从技术原理出发 批判“加密显学”零知识证明

原文:《CriticismonZK》bymsfew

*注:首先,这是一个用一个小时写的草稿。主要是为了快速收集信息,所以可能存在非常多的潜在错误和不完整的信息。

对ZK的主要批评包括两个:

一是证明时间长(因此有各种benchmark、各种新的ZK协议和各种硬件优化);

一是系统和应用程序安全性仍然需要测试。

?证明生成性能

零知识证明是区块链领域非常流行的技术。由于链上计算资源稀缺且昂贵,零知识证明允许这些计算在链下进行,虽然链下证明生成的总时间消耗非常高,但它仍然压缩了最终证明和相关的计算验证,从而允许计算“在链上”。

ZK证明生成时间过长的问题往往被研究者和开发者所忽视,因为这本质上是ZK需要做出的权衡。

英格兰银行允许CBDC和加密货币共存:金色财经报道,英格兰银行(BoE)数字部门负责人 Cathy Fortune 表示,未来会出现各种形式货币的混合生态系统,包括 CBDC 和稳定币。CBDC 还将制定法律标准,这反过来将有助于刺激创新。稳定币和 CBDC 具有创造新经济的巨大潜力,钱应该像开灯一样,我不考虑电,但我们都使用相同的能源这一事实产生了很大的不同。

根据Cathy Fortune的说法,重点应该放在创建 CBDC 基础设施上,让人们能够更顺畅地进行金融交易。[2023/3/31 13:37:58]

虽然他们没有直接批评ZK的这个缺点,但是他们有很多从对面解决这个缺点的方法和讨论。

也就是说,他们通过提出各种解决方案并进行大量基准测试来隐含地谈论ZK的极长证明时间。

a)Benchmark

近6000万枚USDT从Bitfinex转移至Kraken:金色财经报道,据Whale Alert数据监测,近6000万枚USDT(约合60,337,497美元)从Bitfinex转移至Kraken。[2023/3/11 12:57:19]

在衡量ZK应用之前,我们首先要测试ZK协议底层commitment的性能。

因为比如,FRI导致STARK,KZG导致常规SNARK,IPA导致Bulletproof。底层承诺的性能测试对于ZK应用的性能并不直观,但对于理解ZK证明时间长的问题很有帮助。

从上面的链接我们可以看出,这些底层承诺协议不仅计算复杂(可能导致证明时间长),而且还存在内存消耗非常大的问题。

当然,内存消耗其实更多的是跟硬件配置要求有关,这跟我们今天要讨论的话题是不一样的。

浙江省数字人民币交易规模突破1000亿元:金色财经报道,浙江省数字人民币试点工作扎实有序开展。记者从人民银行杭州中心支行获悉,截至2022年12月28日,浙江省累计开立数字人民币钱包2414万个,交易规模突破1000亿元,达到1048亿元。[2023/1/1 22:19:01]

对于具体的SNARK性能测试,a16zcrypto将它们分为前端和后端:

前端通常是ZK应用开发者接触到的Cairo语言/zkVM高级语言等;

而后端是更接近SNARK证明生成时间的承诺等底层密码学操作。

其中,作者提到SNARK证明生成具有大约100倍的计算开销,并且每个ZK协议都有额外的开销,例如:

“InGroth16,Pmustworkoverapairing-friendlygroup,whoseoperationsaretypicallyatleast2xslowerthangroupsInGroth16,Pmustworkoverapairing-friendlygroup,whoseoperationsaretypicallyatleast2xslowerthangroupsthataren'tpairingfriendly.,thisresultsinatleastanadditionalfactor-6slowdownrelativetothe100-|C|estimateabove.”

超2000万枚AXS将于下周解锁,占总供应量近8%:10月20日消息,据Token Unlocks数据,P2E游戏Axie Infinity生态Token AXS将于10月25日9:10迎来一次大额解锁,解锁量为21,543,000 AXS,占总供应量(2.7 亿)的7.979%,约合2.18亿美元。

解锁部分归属包括:团队成员 573.75 万枚、质押奖励 489 万枚,P2E 分配 472.5 万枚,顾问 250 万枚,私售轮 199.75 万枚,生态系统基金 168.75 万枚。[2022/10/20 16:32:50]

总体而言,可以说?zk-SNARK的额外性能开销在200-1000倍的范围内。

此外,文章还提到了zk-SNARK的其他限制,例如可信设置和内存使用。

ModulusLabs的文章测量了一些ZK协议的实际性能。有些基准是针对参数数量的,这对我们来说不是很直观。然而,在应用中,文章提到在Worldcoin用例中,即使使用“最快”的Plonky2,仍然需要几分钟的证明生成时间和数十GB的内存消耗,无法在个人电脑上运行。

b)递归和批处理

为了减少证明生成时间,我们可以并行证明多个证明。

通常,有两种方法可以做到这一点:一种是批处理,另一种是递归。

简单来说,批处理是同时证明一批证明,最后将它们聚合在一起,而递归是在一个证明中验证其他证明。一般而言,递归方法具有更小证明大小?的额外优势。

一些更常见的聚合方法包括Halo2、Plonky2。他们每个人都以不同的方式执行批处理和递归,从而减少了证明时间。

除了ZK的协议层,ZK的应用层也可以有针对性的优化。例如,可以同时使用多个ZK协议(STARK+SNARK),或者针对宏观采取递归策略进行特定于应用程序的调优。

一般来说,这实际上减少了协议和证明分配方面的证明生成时间。在探索新的ZK协议时,减少证明时间是最重要的考虑因素。

c)硬件加速

此外,从硬件角度进一步减少ZK应用在物理和节点层面的证明时间也做了很多努力。

首先,与前面提到的新协议一样,ZK协议被设计为尽可能对硬件友好,例如HyperPlonk。

Paradigm提到,ZK的证明生成速度慢主要是由于涉及大量的MSM和FFT,它们对硬件不友好,导致由于随机内存访问等问题导致最终证明生成速度慢。对于这些底层加密计算,ZK协议需要在它们的组成和规模上进行一些权衡,以使其对硬件更加友好。

几家ZK硬件加速厂商表示,GPU实际上是目前最经济和可配置的硬件选择,我们最终将有FPGA过渡到ASIC阶段。根据zk硬件公司的说法,他们的第一版ASIC可以直接减少至少30%的ZK证明生成时间。

此外,由于不同的服务器配置,将不同的云服务器作为节点运行可能涉及不同的硬件特定优化。

Security

ZK现在的另一个批评是电路代码仍然需要正确(没有bug)。

如果ZK协议从健全性、完整性、零知识的角度受到攻击,我们将不再拥有有效的ZK系统。我们可以在这个链接中看到各种角度的攻击示例。

虽然ZK应用可以被称为trustless,但我们仍然需要确保项目的ZK协议和应用的代码和架构是正确的。区块链领域中存在多种ZK错误。例如,由于zkEVM的ZK电路代码库庞大的问题,Vitalik谈到了?ZK应用程序的多证明者的需求。

因此,ZK系统可能需要与形式验证等安全工具或Ecne等其他安全相关工具搭配使用。应用程序级别,它需要更多的审计,特别是对于像zkEVM这样的大项目。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

DOT金色晨讯 | 4月9日隔夜重要动态一览

21:00-7:00关键词:USDC、ProShares、MicroStrategy股票、Binance.US1.比特币铭文已完成第1百万个铸造;2.瑞士卢加诺报纸刊登使用闪电网络用BTC在当地商店付款的教程;3.

加密货币元宇宙退潮 林俊杰只是韭菜之一

已经从舆论场中消失很久的元宇宙,最新的一条消息,是林俊杰的元宇宙房产投资大跌了91%。 在2021年,元宇宙一度是几乎所有行业的宠儿。这个集合了当下所有热门概念的综合体看起来无比性感,也因此让许多从业者、投资人乃至玩咖涌入其中.

[0:46ms0-1:906ms