Доказать, не раскрывая: как работает одна из самых красивых идей в криптографии

18.03.2026 · 8 мин чтения

В 2024 году в мире украли 4,2 миллиарда записей с персональными данными — на 178 % больше, чем годом ранее. Средняя стоимость одной утечки достигла 4,88 миллиона долларов (отчёт IBM, 2024). Главный вектор атак — украденные пароли и учётные данные: они стали причиной 16 % всех взломов (ITRC).

А теперь представьте мир, в котором системе не нужен ваш пароль. Не нужна дата рождения. Не нужен номер документа. Мир, в котором вы можете доказать, что имеете право войти, не раскрывая ничего лишнего. Звучит как фантастика, но математики придумали это ещё в 1985 году. Технология называется доказательство с нулевым разглашением — Zero-Knowledge Proof, буквально «доказательство без раскрытия знания».

Что это такое

Обычно, чтобы что-то доказать, нужно что-то показать. Показать паспорт, назвать пароль, предъявить документ. Каждый раз вы отдаёте кусочек информации, и этот кусочек можно украсть, скопировать, использовать против вас.

Доказательство с нулевым разглашением переворачивает эту логику. Оно позволяет убедить другого человека (или компьютер) в истинности утверждения, не раскрывая сам секрет, на котором это утверждение основано.

У идеи три свойства, без которых она не работает:

полнота — если утверждение верно, честный участник всегда сможет это доказать;
корректность — если утверждение ложно, обмануть проверяющего практически невозможно;
нулевое разглашение — из самого доказательства невозможно вытащить секрет.

По-человечески: если ты правда знаешь секрет, у тебя получится это показать. Если не знаешь — почти наверняка провалишься. А наблюдатель при этом всё равно не узнает, в чём именно секрет заключается.

Идея впервые появилась в статье Шафи Голдвассер, Сильвио Микали и Чарльза Ракоффа в 1985 году. Статью отвергали три раза, прежде чем она была принята на конференцию STOC ‘85. В 2012 году Голдвассер и Микали получили за эту работу премию Тьюринга — аналог Нобелевской премии в информатике. Комитет ACM назвал их открытие «парадоксальным понятием доказательства, которое убеждает, но ничего не раскрывает кроме своей истинности» (ACM Turing Award).

В чём суть идеи

В 1989 году криптограф Жан-Жак Кискватер с соавторами опубликовал статью с чудесным названием: «Как объяснить протоколы нулевого знания вашим детям». Пример с пещерой Али-Бабы стал классическим, но я не смог уловить его суть, поэтому пересказал более понятно.

Представьте здание с двумя выходами — парадным и чёрным. Внутри здание разделено стеной, а в стене — дверь с кодовым замком. Если вы не знаете код, вы можете находиться только в той половине, куда вошли. Если знаете — свободно проходите из одной половины в другую.

Алиса утверждает, что знает код. Боб хочет убедиться, но не хочет услышать сам код. Вот что они делают:

Боб отворачивается. Алиса заходит в здание через любой из двух выходов — Боб не видит, через какой.
Боб поворачивается и говорит: «Выйди через парадный вход» (или «Выйди через чёрный» — выбирает наугад).
Если Алиса знает код, она откроет внутреннюю дверь и выйдет откуда угодно. Если не знает, получается, что она застряла в своей половине и может выйти только через тот вход, в который зашла. Шанс угадать правильный выход — 50 на 50.

Одной проверки мало: можно угадать. Но если повторить 20 раз, шанс случайного везения меньше одного на миллион. После 20 успешных попыток Боб практически уверен: Алиса знает код. Но сам код он так и не услышал, ни одной цифры.

Этот пример показывает три ключевые вещи. Во-первых, доказательство строится не на раскрытии информации, а на серии испытаний. Во-вторых, уверенность не абсолютна, но математически достаточна — как в любой серьёзной криптографической системе. В-третьих, секрет остаётся секретом.

От сказки к компьютерам

В реальном мире никто не бегает по зданиям, но есть математические конструкции, которые работают по тому же принципу. Компьютер не видит дверей, но он может проверять математические свойства. Поэтому вместо физического испытания появляется криптографическое доказательство — набор вычислений, результат которых можно проверить, не зная исходных данных.

«Секретным словом» в цифровом мире может быть:

пароль или закрытый ключ;
решение вычислительной задачи;
факт владения данными;
утверждение «мой баланс достаточен для операции»;
утверждение «я имею право выполнить это действие».

Формально в протоколе участвуют двое: доказывающий (prover — тот, кто строит доказательство) и проверяющий (verifier). Проверяющий получает уверенность. Доказывающий сохраняет секрет. Никто не теряет ничего лишнего.

Где это работает уже сейчас

Доказательства с нулевым разглашением — не теоретическая игрушка. Они лежат в основе реальных технологий, которыми пользуются миллионы людей.

Приватные финансовые операции

Криптовалюта Zcash, запущенная в 2016 году, стала первым крупным проектом, использующим zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge — «краткие неинтерактивные доказательства с нулевым разглашением»). При «защищённой» транзакции в Zcash сеть проверяет, что операция корректна, но ни отправитель, ни получатель, ни сумма не раскрываются (документация Zcash).

В блокчейне Ethereum технология пошла ещё дальше. Роллапы с нулевым разглашением (zk-rollups) собирают сотни транзакций в один пакет, генерируют доказательство их корректности и отправляют на основную сеть. Результат — снижение стоимости операций в 10-50 раз при сохранении безопасности. Такие проекты, как zkSync, StarkNet и Polygon zkEVM, запустились в 2023 году и уже обрабатывают десятки миллионов транзакций ежемесячно. Суммарный объём заблокированных средств на zk-роллапах превышает 28 миллиардов долларов (обзор ZK Labs).

Цифровая идентификация без лишних данных

Это, пожалуй, самое понятное и практически важное применение. Представьте, что вам нужно подтвердить возраст на сайте. Сейчас вы загружаете фото паспорта, а значит, отдаёте имя, фамилию, номер документа и точную дату рождения. С доказательством нулевого разглашения можно подтвердить одно утверждение: «мне больше 18 лет» — и ничего больше.

Именно такой подход закрепляет Европейский регламент eIDAS 2.0 (Регламент ЕС 2024/1183, опубликован 30 апреля 2024 года). Он прямо указывает: «государства-члены должны интегрировать технологии защиты приватности, такие как доказательства с нулевым разглашением, в цифровые кошельки идентичности». К декабрю 2026 года все 27 стран ЕС обязаны предоставить гражданам такие кошельки (документация EU ARF).

Microsoft запустил проект ION (Identity Overlay Network) — децентрализованную систему цифровой идентичности на базе блокчейна Bitcoin. Пользователь создаёт идентификатор, а затем может подтверждать факты о себе (возраст, место работы, квалификацию) через доказательства с нулевым разглашением без передачи персональных данных (Microsoft Security Blog).

Polygon ID (сейчас — Privado ID) пошёл ещё дальше: пользователь хранит верифицируемые данные на своём смартфоне и входит в сервисы сканированием QR-кода — без пароля и без передачи документов (анонс Polygon).

Проверка вычислений

Ещё одно мощное применение — верификация. Одна сторона может доказать другой, что посчитала что-то правильно, соблюла правила, получила результат честно, не раскрывая сами данные. Это критически важно для облачных вычислений, систем голосования и любых сценариев, где нужна проверяемость без доверия.

В области электронного голосования исследователи разрабатывают протоколы, позволяющие избирателю доказать, что его голос засчитан корректно, — не раскрывая, за кого он голосовал, и не давая возможности принуждения.

Почему это кажется магией

Нас с детства учат: доказать — значит показать. Покажи домашнюю работу. Покажи паспорт. Покажи исходный код. Криптография говорит: нет, иногда доказать можно именно за счёт того, что ты ничего лишнего не показываешь.

Сильвио Микали сформулировал это так: «Можно получить и то, и другое одновременно — и корректность, и приватность» (интервью для ACM Turing Award). А Виталик Бутерин, создатель Ethereum, заявил ещё более категорично: «В долгосрочной перспективе доказательства с нулевым разглашением будут важнее, чем все остальные блокчейн-примитивы вместе взятые» (ZyCrypto).

Это не «скрытность вместо доверия». Это более высокий уровень контроля: система проверяет только то, что действительно нужно, а всё остальное остаётся закрытым. Лучшая защита данных — не собирать и не раскрывать их без необходимости.

Ограничения

И, конечно, важно показать не только красоту идеи, но и её границы.

Сложная математика и инженерия. Под элегантной концепцией скрывается тяжёлая вычислительная работа: эллиптические кривые, полиномиальные схемы, арифметические контуры. Разработка ZKP-систем требует глубокой экспертизы. Ошибки в проектировании контуров могут создать уязвимости, невидимые на прикладном уровне (обзор на arXiv, 2025).

Доказательства бывают дорогими. Генерация доказательства может занимать секунды или минуты и потреблять много вычислительных ресурсов. Маломощные устройства типа телефонов и датчиков интернета вещей справляются с этим с трудом.

Доверенная настройка. Некоторые системы (в частности, ранние версии zk-SNARKs) требуют начального этапа — доверенной настройки. На этом этапе создаются криптографические параметры; если секретные данные этой настройки не уничтожены, вся система становится уязвимой. Zcash решал эту проблему через церемонию с несколькими независимыми участниками (одним из них, как выяснилось в 2022 году, был Эдвард Сноуден). Более новые схемы, такие как Halo 2 и zk-STARKs, полностью устраняют необходимость доверенной настройки.

Не всё нужно решать через ZKP. Иногда обычная база данных, цифровая подпись или стандартное шифрование проще, дешевле и надёжнее. Доказательство с нулевым разглашением — мощный инструмент, но не универсальный ответ на все вопросы безопасности.

Вывод

Технологии долгое время двигались в одном направлении: собирать всё больше данных о человеке. Больше полей в анкете, больше документов на загрузку, больше баз с персональной информацией — и, как следствие, больше утечек. В 2024 году пострадали 1,73 миллиарда человек (HIPAA Journal).

Доказательства с нулевым разглашением показывают, что сильные технологии могут работать наоборот: доказывать нужное, не забирая лишнее. Не хранить пароль, а подтвердить, что он известен. Не собирать дату рождения, а подтвердить, что возраст достаточен. Не копировать документ, а подтвердить, что он существует.

Будущее безопасности — это не только лучшее шифрование. Это умение минимизировать раскрытие информации. Данные, которые не были собраны, невозможно украсть.