スタンフォードブロックチェーンクラブ:ゼロ知識証明にもムーアの法則が存在し、1秒あたりに生成される証明の数は毎年倍増している
TechFlow厳選深潮セレクト
スタンフォードブロックチェーンクラブ:ゼロ知識証明にもムーアの法則が存在し、1秒あたりに生成される証明の数は毎年倍増している
今後数年以内に、毎秒生成される証明の数は2倍以上になり、その後、基盤となる汎用計算性能の向上に漸近的に近づいていく。
Web3業界の深掘り報道に専念し潮流を洞察執筆:STANFORD BLOCKCHAIN CLUB、ROY LU
翻訳:TechFlow
注:本稿はスタンフォード・ブロックチェーン・レビューからの提供記事です。TechFlowはスタンフォード・ブロックチェーン・レビューのパートナーであり、翻訳および転載を独占的に許可されています。
はじめに
本稿では、ゼロ知識証明(ZKP)がWeb3以外の分野において私たちの生活をどのように変えていくかについて考察します。性能向上の要因を分析し、「ゼロ知識におけるムーアの法則」を提唱するとともに、価値蓄積のパターンを明らかにします。
ゼロ知識証明は現在のWeb3において最も破壊的な技術の一つであり、スケーラビリティ、認証、プライバシーなどの分野で大きな可能性を秘めています。しかし、現時点での性能レベルは、多くの潜在的ユースケースへの適用を制限しています。しかし、ZK技術が成熟するにつれて、私はZK技術が指数関数的に成長し、Web3だけでなく従来の産業にも広く応用されると考えます。ムーアの法則が2年ごとにチップ上のトランジスタ密度が倍増すると予測したように、ここではゼロ知識証明に対して同様の指数法則を提唱します。すなわち:
今後数年間で、1秒あたりに生成される証明の数は2倍以上になり、最終的には基盤となる汎用計算の進歩に漸近的に近づく。
ムーアの法則の概要
ムーアの法則とは、インテルの共同創業者であるゴードン・ムーアが1965年に提唱した「半導体電子回路の複雑さは2年ごとに2倍になる」という予測です。過去58年間、この法則はモバイルコンピューティングや機械学習、そして私たちのデジタル生活のほぼすべての側面を牽引し、技術との関わり方を根本から変えました。
ゴードン・ムーアは、実証的に観察して、チップ上のトランジスタ数が倍増しても、規模の経済効果により製造コストはほぼ一定に保たれることを指摘しました。さらに、計算能力に対する需要が高まれば、トランジスタ密度の増加に向けた投資も促進されると述べました。
ますます小さなチップ上で指数関数的に強化される計算能力により、トランジスタの数量的変化は、コンピュータの使用方法やインタラクションの質的変化へと転換されました。
私たちのスマートフォンはアポロ11号よりも強力なコンピュータであり、ポケットに入れて持ち運びながら、あらゆるウェブサイトからコンテンツをストリーミングしたり、世界中の誰とでも通信したりできます。大規模言語モデルの訓練はChatGPTのリリースを可能にし、データ検索から知的統合へと、情報との関わり方を変革しました。
ゼロ知識証明とWeb3の爆発的成長
トランジスタ数の倍増とムーアの法則が現代技術との関わり方に質的変化をもたらしたのと同様に、ゼロ知識証明の指数的成長は新しいアプリケーション層の体験を引き起こすでしょう。本質的に、ゼロ知識証明はプライバシー、正しさ、スケーラビリティという特性を備えています。これらはゼロ知識による非公開計算、証明可能な正しさ、再帰的簡潔性に根ざしています。これらの特性は、新たな計算パラダイムへの根本的な移行を意味します。
非公開計算
ゼロ知識は、外部では結果のみを共有・検証することで、秘密のモジュール上で計算を行うことを可能にします。現実の例として、銀行がゼロ知識計算を採用すれば、身元盗用を防ぐことができます。例えば、ユーザーはローン承認プロセスが自分の身分情報や信用履歴上で動作することを許可できる一方で、銀行に敏感なデータを開示する必要はありません。プライバシーが守られます。Web3では、AleoやMinaのような完全にプライベートなL1ネットワーク、あるいはZcash、zk.money、Elusiv、Nocturneのようなプライベート決済ネットワークがZKによって支えられています。ZKPはまた、Renegadeのようなチームが価格操作を避けて取引注文を掲示するダークプールを運営することも可能にします。ユーザーの個人データを明かすことなく価値が送信されます。
証明可能な正しさ
不透明な計算に対しても、ゼロ知識証明は入力、出力、処理のトレーサビリティを提供します。一例として、分散型のマシンラーニングがあります。遠隔地の計算ノードネットワークを通じて、AIへのアクセスの民主化が可能になります。ZKPは機械学習におけるデータ、重み、訓練ラウンド数を証明し、全体の訓練プロセスが期待通りに行われたことを確認できます。つまり、正しさが確立されるのです。Web3では、GensynやModulus LabsといったチームがすでにzkMLを実装しており、Risc Zeroのような汎用ZKVMも開発されています。クロスチェーン状態の正しさを証明するために、Polymer、Succinct Labs、Herodotus、LagrangeなどのZKブリッジでZKPが利用されています。ZKはProvenのようなアプリケーションが準備金の正しさを証明することも可能にします。
再帰的簡潔性
ZKは、複数の証明を一つに折りたたむこともできます。現実世界の例として、サプライチェーンにおける真正性の追跡があります。サプライチェーンの各工程の製造者は、ZKPを使って製品の真正性を証明しつつ、機密の製造情報を開示せずに済みます。その後、これらのZKPが再帰的に結合され、サプライチェーン全体の正当性を証明する単一のZKPが生成されます。これによりスケーラビリティが実現されます。Web3では、数千件のトランザクションのZKPを一つの証明にまとめて、Starkware、Scroll、zkSyncといったL2ネットワークを動かすことができ、ブロックチェーンのスループットが大幅に向上します。
ゼロ知識のムーアの法則の定義
上記の内容から、トランジスタがアプリケーション層の爆発を生んだ抽象的な類似性と、ZKPがWeb3の革新を解き放つことが見えてきました。ここで、汎用計算とゼロ知識計算を比較することで、「ゼロ知識のムーアの法則」の具体的な定義を導き出す時が来ました。
汎用計算とゼロ知識計算
汎用計算では、ゲートは金属-酸化物-シリコンベースのトランジスタで構成されています。各ゲートはAND、OR、XORなど複数の演算子のいずれかに属します。これらの演算子が協働することでプログラムが動作します。
他の条件が同じ場合、ゼロ知識計算は汎用計算よりも高価です。例えば、「Groth16を使用して10KBのSHA2ハッシュを計算するには140秒かかりますが、ゼロ知識を使わない場合は数ミリ秒で済みます。」これは、ZK計算が各演算子に対して複雑な算術演算を使用するためです。
ゼロ知識計算では、演算子は有限体で表現できます。SNARKの場合、各演算子は楕円曲線上で行われます。他の種類のゼロ知識では、演算子は行列、格子、またはモジュラー群で構成され、これらもまた算術演算を行う複雑な数学的構造です。これらの構造を使って簡単な加算、減算、乗算を行うことさえ非常に高価になります。データ入力は数字ではなく有限体に変換されます。こうした構造の複雑さこそが、暗号技術の安全性の基盤となっています。算術的な詳細は本稿の範囲を超えますが、重要なポイントは、論理ゲートが物理回路上で実行されるように、ゼロ知識の論理はソフトウェア回路上で実行されるということです。
したがって、汎用計算では性能向上は物理法則に支配されますが、ゼロ知識計算では数学的法則に支配されます。このため、ハードウェア加速も顕著な利益をもたらしますが、ゼロ知識にムーアの法則を適用する際には、ハードウェアよりもむしろソフトウェア領域に存在することがわかります。これらの基本原理に基づいて、ゼロ知識における特定のムーアの法則の姿も描けます。
ゼロ知識における飛躍的進歩は不連続的である
おそらく最も重要な観察は、汎用計算の改善が連続的であるのに対し、ゼロ知識計算の改善は段階的であるということです。
具体的には、2005年から2020年にかけて、CPUのコア数はおおよそ5年ごとに倍増し、クロック周波数も1990年代から2010年代にかけて約5年ごとに倍増しました。一方、ZK回路内の制約の数は連続的に「改善」されたわけではなく、SNARKsの3000万〜4000万制約からPLONKsの400万〜800万行へとジャンプし、さらにSTARKsの2^14〜2^16ステップへとジャンプしました。同様に、有限体のビット数は2018年から2022年までは約256ビットでしたが、2022年から2023年にかけて32ビットにジャンプし、32ビットレジスタの利点を活用できるようになりました。
さらに、HyperSpartanの最新の発展は、R1CS、Plonkish、AIRを余計なオーバーヘッドなしに同時に捉えるカスタマイズ可能な制約システム(CCS)をサポートしています。また、SuperNovaの登場は、高速な再帰的証明システムであるNovaを基盤としており、さまざまな命令セットや制約システムと互換性があります。これらの進展は、ZKアーキテクチャの設計空間をさらに広げました。
これらの発見に基づき、ゼロ知識における基本的なムーアの法則は、単一の連続的改善要素に基づくものではなく、不連続な改善によって駆動される、単位時間あたりに生成される証明の総合的性能向上に基づいていると言えます。私は、基盤となる汎用計算の進歩を吸収する前に、ゼロ知識のムーアの法則は離散的な革命的飛躍を遂げると考えます:
今後数年間で、1秒あたりに生成される証明の数は2倍以上に増加し、その後基盤となる汎用計算の進歩に漸近的に近づく。
ゼロ知識証明のコスト削減
先述の通り、現時点のゼロ知識証明は、幅広い潜在的用途にとって脆弱かつ高価です。特に、検証コストは証明生成コストをはるかに上回っています。概算によると、ゼロ知識証明の生成コストは1ドル未満です。その根拠は以下の通りです。1)Amazon AWSでは、16コアCPUと32GBメモリを持つEC2インスタンスの料金は0.4ドル/時間であり、分散型計算ノードのコストはさらに低いと予想される。2)Polygon Hermezでは1時間あたり4〜6ドルの費用がかかり、1時間に約20個の証明を生成しています。
しかし、オンチェーンでの検証コストは依然高く、1回の検証に23万〜500万ガスが必要で、これはおおよそ100〜2000ドルに相当します。ZK Rollupは数千件のトランザクションにコストを分散させることで規模の経済の恩恵を受けますが、他のタイプのZKアプリケーションは前述のアプリケーション層の革新を実現し、最終ユーザーの生活の質を向上させるために、検証コストを削減する方法を見つける必要があります。
ゼロ知識証明の容量の突破は不連続かつ離散的なステップで起こる可能性があるため、こうした突破が起こり得る潜在的な分野を見てみましょう。以下は、zkprizeで挙げられているいくつかの最適化手法です:
-
アルゴリズムの最適化:多スカラー乗算(MSM)や数論変換(NTT)などが含まれます。これらは楕円曲線暗号を高速化するために一般的に使用され、自体がハードウェア加速の対象となります。フーリエ変換はNTTの一例であり、さまざまな実装で既に最適化されています。
-
並列処理:データ構造の前処理、回路評価、または証明生成の一部を複数の処理ユニットまたはスレッドに委任することで、ゼロ知識のスループットを向上させることができます。
-
コンパイラ最適化:レジスタ割り当て、ループ最適化、メモリ最適化、命令スケジューリングの改善が可能です。
アルゴリズム最適化の一例として、SNARKsのR1CSからHalo2、Plonky2、HyperPlonkのPlonkishへの算術化があり、これはStarky証明で使われるAIRとも異なります。また、折りたたみ方式の最新の発展も興味深いです。HyperNovaはカスタマイズ可能な制約システムを持つ増分的検証可能計算をサポートできます。並列処理の分野では、Polygonチームが発表したPlonky2の再帰的拡張が、並列証明生成の可能性を広げました。コンパイラ最適化では、ゼロ知識向けLLVMの使用が非常に注目されます。IR(中間表現)が命令セットに依存しないオペコードにコンパイルできるからです。例えば、Nil FoundationのZK-LLVMやRisc0のzkVMも、LLVMを使用して各ステップの実行を追跡するゼロ知識証明を生成しています。汎用ZKVMやLLVMは、ゼロ知識をブロックチェーン以外のユースケースに拡張し、より広範な開発者がコードの移植性を得ることを可能にします。
ゼロ知識構築者への影響
汎用計算では、価値の蓄積は通常既存の参加者に有利になります。たとえば、半導体メーカーは、ますます微細なチップの製造技術を段階的に改良するための資本投資による参入障壁の恩恵を受けます。しかし、ゼロ知識における革新は離散的かつ革命的な飛躍として起こるため、新規チームは新しい証明システムの発明など、研究主導の技術的突破によって既存の参加者を凌駕する十分なチャンスを持っています。
この理論に基づき、Web3のゼロ知識構築者にとっての重要なポイントは以下の通りです:
-
ゼロ知識構築者はモジュラー設計を検討すべきです。zk回路に関わるプロトコル構築者は、最先端のZK技術のコンポーネントを交換可能なモジュラー設計を考慮すべきです。
-
参加者は研究主導の破壊的革新から利益を得られます。研究能力を持つチームは、画期的な新しい証明システムを提案または先行導入することで、既存のチームを凌駕する可能性があります。
-
垂直統合者は最新技術の組み合わせから利益を得られます。ハードウェアからコンパイラ、回路に至るまでZKスタックの各層はそれぞれ独自の改善が可能であるため、垂直統合者は最新技術をモジュラーに採用し、アプリケーションチームに最低コストで最先端のZK技術を提供できます。
これらの観点から、私は業界全体で以下の3つの重要な発展が起こると予測します:
-
新規チームが技術的突破により既存のZKプロトコルを凌駕する。
-
既存のプロトコルは技術ではなくエコシステムに基づく参入障壁を模索する。
-
垂直統合型ZKプロバイダーが出現し、低コストで最新技術を提供する。この急速に進化する分野では、革新と破壊が継続的に起こる。
結論
技術の逆説とは、技術がうまく機能しているとき、それは目に見えなくなるということです。私たちは水を飲むときにグラスのことを考えず、メールを送るときにコンピュータのチップのことを意識しません。目標が容易に達成されるほど、過程を無視しやすくなるのです。
ゼロ知識証明は、ユーザーエクスペリエンスを向上させるスケーラブルなアプリケーションを提供する可能性をすでに秘めています。技術がうまく機能すれば、証明の存在に気づくことはありませんが、取引がよりプライベートになり、情報がより正確になり、Rollupがより高速で安価になることに気づくでしょう。したがって、ゼロ知識証明は最終的に、トランジスタやマイクロチップ、そして現在のAIのように、私たちの生活の基盤に溶け込むかもしれません。
選挙における不正防止、金融システムの脱仲介による取引コストの削減、ZKを用いた分散型計算によるAI訓練の民主化――こうしたゼロ知識の仕組みを意識する必要はありません。いつか、私たちが「基板上のトランジスタ数は18〜24ヶ月で倍増する」というムーアの観察をある種の「法則」として受け入れてきたように、「1秒あたりのゼロ知識証明の数は毎年指数関数的に増加する」という事実を当然のこととして受け入れ、その恩恵を享受しながら、日常を何気なく過ごす日が来るかもしれません。目標がより簡単に達成されるようになれば、誰もゼロ知識の素晴らしさを称賛しなくなり、私たちは普通の生活を続けるのです。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Stanford Blockchain Club
