安全 | 零知識(shí)證明是零信任嗎?
如果只是為了回答標(biāo)題問(wèn)題,兩個(gè)字就可以:不是。
但還是想順便說(shuō)說(shuō),零知識(shí)證明(ZKP)究竟是什么。
雖然零知識(shí)證明和零信任這兩個(gè)詞,都帶有“零”,都與“信任”有關(guān),但并不是一回事。兩者本質(zhì)上都要增強(qiáng)「信任」,但在增強(qiáng)「信任」的過(guò)程中,零知識(shí)證明強(qiáng)調(diào)不泄露知識(shí);零信任強(qiáng)調(diào)不要過(guò)度授權(quán)。簡(jiǎn)單說(shuō),零知識(shí)是為了隱藏知識(shí);零信任是為了控制信任。
零知識(shí)證明解決了信任與隱私的矛盾:既通過(guò)「證明」提升「信任」,又通過(guò)「零知識(shí)」保護(hù)「隱私」。是兩全其美的方案。
本文更想表達(dá)的觀點(diǎn)其實(shí)是:探索零知識(shí)證明的過(guò)程,可以探索到安全的本質(zhì)。
以筆者目前認(rèn)知,安全之終極定義,不是啟發(fā)式的CIA三性,而是采用形式化驗(yàn)證的可證明安全——上帝(“模擬者”)與科學(xué)(數(shù)學(xué)、計(jì)算復(fù)雜度)完美結(jié)合的推演過(guò)程。
一、了解零知識(shí)證明
1. 零知識(shí)證明的定義
零知識(shí)證明(ZKP,Zero-Knowledge Proof)的定義為:證明者(prover)能夠在不向驗(yàn)證者(verifier)提供任何有用信息的情況下,使驗(yàn)證者(verifier)相信某個(gè)論斷是正確的。
根據(jù)定義,零知識(shí)證明具有以下三個(gè)重要性質(zhì):
- 完備性(Completeness):只要證明者擁有相應(yīng)的知識(shí),那么就能通過(guò)驗(yàn)證者的驗(yàn)證,即證明者有足夠大的概率使驗(yàn)證者確信。
(關(guān)于這里提到的“概率”,詳見(jiàn)后面的“色盲游戲”)
- 可靠性(Soundness):如果證明者沒(méi)有相應(yīng)的知識(shí),則無(wú)法通過(guò)驗(yàn)證者的驗(yàn)證,即證明者欺騙驗(yàn)證者的概率可以忽略。
- 零知識(shí)性(Zero-Knowledge):證明者在交互過(guò)程中僅向驗(yàn)證者透露是否擁有相應(yīng)知識(shí)的陳述,不會(huì)泄露任何關(guān)于知識(shí)的額外信息。
從定義中,還可以提取到兩個(gè)關(guān)鍵詞:“不泄露信息”+“證明論斷有效”。再濃縮一下就是:隱藏+證明。
所以,零知識(shí)證明的核心目的是:隱藏并證明需要它隱藏的各類秘密。(感覺(jué)很矛盾是吧)
2. 零知識(shí)證明的源頭
零知識(shí)證明是1984年由Goldwasser、Micali、Rackoff三個(gè)人提出,論文題目是《The Knowledge Complextiy of Interactive Proof Systems》(《交互式證明系統(tǒng)中的知識(shí)復(fù)雜性》)。
從上圖的左上角可以看到,這篇論文其實(shí)發(fā)表在1989年。原因在于這篇論文的思想太過(guò)超前,以至于從1984年寫(xiě)出初稿到1989年正式被采納發(fā)表,經(jīng)歷了整整五年時(shí)間。正是由于零知識(shí)證明這項(xiàng)開(kāi)創(chuàng)性工作,Goldwasser和Micali兩人在2012年分享了圖靈獎(jiǎng)——計(jì)算機(jī)領(lǐng)域最高獎(jiǎng)項(xiàng),也有“計(jì)算機(jī)界的諾貝爾獎(jiǎng)”之稱。
3. 零知識(shí)證明的核心價(jià)值:消滅可信第三方
當(dāng)互聯(lián)⽹電⼦商務(wù)和在線交易蓬勃發(fā)展到今天,可信第三方(TTP,Trusted Third Party)幾乎不可或缺。但大家體會(huì)不到的事實(shí)是,可信第三方引入了巨大的「信任成本」。對(duì)第三方的過(guò)度信任,會(huì)帶來(lái)嚴(yán)重的「隱私泄露」、「單點(diǎn)失效」、「?jìng)€(gè)⼈信息濫⽤」等問(wèn)題。雖然學(xué)術(shù)界也提出“半可信第三方”(Semi-trusted Third Party)以放寬條件,但是"半可信" 仍不解決根本問(wèn)題。根本問(wèn)題是能否取消第三方。
那么,如果取消了可信第三方,還能保證交易的公平性嗎?想象⼀下這個(gè)交易場(chǎng)景:⼀個(gè)買家拎著現(xiàn)⾦箱⼦,另⼀個(gè)賣家也拎著⼀個(gè)箱⼦,裝著某種貴重貨物。在電影中的情節(jié)⾥,買賣雙⽅會(huì)坐在⼀個(gè)桌⼦兩側(cè),雙⽅倒數(shù)3-2-1,然后同時(shí)把箱⼦推給對(duì)⽅。當(dāng)然雙⽅最好都帶武器,防⽌對(duì)⽅耍賴。除了買家、賣家,并沒(méi)有任何第三⽅在場(chǎng),兩⽅也互不信任。容易理解,任何⼀⽅都不愿先出⼿,把⾃⼰的箱⼦交給對(duì)⽅,因?yàn)閾?dān)心對(duì)⽅拿到箱⼦后⽴即跑路,導(dǎo)致自己錢貨兩空的結(jié)局。
時(shí)間走到2008年,⽐特幣橫空出世,中本聰給出了⼀種天才設(shè)計(jì):在⼀個(gè)可以⽆任何準(zhǔn)⼊許可的P2P⽹絡(luò)中,采取區(qū)塊鏈技術(shù),以⼀種⾮常公平的⽅式進(jìn)⾏去中心化記賬。
我們可以從另⼀個(gè)⻆度來(lái)理解中本聰?shù)膭?chuàng)新:比特幣實(shí)現(xiàn)了⼀種分布式協(xié)議,它以去中心化的方式,「模擬」出了一個(gè)「虛擬」的「可信第三⽅」。
而對(duì)于零知識(shí)證明也可以這樣理解:零知識(shí)證明實(shí)現(xiàn)了一類密碼學(xué)理論技術(shù),它基于一些安全假設(shè),「模擬」出了⼀個(gè)虛擬的可信第三方。
可見(jiàn),「零知識(shí)證明」的一個(gè)重要作用是消滅可信第三方。換句話說(shuō),零知識(shí)證明提供的「信任」,能夠代替一個(gè)「可信第三方」。
需要注意的是:「零知識(shí)證明」取代的并非是「第三方」,而是「可信第三方」。
4. 零知識(shí)證明的經(jīng)典示例:色盲游戲
零知識(shí)證明背后的邏輯并不復(fù)雜。下面給出交互式零知識(shí)證明的經(jīng)典示例——色盲游戲,以幫助理解零知識(shí)證明的概念。
色盲游戲:
參與者:Alice是色盲,Bob不是色盲。
Bob手上有兩個(gè)大小、形狀完全一樣的球,但顏色不同:一個(gè)藍(lán)色,另一個(gè)紅色。
由于Alice是色盲,所以Alice無(wú)法分辨這兩個(gè)球是否是一樣的。
而B(niǎo)ob需要向Alice證明這兩個(gè)球是不一樣的。
在這個(gè)游戲中:
- Alice被稱為驗(yàn)證者:他需要驗(yàn)證Bob的陳述正確與否;
- Bob被稱為證明者:他需要證明自己的陳述(存在兩個(gè)顏色不一樣的球)。
- 采取零知識(shí)證明方式:Bob需要在Alice不能獲知兩個(gè)球的顏色的情況下,向Alice證明這兩個(gè)球的顏色是不一樣的這個(gè)事實(shí),這與零知識(shí)證明的定義是相符合的。
零知識(shí)證明方法如下:
- Alice當(dāng)著B(niǎo)ob的面拿起兩個(gè)球,左手拿藍(lán)球,右手拿紅球(當(dāng)然,Alice并不知道拿的是籃球還是紅球,因?yàn)樗巧?;
- Alice然后將雙手放到背后,這樣Bob就看不到Alice手上的球了;
- Alice在背后隨機(jī)交換左右手上的球,并在心里默默記住自己的交換方式;
- 交換完成后,Alice將手伸出,并詢問(wèn)Bob“兩個(gè)球是否交換過(guò)位置?”;
如果Bob能看到球上的顏色,那么每次Alice換過(guò)球的位置后,Bob都能正確回答出Alice的問(wèn)題。
分析推理過(guò)程如下:
第一次:假設(shè)Alice確實(shí)交換了兩個(gè)手中的球。
如果Bob回答對(duì)了,Alice仍然不會(huì)完全相信Bob可以區(qū)分這兩個(gè)球的顏色,因?yàn)锽ob有50%的概率蒙對(duì);
所以,即使Bob回答對(duì)了,Alice還要進(jìn)行第二次測(cè)試;
如果Bob回答錯(cuò)了,那么Alice可以肯定Bob不能區(qū)分兩個(gè)球的顏色。此項(xiàng)測(cè)試就可以終止了。
第二次:假設(shè)這一次Alice并沒(méi)有交換兩個(gè)手中球的位置,然后Alice問(wèn)Bob是否交換了球的位置。
如果Bob回答對(duì)了,那么Alice有75%的概率相信Bob可以區(qū)分兩個(gè)球的顏色;
當(dāng)然,Alice還可以進(jìn)行第三次測(cè)試;
如果Bob回答錯(cuò)了,那么Alice可以肯定Bob不能區(qū)分兩個(gè)球的顏色。
此項(xiàng)測(cè)試就此終止。
下圖給出了上述情況的概率樹(shù):
概率計(jì)算結(jié)果如下:
- 第一次Bob回答正確時(shí),Alice可以說(shuō)Bob陳述的斷言為真的概率為50%;
- 如果Bob第二次又回答正確,那么Alice可以說(shuō)Bob陳述為真的概率達(dá)75%;
- 如果第三次又正確,概率將達(dá)到87.5%;……
- 如果連續(xù)n次Bob都通過(guò)了測(cè)試,則Alice以1-(1/2)^n 的概率認(rèn)為 Bob 說(shuō)的是真的,這兩個(gè)球的確是有紅藍(lán)兩種顏色。
這個(gè)示例中的零知識(shí)證明,是一種基于概率的驗(yàn)證方式(即概率證明,而非確定性證明),驗(yàn)證者(verifier)基于一定的隨機(jī)性向證明者(prover)提出問(wèn)題,如果證明者都能給出正確回答,則說(shuō)明證明者大概率擁有他所聲稱的“知識(shí)”。
看看這個(gè)示例是如何滿足零知識(shí)證明的定義中的三性:
- 完備性:如果Bob擁有分辨球顏色的知識(shí),則Bob每次都會(huì)正確回答。
- 可靠性:如果Bob不具備分辨球顏色的知識(shí),則Bob無(wú)法總是回答正確。
- 零知識(shí)性:直到最后,Alice也無(wú)法得知兩球的具體顏色,因?yàn)锽ob從未透露這個(gè)信息。
二、領(lǐng)悟信任與安全
1. 信任的產(chǎn)生機(jī)理
零知識(shí)證明是怎么「憑空產(chǎn)生了信任」?
零知識(shí)證明的信任,基于比較客觀的理論:
一類是基礎(chǔ)理論:
如「數(shù)論與代數(shù)」、「數(shù)理邏輯」、「計(jì)算理論」等;
另一類是安全假設(shè):
如「離散對(duì)數(shù)難題」等。
如果我們信任這些基礎(chǔ)理論(數(shù)學(xué)、邏輯),也信任安全假設(shè)沒(méi)有被攻破,那么我們確實(shí)可以得出下面的結(jié)論:零知識(shí)證明實(shí)現(xiàn)了一類密碼學(xué)理論技術(shù),它基于一些安全假設(shè),「模擬」出了⼀個(gè)虛擬的可信第三方。
2016年《經(jīng)濟(jì)學(xué)人》提出「區(qū)塊鏈?zhǔn)切湃螜C(jī)器」。仔細(xì)思考信任的推導(dǎo)機(jī)制,可以發(fā)現(xiàn):
- 區(qū)塊鏈:解決的是「分布式計(jì)算的信任」;
- 零知識(shí)證明:解決的是「數(shù)據(jù)的信任」;
- 形式化驗(yàn)證:解決的是「邏輯的信任」。
上述三點(diǎn):邏輯 <-> 計(jì)算 <-> 數(shù)據(jù),共同構(gòu)成一個(gè)閉環(huán),也許才能真正實(shí)現(xiàn)「信任機(jī)器」這一構(gòu)想。
總之,任何「信任」都需要基于某些信任基礎(chǔ)(如可信計(jì)算基(Trusted Computing Base)),任何「安全」都有安全性假設(shè)。
信任的最后一環(huán)是「形式化驗(yàn)證」。形式化驗(yàn)證實(shí)際上是為邏輯、流程或業(yè)務(wù)進(jìn)行形式化建模,你可以理解為用一種數(shù)學(xué)語(yǔ)言進(jìn)行描述,模型就是一些數(shù)學(xué)概念(或數(shù)學(xué)對(duì)象),比如集合、代數(shù)、范疇等等。然后所有的形式化驗(yàn)證都在用「顯式」的或「隱式」的方式「嚴(yán)格證明」某個(gè)結(jié)論(或者叫做定理)。
而理解零知識(shí)證明理論的核心,是理解「模擬」這個(gè)概念。上面我們提到了兩個(gè)「模擬」:一個(gè)是區(qū)塊鏈,另一個(gè)是零知識(shí)證明。再來(lái)回顧一下:
比特幣實(shí)現(xiàn)了⼀種分布式協(xié)議,它以去中心化的方式,「模擬」出了一個(gè)「虛擬」的「可信第三方」。
零知識(shí)證明實(shí)現(xiàn)了一類密碼學(xué)理論技術(shù),它基于一些安全假設(shè),「模擬」出了⼀個(gè)虛擬的可信第三方。
他們之所以可信,是因?yàn)樗麄兡軌颉改M出可信第三方」。這個(gè)模擬過(guò)程都是可以形式化的,并且是可證明的。如今,模擬(Simulation)和安全性證明已是密碼學(xué)界的共識(shí),也是基本的形式化工具,沒(méi)有經(jīng)過(guò)證明/驗(yàn)證的模擬是無(wú)法讓大家接受的。
理論上,所有客觀標(biāo)準(zhǔn)都能進(jìn)行驗(yàn)證,大到一個(gè)安全協(xié)議,小到一行代碼,都能采用形式化驗(yàn)證的方法。恰好筆者曾經(jīng)研究過(guò)可證明安全,從那些密碼學(xué)安全性證明中體會(huì)到了「模擬」與「可證明安全」中所表達(dá)出的神奇理念。從某種程度上,可以領(lǐng)會(huì)到「安全」之真諦。
如果對(duì)模擬、安全、不可區(qū)分性等形式化驗(yàn)證的方法感興趣,請(qǐng)參考資料[6],它將帶你到另一個(gè)存在「上帝」的「平行世界」,橫跨科學(xué)與哲學(xué)問(wèn)題。
2. 證明 vs. 驗(yàn)證
零知識(shí)證明的實(shí)現(xiàn)可以通過(guò)三段旅程來(lái)描述:
- 隱藏秘密之旅:?jiǎn)蜗蚬δ?
- 證明秘密之旅:同態(tài)映射;
- 構(gòu)建通用零知識(shí)證明之旅:證明NPC問(wèn)題的多項(xiàng)式。
「零知識(shí)證明」中的「證明」與其定義中的「驗(yàn)證」是何關(guān)系?這涉及到證明存在的意義。所有的證明,都體現(xiàn)了「證明」與「驗(yàn)證」的「不對(duì)稱性」。
- 證明:可能是一個(gè)非常耗費(fèi)算力,或者腦力的活動(dòng),無(wú)論是耗時(shí)幾百年的「費(fèi)馬大定理」,還是比特幣中的 POW 證明,這些證明都凝結(jié)了在尋找證明過(guò)程中所消耗的能量。
證明過(guò)程可能是超乎尋常的復(fù)雜,偶爾需要天才橫空出世。
- 驗(yàn)證:一定(或者應(yīng)該)是一個(gè)非常簡(jiǎn)單的、機(jī)械的、在有效時(shí)間內(nèi)(多項(xiàng)式復(fù)雜度)且能終止的活動(dòng)。
某種意義上,「證明」與「驗(yàn)證」的這種不對(duì)稱性,真正體現(xiàn)了證明的意義,展示了零知識(shí)證明的價(jià)值。關(guān)于這一部分,詳見(jiàn)參考資料[2]。
3. 信任 vs. 隱私
從根本上講,信任是個(gè)好東西。我們創(chuàng)建了信用體系,可以向我們信任的人和組織提供信貸;依靠名聲、信譽(yù)記錄等,也能夠與我們不信任的人開(kāi)展業(yè)務(wù)。
但是,信任通常是建立在犧牲隱私的基礎(chǔ)之上的。為了互相信任,通常必須放棄一些隱私。而且信任通常與你的身份信息密切相關(guān)。
而零知識(shí)證明恰恰是一種「兩全其美」的方案:既通過(guò)「證明」提升「信任」,又通過(guò)「零知識(shí)」保護(hù)「隱私」。
4. 匿名 vs. 假名
對(duì)于隱私的理解,其實(shí)分兩種:
- 第一種是匿名(Anonymous),意思是用戶不用透露任何和自己相關(guān)的信息,好比是學(xué)校的表白墻,你永遠(yuǎn)無(wú)法知道到底是誰(shuí)寫(xiě)了上去,反正字就是寫(xiě)在了上面。
- 第二種是假名(Pseudonymous),意思是用戶通過(guò)自己創(chuàng)造的假名來(lái)發(fā)表信息,好比是貼吧,如果你不了解這個(gè)用戶,你無(wú)法建立網(wǎng)名到實(shí)名的聯(lián)系,你也就不知道發(fā)帖的人是誰(shuí)。
目前,大多數(shù)當(dāng)前的區(qū)塊鏈技術(shù)只是假名。如比特幣中每個(gè)用戶都會(huì)隨機(jī)生成自己的公鑰(假名)地址來(lái)收款。這種公鑰地址其實(shí)是一種假名,一旦在哪里實(shí)名制認(rèn)證過(guò),就可以把網(wǎng)名和實(shí)名關(guān)聯(lián)起來(lái),毫無(wú)隱私可言。
如果黑客或政府可以將真實(shí)姓名與網(wǎng)絡(luò)地址相關(guān)聯(lián),那么可以通過(guò)鏈接區(qū)塊鏈交易追溯到用戶交易時(shí)的身份。盡管區(qū)塊鏈被贊譽(yù)為完美安全方案,但知情人士都知道這種弱點(diǎn)。事實(shí)上,世界各地的執(zhí)法機(jī)構(gòu)一直在利用這一漏洞來(lái)抓住犯罪分子。
這就好比有人用網(wǎng)名在貼吧上發(fā)帖子噴人,然后被人用密保找到了手機(jī)號(hào),再用手機(jī)號(hào)找到了注冊(cè)的實(shí)名,從而被人肉是一個(gè)道理。
零知識(shí)證明可以彌補(bǔ)這種匿名缺陷。利用零知識(shí)證明創(chuàng)建信任的社會(huì),是一個(gè)更加注重個(gè)人隱私的社會(huì)。它會(huì)把隱私控制權(quán)真正轉(zhuǎn)移到消費(fèi)者手上,而不是將其交給政府或組織等。
三、零知識(shí)證明的應(yīng)用
零知識(shí)證明定義中有兩個(gè)關(guān)鍵詞:“不泄露信息”、“證明論斷有效”。基于這兩個(gè)特點(diǎn),直接擴(kuò)展出零知識(shí)證明在區(qū)塊鏈上的兩大應(yīng)用場(chǎng)景:
- 隱私:在隱私場(chǎng)景中,我們可以借助零知識(shí)證明的“不泄露信息”特性,在不泄漏交易細(xì)節(jié)(接收方、發(fā)送方、交易余額)的情況下,證明區(qū)塊鏈上的資產(chǎn)轉(zhuǎn)移是有效的。
- 擴(kuò)容:在擴(kuò)容場(chǎng)景中,不太關(guān)注零知識(shí)證明技術(shù)的“不泄露信息”這個(gè)特性,更加關(guān)注“證明論斷有效”這個(gè)特性。由于鏈上資源是有限的,所以我們需要把大量的計(jì)算遷移到鏈下進(jìn)行,因此需要有一種技術(shù)能夠證明這些在鏈下發(fā)生的動(dòng)作是可信的,零知識(shí)證明正好可以幫助我們做鏈下可信計(jì)算的背書(shū)。
- 端到端的通訊加密:用戶之間可以互相發(fā)消息,但是不用擔(dān)心服務(wù)器拿到所有的消息記錄,同時(shí)消息也可以按照服務(wù)器的要求,出示相應(yīng)的零知識(shí)證明,比如消息的來(lái)源、發(fā)送的目的地。
- 身份認(rèn)證:用戶可以向網(wǎng)站證明,他擁有私鑰,或者知道某個(gè)只要用戶自己才知道的秘密答案,而網(wǎng)站并不需要知道這個(gè)私鑰和秘密,但是網(wǎng)站可以通過(guò)驗(yàn)證這個(gè)零知識(shí)證明, 從而確認(rèn)用戶的身份。
- 去中心化存儲(chǔ):服務(wù)器可以向用戶證明他們的數(shù)據(jù)被妥善保存,并且不泄露數(shù)據(jù)的任何內(nèi)容。
- 信用記錄:信用記錄是另一個(gè)可以充分發(fā)揮零知識(shí)證明優(yōu)勢(shì)的領(lǐng)域,用戶可以有選擇性的向另一方出示自己的信用記錄,同時(shí)證明信用記錄的真實(shí)性。
更多的例子,可以是任何形式的數(shù)據(jù)共享、數(shù)據(jù)處理、數(shù)據(jù)傳輸。
2019年7月,美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)發(fā)布了一份加密驗(yàn)證和評(píng)估信息安全保障(SIEVE)項(xiàng)目的廣泛機(jī)構(gòu)公告(HR001119S0076)。該項(xiàng)目尋求在零知識(shí)證明方面最先進(jìn)的技術(shù),目標(biāo)是在不泄露秘密信息的前提下驗(yàn)證軍事能力。該項(xiàng)目關(guān)注的是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)空間作戰(zhàn)方面用于驗(yàn)證軍事能力的零知識(shí)證明,包括概率和不確定分支條件在內(nèi)的大型復(fù)雜的證明。項(xiàng)目研究分為三個(gè)技術(shù)領(lǐng)域:構(gòu)建有用的零知識(shí)語(yǔ)句;構(gòu)建高效的零知識(shí)證明生成編譯器;后量子零知識(shí)研究。
