理解 zk-SNARKs 和 zk-STARKS 的区别

SNARK 和 STARK 是零常识证明技能，答应一方在不泄漏任何进一步信息的状况下向另一方证明陈述是真实的。

零常识证明 (ZKP) 引起了广泛关注，因其在增强安全性、保护用户隐私和支持第 2 层网络扩展方面都有很大的潜力。

ZKP 使一方能够向另一方证明声明是真实的，而无需泄漏任何其他信息。ZKP 既有利于添加隐私——由于它们减少了各方之间共享的信息量——也有利于可扩展性，由于它只需求证明而非整个数据集被验证，这样验证速度会更快。

两个最受关注的零常识证明系统是 SNARK 和 STARK。在本文中，咱们将深入探讨它们是什么、它们如何作业以及它们的首要差异。

SNARK 是什么?

zk-SNARK 全称 Zero-Knowledge Succinct Non-interractive Argument of Knowledge（零常识简洁非交互式常识论证）——它们是在 2012 年由 Nir Bitansky、Ran Canetti、Alessandro Chiesa 和 Eran Tromer 合著的一篇论文中介绍的。SNARK 使一方能够在不走漏隐秘的状况下向另一方证明他们知道隐秘。

zk-SNARKs 能够作为零常识证明协议添加到分布式账本解决方案中，以增强隐私性和可扩展性。Zcash 是 zk-SNARKs 的第一个广泛运用，运用该技能来创立屏蔽买卖（shielded transaction），其中发送者、接收者和金额都是保密的。Zcash 中的屏蔽买卖能够在区块链上彻底加密，但仍然能够经过运用 zk-SNARKs 在网络的共识规则下验证为有效。

一些 SNARK 的一个重要特点是它们要求装备进程是可信任的——在这个进程中，隐私买卖的证明和生成证明的密钥会被创立。如果在事件期间用于创立这个密钥的隐秘没有被毁掉，它们或许被用来创立虚伪证明。在涉及加密财物的场景中，这将使参与者能够假造买卖或随便铸造新通证。由于 SNARKs 固有的隐私性，所以无法验证假造的证明是否确实是假造的。

SNARK 的安全级别是经过为找到虚伪陈述的证据而有必要完结的作业量来衡量的。换句话说，如果 SNARK 在核算上无法产生令人信服的虚伪陈述证明，那么它就是安全的。关于需求可信设置才能被以为是安全的 SNARK，典礼中至少有一名参与者有必要生成并毁掉一个 trapdoor，如果与其他 trapdoor 结合运用的话，否则就有或许危及 SNARK 的安全性。因而，受信任的设置通常需求许多参与者一起运行，以使这种状况发生的或许性足够低。

虽然可信设置仅在开始需求且仅适用于某些 SNARK，但根据 SNARK 的网络的用户有必要信任可信设置的典礼（ceremony）已正确履行，而且隐秘已被毁掉而且不被创立事件的参与者持有。对这种典礼的依靠一直是一些 SNARK 的备受批评的范畴，以为它是潜在的安全缺点。

一些 SNARK 的另一个约束是它们不被以为是抗量子的。SNARK 的支持者以为，如果量子核算机开始对 SNARK 构成威胁，密码学范畴将面对更大的问题。此外，一些 SNARK 或许会在未来升级为抗量子的。

STARK 是什么?

zk-STARK 全称 Zero-Knowledge Scalable Transparent Argument of Knowledge（零常识可扩展通明常识论证），是一种零常识证明系统，在 Eli Ben-Sasson、Iddo Bentov、Yinon Horesh 和 Michael Riabzev 于 2018 年发表的一篇论文中作为 SNARK 的替代方案被引入。正如论文中所述，STARK（更广泛地说，ZKP）能够为社会带来很大的好处：

“人们的个人信息，例如医疗和法医数据需求保持私有，这是一种人的庄严。但是，旨在保护隐私的面具也或许被委托数据的组织滥用以掩盖谎言和欺骗，从而不公正地伤害公民并削弱对中心组织的信任。零常识 (ZK) 证明系统是一种奇妙的加密解决方案，能够解决个人隐私和组织完整性之间的严重关系，能够在不危害前者的状况下加强后者。”

STARK 支持 StarkWare 的可扩展性技能。经过使开发人员能够在链下进行存储和核算，STARK 提高了可扩展性，由于验证链下核算准确性的 STARK 证明能够由链下服务生成，然后发布在链上。

STARK 答应区块链将核算转移到某个链下 STARK 证明者，然后运用链上 STARK 验证者验证这些核算的完整性。Layer-2 网络能够经过运用 STARKs 在单个批次中核算大量买卖，然后运用单个 STARK 证明来承认买卖在链上的有效性，从而完成可扩展性。批次中的所有买卖均分管链上操作的本钱，为第 2 层网络上的每笔买卖供给低 gas 本钱。

重要的是，由于验证者运用的随机性是揭露可用的，而且能够在不依靠任何外部参数的状况下验证证明，因而 STARK 不需求可信设置典礼。

比照 SNARKs 和 STARKs

SNARKs 和 STARKs 都有各自的优势，两者之间的挑选取决于用户的具体用例需求。相同重要的是要注意，SNARK 和 STARK 都是正在积极研究的顶级零常识证明技能，因而对它们进行比较还需求考虑该范畴的继续前进和发现。

支持者以为 SNARK 更高效、更快速，由于它们能够在几毫秒内得到验证。然而，这种功率是有代价的，由于一些 SNARK 依靠的可信设置典礼，有安全薄弱的环节。这意味着证明中运用的初始参数有必要在安全环境中生成，参数的任何走漏都或许导致安全漏洞。

STARKs 不需求可信设置，从而供给更强的安全性，但或许需求更长的时间来验证，因而被以为功率较低。STARK 的证明数据的大小比 SNARK 的大，这意味着验证 STARK 或许比 SNARK 花费更多的时间而且耗费更多的 gas。另一方面，由于能够在不依靠任何外部参数的状况下验证 STARKs 的证明，因而 STARKs 比 SNARKs 更简单审计，虽然这或许取决于具体的实施方法。与大多数 SNARK 不同，STARK 依靠于被以为是抗量子的哈希函数。

SNARK 开始比 STARK 被更广泛选用的原因有几个，虽然其中一些具有与可信设置典礼相关的潜在安全缺点。SNARK 比 STARK 早六年开发，这有助于它们在选用方面抢先一步。

零常识证明带来可扩展性的指数级增长

零常识证明是区块链生态系统的基础技能，有助于提高可扩展性，一起有助于保护个人隐私和组织的完整性。zk-SNARKS 和 zk-STARKS 处于这场革命的最前沿，它们都旨在解锁以前公链中无法完成的用例，鼓励立异并帮助发明更高效的全球经济。