什么是zkVM零知識證明？“在未來5年內(nèi)，我們將像談?wù)搮^(qū)塊鏈協(xié)議的應(yīng)用一樣談?wù)摿阒R協(xié)議的應(yīng)用。過去幾年的突破所釋放的潛力將席卷加密主流。”— Espresso Systems CSO Jill，2021年5月

自2021年以來，零知識證明（ZK）格局已經(jīng)演變成一個由跨多個領(lǐng)域的原語、網(wǎng)絡(luò)和應(yīng)用程序組成的多樣化生態(tài)系統(tǒng)。然而，盡管ZK在逐漸發(fā)展，ZK驅(qū)動的rollup（如Starknet和zkSync Era）的推出標志著該領(lǐng)域的最新進展，但對于ZK用戶和整個加密領(lǐng)域來說，ZK的絕大部分仍然是一個謎。

但時代在變。我們認為，零知識加密是一種強大的、普適工具，可用于擴展以及保護軟件安全。簡單地說，ZK是加密大規(guī)模采用的橋梁。再次引用Jill的話，無論是web2還是web3，任何涉及到零知識證明（ZKP）的東西都將創(chuàng)造出巨大的價值（包括基礎(chǔ)價值和投機價值）。加密領(lǐng)域最優(yōu)秀的人才正在努力更新迭代，使ZK經(jīng)濟可行、生產(chǎn)就緒。即便如此，在我們設(shè)想的模式成為現(xiàn)實之前，行業(yè)需要做的還有很多。

將ZK采用與比特幣采用進行比較，比特幣從邊緣愛好者論壇的互聯(lián)網(wǎng)貨幣演變?yōu)樨惾R德（BlackRock）批準的“數(shù)字黃金”的一個原因就是，開發(fā)者和社區(qū)創(chuàng)作內(nèi)容的激增，培養(yǎng)了人們的興趣。就目前而言，ZK存在于氣泡中的氣泡中。信息是分散極化的，文章里要么充斥著晦澀難懂的術(shù)語，要么過于外行，除了重復使用的例子之外，沒有傳達任何有意義的信息。似乎所有人（專家和外行）都知道什么是零知識證明，但沒有人能描述它實際上是如何工作的。

作為貢獻于零知識范式的團隊之一，我們希望揭開我們工作的神秘面紗，幫助更廣泛的受眾建立理解和分析ZK系統(tǒng)和應(yīng)用程序的規(guī)范基礎(chǔ)，以推動相關(guān)各方之間的教育宣傳和討論，使相關(guān)信息得以傳播擴散。

今天腳本之家小編給我們介紹零知識證明和零知識虛擬機的基礎(chǔ)知識，對zkVM的運作過程進行高層次的總結(jié)，最后對zkVM的評估標準進行分析。喜歡的朋友不要錯過哦！

1、零知識證明基礎(chǔ)知識

什么是零知識證明（ZKP）？

簡而言之，ZKP使一方（prover證明者）能夠向另一方（verifier驗證者）證明他們知道某事物，但無需透露該事物的具體內(nèi)容或任何其他信息。更具體地說，ZKP證明了對一段數(shù)據(jù)或?qū)τ嬎憬Y(jié)果的認知，而不透露該數(shù)據(jù)或輸入內(nèi)容。創(chuàng)建零知識證明的過程涉及一系列數(shù)學模型，將計算結(jié)果轉(zhuǎn)換為證明代碼成功執(zhí)行的在其他情況下無意義的信息，這些信息將于稍后被驗證。

在某些情況下，驗證經(jīng)過多輪代數(shù)轉(zhuǎn)換和密碼學構(gòu)建的證明所需的工作量比運行計算所需的工作量要少。正是這種安全性和可擴展性的獨特組合使零知識加密成為如此強大的工具。

zkSNARK：零知識簡潔非交互式知識論證

· 依賴于初始（受信或不受信）設(shè)置過程來建立用于驗證的參數(shù)

· 要求證明者和驗證者之間至少有一次交互

· 證明較小，易于驗證

· 像zkSync、Scroll和Linea這樣的rollup使用基于SNARK的證明

zkSTARK：零知識可擴展透明知識論證‍

· 無需受信設(shè)置

· 通過使用可公開驗證的隨機性來創(chuàng)建無需信任的可驗證系統(tǒng)，即生成可證明的隨機參數(shù)來進行證明和驗證，從而提供高透明度。

· 高度可擴展，因為它們可以快速（并非總是）生成和驗證證明，即使底層見證（數(shù)據(jù)）很大。

· 證明者和驗證者之間不需要交互

· 代價是STARK會生成更大的證明，這比SNARK更難驗證。

· 證明比一些zkSNARK證明更難驗證，但相對于其他證明更易驗證。

· Starknet和zkVM（如Lita、Risc Zero和Succinct Labs）都使用STARK。

（注意：Succinct bridge使用SNARK，但SP1是基于STARK的協(xié)議）

值得注意的是，所有的STARK都是SNARK，但并非所有的SNARK都是STARK。

2、什么是zkVM？

虛擬機（VM）是運行程序的程序。在上下文中，zkVM是一種虛擬計算機，它被實現(xiàn)為生成零知識證明的系統(tǒng)、通用電路或工具，用于為任何程序或計算生成zkVM。

zkVM不要求學習復雜的數(shù)學和密碼學來設(shè)計和編碼ZK，讓任何開發(fā)人員都可以執(zhí)行用他們喜歡的語言編寫的程序并生成ZKP（零知識證明），從而更容易與零知識集成和交互。從廣義上講，大多數(shù)zkVM都意味著包括附加到執(zhí)行程序的虛擬機的編譯器工具鏈和證明系統(tǒng)，而不僅僅是虛擬機本身。下面，我們總結(jié)了zkVM的主要組件及其功能：

每個組件的設(shè)計和實現(xiàn)都由zkVM的證明（SNARKs或STARKs）和指令集架構(gòu)（ISA）的選擇來控制。傳統(tǒng)上，ISA指定了CPU的能力（數(shù)據(jù)類型、寄存器、內(nèi)存等）以及CPU在執(zhí)行程序時執(zhí)行的操作順序。在上下文中，ISA確定可由VM解釋和執(zhí)行的機器碼。選擇ISA可以在zkVM的可訪問性和可用性，以及證明生成過程的速度和效率方面產(chǎn)生根本性的差異，并支持任何zkVM的構(gòu)建。

下面是一些zkVM及其組件的示例，僅供參考。

現(xiàn)在，我們將重點關(guān)注每個組件之間的高層交互，以便在后面的文章中提供一個框架，用于理解代數(shù)和加密過程以及zkVM的設(shè)計權(quán)衡。

3、抽象的zkVM流程

下圖是一個抽象的、一般化的zkVM流程圖，當程序在zkVM組件之間移動時，進行格式（輸入/輸出）的拆分和分類。

zkVM的流程一般如下：

（1）編譯階段

編譯器首先將使用傳統(tǒng)語言（C、C++、Rust、Solidity）編寫的程序編譯成機器碼。機器碼的格式由所選的ISA來決定。

（2）VM階段

VM執(zhí)行機器碼并生成執(zhí)行跟蹤，這是底層程序的系列步驟。它的格式由算法的選擇和多項式約束集來決定。常見的算法方案包括Groth16中的R1CS、halo2中的PLONKish算法以及plonky2和plonky3中的AIR。

（3）驗證階段

證明者接收跟蹤并將其表示為一組受一組約束限制的多項式，本質(zhì)上是通過數(shù)學映射事實將計算轉(zhuǎn)換為代數(shù)。

證明者使用多項式承諾方案（PCS）提交這些多項式。承諾方案是一個協(xié)議，它允許證明者創(chuàng)建一些數(shù)據(jù)X的指紋，這被稱為對X的承諾，然后使用對X的承諾來證明關(guān)于X的事實而同時不泄露X的內(nèi)容。PCS就是指紋，計算約束的“預處理”簡明版本。這允許證明者使用驗證者在接下來的步驟中提出的隨機值來證明有關(guān)計算的事實，現(xiàn)在用多項式方程來表示。

證明者運行一個多項式交互Oracle證明（PIOP）來證明所提交的多項式代表了滿足給定約束條件的執(zhí)行軌跡。PIOP是一個交互式證明協(xié)議，其中證明者向多項式發(fā)送承諾，驗證者用隨機字段值響應(yīng)，證明者提供對多項式的評估，類似于使用隨機值“求解”多項式方程以概率方式來說服驗證者。

Fiat-Shamir啟發(fā)式的應(yīng)用；證明者以非交互模式運行PIOP，在這種模式下，驗證者的行為僅限于發(fā)送匿名隨機挑戰(zhàn)點。在密碼學中，F(xiàn)iat-Shamir啟發(fā)式將交互式知識證明轉(zhuǎn)換為用于驗證的數(shù)字簽名。這一步加密了證明并使其成為零知識證明。

證明者必須說服驗證者，關(guān)于它發(fā)送給驗證者的多項式承諾，聲稱的多項式評估是正確的。為了做到這一點，證明者產(chǎn)生一個“evaluation”或“opening”證明，由多項式承諾方案（指紋）提供。

（4）驗證者階段

驗證者通過遵循證明系統(tǒng)的驗證協(xié)議來檢查證明，要么使用約束，要么使用承諾。驗證者根據(jù)證明的有效性接受或拒絕結(jié)果。

總之，zkVM證明可以證明，對于給定的程序、給定的結(jié)果和給定的初始條件，存在一些輸入，使程序從給定的初始條件執(zhí)行產(chǎn)生給定的結(jié)果。我們可以將該語句與流程結(jié)合起來，得到關(guān)于zkVM的以下描述。

zkVM證明將證明，對于給定的VM程序和給定的輸出，存在一些輸入，導致給定的程序在VM上執(zhí)行時產(chǎn)生給定的輸出。

4、評估zkVM

我們評估zkVM的標準是什么？換句話說，我們應(yīng)該在什么情況下說一個zkVM比另一個更好？實際上，答案取決于用例。

Lita的市場研究表明，對于大多數(shù)商業(yè)用例，在速度、效率和簡潔性之間，最重要的屬性要么是速度，要么是內(nèi)核時間效率，這取決于應(yīng)用程序。一些應(yīng)用對價格敏感，希望將證明過程優(yōu)化為低能耗和低成本的，對于這些應(yīng)用而言，內(nèi)核時間效率可能是最重要的優(yōu)化指標。其他應(yīng)用程序，特別是金融或交易相關(guān)的應(yīng)用程序，對延遲非常敏感，需要優(yōu)化速度。

大多數(shù)公開的性能比較只關(guān)注速度，速度當然很重要，但卻不是性能的全面衡量。還有一些重要的屬性可以衡量zkVM的可靠性，其中大多數(shù)都達不到生產(chǎn)標準，即使是市場領(lǐng)先的老牌企業(yè)。

我們建議按照以下標準對zkVM進行評估，并將其分為兩小類：

基線：用于度量zkVM的可靠性

· 正確性

· 安全性

· 信任假設(shè)

性能：用于衡量zkVM的能力

· 效率

· 速度

· 簡潔性

（1）基線：正確性、安全性和信任假設(shè)

在評估關(guān)鍵任務(wù)應(yīng)用程序的zkVM時，應(yīng)該將正確性和安全性作為基準。需要有足夠的理由對正確性有信心，并且需要有足夠強的聲明安全性。此外，對于應(yīng)用程序來說，信任假設(shè)需要足夠弱。

如果沒有這些屬性，zkVM對應(yīng)用程序來說可能比毫無用處更糟糕，因為它可能無法按照指定的方式執(zhí)行，并使用戶暴露于黑客攻擊和漏洞攻擊之下。

正確性

· VM必須按預期執(zhí)行計算

· 證明系統(tǒng)必須滿足其聲稱的安全屬性

正確性包含三大屬性：

· 穩(wěn)健性：證明系統(tǒng)是真實的，因此它所證明的一切都是真的。驗證者拒絕接受虛假陳述的證據(jù)，只接受輸入產(chǎn)生實際計算結(jié)果的計算結(jié)果。

· 完備性：證明系統(tǒng)是完備的，能夠證明所有的真實陳述。如果證明者聲稱它可以證明計算的結(jié)果，它必須能夠產(chǎn)生驗證者可接受的證明。

· 零知識證明：與知道結(jié)果本身相比，擁有一個證明并不能揭示更多關(guān)于計算輸入的信息。

你可能擁有完整性而沒有穩(wěn)健性，如果證明制度證明了包括虛假陳述在內(nèi)的一切，顯然它是完備的，但并不健全。而你也可能擁有健全性但沒有完整性，如果證明系統(tǒng)證明了一個程序的存在，但不能證明計算，顯然它是健全的（畢竟，它從來沒有證明過任何虛假陳述），但不是完整的。

安全性

· 與可靠性、完整性和零知識證明的公差有關(guān)

在實踐中，所有三個正確性屬性都具有非零公差。這意味著所有的證明都是對正確性的統(tǒng)計概率，而不是絕對的確定性。公差是指一個屬性失效的最大可容忍概率。零公差當然是理想的，但是在實踐中，zkVM并沒有在所有這些屬性上實現(xiàn)零公差。完美的穩(wěn)健性和完備性似乎與簡潔性并不相容，并且沒有已知的方法可以實現(xiàn)完美的零知識證明。衡量安全性的一種常用方法是以安全性bit為單位，其中1 / (2^n)的公差稱為n bit安全性。bit越高，安全性越好。

如果一個zkVM是完全正確的，這并不一定意味著它是可靠的。正確性僅意味著zkVM滿足其聲稱的公差范圍內(nèi)的安全屬性。這并不意味著所聲稱的公差低到足以進入市場。此外，如果zkVM足夠安全，也并不意味著它是正確的，安全性指的是聲稱的公差，而不是實際實現(xiàn)的公差。只有當zkVM既完全正確又足夠安全時，才能說zkVM在聲稱的公差范圍內(nèi)是可靠的。

信任假設(shè)

· 假設(shè)證明者和驗證者的誠實性，以得出zkVM可靠運行的結(jié)論。

當zkVM具有信任假設(shè)時，通常采用可信設(shè)置過程的形式。在使用該證明系統(tǒng)生成第一個證明之前，ZK證明系統(tǒng)的設(shè)置過程將運行一次，以生成一些稱為“設(shè)置數(shù)據(jù)”的信息。在可信設(shè)置過程中，一個或多個個體生成一些隨機性，這些隨機性被合并到設(shè)置數(shù)據(jù)中，并且需要假設(shè)這些個體中至少有一個刪除了他們合并到設(shè)置數(shù)據(jù)中的隨機性。

實踐中有兩種常見的信任假設(shè)模型。

“誠實的大多數(shù)”信任假設(shè)表明，人數(shù)為N的一組人中，超過一半的人在與系統(tǒng)的某些特定交互中表現(xiàn)是誠實的，這是區(qū)塊鏈常用的信任假設(shè)。

“1 / N”信任假設(shè)表明，在人數(shù)為N的一組人中，這些人中至少有一個人在與系統(tǒng)的某些特定交互中表現(xiàn)為誠實的，這是基于MPC的工具和應(yīng)用程序通常使用的信任假設(shè)。

人們普遍認為，在其他條件相同的情況下，沒有信任假設(shè)的zkVM比需要信任假設(shè)的zkVM更安全。

（2）zkVM三難困境：zkVM中速度、效率和簡潔性的平衡

速度、效率和簡潔性都是可擴展的屬性。所有這些因素都會增加zkVM的最終用戶成本。如何在評估中對它們進行權(quán)衡取決于應(yīng)用程序。通常，最快的解決方案并不是最有效或最簡潔的，最簡潔的解決方案并不是最快或最有效的，以此類推。在解釋它們之間的關(guān)系之前，讓我們先來定義一下各個屬性。

速度

· 證明者生成證明的速度有多快

· 以掛鐘時間計算，即計算從開始到結(jié)束所經(jīng)過的時間

應(yīng)該根據(jù)具體的測試程序、輸入和系統(tǒng)來定義和衡量速度，以確保可以對速度進行定量評估。這個指標對于延遲敏感類的應(yīng)用程序來說是至關(guān)重要的，在這些應(yīng)用程序中，證明的及時可用性是必不可少的，但是它也帶來了更高的開銷和更大的證明。

效率

· 證明者消耗的資源，越少越好。

· 近似于用戶時間，即程序代碼所花費的計算機時間。

證明者消耗兩種資源：內(nèi)核時間和空間。因此，效率可以細分為內(nèi)核時間效率和空間效率。

內(nèi)核時間效率：prover跨所有內(nèi)核運行的平均時間乘以運行prover的核心數(shù)量。

對于單核prover來說，內(nèi)核時間消耗和速度是一回事。對于在多核系統(tǒng)上以多核模式運行的多核功能prover來說，內(nèi)核時間消耗和速度不是一回事。如果一個程序在5秒內(nèi)充分利用了5個內(nèi)核或線程，那么這將是25秒的用戶時間和5秒的掛鐘時間。

空間效率：指已使用的存儲容量，如RAM。

將用戶時間作為運行計算所消耗的能量的代理是非常有趣的。在幾乎所有內(nèi)核都被充分利用的情況下，CPU的能量消耗應(yīng)該保持相對恒定。在這種情況下，一個受CPU限制的、主要是用戶模式的代碼執(zhí)行所花費的用戶時間應(yīng)該大致與代碼執(zhí)行所消耗的瓦時（即能量）成線性比例。

從任何具有足夠規(guī)模的證明操作的角度來看，節(jié)約能源消耗或計算資源的使用應(yīng)該是一個有趣的問題，因為證明的能源費用（或云計算費用）是相當大的操作成本。由于這些原因，用戶時間是一個有趣的衡量標準。較低的證明成本允許服務(wù)提供商將較低的證明價格傳遞給成本敏感型客戶。

這兩種效率都與證明過程的能量消耗和證明過程所使用的資金量有關(guān)，而資金量又與證明的財務(wù)成本有關(guān)。為了使衡量效率的定義可操作，該定義必須與一個或多個測試程序、每個程序的一個或多個測試輸入以及一個或多個測試系統(tǒng)相關(guān)。

簡潔性

· 生成的證明的大小和驗證它們的復雜性

簡潔性是三個不同指標的組合，按證明驗證的復雜性進一步細分為：

· 證明大?。鹤C明的物理大小，通常以千字節(jié)為單位。

· 證明驗證時間：驗證證明所需的時間。

· 證明驗證空間：證明驗證時的內(nèi)存使用情況。

驗證通常是單核操作，因此在此情境中，速度和內(nèi)核時間效率通常是一回事。與速度和效率一樣，簡潔性的定義需要指定測試程序、測試輸入和測試系統(tǒng)。

定義了每個性能屬性后，我們將演示優(yōu)化一個屬性而非其他屬性所產(chǎn)生的影響。

· 速度：快速的證明生成導致證明更大，但證明驗證速度較慢。生成證明消耗的資源越多，效率越低。

· 簡潔性：Prover需要更多的時間來壓縮證明。但證明驗證速度很快。證明越簡潔，計算開銷就越高。

· 效率：最大限度地減少資源使用，將減緩證明生成的速度，降低證明的簡潔性。

一般來說，針對一方面進行優(yōu)化意味著另一方面得不到優(yōu)化，因此需要進行多維分析，以便在逐個案例的基礎(chǔ)上選擇最佳解決方案。

在評估中對這些屬性進行權(quán)衡的一個好方法可能就是為每個屬性定義可接受的程度，然后確定哪些屬性是最重要的。應(yīng)該對最重要的屬性進行優(yōu)化，同時在所有其他屬性上保持足夠好的水平。

下面我們總結(jié)了各屬性及其關(guān)鍵考慮因素：

以上就是腳本之家小編給大家分享的zkVM零知識證明是什么?一文詳解zkVM的詳細解讀了，希望此篇教程能夠幫助大家更好的了解未來行情走勢。

你可能感興趣的文章

• 

  加密貨幣空投有哪些類型？如何安全領(lǐng)取空投代幣？完整指南

  隨著區(qū)塊鏈技術(shù)的不斷發(fā)展，空投（Airdrop）已成為加密項推廣的重要式,簡單來說，空投就是免費發(fā)放加密貨幣，的是吸引更多戶關(guān)注項目并參與其中,對新來說，空投是種低檻的 …

  2025-09-23
• 

  區(qū)塊瀏覽器怎么用？怎么查看鏈上數(shù)據(jù)和轉(zhuǎn)賬狀態(tài)？

  區(qū)塊瀏覽器是一種專門用于查詢和瀏覽區(qū)塊鏈信息的工具，本質(zhì)上是區(qū)塊鏈的 “搜索引擎”, 它能實時瀏覽和查詢區(qū)塊鏈上的區(qū)塊高度、交易記錄、地址、代幣等信息，將復雜的鏈…

  2025-09-23
• 

  2025年如何挖掘萊特幣 (LTC)幣？挖礦教程、收益分析

  萊特幣誕生于 2011 年，是比特幣的一個分叉，旨在成為更輕量、更快速的支付網(wǎng)絡(luò),它采用 Scrypt 算法，這是一種不同于比特幣 SHA-256 的哈希算法，最初的設(shè)計目的是降低挖礦…

  2025-09-23
• 

  什么是跨鏈橋？市面上有哪些跨鏈橋？一文介紹

  什么是跨鏈橋？跨鏈橋在加密貨幣領(lǐng)域發(fā)揮著至關(guān)重要的作用，它實現(xiàn)了不同區(qū)塊鏈網(wǎng)絡(luò)之間的資產(chǎn)轉(zhuǎn)移,這是必要的，因為每個區(qū)塊鏈都按照自己的規(guī)則獨立運行，因此無法直接在…

  2025-09-23
• 

  DeFi 3.0是什么？DeFi 3.0 代幣、功能、工作原理介紹

  去中心化金融 (DeFi) 已經(jīng)徹底改變了人們對貨幣、借貸和投資的認知,從早期簡單的借貸協(xié)議到如今高度復雜的收益挖礦方法，DeFi 不斷發(fā)展演變,這種演變的最新階段就是人們所…

  2025-09-23
• 

  DePINFi是什么?有哪些分類?DePINFi的趨勢的優(yōu)勢和挑戰(zhàn)介紹

  DePINFi 是“去中心化物理基礎(chǔ)設(shè)施網(wǎng)絡(luò)金融”的縮寫，是去中心化物理基礎(chǔ)設(shè)施網(wǎng)絡(luò) (DePIN) 與去中心化金融 (DeFi) 的交匯點,下面小編就為大家詳細介紹一下它吧…

  2025-09-22
• 

  Base生態(tài)核心項目有哪些?一文速覽值得關(guān)注的20個Base生態(tài)項目

  本文將推薦Base生態(tài)中值得關(guān)注的20個項目，通過梳理這些項目的市場定位和資本表現(xiàn)，來判斷Base生態(tài)的真實厚度，并進一步揭示其未來增長的動力來源,這不僅是對Base App轉(zhuǎn)型…

  2025-09-22
• 

  一文盤點Web3 AI的11個潛力項目：不要錯過的造富列車

  Web3 AI為普通人提供了參與AI財富創(chuàng)造的機會，不同于傳統(tǒng)AI的精英化,以下是我們精選的 Web3 AI領(lǐng)域最具潛力的項目和方向,Web3 AI的造富列車已經(jīng)啟動，現(xiàn)在上車還來得及…

  2025-09-22
• 

  什么是加密貨幣完全稀釋估值FDV？怎么算？為何代幣解鎖可能意味著上漲

  什么是加密貨幣完全稀釋估值FDV？為何代幣解鎖可能意味著上漲？FDV 考慮的是代幣的總供應(yīng)量，而流通供應(yīng)量指的是當前市場上實際交易的代幣,理解 FDV 有助于全面評估一個項…

  2025-09-20
• 

  什么是加密貨幣市值？市值為何重要？如何影響加密貨幣價格？

  市值，通常被稱為“市值”，是一個反映加密貨幣總價值的財務(wù)指標,它是通過將加密貨幣的當前價格乘以其總流通供應(yīng)量來計算的,本文深入探討了加密貨幣市值的含義、計算方法以…

  2025-09-19