1. 简介

零知识证明（Zero Knowledge Proof）由S.Goldwasser、S.Micali 及 C.Rackoff于1985年在论文《The Knowledge Complexity of Interactive Proof Systems》（交互式证明系统中的知识复杂性）首次提出，是一种用于证明者在不泄露任何其他信息的情况下证明其掌握知识正确性的密码学协议。

该协议的一方称为证明者（Prover），用$P$表示；另一方称为验证者（Verifier），用$V$表示。零知识证明指$P$试图使$V$相信某个论断是正确的，但却不向$V$泄露任何有用的信息，即$P$在论证的过程中$V$得不到任何有用的信息。零知识证明除了证明证明者论断的正确性外不泄露任何其他信息或知识。

零知识证明一般包含以下阶段：

• 承诺（Commit）：证明者针对命题做出承诺，该承诺等待验证者提出挑战并进行验证。

• 挑战（Challenge）：验证者选择随机数（即上述例子中的行、列或格）对提出的承诺进行挑战。

• 回应挑战（Response）：证明者将收到的随机数结合给出的承诺（承诺不可修改），返回挑战的回应。

• 验证（Verify）：验证者验证挑战的回应是否正确，如果错误，则证明失败。

证明者与验证者重复执行以上步骤，直到可以相信的概率达到验证者接受的条件，证明成功。

零知识证明具有以下特点：

• 完备性（Completeness）：如果证明者和验证者都是诚实的，并遵守证明过程的每一步进行正确的计算，则该证明一定会成功，验证者也一定能够接受证明者；
• 合理性（Soundness）：没有人能够假冒证明者，从而使这个证明成功；
• 零知识性（Zero-Knowledge）：证明过程执行完后，验证者只会得悉"证明者拥有这项知识"，而没有获得关于这项知识本身的任何信息。

零知识证明与比特承诺都要求协议参与者对某种知识或某个声明做出证明或承诺，但不泄露该知识或承诺的任何信息。不同的是比特承诺需要在打开阶段揭示承诺，但零知识证明在证明过程结束后仍不会泄露掌握的知识。比特承诺一般用于在电子拍卖或电子投票中参与者对自己的投票或选票做出承诺；而在协议执行过程中，为了抵抗恶意参与者或主动攻击者，需要协议参与者通过零知识证明来证明自己所作操作都是按照协议正确执行的。

2. 零知识证明的例子

2.1 向红绿色盲证明红球、绿球

有两颗形状、大小完全一样的球：一颗红球、一颗绿球，$X$是红绿色盲，$Y$能够向$X$证明这两颗球是一红一绿吗？

• $X$左手拿着红球，右手拿着绿球，并在背后不让$Y$看到，进行交换（或者不交换）两只球
• $Y$能够根据颜色精准判断$X$是否进行了交换
• 执行上述操作$N$次后，即能在$X$是色盲的情况下，$Y$仍能够向$X$证明能这两颗球是一红一绿

2.2 数独的零知识证明

数独（Sudoku）规则如下：

$9\times 9$方格，其中已经填入部分数字，要求玩家在空白方格中填入数字$1-9$，使得完成后的每行、每列及$9$个$3\times 3$方格都包含数字$1-9$且每个数字只出现一次

假设$P$给出一道数独题目，由$V$来完成，但$V$过了很久都未能解出，他怀疑该数独题目没有解，要求$P$证明该题目有解。因此$P$希望在不告诉$V$答案相关的任何信息的情况下证明这道题有解且自己知道这个解。

$P$和$V$执行以下操作：

（1）承诺

$P$将答案的每个数字写在纸片上，并按照答案摆放(正面朝下)，题目中已有的数字正面朝上，这81个纸片的放置为$P$的“承诺”。

（2）挑战

$V$不能直接将纸片翻转查看数字，但是 $V$可以在行、列、格中任意指定一种验证方式。如图所示，$V$选择按照行的方式进行挑战。

（3）挑战回应

$P$按照$V$选择行验证方式将桌面上每行的$9$张卡片装入一个袋子里，并且将纸片进行混淆后，把袋子交给$V$，作为挑战的回应。

（4）验证

$V$打开纸袋可验证每个纸袋里的$9$张纸片刚好为$1-9$，即$P$在承诺阶段做出的承诺满足“每行$1-9$都出现且只出现一次”的要求，同时在一定程度上说明$P$做出的承诺很可能是一个合法的解（因为随意给出的数字不会满足这一要求，并且在承诺的时候并不知道$V$会选择行、列、格哪种验证方式）。

由于存在$1/3$的概率$P$事先猜对$V$选择行验证，然后给出的承诺仅满足行要求，不满足列要求和格要求。或者$P$拥有满足两项要求，但是不满足第三项要求的错误答案，此时猜对的概率为 $2/3$。

但$P$为了向$V$证明自己知道该数独的解，会和$V$重复该方案的承诺、挑战、回应挑战和验证，允许$V$在挑战阶段任意选择验证方式，如果出现任何一次验证错误则表示证明失败。

假设进行的$n$次过程都验证成功，那么$P$在不知道数独答案的条件下单次验证成功的概率最大为$2/3$（考虑 $P$ 满足两项要求，但是不满足第三项要求的错误答案），所有验证都成功的概率为 $(\frac{2}{3}{)}^n$随着$n$的增大，这一概率趋近于$0$，而 $P$拥有正确答案的概率趋近于 $1$，表明 $V$ 可以以大概率相信 $P$ 拥有正确答案。

2.3 三染色问题的零知识证明

地图三染色问题：如何用三种颜色染色一个地图，保证任意两个相邻的地区都是不同的颜色。

该问题可转变成连通图的顶点三染色问题，即不同城市（节点）之间修建了一些道路（边），是否存在一种染色方式，使得每个城市都用特定的三种颜色之一表示，并且任意有道路相连的两个城市都不是相同颜色。

如图所示，证明者Alice拥有一个特地地图三染色的方案，希望在不泄漏任何信息的条件下向Bob证明自己拥有该方案。

（1）承诺

Alice将染色方案进行置换（蓝色->绿色，绿色->橙色，橙色->蓝色），然后将每个节点装入一个信封里，放在桌子上出示给Bob。

（2）挑战

Bob可以选择任意一条连边，要求Alice打开相邻两个节点的信封进行验证。

（3）回应挑战

Alice打开Bob指定的两个节点，作为对挑战的回应。

（4）验证

Bob验证结果：两节点颜色不同

重复以上过程

当重复交互很多次之后，Bob 得到了大量的信息，但没有得到关于染色方案的任何知识，却能够相信Alice拥有该方案。

2.4 Quisquater-Guillou 零知识协议

1990年，LouisC.Guillou 和 Jean-Jacques Quisquater 提出一种形象的基本零知证明协议的例子，该图表示一个迷宫，$C$与$D$之间有一道门，需知道秘密咒语才能打开。现在，证明者$P$希望向验证者$V$证明他拥有这道门的秘密语，但是$P$不愿意向 $V$泄露该咒语。$P$采用“分割与选择”（Cut-and-Choose）技术实现这一零知识协议。

• (1)验证者$V$开始停留在位置$A$
• (2)证明者$P$一直走到迷宫的深处，随机选择到位置$C$或位置$D$
• (3)$V$看不到$P$后，走到位置$B$，然后命令$P$从某个出口返回$B$;
• (4)$P$服从$V$的命令，要么原路返回至位置 $B$，要么使用秘密咒语打开门后到达位置$B$

上述协议中，若$P$不知道秘密咒语，就只能原路返回，而$P$第一次猜对$V$要求他一条路径的概率为$0.5$，第一轮协议$P$能够欺骗$V$的概率为$0.5$。

$P$和$V$重复上述步骤$n$次，$P$成功欺骗$V$的概率为$1/2^n$。假定$n=20$，则$P$成功欺骗$V$的概率为$1/1048576$，如果$P$能够$20$ 次按$V$的要求返回，$V$即证明$P$确实知道秘密咒语。同时，$V$无法从上证明过程中获取任何关于$P$的秘密咒语的信息。

3. ElGamal加密的零知识证明

3.1 ElGamal加密的已知明文证明

对于 ElGamal加密方案的密文$E(M)=(\alpha ,\beta )=\left(g^r,y^{r}M\right)$ , 如果一个参与者知道了$r$, 则可非常方便地利用零知识证明来证明自己知道密文$(\alpha ,\beta )$ 所对应的明文 M , 这就是已知明文证明。

Schonorr提出参与者能够使用零知识证明的方法俩证明他知道一个$r$ 使得$\alpha =g^r$ 成立, 方法如下:

• 步骤1: Alice 选择随机数$z$ 发送 $a^{\prime }=g^z$ 至 Bob。
• 步骤2: Bob 选择随机数 $c$ 发送至 Alice。
• 步骤3: Alice 发送 $k=(z+cr)\mathrm{mod}q$ 至 Bob。
• 步骤4: Bob 验证 $g^k=a^{\prime }{\alpha }^c$ 。

3.2 ElGamal加密的二选一零知识证明

Cramer 提出, Alice 对消息$M$ 的 ElGamal 加密 $$(\alpha ,\beta )=\left(g^r\mathrm{mod}p,y^{r}M\mathrm{mod}p\right)$$在不泄露 $M$ 的前提下, 可以向其他人证明 $M=1$ 或 $M=Z$, 步骤如下:

步骤 1 :

• 若$M=1$ , Alice 选择随机数 $r_1,d_1,w$ , 发送$$(\alpha ,\beta ),a_1=g^{r_1}{\alpha }^{d_1},b_1=y^{r_1}{\left(\frac{\beta }{z}\right)}^{d_1},a_2=g^w,b_2=y^w$$至 Bob;

• 若$M=Z$ , Alice 选择随机数 $r_2,d_2,w$, 发送$$(\alpha ,\beta ),a_1=g^w,b_1=y^w,a_2=g^{r_2}{\alpha }^{d_2},b_2=y^{r_2}{\beta }^{d_2}$$至 Bob。

步骤 2: Bob 发送随机数$c$ 至 Alice。

步骤 3:

• 若$M=1$ , Alice 发送 $$d_1,d_2=\left(c-d_1\right)\mathrm{mod}p,r_1,r_2=\left(w-r{d}_2\right)\mathrm{mod}p$$至 Bob;

• 若$M=Z$ , Alice 发送 $$d_1=\left(c-d_2\right)\mathrm{mod}p,d_2,r_{1=}\left(w-r{d}_1\right)\mathrm{mod}p,r_2$$ 至 Bob。

步骤 4: Bob 验证 $$c=(d_1+d_2)\mathrm{mod}p,a_1=g^{r_1}{\alpha }^{d_1},b_1=y^{r_1}{\left(\frac{\beta }{z}\right)}^{d_1},a_2=g^{r_2}{\alpha }^{d_2},b_2=y^{r_2}{\beta }^{d_2}$$

3.3 ElGamal加密的1-out-of-N零知识证明

Alice 对消息$m$ 的 ElGamal 加密 $$(\alpha ,\beta )=\left(g^r\mathrm{mod}p,y^{r}m\mathrm{mod}p\right)$$

$M=\left(m_1,m_2,\dots ,m_N\right)$ 为明文集合 。$m=m_t,t\in [1,N]$，可以在不泄露$m$的情况下， 证明$m\in M$ 。

假设 $M$ 对应的其 ElGamal 加密的密文集合为 $$\left(\left({\alpha }_1,{\beta }_1\right),\left({\alpha }_2,{\beta }_2\right),\dots ,\left({\alpha }_{N^{\prime }}{\beta }_N\right)\right)$$其中$$\left({\alpha }_{i^{\prime }}{\beta }_i\right)=\left(g^{k_i}\mathrm{mod}p,y^{k_i}{m}_i\mathrm{mod}p\right)$$

步骤 1:

Alice 选择随机数$d_1,d_2,\dots ,d_N,r_1,r_2,\dots ,r_N$ , 计算
$$a_i={\left(\frac{{\alpha }_i}{\alpha }\right)}^{d_i}\cdot g^{r_i},b_i={\left(\frac{{\beta }_i}{\beta }\right)}^{d_i}\cdot y^{r_i},i=1,\dots ,N,i\ne t.$$

$a_t=g^w,b_t=y^w$, 其中 $w=\left(k_t-r\right)d_t+r_t$，并将$\left(a_i{b}_i\right),i=1,\dots ,N$发送至 Bob。

步骤 2: Bob 发送随机数 $c$ 至 Alice。

步骤 3: Alice 修改$d_t$ 与 $r_t$ , 使得 $$c=\sum _{i=1}^N{d}_i,w=\left(k_t-r\right)d_t+r_t$$

然后将 $d_1,d_2,\dots ,d_N,r_1,r_2,\dots ,r_N$ 发送至 Bob。

步骤 4: Bob 验证 $$c=\sum _{i=1}^N{d}_i,a_i={\left(\frac{{\alpha }_i}{\alpha }\right)}^{d_i}\cdot g^{r_i},b_i={\left(\frac{{\beta }_i}{\beta }\right)}^{d_i}\cdot y^{r_i},i=1,\dots ,N$$

4. 身份的零知识证明

一个安全的身份识别协议至少应满足以下两个条件:

• 证明者$P$能够向验证者$V$证明他的确是$P$;
• 在证明者$P$向验证者$V$证明他的身份后，验证者$V$不能获得关于$P$的任何有用信息，使得$V$不能冒充$P$向第三方证明$V$是$P$。

也就是说，$P$既能向$V$证明他的身份，又没有向$V$泄露$P$的识别信息，即安全的身份识别协议应满足零知识性和认证性。

4.1 Schnorr身份识别协议

Schnorr利用离散对数的零知识证明，设计了一个身份鉴别协议。

选择两个大素数$p、q$，$q$是$p-1$的大素因子，然后选择一个生成元$g\in Z_p^{\ast }$，选择随机数$x,1<x<q$，计算$y\equiv g^x\mathrm{mod}p$，则私钥为$x$，公钥为$(y,g,p,q)$。

证明者Alice能够使用零知识证明的方法向验证者Bob证明她知道一个$x$，使得$y\equiv g^x\mathrm{mod}p$

协议描述

• 步骤1: Alice 选择随机数$k,0\le k\le q-1$ 发送 $z\equiv g^k\mathrm{mod}p$ 至 Bob。
• 步骤2: Bob 选择随机数 $c,1\le c\le 2^t(t\le |q|)$ 发送至 Alice。
• 步骤3: Alice 计算 $s\equiv (k+cx)\mathrm{mod}q$ 至 Bob。
• 步骤4: Bob 验证 $g^s\equiv z{y}^c\mathrm{mod}q$ 。

协议说明

$g^s=g^k{g}^{cx}=z(g^x{)}^c=z{y}^c$

4.2 Fiat-Shamir 身份识别协议

1986 年，A. Fiat与A. Shamir 提出了一种基于二次剩余根的身份识别协议，即Fiat-Shamir 身份识别协议。

1988 年，U.Feige、A.Fiat和 A.Shamir 把 Fiat-Shamir 身份识别协议改进为零知识证明的身份识别协议，即Feige-Fiat-Shamir身份识别协议，简称 F.F.S协议。该协议把“分割与选择”和“挑战与应答”的思想结合起来，其目的是证明者$P$向验证者$V$证明他的身份，且事后$V$不能冒充$P$。

协议描述

假定存在一个可信任的中心TA，该中心的唯一任务是选择形式为$4r+3$的两个大素数$p、q$，使得$n=p\times q$是难分解的，然后向其他人公布$n$($n$为Blum 数)。TA任务完成后可被关闭或取消，因为它不再有其他的任务，但该中心不能泄露$p、q$的信息。

证明者$P$的秘密身份由$k$个数$x_1,...,x_i,...,x_k$表示，其中$$1\le x_i<n,i=1,2,...,k$$$P$的公开身份由其他$k$个数$y_1,...,y_i,...,y_k$来表示，其中$y_i$也满足$$1\le y_i<n,i=1,2,...,k$$且$x_i$和$y$满足:$$y_i{x}_i^2\equiv \pm 1\mathrm{mod}n,i=1,2,...,k$$初始状态下验证者$V$知道TA公布的Blum数$n$和证明者$P$的公开身份$y_1,...,y_i,...,y_k$，现在$P$希望向$V$证明他知道他自己的秘密身份。协议执行的步骤如下:

• $P$随机选择一个整数$a$，计算$r\equiv \pm a^2\mathrm{mod}n$并把其中一个值发送给$V$;

• $V$从$1,2,\dots ,k$中选择一子集 e = { e 1 , e 2 , . . . , e j } e=\{e_1,e_2,...,e_j\} e={e1​,e2​,...,ej​}，然后将$e$交给$P$;

• $P$计算出$T_x\equiv {\prod }_{i=1}^j{x}_{e_i}\mathrm{mod}n$，并将$b\equiv a{T}_x\mathrm{mod}n$交给$V$;

• $V$计算出$T_y\equiv {\prod }_{i=1}^j{y}_{e_i}\mathrm{mod}n$，并验证$r\equiv \pm b^2{T}_y\mathrm{mod}n$ 是否成立;

若验证通过，则重复执行上述步骤；否则拒绝。