三十年来,密码学界有一条被视为铁律的定论:零知识证明必须依赖互动,没有来回问答,就没有真正的保密。但2025年,普林斯顿高等研究院博士后拉胡尔·伊兰戈(Rahul Ilango)用一篇论文打破了这个"不可能",他的武器,是数学本身的局限。
这项研究被命名为《密码学中的哥德尔》,并在2025年IEEE计算机科学基础研讨会(FOCS)上荣获麦科蒂奖。它将逻辑学巨匠哥德尔1931年的不完备性定理,与现代密码学中最前沿的工具缝合在了一起。
先说说零知识证明是什么
Shafi Goldwasser(左)、Silvio Micali(右)和 Charles Rackoff 设计了一种方法,可以在不透露任何原因的情况下证明某个陈述是正确的。©ACM,2013
零知识证明的核心魔法是:我能向你证明我知道某件事,而不透露那件事本身的任何细节。
举个具体的例子。假设有人完成了一道极难的数独,他想让你相信这道题有解,但又不愿把答案告诉你。传统的证明方式只有一种——把答案摆出来。而零知识证明提供了一条截然不同的路径:证明者和验证者通过多轮互动,一问一答,每轮随机选取部分信息验证,最终让验证者确信答案存在,却始终无法拼出完整答案。
这项技术自1985年由密码学家沙菲·戈德瓦瑟、西尔维奥·米卡利和查尔斯·拉克夫发明以来,已经深深嵌入现代数字世界。你用密码登录网站时,网站验证的就是这种"我知道密码"的证明,而不是密码本身。区块链上的隐私交易,数字身份核验,都依赖它的支撑。
马克·贝兰/ 《量子杂志》
但互动性一直是零知识证明挥之不去的限制。1994年,密码学家戈尔德赖希和奥伦正式证明:严格意义上的非交互式零知识证明,根本不可能存在。没有问答,就无法保密。这个结论此后被当作常识接受了整整三十年。
哥德尔走进密码学
伊兰戈的突破口,来自一个意想不到的方向。
他在麻省理工学院攻读博士时,对"证明复杂性"这个冷门领域产生了兴趣。这个领域研究的不是解题有多难,而是证明一道题的结论有多难,具体来说,就是衡量一个命题最短证明的长度。在这里,哥德尔不完备性定理的影子无处不在:有些命题原则上可以被证明,但任何一个证明过程都长到根本无法写下来,实际上和"不可证明"没有区别。
库尔特·哥德尔证明了某些数学命题是正确的,但却无法证明。 阿尔弗雷德·艾森斯塔特/公共领域
伊兰戈的洞察是:这种"难以证明"的性质,也许可以被密码学所利用。
他的方案核心是重新定义"零知识"。传统的零知识证明,要求存在一个"模拟器",能够在不知道秘密的前提下,完整复现整个证明过程,就好像证明者从未透露任何信息一样。而伊兰戈提出:如果能证明"根本无法证明模拟器不存在",是否就够了?
这个问题的答案,他用哥德尔的工具给出了。伊兰戈在证明命题中嵌入了一个额外的前提——"数学的基本公理系统不存在内在矛盾"。这个假设极可能是真的,数学家们几乎普遍相信它,但哥德尔早已证明,它在原则上无法被正式证明,而且任何试图证明它的推导都会无限延伸,根本无法完成。
这就造成了一个微妙的认知盲区。验证者无法百分之百确认自己身处"公理一致的世界",尽管几乎肯定如此。而在那个极度小概率存在的"公理矛盾世界"里,1994年的不可能性结论不再成立,模拟器可以存在。于是,验证者永远无法彻底排除模拟器存在的可能性,这正是零知识所需要的保密效果。
加州大学洛杉矶分校密码学家阿米特·萨海在看到这篇论文时直言:"这真的令人匪夷所思,第一次看到时,你会想,'等等,这到底是什么鬼?'"
一扇新门的开启
伊兰戈的"有效零知识证明"在实践中能提供与传统零知识完全相同的安全保障,因为那个"数学崩溃的世界"实际上不存在,攻击者根本无从利用任何漏洞。而它带来的好处是革命性的:证明者不需要等待对方提问,可以直接写出一份完整的书面证明,验证者拿到就能确认,整个过程无需任何来回。
这对密码学的实际应用意义深远。目前伊兰戈已将目光投向医疗数据隐私保护领域:如果机器学习公司能在不接触患者个人信息的前提下训练模型,新型密码工具将成为关键基础设施。
约翰·霍普金斯大学密码学家阿比舍克·贾恩评价说:"有时候,你只需要给人们开一条小门就行了,这不会是孤例。"
数学不可知的边界,第一次成为守护秘密的武器。
热门跟贴