Vitalik: Der Schlüssel zur effizienten Berechnung von ZK-Provers liegt darin, dass keine Verpflichtung zu irgendwelchen Zwischenschichtdaten erforderlich ist.

Jinse Finance berichtet, dass Vitalik Buterin in einem Beitrag erklärte: „Wenn du die ‚kryptographischen Richtungen im Bereich der Kryptowährungen‘ verfolgst, hast du wahrscheinlich schon von ultraschnellen ZK-Provern (ZK-provers) gehört: Zum Beispiel ein ZK-EVM-Prover für Ethereum L1, der in Echtzeit mit nur etwa 50 Consumer-GPUs Beweise erzeugen kann; das Beweisen von 2 Millionen Poseidon-Hashes pro Sekunde auf einem normalen Laptop; sowie zk-ML-Systeme, die die Beweisgeschwindigkeit für Inferenz von Large Language Models (LLM) kontinuierlich steigern. In diesem Artikel werde ich ein Protokollfamilie im Detail erklären, das in diesen Hochgeschwindigkeits-Beweissystemen verwendet wird: GKR. Ich werde mich darauf konzentrieren, wie GKR beim Beweisen von Poseidon-Hashes (sowie anderen Berechnungen mit ähnlicher Struktur) implementiert wird. Wenn du mehr über den Hintergrund von GKR in allgemeinen Schaltkreisberechnungen erfahren möchtest, kannst du Justins Thalers Notizen und diesen Artikel von Lambdaclass konsultieren. Was ist GKR und warum ist es so schnell? Stell dir vor, du hast eine Berechnung, die in ‚beiden Dimensionen sehr groß‘ ist: Sie muss mindestens eine mittlere Anzahl von (niedriggradigen) ‚Schichten‘ verarbeiten und gleichzeitig dieselbe Funktion wiederholt auf eine große Menge von Eingaben anwenden. So: Tatsächlich passen viele unserer groß angelegten Berechnungen in dieses Muster. Kryptographie-Ingenieure werden feststellen: Viele rechenintensive Beweisaufgaben beinhalten zahlreiche Hash-Operationen, und die interne Struktur jedes Hashs entspricht genau diesem Muster. Auch KI-Forscher werden bemerken: Neuronale Netzwerke (die grundlegenden Bausteine von LLMs) haben genau diese Struktur (es ist möglich, die Inferenz mehrerer Tokens parallel zu beweisen, und jedes Token besteht intern aus elementweisen neuronalen Schichten und globalen Matrixmultiplikationsschichten – auch wenn Matrixoperationen nicht ganz der oben gezeigten ‚inputunabhängigen‘ Struktur entsprechen, können sie tatsächlich leicht in das GKR-System eingebettet werden). GKR ist ein kryptographisches Protokoll, das speziell für dieses Muster entwickelt wurde. Es ist effizient, weil es darauf verzichtet, alle Zwischenschichten zu committen: Du musst nur die Eingaben und Ausgaben committen. Das ‚Commitment‘ hier bedeutet, Daten in eine Art kryptographische Datenstruktur (wie KZG oder Merkle-Baum) zu legen, sodass du Inhalte bezüglich bestimmter Anfragen zu diesen Daten beweisen kannst. Die günstigste Commitment-Methode ist die Verwendung eines Merkle-Baums nach Fehlerkorrekturcodierung (wie bei STARK), aber auch dabei musst du für jedes eingereichte Byte 4–16 Byte hashen – das bedeutet Hunderte von Additionen und Multiplikationen, während die eigentliche zu beweisende Berechnung vielleicht nur eine Multiplikation ist. GKR vermeidet diese Operationen, außer am Anfang und am Ende. Es ist zu beachten, dass GKR nicht ‚Zero-Knowledge‘ ist: Es garantiert nur Kürze, aber keine Privatsphäre. Wenn du Zero-Knowledge benötigst, kannst du den GKR-Beweis in einen ZK-SNARK oder ZK-STARK einbetten.“