zk-img：用零知识证明对抗深度伪造技术

danieldkang
发布于 2022-11-16 17:49
阅读 40

本文探讨了深度伪造技术及其对信息可信度的影响，并介绍了一种名为zk-img的新方法，以安全、私密地验证图像编辑，同时隐藏原始图像。zk-img利用零知识证明技术，使得在处理高清图像时，能高效地证明图像的变换有效性，具备较高的实用性。最后，文章强调zk-img在防止信息误导方面的潜力，描绘了一种未来图像验证的愿景。

在过去的几年中，用于恶意目的的 [deepfakes](https://www.businessinsider.com/guides/tech/what-is-deepfake) 的使用激增。Deepfakes 被用来 [从毫不知情的投资者那里盗取资金](https://www.boston25news.com/news/local/better-business-bureau-warns-about-deepfake-elon-musk-investment-scam/S35FGICEKJADDC4SUHE7FEFJM4/)，甚至 [让士兵投降](https://www.bbc.com/news/technology-60780142)。Deepfakes 的兴起部分是由于生成性人工智能 (AI) 方法的兴起，如 [Stable Diffusion](https://stability.ai/blog/stable-diffusion-public-release)。随着这些 AI 方法变得越来越强大，一个重要的问题浮现出来：我们如何能够信任我们所看到的图像的有效性？

![](https://img.learnblockchain.cn/2025/03/05/45107491_image.jpg)

deepfake 的示例（来自 [这里](https://spectrum.ieee.org/facebook-ai-launches-its-deepfake-detection-challenge)）。

为了验证图像是否由真实相机拍摄，已经采取了一些措施。[有证明的相机](https://www.sony.eu/presscentre/news/sony-unlocks-in-camera-forgery-proof-technology) 可以通过数字签名证明某个图像是由特定传感器拍摄的。然而，大多数在互联网上发布的照片都经过编辑，以去除敏感信息并改善图像的可读性。这些编辑没有由相机证明，必须以其他方式进行验证。最近的工作建议使用零知识证明来验证这些图像编辑，特别是 [ZK-SNARKs](https://z.cash/technology/zksnarks/)（零知识简洁非交互知识论证）。ZK-SNARKs 可以证明图像上的编辑是合法的。

不幸的是，[这项研究](https://ieeexplore.ieee.org/document/7546506) [关于](https://eprint.iacr.org/2020/1579) [图像的 ZK-SNARKs](https://learnblockchain.cn/article/11461) 存在几个缺陷。首先，**它们需要公开原始或中间图像** [_¹_](https://ieeexplore.ieee.org/document/7546506) [_²_](https://learnblockchain.cn/article/11461) **。这破坏了原始图像的隐私，并可能泄露敏感信息！** 第二，它们不够实用，只能处理小于 128x128 的图像 [_¹_](https://ieeexplore.ieee.org/document/7546506) [_²_](https://learnblockchain.cn/article/11461)。第三，它们需要自定义加密论证 [_¹_](https://ieeexplore.ieee.org/document/7546506) [_³_](https://eprint.iacr.org/2020/1579) **或可信的第三方** [_³_](https://eprint.iacr.org/2020/1579) **。**

为了解决这些问题，我们构建了 [zk-img](http://arxiv.org/abs/2211.04775)，它允许图像编辑得到验证，而无需 **在信任上做出假设**，并 **保持原始/中间图像的私密性**。zk-img 也是高效的；这是第一个可以私密且安全地验证任意 **高清图像** 转换的库。

在这篇博文中，我们将简要描述zk-img的内部结构，并说明其使用方法。有关更多详细信息，请阅读我们的 [论文](http://arxiv.org/abs/2211.04775)。

## 使用 zk-img

在描述 zk-img 之前，我们首先要说明为什么需要 zk-img。

### 隐藏原始图像

在大多数情况下，必须隐藏原始图像。原始图像可能包含敏感或令人尴尬的信息，需要进行编辑。例如，下面的小猪嘴里带有敏感信息：

![](https://img.learnblockchain.cn/2025/03/05/34531770_image.jpg)

作者：[https://thesmartlocal.jp/pig-balancing-on-ball-japan/](https://thesmartlocal.jp/pig-balancing-on-ball-japan/)

我们如何在同时让图像消费者能够验证转换是诚实完成的同时，保持原始图像的隐藏呢？

zk-img通过在ZK-SNARK内计算原始图像及转换本身的哈希值来实现这一点。它只公开原始图像的哈希值和输出图像。由于 ZK-SNARKs 允许验证者确信计算是正确的，因此图像消费者可以验证哈希是否正确计算以及转换。我们在下面说明该过程：

![](https://img.learnblockchain.cn/2025/03/05/29522630_image.jpg)

这里，H1 和 H2 分别是原始图像和中间图像（裁剪和调整大小后）的哈希值。由于仅释放中间图像的哈希值，因此隐私得以保留。

### 隐藏原始和输出图像

在某些情况下，原始图像和输出图像都必须被隐藏。例如，图像制作人可能希望证明他们在某个时间点之前拍摄了一张图像，并在发布输出图像之前公开哈希值。生物识别识别系统可能希望隐藏原始和编辑后的图像，但仍能证明这些图像来自经过认证的来源。

zk-img通过计算原始和转换图像的哈希值来实现这一点。它只公开哈希值，而不公开图像。

## zk-img 是如何工作的

现在我们描述了如何在多种场景中使用 zk-img，接下来我们将阐述 zk-img 的内部工作原理。

从应用开发者的角度来看，zk-img 接收来自有证明相机的图像、图像转换的序列，以及最终图像是否应该被公开作为输入。给定这些输入，zk-img 生成转换的 ZK-SNARK。

我们构建 zk-img 利用最近在证明系统方面的进展，这些进展在效率和可用性上得到显著提升。特别地，我们使用 [halo2](https://github.com/zcash/halo2) 库构建了 zk-img。在内部，zk-img 拥有标准化的图像转换接口，因此可以组合它们。该接口允许添加超出当前在 zk-img 中实现的图像转换。

zk-img 的标准化接口至关重要，因为它允许注册用户可以信任的有效转换。目前我们已实现以下转换：

![](https://img.learnblockchain.cn/2025/03/05/76068093_image.jpg)

开发者可以将其他实现添加到 zk-img 的注册表中！

为了有效地实现这些转换，我们利用了基于 Plonkish 计算法的特性，halo2 本身就是建立在此基础之上。有关详细信息，请参阅我们的 [论文](http://arxiv.org/abs/2211.04775)。

## 基准测试

我们对高清图像的 zk-img 进行了基准测试，其大小超过了这个领域早期工作的 50 倍。我们首先基准测试了 zk-img 在输入隐私保护转换下的表现：

![](https://img.learnblockchain.cn/2025/03/05/76724985_image.jpg)

尽管证明时间较高，验证时间却低至 4.59 毫秒！验证成本低到可以在设备上执行。

在同时保持输出图像隐藏时，成本也会增加：

![](https://img.learnblockchain.cn/2025/03/05/47924240_image.jpg)

然而，验证时间仍然很小，最多需要 9.32 毫秒。

在我们的 [论文](http://arxiv.org/abs/2211.04775) 中，我们展示 zk-img 的验证速度比先前工作快了几个数量级，证明速度最快提高了 **112 倍**，验证速度提高了 **94 倍**。

## 结论

世界正变得越来越互联，信息传播的速度比以往任何时候都快。今年，乌克兰冲突前线的图像在社交媒体上迅速传播。与真实信息夹杂在一起，还有恶意图像。

想象一下，如果互联网上的每一张图像都经过认证。社交媒体平台可以指明哪些图像经过认证，哪些没有。此外，任何人都可以在 **他们自己的计算机上** 验证某幅图像是否来自真实相机！

作为实现这一愿景的第一步，我们构建了 zk-img。zk-img 可以安全且私密地证明图像转换，同时保持原始图像的隐藏。通过对这些转换进行优化，zk-img 的效率比先前的工作快几个数量级。有关更多详细信息，请参见我们的 [论文](http://arxiv.org/abs/2211.04775)，并期待我们即将发布的代码！

作者：Daniel Kang、Tatsunori Hashimoto、Ion Stoica 和 Yi Sun

>- 原文链接： [medium.com/@danieldkang/...](https://medium.com/@danieldkang/zk-img-fighting-deepfakes-with-zero-knowledge-proofs-9b76c23e3789)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

在过去的几年中，用于恶意目的的 deepfakes 的使用激增。Deepfakes 被用来从毫不知情的投资者那里盗取资金，甚至让士兵投降。Deepfakes 的兴起部分是由于生成性人工智能 (AI) 方法的兴起，如 Stable Diffusion。随着这些 AI 方法变得越来越强大，一个重要的问题浮现出来：我们如何能够信任我们所看到的图像的有效性？

deepfake 的示例（来自这里）。

为了验证图像是否由真实相机拍摄，已经采取了一些措施。有证明的相机可以通过数字签名证明某个图像是由特定传感器拍摄的。然而，大多数在互联网上发布的照片都经过编辑，以去除敏感信息并改善图像的可读性。这些编辑没有由相机证明，必须以其他方式进行验证。最近的工作建议使用零知识证明来验证这些图像编辑，特别是 ZK-SNARKs（零知识简洁非交互知识论证）。ZK-SNARKs 可以证明图像上的编辑是合法的。

不幸的是，这项研究关于图像的 ZK-SNARKs 存在几个缺陷。首先，它们需要公开原始或中间图像 ¹ ² 。这破坏了原始图像的隐私，并可能泄露敏感信息！ 第二，它们不够实用，只能处理小于 128x128 的图像 ¹ ²。第三，它们需要自定义加密论证 ¹ ³ 或可信的第三方 ³ 。