密码学中的证明系统：从零知识到SNARKs的奇妙旅程

发表于2025-07-25|更新于2025-07-26|技术

|浏览量:

大家好，我是你们的博主 qmwneb946。在数字时代，信任是稀缺资源。我们如何能确信一个计算结果是正确的，同时又不想重新执行整个计算过程？或者，我们如何在不泄露任何敏感信息的前提下，向他人证明某个声明的真实性？这些问题看似矛盾，但在密码学中，它们却被一个优雅的范式——证明系统 (Proof Systems)——完美地解决了。

从最初的理论探索，到如今在区块链、隐私计算等领域掀起巨浪的零知识证明 (Zero-Knowledge Proofs)，再到令人惊叹的简洁非交互知识论证 (SNARKs) 和可扩展透明知识论证 (STARKs)，证明系统已经走过了一段激动人心的旅程。今天，就让我们一起深入这场奇妙的探索，揭开密码学中证明系统的神秘面纱。

证明系统基础：信任的基石

在深入各种复杂的证明系统之前，我们首先要理解其最基本的构成要素和核心特性。

什么是证明系统？

一个证明系统通常涉及两个主要参与方：

证明者 (Prover, P)：他拥有一个秘密（被称为“证人”或“witness”）和一项声明（被称为“论断”或“statement”），并试图说服验证者这项声明是真实的。
验证者 (Verifier, V)：他希望确认证明者声明的真实性，但可能不想或无法访问证明者拥有的秘密信息，甚至可能不想重新执行证明者所做的所有计算。

P会生成一个证明 (Proof) $ \pi $，并将其发送给V。V则会根据$ \pi $和公开的声明来判断该声明是否成立。

我们可以把它想象成一个谜题：P知道谜底，并希望V相信他知道谜底，但V既不想知道谜底是什么，也不想自己去解谜。P的目标是提供一个“凭证”$ \pi $，让V在检查这个凭证后，确信P确实知道谜底。

核心特性

一个合格的证明系统必须满足以下几个核心属性：

完备性 (Completeness)
如果一个声明是真实的，并且证明者拥有正确的证人，那么诚实的证明者总能生成一个有效的证明，使得诚实的验证者以极高的概率（通常是1或接近1）接受它。
数学上表示为：对于所有真实的声明 $x$ 和对应的证人 $w$ ，若 $(x, w)$ 满足某个关系 $R$ ，则 $ \text{Pr}[\text{V 接受 P 的证明}] \approx 1 $。
可靠性 (Soundness)
如果一个声明是虚假的，那么即使是恶意的证明者，也无法在没有正确证人的情况下，说服诚实的验证者接受这个虚假的声明。
数学上表示为：对于所有虚假的声明 $x$ ，无论证明者做什么，V接受 $x$ 证明的概率都非常低（通常是可忽略的）。
值得注意的是，可靠性又分为两种：
- 完美可靠性 (Perfect Soundness)：无论恶意证明者拥有多大的计算能力，都无法伪造证明。这在理论上更强，但实践中很难达到。
- 计算可靠性 (Computational Soundness)：恶意证明者在多项式时间内无法伪造证明。这依赖于底层密码学假设的计算难度。绝大多数现代密码学证明系统都依赖于计算可靠性。
知识可靠性 (Knowledge Soundness 或 Proof of Knowledge)
如果证明者能够说服验证者接受某个声明，那么这证明者必然“知道”该声明对应的证人。换句话说，存在一个“抽取器 (Extractor)”算法，能够从与恶意证明者的交互中“抽取”出真实的证人。这确保了证明的不仅仅是声明本身，更是证明者拥有相应知识。

交互性

证明系统根据证明者和验证者之间是否需要多次通信，可以分为两类：

交互式证明 (Interactive Proofs, IP)
证明者和验证者之间进行多轮通信。每一轮，证明者发送一些信息，验证者根据这些信息和之前的通信内容，发送一个挑战给证明者，直到验证者最终决定接受或拒绝证明。早期的零知识证明多是交互式的。
非交互式证明 (Non-Interactive Proofs, NIP)
证明者只需生成一个证明，并将其一次性发送给验证者。验证者独立地检查这个证明的有效性，无需与证明者进行进一步通信。这种形式在实际应用中更受欢迎，因为效率更高，且更易于集成到异步系统中（如区块链）。

零知识证明：隐私与验证的完美结合

零知识证明 (Zero-Knowledge Proof, ZKP) 是证明系统领域最具革命性的概念之一。它在完备性和可靠性的基础上，引入了一个额外的、颠覆性的特性——零知识性。

零知识的奥秘

零知识性 (Zero-Knowledge)
验证者除了知道声明的真实性之外，不会从证明过程中学习到任何关于证人（秘密信息）的额外信息。
这意味着，即使验证者是恶意的，他也无法通过证明过程推断出任何关于证人的有用信息。
数学上表示为：对于任意恶意验证者 $V^*$ ，存在一个“模拟器 (Simulator)”算法 $S$ ，使得 $V^*$ 与诚实证明者 $P$ 交互的“视图 (View)”（即 $V^*$ 看到的所有消息）与 $S$ 在不与 $P$ 交互的情况下生成的“视图”在计算上是不可区分的。简单来说，如果 $V^*$ 能从证明中学到什么，那么模拟器也能在不知道证人的情况下生成一个看起来完全一样的“学习体验”。

一个经典的例子是阿里巴巴的洞穴：
想象一个环形洞穴，在洞穴深处有一道魔法门。只有说出咒语才能打开门。阿里巴巴（证明者）知道咒语，而胖子（验证者）想知道阿里巴巴是否知道咒语，但不想知道咒语本身。

阿里巴巴进入洞穴，走到岔路口。胖子在外等待。
阿里巴巴选择其中一条路径走进去。
胖子随机喊出一条路径（比如A或B）。
阿里巴巴从胖子喊出的那条路径走出来。如果他选择的路径与胖子喊出的不同，他就必须通过魔法门才能从胖子指定的那条路出来。
这个过程重复多次。如果阿里巴巴每次都能成功从胖子指定的路径走出来，那么胖子就能以极高的概率相信阿里巴巴确实知道咒语，但他从未知道咒语是什么。这就是零知识的直观体现。

早期交互式零知识证明：图3着色问题

为了更好地理解交互式零知识证明，我们来看一个更具体的例子：图3着色问题 (Graph 3-Coloring)。
给定一个图 $G=(V, E)$ ，目标是使用最多3种颜色给图的顶点着色，使得任意一条边的两个端点颜色不同。这是一个NP完全问题，很难找到着色方案，但给定一个着色方案，验证其正确性却很容易。

假设P拥有一个 $G$ 的合法3着色方案，他想向V证明他知道这个方案，但不想泄露任何颜色信息。

协议步骤：

准备阶段： P为图 $G$ 中的每个顶点选择一个随机的置换 (permutation) $\pi$ 来打乱颜色（例如，红色变成蓝色，蓝色变成绿色等），然后计算每个顶点的“打乱后的颜色”并将其承诺 (commit) 给V（例如，使用密码学哈希函数 $H$ 对 (顶点ID, 打乱后的颜色) 进行哈希，并发送哈希值）。
$C_i = H(\text{vertex}_i, \text{shuffled\_color}_i)$
这些承诺 $C_i$ 隐藏了原始颜色信息。
挑战阶段： V随机选择一条边 $(u, v) \in E$ ，发送给P作为挑战。
响应阶段： P收到挑战边 $(u, v)$ 后，揭示顶点 $u$ 和 $v$ 的“打乱后的颜色”及其原始置换 $\pi_u, \pi_v$ 。V可以验证：
- 1. 揭示的颜色与之前的承诺 $C_u, C_v$ 相符。
- 1. 揭示的 $u, v$ 的“打乱后的颜色”是不同的（因为原始颜色就不同）。
重复阶段： 重复步骤 1-3 多次（例如 $k$ 次）。如果P在所有 $k$ 轮中都能成功响应V的挑战，那么V相信P确实知道 $G$ 的合法3着色方案。

为什么是零知识？
在每一轮中，V只看到一条边的两个顶点被置换后的颜色。由于颜色是随机置换过的，V无法从这些颜色中推断出原始的着色方案。每轮挑战对V来说都是独立的，即便知道了一条边的颜色，V也无法推断出整个图的颜色信息。重复多轮只是为了增加可靠性。

从交互到非交互：Fiat-Shamir 启发式

交互式零知识证明虽然强大，但在许多应用场景中并不实用，因为它需要证明者和验证者之间进行多轮实时通信。为了解决这个问题，Fiat-Shamir 启发式 (Fiat-Shamir Heuristic) 应运而生。

Fiat-Shamir 启发式将一个交互式证明转换为非交互式证明。其核心思想是，用一个密码学哈希函数 $H$ 来模拟验证者在交互协议中提出的随机挑战。
具体来说，证明者在生成第一轮承诺后，不等待验证者的挑战，而是计算一个哈希值 $h = H(\text{声明}, \text{所有承诺})$ 。这个哈希值被视为验证者的“挑战”，然后证明者根据这个 $h$ 生成响应。最终，证明者将所有的承诺、哈希挑战和响应打包成一个单一的非交互式证明。验证者收到证明后，独立地计算 $h$ ，然后检查证明的有效性。

核心思想：
一个密码学哈希函数被视为一个“随机预言机 (Random Oracle)”。随机预言机是一个理想化的概念，它对任何新输入都返回一个完全随机的、之前未曾见过的输出。在实践中，我们使用像 SHA-256 这样的密码学哈希函数来近似随机预言机。

Fiat-Shamir 转换的安全性：
这种转换的安全性是在随机预言机模型下证明的。在标准模型下（不假设哈希函数是随机预言机），Fiat-Shamir 转换并不总是安全的，但实践中它已被广泛接受并用于许多实际系统。

简洁非交互知识论证 (SNARKs)：通用可编程证明系统

零知识证明的突破性进展，尤其是其非交互式形式，为构建更高效、更私密的系统奠定了基础。其中，简洁非交互知识论证 (Succinct Non-Interactive Argument of Knowledge, SNARK) 是一个里程碑式的成就。

SNARKs 的崛起

SNARKs 的名称本身就包含了其最重要的特性：

简洁性 (Succinct)：证明的大小非常小（通常是几百字节），与被证明的计算量无关或只呈对数增长。验证时间也非常快，通常是毫秒级。这是SNARKs 最引人注目的特性，使得大规模计算的验证变得可行。
非交互性 (Non-Interactive)：证明者生成一个证明，验证者独立验证，只需单次通信。
论证 (Argument)：这意味着其可靠性是计算可靠性，依赖于密码学假设（如椭圆曲线上的离散对数问题、配对密码学等）的计算难度。如果这些假设被破解，证明可能被伪造。与“证明 (Proof)”不同，“证明 (Proof)”通常指具备完美可靠性的系统。
知识 (Knowledge)：如前所述，意味着如果证明者能生成有效证明，他就一定知道证人。

SNARKs 的出现，使得我们不仅可以在不泄露隐私的前提下证明某事，还可以高效地证明一个极其复杂的计算或程序的正确执行，而验证者只需要做极少的工作。这在云计算、区块链扩容和隐私保护中具有巨大潜力。

SNARKs 的工作原理：核心技术栈

SNARKs 是一项极其复杂的密码学技术，它结合了多个高级数学和密码学概念。其核心工作流程可以概括为以下几个步骤：

1. 问题算术化 (Arithmetization): R1CS 与 QAP

这是将任意通用计算问题（如执行一段代码）转化为适合SNARKs处理的代数形式的第一步。

R1CS (Rank-1 Constraint System)：
任何计算，无论多么复杂，都可以被分解成一系列简单的三元组乘法和加法运算。R1CS 是一种将这些运算表示为向量点积约束的方法。
一个R1CS问题由一个公共输入 $x$ 和一个私有证人 $w$ 组成。证明者需要证明存在一个赋值向量 $s = (1, x_1, ..., x_k, w_1, ..., w_m, \text{中间变量}_1, ...)$ ，使得 $ (A \cdot s) \odot (B \cdot s) = C \cdot s $ 成立。
其中， $A, B, C$ 是由算术电路导出的矩阵（包含0和1）， $s$ 是包含输入、输出、私有证人和所有中间变量的向量， $ \odot $ 表示逐元素乘法 (Hadamard product)。

示例：将算术表达式 $x^2 + y = out$ 转换为 R1CS
我们引入中间变量：
1. $sym\_1 = x \cdot x$
2. $sym\_2 = sym\_1 + y$
3. $out = sym\_2$
现在我们可以构建矩阵 $A, B, C$ 和向量 $s$ 。
令 $s = [1, x, y, out, sym\_1, sym\_2]$ (注意1是常数，x, y是输入，out是输出，sym_1, sym_2是内部信号)。

对于 $sym\_1 = x \cdot x$ :
$(A_1 \cdot s) \odot (B_1 \cdot s) = (C_1 \cdot s)$
$([0, 1, 0, 0, 0, 0] \cdot s) \odot ([0, 1, 0, 0, 0, 0] \cdot s) = ([0, 0, 0, 0, 1, 0] \cdot s)$
$ (x) \odot (x) = (sym_1) $

对于 $sym\_2 = sym\_1 + y$ :
$(A_2 \cdot s) \odot (B_2 \cdot s) = (C_2 \cdot s)$
$([0, 0, 0, 0, 1, 0] \cdot s) \odot ([1, 0, 0, 0, 0, 0] \cdot s) = ([0, 0, 1, 0, 0, -1] \cdot s)$ (这里等式可以写成 $sym\_1 + y - sym\_2 = 0$ ，再转换)
或者更直观地: $ (sym_1 + y) \odot (1) = (sym_2) ([0, 0, 1, 0, 1, 0] \cdot s) \odot ([1, 0, 0, 0, 0, 0] \cdot s) = ([0, 0, 0, 0, 0, 1] \cdot s) (sym_1 + y) \odot (1) = (sym_2) $

对于 $out = sym\_2$ :
$([0, 0, 0, 0, 0, 1] \cdot s) \odot ([1, 0, 0, 0, 0, 0] \cdot s) = ([0, 0, 0, 1, 0, 0] \cdot s)$
$ (sym_2) \odot (1) = (out) $

最终，我们将所有 $A_i, B_i, C_i$ 堆叠起来形成最终的 $A, B, C$ 矩阵。
QAP (Quadratic Arithmetic Programs)：
R1CS 约束系统可以进一步转换为多项式等价问题。其核心思想是，如果一个多项式在所有R1CS约束对应的点上都为零，那么它在这些点上就是正确的。具体来说，R1CS 的每个约束 $(A_k \cdot s) \odot (B_k \cdot s) = C_k \cdot s$ 都对应一个点 $t_k$ 。我们构造三个多项式 $A(x), B(x), C(x)$ ，使得在每个 $t_k$ 处， $A(t_k) = A_k \cdot s$ , $B(t_k) = B_k \cdot s$ , $C(t_k) = C_k \cdot s$ 。
那么，原始的 R1CS 问题就变成了找到一个 $s$ 向量，使得多项式 $ P(x) = A(x) \cdot B(x) - C(x) $ 在所有 $t_k$ 处都为零。这意味着 $ P(x) $ 可以被一个“零多项式” $ Z(x) = \prod_{k}(x - t_k) $ 整除。
即 $A(x) \cdot B(x) - C(x) = H(x) \cdot Z(x)$ ，其中 $H(x)$ 是另一个多项式。

证明者需要证明他知道一个 $s$ 向量，使得这个多项式等式成立。

2. 多项式承诺 (Polynomial Commitments)

多项式承诺方案允许证明者“承诺”一个多项式，而不揭示其系数。之后，证明者可以证明这个多项式在某个特定点的值，而无需揭示整个多项式。这类似于哈希承诺，但针对的是多项式评估点。

KZG 承诺 (Kate-Zaverucha-Goldberg Commitment)：
KZG 承诺是一种基于配对 (pairing) 的高效多项式承诺方案。
承诺 (Commit)：证明者选择一个秘密随机点 $s \in \mathbb{F}_p$ （这个点是公共参数的一部分，但在生成时必须被销毁，这是“信任设置”的来源），然后计算 $C = g^{P(s)}$ 作为对多项式 $P(x)$ 的承诺。这里的 $g$ 是椭圆曲线上的一个生成元。
求值证明 (Open/Proof of Evaluation)：要证明 $P(z) = y$ ，证明者需要构建一个“商多项式” $Q(x) = (P(x) - y) / (x - z)$ 。如果 $P(z)=y$ 成立，那么 $Q(x)$ 将是一个多项式。证明者提供 $w = g^{Q(s)}$ 作为证明。
验证 (Verify)：验证者使用配对函数检查 $e(C/g^y, g^{z}) = e(w, g^s)$ 是否成立。
这里的 $e(A, B)$ 是一个双线性配对函数，满足 $e(g^a, g^b) = e(g,g)^{ab}$ 。
通过配对的性质，验证者可以高效地检查 $(P(s) - y) = Q(s) \cdot (s - z)$ 这个等式在指数域上是否成立，而无需知道 $P(s)$ 的实际值或 $s$ 。
IPA (Inner Product Argument)：
另一种多项式承诺方案，不需要信任设置，基于离散对数问题。但生成的证明通常比 KZG 大（对数级）。

3. 配对友好曲线与双线性映射 (Pairing-Friendly Curves & Bilinear Maps)

配对是SNARKs（尤其是基于Groth16和Plonk的系统）的核心数学工具。它们是定义在椭圆曲线上的特殊双线性映射 $e: \mathbb{G}_1 \times \mathbb{G}_2 \to \mathbb{G}_T$ ，其中 $ \mathbb{G}_1, \mathbb{G}_2, \mathbb{G}_T $ 是循环群，且满足：

双线性性： $e(aP, bQ) = e(P, Q)^{ab}$ ，其中 $a,b$ 是标量， $P \in \mathbb{G}_1, Q \in \mathbb{G}_2$ 。
非退化性：存在 $P, Q$ 使得 $e(P, Q) \neq 1$ 。
可计算性：存在高效的算法来计算 $e(P, Q)$ 。

这些性质使得我们可以在群的指数上执行乘法运算，这对于验证 QAP 多项式等式 $A(x) \cdot B(x) - C(x) = H(x) \cdot Z(x)$ 在某个随机点 $s$ 上的成立至关重要。

SNARKs 的几种主流结构

目前，SNARKs 有多种不同的具体构造方式，它们在性能、信任设置、通用性等方面有所权衡：

Groth16
目前最常用且最成熟的SNARK结构之一。
- 优点：证明大小极小（通常只有3个椭圆曲线点，约192字节），验证时间极快（几毫秒）。
- 缺点：需要“电路特定”的信任设置。这意味着每次要证明不同的程序，都需要重新进行一次信任设置。
- 应用：Zcash 等。
Plonk
在Groth16之后出现，解决了Groth16的部分局限性。
- 优点：支持“通用信任设置 (Universal Trusted Setup)”。只需一次信任设置，就可以用于任意数量的电路。支持“Custom Gates”，提高了表达能力和效率。
- 缺点：证明大小和验证时间通常比Groth16稍大和稍慢，但仍在可接受范围内。
- 应用：以太坊的ZK-Rollups，如Polygon zkEVM, Scroll。
Marlin / Sonic / F-1 / Plookup 等
这些是 Plonk 之后或并行发展的一些SNARK结构，旨在进一步优化通用性、证明大小或验证速度。它们通常引入了更复杂的多项式承诺方案或改进了算术化方法。
Halo2
由 Zcash 团队开发，一个重要特点是它不需要信任设置。它通过引入“递归证明 (Recursive Proofs)”的概念来消除对信任设置的需求。
- 优点：无信任设置，支持递归证明聚合。
- 缺点：证明大小和生成时间通常比Groth16和Plonk更大更长。

信任设置 (Trusted Setup)：公钥基础设施的关键

SNARKs（如Groth16和Plonk）的显著特点是其高效性，但这通常以一个“信任设置 (Trusted Setup)”阶段为代价。
信任设置生成一组公开参数（类似于公钥基础设施中的公钥），这些参数是证明和验证过程所必需的。然而，在生成这些参数的过程中，会产生一个“有毒废料 (Toxic Waste)”（通常是一个秘密随机数）。如果这个秘密数被保存下来，恶意证明者就可以利用它伪造任何声明的证明，从而破坏系统的可靠性。

为了解决这个问题，通常会采用多方计算 (Multi-Party Computation, MPC) 仪式：

多方（例如数十甚至数百个独立参与者）共同参与参数生成过程。
每个参与者贡献一部分随机性，并处理前一个参与者的输出。
只要有一个参与者是诚实且成功地销毁了他自己的那部分秘密，那么整个仪式的“毒性废料”就被销毁了。
这个过程通常非常复杂和耗时，但它只需要进行一次（对于通用信任设置）。

尽管“信任设置”听起来有些矛盾，但在实践中，它通常被设计成通过确保足够多的参与者来保证安全性，并且许多知名项目的 MPC 仪式都有很高的透明度和参与度。

可扩展透明知识论证 (STARKs)：无信任设置的未来

虽然SNARKs带来了巨大的效率提升，但其对信任设置的依赖（至少对 Groth16 和 Plonk 而言）和对复杂数学假设的依赖，促使了另一类证明系统的发展：STARKs。

STARKs 的优势

透明性 (Transparency)：STARKs 的最大特点是无需信任设置。它们的公开参数是完全公开且随机可验证的，任何人都可以在不信任任何第三方的情况下生成这些参数。这消除了与信任设置相关的任何潜在风险或争议。
可扩展性 (Scalability)：虽然名字里有“Scalable”，但其证明大小通常比 SNARKs 大（通常是几十到几百KB），验证时间也更长（几十到几百毫秒）。但与计算复杂度的关系是对数级的，意味着随着计算规模的增大，证明大小和验证时间增长缓慢。
抗量子性 (Post-Quantum Resistance)：STARKs 基于哈希函数和 Reed-Solomon 编码，这些数学原语被认为是抗量子的，因此 STARKs 在量子时代具有更高的安全性。

STARKs 由 Eli Ben-Sasson 及其团队在 2017 年首次提出，解决了 SNARKs 的一些关键痛点，尤其是在去中心化和长期安全性方面。

STARKs 的核心技术：AIR 与 FRI

STARKs 的底层技术与 SNARKs 大相径庭：

AIR (Algebraic Intermediate Representation)：
与SNARKs的 R1CS/QAP 不同，STARKs 使用 AIR 来将计算转化为代数约束。AIR 将计算表示为状态转换，并使用一系列多项式等式来描述这些转换。这些多项式等式在特定的“执行轨迹”上必须成立。例如，在斐波那契数列中， $F_i = F_{i-1} + F_{i-2}$ 可以表示为一个约束，这个约束必须在每一步的轨迹上都成立。
FRI (Fast Reed-Solomon Interactive Oracle Proofs of Proximity)：
FRI 是 STARKs 的核心组件，它是一个证明一个多项式是“低度”的协议。简单来说，它证明一个给定多项式（被承诺在Merkle树中）的度数低于某个阈值。
FRI 协议是一个交互式证明，但可以通过 Fiat-Shamir 启发式转换为非交互式。它通过对多项式进行一系列随机采样、求和、插值和哈希承诺（使用 Merkle 树）的迭代过程，逐步降低多项式的度数，最终将其归结为一个可以直接验证的常数。
- Reed-Solomon Codes：一种纠错码，用于在有限域上构建具有纠错能力的多项式。
- Merkle Trees：用于对多项式评估点进行承诺，并高效地提供特定点的“开放证明”。

STARKs 的工作流程

算术化：将待证明的计算（如一段程序）转换为一系列 AIR 约束。
轨迹生成：证明者计算出所有中间变量和状态转换，形成一个“执行轨迹”。
多项式插值：将执行轨迹插值成一系列多项式。
FRI 协议：证明者和验证者（通过 Fiat-Shamir 转换）执行 FRI 协议，证明这些多项式是低度的，并且满足 AIR 约束。
Merkle 承诺：所有的多项式评估点都被哈希并组织成 Merkle 树，其根哈希作为证明的一部分。验证者只需要检查 Merkle 根和几个 Merkle 路径。

SNARKs vs. STARKs：选择的艺术

SNARKs 和 STARKs 各有优劣，选择哪种技术取决于具体的应用场景和需求。

特性	SNARKs	STARKs
信任设置	通常需要（Groth16, Plonk），少数例外（Halo2）	无需信任设置（透明）
抗量子性	通常不抗量子（基于椭圆曲线和配对）	抗量子（基于哈希函数和 Reed-Solomon 码）
证明大小	极小（几百字节，常数级）	较大（几十到几百 KB，与计算量呈对数级）
验证时间	极快（几毫秒）	较快（几十到几百毫秒）
证明生成时间	较快（但仍比直接计算慢很多）	通常比 SNARKs 慢（需要复杂的FFT和多项式操作）
底层数学	椭圆曲线、配对、多项式承诺 (KZG)	有限域、哈希函数、Reed-Solomon 码、FRI、AIR
成熟度	较为成熟，应用广泛	相对较新，生态系统正在快速发展

简而言之，如果你追求极致的链上（或存储/传输）效率，且可以接受信任设置，那么 SNARKs 可能是更好的选择。如果你优先考虑去中心化、透明性和长期抗量子安全性，即使牺牲一些证明大小和验证时间，STARKs 也是理想的方案。

其他重要的证明系统与技术

除了 SNARKs 和 STARKs，还有一些其他值得关注的证明系统和相关技术：

Bulletproofs

Bulletproofs 是一个具有对数级证明大小的零知识证明系统，其主要优势是无需信任设置。

优点：无需信任设置，证明大小与证人数量呈对数关系。
缺点：证明大小比 SNARKs 大，验证时间也更长。
应用：Monero 隐私交易。它特别适合于具有大量范围证明（证明一个数字在特定范围内）的应用。

递归证明 (Recursive Proofs)

递归证明是一种强大的技术，允许一个证明系统验证另一个证明。这意味着你可以生成一个证明，证明“我生成了一个证明，并且那个证明是有效的”。

优点：
- 证明聚合：可以将多个独立的证明聚合成一个单一的、简洁的证明。
- 链上验证开销降低：在区块链上，可以定期将大量交易的证明聚合成一个大证明，然后只将最终的大证明提交到链上，大大降低存储和验证成本。
- 无限扩展：理论上可以验证任意长时间运行的计算，而证明大小保持不变。
实现：Halo2 是一个著名的使用递归证明的系统。

聚合证明 (Proof Aggregation)

聚合证明允许将多个独立的证明合并成一个单一的、更简洁的证明。这与递归证明类似，但通常更侧重于将“同类型”的多个证明批量处理成一个。例如，你可以将1000个零知识交易证明聚合成一个证明，大大节省存储空间和验证资源。

证明系统在密码学中的应用：解锁新范式

证明系统，特别是零知识证明及其简洁版本，正在从理论走向实践，并在多个关键领域带来范式级的变革。

区块链扩容与隐私

这是零知识证明最受关注的应用领域。

ZK-Rollups：区块链的 Layer 2 扩容方案。数千笔交易可以在链下打包处理，然后生成一个零知识证明，证明这些交易的有效性，并将这个简洁的证明提交到 Layer 1。Layer 1 只需要验证这个证明即可确认所有打包交易的有效性，而无需重新执行它们。这极大地提高了区块链的吞吐量，同时继承了 Layer 1 的安全性。代表项目包括 zkSync, StarkNet, Polygon zkEVM, Scroll 等。
Validiums / Volitions：与 ZK-Rollups 类似，但数据可用性有所不同，提供不同的安全性和去中心化权衡。
隐私保护：
- Zcash：第一个也是最著名的使用零知识证明（最初是zk-SNARKs，后来是Halo2）实现链上隐私交易的加密货币。用户可以发送和接收加密货币，同时隐藏交易的发送方、接收方和金额。
- Tornado Cash (已受制裁)：一个混币协议，允许用户通过零知识证明证明自己存款的合法性，从而在提款时切断与原始地址的关联，增强交易隐私。

去中心化身份与凭证

零知识证明使得“选择性披露 (Selective Disclosure)”成为可能。
例如，你可以向服务提供商证明你的年龄超过18岁，而无需透露你的确切出生日期。或者证明你拥有大学学位，而无需展示你的成绩单。这为构建更隐私、更安全的去中心化身份系统提供了基础。

可验证计算与外包

当你将计算任务外包给云计算服务提供商时，你如何确信他们返回的结果是正确的，而无需你自己重新运行整个计算？零知识证明可以提供可验证计算 (Verifiable Computation)。证明者（云服务商）可以生成一个计算结果的零知识证明，验证者（用户）只需验证这个简洁的证明即可确信结果的正确性，大大节省了计算资源。

机器学习与隐私保护

私有模型推理：用户可以在不向AI模型提供明文输入的情况下，获得推理结果。同时，服务提供商可以在不向用户泄露模型参数的情况下，证明推理结果的正确性。
可验证模型训练：证明者可以证明一个AI模型是按照特定数据和算法训练出来的，并且满足某些合规性要求，而无需泄露训练数据或模型本身。

更广泛的应用前景

安全多方计算 (MPC)：在 MPC 协议中，零知识证明可以用来确保各方诚实地执行协议步骤，而无需泄露各自的私有输入。
投票系统：确保投票的匿名性和计票的正确性。
审计与合规：证明某些数据满足合规标准，而无需披露敏感商业信息。

挑战与未来展望

尽管证明系统已经取得了令人瞩目的成就，但它们仍处于快速发展阶段，面临着一些挑战：

性能瓶颈：证明生成时间
虽然证明验证时间已经非常快，但生成复杂计算的证明仍然是一个计算密集型任务，通常需要大量时间、内存和计算资源。优化证明生成器的效率是当前研究的热点。
开发难度与生态系统
构建基于零知识证明的应用需要深入的密码学和数学知识。目前存在一些高级语言（如 Cairo, Leo, Circom）和框架来简化电路编写，但与传统编程相比，学习曲线仍然陡峭，开发工具和调试环境仍需完善。
标准化与互操作性
不同证明系统和库之间缺乏统一标准，导致互操作性差。未来需要行业共同努力，推动标准制定，以促进更广泛的采用。
量子计算威胁
大多数基于椭圆曲线和配对的 SNARKs（如 Groth16, Plonk）对未来的量子计算机是不安全的。虽然目前量子计算机尚不构成威胁，但研究抗量子证明系统（如 STARKs 和后量子密码学证明系统）至关重要。
研究前沿：新的原语和结构
研究人员仍在不断探索新的证明系统结构、更高效的算术化技术、更小的证明和更快的验证。例如，Cycle of Elliptic Curves 允许构建更高效的递归证明。