คำอธิบายโดยละเอียดเกี่ยวกับข้อผูกมัดพหุนาม: จะเปลี่ยนรูปแบบ blockchain ทั้งหมดได้อย่างไร

W3.Hitchhiker

外部作者

2022-11-01 05:00

บทความนี้มีประมาณ 3928 คำ การอ่านทั้งหมดใช้เวลาประมาณ 6 นาที

เส้นทางการอัปเกรด ETH เกี่ยวข้องกับพันธะพหุนามอย่างไร สถานการณ์การใช้งานที่เฉพาะเจาะจงคื

ผู้แต่งต้นฉบับ: Xiang｜W3.Hitchhiker

บรรณาธิการต้นฉบับ: Evelyn｜W3.Hitchhiker

รายการรูปแบบความมุ่งมั่นพหุนามที่แตกต่างกัน

ในตารางด้านบน FRI เป็นรูปแบบความมุ่งมั่นแบบพหุนามที่นำมาใช้โดย Starkware ซึ่งสามารถบรรลุความปลอดภัยระดับควอนตัมแต่จำนวนข้อมูลพิสูจน์มีมากที่สุด IPA เป็นรูปแบบความมุ่งมั่นแบบพหุนามเริ่มต้นของอัลกอริทึมปราศจากความรู้ Bulletproof และ Halo2 และ เวลาในการตรวจสอบค่อนข้างนาน มี Monero, zcash เป็นต้น และสองรายการแรกไม่ต้องการการตั้งค่าเริ่มต้นที่เชื่อถือได้

จะเห็นได้จากตัวเลขข้างต้นว่า KZG ความมุ่งมั่นพหุนามมีข้อได้เปรียบค่อนข้างมากในแง่ของขนาดการพิสูจน์และเวลาในการตรวจสอบ และความมุ่งมั่นของ KZG ยังเป็นวิธีการผูกมัดพหุนามที่ใช้กันอย่างแพร่หลายมากที่สุดในปัจจุบัน แต่ KZG ใช้เส้นโค้งวงรี ฟังก์ชันการจับคู่ และต้องการการตั้งค่าเริ่มต้นที่เชื่อถือได้

เชื่อมโยงเส้นทางการอัปเกรด ETH กับพันธสัญญาพหุนาม

ชื่อเรื่องรอง

The Merge：

ชื่อเรื่องรอง

The Surge：

ชื่อเรื่องรอง

The Verge：

ชื่อเรื่องรอง

The Purge：

ชื่อเรื่องรอง

The Splurge：

การประสานงานของสี่ส่วนที่แตกต่างกันหลังจากการอัปเกรดมีจุดมุ่งหมายเพื่อลดการเกิดข้อผิดพลาด (Bugs) และรับประกันการทำงานที่ราบรื่นของเครือข่าย เช่นเดียวกับการปรับปรุง EVM และการเพิ่มโมเดลการแยกบัญชี

ในหมู่พวกเขา การอัปเกรด The Surge จะใช้เทคโนโลยีการผูกมัดแบบพหุนามเพื่อให้ได้ฟังก์ชันการสุ่มตัวอย่างข้อมูล การอัปเกรด The Verge จะใช้การผูกมัดแบบพหุนามเพื่อปรับโครงสร้างข้อมูลให้เหมาะสม และ zkrollup ของ ETH L2 ยังใช้การผูกมัดแบบพหุนามเพื่อให้เกิดการขยายประสิทธิภาพซึ่งเกิดจากการพิสูจน์ความรู้ที่ไม่มีศูนย์

KZG Polynomial Commitment คืออะไร

บทความนี้แนะนำเฉพาะข้อผูกมัดพหุนาม KZG ที่เข้าใจกันดีเท่านั้น ข้อผูกมัดพหุนาม KZG (KZG พหุนามผูกมัด) หรือที่เรียกว่าโครงร่างพหุนามคาร์เตอร์ จัดพิมพ์โดย Kate, Zaverucha และ Goldberg ในรูปแบบพหุนาม ผู้พิสูจน์จะคำนวณความมุ่งมั่นของพหุนามและสามารถเปิด ณ จุดใดก็ได้ในพหุนาม แผนความมุ่งมั่นนี้สามารถพิสูจน์ได้ว่าค่าของพหุนาม ณ ตำแหน่งเฉพาะนั้นสอดคล้องกับค่าที่ระบุ

เรียกว่าความมุ่งมั่นเพราะเมื่อค่าความมุ่งมั่น (จุดบนเส้นโค้งวงรี) ถูกส่งไปยังวัตถุ (ตัวตรวจสอบ) ผู้พิสูจน์ไม่สามารถเปลี่ยนพหุนามที่กำลังคำนวณอยู่ได้ พวกเขาสามารถให้การพิสูจน์ที่ถูกต้องสำหรับพหุนามเท่านั้น เมื่อพยายามโกง พวกเขาไม่สามารถแสดงการพิสูจน์ได้ หรือผู้ตรวจสอบปฏิเสธการพิสูจน์

KZG หลักการทางคณิตศาสตร์

สำหรับรายละเอียด โปรดดูสิ่งที่ Dr. Qi Zhou อธิบายไว้ใน Dapp Learning เกี่ยวกับวิดีโอของ KZG。

ชื่อระดับแรก

ชื่อเรื่องรอง

หลักฐานเดียว

คาร์เตอร์พิสูจน์ว่าสูตรสำหรับข้อมูลเดียวอนุมานได้ดังนี้ เนื่องจากกลุ่มเส้นโค้งวงรีรองรับเฉพาะโฮโมมอร์ฟิซึ่มแบบบวกจึงไม่สามารถรองรับการคูณระหว่างพหุนามได้ จำเป็นต้องแก้ไขโดยการจับคู่ฟังก์ชัน

เนื่องจากกลุ่มเส้นโค้งวงรีไม่รองรับการคูณระหว่างพหุนาม จึงจำเป็นต้องใช้ฟังก์ชันจับคู่เพื่อแก้ปัญหา

หลักฐานแบทช์

สถานการณ์การใช้งานเฉพาะ

ทิศทางการประยุกต์ใช้ความมุ่งมั่นพหุนามสามารถสรุปได้เป็นสามประเภท

ความพร้อมใช้งานของข้อมูล (การอัปเกรด ETH Surge, ETH darksharding, การลดต้นทุน L2, ความพร้อมใช้งานของข้อมูลโมดูลาร์โครงการ Avails)
การเพิ่มประสิทธิภาพโครงสร้างข้อมูล (ทรี MPT เปลี่ยนเป็นทรี Verkle, การอัปเกรด ETH Verge, ไคลเอนต์ไร้สถานะ, โหนดการตรวจสอบน้ำหนักเบาสำหรับ ETH)
ระบบพิสูจน์ความรู้เป็นศูนย์ (Zksync, Zkswap, Scroll, PSE ให้ Zk ในรูปแบบความมุ่งมั่นแบบพหุนามซึ่งช่วยเพิ่มความสามารถในการขยายของห่วงโซ่ได้อย่างมาก)

1. ความพร้อมใช้งานของข้อมูล

DAS (การสุ่มตัวอย่างความพร้อมใช้งานของข้อมูล)

จุดประสงค์หลัก: หากข้อมูลหายไป ข้อมูลจะไม่ผ่านการตรวจสอบเฉพาะจุดของโหนดส่วนใหญ่

พยายามอย่างเต็มที่: ใช้แบนด์วิธน้อยลง และต้องการการคำนวณน้อยลงในระหว่างขั้นตอนการสุ่มตัวอย่าง

รหัสลบ (เซเลสเทีย)

การเข้ารหัสการลบจะเพิ่มบล็อคข้อมูลเพิ่มเติม ซึ่งสามารถตรวจพบได้ง่ายโดยการตรวจสอบเฉพาะจุด ซึ่งจะช่วยปรับปรุงความปลอดภัย

ยกตัวอย่างจากภาพด้านบน มีข้อมูล 4 ข้อมูล สามารถสุ่มตัวอย่างได้ครั้งละหนึ่งข้อมูลเท่านั้น สมมติว่าข้อมูลหนึ่งมีปัญหา ความน่าจะเป็นที่ผู้ใช้แต่ละคนพบข้อผิดพลาดคือ 1/4 แต่หลังจากเพิ่มข้อมูลสองข้อมูล บล็อก, ยังคงมีปัญหากับข้อมูลเดียว, การสุ่มตัวอย่างผู้ใช้ ความน่าจะเป็นของการค้นพบอาจสูงถึง 1/2 (3/6) สิ่งนี้ช่วยเพิ่มความปลอดภัยอย่างมาก

KZG ยังสามารถใช้รหัสลบโดยใช้สูตร Lagrangian:

ตัวอย่างเช่น ใส่ (0,3), (1,6) ลงในสูตร y=3x+3

y1, y2 สามารถเข้าใจได้ว่าเป็นข้อมูลที่จะบันทึก

จุดที่สอดคล้องกัน (2,8) (3,12) และอื่น ๆ ซึ่งค่า y สามารถใช้เป็นข้อมูลรหัสลบได้ และจุดสองจุดใด ๆ ก็ได้มาจากค่าสัมประสิทธิ์ของสูตรพหุนามดั้งเดิม

องค์ประกอบของรายการความพร้อมใช้งานของข้อมูลที่แตกต่างกัน

Celestia = Tendermint (จักรวาล) + รหัสลบ 2 มิติ + หลักฐานการฉ้อโกง + ต้นไม้เนมสเปซ Merkle Tree + โครงสร้างพื้นฐาน IPFS (IPFS Blockstore สำหรับการจัดเก็บข้อมูล, Libp2p และ Bitswap ของ IPFS สำหรับเครือข่ายการส่งข้อมูล, Ipld ของ IPFS สำหรับโมเดลข้อมูล)

รูปหลายเหลี่ยมที่มีจำหน่าย = วัสดุพิมพ์ (Polkadot) + รหัสลบ 2 มิติ + ความมุ่งมั่นพหุนาม KZG + โครงสร้างพื้นฐาน IPFS

ETHprotoDankSharding = ข้อมูล Blobs (ที่เก็บข้อมูลสำหรับความพร้อมใช้งานของข้อมูล แทนที่ข้อมูลการโทรที่มีอยู่) + รหัสการลบ 2 มิติ + ความมุ่งมั่นพหุนาม KZG (กำลังพิจารณาวางแผนยังอยู่ระหว่างการหารือ) + โครงสร้างพื้นฐาน ETH

การอัปเกรด EIP-4844 จะแนะนำ "proto-danksharding" และเพิ่มประเภทธุรกรรม blob (EIP-4844) ในการอัปเกรด Ethereum fork ถัดไปหลังจากการผสาน ซึ่งคาดว่าจะปรับปรุงความสามารถในการปรับขนาดของเลเยอร์ที่ 2 Rollup ในขณะที่ปูทาง เพื่อการแตกย่อยที่สมบูรณ์

Blob Transaction

เพิ่มประเภทธุรกรรมใหม่ที่มีพื้นที่เก็บข้อมูลเพิ่มเติม - Blobs
Blobs เริ่มต้นด้วยพื้นที่จัดเก็บเพียง 128 KiB
(1) การทำธุรกรรมประกอบด้วย 2 blobs ซึ่งเท่ากับ 256 KiB
(2) บล็อกมีมากถึง 16 หรือ 2 MiB เป้าหมายคือ 8 หรือ 1 MiB (ขยายได้)
Blob ใช้ KZG Commitment Hash เป็นแฮชสำหรับการตรวจสอบข้อมูล ซึ่งคล้ายกับ Merkle
หลังจากที่โหนดซิงโครไนซ์ธุรกรรม blob บนเชนแล้ว ส่วนของ blob จะถูกลบหลังจากช่วงเวลาหนึ่ง

L2 จำเป็นต้องอัปเดตสัญญาปัจจุบันใน L1 เพื่อรองรับ DankSharding

Celestia ดำเนินการผ่านการพิสูจน์การฉ้อโกง เมื่อพยานพบว่าข้อมูลไม่ได้ถูกลบอย่างถูกต้อง บุคคลนั้นจะส่งหลักฐานการฉ้อโกงเพื่อแจ้งเตือนไปยังโหนดอื่นๆ แต่มีข้อสันนิษฐานขั้นต่ำเกี่ยวกับความซื่อสัตย์ (เชื่อมต่อกับโหนดที่ซื่อสัตย์อย่างน้อยหนึ่งโหนด) และข้อสันนิษฐานในการซิงโครไนซ์ (เมื่อมีคนส่งหลักฐานการฉ้อโกงมาให้ฉัน ฉันต้องแน่ใจว่าฉันได้รับแจ้งภายในระยะเวลาหนึ่ง)

หลังจาก protoDanksharding แล้ว Ethereum และ Polygon Avail ใช้วิธีของ KZG polynomial Commitment (KZG Commitment)

แบบแผนความมุ่งมั่นพหุนามของ KZG นั้นเหนือกว่าแบบแผนการป้องกันการฉ้อโกงในทางทฤษฎี โดยมีความต้องการแบนด์วิธที่น้อยกว่าและการคำนวณที่จำเป็นสำหรับการสุ่มตัวอย่างน้อยกว่า และยังกำจัดสมมติฐานด้านความปลอดภัยในการพิสูจน์การฉ้อโกง รวมถึงสมมติฐานที่ซื่อสัตย์และสมมติฐานการซิงโครไนซ์ ในอนาคต ETH ยังตั้งใจที่จะแนะนำการเข้ารหัสต่อต้านหลังควอนตัม (อ้างอิงถึงสิ้นเชิง ซึ่งใช้แฮชแทนการใช้เส้นโค้งวงรีเป็นพื้นฐาน) เพื่อหลีกเลี่ยงการโจมตีคอมพิวเตอร์ควอนตัม

2. การเพิ่มประสิทธิภาพโครงสร้างข้อมูล Verkle Tree

แนวคิดของ Verkle Tree เปิดตัวในปี 2018 ในฐานะที่เป็นส่วนสำคัญของการอัปเกรด ETH เมื่อเทียบกับ Merkle Tree ทำให้ขนาดของ Proof ดีขึ้นอย่างมาก สำหรับข้อมูลในระดับพันล้าน การพิสูจน์ของ Merkle Tree นั้นเกี่ยวกับความต้องการ 1kB และสำหรับ Verkle Tree จะน้อยกว่า 150Bytes

เช่นเดียวกับ Merkle Tree Verkle Tree สามารถใช้ Proof of Inclusion (PoI) ได้ และมีเพียงรากและข้อมูลของ KZG เท่านั้นที่สามารถตรวจสอบได้โดยไม่ต้องพิสูจน์เพิ่มเติม ซึ่งช่วยประหยัดแบนด์วิธ

1. ข้อกำหนด: ลูกค้าไร้สัญชาติ

(1) โหนดไม่ได้จัดเก็บ State Tree ที่สมบูรณ์ และได้รับเฉพาะ State ที่จำเป็นในการตรวจสอบ Block

（2）Portal Network

(3) มีข้อกำหนดด้านประสิทธิภาพที่สูงขึ้นสำหรับ PoI ของ State Tree

2. ตรวจสอบความพร้อมของข้อมูลKZG commitment

แต่ละใบเป็นจุดบนพหุนาม
การพิสูจน์ขนาดคงที่ ไม่เกี่ยวกับจำนวนใบ

3.Verkle Tree

การสร้างการพิสูจน์ในโครงสร้างแบบต่างๆ การปรับปรุงการพิสูจน์ และความซับซ้อนที่จำเป็นสำหรับการพิสูจน์:

แผน Verkle ไม่ต้องการไคลเอนต์ Ethereum เพื่อดาวน์โหลดข้อมูลสถานะที่สมบูรณ์ ทำให้เป็นไปได้สำหรับโหนดตรวจสอบความถูกต้องของ ETH (แม้กระทั่งรองรับการทำงานของโทรศัพท์มือถือ), ความมุ่งมั่นแบบพหุนาม (แผนความมุ่งมั่นแบบพหุนามของต้นไม้ Verkle, KZG พิจารณาในระยะแรก และ IPA ยังได้รับการพิจารณาในอนาคตอันใกล้) ) จำเป็นต้องพิสูจน์ว่าความซับซ้อนของพื้นที่ลดลงอย่างมาก และความต้องการแบนด์วิธก็ลดลงอย่างมากเช่นกัน

3. ระบบพิสูจน์ความรู้เป็นศูนย์

เทคนิค zk รุ่นแรก (Groth16) อยู่ในหมวดหมู่ PCP เชิงเส้น นอกจากต้องการการตั้งค่าที่เชื่อถือได้แล้ว ข้อเสียหลักก็คือ หากต้องมีการพิสูจน์สำหรับการคำนวณที่แตกต่างกัน (วงจร/โพลิโนเมียลที่แตกต่างกัน) จำเป็นต้องมีการตั้งค่าใหม่ คลาส PIOP ของเทคโนโลยี zk ล่าสุดรองรับการตั้งค่าเริ่มต้นแบบทั่วไปและการตั้งค่าแบบโปร่งใส (ไม่จำเป็นต้องมีการสันนิษฐานที่เชื่อถือได้)

ระบบพิสูจน์ zk ใหม่มักจะอธิบายได้ว่าเป็น PIOP (Polynomial Interactive Oracle Proof) + PCS (Polynomial Commitment Scheme) โปรแกรมแรกอาจถูกมองว่าเป็นโปรแกรมที่ตกลงกันโดยผู้พิสูจน์เพื่อโน้มน้าวใจผู้ตรวจสอบ ในขณะที่โปรแกรมหลังใช้วิธีทางคณิตศาสตร์เพื่อให้แน่ใจว่าโปรแกรมจะไม่เสียหาย ฝ่ายโครงการสามารถแก้ไข PIOP ได้ตามต้องการ และสามารถเลือกระหว่าง PCS ต่างๆ ได้

จากรูปภาพในบทความของ Amber เราจะเห็นว่าโครงการเครือข่ายสาธารณะส่วนใหญ่ของ zk ใช้รูปแบบ KZG รวมถึง Ploygon Hermez, Scoll, Zksync2.0, Aztec, Aleo, Manta และ PSE (ทีมความเป็นส่วนตัวและการสำรวจ) ที่สนับสนุนโดย Ethereum มูลนิธิ นอกจากนี้ยังใช้รูปแบบ KZG Starknet, Risc0 และ Polygon Miden ใช้รูปแบบ FRI และ Polygon Zkvm (Hermez) เป็นการรวมกันของ FRI และ KZG

เป็นมูลค่าการกล่าวขวัญว่าระบบพิสูจน์ความรู้เป็นศูนย์ใหม่บางระบบรองรับการสลับโครงร่างข้อผูกมัดพหุนาม และ KZG ยังสามารถเปลี่ยนไปใช้โครงร่างข้อผูกมัดพหุนามอื่นๆ ได้ในอนาคต

ลิงค์ต้นฉบับ

ETH

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily

กลุ่มสมาชิก

https://t.me/Odaily_News

กลุ่มสนทนา

https://t.me/Odaily_CryptoPunk

บัญชีทางการ

https://twitter.com/OdailyChina