a16z:去中心化速度—零知識證明的進展

摘要:當我們經歷這場革命時,重要的是要牢記初心,即指導我們的核心價值觀—-可訪問性、無需信任,最重要的是去中心化。

作者:Elena Burger / a16z Crypto

編譯及整理:0x新聞Mary Liu

看待技術進步的一種方法是從硬件的角度:隨著新需求和用例的出現,芯片製造商會設計專用的GPU、FPGA 和ASIC,以針對特定功能和軟件進行優化。從雲計算到計算機圖形學、人工智能和機器學習,所有主要的科技行業都已經發展到需要能夠加快計算運行速度和效率的硬件。通常,用於初始功能(無論是存儲內存、渲染圖形還是運行大規模模擬)的芯片將在確定可通用模式和開發專用硬件之前簡單地開始。理想情況下,隨著時間的推移,這種硬件會變得更便宜,更容易被消費者使用。

這種現象的一個很好的歷史例子是數碼相機的發展。在1960 年代,半導體被集成到膠片相機中,以自動化簡單的功能,例如測光快門速度或根據人們試圖捕捉的光的質量調整光圈大小——但在內存中捕捉圖像的行為當時還做不到。 1970 年代數碼相機的第一次實驗源於可以採用magnetic bubbles的概念(一種在內存中存儲單個數據的原始形式)並構建電荷耦合器件(CCD) 來在矽上以電子的形式吸收和儲存光。數碼相機技術的最初輪廓甚至沒有提到百萬像素的概念,但由於當時半導體的限制,相機的分辨率(更不用說速度和存儲)相當差:第一台相機的分辨率約為0.0001 百萬像素,圖像從緩衝區傳遞到內存大約需要23 秒。百萬像素數量和相機內存之間的權衡一直很難,直到1990 年代更新的傳感器互補金屬氧化物半導體(CMOS) 變得更便宜且更主流(相比之下,現代iPhone 使用CMOS 並提供大約12 兆像素的相機質量)。

在幾十年的時間裡,數碼相機從研究人員設計的昂貴裝置發展到價值數万美元的設備,再到嵌入每部手機中,成本降到只需幾百或幾千美元。

其他領域也遵循類似的軌跡,從通用硬件到特定應用硬件。加密空間中硬件優化的一個較新的例子是加密貨幣挖掘:當比特幣挖掘於2009 年推出時,任何人都可以在標準多核CPU 上運行SHA256 哈希算法。隨著時間的推移,隨著採礦業變得更具競爭力,區塊獎勵下降,期待一種全球性的、抗審查貨幣的想法變得更加主流,圍繞開發更高效的採礦硬件的行業發展起來。首先,我們過渡到GPU 挖掘,它允許從個位數挖掘並行性擴展到五位數挖掘並行性,從而加快了進程。而今天,用於挖掘比特幣的ASIC 設備可以計算大約90-100 terahashes/秒——比CPU 芯片強大約50 億倍。

換句話說,您可能將採礦視為一個開始——這是一種概念證明,即去中心化貨幣不僅是可能的,而且是可取的。即使我們處於ASIC 採礦的高級階段,但仍處於web3 硬件的初始階段。隨著區塊鏈吸引了數百萬用戶,並且它們託管的應用程序的複雜性不斷提高,圍繞隱私和可擴展性的兩個關鍵需求出現了。

一個需要確定的關鍵趨勢是,雖然專用硬件的開發正在變革,優化“消費級”硬件算法的趨勢也逐漸興起,以努力保護去中心化和隱私。零知識證明(zero-knowledge)尤其能很好地體現這一趨勢。

零知識證明的簡要概述

零知識證明提供了一種加密方式來證明特定信息或數據集的知識,而無需實際暴露該信息是什麼。零知識證明結構涉及“證明者”和“驗證者”;證明者根據系統輸入的知識創建證明,而驗證者有能力確認證明者真實地評估了計算。零知識證明在當今的區塊鏈中有多種用例——最常見的是在隱私領域(例如IronFish、TornadoCash、Worldcoin、zCash)或通過計算驗證鏈下狀態轉換來擴展以太坊(例如Polygon 的零知識Rollups套件、Starknet 和zkSync)。 Aleo 和Aztec建議同時解決隱私和可擴展性問題。

值得深入了解一下密碼學的進步——就在過去的十年裡——這使得所有這些應用程序變得可行、更快,也許最重要的是,抗審查和去中心化。通過結合算法和硬件的進步,生成和驗證證明變得更便宜,計算量也更少。在許多方面,這些進步反映了數碼相機等技術的民主化:你從一個昂貴且低效的過程開始,然後才弄清楚如何讓事情變得更便宜和更快。也許最關鍵的是,零知識算法的進步開始為在服務器和其他集中式環境中生成證明計算提供替代方案。

證明設置涉及對一組多項式(代表程序)的計算進行門控的算術電路; 當您嘗試縮放由這些多項式表示的信息量時,這些Gate會變得更加複雜。理想情況下,您希望證明者的可能輸出範圍非常大,以降低證明者能夠通過計算蠻力達到驗證者預期的相同數字的可能性(一個稱為Collision Resistance的概念)。通過增加這些數字,您可以提高證明的概率安全性,就像在工作量證明挖掘中一樣。然而,大量的輸出可能非常昂貴並且生成起來計算速度很慢。這就是證明算法和硬件方面取得進步的地方。

zkSNARKs 於2011 年首次推出,是這些進步的關鍵因素。 zkSNARKs 本質上使得有效地擴展可門控的多項式數量、解鎖速度和零知識證明的更複雜的潛在應用成為可能。

zkSNARK 的“SNARK”部分代表“Succinct Non-Interactive Arguments of Knowledge”,在web3 概念中最重要的詞是“簡潔”和“非交互式”。 zkSNARK 中的證明只有幾百個字節,這使得驗證者可以輕鬆快速地檢查證明是否正確(不過,正如您將看到的,證明本身可能需要很長時間才能生成,原因下面會解釋)。非交互式組件也很關鍵:非交互式證明使驗證者無需質疑證明者提交的陳述;在區塊鏈環境中,這將需要客戶來回使用驗證器,這將是耗時且難以構建的。需要注意的是,在首次引入zkSNARK 時,並未提及將其用於保護隱私的區塊鍊或擴展交易的想法;原始論文提出了諸如第三方有效地在大量數據上運行計算,而無需下載或編譯數據集。雖然這個例子在理論上類似於隱私和擴展的用例類型,但該領域的人們花了幾年時間將zkSNARKs 應用於加密貨幣。

零知識證明衝擊區塊鏈

第一個實現zkSNARKs 的加密協議是zCash,它是2014 年開發的一種私人支付加密貨幣。 zCash 是一個基於比特幣UTXO 模型的工作量證明挖礦網絡,是一個特別值得關注的例子,因為它的改進說明了密碼學的改進帶來了更具可擴展性的隱私形式。 zCash實現的原始協議Sprout協議,使用SHA256壓縮函數創建橢圓曲線;雖然這在密碼學上是安全的,但它也是時間和內存密集型的;生成證明可能需要幾分鐘時間,並且需要大約3KB 的內存。幾年後,zCash 核心團隊開發了一條新曲線Bowe-Hopewood-Pedersen 來替代SHA256,並於2018 年將zCash 從Sprout 過渡到Sapling 協議。除了更新的曲線之外,該團隊還使用了不同的電路Groth16 證明系統,並重新設計了他們處理網絡中帳戶的方式,實現了大約2.6 秒的證明時間和40MB 的內存,使得從手機生成證明成為可能。

zCash 的升級說明了兩個有趣的概念,這些概念在零知識證明系統的改進中仍然存在。首先是你可以結合不同的配對和證明系統來解鎖效率。人們可能會將證明電路、曲線、約束系統和承諾方案的庫視為可以互換的成分,以創建具有不同速度、效率和安全假設的“零知識配方”。第二個是隱私是這些改進的動力——如果證明不是在設備(例如計算機或手機)上生成的,則需要將其發送給第三方才能生成。這可能會洩露有問題的私人信息,因為您的“私人輸入”需要以明文形式發送。我們可以將zCash 視為一個早期跡象,表明通過算法改進可以非常快速地優化用戶友好性和去中心化。諸如保護隱私的加密貨幣IronFish 等較新的項目進一步推動了這種去中心化的價值,讓任何人都可以直接從他們的網絡瀏覽器挖掘和運行節點。

PLONK進入該領域

2019 年,Ariel Gazibon、Zac Williamson 和Oana Ciobotaru 發表了一篇論文,提出了PLONK,這是一種具有多項關鍵進步的新證明系統。第一個重大突破是PLONK 只需要一個單一的、通用的可信設置——在初始儀式中,證明者和驗證者對給定的零知識證明系統使用公共參考字符串。

正如Vitalik Buterin 在他的“了解PLONK”一文中解釋的那樣,一個單一的受信任設置是可取的,因為“不是為您想要證明的每個程序都有一個單獨的受信任設置,而是整個方案只有一個受信任的設置,然後您可以將該方案與任何程序一起使用。”雖然zCash 必須為其證明系統(Sprout 和Sapling)的每個實例化執行可信設置,但PLONK 設置可以執行一次,並且可以被任意數量的項目永久使用。 2019 年,Aztec Network 舉行了一場有176 名參與者運行的MPC 設置儀式;該方案不僅被Aztec 使用,而且被其他尋求基於零知識證明的解決方案的團隊使用,包括Matter Labs/zkSync、Mina 和即將到來的zCash 更新。

PLONK 之所以有用還有另一個原因:它們提供了相對較快的證明時間;證明參與者進行的測試發現,消費級計算機(在本例中為具有16GB RAM 的SurfacePro 6)可以在23 秒內生成證明。一個重要的警告:這些只是基準,目前實施的PLONK 證明可能需要更長的時間才能生成。這是因為許多實施PLONK 證明的團隊正在將它們應用於零知識匯總,這需要將數千個鏈下交易聚合到一個單一的證明中。這些交易通常由計算量大的證明者處理,然後將這些交易的記錄發送到定序器,以便在以太坊的主網上發布。

當我們查看Rollups時,會出現一些有趣的問題,這些問題圍繞著您如何以及在何處實現去中心化。 Matter Labs 採用的一種方法是使用zkPorter,這是一種用於匯總的第二種賬戶類型,其數據可用性保持在鏈外。當zkPorter 上線時,人們可以選擇在zkSync 上進行交易,它提供了L1 以太坊的完全安全性(吞吐量高達每秒2,000 筆交易),或在zkPorter 上進行交易,每秒可達到20,000+ 筆交易。至關重要的是,zkPorter 被構建為一個權益證明網絡,它將使用持有代幣的“監護人”來跟踪鏈下狀態,這將節省幾個數量級的交易成本,同時仍然提供強有力的安全保證。雖然Matter Labs 還沒有針對證明者去中心化,但網絡級去中心化是Rollups可以優先考慮中立性(同時也解鎖速度)的另一種關鍵方式。隱私保護Rollups 公司Aztec 談到了一種聯合他們的證明者網絡的方法,允許從手機或計算機生成證明。值得注意的是,所有這些提議都還處於早期階段,團隊仍在迭代他們的方法。

其他以硬件為中心的基於區塊鏈的隱私方法包括Worldcoin,它使用零知識證明系統Semaphore 創建分散的、抗女巫攻擊(Sybil Attack)的貨幣。為此,Worldcoin 接收者通過一個球體掃描他們的虹膜,以驗證個人只註冊了一次Worldcoin。至關重要的是,Worldcoin 不會存儲或洩露用戶的私人信息。要註冊Worldcoin,人們需要在手機上生成一個Semaphore 公鑰,以QR 碼的形式將密鑰呈現給球體,然後由Worldcoin 的球體掃描他們的虹膜並輸出哈希序列。 Worldoin 驗證哈希與已經生成的哈希不匹配,確保一個人只經歷一次註冊過程。通過使用哈希而不是存儲生物特徵數據,Worldcoin 能夠使用零知識證明來保護用戶隱私。

我們可以和將要建造什麼?

站在技術革命的尾聲並宣布其帶來的巨大經濟和社會變革是必然的,這很容易;今天,人人手裡拿著一部iPhone,它擁有所有令人驚嘆的功能——攝影、存儲、互聯網訪問、通信——但這些技術在落地之前可能並沒有被提前預知。同樣,我們站在一個尚未解決的大規模社會和經濟轉變的開端,也不清楚需要多長時間才能完全實現變革。

我們目前正處於零知識證明方案的一系列進展的早期階段——但就在過去十年中,速度、效率、用戶友好性和去中心化方面的改進令人震驚。我們已經從零知識空間中極少數面向消費者的應用程序發展到在很短的時間內為隱私和可擴展性提供應用程序和區塊鏈的整個生態系統。像這樣的新技術最令人興奮的事情之一是,很難預測另一面到底是什麼樣子。當每個人都可以通過手機證明完全私密的交易,並選擇託管大量去中心化應用程序的去信任區塊鏈時,會發生什麼?是一個每個人都有權贖回相同的無國界、去中心化貨幣的世界嗎?

當我們經歷這場革命時,重要的是要牢記初心,即指導我們的核心價值觀—-可訪問性、無需信任,最重要的是去中心化。

了解更多資訊歡迎加入:

0x新聞Discord 社群:https://discord.gg/QSvv7MZ2tz

0x新聞TG 交流群:https://t.me/BitPushCommunity

0x新聞TG 訂閱: https://t.me/bitpush

Twitter :https://twitter.com/BitpushNewsCN

本文來自0x新聞,文章鏈接: https://www.0xcj.com/articles/2432368 轉載需註明出處

Total
0
Shares
Related Posts