Віталік: Ключем до ефективних обчислень ZK-Provers є відсутність необхідності зобов'язуватися щодо будь-яких проміжних даних.

【Віталік: Основна причина ефективних обчислень ZK-проказників полягає в тому, що не потрібно робити зобов'язання щодо будь-яких проміжних даних】Віталік Бутерін написав, що "якщо ви завжди слідкували за напрямком криптографії в сфері криптоактивів, то, ймовірно, ви вже чули про надшвидкі ZK-проказники (ZK-provers): наприклад, лише з приблизно 50 споживчими GPU можна реалізувати реальний доказ ZK-EVM проказника для Ethereum на L1; на звичайному ноутбуці можна за секунду довести 2 мільйони хешів Poseidon; а система zk-ML постійно підвищує швидкість доказів для висновків великих мовних моделей (LLM). У цій статті я детально пояснюю один із протоколів, що використовуються в цих швидкісних системах доказів: GKR. Я зосереджуся на реалізації GKR у доказі хешу Poseidon (а також інших обчислень з подібною структурою). Якщо ви хочете дізнатися про фон GKR у загальному обчисленні кіл, можете звернутися до нотаток Джастіна Талера та цієї статті Lambdaclass. Що таке GKR і чому він такий швидкий? Уявіть, що ви маєте обчислення, яке “дуже велике в обох вимірах”: воно вимагає обробки принаймні середньої кількості (низького ступеня) “шарів”, при цьому повторно застосовуючи одну й ту ж функцію до великої кількості вхідних даних. Ось так: Виявилося, що багато з великих обчислень, які ми проводимо, відповідають цій моделі. Інженери з криптографії звернуть увагу на те, що багато обчислювально інтенсивних завдань доведення пов'язані з великою кількістю хеш-операцій, а внутрішня структура кожного хешу є саме такою моделлю. Дослідники штучного інтелекту також звернуть увагу на те, що нейронні мережі (основні будівельні модулі LLM) мають саме таку структуру (вони можуть паралельно доводити міркування кількох токенів і, оскільки кожен токен складається з елементних нейронних шарів і глобальних матричних шарів множення - хоча матричні операції не зовсім відповідають структурі “незалежності між входами” на малюнку вище, насправді їх можна легко вбудувати в систему GKR). GKR є криптографічним протоколом, спеціально розробленим для цього режиму. Його ефективність полягає в тому, що він уникає зобов'язань (commitment) до всіх проміжних рівнів: вам потрібно зобов'язатися лише до вхідних і вихідних даних. Тут «зобов'язання» означає поміщення даних у певну криптографічну структуру даних (таку як KZG або дерево Меркла), що дозволяє довести зв'язок між певними запитами та цими даними. Найдешевший спосіб зобов'язання - це використання дерева Меркла з кодами корекції помилок (тобто спосіб у STARK), але вам також потрібно виконати хешування на 4-16 байтів для кожного відправленого байта — це означає, що потрібно виконати сотні додавань і множень, тоді як насправді ви повинні довести тільки одне множення. GKR уникає цих операцій, окрім першого і останнього кроку. Потрібно звернути увагу, що GKR не є «нульовим знанням»: він лише гарантує компактність, не забезпечуючи конфіденційність. Якщо вам потрібна нульова знаність, ви можете упакувати доказ GKR у ZK-SNARK або ZK-STARK.