零知识证明入门手册1零知识证明入门手册第一部分，介绍了零知识证明的概念，并用分割问题为例阐述了如何进行证明、如何把证明变

翻译自：www.shirpeled.com/2018/09/a-h…

零知识证明

零知识是如下类型的故事：A陈述了一个声明，并向B证明该声明，在他们之间经过了一些信息交互后：

B可以确信声明有99.99999%的概率是真的。
B在该过程中没有学习到任何知识，除了声明是真的。

本节首先讲述 "零知识的知识论据(ZK arguments of knowledge)",这与零知识证明并不完全一样，但足够接近。概况来说：一个零知识证明的证据是可以被完全信任的，即使试图证明声明的人（通常被称为证明者）有着无限的算力。信任“零知识的知识论据”需要满足下面的假设：如果证明者确实想作假，这会是多项式界限的。

在零知识证明的世界中，交换信息的另一方被称为“验证者”。下面将沿用该术语。

分割问题

给定一个数字的序列 $a_0,a_1,...,a_{n-1}$ , 能否将该序列分割为两个子集合，使得两个子集合的和相同？

如果问题中的序列是 $1,9,0,8,2,2$ ,那答案明显是可以，因为有 $2+9=8+1+2+0$ 。

然而，如果序列是 $2,3,4,5,6,7$ ,那答案是否，因为和是一个奇数，不可能两个子集合的和正好是奇数的一半（这些数字都是整数）。

尽管这是些简单的实例，通常这个问题是NP完全的（即使它有个伪多项式时间的算法）。

开始证明

假设我们有个数字的python列表 $l$ ，定义了我们的分割问题实例。我们认为另一个列表 $m$ 是一个满足的分配，如果

$len(m) == len(l)$
$m$ 中所有的元素都是 $1$ 或 $-1$
$l$ 和 $m$ 的点积是0。

这等价于分割问题的陈述。如果我们认为 $m$ 中的‘1’，是将它对应的 $l$ 中的数字放在等式左边，‘-1’是放在等式右边。

让我们重写 $l$ 与 $m$ 点积的部分和的列表。用数学表达为 $p_i=\sum_{0\leq k<i} l[k]\cdot m[k]$

因此，如果 $l=[4,11,8,1]$ , 而且 $m = [1,-1,1,-1]$ ,那么 $p$ 将是更长的元素 $p=[0,4,-7,1,0]$ 。

注意到 $p$ 现在有两个有趣的属性，如果 $m$ 确实是满足的分配：

（p的属性1）它以0开始和结尾

（p的属性2）对每个 $0 \leq i< n$ , 都有 $|l[i]| = |p[i+1]-p[i]|$

所以有了第一个简单的零知识协议的草案：

验证者选择随机的 $0 \leq i \leq n$ , 如果 $i=n$ , 验证者要求证明者提供 $p[0]$ 和 $p[n]$ 并检查他们都为0.

否则，验证者要求证明者提供 $p[i]$ 和 $p[i+1]$ 并检查确实有 $|l[i]| = |p[i+1]-p[i]|$ （ $l$ 是验证者已知的，作为证明者发出的声明的一部分）。

证明者撒谎怎么办？？？

上面的示例包含了一个隐含的假设：验证者要求证明者提供数据时，证明者会诚实的提供。我们并不认为会这样、这个问题将在下一篇文章中讨论，现在我们假设所有参与者都是诚实的。

这没有证明任何事！

细心的读者会指出，询问一个单独的元素并不意味着什么。这是正确的，我们将进行多次查询，并在足够多的查询后，我们确信声明是正确的。我们将在第三篇文章进行更精确的量化。

这并不是零知识！

每一次查询都揭示了关于 $m$ 的信息，因此它并不是零知识的。因此，在足够多的查询之后, $m$ 可以被完全揭示。

这是糟糕的，让我们修复这个问题

制造零知识

从数学的角度来讲，我们通常会说一些信息没有提供新知识，如果这些信息是随机的，更确切地说---是指信息是均匀地分布在合理选择的域上。在没有了解“提取（exact）”定义前，要想使某些信息变成零知识的，需要将这些信息和随机混合在一起。这是我们的做法：

并不需要把 $m$ 揭示给我们，我们需要掷一枚硬币。如果是正面，我们将不对 $m$ 作处理，如果是反面，我们将 $m$ 的所有元素乘以 $-1$ 。注意到元素被初始化为 $1$ 和 $-1$ ，而且与 $l$ 的点积被初始化为0，这并没有改变它与 $l$ 的点积。
我们选择一个随机数 $r$ ,将它与 $p$ 中所有的元素相加，这并没有影响到 $p$ 的第二个属性，但改变了第一个属性，现在 $p$ 的第一个元素和最后一个元素也许不是0。然而，他们必须与另一个保持一致。

现在假设在每次查询前，我们重新生成随机数（抛硬币并改变 $m$ ,选择随机数 $r$ ,并将其添加在 $p$ 元素中）。

如果我们仔细选择 $r$ ,那么 $p$ 中每两个连续元素将会不同，由于 $l$ 中对应的元素看起来更随机。

下面是我们所需要的代码的第一部分，这段代码输入问题(比如 $l$ )和一个满足的分配（比如 $m$ ）并构建一个证据（比如 $p$ ），该证据可以证明问题实例的可满足性。

imort random

def get_witness(problem, assignment):
    """
    Given an instance of a partition problem via a list of numbers (the problem) and a list of
    (-1, 1), we say that the assignment satisfies the problem if their dot product is 0.
    """
    sum = 0
    mx = 0    
    side_obfuscator = 1 - 2 * random.randint(0, 1)
    witness = [sum]
    assert len(problem) == len(assignment)
    for num, side in zip(problem, assignment):
        assert side == 1 or side == -1
        sum += side * num * side_obfuscator
        witness += [sum]
        mx = max(mx, num)
    # make sure that it is a satisfying assignment
    assert sum == 0
    shift = random.randint(0, mx)
    witness = [x + shift for x in witness]
    return witness