如何使用零知识（ZK）证明？ （隐私基础知识）

区块链系统中ZK证明的核心原理

1. 证明者在不泄露秘密本身的情况下展示对秘密的了解——例如，在不泄露私钥的情况下证明私钥的所有权。

2. 验证过程依赖于将证明者与特定声明绑定在一起的加密承诺和质询-响应交互。

3. 有效性是通过数学可靠性来强制执行的：如果陈述是错误的，则任何不诚实的证明者都无法说服诚实的验证者，除非概率可以忽略不计。

4. 零知识属性确保验证者除了陈述的真实性之外不会学到任何东西，甚至不会学到有关见证人或输入数据的部分信息。

5. 完整性保证了知道正确证人的诚实证明者总是能够成功地说服验证者。

公共区块链的实施框架

1. zk-SNARK 广泛部署在 Zcash 和以太坊第 2 层汇总中，例如 Polygon zkEVM 和 Scroll，可实现快速验证的紧凑证明。

2. zk-STARK 消除了对可信设置的需求，并依赖于抗冲突哈希函数，使其适合 StarkNet 等无需许可的环境。

3. 基于 PLONK 的系统提供通用且可更新的结构化参考字符串，允许多个应用程序共享相同的设置 - 由 Aztec 网络和 Mina 协议使用。

4. Halo2由Zcash开发，支持递归证明组合，能够将多个交易有效聚合为单个证明。

5. Circom 和 Noir 作为电路设计的领域特定语言，将高级逻辑转换为与 ZK 后端兼容的算术约束。

隐私保护交易模型

1. Zcash 中的屏蔽传输使用 zk-SNARK 来隐藏发送者、接收者、金额和备注字段，同时保持共识有效性。

2. Tornado Cash 采用 Merkle 树包含证明与 ZKP 相结合，实现跨时间和地址的 ETH 存取款匿名化。

3. Aztec Connect 通过将公共智能合约封装在加密的 ZK 电路中，隐藏函数调用和参数，实现私密 DeFi 交互。

4. Railgun 实现完全加密的内存池和状态转换，其中每个余额更新和传输都发生在零知识状态机内。

5. Penumbra 使用受保护的 DEX 池，其中流动性头寸和交易执行保持机密，仅通过链上提交的简洁证明进行验证。

基于ZK的身份和访问控制

1. Sismo 允许用户证明特定群体的成员身份（例如 DAO 贡献者或 NFT 持有者），而无需透露钱包地址或完整交易历史记录。

2. World ID 利用 zk-SNARK 来发布可跨 dApp 使用的匿名、防女巫攻击的身份证明，而无需链接会话或行为。

3. Disco 可以选择性地披露凭证——例如，在不透露出生日期或政府身份证号码的情况下证明年龄超过 18 岁。

4. Semaphore 构建匿名信令协议，用户在其中广播以隐藏身份签名的消息，可通过 ZK 组成员身份证明进行验证。

5. Privy 将 ZK 身份层直接集成到钱包基础设施中，让应用程序请求最少的证明，而不是暴露原始地址。

常见问题解答

Q1.如果底层密码学被破解，ZK 证明可以伪造吗？是的——安全性完全取决于离散对数硬度或散列函数的抗碰撞性等假设。这些基础的妥协将使所有建立在它们之上的证明失效。

Q2。 ZK rollups 是否需要验证者重新执行每笔交易？否——验证者仅验证最终的状态转换证明；执行由证明者在链外进行，消除了链上的冗余计算。

Q3。是否可以审核 ZK 电路的正确性？是的，Risc0 的 zkVM 或 Circcom 的约束检查器等正式验证工具允许开发人员以数学方式确认电路行为与预期逻辑相匹配。

Q4。为什么有些ZK系统需要可信设置仪式？ zk-SNARK 取决于设置过程中产生的有毒废物参数；如果受到威胁，攻击者可以伪造任意有效的证明——因此需要多方仪式来分配信任。