斯坦福區塊鏈俱樂部:零知識技術大規模普及還需具備哪些條件?
未來幾年內,每秒生成的證明數量將增加一倍以上,然後漸近地接近底層通用計算增益。撰寫:STANFORD BLOCKCHAIN CLUB 、 ROY LU
編譯:深潮 TechFlow
注:此文來自於斯坦福區塊鏈評論,深潮 TechFlow 為斯坦福區塊鏈評論合作夥伴,獨家獲授權編譯轉載。
介紹
在本文中,將探討零知識證明在 Web3 之外如何改變我們的生活。我將討論提升性能的槓桿作用,提出"零知識中的摩爾定律",並識別價值積累的模式。
零知識是當今 Web3 中最具變革性的技術之一,它在擴展性、身份驗證、隱私等方面具有巨大潛力。但目前的性能水平限制了它在許多潛在應用場景中的發揮。然而,隨著 ZK 技術的持續成熟,我認為 ZK 技術將呈指數級增長,廣泛應用於 Web3 和傳統行業。就像摩爾定律預測晶片晶體管密度每兩年翻倍一樣,我現在提出了一個類似的指數定律,用於零知識證明,具體來說:
未來幾年內,每秒生成的證明數量將翻倍以上,然後漸近地接近底層通用計算的增益。
摩爾定律概述
摩爾定律是由英特爾的聯合創始人 Gordon Moore 在 1965 年提出的預測,即"半導體電子集成電路的複雜度將每兩年增加一倍"。在過去的 58 年裡,摩爾定律推動了移動計算、機器學習以及我們數位生活的幾乎每個方面,並因此改變了我們與技術的互動方式。
Gordon Moore 通過實證觀察到,隨著晶片上的晶體管數量翻倍,由於規模經濟效應,製造成本基本保持不變。他進一步注意到,對計算能力的需求將推動投資增加晶體管密度。
隨著計算能力在越來越小的晶片上呈指數級增強,晶體管數量的這種數量級的變化轉變為我們使用和與計算機互動的質的變化。
我們的手機是比阿波羅 11 號更強大的計算機,方便地放在我們的口袋裡,使我們能夠從任何網站上流媒體內容,並與世界上任何地方的任何人進行通信。大型語言模型的訓練為 ChatGPT 的發布鋪平了道路,從數據檢索到智能綜合,改變了我們與信息互動的方式。
零知識證明和 Web3 的爆發
與晶體管數量翻倍和摩爾定律使我們與現代技術互動方式發生質的變化一樣,零知識證明的指數增長將開啟一波新的應用層體驗。在本質上,零知識證明賦予了隱私、正確性和可擴展性,這些特性根植於零知識的私有計算、可證明的正確性和遞歸簡潔性。這些特性代表了一種基本的轉變,邁向一種新的計算範式。
私有計算
零知識允許計算在私有模塊上進行,只需共享和在外部驗證結果。以現實世界的例子來說,如果銀行採用零知識計算,可以防止身份盜竊。例如,用戶可以允許貸款批准程序在其身份信息和信用歷史上運行,以獲得貸款批准,而無需向銀行透露其敏感數據------隱私得到保護。在 Web3 中, ZK 為完全私有的 L1 網絡(如 Aleo 和 Mina )或私有支付網絡(如 Zcash 、 zk.money 、 Elusiv 和 Nocturne )提供動力。 ZKP 還允許 Renegade 等團隊運行暗池,以列出交易訂單而不會影響市場價格。價值在不透露用戶的私人數據的情況下傳輸。
可證明的正確性
對於不透明計算,零知識為計算的輸入、輸出和處理提供了溯源。一個例子是去中心化機器學習,通過遠程計算節點網絡,可以實現對人工智能的民主化。 ZK P 可以證明機器學習中的數據、權重和訓練輪數,並證明整個訓練過程按預期進行-正確性得到確立。在 Web3 中,像 Gensyn 、 Modulus Labs 這樣的團隊已經開始實施 zkML ,而 Risc Zero 等通用 ZKVM 也在實施中。為了證明跨鏈狀態的正確性, ZKP 在諸如 Polymer 、 Succinct Labs 、 Herodotus 和 Lagrange 等 ZK 橋接器中使用。 ZK 還使應用程序(如 Proven )能夠證明儲備的正確性。
遞歸簡潔性
ZK 還可以將一堆證明折疊成一個證明。另一個現實世界的例子是供應鏈中的真實性追蹤。供應鏈的每個步驟的製造商可以使用 ZKP 證明其產品的真實性,而不洩露敏感的製造信息。然後,這些 ZKP 被遞歸地證明,生成一個最終的 ZKP,證明整個供應鏈的正確性-實現了可擴展性。在 Web3 中,數千個交易的 ZKP 可以合併成一個單一的證明,為 Starkware 、 Scroll 和 zkSync 等 L2 網絡提供動力,大大提高了區塊鏈的吞吐量。
定義零知識的摩爾定律
通過上述內容,我們已經看到了晶體管使應用層爆發的抽象相似之處,以及 ZKP 在 Web3 創新中解鎖了類似的創新浪潮。現在是時候通過比較通用計算和零知識計算來得出一個"零知識的摩爾定律"的具體定義。
通用計算和零知識計算
在通用計算中,門戶由金屬-氧化物-矽基的晶體管組成。每個門戶可以屬於 AND 、 OR 、XOR 等多個操作數之一。這些操作數共同使程序運行。
其他條件相同,零知識計算比通用計算更昂貴。例如,"使用 Groth16 進行 SHA2 哈希 10kb 需要 140 秒,但不使用零知識只需幾毫秒。"這是因為 ZK 計算對每個操作數使用複雜的算術運算。
在零知識計算中,操作數可以用有限域表示。在 SNARKs 的情況下,每個操作數都在橢圓曲線上進行。在其他變種的零知識中,操作數可能由矩陣、格子或模數組成,這些也是進行算術運算的複雜數學結構。使用這些操作數進行簡單的加法、減法和乘法非常昂貴。數據輸入被轉換為有限域,而不是數字。這些結構的複雜性是加密技術獲得安全性的基礎。雖然算術細節超出了本文的範圍,但關鍵要點是,就像邏輯門在物理電路上執行一樣,零知識邏輯在軟體電路中執行。
因此,在通用計算中,性能提升受物理規律的控制,而在零知識計算中,性能提升受數學規律的控制。因此,我們認識到,儘管硬體加速也帶來了顯著的增益,但將摩爾定律應用於零知識時存在於軟體領域,而不一定是硬體領域。基於這些基本原理,我們還可以得出零知識中特定摩爾定律的樣子。
零知識中的突破性改進是不連續的
也許最重要的觀察是,我們發現,雖然通用計算的改進是連續進行的,但零知識計算的改進是分步進行的。
具體而言,從 2005 年到 2020 年, CPU 的核心數量大致每五年翻倍,而時鐘頻率從 1990 年代到 2010 年代也大致每五年翻倍。另一方面, ZK 電路中的約束數量並沒有連續地"改進",而是從 SNARKs 的 30- 40M 約束跳躍到 PLONKs 的 4- 8M 行,然後跳躍到 STARKs 的 2\^14-2\^16 個轉換步驟。同樣,有限域數中的位數在 2018 年到 2022 年期間大約為 256 位,然後在 2022 年到 2023 年之間跳躍到 32 位,以利用 32 位寄存器的優勢。
此外, HyperSpartan 的最新發展支持可定制的約束系統( CCS ),可以同時捕捉 R1 CS 、 Plonkish 和 AIR ,而無需額外開銷。而 Super Nova 的引入則建立在 Nova 之上, Nova 是一個具有折疊方案的高速遞歸證明系統,與不同的指令集和約束系統兼容。這兩項進展進一步拓寬了 ZK 架構設計空間。
基於這些發現,零知識中的基本摩爾定律不是基於任何單一的連續改進向量,而是基於在給定時間內生成的證明數量的整體性性能增益,由不連續的改進驅動。我認為,在繼承底層通用計算增益之前,零知識中的摩爾定律將會進行離散的革命性躍遷:
未來幾年內,每秒生成的證明數量將增加一倍以上,然後漸近地接近底層通用計算增益。
降低零知識證明的成本
正如先前提到的,當前階段的零知識證明對於廣泛的潛在應用來說過於脆弱且昂貴。特別是,驗證的成本遠遠超過了證明生成的成本。根據粗略估計,零知識證明的生成成本為小於 1 美元,這是基於以下事實:1)在亞馬遜 AWS 上,一個擁有 16 個 CPU 和 32GB 記憶體的 EC2 實例的成本為 0.4 美元/小時,而去中心化計算節點的成本預計會更低;2) Polygon Hermez 的成本為每小時 4-6 美元,每小時生成約 20 個證明。
然而,驗證的鏈上成本仍然很高,每次驗證需要消耗 23 萬至 500 萬 gas ,大致相當於每次驗證 100-2000 美元。雖然 ZK Rollups 通過將成本分攤到數千個交易中從規模經濟中受益,但其他類型的 ZK 應用必須找到降低驗證成本的方法,以實現前面提到的應用層創新,從而為最終用戶帶來生活質量的改善。
鑑於零知識證明容量的突破可能會以不連續和離散的步驟發生,讓我們來看看這些突破可能發生的潛在領域。以下是 zkprize 中列出的一些潛在優化方法:
- 算法優化,包括多標量乘法( MSM )和數論變換( NTT ),這些算法通常用於加速橢圓曲線密碼學,並且本身可以進行硬體加速。傅里葉變換是 NTT 的一個例子,在各種實現中已經進行了優化。
- 並行處理可以通過將數據結構預處理、電路評估或證明生成的部分委派給多個處理單元或多個線程,從而增加零知識的吞吐量。
- 編譯器優化可以改善寄存器分配、循環優化、記憶體優化和指令調度。
在算法優化方面,一個例子是從 SNARKS 中的 R1 CS 到 Halo2 、 Plonky2 和 HyperPlonk 中的 Plonkish 的算術化,這些都與 Starky 證明中使用的 A IR 不同。此外,折疊方案的最新發展令人興奮,因為 HyperNova 可以支持具有可定制約束系統的遞增可驗證計算。在並行處理方面, Polygon 團隊發布的 Plonky2 遞歸擴大了並行證明生成的可能性。在編譯器優化方面,使用適用於零知識的 LLVM 非常有趣,因為 IR (中間表示)可以編譯成與指令集無關的操作碼。例如, Nil Foundation 的 ZK - LLVM 和 Risc0 的 zkVM 也使用 LLVM 生成追蹤執行每個步驟的零知識證明。通用的 ZKVM 或 LLVM 將零知識擴展到區塊鏈以外的用例,並增加了更廣泛的開發者入門的代碼可移植性。
對零知識建設者的影響
在通用計算中,價值積累通常有利於現有的參與者;例如,晶片製造商受益於圍繞資本投資形成的護城河,這些投資支持逐步改進製造技術以生產規模越來越小的晶片。但由於零知識中的創新是以離散的革命性躍遷發生的,因此新團隊仍然有充足的機會通過研究驅動的技術能力突破,例如發明新的證明系統,超越現有參與者。
基於這個理論,對於 Web3 零知識建設者來說,有幾個要點:
- 零知識建設者應考慮模組化設計。涉及到 zk 電路的協議建設者應考慮模組化設計,允許他們替換最先進的 ZK 技術的組件。
- 參與者可以從研究驅動的顛覆中受益。對於具備研究能力的團隊來說,有可能提出或率先實施具有革命性的新型證明系統,並超越現有團隊。
- 垂直整合者可以從最新技術的組合中受益。由於零知識堆疊中的每一層,從硬體到編譯器再到電路,都可以進行自身的改進,垂直整合者可以模組化地採用最新技術,並以最低成本為應用團隊提供最先進的 ZK 技術。
基於這些觀點,我預計整個行業將出現三個重大发展:
新團隊通過技術突破超越當前的 ZK 協議。
現有協議尋求基於生態系統而非技術的護城河。
垂直整合的 ZK 提供商出現,以較低的成本提供最新技術。創新和顛覆將在這個快速發展的領域中出現。
結論
技術中的悖論在於,當技術做得好時,它就 隱形。我們在喝水時不會考慮杯子,就像我們在發送電子郵件時不會注意到計算機晶片一樣。目標實現得越容易,我們就越容易忽視過程。
零知識證明已經有望提供具有改進用戶體驗的可擴展應用。當技術做得好時,我們不會注意到證明的存在,但會發現我們的交易更加私密,信息更加準確,而且 Rollups 更快更便宜。因此,零知識證明可能最終融入我們生活的基礎,就像晶體管、微晶片和現在的人工智能已經融入我們的日常生活一樣。
我們不需要考慮零知識如何在選舉中防止欺詐,如何通過從金融系統中去中介化來節省交易成本,或者如何通過使用 ZK 的去中心化計算使 AI 訓練民主化。也許有一天,就像我們將摩爾的觀察"電路板上的晶體管數量將每 18-24 個月翻一番"奉為所謂的"定律"一樣,我們也會認為"每秒的零知識證明數量將每年呈指數增長"是理所當然的,同時享受這些創新帶來的成果。目標實現得更簡單,不會有人再一直誇讚零知識,我們將繼續過著日常生活。
