什么是可信设置仪式以及为什么某些 ZK 系统需要它？

了解可信设置仪式

1. 可信设置仪式是某些零知识证明（ZK）系统中使用的关键过程，特别是基于 zk-SNARK（零知识简洁非交互式知识论证）的系统。此过程生成对于创建和验证证明至关重要的加密参数，而不会泄露任何底层数据。

2. 在仪式期间，多个参与者协作生成一组公共参数，同时确保没有任何一方保留对敏感中间值（通常称为有毒废物）的访问权。如果这些有毒废物被保存或泄漏，恶意行为者可能会在无法察觉的情况下伪造证据。

3. 仪式依赖于多方计算（MPC），每个参与者都为系统贡献随机性。一旦他们的贡献完成，他们就会丢弃他们那部分秘密数据。只要至少一名参与者诚实行事并销毁他们的秘密，整个设置就保持安全。

4. 这些生成的参数形成了所谓的通用参考字符串（CRS），它成为 ZK 系统内所有未来交互的基础设施的一部分。 CRS 的完整性直接影响所产生证明的健全性和可信度。

5. 并非所有零知识协议都需要可信设置。例如，zk-STARK 通过依赖不涉及隐藏陷门的透明机制来避免这一要求，从而使它们更能抵抗中心化问题。

为什么某些 ZK 系统依赖于可信设置

1. zk-SNARK 在证明大小和验证速度方面实现了高效率，使其成为 Gas 成本和可扩展性至关重要的区块链应用程序的理想选择。然而，这种性能是以需要初始可信配置阶段为代价的。

2. zk-SNARK 的数学基础通常依赖于椭圆曲线上的双线性配对，这在密钥生成过程中需要秘密参数。如果没有正确的设置，这些参数就无法安全地实例化。

3. Zcash 等系统和以太坊扩容解决方案的早期版本已利用可信设置来实现私密交易和高效的第 2 层验证。他们的安全模型假设设置正确进行，并且没有对手获得了丢弃的秘密。

4. 对信任的需求源于这样一个事实：如果攻击者获得了全套有毒废物的访问权限，他们就可以创建看似有效的虚假证明，从而破坏整个系统的完整性。这使得仪式成为潜在的单点故障。

5. 为了降低风险，项目通常设计具有全球参与、开源工具和可验证步骤的仪式。公共日志、视频记录和可重复的构建有助于提高透明度和社区对结果的信心。

现实世界的例子和启示

1. Zcash 进行了最早、最著名的可信设置仪式之一，称为“Tau 的力量”。它涉及数十个地理位置分散的参与者，每个参与者在传递累积结果之前都会增加熵。

2. 以太坊的 Filecoin 项目还举办了一场由 100 多名贡献者参与的大型仪式，以启动其证明系统。每个参与者都必须通过加密证据确认他们的贡献，从而加强集体保证。

3. 尽管设计稳健，但对任何依赖于可信设置的系统仍然持怀疑态度。批评者认为，即使有很多参与者，也不能绝对保证所有秘密数据都被销毁——只有强大的概率保证。

4. 一些区块链开发人员已转向无需信任的替代方案，例如 zk-STARK 或防弹技术，尤其是当可审计性和去中心化优先于紧凑证明大小时。

5. 尽管如此，由于其效率优势，具有可信设置的 zk-SNARK 继续在加密生态系统内运行的隐私保护 DeFi 工具、身份系统和可扩展汇总中发挥重要作用。

常见问题解答

如果有人将有毒废物保留在受信任的机构中，会发生什么？如果个人或团体保留来自受信任设置的秘密数据（有毒废物），他们可能会生成通过验证的欺诈性证据。这将使他们能够伪造交易、非法铸造资产或绕过区块链协议中的验证规则。

如果受信任的设置遭到破坏，可以重做吗？在大多数情况下，可信设置无法轻易重做，因为整个网络基础设施取决于原始参数。替换它们需要重新初始化系统，这可能会使现有证明失效并破坏向后兼容性。

用户如何验证可信设置是否正确完成？项目通常会发布详细的文档、加密记录和验证脚本。参与者签署他们的贡献日志，任何人都可以运行软件来检查最终参数是否根据指定协议计算，确保没有任何一方主导该过程。

是否正在努力消除可信设置？是的，研究人员正在积极开发新的 ZK 结构，以消除对可信设置的需求。 zk-STARKs、Halo 和 Nova 等协议使用递归证明技术或基于哈希函数的透明设置，减少对初始信任假设的依赖。