Ethereum 開発者ヴィタリック・ブテリン氏が、ブロックチェーンのセキュリティを全く新しいレベルに引き上げると信じている新たな技術を発表しました。彼はそれを「Circle STARKS」と呼んでいます。今回は、この技術について知っておくべきことをすべてお伝えします。.
小さなフィールドがゲームを変えた
Circle STARKsは、大きく非効率的な数値から、より小さく扱いやすいフィールドへの移行を目指しています。元々、STARKsは256ビットの大きなフィールドを使用していましたが、これは速度が遅く、多くのスペースを無駄にしていました。.
現在では、Goldilocks、Mersenne31、BabyBearといったより小さなフィールドを使用することで、あらゆる処理がより高速かつ効率的に実行されるようになりました。例えばStarkwareは、M3ラップトップで毎秒62万個のPoseidon2ハッシュを処理できるようになりました。.
Vitalik の Circle STARK は、Starkware の stwo と Polygon の plonky3 に実装されており、Mersenne31 フィールドを使用した独自のソリューションを提供します。.
ハッシュベースの証明、あるいはあらゆる証明を行う際の主なコツの 1 つは、ランダムなポイントで多項式を評価することによって、多項式について何かを証明することです。.
たとえば、証明システムで多項式 P(x) に従う必要がある場合、ランダムな点 z に対して P(z) = 0 を示す必要がある場合があります。.
これはP(x)について直接証明するよりも簡単です。zが事前に分かっている場合、P(x)をその点に当てはめるというごまかしが可能です。これを防ぐため、zは多項式が与えられた後に、多くの場合は多項式をハッシュ化することで決定されます。.
関連: ヴィタリック・ブテリンは政治家が暗号業界を弄んでいると考えている
楕円曲線プロトコルのような大きなフィールドでは問題なく動作しますが、小さなフィールドでは問題が発生します。フィールドが小さいと、攻撃者はzのあらゆる可能な値を試すことができ、不正行為がはるかに容易になります。.
この問題を解決するために、主に2つの手法が用いられます。多重ランダムチェックと拡大体です。1つ目は単純で、多項式を1点ではなく複数の点でチェックする方法です。しかし、これはすぐに非効率になる可能性があります。.
2 番目の方法は、拡張体を使用して、z を推測しにくくする新しい複素数を作成します。.
サークルスタークの魔法
Circle STARKsはCircle FRIという巧妙なひねりを加えています。 素数pが与えられたとき、この方法に完全に適合する性質を持つサイズp-1の群が存在します。Mersenne31の場合、これは特定の配置で点の集合を使用することを意味します。
点は三角法や複雑な乗算に似たパターンを辿り、計算がきれいに進みます。Circle FRIでは、点が縮小されながら結合されるため、処理が効率的になります。.
Vitalik氏によると、このマップは円上の点を2倍にし、座標のペアを新しい点に変換します。この手法は既存の32ビットCPU/GPU演算とうまく連携するため、BabyBearよりも効率的です。.
高速フーリエ変換 (FFT) も同様のパスをたどり、多項式の評価を係数に変換し、その逆も行います。.
サークル FFT は、maticがリーマン・ロッホ空間と呼ぶ空間上で動作し、基本多項式の倍数をゼロとして扱うことで計算を簡素化します。.
STARKプロトコルでは、多項式が特定の点でゼロになることを証明する必要があることがよくあります。通常、単純な直線関数を使ってこれを証明できます。しかし、Circle STARKでは、等価な直線関数がより厳しい条件を満たす必要があるため、少し複雑になります。.
これを処理するために、Circle STARKは補間関数(2点でゼロになる関数)を使用します。これらの補間関数で減算tracて割ることで、結果として得られる商が多項式であることを示すことができます。.
評価領域全体でゼロとなる消失多項式も役割を果たします。通常のSTARKではこれは単純ですが、Circle STARKでは特定の関数を繰り返すことで、数学的な整合性を確保します。.
ヴィタリックが 言う 、 「円の数学の複雑さは、体系的なものではなく、カプセル化されたものである」。
