Vitalik: Inti dari ZK-Provers yang dapat mencapai perhitungan yang efisien adalah tidak perlu berkomitmen pada data lapisan tengah manapun.

【Vitalik: Inti dari ZK-Provers untuk melakukan penghitungan secara efisien adalah tidak perlu berkomitmen pada data lapisan tengah manapun】Vitalik Buterin menulis, "Jika Anda selalu mengikuti 'Aset Kripto di bidang Kriptografi', maka kemungkinan besar Anda sudah mendengar tentang ZK-provers yang sangat cepat: misalnya, dengan hanya menggunakan sekitar 50 GPU konsumen dapat merealisasikan pembuktian real-time untuk ZK-EVM pembukti pada Ethereum L1; membuktikan 2 juta hash Poseidon per detik pada laptop biasa; dan sistem zk-ML terus meningkatkan kecepatan pembuktian untuk inferensi model bahasa besar (LLM). Dalam artikel ini, saya akan menjelaskan secara rinci suatu keluarga protokol yang digunakan dalam sistem pembuktian berkecepatan tinggi ini: GKR. Saya akan fokus pada implementasi GKR dalam membuktikan hash Poseidon (serta komputasi lain yang memiliki struktur serupa). Jika Anda ingin memahami latar belakang GKR dalam komputasi rangkaian umum, Anda dapat merujuk pada catatan Justin Thaler dan artikel Lambdaclass ini. Apa itu GKR, dan mengapa ini begitu cepat? Bayangkan Anda memiliki suatu perhitungan yang “besar dalam dua dimensi”: itu perlu memproses setidaknya sejumlah “lapisan” (derajat rendah) yang sedang, sambil secara berulang menerapkan fungsi yang sama pada banyak input. Seperti ini: Ternyata, banyak perhitungan besar yang kami lakukan sesuai dengan pola ini. Insinyur kriptografi akan memperhatikan: banyak tugas pembuktian yang intensif komputasi melibatkan banyak operasi hash, dan setiap struktur internal hash adalah pola ini. Peneliti AI juga akan memperhatikan: jaringan saraf (modul dasar dari LLM) juga merupakan struktur ini (dapat membuktikan inferensi beberapa token secara paralel, juga karena setiap token terdiri dari lapisan saraf elemen demi elemen dan lapisan perkalian matriks global—meskipun operasi matriks tidak sepenuhnya sesuai dengan struktur “independen antar input” yang ditunjukkan di atas, tetapi sebenarnya dapat dengan mudah disisipkan ke dalam sistem GKR). GKR adalah protokol kriptografi yang dirancang khusus untuk model ini. Ini efisien karena menghindari komitmen terhadap semua lapisan perantara: Anda hanya perlu melakukan komitmen terhadap input dan output. Di sini, “komitmen” berarti memasukkan data ke dalam struktur data kriptografi tertentu (seperti KZG atau pohon Merkle), sehingga dapat membuktikan konten yang terkait dengan beberapa kueri terhadap data tersebut. Cara komitmen yang paling murah adalah dengan menggunakan pohon Merkle setelah kode penghapus (yaitu cara dalam STARK), tetapi Anda juga perlu melakukan hash 4–16 byte untuk setiap byte yang diserahkan — ini berarti Anda harus melakukan ratusan operasi penjumlahan dan perkalian, sementara operasi yang sebenarnya perlu Anda buktikan mungkin hanya satu perkalian. GKR menghindari operasi ini, kecuali langkah pertama dan terakhir. Perlu dicatat bahwa GKR bukanlah “zero-knowledge”: ia hanya menjamin kesederhanaan, tidak memberikan privasi. Jika Anda memerlukan sifat zero-knowledge, Anda dapat membungkus bukti GKR dalam ZK-SNARK atau ZK-STARK.