零知識證明允許一個團體在向另一個團體證明一條聲明時不需要透露除去「該聲明為真實的」的信息以外的任何額外信息。盡管這項密碼原語早在上世紀八十年代就已出現(xiàn)，但直到區(qū)塊鏈技術的萌發(fā)，零知識證明才發(fā)現(xiàn)其實際應用，包括區(qū)塊鏈擴展、隱私、互操作性，和身份。

盡管聲稱其可以解決區(qū)塊鏈技術中的許多最重大的難題，零知識證明仍舊是一項不成熟的技術。在這些問題之中，最主要的其中之一是其證明時間之久。零知識技術應用在不斷改進，其證明的復雜程度也在改進。這些聲明需要更大的算數(shù)電路，導致證明時間飆升。生產(chǎn)一個零知識證明可能需要比底層計算增加多達百萬倍。相應地，有大量的團隊正在研究可以改進加速零知識證明所需要的軟件和硬件。

在本文中，我們將提供加速零知識證明的概覽。我們將總結(jié)生產(chǎn)零知識證明的主要操作作為討論的起點，并在之后轉(zhuǎn)向討論這些操作可以如何被加速。

快速上手：什么是零知識證明？

零知識證明允許一方（通常被稱為證明者），向另一方（通常被稱為驗證者）證明他們成功地完成了一次計算。一個零知識證明擁有以下三個關鍵特性：

• 完整性：如果證明者生成了一項有效的證明，一個誠實的驗證者將視該聲明是有效的。

• 合理性：如果該聲明是虛假的，一個證明者將無法生成一項看起來有效的證明。

• 零知識：如果該聲明是真實的，一個驗證者不會知道除去「該聲明是真實的」以外的任何信息。

區(qū)塊鏈背景下最主要的零知識證明的類型是 zk-SNARK（全稱是「零知識的簡潔的非交互式知識論證」）。這終證明在上述的傳統(tǒng)的零知識證明的三個特性之上額外有兩條特性：簡潔性和非交互式。具有簡潔性意味著證明的規(guī)格小，通常只有幾百字節(jié)，并且可以迅速地被驗證者檢驗。非交互式的特性意味著證明者和驗證者之間不需要交互，單單該證明本身已經(jīng)足夠。較老的零知識證明需要證明者和驗證者之間互發(fā)信息以生成一項證明。

簡介性使零知識證明能夠快速地驗證，且從計算角度來看很便宜。這使它們成為了一項很棒的擴展技術。在有效性 rollup（也就是零知識 rollup）中，強大的證明者能夠計算數(shù)以千計的交易的輸出，針對它們的正確性生產(chǎn)一個簡潔的證明，并將它們發(fā)送到底層鏈上。在那里，驗證者能夠檢驗該證明并立刻接受所有已包含的交易的結(jié)果，而無需再自行計算。因此，在底層鏈保持去中心化的同時，網(wǎng)絡得以進行擴展。

將上千條交易打包進單一的證明需要巨量的計算工作，從而導致證明時間變長。冗長的證明時間會導致同樣冗長的最終確認時間。因為在交易和證明被發(fā)送至底層鏈之前，用戶的交易沒有完全的最終性。而這一過程可能要花一些時間。例如，在 Starknet，我們預期證明時間初步上將需要幾個小時。零知識證明在更好的操作、安全、和 UX 上都需要加速。

一個零知識證明系統(tǒng)包含三個步驟：配置，證明的生成，以及證明的檢驗。

在證明中要用到 6 個值：

• R - 隨即數(shù)字：建立一個零知識證明系統(tǒng)需要一個一次性的秘密隨機數(shù)。如果任何群體知道了該隨機數(shù)，他們就可以破解代碼并確認秘密輸入值，消除其零知識屬性。這便是「可信設置」的概念從何而來。在可信配置中，不同群體聚到一起，共同生成該隨機數(shù)，以保證沒有任何個體能夠知道該秘密。作為一名用戶，你必須信任該設置是被正確完成的（也就是說，沒有人知道 R），以確保你的信息是私密的。注意，STARK 并不要求可信設置。

• S? - 證明者設置常數(shù)：設置完成后將交由證明者的常數(shù)，允許其驗證一項有效的證明。

• S? - 驗證者設置常數(shù)：設置完成后將交由驗證者的常數(shù)，允許其驗證一項有效的證明。

• X - 公開輸入值：我們用于計算的輸入值。這些將被給到證明者和驗證者，且并不是保密的。

• W - 私密輸入值：這是秘密的輸入值，被稱作見證，只會被給到證明者。需要注意的是，在上面的圖表中，見證不會被交給驗證者。零知識的關鍵就是它使我們能夠證明有關見證的聲明，且不需要泄露見證。

• P - 證明：這是由證明者創(chuàng)建、發(fā)送給給驗證者的證明。

以上就是深入淺出的「什么是零知識證明？」。就是這么簡潔明了！當你真正過一遍其原理的時候，你會發(fā)現(xiàn)它其實挺簡單。但是如果要明白如何加速零知識證明，我們就必須先明白它們在幕后是如何工作的。

MSM 與 NTT

零知識證明生成有兩大主要瓶頸：多標量乘法（Multi-scalar Multiplication，MSM）和數(shù)論變換（Number Theoretic Transform，NTT）。這兩項操作自己就能占到證明生成時間的 80% 到 95%?，具體則取決于零知識證明的承諾方案和具體的執(zhí)行。首先，我們會介紹這些操作，其后，我們將提供各個操作能夠如何加速的概覽。

素數(shù)有限場

讓我們從素數(shù)有限域開始。MSM 和 NTT 都發(fā)生在素數(shù)有限域中，因此了解素數(shù)有限域是重要的第一步。

想象一下，我們有一組 0-10 的數(shù)字。我們可以給這組數(shù)字添加一條規(guī)則，即：一旦我們數(shù)過數(shù)字 10?，我們就從數(shù)字 0 重新開始。如果我們減去最低的數(shù)字 0?，我們就從最后的 10 開始。

我們稱數(shù)字 11 為模數(shù)，因為它是我們開始「循環(huán)」的數(shù)字。這種類型的數(shù)學被稱為模算數(shù)。我們與模算數(shù)互動的最直觀的經(jīng)驗是在報時時，我們以 12 為模數(shù)計算小時。

乘法也適用于模算數(shù)。如果我們把 9 ? 3 = 27?，我們會得到 5 作為我們的輸出（如果你想檢查，自己算一下?。＿@被稱為簡單除法中的「余數(shù)」。我們可以把解決方案寫成：

9 ? 3?mod(?11) = 27?mod(?11) = 5, 因為 11 ? 2 + 5 = 27. 2 代表我們循環(huán)的次數(shù)。

請注意，在我們這個 0-10 的集合中，無論我們選擇什么數(shù)字做加法、減法或乘法，我們的結(jié)果永遠是這個集合中的另一個數(shù)字。換句話說，沒有辦法跳出這個集合。在模算術中，除法要稍微復雜一些，但它的工作原理是相似的。因為我們的集合具有這種封閉性，所以它是一種特殊類型的集合，稱為場。

從一個場到一個素數(shù)有限場是微不足道的。一個有限場是一個具有有限個元素的場。素數(shù)有限場是一個以素數(shù)為模數(shù)的有限場。由于我們的例子中 0-10 的集合是有限的，并且以質(zhì)數(shù) 11 作為其模數(shù)，所以它是一個質(zhì)數(shù)有限場！

多標量乘法

現(xiàn)在我們已經(jīng)涵蓋了素數(shù)有限場，我們能夠理解 MSM 了。假設我們有兩行數(shù)字。我們可以對這些行進行的一個操作是，將一行中的每個元素，與另一行中的相應元素相乘，然后將乘積相加成為一個單一的數(shù)字。這種操作被稱為點積，在數(shù)學中常用。下面是它的樣子：

一個向量就是一個數(shù)字列表。注意，我們把兩個向量的數(shù)字作為輸入，并產(chǎn)生一個單一的數(shù)字作為輸出。現(xiàn)在，讓我們修改一下我們的例子。我們可以不計算 2 個數(shù)字向量的點積，而是計算一個點的向量和一個數(shù)字向量的點積。

一個標量就是一個普通的數(shù)字。在這種情況下，我們的輸出不是一個單獨的數(shù)字，而是一個網(wǎng)格上的新點。從圖形上看，上面的計算看起來像下圖這樣：

這個計算包括將網(wǎng)格上的每一個點按一定的系數(shù)進行縮放，然后將所有的點相加，得到一個新的點。請注意，無論我們在這個網(wǎng)格上選取什么點，無論我們用什么標量乘以它們，我們的輸出總是網(wǎng)格上的另一個點。

正如我們可以用網(wǎng)格上的點而不是整數(shù)來計算點積一樣，我們也可以用橢圓曲線上的點來進行這種計算。橢圓曲線（EC）看起來像這樣：

我們在零知識中使用的數(shù)學涉及橢圓曲線，它位于素數(shù)有限場中。因此，無論我們對橢圓曲線上的任何一點進行何種加法或乘法，其輸出都將是橢圓曲線上的另一個點。標量的點積會輸出另一個標量，（x, y）坐標的點積會產(chǎn)生另一個坐標，而橢圓曲線點的點積會產(chǎn)生另一個 EC 點。從視覺上看，橢圓曲線的點積看起來像這樣：

橢圓曲線上的一個點與一個標量相乘稱為點乘法。將兩個點相加稱為點加。點乘法和點加法都會在橢圓曲線上輸出一個新的點。

在視覺上，橢圓曲線加法是一個簡單的操作。給定任何兩個 EC 點，我們可以在它們之間畫一條線。如果我們看一下這條線與曲線第三次相交的地方，我們可以找到它在 X 軸上的反射，從而找到這兩個點的和。要把一個點 G 加到自己身上，我們要找到曲線的切線，看看那條線與曲線的交點，然后在 X 軸上畫一條反射線，直到再次與曲線相交。那個點就是 2?G. 因此，點乘法也很容易直觀化。它只是涉及到將一個點本身相加。

關于如何從數(shù)學上計算 EC 加法的詳細解釋超出了本文的范圍。在高層次上，EC 加法將兩個非常大的整數(shù)相加，并以某個大的素數(shù)為模數(shù)。

這種將多個橢圓曲線點，與標量相乘（點乘），然后相加（點加），得到橢圓曲線上的一個新點的操作稱為多標量乘法（MSM）。MSM 是 ZKP 生成中最重要的操作之一，然而它只是一個點積。

實際上比這還要簡單： MSM 可以被改寫為一堆 EC 點的加法。

因此，每當你聽到「多標量乘法」時，我們所做的就是把許多 EC 點加在一起，得到一個新的 EC 點。

水桶法

「水桶法」是用于加速 MSM 計算的一個巧妙的技巧。點加法計算在計算上是很便宜的。MSM 的問題在于點乘法。在真正的零知識證明中，我們的 EC 點所乘的標量是非常大的。對于每一個點乘法，計算都需要數(shù)百萬次的求和。幸運的是，有一個簡單的方法可以加快 MSM 的速度：我們可以并行計算所有的點乘法。

水桶法的關鍵思想是，我們可以將這些大點積減少為小點積，并行計算，然后將它們加在一起。

下面是它的工作原理?；仡櫼幌拢谟嬎銠C中，數(shù)字被表示為 1 和 0 的二進制數(shù)字。

因此，在我們的計算機上，我們的 EC 乘法實際上可能看起來像這樣（只是用大得多的二進制數(shù)字）：

水桶法的第一步是將這些二進制標量分割成一定位數(shù)的窗口。在下面的圖片中，我們將標量分割成 4 比特的窗口。

請注意，每個桶涵蓋的數(shù)值從 0000 = 0 到 1111 = 15. 在我們將標量分解成 4 位的窗口后，我們可以將每個 EC 點分類到涵蓋 0-15 范圍的桶中。

對于一個給定的窗口，一旦我們把每個點都分類到一個桶里，我們就可以把所有的點加起來，得到每個桶的一個點。

請注意，在這個例子中，我們只顯示了幾個點，但實際上，每個桶都包含很多數(shù)字。一旦我們有了每個桶的值，我們就可以把它們都乘以它們的桶號，得到整個窗口的最終值。這個窗口的計算只是另一個點積。

一旦我們計算出每個窗口的窗口值，我們就可以把它們?nèi)考悠饋恚玫轿覀兊淖罱K輸出。但首先，我們需要調(diào)整的是，每個窗口代表不同的數(shù)值范圍。要做到這一點，我們需要將每個窗口乘以 2??**?，其中 i 是窗口編號，s 是窗口長度。我們的窗口是 4 比特長，所以窗口大小是 4?。

然后，我們只需將所有數(shù)字相加，就可以得到我們的 MSM 的最終輸出結(jié)果！簡而言之，水桶法包括 3 個步驟：桶式積累、桶式匯總和窗口匯總。

• 桶式積累：對于每個窗口，根據(jù)其系數(shù)，將每個 EC 點分類到一個桶中。然后將每個桶中的所有點相加，得到每個桶的最終值。

• 桶式匯總：對于每個窗口，用所有的桶值乘以它們的桶號，然后加在一起，得到一個窗口值。

• 窗口匯總：把所有的窗口值，乘以它們的位偏移量，然后把它們加在一起，得到你最終的橢圓曲線點。

幾乎所有的零知識證明加速設置都使用了這種水桶法。例如，下面是由 Jump Crypto 和 Jump Trading 團隊共同設計的 MSM 的硬件加速器的圖示。它的大部分內(nèi)容看起來很熟悉！

水桶法通過并行計算和有效平衡硬件上的工作負荷來加速 MSM，從而使證明生成時間得到顯著改善。

數(shù)論變換（NTT）

NTT，也被稱為快速傅里葉變換（FFT），是零知識證明生成中的第二個關鍵瓶頸。其操作和基礎數(shù)學比 MSM 更復雜，所以我們不會在此提供技術解釋。相反，我們將觸及一些關于如何和為什么計算它們的直覺。

零知識證明涉及證明關于多項式的聲明。多項式是一個類似 f(x) = x2 + 3?x + 1 的函數(shù)。在零知識證明中，驗證者證明他們擁有一些秘密信息的方式是，證明他們知道一個給定的多項式的輸入，而這個輸入可以求值到一個給定的輸出。例如，驗證者可能被賦予上述多項式，并被要求找到一個使輸出等于 11 的輸入（答案是 x = 2?）。雖然這個任務對于小多項式來說是微不足道的，但是當給定的多項式非常大時，它就變得很有挑戰(zhàn)性。事實上，零知識證明的整個基礎是，這項任務對于大多項式來說是如此困難，以至于驗證者將無法重復找到答案，除非他們知道秘密見證。

那么一個必要的步驟就是對多項式進行評估，以證明它等于某個輸出。在零知識中，這些多項式是由算術電路表示的。

算術電路接受一個輸入矢量，并產(chǎn)生一個在這些點上評估的多項式。算術電路的大小因應用而大不相同，從 ~?10000 到超過 1000000.

我們可以通過插入一個數(shù)字并計算其輸出來直接評估一個多項式。這里有一個例子：

這種方法被稱為直接評估，也是多項式的典型評估方式。問題是，直接求值的計算成本很高——它需要 N2 次運算，其中 N 是多項式的度數(shù)。因此，雖然這對小的多項式來說不是問題，但在處理大的算術電路時，直接評估會變得非常大。NTT 解決了這個問題。通過利用非常大的多項式評估背后的模式，NTT 可以評估一項多項式，只需進行 N*log(N) 計算。

如果我們要評估一個度數(shù)為 100 萬的多項式（意味著多項式中的最高指數(shù)為 100 萬），直接評估需要 1 萬億次操作。用 NTT 計算同樣的多項式，只需要 2000 萬次操作——速度提高了 5 萬倍。

總之，評估多項式在零知識證明生成中起著關鍵作用，NTT 使我們能夠更有效地評估多項式。然而，即使采用這種技術，大型 NTT 的處理時間仍然是零知識證明生成的主要瓶頸。

零知識硬件

我們已經(jīng)對零知識證明加速的最重要的計算做了一個高層次的概述。算法上的改進，如用于 MSM 的水桶法和用于評估多項式的 NTT，導致了零知識證明時間的重大進步。但要進一步提高零知識證明性能，我們必須優(yōu)化底層硬件。

加速 MSM 和 NTT 的發(fā)展

正如我們用水桶法所證明的那樣，MSM 很容易被并行化。然而，即使在嚴重并行化的情況下，計算時間仍然很長。此外，MSM 有大量的內(nèi)存需求，因為需要存儲所有被操作的 EC 值。因此，盡管 MSM 具有在硬件上加速的潛力，但它們需要巨大的內(nèi)存和并行計算。

NTT 對硬件不太友好。最重要的是，它們需要頻繁地將數(shù)據(jù)洗進洗出外部存儲器。數(shù)據(jù)是以隨機訪問模式從內(nèi)存中檢索的，這就增加了數(shù)據(jù)傳輸時間的延遲。隨機內(nèi)存訪問和數(shù)據(jù)洗牌成為一個主要瓶頸，限制了 NTT 的并行化能力。大多數(shù)關于加速 NTT 的工作都集中在管理計算與內(nèi)存的互動方式上。例如，這篇來自 Jump 的論文描述了一種方法，通過減少需要訪問內(nèi)存的次數(shù)和將數(shù)據(jù)流向計算機芯片，從而加速 NTT，將內(nèi)存訪問延遲降到最低。

解決 MSM 和 NTT 瓶頸的最簡單方法是完全消除該操作。事實上，最近的一些工作，如 Hyperplonk 引入了對 Plonk 的修改，取消了執(zhí)行 NTT 的需要。這使得 Hyperplonk 的加速更簡單，但是引入了新的瓶頸，比如昂貴的 sumcheck 協(xié)議。在光譜的另一端，STARK 不需要 MSM，也提供了一個更簡單的優(yōu)化問題。

然而，加速 MSM 和 NTT 僅僅是零知識加速的第一步。即使我們可以假設將 MSM 和 NTT 的計算時間降至 0?，我們也只能實現(xiàn)證明生成時間的 5-20 倍加速。這是由于阿姆達爾定律，該定律指出，加速度受我們實際進行計算的時間部分的限制。如果 MSM 和 NTT 占了 90% 的證明時間，消除它們?nèi)詴粝?10% 的證明時間。

雖然加快 MSM 和 NTT 的速度很重要，但它們只是一個開始。為了取得進一步的進展，我們還必須加快「其他」操作，包括見證生成和散列。

硬件概述

有四種主要的計算機芯片類型： CPU、GPU、FPGA 和 ASIC. 每種芯片在其結(jié)構、性能和通用性方面都有不同的權衡。

中央處理單元（CPU）是大多數(shù)消費類電子產(chǎn)品如筆記本電腦中的芯片。它們的通用性使它們很適合用于各種設備和日常任務。高通用性是以犧牲性能為代價的。CPU 只能按順序處理操作，使其在許多應用中表現(xiàn)不佳。

圖形處理單元（GPU）是一種更專業(yè)的芯片。它們有大量的內(nèi)核用于并行處理，使它們特別適合于圖形渲染和機器學習等應用。盡管沒有 CPU 那么普遍，也沒有 FPGA 或 ASIC 那么專業(yè)，但 GPU 是一種普遍的、可獲得的硬件。它們的流行導致了像 CUDA 和 OpenCL 這樣的低級庫的發(fā)展，幫助開發(fā)者利用 GPU 的可并行性，而不需要了解底層硬件。

現(xiàn)場可編程門陣列（FPGA）是可定制的芯片，可以以可重復使用的方式為特定的應用進行優(yōu)化。開發(fā)人員可以使用硬件描述語言（HDL）直接對其硬件進行編程，從而實現(xiàn)更高的性能。硬件可以被反復修改，而不需要新的芯片。FPGA 的缺點是其更大的技術復雜性——很少有開發(fā)者有編程經(jīng)驗。即使擁有必要的專業(yè)知識，定制 FPGA 的研究和開發(fā)成本也很高。盡管如此，F(xiàn)PGA 在從國防科技到電信等行業(yè)都有應用。

特定應用集成電路（ASIC）是為某一特定任務過度優(yōu)化的定制設計芯片。與允許硬件重新編程的 FPGA 不同，ASIC 的規(guī)格是根植于芯片中的，防止它們被重新利用。對于任何特定的任務，ASIC 都是最強大和最節(jié)能的芯片。例如，比特幣挖礦是由 ASIC 主導的，它計算的哈希值遠遠多于其他類型的芯片。

鑒于這些選擇，哪一個是最好的零知識證明成？這取決于應用程序。像 Penumbra 和 Aztec 這樣的隱私應用程序允許用戶在提交給網(wǎng)絡之前，通過創(chuàng)建其交易的 SNARK 來進行私人交易。由于所需的證明相對較小，只需使用他們的 CPU 就可以在他們的本地瀏覽器中生成。但對于真正需要硬件加速的較大的零知識證明，CPU 是不夠的。

硬件加速

我們可以通過多種方式在硬件上加速零知識證明：

• 并行處理：同時進行獨立計算。

• 管線： 確保我們的計算機的所有資源在任何時候都被使用，以最大限度地提高我們在一個時鐘周期內(nèi)的計算量。

• 超頻： 將硬件的時鐘速度提高到超過默認速度，以加速計算。如果不小心這樣做，可能會損壞硬件。

• 增加內(nèi)存帶寬：使用更高帶寬的內(nèi)存來提高我們讀寫數(shù)據(jù)的速度。在零知識中，證明生成的瓶頸往往不是計算，而是數(shù)據(jù)的傳遞。

• 在內(nèi)存中實現(xiàn)對大整數(shù)的更好表示： GPU 被設計為在浮點數(shù)（即十進制數(shù)字）上進行計算。零知識運算是在有限域的大整數(shù)上進行的。在內(nèi)存中實現(xiàn)對這些大整數(shù)的更好表示，可以減少內(nèi)存需求和數(shù)據(jù)洗牌。

• 使內(nèi)存訪問模式可預測： 像 PipeZK 這樣的論文探討了在計算 NTT 的同時使內(nèi)存訪問模式可預測的方法，使其更容易并行化。

任何類型的芯片都可以被流水線化和超頻。GPU 非常適合并行化，但它們的架構是固定的；開發(fā)者被限制在所提供的內(nèi)核和內(nèi)存上。GPU 不能為大整數(shù)創(chuàng)造更好的表示方法，也不能使內(nèi)存訪問模式更可預測。雖然 CUDA 和 OpenCL 等 GPU 庫提供了一定程度的靈活性，但硬件有局限性；更高的性能最終需要更靈活的硬件。盡管如此，GPU 仍然可以加速零知識證明。零知識硬件加速公司 Ingonyama 正在建立 ICICLE，這是一個用 CUDA 為 Nvidia GPU 建立的零知識加速庫。該庫包含加速常見零知識操作的工具，如 MSM 和 NTT.

FPGA 的時鐘速度比 GPU 低，但可以通過編程來解決上述所有的加速策略。他們最大的問題只是對其進行編程。對于零知識來說，組織一個既有密碼學專業(yè)知識又有 FPGA 工程專業(yè)知識的團隊是非常困難的。早期為零知識加速生產(chǎn) FPGA 的團隊是像 Jump Crypto 和 Jane Street 這樣已經(jīng)擁有 FPGA 和密碼學人才的復雜交易公司。FPGA 也仍然有瓶頸——單個 FPGA 往往沒有足夠的片上存儲器來執(zhí)行 NTT，需要額外的外部存儲器。

將硬件驅(qū)動的零知識速商業(yè)化的最嚴格的嘗試，甚至比單片 FPGA 更進一步。為了獲得進一步的收益，像 Cysic 和 Ulvetanna 這樣的公司正在建立 FPGA 服務器和 FPGA 集群，結(jié)合多個 FPGA 提供額外的存儲器和可并行計算，以進一步加速證明生成。這些團隊的早期結(jié)果是有希望的： Cysic 聲稱他們的 FPGA 服務器在 MSM 比 Jump 的 FPGA 架構快 100 倍，在 NTT 比最知名的 GPU 實現(xiàn)快 13 倍。標準化的基準還沒有建立起來，但結(jié)果指向了重大改進。

ASIC 能夠為零知識證明生成提供絕對最高的性能。今天的 ZK ASIC 的問題是，他們正在為一個移動的目標進行優(yōu)化——零知識正在迅速發(fā)展。由于 ASIC 需要 1 - 2 年和 1000 - 2000 萬美元來生產(chǎn)，他們必須等到零知識已經(jīng)足夠穩(wěn)固，所生產(chǎn)的芯片不會很快被淘汰。另外，零知識證明的市場規(guī)模在未來幾年才變得足夠大，足以證明 ASIC 所需的資本投資是合理的。

FPGA 和 ASIC 之間有一個微妙的梯度。雖然 FPGA 是可編程的，但它們的芯片有不可編程的硬化部分。固化部件的性能比可編程的要高得多。隨著零知識市場的發(fā)展，像 Xilinx（AMD）和 Altera（Intel）這樣的 FPGA 公司可以生產(chǎn)新的 FPGA，嵌入專門為零知識證明中的常見操作設計的硬化組件。同樣，ASIC 也可以被設計成包括一些靈活性。例如，Cysic 未來計劃生產(chǎn)專門針對 MSM、NTT 和其他一般操作的 ASIC，同時保持靈活性以適應許多證明系統(tǒng)。

從長遠來看，ASIC 將提供最強大的零知識證明加速功能。在此之前，我們預計 FPGA 將服務于計算最密集的零知識用例，因為其可編程性使其能夠比 GPU 更快地執(zhí)行 NTT、MSM 和其他加密操作。對于某些應用，GPU 將提供性能和可及性之間最具吸引力的平衡。

結(jié)論

區(qū)塊鏈行業(yè)多年來一直在等待零知識證明為生產(chǎn)做好準備。這項技術已經(jīng)吸引了我們的想象力，承諾增強去中心化應用的可擴展性、隱私和互操作性。直到最近，該技術還不現(xiàn)實，主要是由于硬件限制和漫長的證明時間。這種情況正在迅速改變：零知識證明方案和硬件的進步正在解決 MSM 和 NTT 等計算瓶頸問題。有了更好的算法和更強大的硬件，我們可以將零知識證明加速到足以釋放其潛力，從而徹底改變 Web3。

鳴謝： 特別感謝 Brian Retford（RiscZero）、Leo Fan（Cysic）、Emanuele Cesena（Jump Crypto）、Mikhail Komarov（=nil; Foundation）、Anthony Rose（zkSync）、Will Wolf 和 Luke Pearson（Polychain），以及 Penumbra Labs 團隊的精彩討論和反饋，為本文做出了貢獻。

原文標題：Accelerating Zero-Knowledge Proofs

原文作者：Figment Capital

原文編譯：Lynn，MarsBit

來源：星球日報

熱點：pi