Vitalik: Cốt lõi để ZK-Provers thực hiện tính toán hiệu quả là không cần cam kết với bất kỳ dữ liệu trung gian nào

Jinse Finance đưa tin, Vitalik Buterin đã đăng bài viết cho biết: "Nếu bạn luôn theo dõi 'hướng mật mã học trong lĩnh vực tiền mã hóa', thì lúc này bạn rất có thể đã nghe nói về các trình chứng minh ZK (ZK-provers) siêu tốc: ví dụ như chỉ cần khoảng 50 GPU tiêu dùng là có thể thực hiện chứng minh ZK-EVM của Ethereum L1 theo thời gian thực; chứng minh 2 triệu hàm băm Poseidon mỗi giây trên máy tính xách tay thông thường; cũng như các hệ thống zk-ML liên tục nâng cao tốc độ chứng minh suy luận của mô hình ngôn ngữ lớn (LLM). Trong bài viết này, tôi sẽ giải thích chi tiết về một họ giao thức được sử dụng trong các hệ thống chứng minh tốc độ cao này: GKR. Tôi sẽ tập trung giới thiệu việc triển khai GKR trong chứng minh hàm băm Poseidon (cũng như các phép tính có cấu trúc tương tự). Nếu bạn muốn tìm hiểu về bối cảnh của GKR trong tính toán mạch tổng quát, có thể tham khảo ghi chú của Justin Thaler và bài viết này của Lambdaclass. GKR là gì và tại sao nó lại nhanh như vậy? Hãy tưởng tượng bạn có một phép tính 'rất lớn ở cả hai chiều': nó cần xử lý ít nhất một số lượng trung bình các 'lớp' (bậc thấp), đồng thời áp dụng lặp đi lặp lại cùng một hàm cho một lượng lớn đầu vào. Như thế này: Thực tế, rất nhiều phép tính lớn mà chúng ta thực hiện đều phù hợp với mô hình này. Các kỹ sư mật mã sẽ nhận thấy: nhiều nhiệm vụ chứng minh đòi hỏi tính toán cao đều liên quan đến rất nhiều thao tác băm, và cấu trúc bên trong mỗi hàm băm chính là mô hình này. Các nhà nghiên cứu AI cũng sẽ nhận thấy: mạng nơ-ron (khối xây dựng cơ bản của LLM) cũng chính là cấu trúc này (vừa có thể chứng minh song song suy luận của nhiều token, vừa vì mỗi token bên trong bao gồm các lớp nơ-ron theo từng phần tử và lớp nhân ma trận toàn cục — mặc dù thao tác ma trận không hoàn toàn phù hợp với cấu trúc 'độc lập giữa các đầu vào' như hình trên, nhưng thực tế có thể dễ dàng nhúng vào hệ thống GKR). GKR là một giao thức mật mã được thiết kế đặc biệt cho mô hình này. Nó hiệu quả vì tránh phải cam kết (commitment) với tất cả các lớp trung gian: bạn chỉ cần cam kết với đầu vào và đầu ra. Ở đây, 'cam kết' nghĩa là đưa dữ liệu vào một cấu trúc dữ liệu mã hóa nào đó (như KZG hoặc Merkle tree), từ đó có thể chứng minh các nội dung liên quan đến một số truy vấn về dữ liệu đó. Cách cam kết rẻ nhất là sử dụng Merkle tree sau mã hóa sửa lỗi (tức là cách trong STARK), nhưng cũng yêu cầu bạn phải băm 4–16 byte cho mỗi byte gửi đi — điều này đồng nghĩa với việc phải thực hiện hàng trăm phép cộng và nhân, trong khi phép tính bạn thực sự cần chứng minh có thể chỉ là một phép nhân. GKR tránh được các thao tác này, ngoại trừ bước đầu tiên và cuối cùng. Cần lưu ý rằng, GKR không phải là 'zero-knowledge': nó chỉ đảm bảo tính ngắn gọn, không cung cấp quyền riêng tư. Nếu bạn cần tính chất zero-knowledge, có thể đóng gói chứng minh GKR trong ZK-SNARK hoặc ZK-STARK.