Vitalik：ZK-Proversが効率的な計算を実現できる核心は、いかなる中間層データにもコミットする必要がないことにある

Jinse Financeによると、Vitalik Buterinは投稿で「もしあなたが“暗号通貨分野における暗号学の方向性”を常に注目しているなら、今や超高速なZKプローバー（ZK-provers）について既に耳にしている可能性が高いです。例えば、わずか約50枚のコンシューマー向けGPUでリアルタイムにEthereum L1のZK-EVMプローバーを実現したり、一般的なノートパソコンで毎秒200万件のPoseidonハッシュを証明したり、zk-MLシステムが大規模言語モデル（LLM）の推論証明速度を継続的に向上させたりしています。この記事では、これらの高速証明システムで使用されているプロトコル群の一つであるGKRについて詳しく説明します。特に、Poseidonハッシュ（および同様の構造を持つ他の計算）の証明におけるGKRの実装に焦点を当てます。GKRの一般的な回路計算での背景について知りたい場合は、Justin ThalerのノートやこのLambdaclassの記事を参照してください。 GKRとは何か、なぜこんなに速いのか？ 「2つの次元で非常に大きい」計算を持っていると仮定しましょう：それは少なくとも中程度の数の（低次数の）「層」を処理する必要があり、同時に大量の入力に同じ関数を繰り返し適用します。このように： 実際、私たちが行う大規模な計算の多くはこのパターンに当てはまります。暗号学エンジニアは、多くの計算集約型証明タスクが大量のハッシュ操作を含み、各ハッシュの内部構造がまさにこのパターンであることに気付くでしょう。AI研究者も、ニューラルネットワーク（LLMの基本構成要素）も同様の構造であることに気付くでしょう（複数のトークンの推論を並列で証明できるだけでなく、各トークン内部も要素ごとのニューラル層とグローバルな行列乗算層で構成されているため——行列操作は完全に上記の「入力間独立」構造には一致しませんが、実際にはGKRシステムに容易に組み込むことができます）。 GKRはこのパターンのために設計された暗号学プロトコルです。その効率性の理由は、すべての中間層へのコミットメント（commitment）を回避できる点にあります：入力と出力だけにコミットメントを行えばよいのです。ここでいう「コミットメント」とは、データを何らかの暗号データ構造（KZGやMerkleツリーなど）に格納し、そのデータに関連するクエリの内容を証明できるようにすることを指します。最も安価なコミットメント方法は、エラー訂正後のMerkleツリー（つまりSTARK方式）を使うことですが、それでもコミットされた各バイトごとに4〜16バイトのハッシュが必要です——これは数百回の加算や乗算を行うことを意味しますが、実際に証明したい計算は乗算一回だけかもしれません。GKRはこれらの操作を、最初と最後のステップを除いて回避します。 注意すべき点として、GKRは「ゼロ知識」ではありません：簡潔性のみを保証し、プライバシーは提供しません。ゼロ知識性が必要な場合は、GKR証明をZK-SNARKやZK-STARKでラップすることができます。