Vitalik: Il punto chiave per cui gli ZK-Provers possono eseguire calcoli efficienti è che non è necessario impegnarsi su nessun dato intermedio.

Secondo quanto riportato da Jinse Finance, Vitalik Buterin ha pubblicato un articolo in cui afferma: "Se hai sempre seguito la 'direzione crittografica nel campo delle criptovalute', probabilmente hai già sentito parlare dei prover ZK ad altissima velocità (ZK-provers): ad esempio, un prover ZK-EVM di Ethereum L1 in tempo reale che utilizza solo circa 50 GPU di livello consumer; la prova di 2 milioni di hash Poseidon al secondo su un normale laptop; e sistemi zk-ML che migliorano costantemente la velocità di prova dell'inferenza dei large language model (LLM). In questo articolo, spiegherò in dettaglio una famiglia di protocolli utilizzata in questi sistemi di prova ad alta velocità: GKR. Mi concentrerò sull'implementazione di GKR nella prova degli hash Poseidon (e di altri calcoli con una struttura simile). Se vuoi conoscere il background di GKR nel calcolo di circuiti generici, puoi fare riferimento agli appunti di Justin Thaler e a questo articolo di Lambdaclass. Cos'è GKR e perché è così veloce? Immagina di avere un calcolo che è 'molto grande in entrambe le dimensioni': deve gestire almeno un numero medio di 'livelli' (a basso grado), applicando ripetutamente la stessa funzione a una grande quantità di input. Così: Si scopre che molti dei grandi calcoli che facciamo seguono questo schema. Gli ingegneri crittografici noteranno che molti compiti di prova ad alta intensità di calcolo coinvolgono numerose operazioni di hash, e la struttura interna di ciascun hash segue proprio questo modello. Anche i ricercatori di AI noteranno che le reti neurali (il modulo di base degli LLM) hanno questa struttura (si può provare in parallelo l'inferenza di più token, e ogni token è composto da layer neurali elemento per elemento e layer di moltiplicazione di matrici globali—anche se le operazioni di matrice non corrispondono esattamente alla struttura 'indipendente tra input' mostrata sopra, in realtà possono essere facilmente incorporate nei sistemi GKR). GKR è un protocollo crittografico progettato appositamente per questo modello. È efficiente perché evita di dover fare commitment su tutti i livelli intermedi: basta impegnarsi solo su input e output. Qui, 'commitment' significa inserire i dati in una qualche struttura dati crittografica (come KZG o Merkle tree), così da poter provare informazioni relative a determinate query su quei dati. Il modo più economico di fare commitment è usare un Merkle tree con codifica di errore (come nel caso di STARK), ma richiede comunque di fare un hash di 4–16 byte per ogni byte impegnato—il che significa centinaia di operazioni di somma e moltiplicazione, mentre l'operazione che vuoi effettivamente provare potrebbe essere solo una moltiplicazione. GKR evita queste operazioni, tranne che all'inizio e alla fine. È importante notare che GKR non è 'zero knowledge': garantisce solo la concisione, non la privacy. Se hai bisogno della proprietà di zero knowledge, puoi incapsulare la prova GKR in un ZK-SNARK o ZK-STARK."