完全な比較:zk-SNARKとzk-STARKとは何ですか?

出典：Chaindengコミュニティ

zk-SNARKsとzk-STARKsは何ですか？それらはゼロ知識証明ですが、それらの特徴と比較についてどのような違いがありますか。

ゼロ知識証明（ZKP）は暗号化プロトコルであり、一方（バリデータ）に特定の主張が実際であると信じさせるために、もう一方（証明者）が主張自体の有効性以上の情報を一切明かさずに行うことを可能にします。ZKPはブロックチェーンエコシステムの革新的技術であり、二層ソリューションを通じてブロックチェーンのスケーラビリティを実現し、プライバシー保護アプリケーションを構築することができます。最も顕著なZKPのタイプはzk-SNARKsとzk-STARKsであり、それぞれ異なる特性とユースケースを持っています。

この記事では、zk-SNARKsとzk-STARKsについて、それらの主要な特徴や比較について議論します。

前提条件

ZKPsを理解する：回路、制約、証拠、バリデータ、および証明者が何であるかを知る必要があります。

zk-SNARK（ゼロ知識証明）とは何ですか

Zk-SNARKsは、非インタラクティブであるため、初期の証明生成後、証明者とバリデータ間で往復通信は行われません。高効率であり、短い証明サイズと高速な検証時間を提供し、複雑さに関係なくこれらの特性が維持されます。

zk-SNARKsの主な特長

• 信頼できる設定：SNARKsには、信頼できる設定フェーズが必要であり、このフェーズでは初期パラメータセットが生成されます。これは通常、Structured Reference String（SRS）と呼ばれます。この設定フェーズでは、一つの秘密が使用されており、これが漏洩すると、その後の証明のセキュリティがすべて崩壊します。この設定データは通常、「有毒な廃棄物」と呼ばれます。信頼できる設定は一般的にはデメリットと見なされます。なぜなら、それらは潜在的な信頼性の問題を導入するからです：ユーザーは設定が正しく実行されていることを信じなければならず、その後で秘密が破棄されることを信じなければなりません。
• 楕円曲線暗号（ECC）：多くのSNARK構築は楕円曲線暗号に依存しており、これは離散対数問題（DLP）の難しさに依存しています。これは古典的なコンピューターに強力なセキュリティを提供しますが、これによりSNARKsが将来の量子コンピューターに攻撃される可能性があるため、量子コンピューターは効率的にDLPを解決できます。

人気のあるzk-SNARKプロトコル

• Groth16：Groth16は、最も広く使用されているSNARKプロトコルの1つです。特定の回路の信頼できる設定が必要であり、非常に効率的であり、小さな証明と高速な検証時間を生成します。コンパクトな証明サイズのため、Zcashなどのブロックチェーンプロジェクトでよく使用されます。
• PLONK（ラグランジュ基底に基づく普遍的な非インタラクティブ知識証明のスワップ証明）：PLONK はより柔軟な SNARK プロトコルで、汎用かつ更新可能な SRS を使用しており、これにより任意の回路に使用でき、より大きな回路をサポートするために変更できます。Groth16 とは異なり、PLONK のセットアップは特定の回路に固有のものではなく、複数の回路で再利用できます。これにより、信頼できる設定の繰り返しの要求が減少し、新しいプログラムや回路を追加する際に、全体のセットアップをやり直す必要がなくなります。

zk-SNARKの特徴

• 証明サイズ：小さいため、SNARKは帯域幅やストレージが制限されたアプリケーションに適しています。
• 後量子安全性：有限であり、ECCに依存しています。SNARKsは量子耐性ではありません。なぜなら、十分に強力な量子コンピューターがDLPを解決する可能性があるからです。
• 信頼設定：これは必須です（ほとんどのSNARKsで）。設定段階では信頼の仮定が導入され、不適切な管理があると潜在的なセキュリティリスクを引き起こす可能性があります。
• 拡張性：コンパクトなプルーフと高速な検証が必要なアプリケーションには非常に効率的ですが、高度に動的な環境での信頼性の設定が制限になる場合があります。

zk-STARK(Extensible Transparent Knowledge Argument)とは

Zk-STARKsは、zk-SNARKsの欠点を解決することを目的とした別のZKPです。それらは拡張可能で「透明」であるように設計されており、信頼性のあるセットアップフェーズを必要としないことを意味します。代わりに、zk-STARKsはハッシュ関数と公開されているランダム性を使用して証明を構築し、それによってセキュリティと拡張性が向上しています。

zk-STARKの主な機能

• 透明設定：STARKsは秘密パラメータに依存しません。代わりに、証明は公開ランダム性を使用して生成されるため、システムの「有害な残渣」を破壊する可能性がなく、信頼性のある設定も必要ありません。
• 基于ハッシュ的安全性：STARKsは、楕円曲線暗号ではなく、SHA-256などのハッシュ関数に依存しています。これにより、量子攻撃に対して耐性を持つことができます。なぜなら、現在の暗号化の仮定では、ハッシュ関数は量子コンピューターに対して安全であると考えられているからです。

STARKsの特徴

• サイズの証明: STARK証明はSNARK証明よりも数倍大きい場合があり、それにより検証時間が増え、帯域幅やストレージが制限された環境ではデメリットとなります。これは、その透明性、多項式コミットメントの使用、およびスケーラビリティの実現方法によるものです。
• 後量子安全性：強。STARKsは楕円曲線暗号ではなくハッシュ関数を使用しているため、現在の暗号化の仮定によると、量子攻撃に対して強固です。
• 信頼設定：不要です。STARKs は透明な設定を使用し、信頼の必要性を取り除くことでセキュリティを強化します。
• 拡張性：特に大規模な計算に対して非常に拡張性があり、複雑性が増すにつれて性能の利点がより顕著に現れます。信頼できる設定が必要ないため、新しいアプリケーションやユースケースごとに設定を再構築する必要がありません。01928374656574839201

zk-SNARKとzk-STARKの比較

まとめ

Zk-SNARKs はゼロ知識証明システムです。彼らは効率的な証明サイズと高速な検証時間を提供しますが、信頼できる設定が必要であり、楕円曲線暗号を使用しているため、量子攻撃に対して脆弱です。

Zk-STARKsは、信頼性のある設定を必要としません。代わりに、それらはハッシュ関数に依存してセキュリティを実現します（これにより、量子耐性が得られます）、そして大規模な計算に対してよりスケーラブルです。ただし、証明のサイズが大きくなるため、小規模な計算に対する検証速度は遅くなります。

これら2つの主要なZKPは、ブロックチェーンエコシステムでZKプロトコルを構築するために非常に重要であり、2層ソリューションを使用してブロックチェーンのスケーラビリティを実現し、プライバシー保護アプリケーションを構築することができます。