Vitalik: La clave para que los ZK-Provers logren cálculos eficientes es que no necesitan comprometerse con ningún dato intermedio.

Jinse Finance informó que Vitalik Buterin publicó un artículo diciendo: "Si has estado siguiendo la 'dirección criptográfica dentro del campo de las criptomonedas', probablemente ya hayas oído hablar de los probadores ZK (ZK-provers) ultrarrápidos: por ejemplo, un probador ZK-EVM de Ethereum L1 que puede generar pruebas en tiempo real usando solo unas 50 GPU de consumo; la capacidad de probar 2 millones de hashes Poseidon por segundo en una notebook común; y sistemas zk-ML que mejoran constantemente la velocidad de prueba para la inferencia de grandes modelos de lenguaje (LLM). En este artículo, explicaré en detalle una familia de protocolos utilizada en estos sistemas de prueba de alta velocidad: GKR. Me centraré en la implementación de GKR para probar hashes Poseidon (y otros cálculos con estructuras similares). Si querés conocer el trasfondo de GKR en el cálculo de circuitos generales, podés consultar las notas de Justin Thaler y este artículo de Lambdaclass. ¿Qué es GKR y por qué es tan rápido? Imaginá que tenés un cálculo que es 'muy grande en dos dimensiones': necesita procesar al menos una cantidad moderada de 'capas' (de bajo grado), y al mismo tiempo aplicar repetidamente la misma función a una gran cantidad de entradas. Así: Resulta que muchos de los cálculos grandes que hacemos siguen este patrón. Los ingenieros criptográficos notarán que muchas tareas de prueba intensivas en cálculo implican una gran cantidad de operaciones hash, y la estructura interna de cada hash sigue exactamente este patrón. Los investigadores de IA también notarán que las redes neuronales (el bloque fundamental de los LLM) tienen esta misma estructura (se puede probar en paralelo la inferencia de varios tokens, y porque dentro de cada token hay capas neuronales elemento a elemento y capas de multiplicación de matrices globales—aunque las operaciones de matrices no siguen exactamente la estructura 'independiente entre entradas' del gráfico anterior, en la práctica se pueden incorporar fácilmente en el sistema GKR). GKR es un protocolo criptográfico diseñado específicamente para este tipo de patrón. Es eficiente porque evita comprometer todas las capas intermedias: solo necesitás comprometer la entrada y la salida. Aquí, 'comprometer' significa poner los datos en alguna estructura de datos criptográfica (como KZG o árbol de Merkle) para poder probar ciertos aspectos relacionados con consultas sobre esos datos. La forma más barata de compromiso es usar un árbol de Merkle con códigos de borrado (como en STARK), pero incluso así necesitás hacer un hash de 4 a 16 bytes por cada byte comprometido—lo que implica cientos de sumas y multiplicaciones, mientras que la operación que realmente querés probar puede ser solo una multiplicación. GKR evita estas operaciones, excepto en el primer y último paso. Es importante notar que GKR no es 'zero-knowledge': solo garantiza concisión, no privacidad. Si necesitás zero-knowledge, podés encapsular la prueba GKR dentro de un ZK-SNARK o ZK-STARK.