スタンフォードブロックチェーンクラブ:ゼロ知識技術の大規模普及にはどのような条件が必要か?
今後数年以内に、毎秒生成される証明の数は2倍以上に増加し、その後、基盤となる汎用計算の増益に漸近していくでしょう。執筆:STANFORD BLOCKCHAIN CLUB 、 ROY LU
編纂:深潮 TechFlow
注:この記事はスタンフォードブロックチェーンレビューからのもので、深潮 TechFlowはスタンフォードブロックチェーンレビューのパートナーであり、独占的に翻訳転載の許可を得ています。
イントロダクション
この記事では、ゼロ知識証明がWeb3の外で私たちの生活をどのように変えるかを探ります。パフォーマンス向上のレバレッジについて議論し、「ゼロ知識におけるムーアの法則」を提唱し、価値の蓄積パターンを特定します。
ゼロ知識は今日のWeb3において最も変革的な技術の一つであり、スケーラビリティ、認証、プライバシーなどの面で巨大な潜在能力を持っています。しかし、現在のパフォーマンスレベルは、多くの潜在的なアプリケーションシナリオでの活用を制限しています。しかし、ZK技術が成熟するにつれて、ZK技術は指数関数的に成長し、Web3や従来の業界で広く応用されると考えています。ムーアの法則がチップのトランジスタ密度が2年ごとに倍増することを予測するように、私はゼロ知識証明に関しても同様の指数法則を提唱します:
今後数年間で、毎秒生成される証明の数は倍増し、次第に基盤となる汎用計算の増加に近づくでしょう。
ムーアの法則の概要
ムーアの法則は、インテルの共同創業者ゴードン・ムーアによって1965年に提唱された予測であり、「半導体電子集積回路の複雑さは2年ごとに倍増する」とされています。過去58年間、ムーアの法則はモバイルコンピューティング、機械学習、そして私たちのデジタル生活のほぼすべての側面を推進し、その結果、私たちと技術との相互作用の仕方を変えました。
ゴードン・ムーアは、チップ上のトランジスタ数が倍増するにつれて、規模の経済効果により製造コストが基本的に変わらないことを実証的に観察しました。彼はさらに、計算能力に対する需要がトランジスタ密度を増加させる投資を促進することに気づきました。
計算能力がますます小さなチップ上で指数関数的に強化されるにつれて、トランジスタ数のこのオーダーの変化は、私たちがコンピュータを使用し、相互作用する質的変化に変わります。
私たちの携帯電話はアポロ11号よりも強力なコンピュータであり、ポケットに便利に収まり、どのウェブサイトからでもストリーミングコンテンツを楽しみ、世界中の誰とでも通信できるようにしています。大規模言語モデルのトレーニングはChatGPTのリリースへの道を開き、データ検索からインテリジェントな統合まで、私たちの情報との相互作用の仕方を変えました。
ゼロ知識証明とWeb3の爆発
トランジスタ数の倍増とムーアの法則が私たちの現代技術との相互作用の質的変化をもたらしたのと同様に、ゼロ知識証明の指数的成長は新たなアプリケーションレイヤー体験の波を開くでしょう。本質的に、ゼロ知識証明はプライバシー、正確性、スケーラビリティを与え、これらの特性はゼロ知識のプライベートコンピューティング、証明可能な正確性、再帰的簡潔性に根ざしています。これらの特性は、新しい計算パラダイムへの基本的な転換を示しています。
プライベートコンピューティング
ゼロ知識は、計算をプライベートモジュールで行い、結果を共有し外部で検証することを可能にします。現実世界の例として、銀行がゼロ知識計算を採用することで、身分盗用を防ぐことができます。たとえば、ユーザーは、銀行に対してその敏感なデータを開示することなく、身分情報と信用履歴に基づいてローン承認プログラムを実行することを許可できます——プライバシーが保護されます。Web3では、ZKは完全にプライベートなL1ネットワーク(AleoやMinaなど)やプライベートペイメントネットワーク(Zcash、zk.money、Elusiv、Nocturneなど)を推進しています。ZKPはまた、Renegadeなどのチームが市場価格に影響を与えずに取引注文をリストするためのダークプールを運営することを可能にします。価値はユーザーのプライベートデータを開示することなく転送されます。
証明可能な正確性
不透明な計算に対して、ゼロ知識は計算の入力、出力、処理に対するトレーサビリティを提供します。例としては、分散型機械学習があり、リモート計算ノードのネットワークを通じて人工知能の民主化を実現します。ZKPは、機械学習におけるデータ、重み、トレーニングの回数を証明し、全体のトレーニングプロセスが期待通りに行われたことを証明します——正確性が確立されます。Web3では、GensynやModulus LabsのようなチームがzkMLを実装し始めており、Risc Zeroのような汎用ZKVMも実装中です。クロスチェーン状態の正確性を証明するために、ZKPはPolymer、Succinct Labs、Herodotus、LagrangeなどのZKブリッジで使用されています。ZKはまた、Provenのようなアプリケーションが準備の正確性を証明することを可能にします。
再帰的簡潔性
ZKはまた、一連の証明を一つの証明に折りたたむことができます。現実世界の別の例は、サプライチェーンにおける真実の追跡です。サプライチェーンの各ステップの製造者は、ZKPを使用してその製品の真実性を証明できますが、敏感な製造情報は漏洩しません。その後、これらのZKPは再帰的に証明され、サプライチェーン全体の正確性を証明する最終的なZKPが生成されます——スケーラビリティが実現されます。Web3では、数千の取引のZKPが一つの証明に統合され、Starkware、Scroll、zkSyncなどのL2ネットワークに力を与え、ブロックチェーンのスループットを大幅に向上させます。
ゼロ知識のムーアの法則の定義
上記の内容から、トランジスタがアプリケーションレイヤーの爆発を引き起こす抽象的な類似点と、ZKPがWeb3の革新において類似の革新の波を解放していることがわかりました。今こそ、汎用計算とゼロ知識計算を比較することで「ゼロ知識のムーアの法則」の具体的な定義を導き出す時です。
汎用計算とゼロ知識計算
汎用計算では、ポータルは金属-酸化物-シリコンベースのトランジスタで構成されています。各ポータルはAND、OR、XORなどの複数のオペランドのいずれかに属することができます。これらのオペランドが共同でプログラムを実行します。
他の条件が同じであれば、ゼロ知識計算は汎用計算よりも高価です。たとえば、「Groth16を使用してSHA2ハッシュ10kbを生成するには140秒かかりますが、ゼロ知識を使用しない場合は数ミリ秒で済みます。」これは、ZK計算が各オペランドに対して複雑な算術演算を使用するためです。
ゼロ知識計算では、オペランドは有限体で表現できます。SNARKsの場合、各オペランドは楕円曲線上で行われます。他の変種のゼロ知識では、オペランドは行列、格子、またはモジュラー配列で構成され、これらも算術演算を行うための複雑な数学的構造です。これらのオペランドを使用して簡単な加算、減算、乗算を行うことは非常に高価です。データ入力は数字ではなく有限体に変換されます。これらの構造の複雑さは、暗号技術が安全性を獲得する基盤です。算術の詳細はこの記事の範囲を超えていますが、重要なポイントは、論理ゲートが物理回路上で実行されるのと同様に、ゼロ知識論理がソフトウェア回路内で実行されるということです。
したがって、汎用計算ではパフォーマンスの向上が物理法則によって制御されるのに対し、ゼロ知識計算ではパフォーマンスの向上が数学的法則によって制御されます。したがって、ハードウェアの加速も顕著な増益をもたらしますが、ゼロ知識にムーアの法則を適用することはソフトウェアの領域に存在し、必ずしもハードウェアの領域ではありません。これらの基本原則に基づいて、ゼロ知識における特定のムーアの法則の姿を導き出すことができます。
ゼロ知識における画期的な改善は不連続である
おそらく最も重要な観察は、汎用計算の改善が連続的であるのに対し、ゼロ知識計算の改善が段階的であることがわかったことです。
具体的には、2005年から2020年にかけて、CPUのコア数はおおよそ5年ごとに倍増し、クロック周波数は1990年代から2010年代にかけておおよそ5年ごとに倍増しました。一方、ZK回路の制約数は連続的に「改善」されることはなく、SNARKsの30-40Mの制約からPLONKsの4-8M行に飛躍し、次にSTARKsの2^14-2^16の変換ステップに飛躍しました。同様に、有限体数のビット数は2018年から2022年の間に約256ビットであり、その後2022年から2023年の間に32ビットに飛躍し、32ビットレジスタの利点を活用しました。
さらに、HyperSpartanの最新の進展は、追加のオーバーヘッドなしにR1 CS、Plonkish、AIRを同時にキャッチできるカスタマイズ可能な制約システム(CCS)をサポートしています。また、Super Novaの導入は、異なる命令セットと制約システムと互換性のある折りたたみスキームを持つ高速再帰証明システムNovaの上に構築されています。これらの2つの進展は、ZKアーキテクチャの設計空間をさらに広げました。
これらの発見に基づいて、ゼロ知識における基本的なムーアの法則は、単一の連続的な改善ベクトルに基づくのではなく、特定の時間内に生成される証明の数の全体的なパフォーマンス向上に基づき、不連続な改善によって駆動されます。私は、ゼロ知識におけるムーアの法則が基盤となる汎用計算の増益を引き継ぐ前に、離散的な革命的飛躍を遂げると考えています:
今後数年間で、毎秒生成される証明の数は倍増し、次第に基盤となる汎用計算の増加に近づくでしょう。
ゼロ知識証明のコストを下げる
前述のように、現在の段階のゼロ知識証明は広範な潜在的アプリケーションに対して脆弱で高価すぎます。特に、検証のコストは証明生成のコストをはるかに上回っています。粗い推定によれば、ゼロ知識証明の生成コストは1ドル未満であり、これは以下の事実に基づいています:1)アマゾンAWS上で、16コアCPUと32GBメモリを持つEC2インスタンスのコストは0.4ドル/時間であり、分散型計算ノードのコストはさらに低いと予想されます;2)Polygon Hermezのコストは1時間あたり4-6ドルで、1時間に約20の証明を生成します。
しかし、検証のオンチェーンコストは依然として高く、各検証には23万から500万ガスを消費し、概ね各検証に100-2000ドル相当となります。ZKロールアップは、数千の取引にコストを分散させることで規模の経済から利益を得ていますが、他のタイプのZKアプリケーションは、前述のアプリケーションレイヤーの革新を実現するために、検証コストを下げる方法を見つける必要があります。最終的なユーザーに生活の質の向上をもたらすために。
ゼロ知識証明の容量の突破が不連続かつ離散的なステップで発生する可能性があることを考慮し、これらの突破が発生する可能性のある潜在的な領域を見てみましょう。以下はzkprizeにリストされているいくつかの潜在的な最適化方法です:
- アルゴリズムの最適化、これには多スカラー乗算(MSM)や数論変換(NTT)が含まれ、これらのアルゴリズムは通常、楕円曲線暗号学を加速するために使用され、ハードウェア加速も可能です。フーリエ変換はNTTの一例であり、さまざまな実装で最適化されています。
- 並列処理は、データ構造の前処理、回路評価、または証明生成の部分を複数の処理ユニットまたはスレッドに委任することで、ゼロ知識のスループットを増加させることができます。
- コンパイラの最適化は、レジスタ割り当て、ループ最適化、メモリ最適化、命令スケジューリングを改善できます。
アルゴリズムの最適化に関しては、SNARKSからHalo2、Plonky2、HyperPlonkのPlonkishへの算術化が一例であり、これらはStarky証明で使用されるAIRとは異なります。さらに、折りたたみスキームの最新の進展は興味深く、HyperNovaはカスタマイズ可能な制約システムを持つ増分検証可能計算をサポートできます。並列処理の面では、Polygonチームが発表したPlonky2の再帰は、並列証明生成の可能性を拡大しました。コンパイラの最適化に関しては、ゼロ知識に適したLLVMの使用が非常に興味深いです。なぜなら、IR(中間表現)は命令セットに依存しないオペコードにコンパイルできるからです。たとえば、Nil FoundationのZK-LLVMやRisc0のzkVMもLLVMを使用して各ステップの実行を追跡するゼロ知識証明を生成しています。汎用のZKVMやLLVMは、ゼロ知識をブロックチェーン以外のユースケースに拡張し、より広範な開発者の入門におけるコードの移植性を高めます。
ゼロ知識ビルダーへの影響
汎用計算において、価値の蓄積は通常、既存の参加者に有利です。たとえば、チップメーカーは、資本投資の周りに形成された堀から利益を得ており、これらの投資は製造技術を段階的に改善してより小さなチップを生産することを支えています。しかし、ゼロ知識における革新は不連続な革命的飛躍として発生するため、新しいチームは新しい証明システムを発明するなど、研究駆動の技術能力の突破を通じて十分な機会を持っています。
この理論に基づいて、Web3のゼロ知識ビルダーに対していくつかのポイントがあります:
- ゼロ知識ビルダーはモジュール設計を考慮すべきです。zk回路に関与するプロトコルビルダーは、最先端のZK技術のコンポーネントを置き換えることを可能にするモジュール設計を考慮すべきです。
- 参加者は研究駆動の破壊から利益を得ることができます。研究能力を持つチームにとって、革命的な新型証明システムを提案または最初に実装し、既存のチームを超える可能性があります。
- 垂直統合者は最新技術の組み合わせから利益を得ることができます。ゼロ知識スタックの各層は、ハードウェアからコンパイラ、回路まで、独自の改善を行うことができるため、垂直統合者はモジュール化して最新技術を採用し、アプリケーションチームに最先端のZK技術を最低コストで提供できます。
これらの観点に基づいて、私は業界全体で3つの重要な発展が起こると予測しています:
新しいチームが技術的な突破を通じて現在の ZK プロトコルを超える。
既存のプロトコルが技術ではなくエコシステムに基づく堀を求める。
垂直統合の ZK プロバイダーが登場し、最新技術を低コストで提供する。革新と破壊がこの急速に発展する分野で起こるでしょう。
結論
技術における逆説は、技術がうまく機能するとき、それは 目に見えなくなるということです。私たちは水を飲むときにコップを考えず、電子メールを送るときにコンピュータのチップを意識しません。目標が達成されるほど容易になるほど、私たちはプロセスを無視しやすくなります。
ゼロ知識証明は、ユーザー体験を改善するスケーラブルなアプリケーションを提供する可能性があります。技術がうまく機能するとき、私たちは証明の存在に気づかず、取引がよりプライベートで、情報がより正確で、ロールアップがより迅速かつ安価であることを実感します。したがって、ゼロ知識証明は最終的に私たちの生活の基盤に溶け込む可能性があり、トランジスタ、マイクロチップ、そして現在の人工知能が私たちの日常生活に溶け込んでいるのと同様です。
私たちは、ゼロ知識が選挙での詐欺を防ぐ方法、金融システムからの去中介化によって取引コストを削減する方法、またはZKを使用した分散型計算によってAIトレーニングを民主化する方法を考える必要はありません。もしかしたら、いつの日か、ムーアの観察「回路基板上のトランジスタの数は18-24ヶ月ごとに倍増する」というのが「法則」として崇められるように、「毎秒のゼロ知識証明の数は年々指数的に増加する」ということが当然のこととして受け入れられ、これらの革新がもたらす成果を享受することになるでしょう。目標が達成されることがより簡単になり、誰もゼロ知識を称賛することはなく、私たちは日常生活を送り続けるでしょう。
