패러다임: 제로 지식 증명이 중요하지만 비효율적이다. 하드웨어를 통해 이를 가속화할 수 있는 방법은 무엇인가?

저자: Georgios Konstantopoulos, Paradigm 연구 파트너

편집: Amber

소개

제로 지식 암호학은 컴퓨터 과학 분야에서 지난 50년 동안 가장 주목받는 혁신 중 하나입니다. 제로 지식 증명(이하 ZKP)의 일련의 "선천적 장점"은 StarkNet과 같은 ZK 롤업, Aztec와 같은 프라이버시 ZK 롤업, Mina, Filecoin 및 Aleo와 같은 1계층 공공 블록체인 등 다양한 블록체인 확장 및 프라이버시 솔루션의 중요한 구성 요소가 되었습니다.

ZKP는 방대한 수학적 계산 요구량으로 인해 생산 속도가 느리고 비용이 많이 드는 제약을 받습니다. 그러나 FPGA(현장 프로그래머블 게이트 어레이)와 ASIC(전용 집적 회로)과 같은 특수 하드웨어의 보급과 실현으로 ZKP의 효율성이 크게 향상될 것이며, 향상 폭은 1000배에 이를 수 있습니다.

개인화되고 고성능의 프라이버시 계산 수요가 증가함에 따라 ZKP로 증명된 문장의 복잡성도 더욱 증가할 것입니다. 따라서 증명 생성 속도가 더 이상 저하되지 않도록 전용 하드웨어를 사용해야 하며, 이를 통해 보다 신속하게 증명 결과를 생성할 수 있습니다.

이는 "산업 체인"의 변화를 의미하며, 비트코인 네트워크를 지원하는 채굴자들과 마찬가지로 ZKP의 효율적인 운영을 지원하는 특수 하드웨어 운영자들이 보상을 받을 것입니다. 완전한 ZK 채굴 및 증명 산업이 등장할 것입니다. 아마추어들은 자신의 CPU에서 증명을 생성하거나 GPU 및 FPGA를 사용할 수 있습니다. 물론 이 완전한 체인의 성숙은 상당한 시간의 진화를 필요로 합니다.

제로 지식 증명이 중요한 이유는 무엇인가요?

제로 지식 증명에는 두 가지 주요 사용 사례가 있습니다:

1. 외부 검증 가능한 계산

당신이 어떤 계산 요구가 있지만, 사용하는 플랫폼(예: 노트북, 라즈베리 파이 또는 이더리움 등)의 제한으로 인해 이 계산을 완료하는 데 드는 시간 비용이 너무 비싸거나 계산 능력이 부족하여 아예 완료할 수 없는 경우를 가정해 보세요. 이럴 때는 제3자 서비스에 의존하여 해당 계산을 실행해야 합니다. 일반적으로 이러한 서비스는 빠르고 저렴하게 계산의 출력을 반환할 수 있습니다(예: AWS의 Lambda 함수 또는 Chainlink와 같은 오라클 서비스 등).

하지만 일반적으로 계산이 올바르게 실행되었다고 가정할 수밖에 없으며, 만약 계산 능력 제공자가 잘못되거나 유효하지 않은 계산 결과를 출력하면 재앙적인 결과를 초래할 수 있습니다.

ZKP의 가치는 제3자 제공자가 계산 완전성의 증명을 출력할 수 있도록 허용하여, 당신이 받은 출력이 올바르다는 것을 보장하는 데 있습니다.

2. 프라이버시 계산

만약 당신이 로컬에서 실행하는 계산이 비싸지 않지만, 그 일부를 숨기고 싶다면 어떻게 해야 할까요? 예를 들어, 내가 당신에게 1000번째 피보나치 수를 알고 있다고 알려주고 싶지만 그 숫자를 말하지 않거나, 내가 돈을 지불했다는 것을 믿게 하되 금액이나 내 신원을 공개하지 않으려면 어떻게 해야 할까요?

ZKP는 계산 문장과 관련된 부분 또는 전체 입력 내용을 선택적으로 숨길 수 있게 해줍니다.

위의 두 가지 사용 사례는 암호화폐 산업의 여러 측면에서 다양한 형태로 구현되고 있습니다.

• 2계층 확장: 검증 가능한 계산과 ZKP는 1계층 공공 블록체인이 거래 처리를 체인 외부의 고성능 시스템(즉, 2계층)에 아웃소싱할 수 있게 합니다. 이는 블록체인이 보안성을 유지하면서 확장할 수 있게 합니다. 예를 들어, StarkWare는 ZK 친화적인 코드를 실행하는 특수 용도의 가상 머신을 사용하는 확장 가능한 스마트 계약 플랫폼인 StarkNet을 구축하고 있습니다. Aztec의 2계층 애플리케이션은 프라이버시 실행을 지원하며 사용자 거래의 어떤 정보도 유출되지 않습니다.
• 프라이버시 공공 블록체인: Aleo, Mina 및 Zcash와 같은 1계층 공공 블록체인은 거래자가 ZKP를 사용하여 송신자, 수신자 또는 금액 등의 정보를 숨길 수 있게 하며, 이는 기본적으로(Aleo) 또는 선택적으로(Mina 및 Zcash) 가능합니다.
• 분산 저장: Filecoin은 ZKP( GPU에서 실행)를 사용하여 네트워크의 노드가 데이터를 올바르게 저장하고 있음을 증명합니다.
• 블록체인 압축: Mina와 Celo는 ZKP를 사용하여 체인에 동기화하는 데 필요한 블록체인 데이터를 작은 증명으로 압축합니다.

이러한 상황을 고려할 때, 암호화폐 채택률이 증가함에 따라 ZKP의 시장 수요도 사용자들의 성능 및 프라이버시 요구 증가에 맞춰 동반 성장할 것이라고 할 수 있습니다.

ZKP는 본질적으로 확장 가능한 개인 결제 및 스마트 계약 플랫폼의 가속 발전을 가능하게 하지만, 높은 계산 비용은 대규모 채택의 진행을 어느 정도 제한하고 있습니다.

ZKP가 느린 이유와 이를 빠르게 만드는 방법은 무엇인가요?

ZKP로 계산을 증명하기 위해서는 먼저 이를 고전적인 설명에서 ZK 친화적인 형식으로 "번역"해야 합니다. 이는 Arkworks와 같은 저수준 라이브러리를 사용하여 수동으로 코드를 다시 작성하거나, Cairo 또는 Circom과 같은 전용 언어를 사용하여 원시로 컴파일하여 증명을 생성하는 방식으로 수행할 수 있습니다.

더 비싸고 복잡한 작업은 증명 생성 시간이 더 길어지게 만듭니다. 또한 ZK에 친화적이지 않은(SHA 등) 작업은 일반 컴퓨터에서 증명 생성 시간이 매우 길어지게 만들 수 있으며, 이러한 경우는 자주 발생합니다.

당신의 계산이 ZK 친화적인 형태로 변환되면, 일부 입력을 선택하여 증명 시스템에 전송할 수 있습니다. 예를 들어, Groth16, GM17와 같은 논문 저자의 이름을 딴 증명 시스템이나 PLONK, Spartan 및 STARK와 같은 더 창의적인 이름의 증명 시스템이 있습니다. 이러한 증명 시스템은 ZK 친화적인 형식으로 표현된 계산을 수용합니다. 각기 다른 증명 시스템에 따라 증명 생성 과정은 다를 수 있지만, 병목 현상은 실제로 공통적입니다. 즉:

1. 큰 수 벡터의 곱셈, 특히 변기 및 정기 다중 스케일 곱셈(이하 MSM); 또는
2. 빠른 푸리에 변환(이하 FFT) 및 역 FFT(비 FFT 증명 시스템 기술도 있음).

동시에 FFT와 MSM이 존재하는 시스템에서는 증명 생성 시간의 약 70%가 MSM에 소요되고, 나머지 시간은 FTT 계산에 사용됩니다. MSM과 FFT 모두 느리지만 최적화 가능성이 전혀 없는 것은 아닙니다. 문제를 살펴보면:

• MSM의 경우, 다중 스레드 실행을 통해 가속할 수 있습니다. 그러나 수백 개의 코어에서 각 요소 벡터가 2의 25승(즉, 3300만 개 요소, zkEVM과 같은 애플리케이션에 대한 보수적인 복잡도 추정치)에 도달하더라도 곱셈은 여전히 많은 시간을 소요할 수 있습니다. 이는 장치가 "메모리 부족" 상태에 이를 수 있습니다. 간단히 말해, MSM은 많은 메모리를 필요로 하며, 다중 스레드 환경에서도 여전히 느립니다.
• FFT는 알고리즘 실행 시 데이터의 빈번한 재구성에 크게 의존합니다. 이는 계산 클러스터에서 부하를 효과적으로 분배하여 가속하는 것을 어렵게 만듭니다. 이러한 계산은 하드웨어에서 실행될 때 많은 대역폭을 필요로 합니다. 재구성이란, 예를 들어 메모리가 16GB 이하인 하드웨어 칩에서 100GB 이상의 데이터 세트를 로드하고 언로드하는 것을 의미합니다. 하드웨어에서의 작업은 매우 빠르지만, 인터페이스를 통해 데이터를 로드하고 언로드하는 시간은 작업 속도를 크게 저하시킵니다.

간단히 말해:

• MSM의 메모리 접근 요구는 예측 가능하며 대량의 병렬 처리가 가능하지만, 원래의 계산량과 메모리 요구가 매우 크기 때문에 비용이 여전히 높습니다.
• FFT의 메모리 접근은 무작위적이며, 이는 하드웨어에 친화적이지 않으며 자연스럽게 분산 인프라에서 실행하기 어렵습니다.

우리는 대규모 MSM 및 FFT의 느림을 해결하기 위한 가장 유망한 작업으로 PipeZK를 보고 있습니다. 그들의 논문에서 저자들은 Pippenger 알고리즘을 사용하여 중복 계산을 건너뛰어 MSM을 더욱 효율적으로 만드는 방법을 설명합니다. 그들은 또한 "unroll" FFT 방법을 설명하여 대량의 데이터 재구성 없이 계산을 수행할 수 있게 하며, 메모리 접근 패턴이 예측 가능해져 하드웨어의 계산 효율성을 효과적으로 향상시킬 수 있습니다.

위의 방법이 각 알고리즘의 기본 병목 문제를 해결했다고 가정할 때, 문제는 무엇일까요? MSM과 FTT 알고리즘을 동시에 최적화하고 ZKP 생성 효율성을 크게 향상시킬 수 있는 하드웨어는 어떤 모습일까요?

하드웨어 선택

위의 가속 기술은 GPU, FPGA 및 ASIC 등 다양한 하드웨어 기술에서 구현될 수 있습니다. 하지만 어떤 것이 가장 좋은 선택일까요?

이 질문에 답하기 전에, ZKP는 여전히 발전 초기 단계에 있으며, 시스템 매개변수(예: FFT 폭 또는 매개변수의 데이터 크기)나 증명 시스템의 선택에서 표준화가 이루어지지 않았다는 점을 명확히 해야 합니다. 이러한 이유로 FPGA의 두 가지 핵심 특성이 현재의 환경에서 ASIC보다 더 매력적입니다.

• "다중 쓰기" 대 "일회성 쓰기": ASIC의 비즈니스 로직은 일회성 쓰기입니다. ZKP 로직에 변화가 생기면 처음부터 다시 시작해야 합니다. 반면 FPGA는 초 단위로 재설정할 수 있어, 호환되지 않는 증명 시스템을 가진 여러 체인에서 동일한 하드웨어를 재사용할 수 있습니다(예: 그들이 크로스 체인 MEV를 추출하고 싶어하는 경우). 하드웨어는 ZK "메타"의 변화에 유연하게 적응할 수 있습니다.
• 더 성숙한 공급망: ASIC의 설계, 제조 및 배포는 일반적으로 12개월에서 18개월 이상 소요됩니다. 반면 FPGA 공급망은 훨씬 성숙하여, Xilinx와 같은 주요 공급업체는 웹사이트에서 대량의 소매 주문을 받고 16주 이내에 배송할 수 있습니다. 이는 FPGA 중심의 비즈니스가 제품에 대해 더 긴밀한 피드백 루프를 가질 수 있게 하며, 더 많은 FPGA를 구매하고 배포하여 비즈니스를 언제든지 확장할 수 있는 유연성을 제공합니다.

또한 기계 학습 및 컴퓨터 비전 분야의 기술 발전에 따라, 미래에는 FPGA의 성능이 GPU를 초월할 것으로 기대되며, GPU와 비교할 때 FPGA는 두 가지 뚜렷한 장점이 있습니다:

• 하드웨어 비용: 최고급 FPGA(선도적인 공정 노드, 클럭 주파수, 에너지 효율 및 메모리 대역폭)는 최고급 GPU보다 약 3배 저렴합니다. 전 세계적으로 GPU 공급 부족 현상이 이 문제를 더욱 악화시키고 있습니다.
• 에너지 효율: FPGA의 에너지 효율은 GPU보다 10배 이상 높습니다. 이는 GPU가 작동하기 위해 호스트 장치에 연결해야 하며, 호스트 장치가 종종 많은 전력을 소모하기 때문입니다.

이러한 상황을 고려할 때, 우리는 시장의 승자가 ASIC이나 GPU가 아닌 FPGA에 집중하는 회사가 될 것이라고 예상합니다. 그러나 만약 하나 또는 몇 개의 ZK L1 또는 L2가 궁극적으로 시장을 "독점"하고 ZK 증명 시스템이 단일 구현 솔루션에 안정적으로 정착된다면, ASIC이 FPGA를 이길 가능성이 더 커질 것입니다. 하지만 현재 상황에서는 설사 그런 일이 발생하더라도 많은 시간이 걸릴 것으로 보입니다.

결론

2021년이 막 끝난 지금, 비트코인 채굴자의 순수익은 150억 달러를 초과했으며, 이더리움 채굴자의 수익은 170억 달러를 초과했습니다. 제로 지식 증명은 결국 네트워크에서 계산 완전성과 프라이버시를 위한 중요한 구현 수단이 될 것이며, 이 경우 "ZK 채굴자"의 시장 규모는 PoW 채굴 시장과 견줄 수 있을 것으로 기대됩니다.

따라서 현재의 맥락에서 FPGA 하드웨어는 ZKP 증명 생성의 비효율적이고 비싼 현상을 더 잘 해결할 수 있으며, 이 새로운 경주에서 FPGA는 GPU 및 ASIC보다 일시적으로 앞서 있는 위치에 있습니다.