原文标题：zkTLS: Unlocking Crypto Consumer Apps
原文作者：@yeak__，@Delphi_Digital 研究员
原文编译：zhouzhou，

编者按：TLSNotary 可验证客户端与服务器间的通信，并允许选择性披露数据，同时确保隐私。Pluto 将 TLSNotary 引入智能合约，Primus Labs 提升效率并开发 zkFHE 方案，Opacity 通过 Eigenlayer AVS 和 TEE 防止串通，增强安全性。Opacity 要求 Web2 账号验证，降低女巫攻击风险，并采用可验证日志机制。未来优化方向包括向量盲线性评估，提高 MPC 效率，使 TLS 证明更快。HTTPS 代理则作为中介，提高安全性和隐私保护，常用于企业环境监控流量。

以下为原文内容（为便于阅读理解，原内容有所整编）：

加密行业一直拥有改变世界的思维、人才和资金，但往往缺乏实现这一目标的手段。目前，大多数现实世界的加密成功案例仍依赖于 Web2 巨头的支持。我们只能寄希望于 Visa 和 Mastercard 继续支持加密卡，Coinbase、PayPal 和 Stripe 持续优化传统支付系统与区块链的兼容性，BlackRock 继续推进国债的代币化，Walmart 继续销售 Pudgy Penguins。

如今，我们拥有了一种强大的新工具，使加密行业的建设者能够真正推动变革。传统市场充斥着低效和限制，而加密行业正处于前所未有的有利位置，可以提供替代方案。

zkTLS（也称为 TLS 预言机或 Web 证明）使得私密数据可以从 Web2 封闭生态中提取，用户可以在完全保护隐私的情况下，证明各种数据类型，如法律身份、财务记录、教育背景和行为模式等，以下是其工作原理的简要概述。

TLS（传输层安全协议）是一种用于加密客户端与服务器之间通信的协议。TLS 构成了 HTTPS 中的「S」（HTTPS = HTTP + TLS），目前已成为网络标准，保护着 95% 的网络流量。

TLS 是一个受信任的中心化机构，负责颁发会话密钥。当用户访问网站时，浏览器与目标服务器会进行 TLS 握手，生成会话密钥，以便后续使用对称加密进行数据传输。然而，客户端和服务器之间交换的数据并未被签名，因此无法在其他地方证明其真实性。

TLS 的保障：

·真实性

·安全性

·隐私性

·不具备数据可携性

zkTLS 通过在 HTTPS 会话期间对客户端和服务器之间的通信进行身份验证，并将隐私保护的证明带到链上，从而解决了数据可携性的问题。重要的是，这通常不会被服务器检测到，也无法通过防火墙阻止。借助 zkTLS，整个互联网的数据库都可以成为区块链应用的可组合构件，而 Web2 对此几乎无能为力。

zkTLS 的几种实现方式：MPC（多方计算）、代理（Proxy）、TEE（可信执行环境）

MPC（多方计算）

MPC 允许多个参与方在不透露各自私有输入的情况下共同执行计算。MPC 具有较强的安全性，但计算开销较大，并存在合谋问题。

Deco

2019 年，Deco 首次提出了一种基于 MPC 的 TLS 解决方案。Deco 的恶意安全双方计算（2PC）方法计算量极大，例如，认证一个 2KB 的数据包需要 475MB 的通信量，并且需要 50 秒才能完成。该方案极易因超时失败，未能成功落地。后来，Deco 被 Chainlink 收购，并与 Teller 共同开发了一个概念验证方案。

TLSNotary

TLSNotary 在 Deco 的基础上进行改进，采用了基于混淆电路（garbled circuits）和遗忘传输（oblivious transfers）的 2PC 实现。混淆电路是 MPC 中最简单、最直接的方法。

TLS Notary 对客户端和服务器之间的会话进行「公证」，以证明其真实性。在 TLS 握手过程中，证明者和验证者协作完成密钥加解密。整个过程中，只有证明者与服务器通信，而验证者只能看到加密数据。证明者无法伪造输入或响应。在最终阶段，证明者可以对会话记录进行部分隐藏后再向验证者展示，例如，仅向验证者证明其位于某个司法管辖区，而隐藏具体经纬度信息。

验证者可以充当公证人，或者将验证角色外包以生成更通用、可移植的证明。这引入了额外的信任假设，即验证者必须信任公证人不会与证明者串通伪造证明。为缓解这一问题，验证者可以要求多个公证人的证明，或自行定义可信公证人列表。然而，这些方案仍存在各种缺陷，且合谋问题依然是 MPC 主要挑战之一。

TLSNotary 的优势在于，它既能保持数据的可移植性，又能保护隐私，并且不依赖服务器的配合。它通过混淆电路和密钥分片技术实现经过身份认证的数据的选择性披露，但并未采用 ZKP。目前，已有多个项目在 TLSNotary 基础上引入零知识技术，使其更易于集成。

相关项目

Pluto

Pluto Labs 是一个开源的零知识 TLSNotary 实现，旨在将其产品化，使开发者仅需五行代码即可将任何链下数据整合到智能合约中。其关于信任假设的详细概述可在相关链接中查看。

Primus Labs（前 PADO Labs）

Primus Labs 对 Deco 进行了改进，采用先混淆后证明（garble-then-prove）技术，替代了高成本的恶意安全 2PC。在通信效率上提升了 14 倍，运行时间提升了最高 15.5 倍，并成功集成到 Coinbase 和 Twitter 等真实世界 API。此外，Primus 还在开发 zkFHE 解决方案，未来可能支持更复杂的架构。Primus 还推出了一款浏览器扩展，并计划推出 iOS/Android 应用。

Opacity

Opacity 通过一整套机制来解决合谋问题，并采用 Eigenlayer AVS 提供经济安全性，同时叠加多个安全措施：

·基于链上的 Web2 账户 ID 进行抗女巫攻击（Sybil resistance）

·提交-揭示（commit and reveal）机制——用户必须在随机选择公证节点之前提交一个值

·MPC 节点的随机选择

·可验证的尝试日志

Opacity 限制用户利用多个钱包进行合谋，每个钱包都与 Web2 账户绑定。此外，在随机匹配到公证节点之前，用户必须先提交证明请求，这样即使用户试图合谋，也无法在未匹配到合谋节点时改变立场。而可验证的尝试日志可用于追踪用户提交失败的可疑证明（例如，一个钱包尝试证明自己拥有 $1000 万银行存款，但多次提交失败）。

此外，Opacity 要求公证软件运行在 TEE 中，确保除非 TEE 被攻破，否则无法合谋。这一点非常关键，因为 Opacity 并不完全依赖 TEE 作为安全保证。

要在 Opacity 框架下伪造证明，必须满足以下所有条件：

·用户有意合谋

·至少有一个公证节点参与合谋

·该公证节点运行的是被攻破的 TEE

·用户在 1-3 次尝试内随机匹配到合谋节点

·验证者可以要求证明多次重复生成，从而使第 4 条的概率呈指数级下降

·同时，恶意行为也会面临罚没机制

Opacity 的抗女巫攻击仍然是最薄弱环节。它可以防止一个 Web2 账户绑定多个钱包，但无法防止一个人创建多个 Web2 账户。Opacity 实际上是将女巫攻击防护外包给 Web2 平台，某些平台比其他平台更可靠（例如 Rippling HR 提供的身份认证比 Twitter 账户更具可信度）。未来，Opacity 可能会集成多个 Web2 账户以增强安全性。

Opacity 正在打造 zkTLS 的最佳实践实现，在去中心化和降低信任假设方面取得了巨大进展。其克服 MPC 计算开销的能力将是未来成功的关键。

未来，MPC 性能优化仍有较大空间。例如，向量盲线性评估（vector oblivious linear evaluation）可以实现高效的 1-of-N 盲传输（oblivious transfer），从而在每次交互中获得更大进展。这可以将网络开销减少 100 倍，使 1 秒内的 MPC-TLS 证明成为可能。

代理（Proxy）

HTTPS 代理是客户端和服务器之间的中介，负责转发加密流量，并仅在验证用户身份时解密数据。代理可以提升安全性、性能和隐私保护，在企业环境中尤为常见，可用于监控和限制员工访问。

代理也可用于 zkTLS。这种模型在客户端和服务器之间插入一个代理见证者，以证明通信的合法性。代理模型速度快、成本低、结构简单，能够处理大量数据。然而，审查、合谋和去中心化问题仍然存在。此外，该方法可以被服务器检测到，因此可能会在大规模应用时被封锁。

Reclaim Protocol
Reclaim Protocol 是代理模型的开创者，在所有 zkTLS 项目中进展最为领先。Reclaim 几乎支持所有区块链，并拥有 889 个社区构建的数据源。多个项目基于 Reclaim 进行开发，包括 zkP2P 的票务市场。

Reclaim 能够在用户的移动设备上生成证明，耗时约 2–4 秒，无需用户下载应用或扩展程序。Reclaim 采用住宅代理来绕过 Web2 的防火墙问题。

与 MPC-TLS 相比，Reclaim 的代理模型更加简单，因此速度更快。许多关于代理模式的担忧已经在学术论文 Proxying is Enough 和 Reclaim 的博客中得到回应。研究表明，破解 Reclaim 安全性的概率为 10⁻⁴⁰。

zkPass
zkPass 采用混合模型，最初基于 MPC 方案，但在生产环境中转向了代理见证模式，并将 MPC 作为备用选项。zkPass 目前已部署至 Base、BNB、Scroll、Linea、Arbitrum、zkSync、OP、X Layer 等网络。zkPass 使用其原生的 TransGate Chrome 扩展，支持 70 多个数据源的 200 多种数据格式。

zkPass 主要围绕身份验证和女巫攻击防护展开。项目目前正在进行激励计划，用户可以完成挑战以赚取 ZKP 代币积分。zkPass 可能会成为首个推出流动性代币的 zkTLS 项目。

TEE
可信执行环境（TEE）是处理器中的防篡改隔离区域，可存储敏感数据并执行受保护计算。TEE 具备硬件和软件隔离，其专用内存和计算能力独立于 CPU 其他部分。Intel SGX 是目前最知名的 TEE 方案。然而，TEE 过去曾被攻破，并容易受到侧信道攻击。

Clique
Clique 采用 TEE 方案构建 zkTLS。这种方法计算和网络开销极低，解决了许多问题，但引入了对可信硬件的依赖，意味着风险从公证人转移到了芯片制造商。在这一模型中，TEE 完全承担了安全保障责任。

总结

值得注意的是，zkTLS 只是一个通用术语。不同的 zkTLS 方案在零知识技术的应用程度上有所不同，并不具备 zkEmail 等其他零知识技术的同等安全保证。严格来说，zkTLS 可能更适合按照 MPC-TLS（+zkp）、TEE-TLS 和 zkTLS Proxy 进行分类。

未来，zkTLS 领域的讨论将围绕性能与安全的权衡展开。

代理（Proxy）：这是一种更通用的解决方案，但需要额外的信任假设，并要求客户端能负担得起零知识（ZK）解决方案，同时还需要额外的措施来绕过防火墙。

多方计算（MPC）：该模型提供强大的安全保证，但在设置 MPC 时需要大量网络通信，且由于真值表带来的高开销，MPC 方法更适用于小型请求/响应交互以及没有严格时间限制的 TLS 会话。MPC 具有抗审查特性，但存在合谋问题。

可信执行环境（TEE）：TEE 模型巧妙地解决了 zkTLS 面临的大部分问题，但代价是需要完全信任 TEE 硬件。

目前，Reclaim 和 Opacity 发展势头迅猛，似乎在主导 zkTLS 领域的讨论。随着 zkTLS 的发展，MPC 和代理模型在性能与安全性之间的权衡仍将是核心话题。

结论

zkTLS 是一个正在崛起的叙事，它彻底改变了一切。然而，仍有许多悬而未决的问题：zkTLS 提供商会不会被商品化？价值捕获是否会流向应用层？伪造证明的可提取价值有多大？这些问题将如何影响关于 zkTLS 方案取舍的讨论？

有一点是明确的：zkTLS 极大拓展了去中心化应用的设计空间，并为构建新系统提供了全新的思路。如今，已经有许多创新想法正在落地：

·票务市场 – zkP2P（基于 Reclaim）

·Web2 声誉导入（Uber、DoorDash 认证）– Nosh Delivery（基于 Opacity）

·KOL 营销/推广证明 – Daisy（基于 Opacity）

·智能预测市场 – TMR.NEWS（基于 Reclaim）

·通过工资获取进行低抵押贷款 – Earnifi（基于 Opacity）

·精准投放与数字广告激励 – EarnOS（基于 Opacity）

·软抵押贷款 – 3Jane（基于 Reclaim）

zkTLS 削弱了数据垄断，从而撼动了 Web2 现有的市场格局。当前所有低效市场都是加密技术渗透并改善社会的机会。

「原文链接」

：