NAR:ZK 身份：為什么需要及怎樣做到？（一）_The Troller Coin

今年1月，我們啟動了?0xPARC零知識身份(ZK-Identity)工作小組：一個嘗試使用?zkSNARKs來構建數字身份工具的工作小組。在解釋為什么密碼學的進展對實現新的身份原語很重要的系列文章中，本文系第一篇。第一篇文章解釋了“為什么”；而在之后的文章中會解釋“怎么做”。

近幾年里，線上身份系統設計的話題一直得到激烈的討論。現代數字身份系統令新型、復雜的線上交互和社區得以實現。但不幸的的是，這些系統有許多都存在明顯的弱點。

在這些弱點里，有許多可以歸因于中心化身份系統設計的固有限制。首先，這些系統通常會圍繞中央控制點來構建——也就是中心點故障。現代電子商務、社交媒體、消息傳遞平臺在受到強大行動者的施壓與干涉、或來自惡意黑客的技術攻擊；當中央運營商受到脅迫或黑客攻擊時，中央運營商以外的各方會也會處于危險之中。其次，這些系統依賴掌握在運營商手中的集中權力，它不可能與所有用戶完全站在同一陣線上——比如，一個擁有多元全球受眾的私營社交媒體公司必須經常決定什么構成不正當的審查行為，什么是符合公共安全利益的行為，雖然在這一點上，他們經常心有余而力不足。

去中心化與加密機制雖然不是神奇的萬能藥，但它們確實提供了一些有用的工具，以及拓寬了數字身份系統的設計空間。隨著我們越來越多的社會與經濟生活轉移到線上，設計安全的、保護隱私的、以及由用戶控制的身份系統將變得越來越重要。在本文，我們將論證像zkSNARKs這樣的新型密碼原語對于構建含有以上屬性的身份系統來說是至關重要的。

ZK-RaaS網絡Opside將于8月份集成ZK Stack:6月28日消息，Opside官方表示，將大力支持zkEVM的推廣，其中包括zkSync最新公布的ZK Stack。目前，Opside測試網已集成Polygon zkEVM（Hermez），用戶可以一鍵在ETH、BSC和Polygon等L1公鏈上發行一條屬于自己的zkEVM鏈。

據路線圖顯示，Opside測試網預計在8月份集成zkSync的ZK Stack。未來還將提供Scroll、Linea等zkEVM解決方案。Opside的多鏈ZK-PoW算法將為各個公鏈上的ZK-Rollup提供海量算力支撐。

Opside是一個提供ZK-RaaS（ZK-Rollup as a service）的平臺，支持用戶一鍵發布zkEVM。同時支持ZKP挖礦，包括CPU、顯卡、FPGA等機器類型。[2023/6/28 22:05:47]

就其核心而言，zkSNARKs之所以有用是因為zkSNARKs可以讓數字系統的用戶毋須依靠受信任方就能生成任意復雜度的可信聲明(credibleclaims)。所有身份系統都是圍繞某種機制來構建的，這些機制可以生成身份與聲譽的可信聲明——通常來說，相當復雜的證明附屬于像政府或公司這樣受信任機構出具的證明之中。通過把zkSNARK構造應用到關于身份與聲譽的聲明，我們可以重新構建數字身份系統，將控制權與數據托管權交還到用戶手中。

可信聲明

由于zkSNARKs需要在精準、數學定義的“聲明”上運行，因此我們必須首先需要準確地分解身份系統所涉及的聲明本質。

ZK 初創公司 Polyhedra Network 完成 1500 萬美元融資:金色財經報道，ZK 基礎設施初創公司 Polyhedra Network 完成 1500 萬美元 Pre-Series A 輪融資，Polychain Capital 領投。Polyhedra Network 正在構建一套專注于區塊鏈互操作性、可擴展性和隱私的系統，包括促進跨鏈資產和數據傳輸的 zkBridge。

此前報道，2023 年 2 月份，Polyhedra Network 完成 1000 萬美元融資，Binance Labs 和 Polychain Capital 領投。[2023/4/5 13:45:01]

與完全不認識且不信任的人做交易是很難的。常識告訴我們：雙方的信任度越低，合作的可能性也越低；博弈論告訴我們：在一次性的囚徒困境中，最佳策略永遠是背叛對方。你會更愿意在誰那里購買一輛二手車，是與你社交圈緊密聯系的密友？還是一位甚至不會告訴你姓名、從外地來的Craigslist（譯者注：一個美國分類廣告網站)賣家呢？

為了互相建立信任，我們需要能夠做出可信聲明：讓與我們交互的人認為我們關于身份與聲譽的聲明是可信的。即便上述的Craigslist賣家對你保證他“之前賣過很多車，且所有客戶都很滿意——我向你保證。”這也不算是可信聲明。但如果此聲明與你了解的熱門網站，以及其上經過驗證的買家給出的五星評級相關聯，那么該聲明絕對給人感覺可信得多。

可信聲明的想法聽起來很好理解，但要構建一個用于產生可信證明機制且使之為大眾所接受的機制(在這個例子中，是受歡迎的排行網站)不是一件容易的事。在傳統模式中，我們常用的解決方案是將記錄管理授權給受信任的權威機構，那么他們就可以對我們的身份與聲譽聲明做證明，并為聲明賦予可信度。此權威機構必須隨著時間的推移證明它們自身的認受性與可信賴性，同時維護大規模的證明生成與分發基礎設施。

路印協議 Steve Guo：短期Optimistic 或勝出，中長期ZK Rollup將勝出:3月11日，在以《Layer2百花齊放， DeFi 們如何“站隊”？》為主題的AMA中，路印協議CTO Steve Guo、Synthetix大中華區負責人Dorothy、Huobi Global商業戰略總監哲叔、Starks Network聯合創始人張曉關于即將到來的Layer2展開了精彩的對話。

Steve Guo表示，路印協議的設計考量最重視安全性。zkRollup相比于Optimistic Rollup來說，最大的好處就是在于能保證用戶資產結算的最終確定性時間比較短，能做到分鐘級別，而Optimistic Rollup則需要1周以上的時間。

Steve Guo認為“在短期內，對于通用EVM計算而言，Optimistic Rollup可能會勝出，隨著ZK-SNARK技術的改進，在中長期而言，ZK Rollup將在所有用例中勝出。”在接下來2年左右的時間，會多個Layer2共存。一些嚴重受限于Layer1資源的一些應用場景會在Layer2上得到更大的爆發，比如DEX，去中心化的永續合約，去中心化的期權等項目。[2021/3/11 18:36:52]

最為關鍵的是，在大部分模型中，是中央權威機構的證明才使得聲明具有可信度。因為這是有效政府的身份證，所以我是公民；這是我的關注者的準確名單，所以證明我是有社會影響力的；這些是經審核的評論與評級，因此我是一個值得信賴的網上零售商。

可信聲明的另一種應用在堆棧的更底層。首先，你怎么知道跟你交互的人或公司出示的聲明是他們自己的，而不是其他人的？在依靠受信任權威機構的系統中，這些機構承擔了更為基礎的功能——身份本身的證實。當你訪問網站時，API訪問令牌、政府頒發的護照、或由證書頒發機構生成的一條簽名鏈都是對身份聲明的證明。

ZK Labs將對PlotX進行智能合約安全審計:調研機構CryptoDiffer發推特稱，ZKLabs將在PlotX主網上線前對其進行智能合約安全審計。ZKLabs將會驗證PlotX智能合約的安全性，然后將由PlotX社區開發人員重構。據此前報道，DeFi預測市場平臺PlotX更新用戶界面，允許用戶查看包括預測接受與否、處理進程、獎勵分配等各個階段的進展，以及可以同時使用PLOT代幣以及ETH來購買預測頭寸，旨在為啟動主網做準備。部分新的用戶界面功能將很快PlotX測試版中實現，不過完整的功能將在PlotX的主網版本中實現。[2020/9/11]

實用的身份系統可以讓參與者做出各種類型的復雜可信聲明：

(數字世界)當你通過Doordash訂外賣時，Doordash的網站服務器會制造一個可信聲明給你；通過一個第三方身份提供商，你向Doordash對自己的身份做出可信聲明；你通過各種金融機構對Doordash做出關于未來會支付款項的可信聲明。

(物理世界)當你抵押貸款來購買房屋時，你已經以不明顯的方式對銀行、房地產中介、賣家、政府做出大量關于身份與聲譽的可信聲明。

(兩個世界混合)當你申請工作時，通過利用許多不同證明系統，向潛在雇主做出可信聲明。通過引用來自教育機構或專業證書權威組織、曾與你共事過的其他同事、前公司的證明（學位證書、證書)，你聲稱自己具有足夠的培訓與素質來勝任這份工作。社交媒體與其他線上賬戶提供商其實對關于你是一個什么樣的人的聲明做進一步的證明。

V神：ZK rollups是目前為止最好的解決方案:推特網友Toast Of Crypto提問稱，為什么要推動或強迫人們遠離理想的Layer 2擴容協議？以太坊創始人V神對此回復稱，因為ZK rollups是最好的解決方案，直到今年晚些時候與EVM兼容的Optimistic rollups出現，eth2將花費更長的時間。（注：ZK rollups是一種混合擴展方法，通過智能合約和零知識方法將鏈上安全性和第二層網絡結合在一起。）[2020/7/28]

隱私

幾乎所有的身份系統本質上都需要隱私信息才能實現預期功能，這一事實使得情況更加復雜。

出于道德和意識形態的原因，隱私是重要的，它有時會引發爭議；但更為根本的是，隱私是系統設計的一個簡單問題，但往往是必要的。例如，幾乎所有的身份系統都依賴于秘密數據的概念，以生成關于身份的可信聲明——密碼、社保號碼、私鑰、信用卡的PIN碼、賬號恢復問題等。顯然，這些數據需要保密。另外，使用完全透明的數據生成可信聲明的過程中可能會有負面的外部效應，或至少是難以推理的外部效應；隱私數據可以防止以上情況。舉個例子，如果你只是想在線上市場購買或出售商品，但你需要出示整個財務歷史——銀行對賬單、信用卡交易、還貸情況等，那么對手方有可能使用這個信息來發起與原交易無關的超出原定范圍交互。隱私對一次性交互”進行沙盒測試“，明確定義與限制了交互范圍，這樣我們就可以從簡單又易于理解的構件開始構建更加復雜的系統。

在需要隱私信息的傳統系統中，我們必須將更多權力委托給中央權威機構——在這樣的系統中，中央機構存儲私人數據，以及對這些數據的可信證明做證明，這些私人數據幾乎不可能被驗證。

密碼學的作用

到目前為止，我們對可信聲明的生成和身份系統所討論過的所有模型，都涉及到一個中心化角色。就如同我們探討過的一樣，有很多理由讓我們想要探索一個不依賴于強大的記錄保存者或管理者的系統。

這時我們立刻就面臨一個顯而易見的問題：當我沒有你的數據時，我怎樣相信你的聲明？如果你向我發送屬于你的數據，我怎么知道這些數據是有效的？如果你想要生成隱私數據的聲明，那我們應該怎么做？這正是密碼學發揮作用的地方。

從我們的角度來看，在各種的資源限制和隱私條件下，大部分應用密碼學(和共識)在過去五十年里都在不斷地擴展這個范圍：即在沒有可信的權威的情況下，可以做出何種可信聲明。

數字簽名方案允許用戶使用同一個私鑰來簽署一系列消息，經過一系列的不同操作，用戶可以對自己線上身份的一致性做出可信聲明。“我被授權向Alice的信用卡收費。”

小組簽名方案可以讓用戶生成關于身份的更復雜的隱私保護聲明。“我是該校友會的成員，但我不會告訴你我的確切身份。”

簽名聚合、多簽、門限簽名(thresholdsignature)方案在多種不同資源限制下讓用戶對小組行為生成聲明。“這個龐大的集體——不只是單個離群的雇員，已經授權從我們的金融賬戶中轉移貨幣。”

共識機制與可編程的智能合約允許用戶對未來的行為做出可信且不可逆轉的承諾。”如果你對我發送了數字資產A，那么我會立即向你發送數字資產B作為交換。”

在過去，這些進程發展緩慢——這些加密原語中的每一個都定義了一個全新且范圍嚴格的聲明類型，其結構都是高度明確的。然而，在過去幾年里，這種情況已經發生了改變。

時至今日，令人感到興奮的是，我們目前已經有一種機制可以讓我們有效地生成任意可信證明，這要歸功于SNARKs。通過借助zkSNARKs的零知識特性，我們能夠根據自己的意愿來調整聲明的隱私保證。

以下是你可以利用zkSNARK生成的一些聲明類型例子，這在過去是不可能做到的：

“我是一個值得信賴的債務人：我已經準時地還清了在三個銀行處借貸的大額貸款，雖然我沒有透露具體是哪幾間銀行以及借款用途。”

“我是一名備受尊敬的社區成員：雖然我以匿名的方式寫的這篇帖子，但在我的命名賬戶下，我在這個論壇上已經累積收到超過1萬記選票。”

“我是一個長期持有加密貨幣的收藏者：我控制的以太坊地址共持有至少兩個DarkForestValhalla系列的NFT，與至少100枚ETH。”

這些聲明可以以任意復雜的方式來連接、組合、甚至是編程。

當這在理論上是可行的時候，我們依然還有很長的路要走。為下一代應用制作一套強健的ZK身份工具，需要在性能、可靠性、開發者體驗、應用設計模式上進行實質性提高。在下篇文章中，我們將討論到對未來路線的理解。

附錄：在身份中有什么？

要理解密碼學可以在構建身份系統中的哪處發揮作用，那么就要將身份系統的概念分解到其關鍵組成部分，這將有助于我們的理解。

在分析一個特定的身份系統時，我們可能會問出以下幾個問題：

什么是身份的原子單位(atomicunit)?

物理世界：身份經常與法律人格(legalpersonhood)相聯系。換句話說，身份的原子單位就是一個獨立的個人，或法人。

網絡空間：身份可以是一個谷歌/臉書/推特賬號；與某認證中心相關聯的公/私鑰對；一些基于以太坊的代幣持有者(可能與特定地址無關)；或其他。

身份的有效證明是由什么組成的？誰可以分發身份的證明？誰可以撤銷與身份證明有關的特權？

物理世界：一個有效的證明也許是國家頒發的ID或EIN信(雇主識別號EmployerIdentificationNumber，由美國國稅局分配給在美國經營的商業實體的唯一的九位數字，用于識別身份)。對于一個有效的身份證明，政府擁有最終權限：例如，政府可以吊銷你的護照。

網絡空間：一個有效證明可以是臉書提供的OAuth令牌，或者是一個有效的數字簽名(或一串簽名鏈)。各種不同的服務提供商對各種證明擁有控制權：比如，推特可以封禁用戶賬號。

是誰在保管用戶身份相關的輔助數據？誰能訪問這些數據，誰又能控制訪問這些數據的權限？

物理世界：輔助數據由政府機構與官僚組織、私營服務提供商(銀行、信用評分機構)、個人共同持有。

網絡世界：在中心化模型中，輔助數據由大型科技公司掌管。在去中心化模型中，輔助數據由用戶自己控制的客戶端軟件(瀏覽器、個人網絡服務器)、去中心化存儲網絡(例如，區塊鏈上的歷史交易數據或智能合約狀態)共同保存。

哪些記錄、數字工件(artifacts)、或證明能夠表示身份的聲譽或可信度呢？是誰來決定這些信號，以及這些信號要怎樣被解譯？誰有權訪問這些決定聲譽的底層輸入數據呢？誰能訪問這些信號？

物理世界：信用評分報告、背景調查、社會推薦信、聘用信、證書及榮譽稱號。

網絡空間：NFT所有權、賬齡(accountage)、歷史活動、證明網絡、karma(Reddit的信用評分機制)/論壇點贊。

在以上概念里，有一些互相融合：身份、聲譽、身份證明緊密相連，彼此之間不易分割。例如，在某些系統里，身份的原子單位甚至可以定義成"中心機構可以為其提供有效證明的對象"——從來沒有不儲存在臉書數據庫的臉書賬號這樣的說法。

然而，一般來說，我們在這個系列的文章里使用身份一詞來表示一個實體的長期標簽(個人、組織、機器人程序)，這個標簽隨著時間的推移而保持穩定狀態、并代表這個實體——法律人格、公鑰、賬號ID等。我們采用聲譽一詞來表示關于該主體過去所做行為的聲明。

鏈接與致謝

感謝YiSun與DavidSchwartz對本文的反饋及校對。

Tags：ROLROLLARKNARROLCThe Troller CoinInsurance SupermarketMADinArt

UNI