Vitalik: O núcleo da eficiência dos ZK-Provers está na ausência de necessidade de compromisso com quaisquer dados de camadas intermediárias.

【Vitalik: O núcleo da eficiência computacional dos ZK-Provers reside na ausência de comprometimento de qualquer dado intermediário】Vitalik Buterin publicou que, "se você tem seguido a direção da criptografia no campo dos Ativos de criptografia, então é muito provável que você já tenha ouvido falar dos super rápidos ZK-provers: por exemplo, é possível realizar provas em tempo real do ZK-EVM da Ethereum usando apenas cerca de 50 GPUs de consumo; provando 2 milhões de hashes Poseidon por segundo em um laptop comum; e o sistema zk-ML está constantemente melhorando a velocidade das provas de inferência de grandes modelos de linguagem (LLM). Neste artigo, vou explicar detalhadamente uma família de protocolos utilizados nesses sistemas de prova de alta velocidade: GKR. Vou me concentrar na implementação do GKR na prova de hash Poseidon (e em outros cálculos com estrutura semelhante). Se você quiser entender o contexto do GKR no cálculo de circuitos genéricos, consulte as notas de Justin Thaler e este artigo da Lambdaclass. O que é GKR e por que é tão rápido? Imagine que você tem um cálculo que é “grande em ambos os dimensões”: ele precisa processar pelo menos um número médio de “camadas” (de baixo grau), enquanto aplica repetidamente a mesma função a uma grande quantidade de entradas. Algo assim: De fato, muitos dos grandes cálculos que realizamos seguem esse padrão. Engenheiros de criptografia notarão que muitas tarefas de prova intensivas em cálculos envolvem uma grande quantidade de operações de hash, e cada estrutura interna de hash é exatamente esse padrão. Pesquisadores de IA também notarão que redes neurais (o módulo básico de construção do LLM) têm exatamente essa estrutura (podendo provar em paralelo a inferência de vários tokens, também porque cada token é composto por camadas neurais elementares e uma camada de multiplicação de matriz global - embora a operação de matriz não corresponda exatamente à estrutura de “independência entre entradas” mostrada acima, na prática pode ser facilmente incorporada ao sistema GKR). GKR é um protocolo de criptografia projetado especificamente para este modo. Ele é eficiente porque evita compromissos com todas as camadas intermediárias: você só precisa fazer compromissos com a entrada e a saída. Aqui, “compromisso” refere-se a colocar dados em alguma estrutura de dados criptografada (como KZG ou árvore de Merkle), permitindo assim provar conteúdos relacionados a certas consultas sobre esses dados. A forma mais barata de compromisso é usar uma árvore de Merkle com correção de erros (ou seja, o método usado no STARK), mas isso também exige que você faça um hash de 4 a 16 bytes para cada byte submetido — o que significa realizar centenas de operações de adição e multiplicação, enquanto a operação que você realmente precisa provar pode ser apenas uma multiplicação. GKR evita essas operações, exceto no primeiro e no último passo. É importante notar que o GKR não é “zero conhecimento”: ele apenas garante concisão e não oferece privacidade. Se você precisar de zero conhecimento, pode encapsular a prova GKR em ZK-SNARK ou ZK-STARK.