Що таке доказ із нульовим розголошенням і як він застосовується у світі криптовалют?

Чи доводилося вам колись надавати фінансові або медичні документи, що містять чутливу особисту інформацію, лише для того, щоб довести, що ви можете дозволити собі кредит або не маєте серйозних проблем зі здоров’ям? Уявіть, що ви здатні довести свою фінансову стабільність або хороший стан здоров’я, не розкриваючи зайвої особистої інформації — наприклад, що ви витратили 100$ на Nutella чи нещодавно забили коліно, впавши з велосипеда. Це наочний приклад і водночас потенційний варіант застосування доказів із нульовим розголошенням.

Що таке доказ з нульовим розголошенням (ZKP)?

Як ви могли здогадатися з нашого прикладу, доказ із нульовим розголошенням (ZKP) — це метод підтвердження істинності твердження без розкриття його змісту.

Припустимо, ви щойно розгадали сьогоднішнє слово у Wordle (так, у цю гру все ще грають) раніше за своїх друзів. Замість того щоб називати слово, ви просто надсилаєте зображення з результатами Wordle — п’ять зелених квадратів підряд, які свідчать про вашу перемогу. Отже, усі, хто побачить це зображення, зрозуміють, що ви вгадали слово, але ніхто не дізнається, яке саме це слово, якщо не знали його заздалегідь. Ще зручніше те, що достатньо один раз опублікувати це зображення у своєму Twitter — і всі знатимуть, що ви розв’язали головоломку, без жодної подальшої взаємодії з вами (їм навіть не потрібно знати вас особисто). Це називається неінтерактивним ZKP — на відміну від інтерактивних ZKP, де верифікатор (перевіряючий) і прувер (той, хто доводить) обмінюються повідомленнями для підтвердження істинності твердження.

Не секрет, що цей складний механізм — як інтерактивний, так і неінтерактивний — відкриває безліч нових цікавих варіантів застосування, особливо в галузях, де конфіденційність має вирішальне значення, насамперед у криптовалюті. Двома найвідомішими досягненнями в цій галузі є zk-SNARK і zk-STARK.

Порівняння zk-SNARK і zk-STARK

zk-SNARK розшифровується як zero-knowledge Succinct Non-Interactive Argument of Knowledge (короткий неінтерактивний аргумент знання з нульовим розголошенням). Його ключова особливість — неінтерактивність: будь-хто може перевірити доказ, не вступаючи у діалог із користувачем, який надає докази. zk-SNARK означає «короткий неінтерактивний аргумент знань із нульовим розголошенням», головна особливість якого полягає в неінтерактивності — будь-хто може перевірити твердження, не взаємодіючи з тим, хто його доводить.

В основі моделі безпеки zk-SNARK лежать випадкові еліптичні криві. Для запуску протоколу з використанням zk-SNARK необхідна довірена початкова установка. Це передбачає створення приватних ключів, які згодом використовуються для генерування доказів транзакцій і їхньої верифікації. Через це zk-SNARK залишаються вразливими до квантових атак і витоків приватних ключів. Проте zk-SNARK здатні суттєво зменшувати розмір блоків і витрати газу, а з моменту їх появи у 2012 році вони об’єднали навколо себе велику спільноту розробників і користувачів.

zk-STARK, що розшифровується як «масштабований прозорий аргумент знання з нульовим розголошенням», був представлений у 2018 році. Як випливає з назви, zk-STARK зосереджені на масштабованості та прозорості. На відміну від zk-SNARK, де час створення та перевірки доказів зростає лінійно зі збільшенням розміру свідка, у zk-STARK цей процес відбувається квазілінійно, що робить їх значно ефективнішими та гнучкішими під час обробки великих обсягів даних. Крім того, zk-STARK використовують публічно перевірену випадковість і криптографічні хеш-функції, що усуває потребу в початковому довіреному налаштуванні, – завдяки цьому вони є квантово стійкими.

Тим не менш, zk-STARK генерують значно об’ємніші докази та потребують набагато більших обчислювальних ресурсів, що призводить до підвищених витрат газу та збільшує час верифікації. У zk-STARK також помітно менше розробників і навчальних матеріалів порівняно зі «старшим братом».

Які варіанти використання ZKP у криптовалюті?

Підтвердження особи

Жодна інша категорія не містить такої концентрації конфіденційних даних, як персональні дані. Традиційно, щоб підтвердити особу, користувач, що надає докази, (тобто ви) повинен надати верифікатору всі свої дані — як релевантні, так і не дуже — у найдрібніших подробицях.

З ZKP усе інакше: ви генеруєте спеціальні облікові дані, які слугують доказом володіння та підтвердженням достовірності вашої особи. Верифікатору достатньо виконати лише кілька обчислень, щоб переконатися в їхній дійсності, замість того щоб вимагати повного доступу до всіх ваших особистих даних.

Дерево Меркла для підтвердження резервів

Дерево Меркла — це бінарне дерево, в листках якого зберігаються дані. Кожен лист має власний хеш, а ці хеші об’єднуються в ноди та повторно хешуються доти, доки не залишиться один єдиний хеш — кореневий.

Верифікатору достатньо отримати лише кілька хешів із різних гілок, щоб переконатися в цілісності всього дерева, не обробляючи мільйони окремих записів 1s і 0s. Цей підхід широко застосовується для підтвердження того, що біржа має достатні резерви та не використовує кошти клієнтів у сумнівних цілях.

Bitget завжди надає пріоритет інтересам клієнтів, і наш документ Підтвердження резервів, створений за схемою Дерева Меркла, доступний для перевірки кожному.

Докладніше про це ви можете дізнатися у статті Дерево Меркла.

Zk-rollups

Ролап (rollup) — це рішення для масштабування, яке об’єднує велику кількість транзакцій в одну. Це дозволяє здійснювати транзакції значно швидше та дешевше, ніж, наприклад, у мейннеті Ethereum. Серед рішень для ролапів в екосистемі Ethereum існують два основні підходи: оптимістичні та з нульовим розголошенням. На останньому підході ми й зосередимося в цій статті.

Зведення з нульовим розголошенням (zk-rollups) виконують обчислення офчейн і надсилають ончейн лише доказ валідності — «підсумок» усіх об’єднаних транзакцій. Щойно цей доказ буде верифіковано ончейн, усі транзакції фіналізуються одночасно.

На ринку рішень для zk-ролапів в екосистемі Ethereum є кілька великих гравців. Polygon оголосив, що бета-версія їхнього мейннету zkEVM буде запущена наприкінці березня. У відповідь zkSync відкрив реєстрацію розробників у своєму мейннеті лише через день після оголошення Polygon.

Інші помітні учасники перегонів: Loopring — децентралізована біржа з високою пропускною спроможністю та низькими витратами на розрахунки завдяки використанню zk-rollup; Immutable X — рішення рівня 2 (Layer 2) для NFT, що забезпечує практично миттєві транзакції без комісій за газ завдяки технології zk-rollups.

Зареєструйтесь і почніть торгувати Polygon, Loopring, Immutable X, Mina та іншими токенами у світі нульового розголошення.

Відмова від відповідальності: погляди, висловлені в цій статті, надані лише для ознайомлення. Цю статтю не варто вважати схваленням будь-яких продуктів і послуг, що обговорювалися, або інвестиційною, фінансовою чи торговою порадою. Перш ніж приймати фінансові рішення, необхідно проконсультуватися з кваліфікованими фахівцями.