NALS:从技术原理出发 批判“加密显学”零知识证明_区块链dapp开发框架

原文：《CriticismonZK》bymsfew

*注：首先，这是一个用一个小时写的草稿。主要是为了快速收集信息，所以可能存在非常多的潜在错误和不完整的信息。

对ZK的主要批评包括两个：

一是证明时间长(因此有各种benchmark、各种新的ZK协议和各种硬件优化）；

一是系统和应用程序安全性仍然需要测试。

?证明生成性能

零知识证明是区块链领域非常流行的技术。由于链上计算资源稀缺且昂贵，零知识证明允许这些计算在链下进行，虽然链下证明生成的总时间消耗非常高，但它仍然压缩了最终证明和相关的计算验证，从而允许计算“在链上”。

ZK证明生成时间过长的问题往往被研究者和开发者所忽视，因为这本质上是ZK需要做出的权衡。

Coinbase首席财务官：上线资产前会从技术和风险角度进行评估:金色财经报道，今日在美国国会的加密听证会上，在众议员Pete Sessions询问交易所如何识别欺诈和降低风险时，Coinbase首席财务官Alesia Haas表示，该交易所在资产上市之前会从技术和风险的角度对其进行评估。[2021/12/9 12:59:42]

虽然他们没有直接批评ZK的这个缺点，但是他们有很多从对面解决这个缺点的方法和讨论。

也就是说，他们通过提出各种解决方案并进行大量基准测试来隐含地谈论ZK的极长证明时间。

a)Benchmark

在衡量ZK应用之前，我们首先要测试ZK协议底层commitment的性能。

因为比如，FRI导致STARK，KZG导致常规SNARK，IPA导致Bulletproof。底层承诺的性能测试对于ZK应用的性能并不直观，但对于理解ZK证明时间长的问题很有帮助。

声音 | 王和：未来区块链将从技术的范畴走向社会的范畴:12月5日，第四届智能金融国际论坛暨2019金融界“领航中国”年度盛典在北京盛大召开，逾千位精英学者、数百家金融机构共同聚首，探讨中国和世界的“大变局、大视野、大未来”。在圆桌讨论“新技术 新革”上，中国人民财产保险公司原监事长王和参与讨论。当前区块链具有战略性的机遇，同样重要的是具备更多应用场景的就是5G技术，对此，王和表示，区块链技术到已经走过了十年。在中国基本上经历了三个阶段，首先是是2009年、2010年以比特币为代表的周期。第二个阶段是2016年至2018年，区块链迅速的走进大众视野，多种类数字货币出现。第三个阶段是从今年下半年，到2020年将开启的全新时代。关于区块链的未来，王和认为，未来区块链对于人类社会的影响，要比现在想象的更为广泛和深刻，未来也将迎来新一轮的区块链发展的新历史时期。 尽管区块链技术现在还面临的很多的瓶颈，但要有足够的信心、想象力和技术跨越这些困难。 最后，未来区块链和5G的结合，可能将给我们带来全新的概念：速度等于可能。数字经济时代，速度将成为一个国家的核心竞争力，5G无疑是速度的代表。[2019/12/5]

从上面的链接我们可以看出，这些底层承诺协议不仅计算复杂(可能导致证明时间长)，而且还存在内存消耗非常大的问题。

声音 | 王春蕊：区块链已从技术构想走入现实 在智慧城市建设中将大有作为:新京报智慧城市研究院研究员王春蕊今日发表题为“智慧城市和区块链能擦出怎样的火花？”评论文章。文章中提到，区块链在智慧城市建设中将大有作为。区块链实现信息共享，保障数据安全；“区块链+政务”，为数字社会增信；“区块链+民生”，能够提供更智能的公共服务。区块链作为核心技术，已经从技术构想走入现实，在智慧城市领域特别是信息共享方面彰显出了巨大应用潜力。（新京报）[2019/11/5]

当然，内存消耗其实更多的是跟硬件配置要求有关，这跟我们今天要讨论的话题是不一样的。

对于具体的SNARK性能测试，a16zcrypto将它们分为前端和后端：

前端通常是ZK应用开发者接触到的Cairo语言/zkVM高级语言等；

而后端是更接近SNARK证明生成时间的承诺等底层密码学操作。

声音 | 孚链科技创始人赵伟：区块链从技术、模式、组织、融资对行业有所创新:金色财经现场报道，今日，2018中国国际区块链产业融合峰会暨区块链产品与应用展在石家庄举行，在以《新时期下区块链技术赋能实体与应用结合》为题的圆桌论坛上，孚链科技创始人、清华经管创业协会秘书长赵伟表示，区块链不完全是一种技术，同时也是一种思想。区块链对行业的影响可以形容为四个创新，分别是技术创新、模式创新、组织创新和融资创新。关于企业的模式创新，区块链通过利益相关的模式，把一些消费者可能也拉入了甚至成为股东的角色里面去。[2018/9/21]

其中，作者提到SNARK证明生成具有大约100倍的计算开销，并且每个ZK协议都有额外的开销，例如：

“InGroth16,Pmustworkoverapairing-friendlygroup,whoseoperationsaretypicallyatleast2xslowerthangroupsInGroth16,Pmustworkoverapairing-friendlygroup,whoseoperationsaretypicallyatleast2xslowerthangroupsthataren'tpairingfriendly.,thisresultsinatleastanadditionalfactor-6slowdownrelativetothe100-|C|estimateabove.”

总体而言，可以说?zk-SNARK的额外性能开销在200-1000倍的范围内。

此外，文章还提到了zk-SNARK的其他限制，例如可信设置和内存使用。

ModulusLabs的文章测量了一些ZK协议的实际性能。有些基准是针对参数数量的，这对我们来说不是很直观。然而，在应用中，文章提到在Worldcoin用例中，即使使用“最快”的Plonky2，仍然需要几分钟的证明生成时间和数十GB的内存消耗，无法在个人电脑上运行。

b)递归和批处理

为了减少证明生成时间，我们可以并行证明多个证明。

通常，有两种方法可以做到这一点：一种是批处理，另一种是递归。

简单来说，批处理是同时证明一批证明，最后将它们聚合在一起，而递归是在一个证明中验证其他证明。一般而言，递归方法具有更小证明大小?的额外优势。

一些更常见的聚合方法包括Halo2、Plonky2。他们每个人都以不同的方式执行批处理和递归，从而减少了证明时间。

除了ZK的协议层，ZK的应用层也可以有针对性的优化。例如，可以同时使用多个ZK协议(STARK+SNARK），或者针对宏观采取递归策略进行特定于应用程序的调优。

一般来说，这实际上减少了协议和证明分配方面的证明生成时间。在探索新的ZK协议时，减少证明时间是最重要的考虑因素。

c)硬件加速

此外，从硬件角度进一步减少ZK应用在物理和节点层面的证明时间也做了很多努力。

首先，与前面提到的新协议一样，ZK协议被设计为尽可能对硬件友好，例如HyperPlonk。

Paradigm提到，ZK的证明生成速度慢主要是由于涉及大量的MSM和FFT，它们对硬件不友好，导致由于随机内存访问等问题导致最终证明生成速度慢。对于这些底层加密计算，ZK协议需要在它们的组成和规模上进行一些权衡，以使其对硬件更加友好。

几家ZK硬件加速厂商表示，GPU实际上是目前最经济和可配置的硬件选择，我们最终将有FPGA过渡到ASIC阶段。根据zk硬件公司的说法，他们的第一版ASIC可以直接减少至少30%的ZK证明生成时间。

此外，由于不同的服务器配置，将不同的云服务器作为节点运行可能涉及不同的硬件特定优化。

Security

ZK现在的另一个批评是电路代码仍然需要正确(没有bug)。

如果ZK协议从健全性、完整性、零知识的角度受到攻击，我们将不再拥有有效的ZK系统。我们可以在这个链接中看到各种角度的攻击示例。

虽然ZK应用可以被称为trustless，但我们仍然需要确保项目的ZK协议和应用的代码和架构是正确的。区块链领域中存在多种ZK错误。例如，由于zkEVM的ZK电路代码库庞大的问题，Vitalik谈到了?ZK应用程序的多证明者的需求。

因此，ZK系统可能需要与形式验证等安全工具或Ecne等其他安全相关工具搭配使用。应用程序级别，它需要更多的审计，特别是对于像zkEVM这样的大项目。

标签：STA区块链NALSROOTXSTAR币区块链dapp开发框架nals币总量ROOT价格

FIL热门资讯