道的力量：我怎样才能停止忧虑，爱上诚实

建立仪式可以为合作社区和实施仪式的项目提供机会。它们代表了一个拥抱的机会，而不是一个必须克服的邪恶。

零知识证明（zerocoin-knowledge-proof，zkp）自第一次在零币和零现金中实现以来，在加密货币领域有着非常重要的历史。早期的实现从广义上讲是针对隐私的，zkp只是开始被用于比模糊处理更强大的功能。例如，zkrollups在以太坊上实现了更大的事务吞吐量，而诸如halo之类的递归证明结构正被用来创建压缩区块链；诸如“必要工作量证明”之类的建议使用zksnark的功能在网络的共识层提供安全性；借助zexe等结构，zkp使得进行链外计算甚至一种新的编程模成为可能。

“零知识证明”经常被作为一个整体引用，但重要的是要记住，zkp有许多不同的类。严格来说，zkp方案是一种“零知识”方案。在这个方案中，证明的验证者不知道要证明的语句是如何被证明的。Zkp可以是交互式的，验证者可以直接与验证者进行交互；它也可以是非交互式的，并且证明者可以独立地生成证明。有几种类的非交互zkp满足这个条件

非交互式零知识论证（NIZK）

简单非交互式零知识论证（snarg）

简单的非交互式零知识论证（snark或zksnark）

由于它的简单性和效率，zksnark与加密货币最为相关。生产环境的第一个snark是基于Pinocchio的，它最初用于zcash。后来，zcash和其他几个项目采用了Jens gross在2016年的论文“groth16”中描述的zksnark。

尽管zksnark很受欢迎，但它有两个主要缺点。

首先，非泛zksnarks（比如groth16）是特定于给定NP关系的。换句话说，证明是程序特定的，这限制了方案的灵活性。

其次，为了生成和验证任何zksnark证明，我们需要生成一个公共引用字符串（CRS）。可以认为，这个过程是创建一个只有系统“知道”的秘密。任何知道如何生成CRS的人都可以伪造证书，从而破坏其可靠性。

学术界对一般snark（如marlin、plonk等）的研究在很大程度上解决了第一个问题，但即使是这些解决方案也需要CRS。它确实有零知识证明结构没有CRS，例如stars和bulletproof。然而，尽管它们都有很好的应用，但zksnark（特别是非通用Snark，如groth16）在证明规模和验证速度上都无法超越。zksnark的验证是常数时间，这对于加密货币特别有用。这意味着无论要证明的陈述的大小，验证者检查证明所要做的工作量都是相同的。

因此，zksnark仍然是许多面向隐私的区块链应用程序的首选工具。然而，这些系统的安全性很大程度上取决于CRS产生的安全性。因此，在所谓的“设置仪式”中安全地生成CRS的方法将继续具有重要意义。当然，可以以可信的中心化式方式生成这些参数，但这与去中心化的目标不兼容。到目前为止，zksnark设置程序中使用的首选技术是多方计算（MPC）。

货币政策委员会的计划试图确保任何一方都不能产生或获得有关货币政策委员会基本数学结构的知识。它通过要求生成过程在尽可能多的独立参与者之间共享来实现这一点。只有少数人（甚至只有一个人）需要诚实行事，以确保设置的安全性。2015年，Eli Ben Sasson、Alessandro chiesa、Matthew green、ERAN tromer和madars virza提出了一种改进的MPC结构，即使除一个参与者外的所有参与者都已损坏，也可以生成安全参数。Zcash使用这个方案为Zcash的第一个版本“sprout”生成CRS。尽管仪式很新奇，但参加仪式却很麻烦，而且仅限于可以信任的能够正确举行仪式的专家。此外，由于参与程度有限，人们普遍认为所需的信任水平仍然过高，这与zksnark的去中心化系统以确保安全的理想相矛盾。

从那时起，设立仪式的目标就是最大限度地增加能够参与该项目的诚实和独立的参与者的数量。因为如果有很多独立的参与者，那么凭直觉，每个人不诚实的概率都会降低到可以忽略不计的水平。因此，技术创新的目标是扩大这些仪式的能力，以支持尽可能多的参与者。

前面提到的方案的一个问题是，必须事先知道参与者的人数。肖恩·鲍、阿里尔·加比松和伊恩·迈尔斯在2017年的MMORPG论文中描述了格罗斯16设定的MPC仪式的变体，包括两个阶段。现在我们称第一阶段为“τ的幂”，这是所有小于给定大小电路的通用设置。第二阶段将tau阶段的输出转换为特定关系的CRS。在该方案中，协调器用于管理参与者之间的消息。这扩展了处理流程，理论上使其能够支持数百甚至数千个参与者。虽然有协调器，但MPC的输出仍然可以独立验证，以维护安全性。自论文首次发表以来，陶礼的权力已成为行业标准。例如filecoin、ETHereum（信号量）和zcash（“树苗”）都使用它为他们的系统生成CRS。图1（下图）直观地描绘了头仪式的力量。

虽然MMORPG比较流行，但它的缺点是设置仍然是一个串行过程。更具体地说，一个参加货币政策委员会仪式的人一次只能参加一次。因为CRS与电路的大小成线性关系，一次贡献可能需要很长时间，所以设置仪式不太可能吸引参与者。最近，ETHuny基金会的Justin Drake提出了一种叫做“乐观流水线”的解决方案。关键的洞察是，贡献可以同时应用到CRS的不同部分，这样参与者就可以做出MMORPG仪式贡献并采取行动。因此，参与者无需等待轮到自己，就可以在同一时间为给定的回合做出贡献。我们将使用此方法的设置描述为“乐观设置”。CELO的最新成立仪式；普卢莫；这个方案也用于阿莱奥即将举行的安装仪式。

除了纯粹的去中心化和安全问题，团队越来越将这些仪式本身视为自己的产品。例如，龙卷风。现金；举办了一个安装仪式，让用户能够直接从网络浏览器中进行投稿，结果创下1114人的参赛纪录。tornado设置的成功表明，与以往被视为必要的罪恶的仪式相比，现代设置仪式将用户体验放在首位和中间，不仅鼓励更多的贡献，而且可以视为产品。

这些仪式的操作变得更加简单。最初的MMORPG方案使用一个中央“协调器”来管理参与者之间的消息，并组装和聚合通信脚本。历史上，此角色是手动执行的。但最近，团队已经投资实现流程自动化（参见CELO的plumo仪式和；这不仅从人力资源的角度降低了仪式的强度，而且减少了出错的可能性，使仪式更加安全。有关乐观设置如何工作的解释，请参见图2（下图）。

尽管许多人认为生成CRS的要求是zksnark的主要缺陷，但它相对于其他zkp方案的效率优势却不容忽视。这就是为什么他们仍然是行业标准，为什么这么多的团队和研究人员发展和改进这些仪式到今天。由于协议效率的提高、用户体验的改善和任务的自动化（如协调人），现在参加设置仪式比以往任何时候都要容易，最近的仪式的参与者数量反映了这一点。最初的zcash仪式只有六名参与者，但是现代的仪式可以提供更多的支持。此外，由于只需要一个诚实的参与者来保证CRS的安全性，参与者越多通常意味着更高的安全性，因为每个独立的参与者使得完全合谋更不可想象。

事实上，即使CRS是通过仪式生成的，安全声明也不能用数学公式表示。然而，许多密码系统都是基于一些抽象的假设。例如，我们确信SHA-256是一个反碰撞哈希函数，因为还没有人发现碰撞，而不是因为任何数学证明（事实上，数学允许我们证明相反的结论：一定有碰撞）。但由于sha256的碰撞概率很低，无需考虑，因此被广泛应用。

同样地，很难（理解为：不可能）尝试确定每个参与者诚实地参与设置仪式的平均概率，从而从数学上证明生成的系统是安全的。然而，随着参与者数量的增加，即使与广泛使用的密码方案和对参与者的极度悲观的假设相比，这些概率也趋于降低。事实上，参与者的数量与安全参数相似，在密码学理论中，安全参数作为一个可调参数，为不同的值提供不同的“安全级别”。

这一创新使得设置仪式更加高效，体现了zkp研究的惊人步伐。解决方案变得越来越有效，使应用程序变得实用，并鼓励进一步的创新和发展。这导致一个改进的zkp曲线类似于摩尔定律。现在甚至有所谓的“透明”zksnarks（例如；分形；以及；超音速），这消除了对可信设置的需要。尽管有这些创新，但groth16等现有zksnarks的效率意味着它们在未来几年可能会继续使用。建立仪式可以为合作社区和实施仪式的项目提供机会。所以他们代表了一个拥抱的机会，而不是一个必须克服的邪恶。