Vitalik: Klucz do wydajnych obliczeń ZK-Provers polega na braku konieczności zobowiązywania się do jakichkolwiek danych pośrednich

Jinse Finance poinformowało, że Vitalik Buterin opublikował artykuł, w którym stwierdził: „Jeśli od jakiegoś czasu śledzisz 'kryptograficzne kierunki w dziedzinie kryptowalut', to prawdopodobnie słyszałeś już o ultraszybkich ZK proverach (ZK-provers): na przykład o ZK-EVM proverze dla Ethereum L1, który umożliwia dowodzenie w czasie rzeczywistym przy użyciu zaledwie około 50 konsumenckich GPU; o dowodzeniu 2 milionów skrótów Poseidon na sekundę na zwykłym laptopie; oraz o systemach zk-ML, które stale zwiększają prędkość dowodzenia inferencji dużych modeli językowych (LLM). W tym artykule szczegółowo wyjaśnię rodzinę protokołów wykorzystywanych w tych szybkich systemach dowodzenia: GKR. Skupię się na implementacji GKR w dowodzeniu skrótów Poseidon (oraz innych obliczeń o podobnej strukturze). Jeśli chcesz poznać tło GKR w kontekście obliczeń ogólnych obwodów, możesz odnieść się do notatek Justina Thalera oraz tego artykułu Lambdaclass. Czym jest GKR i dlaczego jest tak szybki? Wyobraź sobie obliczenie, które jest 'bardzo duże w dwóch wymiarach': wymaga przetwarzania przynajmniej umiarkowanej liczby (niskiego stopnia) 'warstw', a jednocześnie wielokrotnego stosowania tej samej funkcji do ogromnej liczby wejść. Wygląda to tak: Okazuje się, że wiele dużych obliczeń, które wykonujemy, pasuje do tego wzorca. Inżynierowie kryptograficzni zauważą, że wiele obciążających zadaniach dowodowych dotyczy dużej liczby operacji haszujących, a wewnętrzna struktura każdego hasza właśnie odpowiada temu wzorcowi. Badacze AI również zauważą, że sieci neuronowe (podstawowe bloki LLM) mają właśnie taką strukturę (można równolegle dowodzić inferencji wielu tokenów, a w każdym tokenie występują warstwy neuronowe działające na pojedynczych elementach oraz globalne warstwy mnożenia macierzy — choć operacje na macierzach nie do końca odpowiadają powyższej 'niezależności między wejściami', to w praktyce można je łatwo wbudować w system GKR). GKR to protokół kryptograficzny zaprojektowany specjalnie dla tego typu wzorców. Jego wydajność wynika z tego, że unika zobowiązań (commitment) dla wszystkich warstw pośrednich: musisz zobowiązać się tylko do wejścia i wyjścia. 'Commitment' oznacza tutaj umieszczenie danych w jakiejś strukturze kryptograficznej (np. KZG lub drzewo Merkle), aby można było udowodnić pewne informacje związane z zapytaniami do tych danych. Najtańszą metodą zobowiązania jest użycie drzewa Merkle po kodowaniu korekcyjnym (czyli metoda stosowana w STARK), ale nawet wtedy musisz wykonać 4–16 bajtów haszowania dla każdego przesłanego bajtu — co oznacza setki operacji dodawania i mnożenia, podczas gdy rzeczywiste obliczenie, które chcesz udowodnić, może być pojedynczym mnożeniem. GKR unika tych operacji, poza pierwszym i ostatnim krokiem. Warto zauważyć, że GKR nie jest 'zero-knowledge': zapewnia jedynie zwięzłość, nie zapewnia prywatności. Jeśli potrzebujesz własności zero-knowledge, możesz opakować dowód GKR w ZK-SNARK lub ZK-STARK.