完美零知识证明与计算零知识证明:这一区别究竟意味着什么
零知识证明分为三种类型——完美、统计和计算。这一区别比大多数工程讨论中所承认的更为重要。本文用通俗易懂的语言解释了每种类型,说明了为什么2026年几乎所有生产环境中的ZK系统都是计算零知识证明,以及这种选择带来了什么优势与代价。
- cryptography
- zero-knowledge
- zk-snark
- theory
在加密领域,当人们谈论“零知识证明”时,他们几乎总是指代同一种具体事物:用来证明某项计算被正确执行且不泄露输入的 SNARK 或 STARK。这种思维模型对于大多数工程对话来说已经足够了。但它掩盖了一个重要的区别,当你试图推理安全性实际保证了什么时,这个区别就会变得至关重要。
零知识证明在形式上分为三种类型——完美(perfect)、**统计(statistical)和计算(computational)**零知识证明——它们的区别在于即使拥有无限资源,验证者可能会学到什么。你所交付的系统几乎可以肯定是计算零知识证明。了解其背后的原因以及它能带来什么好处是非常有价值的。
零知识证明的形态
经典设定如下:一个*证明者(prover)希望向验证者(verifier)*证明某个陈述是真实的,而不让验证者学到任何其他信息。这里的“真实”意味着诸如“我知道一个 x 使得 H(x) = y”、“我知道这幅图中的一条路径”或者“我在私有输入上正确执行了这个程序”之类的内容。
非正式地讲,当验证者可以在没有秘密信息的情况下自行生成证明时,这个证明系统就是零知识的。在形式上,这通过**模拟器(simulator)**的存在来体现:一个多项式时间算法,如果只给出公开陈述(没有见证数据 witness),它能够生成一段看起来与真实证明记录难以区分的交互记录(transcript)。
零知识证明的三种类型在“难以区分”的具体含义上有所不同。
完美零知识证明
模拟器的输出与真实证明具有完全相同的分布(identically distributed)。没有任何统计测试、量子计算机上的测试、或者在 $10^{100}$ 年内能够运行的测试,能将模拟器与真实的证明者区分开来。在数学上,这两种分布是相同的。
这是黄金标准。它意味着:即使是计算能力无上限的对手——没有时间限制,不依赖任何计算复杂性假设——也无法从证明中学到任何东西。
统计零知识证明
模拟器的输出在**统计上接近(statistically close)**真实证明。两种分布之间的总变差距离(total variation distance)可以忽略不计。计算能力无上限的对手原则上可能会学到一些东西,但他们能学到的信息量会随着安全参数的增加而呈指数级下降。
在所有实际应用中,统计零知识证明与完美零知识证明一样好。模拟器不需要完全精准地匹配真实分布;它只需要匹配得足够接近,使得任何计算都无法放大两者之间的差距。
计算零知识证明
模拟器的输出与真实证明在计算上难以区分(computationally indistinguishable):没有多项式时间算法能将它们区分开来。计算能力无上限的对手(那些有能力暴力破解底层哈希函数或解决底层困难问题的人)很可能能够区分它们,并可能学到见证数据。
在形式上,这是三种类型中最弱的一种,但它也是几乎所有现代系统实际提供的一种。
为什么几乎所有生产环境的 ZK 系统都是计算零知识证明
这背后隐藏着一个定理:对于 NP 完全(NP-complete)语言,完美零知识证明不太可能存在,除非多项式层次结构崩溃(Goldreich 和 Krawczyk, 1996)。换句话说,如果你想以零知识的方式证明任意陈述——表达能力如“我正确地运行了这个程序”一般的陈述——你就无法在不让证明本身依赖于尚未被证明的复杂性假设的情况下,获得完美的零知识性。
对于任意的 NP 陈述,你可以获得的是:
- 计算零知识证明,前提是单向函数(one-way functions)存在。(Goldreich, Micali, Wigderson 1991。)
- 针对有限类别陈述的统计零知识证明(如随机自归约问题、图同构等),但不适用于一般 NP 问题。
因此,当一个实际的系统(如 Groth16、PLONK、Halo2、STARK、Bulletproofs)宣称它是“零知识”时,它几乎总是指计算零知识证明。在椭圆曲线、哈希函数或其他密码学原语的假设成立的前提下,证明对多项式时间的验证者不泄露任何信息。
如果这些假设被打破——比如,未来的某种算法攻破了某个方案所依赖的椭圆曲线上的离散对数问题——零知识论证就会发生追溯性的弱化。具体会导致什么后果取决于构造方式:攻击者可能能够将真实的证明记录与模拟记录区分开来、伪造证明,或者提取以前受保护的信息。当底层假设失效后,你不应假设旧的计算零知识证明记录仍能保持相同的隐私裕度。
实例演练:承诺方案
承诺方案(Commitment schemes)能让这种区别更加具体化。
承诺大致可以理解为:“我将一个值 v 锁在一个密封的信封 c 中,把信封交给你,然后稍后揭晓 v。你可以验证我揭晓的确实是最初的值,但在我揭晓之前,你无法偷看 v 是什么。”
这里有两个安全属性:
- 隐藏性(Hiding) —— 信封不泄露任何关于
v的信息。 - 绑定性(Binding) —— 我无法将信封打开成除了我最初承诺之外的其他值。
你无法同时完美地拥有这两者。一个具有完美隐藏性的承诺方案在计算上是绑定的(如果有足够的计算能力,攻击者可以找到第二种打开方式)。一个具有完美绑定性的承诺方案在计算上是隐藏的(如果有足够的计算能力,攻击者可以提取出所承诺的值)。
Pedersen 承诺具有完美的隐藏性和计算上的绑定性——即使面对计算能力无上限的攻击者,它们也不泄露任何关于承诺值的信息,但是未来如果离散对数被攻破,你就可以在绑定性上作弊。基于哈希的承诺(c = H(v || r))具有计算上的隐藏性,并且(当哈希抗碰撞时)具有计算上的绑定性。
你需要哪种类型,取决于随着时间的推移,你允许哪个属性被削弱。为了保护投票或竞标的长期隐私,你通常希望拥有完美的隐藏性,即便绑定性只是计算上的保障——因为你可以在离散对数假设被打破之前重新证明绑定性,但你无法对已经被泄露(“去盲”)的投票进行追溯性的补救。
为什么这对 ZK Rollups 和 L2 系统很重要
大多数 ZK Rollup 都使用具备计算零知识属性的 SNARK。这在实践中的意义如下:
- 如今,这些证明不会向任何具有现实计算能力的攻击者泄露任何信息。隐私保障是非常强大的。
- 从长远来看,底层假设保护着什么,这些证明最终就可能会泄露什么。如果一个 Rollup 使用的 SNARK 其安全性依赖于 BN254 离散对数,并且 BN254 在 2050 年被攻破,那么在那之前发布的每一个证明都有可能被去盲(解密)。
- 后量子时代的考量也很重要:基于离散对数的 SNARK(在标准配对曲线上的 Groth16、PLONK)并不具备抗量子安全性。而仅依赖于哈希抗碰撞性的 STARK 则是抗量子的。(见 StarkWare,即确立 STARK 首字母缩写词的论文。)
- 统计或完美零知识证明在受限的环境中(例如,证明某些代数关系)是可行的,当长期的隐私预算比系统的表达能力更重要时,有时会采用它们。
对于匿名投票、举报人渠道以及其他交互记录可能会被归档保存数十年的系统而言,在计算和统计零知识证明之间做选择并不是在钻牛角尖。这关系到你的隐私仅仅能抵御明天的对手,还是能抵御任何时代的对手。
一个简单的决策树
如果你正在为生产环境挑选一个 ZK 系统:
- 只需要防备验证者、数据生命周期短、性能最重要: 选择经过实战检验的 SNARK 或 STARK 提供的计算零知识证明即可。大多数 Rollup、大多数 ZK-KYC 和大多数 ZK-login 都属于此类。
- 注重长期隐私、对审计/合规敏感: 优先选择基于哈希的系统(STARK),或者在底层采用 Pedersen 风格的承诺方案。并将相关假设记录在案。
- 无论计算假设如何都需要可证隐私: 你需要寻找针对受限陈述类的完美或统计零知识证明。请做好放弃一些表达能力或交互性的准备。
天下没有免费的午餐。不同类型的零知识证明在各自的特性和效率之间都需要权衡。关键问题在于你要有意识地做出哪种权衡。
Namefi 是如何考虑此事的
在域名所有权流程中,ZK 最有趣的用途是证明你拥有一个域名,但不泄露具体是哪个域名。利用非常成熟的工具(如 Groth16、PLONK),针对链上注册表的所有权证明可以做成计算零知识证明,这也是当今生产系统所采用的方式。对于更敏感的流程——例如,证明某个域名属于一组受信任的实体集合,但不透露具体属于哪一个——针对受限陈述的统计或完美 ZK 方案可能会派上用场。本文的目的在于让这些权衡变得清晰易懂:选择你真正需要的,并清楚记下你正在买单的系统假设。
参考来源与延伸阅读
- Goldreich, Micali, Wigderson — 不泄露除其有效性之外任何信息的证明 (J. ACM 1991)。
- Goldreich 和 Krawczyk — 论零知识证明系统的组合 (1996)。
- Pedersen — 非交互式与信息论安全的可验证秘密共享 (1991)。
- Ben-Sasson, Bentov, Horesh, Riabzev — 可扩展、透明且抗量子的计算完整性(STARK 论文, 2018)。
- a16z crypto — Justin Thaler 的《证明、论证与零知识》(Proofs, Arguments, and Zero-Knowledge),权威的现代教科书。