Nos últimos anos, a tendência de design do protocolo STARKs tem sido a direção do uso de campos menores. As primeiras implementações de STARKs utilizavam campos de 256 bits, mas esse design apresentava baixa eficiência. Para resolver esse problema, os STARKs começaram a usar campos menores, como Goldilocks, Mersenne31 e BabyBear.
Esta mudança melhorou significativamente a velocidade de prova. Por exemplo, a Starkware consegue provar 620.000 valores de hash Poseidon2 por segundo em um notebook M3. Isso significa que, desde que se confie no Poseidon2 como função de hash, o problema do ZK-EVM eficiente pode ser resolvido.
Este artigo irá explorar como estas tecnologias funcionam, com foco especial na solução Circle STARKs, que é compatível com o campo Mersenne31.
Perguntas frequentes sobre o uso de pequenos campos
Ao criar provas baseadas em hash, uma técnica importante é validar indiretamente as propriedades do polinômio através da avaliação do polinômio em pontos aleatórios. Isso simplifica muito o processo de prova.
Para prevenir ataques, precisamos escolher pontos aleatórios somente após o atacante fornecer o polinómio. Em campos de 256 bits, isso é simples, mas em campos pequenos, os valores aleatórios disponíveis são muito escassos, tornando-os vulneráveis a ataques de força bruta.
Existem duas soluções:
Realizar múltiplas inspeções aleatórias
Campo de extensão
Várias verificações aleatórias são simples e eficazes, mas têm eficiência relativamente baixa. Campos de extensão são semelhantes a múltiplos e permitem operações mais complexas em campos finitos.
FRI Regular
O primeiro passo do protocolo FRI é transformar o problema computacional em uma equação polinomial. Em seguida, prova-se que a solução polinomial proposta realmente satisfaz a equação e que o grau não excede o requerido.
FRI valida ao simplificar o problema de provar que o grau do polinómio é d para o problema de provar que o grau é d/2. Este processo pode ser repetido várias vezes, cada vez simplificando o problema pela metade.
A chave do FRI é usar um mapeamento de dois para um para reduzir o tamanho do conjunto de dados pela metade. Esse mapeamento precisa ser aplicável repetidamente, até que reste apenas um valor.
Circle FRI
A genialidade dos STARKs circulares reside no fato de que, para um primo p, é possível encontrar um grupo de tamanho p, com uma propriedade de dois para um semelhante. Este grupo é composto por pontos que satisfazem condições específicas.
Esses pontos seguem uma regra de adição, semelhante às funções trigonométricas ou à multiplicação de números complexos.
A partir da segunda rodada, a mapeação muda. Cada x representa dois pontos: (x,y) e (x,-y). (x → 2x^2 - 1) é a regra de multiplicação de pontos.
FFTs Circulares
O grupo Circle também suporta FFT, com um método de construção semelhante ao FRI. No entanto, o objeto tratado pelo Circle FFT não é um polinômio em sentido estrito, mas sim o espaço de Riemann-Roch.
Como desenvolvedor, você pode ignorar quase todos esses detalhes. Basta armazenar o polinômio como valor de avaliação e usar FFT quando precisar de baixa escalabilidade.
Quotienting
No STARK do grupo circle, devido à falta de uma função linear de ponto único, é necessário usar diferentes técnicas para substituir a operação comercial tradicional.
Provamos adicionar um ponto virtual, avaliando em dois pontos.
Polinômios desaparecentes
No STARK circular, o polinômio de desaparecimento é:
Z_1(x,y) = y
Z_2(x,y) = x
Z_{n+1}(x,y) = (2 * Z_n(x,y)^2) - 1
Inverter a ordem dos bits
Nas STARKs, a avaliação de polinômios é geralmente organizada em ordem inversa. Nos Circle STARKs, é necessário ajustar essa ordenação para refletir sua estrutura de dobra especial.
Eficiência
Os STARKs em círculo são muito eficientes. A chave é tirar o máximo proveito do espaço disponível no rastreio computacional para realizar trabalho útil, sem deixar muito espaço livre.
Em comparação com a Binius, o conceito de Circle STARKs é mais simples, mas a eficiência é ligeiramente inferior.
Conclusão
Os STARKs da Circle não são mais complexos para os desenvolvedores do que os STARKs convencionais. Compreender o FRI da Circle e os FFTs ajuda a entender outros FFTs especiais.
O futuro da otimização STARK pode se concentrar em:
Maximizar a eficiência de funções hash e outros primitivos criptográficos básicos
Construção recursiva para aumentar a paralelização
Máquina virtual aritmética para melhorar a experiência de desenvolvimento
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
6
Republicar
Partilhar
Comentar
0/400
HalfPositionRunner
· 5h atrás
620k por segundo bull
Ver originalResponder0
CountdownToBroke
· 5h atrás
Esta velocidade está bull! Bombear ao máximo.
Ver originalResponder0
LiquidityWitch
· 5h atrás
Ah, não é à toa que é o velho Stark, é assim que se faz.
Ver originalResponder0
NotAFinancialAdvice
· 5h atrás
Não consigo entender nada, só entendo o que dizem rapidamente depois.
Ver originalResponder0
HashBrownies
· 5h atrás
Pequeno é rápido, todo o círculo de encriptação precisa acelerar.
Ver originalResponder0
BoredWatcher
· 6h atrás
Brinquei com L2 por alguns anos e ainda não entendi essas tecnologias.
Circle STARKs: Uma nova solução para melhorar a eficiência das provas ZK com pequenos campos
Explorar Circle STARKs
Nos últimos anos, a tendência de design do protocolo STARKs tem sido a direção do uso de campos menores. As primeiras implementações de STARKs utilizavam campos de 256 bits, mas esse design apresentava baixa eficiência. Para resolver esse problema, os STARKs começaram a usar campos menores, como Goldilocks, Mersenne31 e BabyBear.
Esta mudança melhorou significativamente a velocidade de prova. Por exemplo, a Starkware consegue provar 620.000 valores de hash Poseidon2 por segundo em um notebook M3. Isso significa que, desde que se confie no Poseidon2 como função de hash, o problema do ZK-EVM eficiente pode ser resolvido.
Este artigo irá explorar como estas tecnologias funcionam, com foco especial na solução Circle STARKs, que é compatível com o campo Mersenne31.
Perguntas frequentes sobre o uso de pequenos campos
Ao criar provas baseadas em hash, uma técnica importante é validar indiretamente as propriedades do polinômio através da avaliação do polinômio em pontos aleatórios. Isso simplifica muito o processo de prova.
Para prevenir ataques, precisamos escolher pontos aleatórios somente após o atacante fornecer o polinómio. Em campos de 256 bits, isso é simples, mas em campos pequenos, os valores aleatórios disponíveis são muito escassos, tornando-os vulneráveis a ataques de força bruta.
Existem duas soluções:
Várias verificações aleatórias são simples e eficazes, mas têm eficiência relativamente baixa. Campos de extensão são semelhantes a múltiplos e permitem operações mais complexas em campos finitos.
FRI Regular
O primeiro passo do protocolo FRI é transformar o problema computacional em uma equação polinomial. Em seguida, prova-se que a solução polinomial proposta realmente satisfaz a equação e que o grau não excede o requerido.
FRI valida ao simplificar o problema de provar que o grau do polinómio é d para o problema de provar que o grau é d/2. Este processo pode ser repetido várias vezes, cada vez simplificando o problema pela metade.
A chave do FRI é usar um mapeamento de dois para um para reduzir o tamanho do conjunto de dados pela metade. Esse mapeamento precisa ser aplicável repetidamente, até que reste apenas um valor.
Circle FRI
A genialidade dos STARKs circulares reside no fato de que, para um primo p, é possível encontrar um grupo de tamanho p, com uma propriedade de dois para um semelhante. Este grupo é composto por pontos que satisfazem condições específicas.
Esses pontos seguem uma regra de adição, semelhante às funções trigonométricas ou à multiplicação de números complexos.
A partir da segunda rodada, a mapeação muda. Cada x representa dois pontos: (x,y) e (x,-y). (x → 2x^2 - 1) é a regra de multiplicação de pontos.
FFTs Circulares
O grupo Circle também suporta FFT, com um método de construção semelhante ao FRI. No entanto, o objeto tratado pelo Circle FFT não é um polinômio em sentido estrito, mas sim o espaço de Riemann-Roch.
Como desenvolvedor, você pode ignorar quase todos esses detalhes. Basta armazenar o polinômio como valor de avaliação e usar FFT quando precisar de baixa escalabilidade.
Quotienting
No STARK do grupo circle, devido à falta de uma função linear de ponto único, é necessário usar diferentes técnicas para substituir a operação comercial tradicional.
Provamos adicionar um ponto virtual, avaliando em dois pontos.
Polinômios desaparecentes
No STARK circular, o polinômio de desaparecimento é:
Z_1(x,y) = y Z_2(x,y) = x
Z_{n+1}(x,y) = (2 * Z_n(x,y)^2) - 1
Inverter a ordem dos bits
Nas STARKs, a avaliação de polinômios é geralmente organizada em ordem inversa. Nos Circle STARKs, é necessário ajustar essa ordenação para refletir sua estrutura de dobra especial.
Eficiência
Os STARKs em círculo são muito eficientes. A chave é tirar o máximo proveito do espaço disponível no rastreio computacional para realizar trabalho útil, sem deixar muito espaço livre.
Em comparação com a Binius, o conceito de Circle STARKs é mais simples, mas a eficiência é ligeiramente inferior.
Conclusão
Os STARKs da Circle não são mais complexos para os desenvolvedores do que os STARKs convencionais. Compreender o FRI da Circle e os FFTs ajuda a entender outros FFTs especiais.
O futuro da otimização STARK pode se concentrar em: