零知识证明

Template:NoteTA 密码学中，零知識證明（Template:Lang-en）或零知識協議（Template:Lang）是一方（證明者）向另一方（檢驗者）證明某命題的方法，特點是過程中除「該命題為真」之事外，不泄露任何資訊。因此，可理解成「零洩密證明」。^[1]例如，欲向人證明自己擁有某情報，則直接公開該情報即可，但如此則會將該細節亦一併泄露；零知識證明的精粹在於，如何證明自己擁有該情報而不必透露情報內容。這也是零知識證明的難點。^[2]

若該命題的證明，需要知悉某秘密方能作出，則檢驗者單憑目睹證明，而未獲悉該秘密，仍無法向第三方證明該命題（即單單轉述不足以證明）。待證的命題中，必定包含證明者宣稱自己知道該秘密，但過程中不能傳達該秘密本身。否則，協議完結時，已給予檢驗者有關命題的額外的資訊。此類「知識的零知識證明」是零知識證明的特例，其中待證命題僅有「證明者知道某事」。

交互式零知識證明中，需要各方互動，靠通訊過程證明某方具備某知識，而另一方檢驗該證明是否成立。^[2]

也有某種Template:Le^[3][4]，但證明之所以成立，依賴計算假設（典型假設是理想的密碼雜湊函數）。

Template:Multiple image 以下有一個熟知的故事，總結零知識證明的若干重要概念。故事最早由Template:Link-en及同事發表於Template:單雙書名號轉換。^[5]設有小靜（證明者）和阿嚴（驗證者）兩人。Template:註

故事中，小靜發現洞穴中某扇魔法門的開門暗號。洞穴呈環形，入口在一側，對側則有魔法門隔斷。阿嚴想知小靜是否已知該暗號，但小靜很注重隱私，不希望泄露暗號予阿嚴，也不想全世界知道她有暗號之事。

兩人分別將入口左右兩條通道標示為A路、B路。首先，阿嚴在洞口外，待小靜進入洞內。小靜自行選擇行A路或B路，但阿嚴不准窺視小靜所選為何。然後，阿嚴行入洞穴，均勻隨機喊出A路或B路，表明希望小靜由該方向返回。假若小靜確實知道暗號，則很易達成，因為即使起初所選不是同一條路，她也可以開門通過，從另一條路返回。

然而，若她其實不知道暗號，則祗有一半概率能從阿嚴所選的方向返回，因為阿嚴隨機選A路和B路，恰有一半機會選中起初小靜進入的方向。若兩人重複以上過程，比如連續20次，則小靜靠運氣全部碰巧從正確方向返回的概率极小，为2²⁰分之1。

所以，若小靜連續多次從阿嚴所選的方向返回，則阿嚴可以推斷，小靜很可能知道暗號。

以下考慮第三方的觀點。即使假設阿嚴佩戴隱蔽的鏡頭，錄影所見的整個過程，鏡頭所見亦只有阿嚴喊「A！」小靜從A路返回；或阿嚴喊「B！」小靜從B路返回。此種片段極易由兩人共謀偽造（祗需小靜與阿嚴事前商討多次驗證中阿嚴將選該串A、B的次序），從而對第三方而言，不具說服力，即阿嚴無法藉此向第三方證明小靜知道暗號。事實上，即使錄影換成現場在阿嚴身旁監視亦同，因為兩人可能一早已協調綵排好。

但是，若阿嚴在鏡頭前擲硬幣，然後按該硬幣喊A或B，則協議不再零知識。該段錄影可能足以說服第三方，兩人無法偽造，因為阿嚴難以準確擲出預定的AB次序。於是，雖然證明過程沒有泄露暗號予阿嚴，但是阿嚴可藉此說服世人，證明小靜知道暗號，與小靜起初的意欲完全相反。不過，數碼的密碼學中，「擲硬幣」以伪随机数生成器實作，類似於一枚結果已預定好的硬幣，但該結果（由其Template:Le決定）僅有硬幣主人知道。若阿嚴的硬幣實際是以此法運作，則協議又回復為零知識協議，因為兩人又有可能共同偽造「實驗」結果，所以使用偽隨機數生成器與擲真硬幣不同，前者不會向世人泄露小靜知道暗號。

還有另一種做法，小靜以獨一次實驗已可向阿嚴證明自己知道暗號，而不泄漏。方法是，兩人一同走入洞口，然後阿嚴目送小靜沿A路走，沒有原路折返，但從B路返回。如此，小靜必然已向阿嚴證明自己知道暗號，而沒有告知阿嚴暗號。不過此種證明亦非零知識：若第三方觀察到過程，或阿嚴有錄影，則該證明對第三方具說服力。換言之，小靜無法宣稱自己與阿嚴串通，所以無法向第三方說該證明無效。如此，小靜無法控制何人得知她擁有暗號之事。

零知識證明要具備下列三種性質：

完備（Template:Lang）

若所要證之事為真，則誠實（意即依協議行事）的證明者能說服誠實驗證者。

健全（Template:Lang）

若命題為假，則作弊證明者僅得極小機會能說服誠實驗證者該事為真。

零知識（Template:Lang）

若命題為真，則驗證者除此之外，過程中沒有得悉任何其他資訊。換言之，僅知命題為真（而不知祕密本身）已足以「想像」出一個交互的情境，其中證明者的確知道該秘密。此性質能嚴格定義為：每個驗證者皆有相應的模擬器，輸入欲證事實時，無需求助於證明者，已可輸出一套通訊謄本，看似誠實驗證者與證明者的通訊記錄。

前兩種性質，更廣義的交互式證明系統亦應具備。第三種性質使該交互證明稱為零知識。

零知識證明不算數學證明，因為尚允許有很少（但非零）概率，令作弊證明者能向驗證者「證明」假命題。該概率稱為可靠度誤差（Template:Lang）。換言之，零知識證明是概率「證明」，而非決定性。不過，也有技巧將可靠度誤差壓到忽略不計。

零知識的嚴格定義，需要抽象計算模型，如常見的图灵机。設${\displaystyle P}$、${\displaystyle V}$、${\displaystyle S}$為三部圖靈機。某語言${\displaystyle L}$的交互式证明系统Template:註${\displaystyle (P,V)}$為零知識，意思是對任意概率多項式時間（Template:Lang）驗證者${\displaystyle \hat{V}}$，皆有PPT模擬器${\displaystyle S}$使得：

${\displaystyle \mathrm{\forall }x\in L,z\in \{0,1{\}}^{*},{\mathrm{View}}_{\hat{V}}[P(x)\leftrightarrow \hat{V}(x,z)]=S(x,z)}$

其中${\displaystyle {\mathrm{View}}_{\hat{V}}[P(x)\leftrightarrow \hat{V}(x,z)]}$是${\displaystyle P(x)}$與${\displaystyle \hat{V}(x,z)}$間交互的全記錄。證明者${\displaystyle P}$通常假設具無限計算能力（實踐上，常為機率圖靈機）。直觀理解，某交互證明系${\displaystyle (P,V)}$為零知識，即對任意驗證者${\displaystyle \hat{V}}$，皆存在某高效模擬器${\displaystyle S}$（視乎${\displaystyle \hat{V}}$而定），給定任何輸入，可以重現${\displaystyle P}$與${\displaystyle \hat{V}}$間的對話。定義中的輔助串${\displaystyle z}$，是用作放置任何「前備知識」（包括預知${\displaystyle \hat{V}}$運行時擲得的硬幣結果）。定義推出，${\displaystyle \hat{V}}$不能利用預知串${\displaystyle z}$從與${\displaystyle P}$的對話中發掘出資訊，因為若給予${\displaystyle S}$該串，則也同樣可以重現${\displaystyle \hat{V}}$與${\displaystyle P}$間的對話。

以上為完美零知識的定義。若將定義中，驗證者${\displaystyle \hat{V}}$的視角（Template:Lang）與模擬相等之要求，改為僅要求Template:Link-en，則得到計算零知識的定義。

前段概念適用於較實際的密碼學場景。設小靜欲向阿嚴證明，自己知道某群某指定元素的离散对数。^[6]

例如，給定數${\displaystyle y}$、质数${\displaystyle p}$、生成元${\displaystyle g}$，小靜希望證明自己知道某數${\displaystyle x}$使${\displaystyle g^{x}modp=y}$，而不泄漏${\displaystyle x}$。事實上，知曉${\displaystyle x}$之事，本身可用作身份證明，即小靜可藉此證明該${\displaystyle y}$值是由她先暗中選某隨機值${\displaystyle x}$，再計算${\displaystyle y=g^{x}modp}$，公諸所有潛在的驗證者。如此，若某人證明自己知道${\displaystyle x}$，則相當於證明自己即小靜，因為學者相信離散對數很難計算，即其他人無法從${\displaystyle y}$倒推出${\displaystyle x}$值。

證明協議如下：每輪，小靜預備隨機數${\displaystyle r}$，計算${\displaystyle C=g^{r}modp}$，將該值傳予阿嚴。收到${\displaystyle C}$後，阿嚴隨機請求下列兩者之一：小靜公開${\displaystyle r}$值，或${\displaystyle (x+r)mod(p-1)}$值。單獨看任何一個值，其分佈皆是均勻隨機，所以協議每輪皆不泄露任何機密。

阿嚴可以驗證所得回應。若問${\displaystyle r}$，則可以計算${\displaystyle g^{r}modp}$，檢查是否等於${\displaystyle C}$。若問${\displaystyle (x+r)mod(p-1)}$，則可以計算${\displaystyle g^{(x+r)mod(p-1)}modp}$，而該值應當等於${\displaystyle C\cdot ymodp}$，所以亦驗證${\displaystyle C}$值是否滿足該條件。若小靜確實知道${\displaystyle x}$值，理應很易回答阿嚴的任一條問題。

若小靜預知阿嚴採用何種盤問，則很易作弊，在不知${\displaystyle x}$的情況下，向阿嚴假裝自己知道${\displaystyle x}$：若她知道阿嚴將要問${\displaystyle r}$，則如常繼續，選${\displaystyle r}$，計算${\displaystyle C=g^{r}modp}$，告知阿嚴${\displaystyle C}$值；她可以答出${\displaystyle r}$值。另一方面，若她知道阿嚴將問${\displaystyle (x+r)mod(p-1)}$，則取隨機一個${\displaystyle r^{\prime }}$值，計算${\displaystyle C^{\prime }=g^{r^{\prime }}\cdot {\left(g^x\right)}^{-1}modp}$，然後發送${\displaystyle C^{\prime }}$值予阿嚴（阿嚴會以為該值為${\displaystyle C}$值）。當阿嚴要求公開${\displaystyle (x+r)mod(p-1)}$值時，小靜公開${\displaystyle r^{\prime }}$，但這足以讓阿嚴驗證結果，因為他計算的值實為${\displaystyle g^{r^{\prime }}modp}$，是等於${\displaystyle C^{\prime }\cdot y}$，因為${\displaystyle C^{\prime }}$正是小靜一早乘上${\displaystyle y}$的逆元而計出。

然而，若有某輪驗證中，阿嚴的問題與小靜預估的有出入，則小靜無法計算出要答的結果（假定該群的離散對數問題難解）。若她揀選${\displaystyle r}$並公開${\displaystyle C=g^{r}modp}$，則無法作弊給出服眾的${\displaystyle (x+r)mod(p-1)}$值來通過阿嚴的檢查，因為不知道${\displaystyle x}$。又若她揀選${\displaystyle r^{\prime }}$值，偽裝成${\displaystyle (x+r)mod(p-1)}$，則要回答公開值的離散對數，但她無法回答，因為該值是由已知值乘出，而非某已知值以${\displaystyle g}$為底的冪，所以她不能計出其離散對數

所以，作弊的證明者僅得${\displaystyle 1/2}$概率通過某輪驗證。重複足夠多輪，成功作弊的概率可壓到任意小。

小靜要證知道${\displaystyle x}$值（如其密碼）。

1. 小靜與阿嚴約定某質數${\displaystyle p}$，及域${\displaystyle \mathbb{Z}/p\mathbb{Z}}$的乘法生成元${\displaystyle g}$。
2. 小靜計算${\displaystyle y=g^{x}modp}$，傳送予阿嚴。
3. 重複以下步驟若干次：
   1. 小靜選某個均勻隨機數${\displaystyle r\in U[0,p-2]}$，計算${\displaystyle C=g^{r}modp}$，傳送${\displaystyle C}$予阿嚴。
   2. 阿嚴問小靜${\displaystyle (x+r)mod(p-1)}$或${\displaystyle r}$，二選其一。若問前者，則阿嚴驗證${\displaystyle (C\cdot y)modp\equiv g^{(x+r)mod(p-1)}modp}$。若問後者，則他驗證${\displaystyle C\equiv g^{r}modp}$。

${\displaystyle (x+r)mod(p-1)}$之值，可視為${\displaystyle xmod(p-1)}$的加密。若${\displaystyle r}$確為隨機，在${\displaystyle 0}$至${\displaystyle (p-2)}$間均勻分佈，則${\displaystyle (x+r)mod(p-1)}$也同樣均勻分佈，所以不會泄漏任何關於${\displaystyle x}$的資訊（見一次性密碼本）。

下列方案是曼紐爾·布盧姆提出。^[7]

此場境中，小靜知道某大圖${\displaystyle G}$的哈密頓環。阿嚴知道${\displaystyle G}$但不知該環（比如說小靜將該圖列印給阿嚴）。一般相信，找大圖的哈密頓環，在計算上並不可行，因為相應的決定問題已證為NP完全。小靜欲證自己知道該環，但不想泄漏出去，原因可能是阿嚴打算向小靜買，但付款前希望先驗證小靜知道；也可能是全世界衹得小靜知道該環，所以小靜向阿嚴證明此事，是為向阿嚴核實自己身份。

小靜為證明自己知道哈密頓環，與阿嚴作若干輪驗證。每輪中：

• 一開始，小靜預備圖${\displaystyle H}$，是與${\displaystyle G}$同構（即${\displaystyle H}$與${\displaystyle G}$一樣，但頂點的標籤不同）。若小靜知道${\displaystyle G}$的哈密頓環，則因為${\displaystyle H}$與${\displaystyle G}$間的同構由她揀選，她很易找到${\displaystyle H}$中對應的哈密頓環。
• 小靜秘諾${\displaystyle H}$。此處可選任意密碼學Template:Link-en，甚或直接將${\displaystyle H}$的頂點編號，然後對${\displaystyle H}$的每條邊，將兩端編號寫在小紙片上，反轉蓋在枱面。總之，秘諾目的是使小靜此後無法竄改${\displaystyle H}$，但同時不讓阿嚴提早知道${\displaystyle H}$的資訊。
• 阿嚴隨機問小靜以下兩事之一：給出${\displaystyle H}$與${\displaystyle G}$間的同構（見Template:Le）；或給出${\displaystyle H}$的哈密頓環。
• 若問兩圖的同構，則小靜先展示${\displaystyle H}$（將枱面全部紙翻開），並給出${\displaystyle G}$頂點與${\displaystyle H}$頂點的對應表。阿嚴可以驗證該對應關係是否滿足圖同構的條件。
• 若問哈密頓環，則小靜衹翻開在${\displaystyle H}$的哈密頓環上的紙片。如此，阿嚴已可驗證${\displaystyle H}$有哈頓頓環。

秘諾一步必須使阿嚴在第二種情況能驗證該環確實由${\displaystyle H}$的邊構成。一種做法是，逐條邊分別秘諾。

若小靜確知${\displaystyle G}$中的哈密頓環，則阿嚴詢問同構時，她很易回答（該同構為她所選），而阿嚴問${\displaystyle H}$中的哈密頓環時，她同樣很易回答（${\displaystyle G}$有哈密頓環，${\displaystyle G}$與${\displaystyle H}$間的同構為所她選，所以可以找到${\displaystyle H}$中對應的環）。

若小靜不知哈密頓環，則衹能預先猜測阿嚴會問何種問題，相應準備某個與${\displaystyle G}$同構的圖，或另一個不相關的哈密頓圖。然而，因為她不知${\displaystyle G}$的哈密頓環，所以無法同時做兩件事。於是，若以上驗證重複${\displaystyle n}$次，則小靜蒙混過關的概率僅得${\displaystyle 2^{-n}}$，從而實際意義上，衹需合理多輪驗證，已使造假者寸步難行。

小靜的回答不泄漏原圖${\displaystyle G}$的哈密頓環，因為每一輪，阿嚴衹會得悉${\displaystyle H}$與${\displaystyle G}$的同構，或是${\displaystyle H}$的哈密頓環，兩者之一，但他需要對同一個${\displaystyle H}$同時得知兩者，纔能構造出${\displaystyle G}$中的哈密頓環。如此，衹要小靜每輪預備一幅不同的圖${\displaystyle H}$，就能保密。若小靜不知${\displaystyle G}$的哈密頓環，但不知為何已事前得知阿嚴每輪會問的問題，則她可以作弊。例如，若小靜預知阿嚴該輪會問${\displaystyle H}$的哈密頓圖，則大可以祕諾一幅與${\displaystyle G}$無關的哈密頓圖。與之類似，若小靜預知阿嚴會問同構表，則她可以隨便預備一幅與${\displaystyle G}$同構的圖${\displaystyle H}$（其中她不知道任何哈密頓圖）。阿嚴根本無需小靜在場，亦可獨自想像出自己將見的場面，因為他清楚自己將會問甚麼，將見的僅是一個環（而不顯示圖的其他部分）或一幅與${\displaystyle G}$同構的圖，即阿嚴可以自行模擬該協議。因此，阿嚴從每一輪驗證揭露之事，無法得到任何關於${\displaystyle G}$哈密頓環的資訊。

「零知識」的定義有若干變形，分別在於如何嚴謹定義模擬結果「看似」真實的交互記錄：

完美零知識（Template:Lang）

模擬器與真正交互產生的概率分佈完全相等。離散對數範例即屬此類。

統計零知識（Template:Lang）

兩個分佈並非完全相等，但Template:Link-en，即有某個可忽略函數，使該兩列分佈Template:註在任意集合取值的概率差，皆小於該函數。^[8]

計算零知識（Template:Lang）

無高效算法分辨兩個分佈。

零知識證明的研究，是受身份驗證系統啟發。驗證時，一方要向另一方證明自己身份，通常藉賴證明自己持有某種袐密（如通行密碼），但不希望對方知悉該袐密，稱為零知識Template:Le。不過，通行密碼一般不是太短，就是不夠隨機，不能用於許多零知識知識證明方案。Template:Le就是有考量密碼長度限制的一類零知識知識證明。Template:Cn

2015年4月，Sigma協議（「其中之一」證明，Template:Lang-en）面世。^[9]2021年8月，美國網絡基建、安全公司Cloudflare採用該種證明機制，以Template:校對翻譯句為私人網絡提供驗證服務。^[10]

密碼學協議之中使用零知識證明，可以在不退讓隱私的情況下，確保各方誠實。粗略言之，方法是迫用戶零知識地證明，其所作所為是依足協議。^[11][12]由健全性，用戶必先確實跟從協議，纔能服眾。又由於證明是零知識，此過程並無犠牲用戶的隱私。

2016年，普林斯頓電漿物理實際室與普林斯頓大學展示一個技巧，或許適用於未來的核裁軍談判。其特點是，無需揭露某物件內部的機密構造，亦可允許督查員判斷該物件是否核武器。^[13]

零知識證明用於Template:Link-en與大零幣協議中，最終於2016年發展成Template:Link-en^[14]（2020年改稱Template:Le）^[15]和大零幣兩種加密貨幣。小零幣內置有混幣模型，以確保匿名，且該模型無需信任任何對等用戶或中央集權混幣者。^[14]用戶可以用另一種基準幣交易，也可以將該幣賣出買入小零幣。^[16]Template:Rp大零幣協議的模型也類似（該變式稱為Template:Link-en）^[17]，而且可以掩蓋交易額，但小零幣則不能。大零幣的交易數據如此隱密，所以與小零幣相比，較不易受到隱私Template:Le。不過，此層額外隱私，可能導致不能追蹤假幣，倘因此造成大零幣供給的超通漲，可能無法偵測到。^[14][18]

2018年，防彈證明（Template:Lang）面世。其改進自非交互式零知識證明，不再需要可信的安裝環境。^[19]其後，實作成「結舌」協議（Template:Lang，Template:Lang和Template:Lang兩種加密幣皆出自該協議）和门罗币。^[20]2019年，飛熔幣實作Template:Link-en，是對應小零幣協議無可信環境的改進。^[21][9]同年，飛熔幣引入萊蘭托斯協議（Template:Lang），更自Sigma協議改進，隱去交易的源頭與金額。^[22]

零知識證明最早由莎菲·戈德瓦塞尔、希爾維奧·米卡利、Template:Link-en三人於1985年發表，論文題為Template:單雙書名號轉換。^[11]該論文引入交互式证明系统的Template:Le，並構想出「知識複雜度」概念，衡量證明過程中，由證明者傳遞予驗證者的知識量。三人亦給出首個具體問題的零知識證明，即零知識地證明某數不是模 m 的二次剩余。連同Template:Link-en與Template:Link-en的另一篇論文，戈-米-拉三氏的論文發明了交互式證明系統。為此，五人同獲1993年首屆哥德尔奖。

引述戈-米-拉三氏：

該額外知識基本為0的情況尤其值得關注。我等證明，可以交互地證明某數非模 m 的二次剩餘，而釋出零額外知識。其出奇之處是，若不給定 m 的分解，則無高效算法判別某數是否模 m 的二次剩餘。更甚者，任何已知的NP證明皆要表明 m 的質因數分解。這就表明，在證明過程中添加互動，可能減少證明某定理所必須交流的知識。 Template:註

二次非剩餘問題既有NP算法又有反NP算法，故位處NP與反NP兩類之交集中。其後找到有零知識證明的若干個問題，亦具同樣的性質，例如Template:Link-en未經正式出版的證明系統，可以驗證某數（為兩個未知質數之積）不是Template:Link-en，即並非兩個模4餘3的質數之積。^[23]

Template:Link-en、希爾維奧·米卡利、阿维·威格森更進一步證明，假定存在無懈可擊的加密法，則可以造出三色圖着色問題的零知識證明系統，而該問題本身為NP完全。又因為每個NP問題都可以高效化歸成該NP完全問題，所以在前述假定下，所有NP問題皆有零知識證明。^[24]需要該假定的原因是，正如前節範例，需要有秘諾的手段。若存在單向函數，則的確有牢不可破的加密法。此為廣泛引用的充分條件。另外也可能有物理方法實作。

更上一層樓，他們亦證明，Template:Le，即Template:Link-en之Template:Link-en，有零知識證明。該問題已知屬於反NP，但未知是否屬於NP或其他實際可行的複雜度類。更一般地，Template:Link-en、Template:Link-enTemplate:譯名請求二人，與米高·本-奧爾（Template:Lang）及同事，兩組證明：同樣假設存在單向函數或牢不可破的加密，則任何屬於IP（已證等於PSPACE）的問題，皆有零知識證明。換言之，任何命題若可藉交互系統證明，則可零知識證明。^[25][26]

許多理論家不希望假設不必要的條件，所以試圖在不假定單向函數的條件之下，證明同樣的結論。有種做法稱為「多證明者交互式證明系統」（見交互式证明系统），即有多個獨立的證明者，而非僅得一個。驗證者可以將證明者逐個孤立，然後詰問，以免被作弊證明者誤導。無需任何難解假設，已可證明在此系統中，任何NP問題皆有零知識證明。^[27]

後來發現，互聯網等同時執行多個協議的環境中，較難構造零知識證明。研究並行零知識證明的先驅是Template:Link-en、Template:Link-en、Template:Link-en。^[28]此類研究之中，重要成果有Template:Link-en協議。與零知識相比，其性質較弱：可能有多種證據供證明者選擇採用何者作證，此時僅要求驗證者無法分辨證明者選擇為何Template:註，但證明者可以泄漏部分資訊，如全體證據組成的集合。儘管失去零知識性質，但此類協議的好處是，並行時不會遇到此前提及的問題。^[29]

變式尚有Template:Link-en。曼纽尔·布卢姆、保羅·費爾德曼（Template:Lang）、米卡利證明，若證明者與驗證者共有一條隨機字串，則可以達成計算零知識，而毋須交互。^[3][4]

• Template:Link-en：給定${\displaystyle f(x)}$與${\displaystyle f(y)}$，無需知道${\displaystyle x}$、${\displaystyle y}$，已可計算${\displaystyle f(x\times y)}$。
• 安全多方计算：各方的輸入值保密，但共同計算出該些輸入對應的結果。
• Template:Link-en：可以簽署某文件，使圈外人無法得悉由圈內何人署名，衹知圈內有某人署名。
• Template:Link-en
• 密碼學協議
• Template:Link-en
• 密碼學諸主題

Template:備註表

Template:Reflist

Template:密碼貨幣