零知识证明

定义

零知识证明（Zero—Knowledge Proof）起源于最小泄露证明。

• 设 P（Prover）表示掌握某些信息，并希望证实这一事实的实体；
• 设 V（Verifier）是验证这一事实的实体。

假如某个协议向 V 证明 P 的确掌握某些信息，但 V 无法推断出这些信息是什么，我们称 P 实现了最小泄露证明。

如果 V 除了知道 P 能够证明某一事实外，不能够得到其他任何知识，我们称 P 实现了零知识证明，相应的协议称作零知识协议。

零知识证明需要满足以下性质：

1. 正确性：P 无法欺骗 V。换言之，若 P 不知道一个定理的证明方法，则 P 使 V 相信他会证明定理的概率很低。

2. 完备性：V 无法欺骗 P。若 P 知道一个定理的证明方法，则 P 使 V 以绝对优势的概率相信他能证明。

3. 零知识性：V 无法获取任何额外的知识。

本质

零知识证明并不是数学意义上的证明，因为它存在小概率的误差，欺骗者有可能通过虚假陈述骗过证明者。换句话来说，零知识证明是概率证明而不是确定性证明。但是也存在有技术能将误差降低到可以忽略的值。

举例

1. 16 世纪的文艺复兴时期，意大利有两位数学家为竞争一元三次方程求根公式发现者的桂冠，就采用了零知识证明的方法。当时，数学家塔尔塔里雅和菲奥都宣称自己掌握了这个求根公式，为了证明自己没有说谎，又不把公式的具体内容公布出来，他们摆开了擂台：双方各出 30 个一元三次方程给对方解，谁能全部解出，就说明谁掌握了这个公式。比赛结果显示，塔尔塔里雅解出了菲奥出的全部 30 个方程，而菲奥一个也解不出。于是人们相信塔尔塔里雅是一元三次方程求根公式的真正发现者，虽然当时除了塔尔塔里雅外，谁也不知道这个公式到底是个什么样子。

2. 稣吹牛说自己掌握椭圆曲线的除法，即可以通过公钥计算私钥。

公钥 = G * 私钥

私钥 = 公钥 / G

但是这个技术价值千亿美元，稣当然不可能开源，所以稣把中本聪的私钥算出来，然后：

稣 != 中本聪

=> 稣没有中本聪的私钥

=> 中本聪的私钥是计算出来的

=> 稣定义了椭圆曲线的除法

注意：这个除法目前并不存在，只是吹牛。

参考

大海捞针是不靠谱的：https://thippo.github.io/