隐私一直是加密货币社区中非常重视的特性，它是可替代性（fungibility）的前提，而可替代性对于一种广泛使用的货币来说是必不可少的。同样，大多数加密资产持有者也不希望他们的持仓和交易历史完全公开。在旨在为区块链提供隐私的各种密码学技术中，zk-SNARK 和 zk-STARK 证明是两个值得注意的例子。

zk-SNARK 代表零知识简洁非交互式知识证明（zero-knowledge succinct non-interactive argument of knowledge），而 zk-STARK 代表零知识简洁透明知识证明（zero-knowledge succinct transparent argument of knowledge）。zk-SNARK 证明被加密货币项目（例如 Zcash）使用，应用于基于区块链的支付系统，以及作为安全地验证客户端与服务器连接的一种方式。但尽管 zk-SNARK 已经取得了显著进展并得到了广泛采用，zk-STARK 证明现在却被吹捧为该协议的改进版本，解决了 zk-SNARK 的许多先前缺点。

阿里巴巴的山洞比喻

1990 年，密码学家 Jean-Jacques Quisquater（以及其他合作者）发表了一篇题为“如何向你的孩子解释零知识协议”的论文。这篇论文用一个关于阿里巴巴山洞的比喻介绍了零知识证明的概念。自从它被创造出来以来，这个比喻已经被多次改编，现在我们有了多种变体。尽管如此，其根本信息基本相同。

想象一下一个环形山洞，只有一个入口和一个将两条侧路径分开的魔法门。为了穿过魔法门，需要低声说出正确的秘密咒语。假设爱丽丝（黄色）想向鲍勃（蓝色）证明她知道秘密咒语是什么——同时仍然保密。为此，鲍勃同意在她进入山洞并走到其中一条路径的尽头时在外面等待。在这个例子中，她决定走路径 1。

过了一会儿，鲍勃走到入口处，大喊一声他想要爱丽丝从哪条路径出现（在本例中是路径 2）。

如果爱丽丝真的知道秘密，她会可靠地从鲍勃指定的那条路径出现。

整个过程可以重复多次，以确认爱丽丝不是靠运气选择正确的路径。

阿里巴巴的山洞比喻说明了零知识证明的概念，零知识证明是 zk-SNARK 和 zk-STARK 协议的一部分。零知识证明可以用来证明拥有某种知识，而无需透露任何关于该知识的信息。参与的双方通常被称为证明者和验证者，他们秘密持有的陈述称为见证（witness）。这些证明的主要目标是在双方之间尽可能少地透露数据。换句话说，可以使用零知识证明来证明他们拥有某种知识，而无需透露任何关于该知识本身的信息。

zk-SNARKs

Zcash 是最早使用 zk-SNARKs 的项目之一。虽然像 Monero 这样的其他隐私项目采用环签名和其他技术，但 zk-SNARKs 从根本上改变了数据共享的方式。Zcash 的隐私源于这样一个事实：网络中的交易可以保持加密，但仍然可以使用零知识证明验证其有效性。因此，那些执行共识规则的人不需要知道每笔交易背后的所有数据。值得一提的是，Zcash 中的隐私功能并非默认启用，而是可选的，并且取决于手动设置。

零知识证明允许一个人向另一个人证明一个陈述是真实的，而不会透露除陈述有效性之外的任何信息。参与的各方通常被称为证明者和验证者，他们秘密持有的陈述称为见证。这些证明的主要目标是在双方之间尽可能少地透露数据。换句话说，可以使用零知识证明来证明他们拥有某种知识，而无需透露任何关于该知识本身的信息。

在 SNARK 首字母缩写词中，“简洁”（succinct）意味着这些证明体积较小，并且可以快速验证。“非交互式”（non-interactive）意味着证明者和验证者之间几乎没有交互。旧版本的零知识协议通常需要证明者和验证者来回通信，因此被认为是“交互式”零知识证明。但在“非交互式”构造中，证明者和验证者只需要交换一个证明。

目前，zk-SNARK 证明依赖于证明者和验证者之间的初始可信设置，这意味着需要一组公共参数来构建零知识证明，从而实现私有交易。这些参数就像游戏规则一样；它们被编码到协议中，并且是证明交易有效的必要因素之一。然而，这会产生潜在的中心化问题，因为这些参数通常是由一个非常小的群体制定的。

虽然初始可信设置对于当今的 zk-SNARK 实现至关重要，但研究人员正在努力寻找其他替代方案，以减少过程中所需的信任量。初始设置阶段对于防止伪造支出非常重要，因为如果有人可以访问生成参数的随机性，他们就可以创建看起来对验证者有效的虚假证明。在 Zcash 中，初始设置阶段被称为参数生成仪式。

接下来是首字母缩写词中的“知识论证”（Arguments of Knowledge）部分。zk-SNARK 被认为是计算上健全的，这意味着不诚实的证明者在没有实际拥有支持其陈述的知识（或见证）的情况下成功作弊的可能性非常低。此属性称为健全性，并假设证明者具有有限的计算能力。

理论上，拥有足够计算能力的证明者可以创建虚假证明，这也是许多人认为量子计算机是对 zk-SNARK（和区块链系统）的威胁的原因之一。

零知识证明可以快速验证，并且通常比标准比特币交易占用更少的数据。这为 zk-SNARK 技术作为隐私和可扩展性解决方案铺平了道路。

zk-STARKs

zk-STARKs 由以色列理工学院教授 Eli-Ben Sasson 创建。作为 zk-SNARK 证明的替代版本，zk-STARK 通常被认为是该技术的更高效变体——根据实现情况，可能更快、更便宜。但更重要的是，zk-STARK 不需要初始可信设置（因此，“T”代表透明）。

从技术上讲，zk-STARK 不需要初始可信设置，因为它们依赖于通过抗碰撞哈希函数实现的更精简的密码学。这种方法也消除了 zk-SNARK 的数论假设，这些假设计算成本高昂，理论上容易受到量子计算机的攻击。

换句话说，zk-STARK 证明在密码学假设方面呈现出更简单的结构。然而，这项新技术至少有一个主要缺点：与 zk-SNARK 相比，证明的规模更大。这种数据大小的差异可能会根据使用环境而带来限制，但这可能是随着技术的进一步测试和研究而可以解决的问题。

结语

很明显，zk-SNARK 和 zk-STARK 都能满足日益增长的隐私担忧。在加密货币领域，这些协议具有巨大的潜力，并且可能是迈向主流采用的突破性途径。