Создатель Ethereum Виталик Бутерин снова с нами со своим новым творением, которое, по его мнению, выведет безопасность блокчейна на совершенно новый уровень. Он назвал его Circle STARKS, и я расскажу вам все, что нужно о нем знать.
Небольшие поля изменили правила игры
В основе Circle STARKs лежит отказ от больших, неэффективных чисел в пользу меньших, более управляемых полей. Изначально в STARKs использовались большие 256-битные поля, но они работали медленно и занимали много места.
Теперь, благодаря полям меньшего размера, таким как Goldilocks, Mersenne31 и BabyBear, все работает быстрее и эффективнее. Например, компания Starkware теперь может обрабатывать 620 000 хешей Poseidon2 в секунду на ноутбуке с процессором M3.
Разработанные Виталиком решения Circle STARKs, реализованные в продуктах stwo от Starkware и plonky3 от Polygon, предлагают уникальные решения с использованием поля Mersenne31.
См. также: Виталик Бутерин считает, что инвесторы слишком щепетильны.
Один из главных приемов при построении доказательств на основе хешей, или любых других доказательств, заключается в том, чтобы доказать что-либо о многочлене, вычислив его значение в случайной точке.
Например, если система доказательств требует от вас подтверждения существования многочлена P(x), вам может потребоваться показать, что P(z) = 0 для случайной точки z.
Это проще, чем доказывать что-либо непосредственно о P(x). Если z известно заранее, можно схитрить, подогнав P(x) под эту точку. Чтобы этого избежать, z выбирается после того, как задан многочлен, часто путем хеширования многочлена.
См. также: Виталик Бутерин считает, что политики манипулируют криптоиндустрией.
Это хорошо работает с большими полями, например, в протоколах на основе эллиптических кривых, но малые поля представляют проблему. При малых полях злоумышленник может просто перебрать все возможные значения для z, что значительно упрощает мошенничество.
Для решения этой проблемы используются два основных метода: многократные случайные проверки и поля расширения. Первый метод прост — проверка многочлена в нескольких точках, а не только в одной. Но он может быстро стать неэффективным.
Второй метод, использующий поля расширения, предполагает создание новых комплексных чисел, которые затрудняют угадывание значения z.
Магия Circle STARKs
Circle STARKs вводят интересный подход с Circle FRI. Для заданного простого числа p существует группа размером p-1, свойства которой идеально подходят для этого метода. Для Mersenne31 это означает использование набора точек в определенном расположении.
Точки следуют закономерности, аналогичной тригонометрии или комплексному умножению, что обеспечивает аккуратность математических вычислений. В Circle FRI точки объединяются и сжимаются таким образом, что их размер постоянно уменьшается, что делает процесс эффективным.
Виталик говорит, что эта карта удваивает точки на окружности, беря пары координат и преобразуя их в новые точки. Этот метод хорошо работает с существующими 32-битными операциями на ЦП/ГП, что делает его более эффективным, чем BabyBear.
Быстрое преобразование Фурье (БПФ) следует аналогичному пути, преобразуя значения полиномов в коэффициенты и обратно.
Круговые БПФ работают над тем, чтоmaticназывают пространствами Римана-Роха, рассматривая кратные базовому многочлену как ноль, что упрощает вычисления.
В протоколах STARK часто требуется доказать, что многочлен равен нулю в определенных точках. Обычно для этого можно использовать простую функцию прямой. В протоколах Circle STARK это немного сложнее, поскольку эквивалентная функция прямой должна удовлетворять более строгим условиям.
Для решения этой задачи в Circle STARK используются интерполянты — функции, равные нулю в двух точках.tracэти интерполянты и деля на них, можно показать, что полученное частное является многочленом.
Многочлены, равные нулю во всей области вычисления, также играют свою роль. В обычных задачах STARK это несложно. В задачах Circle STARK это включает повторение определенных функций, что гарантирует корректность математических вычислений.
Виталик выразился : «Сложность круговой математики заключена в ней, а не носит системный характер».
