Vitalik : Le cœur de l'efficacité des ZK-Provers réside dans le fait qu'il n'est pas nécessaire de s'engager sur des données intermédiaires.

【Vitalik : Le cœur de l'efficacité des ZK-Provers réside dans le fait qu'il n'est pas nécessaire de s'engager sur des données intermédiaires】Vitalik Buterin a déclaré dans un article : « Si vous suivez depuis longtemps le domaine de la Cryptographie dans les Cryptoactifs, alors il est très probable que vous ayez déjà entendu parler des ZK-provers ultra-rapides : par exemple, un ZK-EVM pouvant prouver en temps réel sur Ethereum L1 avec environ 50 GPU grand public ; prouvant 2 millions de hachages Poseidon par seconde sur un ordinateur portable ordinaire ; et un système zk-ML améliorant constamment la vitesse de preuve pour l'inférence des grands modèles de langage (LLM). Dans cet article, je vais expliquer en détail une famille de protocoles utilisée dans ces systèmes de preuve à grande vitesse : GKR. Je vais me concentrer sur l'implémentation de GKR dans la preuve du hash Poseidon (et d'autres calculs ayant une structure similaire). Si vous souhaitez en savoir plus sur le contexte de GKR dans le calcul de circuits généraux, vous pouvez consulter les notes de Justin Thaler et cet article de Lambdaclass. Qu'est-ce que le GKR et pourquoi est-il si rapide ? Imaginez que vous avez un calcul qui est “très grand dans les deux dimensions” : il doit traiter au moins un nombre moyen de “couches” (de faible degré), tout en appliquant la même fonction à de nombreuses entrées de manière répétée. Comme ceci : Il s'avère que de nombreux grands calculs que nous effectuons correspondent à ce modèle. Les ingénieurs en cryptographie noteront que de nombreuses tâches de preuve intensives en calcul impliquent un grand nombre d'opérations de hash, et la structure interne de chaque hash correspond exactement à ce modèle. Les chercheurs en IA noteront également que les réseaux neuronaux (modules de construction de base des LLM) ont également cette structure (capables de prouver en parallèle le raisonnement de plusieurs tokens, et parce que chaque token est composé de couches neuronales élément par élément et de couches de multiplication de matrices globales - bien que les opérations matricielles ne correspondent pas complètement à la structure “indépendante des entrées” ci-dessus, elles peuvent en réalité être facilement intégrées dans le système GKR). GKR est un protocole de chiffrement conçu spécifiquement pour ce type de modèle. Il est efficace car il évite de faire des engagements (commitment) sur toutes les couches intermédiaires : vous n'avez besoin de faire un engagement que sur les entrées et les sorties. Ici, le “commitment” fait référence à l'insertion de données dans une certaine structure de données chiffrée (comme KZG ou un arbre de Merkle), permettant ainsi de prouver des contenus liés à certaines requêtes concernant ces données. La manière la moins coûteuse de faire un engagement est d'utiliser un arbre de Merkle après correction d'erreur (c'est-à-dire la méthode dans STARK), mais cela nécessite également que vous fassiez un hash de 4 à 16 octets pour chaque octet soumis — ce qui signifie effectuer des centaines d'opérations d'addition et de multiplication, alors que l'opération que vous devez réellement prouver pourrait n'être qu'une multiplication. GKR évite ces opérations, sauf au début et à la fin. Il est important de noter que GKR n'est pas “zero-knowledge” : il garantit uniquement la concision, sans offrir de confidentialité. Si vous avez besoin de zéro connaissance, vous pouvez encapsuler la preuve GKR dans ZK-SNARK ou ZK-STARK.