Vitalik: Основна перевага ZK-Provers у забезпеченні ефективних обчислень полягає в тому, що немає необхідності робити коммітмент до будь-яких проміжних даних

Jinse Finance повідомляє, що Vitalik Buterin опублікував статтю, в якій зазначає: "Якщо ви постійно стежите за 'криптографічними напрямками у сфері криптовалют', то, ймовірно, вже чули про надшвидкі ZK-доказувачі (ZK-provers): наприклад, ZK-EVM-доказувач для Ethereum L1, який може здійснювати доказ у реальному часі, використовуючи лише близько 50 споживчих GPU; доказ 2 мільйонів Poseidon-хешів на секунду на звичайному ноутбуці; а також zk-ML-системи, які постійно підвищують швидкість доказу для інференсу великих мовних моделей (LLM). У цій статті я детально поясню протокол GKR — сімейство протоколів, що використовується у цих високошвидкісних доказових системах. Я зосереджуся на реалізації GKR для доказу Poseidon-хешу (та інших обчислень зі схожою структурою). Якщо ви хочете дізнатися про застосування GKR у загальних обчисленнях на схемах, зверніться до нотаток Justin Thaler і цієї статті від Lambdaclass. Що таке GKR і чому він такий швидкий? Уявіть собі обчислення, яке є "дуже великим у двох вимірах": воно потребує обробки принаймні помірної кількості (низькостепеневих) "шарів", а також багаторазового застосування однієї й тієї ж функції до великої кількості вхідних даних. Ось так: Виявляється, багато великих обчислень, які ми виконуємо, відповідають цій моделі. Криптографічні інженери помітять: багато обчислювально-інтенсивних доказових задач включають велику кількість хеш-операцій, а внутрішня структура кожного хешу саме така. Дослідники AI також помітять: нейронні мережі (базові будівельні блоки LLM) мають таку ж структуру (можна паралельно доводити інференс для кількох токенів, а всередині кожного токена є поелементні нейронні шари та глобальні шари матричного множення — хоча матричні операції не зовсім відповідають "незалежній міжвхідній" структурі, показаній вище, але їх насправді легко вбудувати у GKR-систему). GKR — це криптографічний протокол, спеціально розроблений для такої моделі. Його ефективність полягає в тому, що він уникає необхідності робити commitment для всіх проміжних шарів: потрібно робити commitment лише для вхідних і вихідних даних. Тут "commitment" означає розміщення даних у певній криптографічній структурі (наприклад, KZG або Merkle-дерево), щоб можна було довести певну інформацію, пов'язану з цими даними. Найдешевший спосіб commitment — це використання Merkle-дерева з кодами виправлення помилок (як у STARK), але навіть це вимагає хешування 4–16 байтів для кожного байта, що додається, — тобто сотні додавань і множень, тоді як саме обчислення, яке ви хочете довести, може бути лише одним множенням. GKR уникає цих операцій, окрім початкового та фінального кроку. Важливо зазначити, що GKR не є "zero-knowledge": він гарантує лише компактність, але не забезпечує приватності. Якщо вам потрібна zero-knowledge, ви можете обгорнути GKR-доказ у ZK-SNARK або ZK-STARK.