zk-SNARKs and zk-STARKs Explained

Binance Academy · 2022-11-05T01:43:01.000Z

Privacy has always been viewed as a valuable feature within the cryptocurrency community. It is the precursor to fungibility, which is necessary for a widely used form of money. Similarly, most crypto-asset holders don’t want their holdings and transaction history to be completely public. Among the various cryptographic techniques aiming to provide privacy to blockchains, the zk-SNARK and zk-STARK proofs are two noteworthy examples. zk-SNARK stands for zero-knowledge succinct non-interactive argument of knowledge, and zk-STARK represents zero-knowledge succinct transparent argument of knowledge. zk-SNARK proofs are used by cryptocurrency projects (such as Zcash), on blockchain-based payment systems, and as a way to securely authenticate clients to servers. But while zk-SNARKs have made significant headway to being well-established and adopted, zk-STARK proofs are now being touted as the new and improved version of the protocol, addressing many of the previous drawbacks of zk-SNARKs. The Ali Baba's Cave Parable In 1990, a paper entitled "How to Explain Zero-Knowledge Protocols to Your Children" was published by cryptographer Jean-Jacques Quisquater (along with other collaborators). The paper introduces the concept of zk proofs with a parable involving Ali Baba's Cave. Since its creation, the parable has been adapted several times, and we now have multiple variations. Still, the underlying information is essentially the same. Let’s imagine a ring-shaped cave with a single entry and a magic doorway that separates the two side paths apart. In order to go through the magic doorway, one needs to whisper the correct secret words. So consider that Alice (yellow) wants to prove to Bob (blue) that she knows what the secret words are - while still keeping them secret. To do so, Bob agrees to wait outside while she enters the cave and walks until the end of one of the two possible paths. In this example, she decides to go through Path 1. After a while, Bob walks by the entrance and shouts which side he wants Alice to appear from (Path 2 in this case). If Alice truly knows the secret, she will reliably show up from the path Bob names. The whole process may be repeated several times as a way to confirm that Alice is not choosing the right path by luck. Ali Baba’s Cave parable illustrates the concept of zero-knowledge proofs, which are part of the zk-SNARK and zk-STARK protocols. ZK proofs can be used to prove possession of certain knowledge without revealing any information about it. zk-SNARKs Zcash is one of the earliest examples of a project that uses zk-SNARKs. While other privacy projects like Monero employ ring signatures and other techniques, zk-SNARKs fundamentally changes the way data is shared. The privacy of Zcash is derived from the fact that transactions in the network can remain encrypted but still be verified as valid by using zero-knowledge proofs. So, those who are enforcing consensus rules don’t need to know all of the data underlying each transaction. It’s worth mentioning that privacy features in Zcash are not active by default but are rather optional and dependent on manual setup. Zero-knowledge proofs allow one individual to prove to another that a statement is true without disclosing any information beyond the validity of the statement. The parties involved are commonly referred to as a prover and a verifier, and the statement they hold in secret is called a witness. The main objective of these proofs is to reveal as little data as possible between the two parties. In other terms, one can use zero-knowledge proofs to prove that they have certain knowledge without revealing any information about the knowledge itself. Within the SNARK acronym, “succinct” means that these proofs are smaller in size and can be quickly verified. “Non-interactive” means that there is little to no interaction between the prover and the verifier. Older versions of zero-knowledge protocols usually require the prover and verifier to communicate back and forth and, therefore, are considered “Interactive” ZK proofs. But in “non-interactive” constructions, provers and verifiers only have to exchange one proof. Currently, zk-SNARK proofs are dependent on an initial trusted setup between a prover and verifier, meaning that a set of public parameters is required to construct zero-knowledge proofs and, thus, private transactions. These parameters are almost like the rules of the game; they are encoded into the protocol and are one of the necessary factors in proving a transaction is valid. However, this creates a potential centralization issue because the parameters are often formulated by a very small group. While an initial trusted setup is fundamental to today’s zk-SNARK implementations, researchers are working to find other alternatives as a way to reduce the amount of trust required in the process. The initial setup phase is important in preventing counterfeit spending because if someone had access to the randomness that generated the parameters, they could create false proofs that seemed valid to the verifier. In Zcash, the initial setup phase is known as the Parameter Generation Ceremony. Moving onto the “Arguments of Knowledge” piece of the acronym. zk-SNARKs are considered computationally sound, meaning that a dishonest prover has a very low chance of successfully cheating the system without actually having the knowledge (or witness) to support their statement. This property is known as soundness and assumes that the prover has limited computing power. Theoretically, a prover with enough computational power could create fake proofs, and this is one of the reasons quantum computers are considered by many to be a threat to zk-SNARKs (and blockchain systems). Zero-knowledge proofs are quickly verifiable and usually take up much less data than a standard Bitcoin transaction. This opens up a pathway for zk-SNARK technology to be used as both a privacy and a scalability solution. zk-STARKs zk-STARKs were created by Eli-Ben Sasson, a professor at the Technion-Israel Institute of Technology. As an alternative version of zk-SNARK proofs, zk-STARKs are generally considered a more efficient variant of the technology - potentially faster and cheaper, depending on the implementation. But more importantly, zk-STARKs do not require an initial trusted setup (hence, the “T” for transparent). Technically speaking, zk-STARKs do not require an initial trusted setup because they rely on leaner cryptography through collision-resistant hash functions. This approach also eliminates the number-theoretic assumptions of zk-SNARKs that are computationally expensive and theoretically prone to attack by quantum computers. In other terms, zk-STARK proofs present a simpler structure in terms of cryptographic assumptions. However, this novel technology comes with at least one major disadvantage: the size of the proofs is bigger when compared to zk-SNARKs. Such a difference in data size may present limitations depending on the context of use, but it is probably something that can be figured out as the technology is further tested and investigated. Closing Thoughts It is clear that both zk-SNARKs and zk-STARKs appeal to the growing concern regarding privacy. Within the cryptocurrency world, these protocols have great potential and might be a groundbreaking avenue toward mainstream adoption.

Datenschutz wurde in der Kryptowährungs-Community schon immer als wertvolles Merkmal angesehen. Er ist die Voraussetzung für die Fungibilität, die für eine weit verbreitete Form von Geld erforderlich ist. Ebenso möchten die meisten Inhaber von Krypto-Assets nicht, dass ihre Bestände und ihr Transaktionsverlauf vollständig öffentlich sind. Unter den verschiedenen kryptografischen Techniken, die darauf abzielen, Blockchains Datenschutz zu bieten, sind die zk-SNARK- und zk-STARK-Beweise zwei bemerkenswerte Beispiele.
zk-SNARK steht für Zero-Knowledge Succinct Non-Interactive Argument of Knowledge und zk-STARK steht für Zero-Knowledge Succinct Transparent Argument of Knowledge. zk-SNARK-Beweise werden von Kryptowährungsprojekten (wie Zcash), in Blockchain-basierten Zahlungssystemen und als Möglichkeit zur sicheren Authentifizierung von Clients gegenüber Servern verwendet. Während zk-SNARKs bereits erhebliche Fortschritte bei der Etablierung und Akzeptanz gemacht haben, werden zk-STARK-Beweise nun als neue und verbesserte Version des Protokolls angepriesen, die viele der früheren Nachteile von zk-SNARKs behebt.
Das Gleichnis von Ali Babas HöhleIm Jahr 1990 veröffentlichte der Kryptograph Jean-Jacques Quisquater (zusammen mit anderen Mitarbeitern) ein Papier mit dem Titel „So erklären Sie Ihren Kindern Zero-Knowledge-Protokolle“. Das Papier führt das Konzept der zk-Beweise mit einer Parabel ein, die Ali Babas Höhle beinhaltet. Seit ihrer Entstehung wurde die Parabel mehrmals angepasst, und wir haben jetzt mehrere Variationen. Die zugrunde liegenden Informationen sind jedoch im Wesentlichen dieselben.
Stellen wir uns eine ringförmige Höhle mit einem einzigen Eingang und einer magischen Tür vor, die die beiden Seitenwege voneinander trennt. Um durch die magische Tür zu gelangen, muss man die richtigen geheimen Worte flüstern. Nehmen wir also an, Alice (gelb) möchte Bob (blau) beweisen, dass sie die geheimen Worte kennt – und sie dennoch geheim halten. Dazu erklärt sich Bob bereit, draußen zu warten, während sie die Höhle betritt und bis zum Ende eines der beiden möglichen Wege geht. In diesem Beispiel entscheidet sie sich für Weg 1.
Nach einer Weile geht Bob am Eingang vorbei und ruft, von welcher Seite Alice erscheinen soll (in diesem Fall Pfad 2).
Wenn Alice das Geheimnis wirklich kennt, wird sie zuverlässig über den von Bob angegebenen Pfad auftauchen.
Der gesamte Vorgang kann mehrmals wiederholt werden, um zu bestätigen, dass Alice nicht nur durch Glück den richtigen Weg wählt.
Ali Babas Höhlengleichnis veranschaulicht das Konzept von Zero-Knowledge-Beweisen, die Teil der Protokolle zk-SNARK und zk-STARK sind. ZK-Beweise können verwendet werden, um den Besitz bestimmten Wissens nachzuweisen, ohne Informationen darüber preiszugeben.
zk-SNARKsZcash ist eines der frühesten Beispiele für ein Projekt, das zk-SNARKs verwendet. Während andere Datenschutzprojekte wie Monero Ringsignaturen und andere Techniken verwenden, verändert zk-SNARKs die Art und Weise, wie Daten geteilt werden, grundlegend. Der Datenschutz von Zcash ergibt sich aus der Tatsache, dass Transaktionen im Netzwerk verschlüsselt bleiben, aber dennoch durch die Verwendung von Zero-Knowledge-Beweisen als gültig verifiziert werden können. Diejenigen, die Konsensregeln durchsetzen, müssen also nicht alle Daten kennen, die jeder Transaktion zugrunde liegen. Es ist erwähnenswert, dass die Datenschutzfunktionen in Zcash nicht standardmäßig aktiviert sind, sondern eher optional und von der manuellen Einrichtung abhängig sind.
Mit Zero-Knowledge-Beweisen kann eine Person einer anderen die Wahrheit einer Aussage beweisen, ohne über die Gültigkeit der Aussage hinaus weitere Informationen preiszugeben. Die beteiligten Parteien werden üblicherweise als Beweiser und Prüfer bezeichnet und die von ihnen geheim gehaltene Aussage wird Zeuge genannt. Das Hauptziel dieser Beweise besteht darin, so wenig Daten wie möglich zwischen den beiden Parteien preiszugeben. Mit anderen Worten: Mit Zero-Knowledge-Beweisen kann man beweisen, dass man über bestimmtes Wissen verfügt, ohne irgendwelche Informationen über das Wissen selbst preiszugeben.
Im SNARK-Akronym bedeutet „prägnant“, dass diese Beweise kleiner sind und schnell verifiziert werden können. „Nicht interaktiv“ bedeutet, dass es wenig bis keine Interaktion zwischen dem Beweiser und dem Verifizierer gibt. Ältere Versionen von Zero-Knowledge-Protokollen erfordern normalerweise, dass Beweiser und Verifizierer hin und her kommunizieren und gelten daher als „interaktive“ ZK-Beweise. Aber in „nicht interaktiven“ Konstruktionen müssen Beweiser und Verifizierer nur einen Beweis austauschen.
Derzeit sind zk-SNARK-Beweise von einer anfänglichen vertrauenswürdigen Konfiguration zwischen einem Beweiser und einem Verifizierer abhängig, was bedeutet, dass eine Reihe öffentlicher Parameter erforderlich ist, um Zero-Knowledge-Beweise und damit private Transaktionen zu konstruieren. Diese Parameter sind fast wie die Spielregeln; sie sind im Protokoll kodiert und einer der notwendigen Faktoren, um zu beweisen, dass eine Transaktion gültig ist. Dies schafft jedoch ein potenzielles Zentralisierungsproblem, da die Parameter oft von einer sehr kleinen Gruppe formuliert werden.
Während eine anfängliche vertrauenswürdige Einrichtung für die heutigen zk-SNARK-Implementierungen von grundlegender Bedeutung ist, arbeiten Forscher daran, andere Alternativen zu finden, um das im Prozess erforderliche Maß an Vertrauen zu reduzieren. Die anfängliche Einrichtungsphase ist wichtig, um gefälschte Ausgaben zu verhindern, denn wenn jemand Zugriff auf die Zufälligkeit hätte, die die Parameter generiert hat, könnte er falsche Beweise erstellen, die dem Prüfer gültig erscheinen. In Zcash wird die anfängliche Einrichtungsphase als Parameter Generation Ceremony bezeichnet.
Kommen wir zum Teil „Argumente des Wissens“ des Akronyms. zk-SNARKs gelten als rechnerisch solide, was bedeutet, dass ein unehrlicher Beweiser eine sehr geringe Chance hat, das System erfolgreich zu betrügen, ohne tatsächlich über das Wissen (oder einen Zeugen) zu verfügen, um seine Aussage zu stützen. Diese Eigenschaft wird als Solidität bezeichnet und setzt voraus, dass der Beweiser über begrenzte Rechenleistung verfügt.
Theoretisch könnte ein Beweiser mit ausreichender Rechenleistung gefälschte Beweise erstellen, und dies ist einer der Gründe, warum Quantencomputer von vielen als Bedrohung für zk-SNARKs (und Blockchain-Systeme) angesehen werden.
Zero-Knowledge-Beweise sind schnell überprüfbar und benötigen in der Regel viel weniger Daten als eine normale Bitcoin-Transaktion. Dies eröffnet die Möglichkeit, die zk-SNARK-Technologie sowohl als Datenschutz- als auch als Skalierbarkeitslösung zu nutzen.
zk-STARKszk-STARKs wurden von Eli-Ben Sasson, einem Professor am Technion-Israel Institute of Technology, entwickelt. Als alternative Version von zk-SNARK-Beweisen gelten zk-STARKs im Allgemeinen als effizientere Variante der Technologie – je nach Implementierung möglicherweise schneller und günstiger. Aber was noch wichtiger ist: zk-STARKs erfordern kein anfängliches vertrauenswürdiges Setup (daher das „T“ für transparent).
Technisch gesehen erfordern zk-STARKs kein anfängliches vertrauenswürdiges Setup, da sie auf schlankerer Kryptografie durch kollisionsresistente Hash-Funktionen basieren. Dieser Ansatz eliminiert auch die zahlentheoretischen Annahmen von zk-SNARKs, die rechenintensiv und theoretisch anfällig für Angriffe durch Quantencomputer sind.
Mit anderen Worten: zk-STARK-Beweise weisen in Bezug auf kryptografische Annahmen eine einfachere Struktur auf. Diese neuartige Technologie hat jedoch mindestens einen großen Nachteil: Die Größe der Beweise ist im Vergleich zu zk-SNARKs größer. Ein solcher Unterschied in der Datengröße kann je nach Nutzungskontext Einschränkungen mit sich bringen, aber dies ist wahrscheinlich etwas, das herausgefunden werden kann, wenn die Technologie weiter getestet und untersucht wird.
Abschließende GedankenEs ist klar, dass sowohl zk-SNARKs als auch zk-STARKs die wachsende Sorge um den Datenschutz ansprechen. In der Welt der Kryptowährungen haben diese Protokolle großes Potenzial und könnten ein bahnbrechender Weg zur allgemeinen Akzeptanz sein.

zk-SNARKs und zk-STARKs erklärt

Das Gleichnis von Ali Babas Höhle

zk-SNARKs

zk-STARKs

Abschließende Gedanken

Weitere Inhalte des Erstellers entdecken

Aktuelle Nachrichten