En los últimos años, la tendencia en el diseño del protocolo STARKs ha cambiado hacia el uso de campos más pequeños. Las primeras implementaciones de STARKs utilizaban campos de 256 bits, compatibles con firmas de curva elíptica, pero con menor eficiencia. Para mejorar la eficiencia, STARKs ha comenzado a utilizar campos más pequeños, como Goldilocks, Mersenne31 y BabyBear.
Esta transformación ha mejorado significativamente la velocidad de prueba. Por ejemplo, Starkware puede probar 620,000 hashes Poseidon2 por segundo en una computadora portátil M3. Esto significa que, siempre que se confíe en Poseidon2 como función hash, se puede resolver el problema de un ZK-EVM eficiente. Este artículo explorará cómo funcionan estas tecnologías, con un enfoque particular en la solución Circle STARKs.
Preguntas frecuentes sobre el uso de campos pequeños
En la prueba basada en hash, una técnica importante es validar indirectamente las propiedades del polinomio mediante la evaluación del polinomio en puntos aleatorios. Esto simplifica enormemente el proceso de prueba.
Por ejemplo, el sistema de pruebas puede requerir la generación de un compromiso del polinomio A, que satisfaga A^3(x) + x - A(ωx) = x^N. El protocolo puede requerir la selección de coordenadas aleatorias r y demostrar A(r) + r - A(ωr) = r^N.
Para prevenir ataques, es necesario elegir r después de que el atacante proporcione A. Esto es bastante simple en un campo de 256 bits, pero en campos pequeños solo hay alrededor de 2 mil millones de opciones para r, lo que podría permitir que el atacante lo descifre.
Hay dos soluciones:
Realizar múltiples inspecciones aleatorias
Campo extendido
La verificación múltiple es simple y efectiva, pero puede ser necesario aumentar el número de rondas para mejorar la seguridad. El dominio extendido es similar a un campo plural, pero se basa en un campo finito. Al introducir un nuevo valor α, se crea una estructura matemática más compleja, proporcionando más opciones.
Regular FRI
El primer paso del protocolo FRI es transformar el problema computacional en una ecuación polinómica P(X,Y,Z)=0. Luego se debe demostrar que el valor propuesto es un polinomio razonable y que su grado es finito.
FRI simplifica la verificación al reducir el problema de probar un polinomio de grado d a probar un polinomio de grado d/2. Este proceso se puede repetir varias veces, reduciendo el problema a la mitad cada vez.
Circle FRI
La ingeniosidad de Circle STARKs radica en que, para un número primo p, se puede encontrar un grupo de tamaño p que tiene una propiedad similar a la de un par de uno. Este grupo está compuesto por puntos que satisfacen ciertas condiciones, como el conjunto de puntos donde x^2 mod p es igual a un cierto valor.
Estos puntos siguen la regla de adición: (x1,y1) + (x2,y2) = (x1x2 - y1y2, x1y2 + x2y1)
La forma doble es: 2*(x,y) = (2x^2 - 1, 2xy)
El mapeo de Circle FRI cambia a partir de la segunda ronda:
f0(2x^2-1) = (F(x) + F(-x))/2
Este mapeo reduce el tamaño del conjunto a la mitad cada vez, x representa dos puntos: (x, y) y (x, -y). (x → 2x^2 - 1) es la regla de duplicación de puntos.
FFTs circulares
El grupo Circle también soporta FFT, y su método de construcción es similar al de FRI. Sin embargo, el objeto que maneja Circle FFT es el espacio de Riemann-Roch, y no un polinomio estricto.
Los coeficientes de Circle FFT son bases específicas: {1, y, x, xy, 2x^2 - 1, 2x^2y - y, 2x^3 - x, ...}
Los desarrolladores casi pueden ignorar este punto, solo necesitan almacenar el polinomio como un conjunto de valores de evaluación. FFT se utiliza principalmente para la expansión de bajo grado.
Cotejo
En el STARK del grupo circle, debido a la falta de una función lineal de punto único, se requieren técnicas diferentes para sustituir las operaciones comerciales tradicionales. Normalmente se necesita evaluar en dos puntos para demostrar, añadiendo un punto virtual.
Polinomios desaparecedores
El polinomio de desaparición en Circle STARK es:
Z1(x,y) = y
Z2(x,y) = x
Zn+1(x,y) = (2 * Zn(x,y)^2) - 1
Invertir el orden de los bits
En Circle STARKs, se necesita ajustar el orden inverso para reflejar la estructura de pliegue, es decir, invertir cada bit excepto el último, usando el último bit para determinar si se invierten los otros bits.
Eficiencia
Circle STARKs es muy eficiente, los cálculos generalmente implican:
Aritmética nativa de la lógica de negocio
La aritmética nativa de la criptografía ( como el hash Poseidon )
Buscar parámetros
Un campo del tamaño de 2^31 reduce el desperdicio de espacio. Binius es superior en el tamaño de campos mixtos, pero el concepto es más complejo.
Conclusión
Circle STARKs no son más complejos para los desarrolladores que los STARKs. Comprender su matemática requiere tiempo, pero la complejidad está bien oculta.
Combinando Mersenne31, BabyBear y tecnologías de campo binario, la eficiencia de la capa base de STARKs se acerca al límite. Las posibles direcciones de optimización futura pueden incluir:
Maximizar la eficiencia aritmética de funciones hash, etc.
Construcción recursiva para mejorar la paralelización
Máquina virtual aritmética para mejorar la experiencia de desarrollo
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
5
Republicar
Compartir
Comentar
0/400
RektRecorder
· hace15h
¿Aumentó tanto la velocidad? Impresionante.
Ver originalesResponder0
AirdropGrandpa
· hace15h
El rendimiento de los pequeños campos es realmente impresionante, me siento cómodo~
Ver originalesResponder0
MemeCoinSavant
· hace15h
alcista af en smol fields tbh
Ver originalesResponder0
FromMinerToFarmer
· hace15h
¿Puede este pequeño campo volar al cielo?
Ver originalesResponder0
OvertimeSquid
· hace16h
Esta mejora de eficiencia es un poco impresionante.
Circle STARKs: Campos pequeños mejoran la eficiencia Explorando un nuevo sistema de prueba ZK eficiente
Explorando Circle STARKs
En los últimos años, la tendencia en el diseño del protocolo STARKs ha cambiado hacia el uso de campos más pequeños. Las primeras implementaciones de STARKs utilizaban campos de 256 bits, compatibles con firmas de curva elíptica, pero con menor eficiencia. Para mejorar la eficiencia, STARKs ha comenzado a utilizar campos más pequeños, como Goldilocks, Mersenne31 y BabyBear.
Esta transformación ha mejorado significativamente la velocidad de prueba. Por ejemplo, Starkware puede probar 620,000 hashes Poseidon2 por segundo en una computadora portátil M3. Esto significa que, siempre que se confíe en Poseidon2 como función hash, se puede resolver el problema de un ZK-EVM eficiente. Este artículo explorará cómo funcionan estas tecnologías, con un enfoque particular en la solución Circle STARKs.
Preguntas frecuentes sobre el uso de campos pequeños
En la prueba basada en hash, una técnica importante es validar indirectamente las propiedades del polinomio mediante la evaluación del polinomio en puntos aleatorios. Esto simplifica enormemente el proceso de prueba.
Por ejemplo, el sistema de pruebas puede requerir la generación de un compromiso del polinomio A, que satisfaga A^3(x) + x - A(ωx) = x^N. El protocolo puede requerir la selección de coordenadas aleatorias r y demostrar A(r) + r - A(ωr) = r^N.
Para prevenir ataques, es necesario elegir r después de que el atacante proporcione A. Esto es bastante simple en un campo de 256 bits, pero en campos pequeños solo hay alrededor de 2 mil millones de opciones para r, lo que podría permitir que el atacante lo descifre.
Hay dos soluciones:
La verificación múltiple es simple y efectiva, pero puede ser necesario aumentar el número de rondas para mejorar la seguridad. El dominio extendido es similar a un campo plural, pero se basa en un campo finito. Al introducir un nuevo valor α, se crea una estructura matemática más compleja, proporcionando más opciones.
Regular FRI
El primer paso del protocolo FRI es transformar el problema computacional en una ecuación polinómica P(X,Y,Z)=0. Luego se debe demostrar que el valor propuesto es un polinomio razonable y que su grado es finito.
FRI simplifica la verificación al reducir el problema de probar un polinomio de grado d a probar un polinomio de grado d/2. Este proceso se puede repetir varias veces, reduciendo el problema a la mitad cada vez.
Circle FRI
La ingeniosidad de Circle STARKs radica en que, para un número primo p, se puede encontrar un grupo de tamaño p que tiene una propiedad similar a la de un par de uno. Este grupo está compuesto por puntos que satisfacen ciertas condiciones, como el conjunto de puntos donde x^2 mod p es igual a un cierto valor.
Estos puntos siguen la regla de adición: (x1,y1) + (x2,y2) = (x1x2 - y1y2, x1y2 + x2y1)
La forma doble es: 2*(x,y) = (2x^2 - 1, 2xy)
El mapeo de Circle FRI cambia a partir de la segunda ronda: f0(2x^2-1) = (F(x) + F(-x))/2
Este mapeo reduce el tamaño del conjunto a la mitad cada vez, x representa dos puntos: (x, y) y (x, -y). (x → 2x^2 - 1) es la regla de duplicación de puntos.
FFTs circulares
El grupo Circle también soporta FFT, y su método de construcción es similar al de FRI. Sin embargo, el objeto que maneja Circle FFT es el espacio de Riemann-Roch, y no un polinomio estricto.
Los coeficientes de Circle FFT son bases específicas: {1, y, x, xy, 2x^2 - 1, 2x^2y - y, 2x^3 - x, ...}
Los desarrolladores casi pueden ignorar este punto, solo necesitan almacenar el polinomio como un conjunto de valores de evaluación. FFT se utiliza principalmente para la expansión de bajo grado.
Cotejo
En el STARK del grupo circle, debido a la falta de una función lineal de punto único, se requieren técnicas diferentes para sustituir las operaciones comerciales tradicionales. Normalmente se necesita evaluar en dos puntos para demostrar, añadiendo un punto virtual.
Polinomios desaparecedores
El polinomio de desaparición en Circle STARK es: Z1(x,y) = y Z2(x,y) = x
Zn+1(x,y) = (2 * Zn(x,y)^2) - 1
Invertir el orden de los bits
En Circle STARKs, se necesita ajustar el orden inverso para reflejar la estructura de pliegue, es decir, invertir cada bit excepto el último, usando el último bit para determinar si se invierten los otros bits.
Eficiencia
Circle STARKs es muy eficiente, los cálculos generalmente implican:
Un campo del tamaño de 2^31 reduce el desperdicio de espacio. Binius es superior en el tamaño de campos mixtos, pero el concepto es más complejo.
Conclusión
Circle STARKs no son más complejos para los desarrolladores que los STARKs. Comprender su matemática requiere tiempo, pero la complejidad está bien oculta.
Combinando Mersenne31, BabyBear y tecnologías de campo binario, la eficiencia de la capa base de STARKs se acerca al límite. Las posibles direcciones de optimización futura pueden incluir: