核心節點攜手發布的區塊鏈。至信鏈將致力于生態建設，在數據保全、糾紛解決、訴訟輔助等方面做出自己的貢獻。北明軟件將為至信鏈貢獻跨鏈交換，零知識證明，分片共識相關的技術和知識的積累。[2019/9/27]

zk-SNARK的解決方案則不需要雙方反復確認“是或不是”，而是提前先搞一個「可信初始化」，從而生成公共參考字符串（CRS），然后所有的示證者都可以直接訪問它。

打一個通俗的比方。交互式證明相當于老師要批改每一個考生的每一道考題，效率很低，但正確答案只掌握在老師這邊，基本不存在有人偷答案的情況。

但zk-SNARK直接上傳了正確答案，然后讓考生自己對答案（把自己解的某道題發送給后臺系統，就會直接得到正確與否的最終結果），非常高效，代價是答案有可能被泄露，雖然這個答案系統是經過加密的。

因此針對zk-SNARK容易被泄露的問題，有很多圍繞著提高「答案系統」安全性的解決方案，不同采用zk-SNARK的項目方的方案各有不同。如zCloak錢包是直接把算法以純文本的形式發給用戶，用戶下載到本地去做計算（所以即使斷網也依舊能完成工作）。

zk-STARK：概率證明+緩沖時間

zk-STARK是成立于2017年12月的StarkWare團隊開發的，它是針對zk-SNARK的替代解決方案。研發歷時一年多，經過無數次迭代才徹底搞定，已經到2019年了。

zk-SNARK是提前生成公共參考字符串，用非交互式證明的方式提高了證明效率，但也留下了隱患。zk-STARK雖然是交互式證明，但它是一種巧妙的交互式證明——通過哈希函數碰撞（一種概率證明的方式）來保證安全性，因此也實現了高效證明。

這個思路直接借鑒自2015年推出的交互式預言機證明（IOP）技術，簡單來說是先把問題用密碼學的方式打碎，然后驗證者隨機向示證者提出幾個的問題，如果幾輪下來，示證者都給出準確的回答，那么驗證就通過了。

所以zk-STARK同樣也只需要極少的計算資源就可以完成證明，但是它更安全，不存在答案泄露的風險。并且為了進一步確保安全性，還設置了爭議時間延遲（DTD）來作為緩沖。

  zk-SNARK和zk-STARK的區別

1.透明度

zk-SNARK的公共參考字符串通常由一個小團體來保管，因此有泄露的可能性，從而被惡意利用，如創建虛假證明。

zk-STARK則直接利用生成隨機性的參數來驗證，不需要任何第三方的「答案系統」，因此透明度大幅提高。

2.抗量子計算機攻擊

zk-SNARK未來會輕易被量子計算機暴力破解（通過分解計算從公鑰中提取私鑰）。當然，量子計算何時到來還是個問題。

zk-STARK采用的是哈希函數碰撞的方法來證明，理論上量子計算機的暴力破解是無效的。

3.可擴展性

zk-SNARK的證明在鏈上更具可擴展性（生成的證明的字節數更小），zk-STARK在純鏈上似乎沒有優勢。

StarkWare官網宣稱是最快的，可能是因為zk-STARK允許鏈下進行大規模計算和存儲，然后在鏈上完成驗證，因此可擴展性顯著提升（甚至可以提高10倍），而成本顯著降低。

總結

zk-SNARK技術被采用得最多，尤其是在以太坊擴容場景中。zk-SNARK主要是圍繞「隱私保護」去做身份、支付、DeFi、資產證明等各種應用。

zk-STARK雖然也在發展之中，但技術尚不成熟，至少在通用性上受限，所以我們看到大多是圍繞著「可擴展性」去做各種應用。

不過據StarkWare團隊在2022年的說法，已經解決了可擴展性，該把目標瞄準「隱私保護」了，而方式是通過StarkNet的Layer3以及Layer4中以分形分層的方式解決，這似乎與zk-STARK證明系統本身沒有直接關系。

至少就目前而言，大多數以太坊Layer2項目(zkSync、Aztec、Loopring、Scroll等)都采用的是zk-SNARK技術路線，除了通用性上受限，還有一個原因是普遍反饋說zk-STARK的開發難度過大……

當然長遠來看，zk-STARK可承載的運算量更大，可能更有前景。

總的來說，zk-SNARK和zk-STARK的關系，?有些像Optimistic rollups和ZK rollups的關系，前者短期利好，后者長期利好。

鏈茶館

個人專欄

閱讀更多

金色財經 子木

金色早8點

去中心化金融社區

虎嗅科技

區塊律動BlockBeats

CertiK中文社區

深潮TechFlow

念青

Odaily星球日報

騰訊研究院

Tags：ARKSTASTARSTARKNoah's ArkVesta FinanceStarSharks SEASTARK價格

DOGE