Виталик: Ключ к эффективным вычислениям ZK-Provers заключается в отсутствии необходимости коммитить какие-либо промежуточные данные

Jinse Finance сообщает, что Vitalik Buterin опубликовал статью, в которой говорится: «Если вы постоянно следите за “криптографическими направлениями в сфере криптовалют”, то, вероятно, уже слышали о сверхбыстрых ZK-проверках (ZK-provers): например, ZK-EVM-проверка для Ethereum L1, которая может выполнять доказательства в реальном времени, используя всего около 50 потребительских GPU; или доказательство 2 миллионов Poseidon-хэшей в секунду на обычном ноутбуке; а также zk-ML-системы, которые постоянно увеличивают скорость доказательства вывода больших языковых моделей (LLM). В этой статье я подробно объясню семейство протоколов, используемых в этих высокоскоростных системах доказательства: GKR. Я сосредоточусь на реализации GKR для доказательства Poseidon-хэшей (а также других вычислений с похожей структурой). Если вы хотите узнать о применении GKR в вычислениях на универсальных схемах, обратитесь к заметкам Justin Thaler и этой статье Lambdaclass. Что такое GKR и почему он такой быстрый? Представьте себе вычисление, которое “очень велико в двух измерениях”: оно требует обработки по крайней мере умеренного количества (низкостепенных) “слоёв”, одновременно многократно применяя одну и ту же функцию к большому количеству входных данных. Вот так: Оказывается, многие крупные вычисления, которые мы выполняем, соответствуют этой модели. Криптографические инженеры заметят: многие ресурсоёмкие задачи доказательства включают большое количество хэш-операций, а внутренняя структура каждого хэша как раз соответствует этой модели. Исследователи AI также заметят: нейронные сети (основной строительный блок LLM) имеют такую же структуру (можно параллельно доказывать вывод нескольких токенов, а внутри каждого токена есть поэлементные нейронные слои и глобальные слои матричного умножения — хотя матричные операции не полностью соответствуют “независимой по входам” структуре, показанной выше, на практике их легко встроить в систему GKR). GKR — это криптографический протокол, специально разработанный для такой модели. Его эффективность обусловлена тем, что он избегает необходимости коммитить (commitment) все промежуточные слои: вы должны коммитить только входные и выходные данные. Здесь “коммитмент” означает помещение данных в некоторую криптографическую структуру (например, KZG или Merkle-дерево), чтобы можно было доказать определённые свойства, связанные с этими данными. Самый дешёвый способ коммитмента — использовать Merkle-дерево с кодами коррекции ошибок (как в STARK), но даже это требует хэшировать 4–16 байт на каждый байт коммитмента — что означает сотни операций сложения и умножения, в то время как само вычисление, которое вы хотите доказать, может быть всего лишь одним умножением. GKR избегает этих операций, кроме самого начала и конца. Важно отметить, что GKR не является “zero-knowledge”: он гарантирует только краткость доказательства, но не обеспечивает приватность. Если вам нужна zero-knowledge, вы можете обернуть GKR-доказательство в ZK-SNARK или ZK-STARK.