11月8日下午，由巴比特主办的“2019世界区块链大会·乌镇”继续进行，在分论坛“技术改变世界：区块链底层基础设施”上，斯坦福大学计算机科学系博士、密码学专家、Findora CTO Ben Fisch发表了《金融和零知识证明系统的透明度：Supersonic - 一次超音速的突破》主题演讲。

Ben Fisch在会上表示，比特币、以太坊以及Libra的隐私性都很糟糕，而想要同时兼顾隐私和可审计性，可使用零知识证明方案来解决，其对比了几种零知识证明方案，包括SNARKs、STARKs、Groth16、Bulletproofs以及他们所使用的Supersonic。据Ben Fisch表示，Supersonic的证明大小非常小，验证快，而且其不需要可信设置，适合各种复杂度的隐私交易。

以下是Ben Fisch现场演讲内容，经巴比特整理。

我叫Ben Fisch，我讲的是金融和零知识证明系统的透明度，我是Findora公司的联合创始人。我们知道金融其实一直存在，我们也看到金融行业有数据孤岛的现象，所以当你把金钱存在账户中，你并不知道他们把你的钱用到哪里，你没有方式证明你存在银行的钱会发生什么样的故事。

我们也看到过去有金融上的欺诈案例，这些欺诈金融案例就出现了数据孤岛的问题。

而我们相信，区块链将会在未来为金融机构带来更多的应用。

我可以把所有的资产放到一个透明的，让所有的客户都可看到的方式和方法上。

我们在整个过程当中不需要有任何的审计员来进行账本的审计，我们只需要知道源头的数据是正确的，并且区块链的数据是不可篡改的，那么整个数据就是可用的。

而对于我们的隐私保护来说，这同时也需要合规性，我们需要客户的信任。

当我们说到关于全球的账本时，我们首先可以看到一些应用，比如说比特币，但是比特币的问题是它没有任何隐私性。

如图左所示，我们通过研究表明追踪比特币交易容易实现的。同时因为比特币的产生，现在整体的追踪已变成一个商业化的行为。这就是为什么说比特币对于商业应用而言，其实它并不那么适用，因为每个人都可以在比特币平台看到不同交易的参与方。

而现金交易，它是最原始的交易方式，其优缺点分别如下：

1. 它非常难以追踪，同时它是分散型的；
2. 但它的缺点是非常贵，你需要把它印刷出来，同时它也要求物理的相互作用，它不是全球性的，也不可以被审计，你必须要面对面交易才可以使用它们。

同时我们看到，我们以前总是要在隐私性和可审计性等问题上做权衡，但随着目前区块链新技术的突破，我们就可以看到以上的这些缺点可被极大地限制。

另外，关于隐私的保护，我们认为Libra没有什么意思，大家什么都能看到。像支付宝、微信，它们对公众来说是保护隐私的，但对服务器而言就没有什么隐私可言了。

如何在隐私和公共审计之间做一个很好的平衡？

一方面在公共账本上它又有很好的隐私保护，但同时又可以进行公共的审计。我们可以用零知识证明来做这样的一种安排，比如说我们在比特币上，它就没有什么隐私保护，大家什么都能看到。但如果我们要保护隐私，我们就可以使用加密算法，就是说我们不知道具体的金额是多少，但是我们还是能够对它进行证明。这样的话，我们就可以对它进行审计，以及在隐私之间建立很好的保护。在这里，我们可以通过零知识证明的方法来保护隐私。

可以看到这是我们和核审员之间，来证明它的答案是正值。我们可以看到核审员不知道X是多少，但是他知道它是正的，他也知道我们肯定是知道的。在这里还可以做成非交互式的零知识，他们只需要传递一个答案就可以了，我们这里就需要一些公众的参数，可以看到Victor会去检查π，看看它对不对，然后通过一个很简单的答案，他就确信X是正的。

我们提一下SNARK，它是一个非常有效、快速的零知识证明，有时候需要非常简洁的答案就够了。我们在核算的时候，算的非常快，而且数据很小。

我们看到零知识证明可以帮我们带来很多保护隐私的功能，比如说从保密的金钱汇款，还有资产的管理。

说到合约的时候，我们可以评估合约的资质来证明合约的可效性。比如说我们可以证明这个投资基金有偿付能力，或者整个账户在公链上有加密的价值。我们还可以证明我们的资产是在白名单上，我们可以避免挪用，等等。

零知识证明家族的对比，Supersonic脱颖而出

我们再来简单分析一下几大零知识证明方案的特点。比如说Groth16，它非常小、非常快，但它需要可信设置。还有STARKs，放在区块链上基本上不可用，因为它太大了，但它比较快。还有Bulletproofs，我们可以看到它的证明比较短，而且有很好的隐私保护，但它比较慢，因此它可能不适用于特别复杂的证明，但是它特别适用于复杂程度中等的交易。我们也用了不少Bulletproofs，比如说交易的时候要隐藏金额，我们就可以用Bulletproofs。但如果要证明他是否有偿付能力，就不能用Bulletproofs了。

可以说用Supersonic（超音速）零知识证明来证明特别复杂的参数，我们可以在几毫秒之内完成。

这就是Supersonic（超音速），可以说这是第一个非常短的，而且不需要可信设置的零知识证明方案。

中等复杂的交易，我们可以用Bulletproofs，而我们现在所使用的Supersonic，不管交易是否复杂，都是适用的。