零知识证明的技术路径之争：zk-SNARK和zk-STARK谁更优？

作者:Chloe

Crypto行业被广泛关注的零知识证明技术，并非是这几年刚冒出来的新技术，而是在1980年就被数学家S.Goldwasser、S.Micali及C.Rackoff提出。

零知识证明涉及一系列步骤，可以实现密码学中的「可用而不可知」。

而区块链有着公开透明、不可篡改等特征，意味着加密投资者的链上资产及交易记录是没有隐私可言的，于是零知识证明技术被引入了区块链，当中以zk-SNARK和zk-STARK最为关注。

zk-SNARK被项目方采用得最多，zk-STARK则被密码学专家认为优于ZK-SNARK。那么综合技术与实际应用，二者谁更优？

zk-SNARK：简洁+?非交互性

AlessandroChiesa等人在2012年开发了zk-SNARK协议，这是一种简洁化、非交互式的零知识证明技术，全称是zero-knowledgesuccinctnon-interactiveargumentsofknowledge，可以拆解成三部分来理解：

零知识身份预言机提供商zkMe完成200万美元Pre-Seed轮融资，Circle Venture等参投:5月30日消息，零知识身份预言机 zkMe 完成 200 万美元 Pre-Seed 轮融资，Circle Venture、Spartan Group、CMS Holdings、Fenbushi Capital、NGC Ventures、Arkstream Capital 等参投，计划利用新资金加速开发，在一个月内完成主网测试并上线客户注册功能。

ZkMe 允许用户加密他们的数据，并使用 ZKP 在他们自己的设备上证明声明，以有效地验证用户资格，同时保护他们的隐私安全。[2023/5/30 9:49:53]

zero-knowledge：

零知识证明，在不暴露隐私情况下向对方证明一件事情，让数据「可用而不可知」。

DeGate 发布发展蓝图，将优先实现基于零知识证明技术的以太坊二层订单薄交易协议:据官方消息，以太坊二层交易协议 DeGate 发布最新发展蓝图，对原有的发展路线进行了调整，将优先上线订单薄交易，并最终形成订单薄交易、AMM 交易、保证金交易三者并存的产品架构。

DeGate 表示，随着 Layer2、以太坊 2.0 等技术的落地，区块链使用成本将大幅降低，因此更能满足交易者需求、资金利用率更高的订单薄交易有可能产生更大的市场需求。DeGate 的订单簿交易系统将拥有即时挂单撤单、挂单撤单免手续费、maker 交易免手续费、taker 直接交易等功能或优势。[2021/5/26 22:46:41]

succinct：

简洁性，要证明的东西占用的空间很小，而且可以快速验证。

non-interactive：

V神：以太坊即将过时的采矿硬件可以直接用于零知识证明:在采访中，Ethereum联合创始人V神（Vitalik Buterin）被问及一旦网络从其当前的共识算法切换到不再需要这种专用硬件的模型时，人们应该如何使用以太坊矿工。Ethereum联合创始人表示，以太坊即将过时的采矿硬件可以直接用于零知识证明。（cointelegraph）[2020/4/26]

非交互性，意味着证明者和验证者之间不需要有交集即可快速地得到验证结果。

zk-SNARK的简洁性和非交互性，是相对于传统的零知识证明方案而言的。

简单来说，传统方案是交互式证明，即示证者和验证者之间反复确认，你可以理解为示证者不断向验证者询问“是或不是？”，然后验证者不断给出回答，直到最后碰出一个正确答案来，所以效率很低。

zk-SNARK的解决方案则不需要双方反复确认“是或不是”，而是提前先搞一个「可信初始化」，从而生成公共参考字符串，然后所有的示证者都可以直接访问它。

金色沙龙 | 燕丽：零知识证明对于协调区块链底层扩容也有很大帮助:在今日举行的《隐私计算——区块链信息安全守护者》为主题的金色沙龙中，算力智库创始人燕丽表示，2020年1月1日，中国首部《中华人民共和国密码法》将正式开始实施，而在这之前一直只有一部 2007年4月23日公布的《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》。很多人把这次《密码法》和2019年“1024”中央把区块链技术作为国家战略联系在一起。区块链技术是完全基于密码学技术，所以按照这个逻辑，如果政府要完全掌控未来区块链技术的发展，首先就要完全掌控密码学技术，而这个其中的核心是国家主权范围之间在所有的通信安全和商业行为之间军备竞赛的升级。区块链有大量扩容压力，而为了达到这个操作，必然要牺牲系统处理效能和部分隐私。但矛盾的是，区块链前期的应用场景如虚拟货币，数字金融等，都需要有更好的隐私保护和不容易被恶意攻击的防护。所以若想让区块链技术落地生根，那么提高区块链底层技术来满足对于高安全性(含高完整性和高保密性)、高性能、高广义效率的要求，也许是个稳妥做法。所以隐私计算中的零知识证明等对于协调区块链底层扩容也有很大帮助。[2020/4/15]

打一个通俗的比方。交互式证明相当于老师要批改每一个考生的每一道考题，效率很低，但正确答案只掌握在老师这边，基本不存在有人偷答案的情况。

但zk-SNARK直接上传了正确答案，然后让考生自己对答案，非常高效，代价是答案有可能被泄露，虽然这个答案系统是经过加密的。

因此针对zk-SNARK容易被泄露的问题，有很多围绕着提高「答案系统」安全性的解决方案，不同采用zk-SNARK的项目方的方案各有不同。如zCloak钱包是直接把算法以纯文本的形式发给用户，用户下载到本地去做计算。

zk-STARK：概率证明+缓冲时间

zk-STARK是成立于2017年12月的StarkWare团队开发的，它是针对zk-SNARK的替代解决方案。研发历时一年多，经过无数次迭代才彻底搞定，已经到2019年了。

zk-SNARK是提前生成公共参考字符串，用非交互式证明的方式提高了证明效率，但也留下了隐患。zk-STARK虽然是交互式证明，但它是一种巧妙的交互式证明——通过哈希函数碰撞来保证安全性，因此也实现了高效证明。

这个思路直接借鉴自2015年推出的交互式预言机证明技术，简单来说是先把问题用密码学的方式打碎，然后验证者随机向示证者提出几个的问题，如果几轮下来，示证者都给出准确的回答，那么验证就通过了。

所以zk-STARK同样也只需要极少的计算资源就可以完成证明，但是它更安全，不存在答案泄露的风险。并且为了进一步确保安全性，还设置了争议时间延迟来作为缓冲。

??zk-SNARK和zk-STARK的区别

1.透明度

zk-SNARK的公共参考字符串通常由一个小团体来保管，因此有泄露的可能性，从而被恶意利用，如创建虚假证明。

zk-STARK则直接利用生成随机性的参数来验证，不需要任何第三方的「答案系统」，因此透明度大幅提高。

2.抗量子计算机攻击

zk-SNARK未来会轻易被量子计算机暴力破解。当然，量子计算何时到来还是个问题。

zk-STARK采用的是哈希函数碰撞的方法来证明，理论上量子计算机的暴力破解是无效的。

3.可扩展性

zk-SNARK的证明在链上更具可扩展性，zk-STARK在纯链上似乎没有优势。

StarkWare官网宣称是最快的，可能是因为zk-STARK允许链下进行大规模计算和存储，然后在链上完成验证，因此可扩展性显著提升，而成本显著降低。

总结

zk-SNARK技术被采用得最多，尤其是在以太坊扩容场景中。zk-SNARK主要是围绕「隐私保护」去做身份、支付、DeFi、资产证明等各种应用。

zk-STARK虽然也在发展之中，但技术尚不成熟，至少在通用性上受限，所以我们看到大多是围绕着「可扩展性」去做各种应用。

不过据StarkWare团队在2022年的说法，已经解决了可扩展性，该把目标瞄准「隐私保护」了，而方式是通过StarkNet的Layer3以及Layer4中以分形分层的方式解决，这似乎与zk-STARK证明系统本身没有直接关系。

至少就目前而言，大多数以太坊Layer2项目(zkSync、Aztec、Loopring、Scroll等)都采用的是zk-SNARK技术路线，除了通用性上受限，还有一个原因是普遍反馈说zk-STARK的开发难度过大……

当然长远来看，zk-STARK可承载的运算量更大，可能更有前景。

总的来说，zk-SNARK和zk-STARK的关系，?有些像Optimisticrollups和ZKrollups的关系，前者短期利好，后者长期利好。

标签：ARKSTANARSTARKBARKBreakout StakeMINAR价格StarkNet

NEAR热门资讯