a16z 对 ZKP 的年度调研

[Whisker17]

Decentralized Speed: Advances in Zero Knowledge Proofs

[Whisker17]

• 零知识证明提供了一种以密码方式证明特定信息或数据集的知识的方法，而无需实际揭示该信息是什么。无需过多关注，零知识证明结构涉及“证明者”和“验证者”；证明者根据系统输入的知识创建证明，而验证者有能力确认证明者在不知道输入或重新计算自己的情况下真实地评估了计算

[Whisker17]

• 证明设置涉及对一组多项式（代表程序）的计算进行门控的算术电路；当您尝试缩放由这些多项式表示的信息量时，这些门会变得更加复杂。理想情况下，您希望证明者的可能输出范围非常大，以降低证明者能够通过计算蛮力达到验证者预期的相同数字的可能性。（这是一个称为抗碰撞的概念。）通过增加这些数字，您可以提高证明的概率安全性，就像在工作量证明挖掘中一样。然而，大量的输出可能非常昂贵并且生成起来计算速度很慢。这就是在证明算法和硬件方面取得进步的地方。

[Whisker17]

• zkSNARK 中的证明只有几百个字节，这使得验证者可以轻松快速地检查证明是否正确（不过，正如您将看到的，证明本身可能需要很长时间才能生成）

[Whisker17]

• 非交互式证明使验证者无需质疑证明者提交的陈述；在区块链环境中，这将需要客户来回使用验证器，这将是耗时且难以构建的。

[Whisker17]

• 可以结合不同的配对和证明系统来解锁效率。人们可能会将证明电路、曲线、约束系统和承诺方案的库视为可以互换的成分，以创建具有不同速度、效率和安全假设的“零知识配方”。

[Whisker17]

• PLONK 只需要一个单一的、通用的可信设置——在初始仪式中，证明者和验证者对给定的零知识证明系统使用公共参考字符串。
• 不是为你想要证明的每个程序都有一个单独的可信设置，而是整个方案有一个单独的可信设置，之后您可以将该方案与任何程序一起使用。

[Whisker17]

• 证明作者进行的测试发现，消费级计算机（在本例中为具有 16GB RAM 的SurfacePro 6）可以在 23 秒内生成证明。一个很大的警告：重要的是要注意这些只是基准，而今天实施的 PLONK 证明可能需要更长的时间才能生成。