戰(zhàn)爭中你被俘了,敵人拷問你情報。你是這么想的:如果我把情報都告訴他們,他們就會認(rèn)為我沒有價值了,就會殺了我省糧食,但如果我死活不說,他們也會認(rèn)為我沒有價值而殺了我。怎樣才能做到既讓他們確信我知道情報,但又一丁點情報也不泄露呢?
這的確是一個令人糾結(jié)的問題,但阿里巴巴想了一個好辦法,當(dāng)強(qiáng)盜向他拷問打開山洞石門的咒語時,他對強(qiáng)盜說:“你們離我一箭之地,用弓箭指著我,你們舉起右手我就念咒語打開石門,舉起左手我就念咒語關(guān)上石門,如果我做不到或逃跑,你們就用弓箭射死我。”
強(qiáng)盜們當(dāng)然會同意,因為這個方案不僅對他們沒有任何損失,而且還能幫助他們搞清楚阿里巴巴到底是否知道咒語這個問題。阿里巴巴也沒損失,因為處于一箭之地的強(qiáng)盜聽不到他念的咒語,不必?fù)?dān)心泄露了秘密,而且他確信自己的咒語有效,也不會發(fā)生被射死的杯具。
強(qiáng)盜舉起了右手,只見阿里巴巴的嘴動了幾下,石門果真打開了,強(qiáng)盜舉起了左手,阿里巴巴的嘴動了幾下后石門又關(guān)上了。強(qiáng)盜還是有點不信,說不準(zhǔn)這是巧合呢,他們不斷地?fù)Q著節(jié)奏舉右手舉左手,石門跟著他們的節(jié)奏開開關(guān)關(guān),最后強(qiáng)盜們想,如果還認(rèn)為這只是巧合,自己未免是個傻瓜,那還是相信了阿里巴巴吧。
“零知識證明”說的是示證者向驗證者表明他知道某種秘密,不僅能使驗證者完全確信他的確知道這個秘密,同時還保證一丁點秘密也不泄露給驗證者。阿里巴巴的這個方案,就是認(rèn)證理論“零知識證明”的一個重要協(xié)議。
除了被俘后如何靠情報保命這個問題,零知識證明在社會領(lǐng)域中還有著很多應(yīng)用場合。例如你證明了一個世界級的數(shù)學(xué)難題,但在發(fā)表出來之前,總是要找個泰斗級的數(shù)學(xué)家審稿吧,于是你將證明過程發(fā)給了他,他看懂后卻動了歪心思,他把你的稿子壓住,把你的證明用自己的名義發(fā)表,他名利雙收,你郁悶至死,你去告他也沒用,因為學(xué)術(shù)界更相信的是這位泰斗,而不是你這個無名之輩。
這并不是天方夜譚,而是學(xué)術(shù)界常見的難題,前些年有個博士生告他的泰斗級導(dǎo)師剽竊他的成果,但除了令師生關(guān)系惡化外沒有任何效果,最后他使出了撒手锏,稱他在給導(dǎo)師審閱的論文的關(guān)鍵公式中,故意標(biāo)錯了一個下標(biāo),而這會導(dǎo)致整個推導(dǎo)失敗。學(xué)術(shù)委員會一查果真如此,但還是有傾向于泰斗的聲音,有人說那是泰斗的筆誤,只不過讓你發(fā)現(xiàn)了而矣,并不能證明那公式就是你推導(dǎo)出來的。
這個博士生故意標(biāo)錯下標(biāo),不能說他沒有心眼,但他沒有把“零知識證明”理論用好,以致于落到這種地步。“零知識證明”早在1986年就被A.Fiat和A.Shamir用數(shù)學(xué)的方法給出了解決方案,并在同年申請了美國專利,但由于該理論可能被用于軍事領(lǐng)域,專利局被軍方密令擱置,6個月后,軍方命令:“該申請發(fā)表后會有害于國家安全......所有美國人的研究未經(jīng)許可而泄露將會被判刑罰款”。看來軍方認(rèn)為作者肯定是美國人了,但作者實際上是在美國申請專利的以色列人,研究也是在以色列的大學(xué)里做的,軍方這個命令擺了個大烏龍,雖然兩天后撤消了,但已經(jīng)成為了學(xué)術(shù)界的笑柄。
這個笑柄也說明了一個問題,即“零知識證明”非常重要。基于數(shù)學(xué)的推理雖然非常復(fù)雜,但思路卻很簡單,上述的阿里巴巴方案就是其中之一。其它的一些方案,也都是像這樣遵循著分割和選擇(Cut and Chose)協(xié)議的。
例如圖論中有個哈米爾頓回路(Hamiltonian Cyclic)問題,說的是多個頂點的全連通圖,若有一條通路通過了所有頂點,且每個頂點只通過一次,那這就是哈米爾頓回路。如果頂點較多的話,即使用計算機(jī)窮舉計算很難找出這條回路,因為通路的可能性真在是太多了。
如果松鼠會貼了一張全連通圖(命名為A圖)懸賞哈米爾頓回路,而且任命我(奧卡姆剃刀)作為評審官,你幸運(yùn)的找到了一條,那該怎么辦呢,將結(jié)果直接發(fā)給我嗎?千萬不要,因為保不齊我會將你的成果讓給了我的親信。那你該怎么辦呢?應(yīng)該這么辦:
1、你將A圖的頂點搞亂了,并生成一張新圖,只是頂點的位置變了,而新圖頂點之間的連線關(guān)系與A圖是完全一致的。這時,新圖中每個頂點與A圖中每個頂點的對應(yīng)關(guān)系你是清楚的,而且新圖中的哈米爾頓回路你也是知道的。
2、你將這張新圖發(fā)給我,沒錯,就是僅僅一張新圖,上面并沒有畫著你發(fā)現(xiàn)的牛B回路。
3、我收到后,對你提出兩個問題中的一個:一是證明新圖就是從A圖變形過來的,所有頂點和連線的關(guān)系完全一致,二是畫出新圖中的哈米爾頓回路。
4、如果你真的找到了A圖的哈米爾頓回路,這兩個問題當(dāng)然都能輕松回答。需要注意的是:你只需要回答第3步的其中一個問題,千萬不要兩個問題一并回答,否則我就知道你關(guān)于A圖的哈米爾頓回路了,你就SB了。
5、我還是不相信你,因為有可能你只是將A圖變了形,卻根本不知道A圖的哈米爾頓回路,而我在第3步時恰好要求你證明新圖就是從A圖變形過來的,你當(dāng)然能證明。或者有可能你找了個你知道哈米爾頓回路的圖,但這張圖跟A圖一點關(guān)系都沒有,而我在第3步恰好要求你畫出這張圖的哈米爾頓回路。
6、我要求你從第1步開始重復(fù)這個驗證過程,隨著次數(shù)的增加,第5步那種巧合的可能性就越來越低,如果你多次能回答對第3步中的問題,那我還不相信你已經(jīng)找到了A圖的哈米爾頓回路,那我就是一個傻瓜。
7、為了表明我不是傻瓜,我在松鼠會群博里宣布你找到了A圖的哈米爾頓回路,而這時我并沒有看到你所畫的A圖的哈米爾頓回路。
回到你證明了世界級的數(shù)學(xué)難題的問題,你可以用這種分割和選擇協(xié)議來進(jìn)行零知識證明,來保護(hù)你的權(quán)利。你公開聲稱你解決了這個數(shù)學(xué)難題后,驗證者會給你出一個其它的題,而能做出這道題的前提條件是已經(jīng)解決了那個數(shù)學(xué)難題,否則的話無解,而且這個條件是學(xué)術(shù)界所公認(rèn)的,這個題就是所謂的平行問題。不出所料,你靠著已經(jīng)解開數(shù)學(xué)難題的基礎(chǔ)把這個平行問題做出來了,但驗證者還是不信,他又出了一道平行問題,你又做出來了,多次較量后,驗證者就確信了你已經(jīng)解決了那個數(shù)學(xué)難題,雖然他并沒有看到具體的解法。
大家已經(jīng)看出來了,零知識證明需要示證者和驗證者的密切配合,但如果你只是一個數(shù)學(xué)界的無名之輩,即使你宣稱你解決了數(shù)學(xué)難題,也不會有人跟你配合著玩零知識證明,那你該怎么辦呢?
我告訴你一個可以在法庭上都能當(dāng)作有效證據(jù)的招數(shù),你將證明打印好,選擇一個最可靠最權(quán)威的郵政公司,把它寄給自己,當(dāng)你收到這個扣著郵戳的包裹后,不要打開,把它放好,然后就可以把證明寄給數(shù)學(xué)泰斗。如果他用自己的名義發(fā)表了,不必著急,等他依靠其影響力把這個證明炒熱后再出手,你上法庭控告他,他當(dāng)然不承認(rèn),在法庭上你將那個沒開封的包裹拿出來,上面清清楚楚地蓋著時間戳,這就證明了你包裹里的證明是發(fā)生在那個時間戳之前的,加上之后的你郵給泰斗論文的郵件存根,和泰斗以自己名義發(fā)表論文的時間,三者就構(gòu)成了一個完整的證據(jù)鏈,泰斗灰頭土臉名聲掃地,而你大獲全勝名利雙收。