Ces dernières années, la tendance de conception des protocoles STARKs s'est orientée vers l'utilisation de champs plus petits. Les premières implémentations de STARKs utilisaient des champs de 256 bits, compatibles avec les signatures à courbe elliptique, mais moins efficaces. Pour améliorer l'efficacité, les STARKs ont commencé à utiliser des champs plus petits, tels que Goldilocks, Mersenne31 et BabyBear.
Cette transformation a considérablement amélioré la vitesse de preuve. Par exemple, Starkware peut prouver 620 000 hachages Poseidon2 par seconde sur un ordinateur portable M3. Cela signifie que tant que l'on fait confiance à Poseidon2 en tant que fonction de hachage, le problème de l'efficacité du ZK-EVM peut être résolu. Cet article examinera le fonctionnement de ces technologies, en se concentrant particulièrement sur la solution Circle STARKs.
Questions fréquentes sur l'utilisation des petits champs
Dans la preuve basée sur le hachage, une technique importante consiste à valider indirectement les propriétés des polynômes par l'évaluation des polynômes en des points aléatoires. Cela simplifie considérablement le processus de preuve.
Par exemple, le système de preuve peut exiger la génération d'un engagement du polynôme A, satisfaisant A^3(x) + x - A(ωx) = x^N. Le protocole peut exiger de choisir des coordonnées aléatoires r et de prouver A(r) + r - A(ωr) = r^N.
Pour prévenir les attaques, il est nécessaire de choisir r après que l'attaquant a fourni A. Dans un champ de 256 bits, cela est simple, mais dans de petits champs, il n'y a qu'environ 2 milliards de choix pour r, ce qui pourrait permettre à l'attaquant de le casser.
Il existe deux solutions :
Effectuer plusieurs contrôles aléatoires
Champs d'extension
Une vérification répétée est simple et efficace, mais il peut être nécessaire d'augmenter le nombre de tours pour améliorer la sécurité. L'extension de domaine est similaire à celle des nombres complexes, mais elle est basée sur des corps finis. En introduisant une nouvelle valeur α, on crée des structures mathématiques plus complexes, offrant ainsi plus d'options.
FRI régulier
La première étape du protocole FRI consiste à transformer le problème de calcul en une équation polynomiale P(X,Y,Z)=0. Ensuite, il faut prouver que les valeurs proposées sont des polynômes raisonnables et de degré fini.
FRI simplifie la vérification en réduisant le problème de prouver que le degré du polynôme est d à celui de prouver que le degré est d/2. Ce processus peut être répété plusieurs fois, chaque fois en simplifiant le problème de moitié.
Circle FRI
La subtilité des STARKs circulaires réside dans le fait qu'il est possible de trouver un groupe de taille p pour un nombre premier p, qui possède une caractéristique similaire à celle d'une fonction deux pour un. Ce groupe est composé de points satisfaisant certaines conditions, comme l'ensemble des points pour lesquels x^2 mod p est égal à une certaine valeur.
Ces points suivent la règle de l'addition : (x1,y1) + (x2,y2) = (x1x2 - y1y2, x1y2 + x2y1)
La forme double est : 2*(x,y) = (2x^2 - 1, 2xy)
Le mapping de Circle FRI commence à changer à partir du deuxième tour :
f0(2x^2-1) = (F(x) + F(-x))/2
Cette correspondance réduit à chaque fois la taille de l'ensemble de moitié, x représentant deux points : (x, y) et (x, -y). (x → 2x^2 - 1) est la règle de doublement des points.
FFTs circulaires
Le groupe Circle prend également en charge le FFT, avec une méthode de construction similaire à celle du FRI. Cependant, le FFT de Circle traite des espaces de Riemann-Roch, et non des polynômes stricts.
Les coefficients de Circle FFT sont une base spécifique : {1, y, x, xy, 2x^2 - 1, 2x^2y - y, 2x^3 - x, ...}
Les développeurs peuvent presque ignorer ce point, il leur suffit de stocker le polynôme comme un ensemble de valeurs d'évaluation. La FFT est principalement utilisée pour une faible expansion.
Quotienting
Dans le STARK du groupe circle, en raison de l'absence de fonction linéaire à point unique, il est nécessaire d'utiliser différentes techniques pour remplacer l'opération commerciale traditionnelle. Il est généralement nécessaire d'évaluer à deux points pour prouver, en ajoutant un point virtuel.
Polynômes disparus
Le polynôme d'oubli dans le cercle STARK est :
Z1(x,y) = y
Z2(x,y) = x
Zn+1(x,y) = (2 * Zn(x,y)^2) - 1
Inverser l'ordre des bits
Dans Circle STARKs, il est nécessaire d'ajuster l'ordre inverse pour refléter la structure pliée, c'est-à-dire d'inverser chaque bit sauf le dernier, en utilisant le dernier bit pour décider s'il faut inverser les autres bits.
Efficacité
Circle STARKs est très efficace, le calcul implique généralement :
L'arithmétique native de la logique métier
L'arithmétique native de la cryptographie ( comme le hachage Poseidon )
Recherche des paramètres
Le champ de taille 2^31 réduit le gaspillage d'espace. Binius est meilleur en termes de taille de champ mixte, mais le concept est plus complexe.
Conclusion
Circle STARKs n'est pas plus complexe pour les développeurs que les STARKs. Comprendre les mathématiques nécessite du temps, mais la complexité est bien cachée.
En combinant Mersenne31, BabyBear et la technologie des champs binaires, l'efficacité de la couche de base STARKs est proche de la limite. Les directions d'optimisation futures pourraient inclure :
Maximiser l'efficacité arithmétique des fonctions de hachage, etc.
Construction récursive pour améliorer la parallélisation
Machine virtuelle arithmétique pour améliorer l'expérience développeur
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
5
Reposter
Partager
Commentaire
0/400
RektRecorder
· Il y a 14h
Une telle augmentation de la vitesse ? C'est impressionnant.
Voir l'originalRépondre0
AirdropGrandpa
· Il y a 14h
Les petites performances des champs sont vraiment au top, c'est agréable~
Voir l'originalRépondre0
MemeCoinSavant
· Il y a 14h
haussier af sur smol fields tbh
Voir l'originalRépondre0
FromMinerToFarmer
· Il y a 14h
Poulet, est-ce que ce petit champ peut monter au ciel ?
Voir l'originalRépondre0
OvertimeSquid
· Il y a 14h
Cette amélioration de l'efficacité est vraiment impressionnante.
Circle STARKs : des champs réduits pour améliorer l'efficacité, explorer un nouveau système de preuve ZK efficace.
Explorer Circle STARKs
Ces dernières années, la tendance de conception des protocoles STARKs s'est orientée vers l'utilisation de champs plus petits. Les premières implémentations de STARKs utilisaient des champs de 256 bits, compatibles avec les signatures à courbe elliptique, mais moins efficaces. Pour améliorer l'efficacité, les STARKs ont commencé à utiliser des champs plus petits, tels que Goldilocks, Mersenne31 et BabyBear.
Cette transformation a considérablement amélioré la vitesse de preuve. Par exemple, Starkware peut prouver 620 000 hachages Poseidon2 par seconde sur un ordinateur portable M3. Cela signifie que tant que l'on fait confiance à Poseidon2 en tant que fonction de hachage, le problème de l'efficacité du ZK-EVM peut être résolu. Cet article examinera le fonctionnement de ces technologies, en se concentrant particulièrement sur la solution Circle STARKs.
Questions fréquentes sur l'utilisation des petits champs
Dans la preuve basée sur le hachage, une technique importante consiste à valider indirectement les propriétés des polynômes par l'évaluation des polynômes en des points aléatoires. Cela simplifie considérablement le processus de preuve.
Par exemple, le système de preuve peut exiger la génération d'un engagement du polynôme A, satisfaisant A^3(x) + x - A(ωx) = x^N. Le protocole peut exiger de choisir des coordonnées aléatoires r et de prouver A(r) + r - A(ωr) = r^N.
Pour prévenir les attaques, il est nécessaire de choisir r après que l'attaquant a fourni A. Dans un champ de 256 bits, cela est simple, mais dans de petits champs, il n'y a qu'environ 2 milliards de choix pour r, ce qui pourrait permettre à l'attaquant de le casser.
Il existe deux solutions :
Une vérification répétée est simple et efficace, mais il peut être nécessaire d'augmenter le nombre de tours pour améliorer la sécurité. L'extension de domaine est similaire à celle des nombres complexes, mais elle est basée sur des corps finis. En introduisant une nouvelle valeur α, on crée des structures mathématiques plus complexes, offrant ainsi plus d'options.
FRI régulier
La première étape du protocole FRI consiste à transformer le problème de calcul en une équation polynomiale P(X,Y,Z)=0. Ensuite, il faut prouver que les valeurs proposées sont des polynômes raisonnables et de degré fini.
FRI simplifie la vérification en réduisant le problème de prouver que le degré du polynôme est d à celui de prouver que le degré est d/2. Ce processus peut être répété plusieurs fois, chaque fois en simplifiant le problème de moitié.
Circle FRI
La subtilité des STARKs circulaires réside dans le fait qu'il est possible de trouver un groupe de taille p pour un nombre premier p, qui possède une caractéristique similaire à celle d'une fonction deux pour un. Ce groupe est composé de points satisfaisant certaines conditions, comme l'ensemble des points pour lesquels x^2 mod p est égal à une certaine valeur.
Ces points suivent la règle de l'addition : (x1,y1) + (x2,y2) = (x1x2 - y1y2, x1y2 + x2y1)
La forme double est : 2*(x,y) = (2x^2 - 1, 2xy)
Le mapping de Circle FRI commence à changer à partir du deuxième tour : f0(2x^2-1) = (F(x) + F(-x))/2
Cette correspondance réduit à chaque fois la taille de l'ensemble de moitié, x représentant deux points : (x, y) et (x, -y). (x → 2x^2 - 1) est la règle de doublement des points.
FFTs circulaires
Le groupe Circle prend également en charge le FFT, avec une méthode de construction similaire à celle du FRI. Cependant, le FFT de Circle traite des espaces de Riemann-Roch, et non des polynômes stricts.
Les coefficients de Circle FFT sont une base spécifique : {1, y, x, xy, 2x^2 - 1, 2x^2y - y, 2x^3 - x, ...}
Les développeurs peuvent presque ignorer ce point, il leur suffit de stocker le polynôme comme un ensemble de valeurs d'évaluation. La FFT est principalement utilisée pour une faible expansion.
Quotienting
Dans le STARK du groupe circle, en raison de l'absence de fonction linéaire à point unique, il est nécessaire d'utiliser différentes techniques pour remplacer l'opération commerciale traditionnelle. Il est généralement nécessaire d'évaluer à deux points pour prouver, en ajoutant un point virtuel.
Polynômes disparus
Le polynôme d'oubli dans le cercle STARK est : Z1(x,y) = y Z2(x,y) = x
Zn+1(x,y) = (2 * Zn(x,y)^2) - 1
Inverser l'ordre des bits
Dans Circle STARKs, il est nécessaire d'ajuster l'ordre inverse pour refléter la structure pliée, c'est-à-dire d'inverser chaque bit sauf le dernier, en utilisant le dernier bit pour décider s'il faut inverser les autres bits.
Efficacité
Circle STARKs est très efficace, le calcul implique généralement :
Le champ de taille 2^31 réduit le gaspillage d'espace. Binius est meilleur en termes de taille de champ mixte, mais le concept est plus complexe.
Conclusion
Circle STARKs n'est pas plus complexe pour les développeurs que les STARKs. Comprendre les mathématiques nécessite du temps, mais la complexité est bien cachée.
En combinant Mersenne31, BabyBear et la technologie des champs binaires, l'efficacité de la couche de base STARKs est proche de la limite. Les directions d'optimisation futures pourraient inclure :