Vitalik: Kunci efisiensi ZK-Provers terletak pada tidak perlunya komitmen terhadap data lapisan perantara mana pun

Jinse Finance melaporkan bahwa Vitalik Buterin menulis, "Jika Anda telah mengikuti 'arah kriptografi di bidang cryptocurrency', maka saat ini Anda mungkin sudah pernah mendengar tentang prover ZK (ZK-provers) berkecepatan sangat tinggi: misalnya, hanya dengan sekitar 50 GPU kelas konsumen dapat mewujudkan prover ZK-EVM Ethereum L1 secara real-time; membuktikan 2 juta hash Poseidon per detik di laptop biasa; serta sistem zk-ML yang terus meningkatkan kecepatan pembuktian inferensi model bahasa besar (LLM). Dalam artikel ini, saya akan menjelaskan secara rinci satu keluarga protokol yang digunakan dalam sistem pembuktian berkecepatan tinggi ini: GKR. Saya akan fokus pada implementasi GKR dalam membuktikan hash Poseidon (dan perhitungan lain dengan struktur serupa). Jika Anda ingin memahami latar belakang GKR dalam perhitungan sirkuit umum, Anda dapat merujuk catatan Justin Thaler dan artikel Lambdaclass ini. Apa itu GKR, dan mengapa begitu cepat? Bayangkan Anda memiliki sebuah perhitungan yang 'sangat besar di dua dimensi': ia perlu memproses setidaknya sejumlah sedang 'lapisan' (berderajat rendah), sambil berulang kali menerapkan fungsi yang sama pada sejumlah besar input. Seperti ini: Ternyata, banyak perhitungan besar yang kita lakukan sesuai dengan pola ini. Insinyur kriptografi akan memperhatikan: banyak tugas pembuktian yang memerlukan komputasi intensif melibatkan banyak operasi hash, dan struktur internal setiap hash persis mengikuti pola ini. Peneliti AI juga akan memperhatikan: jaringan saraf (blok bangunan dasar LLM) juga memiliki struktur ini (bisa membuktikan inferensi beberapa token secara paralel, juga karena setiap token terdiri dari lapisan saraf per elemen dan lapisan perkalian matriks global—meskipun operasi matriks tidak sepenuhnya sesuai dengan struktur 'independen antar input' pada gambar di atas, namun sebenarnya dapat dengan mudah disisipkan ke dalam sistem GKR). GKR adalah protokol kriptografi yang dirancang khusus untuk pola ini. Efisiensinya berasal dari menghindari komitmen pada semua lapisan perantara: Anda hanya perlu melakukan komitmen pada input dan output. 'Komitmen' di sini berarti menempatkan data ke dalam semacam struktur data terenkripsi (seperti KZG atau Merkle tree), sehingga dapat membuktikan konten terkait dengan beberapa query terhadap data tersebut. Cara komitmen termurah adalah menggunakan Merkle tree setelah erasure coding (seperti pada STARK), tetapi ini juga mengharuskan Anda melakukan hash 4–16 byte untuk setiap byte yang dikomitmenkan—yang berarti ratusan operasi penjumlahan dan perkalian, padahal operasi yang sebenarnya ingin Anda buktikan mungkin hanya satu perkalian. GKR menghindari operasi-operasi ini, kecuali pada langkah awal dan akhir. Perlu dicatat bahwa GKR bukanlah 'zero knowledge': ia hanya menjamin ringkasnya, tidak memberikan privasi. Jika Anda membutuhkan zero knowledge, Anda dapat membungkus pembuktian GKR dalam ZK-SNARK atau ZK-STARK.