Vitalik: El núcleo de la eficiencia de los ZK-Provers radica en que no es necesario comprometer datos intermedios.

【Vitalik: El núcleo de la capacidad de los ZK-Provers para realizar cálculos eficientes radica en que no es necesario comprometer ningún dato de capa intermedia】Vitalik Buterin publicó que, "si has estado siguiendo la dirección de la criptografía en el campo de los Activos Cripto, es muy probable que ya hayas escuchado sobre los ZK-provers ultrarrápidos: por ejemplo, un ZK-EVM que puede demostrar en tiempo real la red L1 de Ethereum utilizando aproximadamente 50 GPU de consumo; demostrando 2 millones de hash Poseidon por segundo en una computadora portátil normal; y el sistema zk-ML mejorando constantemente la velocidad de prueba para la inferencia de grandes modelos de lenguaje (LLM). En este artículo, explicaré en detalle una familia de protocolos que se utiliza en estos sistemas de prueba de alta velocidad: GKR. Me centraré en la implementación de GKR en la prueba del hash Poseidon (así como en otros cálculos con estructuras similares). Si deseas conocer el contexto de GKR en el cálculo de circuitos generales, puedes consultar las notas de Justin Thaler y este artículo de Lambdaclass. ¿Qué es GKR y por qué es tan rápido? Imagina que tienes un cálculo que es “muy grande en ambos dimensiones”: necesita manejar al menos una cantidad moderada de “capas” (de bajo grado), mientras aplica repetidamente la misma función a una gran cantidad de entradas. Así: Resulta que muchos de los grandes cálculos que realizamos siguen este patrón. Los ingenieros en Criptografía notarán que muchas tareas de prueba intensivas en cálculos implican una gran cantidad de operaciones de hash, y la estructura interna de cada hash es precisamente este patrón. Los investigadores de IA también notarán que las redes neuronales (los módulos básicos de construcción de LLM) tienen esta misma estructura (pueden demostrar en paralelo la inferencia de múltiples tokens, y cada token está compuesto por capas neuronales elemento a elemento y capas de multiplicación de matrices globales; aunque las operaciones de matrices no cumplen completamente con la estructura “independiente entre entradas” de la imagen anterior, en realidad se pueden integrar fácilmente en el sistema GKR). GKR es un protocolo de criptografía diseñado específicamente para este tipo de modelo. Su eficiencia radica en que evita hacer compromisos con todas las capas intermedias: solo necesitas hacer compromisos con la entrada y la salida. Aquí, el “compromiso” se refiere a colocar datos en alguna estructura de datos encriptada (como KZG o un árbol de Merkle), lo que permite probar ciertos contenidos relacionados con consultas sobre esos datos. La forma más económica de hacer un compromiso es usar un árbol de Merkle con corrección de errores (es decir, el método en STARK), pero también requiere que realices un hash de 4 a 16 bytes por cada byte enviado, lo que significa que deberás realizar cientos de operaciones de suma y multiplicación, mientras que la operación que realmente necesitas probar podría ser solo una multiplicación. GKR evita estas operaciones, excepto en el primer y último paso. Es importante notar que GKR no es “cero conocimiento”: solo garantiza la concisión, no proporciona privacidad. Si necesitas cero conocimiento, puedes encapsular la prueba GKR en ZK-SNARK o ZK-STARK.