О производительности виртуальной машины Ethereum (EVM)
Каждая операция в основной сети Ethereum стоит определенное количество газа.Если мы поместим все расчеты, необходимые для запуска базового приложения в цепочку, либо приложение выйдет из строя, либо пользователь обанкротится.
Это породило L2: OPRU представляет сопоставитель для объединения множества транзакций перед фиксацией в основной сети. Это не только помогает приложению обеспечить безопасность Ethereum, но и дает пользователям лучший опыт. Пользователи могут отправлять транзакции быстрее, а сборы дешевле. Хотя операции стали дешевле, он по-прежнему использует собственный EVM в качестве уровня выполнения. Подобно ZK Rollups, Scroll и Polygon zkEVM используют или будут использовать схемы zk на основе EVM, а zk Proof будет генерироваться в каждой транзакции или большом пакете транзакций, выполняемых на его доказывающем устройстве. Хотя это позволяет разработчикам создавать приложения с «полной цепочкой», является ли по-прежнему эффективным и рентабельным запуск высокопроизводительных приложений?
Что это за высокопроизводительные приложения?
В первую очередь на ум приходят игры, книги заказов в сети, социальные сети Web3, машинное обучение, моделирование генома и т. д. Все они требуют больших вычислительных ресурсов и дороги для работы на L2. Другая проблема с EVM заключается в том, что скорость и эффективность вычислений не так хороши, как у других современных систем, таких как SVM (виртуальная машина Sealevel).
Хотя EVM L3 может удешевить вычисления, сама структура EVM может оказаться не лучшим способом выполнения больших вычислений, поскольку она не может выполнять параллельные операции. Каждый раз, когда выше строится новый уровень, чтобы поддерживать дух децентрализации, необходимо строить новую инфраструктуру (новую сеть узлов), которая по-прежнему требует расширения того же количества поставщиков или совершенно нового набора узлов. поставщики (индивидуальные/корпоративные) для предоставления ресурсов, или требуются оба.
Следовательно, всякий раз, когда создается более продвинутое решение, необходимо обновлять существующую инфраструктуру или создавать новый уровень поверх нее. Чтобы решить эту проблему, нам нужна постквантовая безопасная, децентрализованная, не требующая доверия, высокопроизводительная вычислительная инфраструктура, которая может действительно и эффективно использовать квантовые алгоритмы для вычислений для децентрализованных приложений.
Alt-L1, такие как Solana, Sui и Aptos, способны к параллельному исполнению, но из-за рыночных настроений, отсутствия ликвидности и отсутствия разработчиков на рынке они не смогут бросить вызов Ethereum. Из-за отсутствия доверия, а ров, построенный Ethereum с сетевыми эффектами, является важной вехой. Пока что убийцы ETH/EVM не существует. Вопрос здесь в том, почему все вычисления должны быть в цепочке? Существует ли такая же ненадежная децентрализованная система правоприменения? Это то, чего может достичь система DCompute.
Инфраструктура DCompute должна быть децентрализованной, постквантово безопасной и не требующей доверия.Ей не нужна и не должна быть блокчейн/распределенная технология, но очень важно проверять результаты вычислений, правильные переходы состояний и окончательное подтверждение. Вот как работает цепочка EVM.При сохранении безопасности и неизменности сети децентрализованные, не требующие доверия и безопасные вычисления могут быть перемещены за пределы цепочки.
Что мы в основном игнорируем здесь, так это вопрос доступности данных. В этом посте особое внимание уделяется доступности данных, поскольку такие решения, как Celestia и EigenDA, уже движутся в этом направлении.
1: Только аутсорсинг вычислений
(来源:Модели вне цепочки и подходы к вычислениям вне цепочки, Джейкоб Эберхардт и Джонатан Хейсс)
2. Аутсорсинг вычислений и доступности данных
(来源:Модели вне цепочки и подходы к вычислениям вне цепочки, Джейкоб Эберхардт и Джонатан Хейсс)
Когда мы увидели Type 1, zk-rollup уже делали это, но они либо были ограничены EVM, либо нуждались в обучении разработчиков совершенно новому языку/набору инструкций. Идеальное решение должно быть эффективным, действенным (затраты и ресурсы), децентрализованным, частным и поддающимся проверке. Доказательства ZK можно создавать на серверах AWS, но они не децентрализованы. Такие решения, как Nillion и Nexus, пытаются решить проблему общих вычислений децентрализованным способом. Но эти решения непроверяемы без ZK-доказательств.
Тип 2 сочетает в себе модель вычислений вне сети с уровнем доступности данных, который остается отдельным, но вычисления по-прежнему необходимо проверять в сети.
Давайте взглянем на различные модели децентрализованных вычислений, доступные сегодня, которые не являются полностью надежными и, возможно, полностью ненадежными.
TEE (Trusted Execution Environment) — это своего рода специальная коробка внутри компьютера или смартфона. У него есть собственный замок и ключ, и только определенные программы (называемые доверенными приложениями) могут получить к нему доступ. Когда эти доверенные приложения запускаются внутри TEE, они защищены другими программами и даже самой операционной системой.
Это похоже на тайное убежище, в которое могут попасть только несколько особенных друзей. Наиболее распространенным примером TEE является Secure Enclave, который существует на используемых нами устройствах, таких как чип Apple T1 и Intel SGX, для выполнения критически важных операций внутри устройства, таких как FaceID.
Поскольку TEE является изолированной системой, процесс аутентификации не может быть скомпрометирован из-за допущения доверия при аутентификации. Думайте об этом как о защитной двери, которую вы считаете надежной, потому что Intel или Apple создали ее, но в мире достаточно злоумышленников (включая хакеров и другие компьютеры), которые могут взломать эту защитную дверь. TEE не являются «постквантово безопасными», что означает, что квантовый компьютер с неограниченными ресурсами может взломать безопасность TEE. Поскольку компьютеры быстро становятся все более мощными, мы должны создавать долгосрочные вычислительные системы и схемы криптографии с учетом постквантовой безопасности.
Безопасные многосторонние вычисления (SMPC)
SMPC (Secure Multi-Party Computing) также является хорошо известным вычислительным решением в индустрии технологий блокчейн.Общий рабочий процесс в сети SMPC будет состоять из следующих трех частей:
Шаг 1: Преобразуйте вычисленные входные данные в общие ресурсы и распределите между узлами SMPC.
Шаг 2: Выполните фактические вычисления, обычно включающие обмен сообщениями между узлами SMPC. В конце этого шага каждый узел будет иметь долю вычисленного выходного значения.
Шаг 3: Отправьте совместное использование результатов на один или несколько узлов результатов, которые запускают LSS (алгоритм восстановления совместного использования секретов) для восстановления выходного результата.
Представьте себе линию по производству автомобилей, где сборка и производство компонентов автомобиля (двигатель, двери, зеркала) передаются на аутсорсинг производителю оригинального оборудования (OEM) (рабочие узлы), а затем есть сборочная линия, которая собирает все компоненты вместе. сделать машину (результат в узле).
Обмен секретами важен для модели децентрализованных вычислений, сохраняющей конфиденциальность. Это предотвращает получение одной стороной полного «секрета» (в данном случае входных данных) и злонамеренное создание ошибочных выходных данных. SMPC, вероятно, является одной из самых простых и безопасных децентрализованных систем. Хотя полностью децентрализованной модели в настоящее время не существует, логически она возможна.
Поставщики MPC, такие как Sharemind, предоставляют инфраструктуру MPC для вычислений, но поставщики по-прежнему централизованы. Как обеспечить конфиденциальность, как убедиться, что сеть (или Sharemind) не является злонамеренной?
Нулевой расчет сообщений (NMC)
NMC — это новый метод распределенных вычислений, разработанный командой Nillion. Это обновленная версия MPC, в которой узлам не нужно взаимодействовать, взаимодействуя через результаты. Для этого они использовали криптографический примитив, называемый одноразовой маскировкой, который использует серию случайных чисел, называемых ослепляющими факторами, для маскировки секрета, аналогично одноразовому заполнению. Целью OTM является эффективное обеспечение корректности, а это означает, что узлам NMC не нужно обмениваться какими-либо сообщениями для выполнения вычислений. Это означает, что у NMC не будет проблем масштабируемости SMPC.
Поддающиеся проверке вычисления с нулевым разглашением
Верифицируемые вычисления ZK (проверяемые вычисления ZK) предназначены для создания доказательства с нулевым разглашением для набора входных данных и функции, а также для доказательства того, что любые вычисления, выполняемые системой, будут выполняться правильно. Хотя расчет проверки ZK является новым, он уже является очень важной частью дорожной карты расширения сети Ethereum.
ZK доказывает, что существуют различные формы реализации (как показано на рисунке ниже, в соответствии с кратким изложением в документе "Off-Chaining_Models"):
(Источник: IOSG Ventures, Off-chain Models and Approaches to Off-chain Computations, Jacob Eberhardt & Jonathan Heiss)
Выше у нас есть базовое понимание реализации zk-доказательств, так каковы же условия использования ZK-доказательств для проверки вычислений?
Прежде всего, нам нужно выбрать примитив доказательства.Идеальный примитив доказательства имеет низкую стоимость для создания доказательств, не требует большого объема памяти и легко проверяется
Еще одна вещь, которую я должен сказать, это то, что порог для создания схем все еще очень высок. Разработчикам нелегко изучить Solidity. Теперь разработчикам необходимо изучить Circom для создания схем или изучить определенный язык программирования (например, Cairo). создание zk-приложений кажется отдаленной перспективой.
Как показывает приведенная выше статистика, **сделать среду Web3 более подходящей для разработки кажется более устойчивым, чем привлечение разработчиков к новой среде разработки Web3. **
Если ZK — это будущее Web3, а приложения Web3 необходимо создавать с использованием существующих навыков разработчика, то схемы ZK необходимо проектировать таким образом, чтобы они поддерживали вычисления, выполняемые алгоритмами, написанными на таких языках, как Java или Rust, для генерации доказательств. .
Такие решения существуют, и я думаю о двух командах: RiscZero и Lurk Labs. Обе команды разделяют очень похожее видение того, что они позволяют разработчикам создавать zk-приложения, не проходя крутую кривую обучения.
Для Lurk Labs пока еще рано, но команда уже давно работает над этим проектом. Они сосредоточены на создании доказательств Nova с помощью схем общего назначения. Доказательства Nova были предложены Абхирамом Котхапалли из Университета Карнеги-Меллона и Сринатом Сетти из Microsoft Research и Иоанной Циаллае из Нью-Йоркского университета. По сравнению с другими системами SNARK, Nova обладает особыми преимуществами в выполнении инкрементных проверяемых вычислений (IVC). Инкрементальные проверяемые вычисления (IVC) — это концепция компьютерных наук и криптографии, цель которой — обеспечить проверку вычислений без повторного вычисления всего вычисления с нуля. Доказательства должны быть оптимизированы для IVC, когда время вычислений велико и сложно.
Прелесть дизайна сети Bonsai заключается в том, что вычисления могут быть инициализированы, проверены и выведены по цепочке. Все это звучит как утопия, но доказательство СТАРКа тоже приносит проблемы — слишком высока стоимость проверки.
Доказательства Nova хорошо подходят для повторяющихся вычислений (схема сворачивания экономически эффективна) и небольших вычислений, что может сделать Lurk хорошим решением для проверки выводов ML.
Кто победитель?
(Источник: IOSG Ventures)
Некоторым системам zk-SNARK требуется доверенный процесс установки на этапе начальной настройки, генерирующий начальный набор параметров. Предположение о доверии здесь заключается в том, что доверенные настройки выполняются честно, без какого-либо злонамеренного поведения или вмешательства. В случае атаки это может привести к созданию недействительных доказательств.
Доказательства СТАРКа предполагают безопасность тестов низкого порядка для проверки свойств полиномов низкого порядка. Они также предполагают, что хеш-функции ведут себя как случайные оракулы.
Правильная реализация обеих систем также является предпосылкой безопасности.
Сеть SMPC основана на следующем:
Среди участников SMPC могут быть «честные, но любопытные» участники, которые могут попытаться получить доступ к любой основной информации, общаясь с другими узлами.
Безопасность сети SMPC основана на предположении, что участники правильно выполняют протокол и не допускают преднамеренных ошибок или злонамеренного поведения.
Некоторые протоколы SMPC могут потребовать надежной фазы установки для создания зашифрованных параметров или начальных значений. Предположение о доверии здесь состоит в том, что доверенная установка применяется честно.
Так же, как и в сети SMPC, предположение о безопасности остается тем же, но из-за существования OTM (многосторонних вычислений вне сети) нет «честных, но любопытных» участников.
OTM — это многосторонний протокол вычислений, предназначенный для защиты конфиденциальности участников. Он обеспечивает защиту конфиденциальности, позволяя участникам не раскрывать свои входные данные в вычислениях. Следовательно, «честных, но любопытных» участников не будет, поскольку они не смогут общаться с другими узлами в попытке получить доступ к базовой информации.
Есть ли явный победитель? Мы не знаем. Но у каждого метода есть свои преимущества. Хотя NMC выглядит как очевидная модернизация SMPC, сеть еще не запущена и не прошла боевые испытания.
Преимущество использования проверяемых вычислений ZK заключается в том, что они безопасны и сохраняют конфиденциальность, но не имеют встроенного обмена секретами. Асимметрия между генерацией доказательств и проверкой делает ее идеальной моделью для верифицируемых аутсорсинговых вычислений. Если в системе используются расчеты с чисто zk-доказательством, компьютер (или отдельный узел) должен быть очень мощным, чтобы выполнять множество вычислений. Чтобы включить распределение нагрузки и балансировку при сохранении конфиденциальности, необходимо совместное использование секретов. В этом случае такая система, как SMPC или NMC, может быть объединена с генератором zk, таким как Lurk или RiscZero, для создания мощной распределенной проверяемой аутсорсинговой вычислительной инфраструктуры.
Это становится еще более важным сегодня, когда сети MPC/SMPC централизованы. На данный момент крупнейшим поставщиком MPC является Sharemind, и слой проверки ZK поверх него может оказаться полезным. Экономическая модель децентрализованной сети MPC еще не отработана. Теоретически режим NMC является апгрейдом системы MPC, но мы пока не видим его успеха.
В гонке за схемы доказательства ZK может не быть ситуации, когда победитель получает все. Каждый метод доказательства оптимизирован для определенного типа вычислений, и ни один из них не подходит для всех типов моделей. Существует много типов вычислительных задач, и это также зависит от компромиссов, на которые разработчики идут с каждой системой доказательства. Автор считает, что как системы на основе STARK, так и системы на основе SNARK и их будущие оптимизации имеют место в будущем ZK.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Кто выигрывает в условиях бума инноваций EVM?
Сиддхарт Рао, IOSG Ventures
О производительности виртуальной машины Ethereum (EVM)
Каждая операция в основной сети Ethereum стоит определенное количество газа.Если мы поместим все расчеты, необходимые для запуска базового приложения в цепочку, либо приложение выйдет из строя, либо пользователь обанкротится.
Это породило L2: OPRU представляет сопоставитель для объединения множества транзакций перед фиксацией в основной сети. Это не только помогает приложению обеспечить безопасность Ethereum, но и дает пользователям лучший опыт. Пользователи могут отправлять транзакции быстрее, а сборы дешевле. Хотя операции стали дешевле, он по-прежнему использует собственный EVM в качестве уровня выполнения. Подобно ZK Rollups, Scroll и Polygon zkEVM используют или будут использовать схемы zk на основе EVM, а zk Proof будет генерироваться в каждой транзакции или большом пакете транзакций, выполняемых на его доказывающем устройстве. Хотя это позволяет разработчикам создавать приложения с «полной цепочкой», является ли по-прежнему эффективным и рентабельным запуск высокопроизводительных приложений?
Что это за высокопроизводительные приложения?
В первую очередь на ум приходят игры, книги заказов в сети, социальные сети Web3, машинное обучение, моделирование генома и т. д. Все они требуют больших вычислительных ресурсов и дороги для работы на L2. Другая проблема с EVM заключается в том, что скорость и эффективность вычислений не так хороши, как у других современных систем, таких как SVM (виртуальная машина Sealevel).
Хотя EVM L3 может удешевить вычисления, сама структура EVM может оказаться не лучшим способом выполнения больших вычислений, поскольку она не может выполнять параллельные операции. Каждый раз, когда выше строится новый уровень, чтобы поддерживать дух децентрализации, необходимо строить новую инфраструктуру (новую сеть узлов), которая по-прежнему требует расширения того же количества поставщиков или совершенно нового набора узлов. поставщики (индивидуальные/корпоративные) для предоставления ресурсов, или требуются оба.
Следовательно, всякий раз, когда создается более продвинутое решение, необходимо обновлять существующую инфраструктуру или создавать новый уровень поверх нее. Чтобы решить эту проблему, нам нужна постквантовая безопасная, децентрализованная, не требующая доверия, высокопроизводительная вычислительная инфраструктура, которая может действительно и эффективно использовать квантовые алгоритмы для вычислений для децентрализованных приложений.
Alt-L1, такие как Solana, Sui и Aptos, способны к параллельному исполнению, но из-за рыночных настроений, отсутствия ликвидности и отсутствия разработчиков на рынке они не смогут бросить вызов Ethereum. Из-за отсутствия доверия, а ров, построенный Ethereum с сетевыми эффектами, является важной вехой. Пока что убийцы ETH/EVM не существует. Вопрос здесь в том, почему все вычисления должны быть в цепочке? Существует ли такая же ненадежная децентрализованная система правоприменения? Это то, чего может достичь система DCompute.
Инфраструктура DCompute должна быть децентрализованной, постквантово безопасной и не требующей доверия.Ей не нужна и не должна быть блокчейн/распределенная технология, но очень важно проверять результаты вычислений, правильные переходы состояний и окончательное подтверждение. Вот как работает цепочка EVM.При сохранении безопасности и неизменности сети децентрализованные, не требующие доверия и безопасные вычисления могут быть перемещены за пределы цепочки.
Что мы в основном игнорируем здесь, так это вопрос доступности данных. В этом посте особое внимание уделяется доступности данных, поскольку такие решения, как Celestia и EigenDA, уже движутся в этом направлении.
1: Только аутсорсинг вычислений
(来源:Модели вне цепочки и подходы к вычислениям вне цепочки, Джейкоб Эберхардт и Джонатан Хейсс)
2. Аутсорсинг вычислений и доступности данных
(来源:Модели вне цепочки и подходы к вычислениям вне цепочки, Джейкоб Эберхардт и Джонатан Хейсс)
Когда мы увидели Type 1, zk-rollup уже делали это, но они либо были ограничены EVM, либо нуждались в обучении разработчиков совершенно новому языку/набору инструкций. Идеальное решение должно быть эффективным, действенным (затраты и ресурсы), децентрализованным, частным и поддающимся проверке. Доказательства ZK можно создавать на серверах AWS, но они не децентрализованы. Такие решения, как Nillion и Nexus, пытаются решить проблему общих вычислений децентрализованным способом. Но эти решения непроверяемы без ZK-доказательств.
Тип 2 сочетает в себе модель вычислений вне сети с уровнем доступности данных, который остается отдельным, но вычисления по-прежнему необходимо проверять в сети.
Давайте взглянем на различные модели децентрализованных вычислений, доступные сегодня, которые не являются полностью надежными и, возможно, полностью ненадежными.
Альтернативные вычисления
Экологическая карта аутсорсинговых вычислений Ethereum (Источник: IOSG Ventures)
TEE (Trusted Execution Environment) — это своего рода специальная коробка внутри компьютера или смартфона. У него есть собственный замок и ключ, и только определенные программы (называемые доверенными приложениями) могут получить к нему доступ. Когда эти доверенные приложения запускаются внутри TEE, они защищены другими программами и даже самой операционной системой.
Это похоже на тайное убежище, в которое могут попасть только несколько особенных друзей. Наиболее распространенным примером TEE является Secure Enclave, который существует на используемых нами устройствах, таких как чип Apple T1 и Intel SGX, для выполнения критически важных операций внутри устройства, таких как FaceID.
Поскольку TEE является изолированной системой, процесс аутентификации не может быть скомпрометирован из-за допущения доверия при аутентификации. Думайте об этом как о защитной двери, которую вы считаете надежной, потому что Intel или Apple создали ее, но в мире достаточно злоумышленников (включая хакеров и другие компьютеры), которые могут взломать эту защитную дверь. TEE не являются «постквантово безопасными», что означает, что квантовый компьютер с неограниченными ресурсами может взломать безопасность TEE. Поскольку компьютеры быстро становятся все более мощными, мы должны создавать долгосрочные вычислительные системы и схемы криптографии с учетом постквантовой безопасности.
SMPC (Secure Multi-Party Computing) также является хорошо известным вычислительным решением в индустрии технологий блокчейн.Общий рабочий процесс в сети SMPC будет состоять из следующих трех частей:
Шаг 1: Преобразуйте вычисленные входные данные в общие ресурсы и распределите между узлами SMPC.
Шаг 2: Выполните фактические вычисления, обычно включающие обмен сообщениями между узлами SMPC. В конце этого шага каждый узел будет иметь долю вычисленного выходного значения.
Шаг 3: Отправьте совместное использование результатов на один или несколько узлов результатов, которые запускают LSS (алгоритм восстановления совместного использования секретов) для восстановления выходного результата.
Представьте себе линию по производству автомобилей, где сборка и производство компонентов автомобиля (двигатель, двери, зеркала) передаются на аутсорсинг производителю оригинального оборудования (OEM) (рабочие узлы), а затем есть сборочная линия, которая собирает все компоненты вместе. сделать машину (результат в узле).
Обмен секретами важен для модели децентрализованных вычислений, сохраняющей конфиденциальность. Это предотвращает получение одной стороной полного «секрета» (в данном случае входных данных) и злонамеренное создание ошибочных выходных данных. SMPC, вероятно, является одной из самых простых и безопасных децентрализованных систем. Хотя полностью децентрализованной модели в настоящее время не существует, логически она возможна.
Поставщики MPC, такие как Sharemind, предоставляют инфраструктуру MPC для вычислений, но поставщики по-прежнему централизованы. Как обеспечить конфиденциальность, как убедиться, что сеть (или Sharemind) не является злонамеренной?
NMC — это новый метод распределенных вычислений, разработанный командой Nillion. Это обновленная версия MPC, в которой узлам не нужно взаимодействовать, взаимодействуя через результаты. Для этого они использовали криптографический примитив, называемый одноразовой маскировкой, который использует серию случайных чисел, называемых ослепляющими факторами, для маскировки секрета, аналогично одноразовому заполнению. Целью OTM является эффективное обеспечение корректности, а это означает, что узлам NMC не нужно обмениваться какими-либо сообщениями для выполнения вычислений. Это означает, что у NMC не будет проблем масштабируемости SMPC.
Верифицируемые вычисления ZK (проверяемые вычисления ZK) предназначены для создания доказательства с нулевым разглашением для набора входных данных и функции, а также для доказательства того, что любые вычисления, выполняемые системой, будут выполняться правильно. Хотя расчет проверки ZK является новым, он уже является очень важной частью дорожной карты расширения сети Ethereum.
ZK доказывает, что существуют различные формы реализации (как показано на рисунке ниже, в соответствии с кратким изложением в документе "Off-Chaining_Models"):
Выше у нас есть базовое понимание реализации zk-доказательств, так каковы же условия использования ZK-доказательств для проверки вычислений?
Дилемма разработчика — дилемма доказательства эффективности
Еще одна вещь, которую я должен сказать, это то, что порог для создания схем все еще очень высок. Разработчикам нелегко изучить Solidity. Теперь разработчикам необходимо изучить Circom для создания схем или изучить определенный язык программирования (например, Cairo). создание zk-приложений кажется отдаленной перспективой.
Как показывает приведенная выше статистика, **сделать среду Web3 более подходящей для разработки кажется более устойчивым, чем привлечение разработчиков к новой среде разработки Web3. **
Если ZK — это будущее Web3, а приложения Web3 необходимо создавать с использованием существующих навыков разработчика, то схемы ZK необходимо проектировать таким образом, чтобы они поддерживали вычисления, выполняемые алгоритмами, написанными на таких языках, как Java или Rust, для генерации доказательств. .
Такие решения существуют, и я думаю о двух командах: RiscZero и Lurk Labs. Обе команды разделяют очень похожее видение того, что они позволяют разработчикам создавать zk-приложения, не проходя крутую кривую обучения.
Для Lurk Labs пока еще рано, но команда уже давно работает над этим проектом. Они сосредоточены на создании доказательств Nova с помощью схем общего назначения. Доказательства Nova были предложены Абхирамом Котхапалли из Университета Карнеги-Меллона и Сринатом Сетти из Microsoft Research и Иоанной Циаллае из Нью-Йоркского университета. По сравнению с другими системами SNARK, Nova обладает особыми преимуществами в выполнении инкрементных проверяемых вычислений (IVC). Инкрементальные проверяемые вычисления (IVC) — это концепция компьютерных наук и криптографии, цель которой — обеспечить проверку вычислений без повторного вычисления всего вычисления с нуля. Доказательства должны быть оптимизированы для IVC, когда время вычислений велико и сложно.
Прелесть дизайна сети Bonsai заключается в том, что вычисления могут быть инициализированы, проверены и выведены по цепочке. Все это звучит как утопия, но доказательство СТАРКа тоже приносит проблемы — слишком высока стоимость проверки.
Доказательства Nova хорошо подходят для повторяющихся вычислений (схема сворачивания экономически эффективна) и небольших вычислений, что может сделать Lurk хорошим решением для проверки выводов ML.
Кто победитель?
(Источник: IOSG Ventures)
Некоторым системам zk-SNARK требуется доверенный процесс установки на этапе начальной настройки, генерирующий начальный набор параметров. Предположение о доверии здесь заключается в том, что доверенные настройки выполняются честно, без какого-либо злонамеренного поведения или вмешательства. В случае атаки это может привести к созданию недействительных доказательств.
Доказательства СТАРКа предполагают безопасность тестов низкого порядка для проверки свойств полиномов низкого порядка. Они также предполагают, что хеш-функции ведут себя как случайные оракулы.
Правильная реализация обеих систем также является предпосылкой безопасности.
Сеть SMPC основана на следующем:
OTM — это многосторонний протокол вычислений, предназначенный для защиты конфиденциальности участников. Он обеспечивает защиту конфиденциальности, позволяя участникам не раскрывать свои входные данные в вычислениях. Следовательно, «честных, но любопытных» участников не будет, поскольку они не смогут общаться с другими узлами в попытке получить доступ к базовой информации.
Есть ли явный победитель? Мы не знаем. Но у каждого метода есть свои преимущества. Хотя NMC выглядит как очевидная модернизация SMPC, сеть еще не запущена и не прошла боевые испытания.
Преимущество использования проверяемых вычислений ZK заключается в том, что они безопасны и сохраняют конфиденциальность, но не имеют встроенного обмена секретами. Асимметрия между генерацией доказательств и проверкой делает ее идеальной моделью для верифицируемых аутсорсинговых вычислений. Если в системе используются расчеты с чисто zk-доказательством, компьютер (или отдельный узел) должен быть очень мощным, чтобы выполнять множество вычислений. Чтобы включить распределение нагрузки и балансировку при сохранении конфиденциальности, необходимо совместное использование секретов. В этом случае такая система, как SMPC или NMC, может быть объединена с генератором zk, таким как Lurk или RiscZero, для создания мощной распределенной проверяемой аутсорсинговой вычислительной инфраструктуры.
Это становится еще более важным сегодня, когда сети MPC/SMPC централизованы. На данный момент крупнейшим поставщиком MPC является Sharemind, и слой проверки ZK поверх него может оказаться полезным. Экономическая модель децентрализованной сети MPC еще не отработана. Теоретически режим NMC является апгрейдом системы MPC, но мы пока не видим его успеха.
В гонке за схемы доказательства ZK может не быть ситуации, когда победитель получает все. Каждый метод доказательства оптимизирован для определенного типа вычислений, и ни один из них не подходит для всех типов моделей. Существует много типов вычислительных задач, и это также зависит от компромиссов, на которые разработчики идут с каждой системой доказательства. Автор считает, что как системы на основе STARK, так и системы на основе SNARK и их будущие оптимизации имеют место в будущем ZK.