Vitalik : Le point clé permettant aux ZK-Provers d’effectuer des calculs efficaces réside dans le fait qu’il n’est pas nécessaire de s’engager sur aucune donnée intermédiaire.

Jinse Finance rapporte que Vitalik Buterin a publié un article déclarant : « Si vous avez toujours suivi la “cryptographie dans le domaine des crypto-monnaies”, il est probable que vous ayez déjà entendu parler des prouveurs ZK ultra-rapides (ZK-provers) : par exemple, un prouveur ZK-EVM capable de prouver en temps réel l’Ethereum L1 avec seulement environ 50 GPU grand public ; prouver 2 millions de hachages Poseidon par seconde sur un ordinateur portable ordinaire ; ainsi que des systèmes zk-ML qui améliorent constamment la vitesse de preuve de l’inférence des grands modèles de langage (LLM). Dans cet article, je vais expliquer en détail une famille de protocoles utilisée dans ces systèmes de preuve à grande vitesse : GKR. Je mettrai l’accent sur la mise en œuvre de GKR dans la preuve des hachages Poseidon (ainsi que d’autres calculs ayant une structure similaire). Si vous souhaitez en savoir plus sur le contexte de GKR dans le calcul de circuits génériques, vous pouvez consulter les notes de Justin Thaler et cet article de Lambdaclass. Qu’est-ce que GKR et pourquoi est-il si rapide ? Imaginez que vous ayez un calcul “très grand dans deux dimensions” : il nécessite de traiter au moins un nombre moyen de “couches” (de faible degré), tout en appliquant de manière répétée la même fonction à un grand nombre d’entrées. Comme ceci : Il s’avère que de nombreux calculs que nous effectuons à grande échelle suivent ce modèle. Les ingénieurs en cryptographie remarqueront que de nombreuses tâches de preuve intensives en calcul impliquent de nombreuses opérations de hachage, et que la structure interne de chaque hachage suit précisément ce modèle. Les chercheurs en IA remarqueront également que les réseaux neuronaux (le bloc de base des LLM) suivent également cette structure (il est possible de prouver en parallèle l’inférence de plusieurs tokens, et chaque token est composé de couches neuronales élémentaires et de couches de multiplication matricielle globales – bien que les opérations matricielles ne correspondent pas exactement à la structure “indépendante entre entrées” illustrée ci-dessus, elles peuvent en réalité être facilement intégrées dans le système GKR). GKR est un protocole cryptographique spécialement conçu pour ce type de modèle. Il est efficace car il évite de s’engager sur toutes les couches intermédiaires : il suffit de s’engager sur les entrées et les sorties. Ici, “s’engager” signifie placer les données dans une structure de données cryptographique (comme KZG ou un arbre Merkle), permettant ainsi de prouver certains aspects liés à ces données lors de requêtes. La méthode d’engagement la moins coûteuse consiste à utiliser un arbre Merkle après codage correcteur d’erreurs (comme dans STARK), mais cela nécessite tout de même de hacher 4 à 16 octets pour chaque octet soumis – ce qui implique des centaines d’additions et de multiplications, alors que l’opération à prouver pourrait n’être qu’une multiplication. GKR évite ces opérations, sauf au tout début et à la toute fin. Il est important de noter que GKR n’est pas “zero-knowledge” : il ne garantit que la concision, sans fournir de confidentialité. Si vous avez besoin de la propriété zero-knowledge, vous pouvez encapsuler la preuve GKR dans un ZK-SNARK ou un ZK-STARK.