SNARKのセキュリティとパフォーマンス

SNARK (Succinct Non-interactive Argument of Knowledge) は、特に分散環境において、システム設計に刺激的な新しい可能性を開く暗号化ツールです。 SNARK により、信頼されていないエンティティがデータを処理できるようになり、データが有効であり、正しく処理されたことを証明できます。 これを証明する単純な方法は、データを公開して、誰でもその有効性を確認して直接処理できるようにすることです。 

SNARK は同じ効果を達成しますが、コストが高くなりますバリデーターへ. たとえば、レイヤー 2 (LXNUMX) の検証可能なロールアップでは、ロールアップ サービスがブロックチェーン トランザクションを処理します。 このサービスは、定期的にユーザーの口座残高をレイヤー XNUMX ブロックチェーンに投稿します。 残高を更新するたびに、古い口座残高を更新された残高に変更した一連の有効なトランザクションを知っていることを示す SNARK 証明を追加します。 このように、ブロックチェーン バリデーターは、トランザクションの有効性をチェックするという大変な作業 (各トランザクションのデジタル署名のチェックなど) を行う必要も、更新された残高を計算するためにトランザクションを明示的に処理する必要もありません。  

My 以前の投稿 SNARK の適用可能性の主要な決定要因である SNARK 証明器の性能に焦点を当てました。 SNARK 証明器を実行すると、大規模な計算の証明を生成することが不可能なほど計算量が多くなる可能性がありますが、SNARK 検証は通常、データを直接チェックして処理するよりもはるかに安価です。 ただし、SNARK 検証のコストはかなり異なります。 この投稿では、これらのコストを明らかにし、さまざまな SNARK のセキュリティ プロパティを比較します。 

特に、もっともらしいポスト量子セキュリティ (PQ-SNARK) を備えた実用的な SNARK では、セキュリティと検証コストの間に大きな緊張があることを説明します。 さらに、場合によっては、この緊張は現在、セキュリティよりも検証コストを優先して解決されています.

SNARK がその可能性を実現するには、導入されたシステムが安全であり、ユーザーがセキュリティに自信を持っている必要があります。 この記事の最後に、web3 コミュニティがこれらのプロパティを長期的に維持するために実行できる簡単なアクションを提案します。 

定量的なセキュリティ対策 

SNARK は、虚偽のステートメントの説得力のある証明を生成することが計算上実行不可能である場合、安全です。 たとえば、L2 ロールアップのコンテキストでは、私の資金を盗もうとする攻撃者は、「ジャスティンのすべての資産を自分のアカウントに転送するデジタル署名されたトランザクションを知っています」という形式の虚偽のステートメントを証明したいと考えるでしょう。 

SNARK のセキュリティ レベルは、虚偽のステートメントの説得力のある証拠を見つけるために行わなければならない作業の量によって測定されます。 デジタル署名などの他の暗号化プリミティブと同様に、この作業量の対数は「ビット オブ セキュリティ」と呼ばれます。 たとえば、30 ビットのセキュリティは、2³⁰ SNARK を攻撃するには、約 1 億の「作業ステップ」が必要です。 作業の XNUMX つのステップの概念はさまざまであり、メモリ要件や並列処理の機会などの実際的な考慮事項は考慮されていないため、これは本質的に現実世界のセキュリティのおおよその尺度です。

そして質的なもの

Bits of security は SNARK のセキュリティの尺度。 SNARK は次の点でも異なります。 定性 セキュリティ プロパティ。 

たとえば、一部の SNARK では、構造化された証明キーを生成するために、信頼できるセットアップ セレモニーが必要です。 信頼できるセットアップをまったく必要としない SNARK が呼び出されます トランスペアレント。 

不透明な SNARK が安全であるためには、通常、セレモニーの少なくとも XNUMX 人の参加者が正直に振る舞う必要があります。つまり、他のすべての参加者の落とし戸と組み合わせると簡単になる「落とし戸」を作成して破棄したことを意味します。虚偽の陳述の説得力のある SNARK の「証拠」を見つけること。 信頼できる設定は さ ラン この仮定を可能な限り穏やかにするために、数百人または数千人の参加者がいます。 

SNARK は、量子攻撃に対する感受性も異なります。 具体的には、多くの SNARK (例: グロス16, PlonK, マーリン, 防弾, ノヴァ) 離散対数は計算が難しいという仮定に依存しています (場合によっては、追加の仮定も)。 離散対数の計算は、量子コンピューターが効率的に実行できるものです。 したがって、これらの SNARK はポスト量子セキュア (非 PQ) ではありません。 

ポスト量子への切り替えが急務である一方で、 暗号化スキーム、これは主に、暗号化されたメッセージを何十年も先まで秘密にしておく必要性によって推進されています. 傍受されたメッセージを今日保存し、たとえば XNUMX 年後に量子コンピューターが到着するのを待っている敵対者は、コンピューターを使用して XNUMX 年前のメッセージを復号化できます。 SNARK の状況はまったく異なります。 今日の非 PQ SNARK の使用は、XNUMX 年後に量子コンピューターが登場したとしても、ブロックチェーンのセキュリティを損なうべきではありません。 

多項式コミットメント

すべての SNARK は、 多項式コミットメントスキーム、このコンポーネントはパフォーマンスのボトルネックになることがよくあります. （詳しくは私の 以前の投稿.) さらに、SNARK の透明性ともっともらしいポスト量子セキュリティは、それが使用する多項式コミットメント スキームによってのみ決定されます。 

代表的な例として、いわゆる KZG 多項式コミットメント、によって使用されます PlonK, マーリン、および他の多く。 KZG のコミットメントは、透過的でもポスト量子安全でもありません。 他のコミットメントスキームは透過的ですが、ポストクォンタムではありません。 防弾, イワダヌキ, ドーリー. 

さらに他のスキームは、透過的であり、もっともらしいポストクォンタムです。 これらには以下が含まれます FREE, Ligero, リゲロ++, ブレーキダウン, オリオン. これらのスキームはすべて、エラー訂正コードに基づいています。 ハッシングは、彼らが使用する唯一の暗号プリミティブです。 また、次の特性も共有しています。検証コスト (ハッシュ評価とフィールド操作の数によって測定) は、セキュリティのビット数に比例して増加します。

大まかに言えば、これらのポスト量子多項式コミットメントの 2 回の「反復」では、少数 (たとえば 4 ～ XNUMX ビット) のセキュリティのみが達成されます。 そのため、プロトコルを何度も繰り返してセキュリティ レベルを「増幅」する必要があり、繰り返しごとに検証コストが増加します。 したがって、PQ-SNARK の検証コスト (したがって、ブロックチェーン アプリケーションのガス コスト) を制御するために、プロトコル設計者はセキュリティ レベルを低く保つように奨励されます。 

レアで 例外、具体的なセキュリティと検証コストの間のこの緊張は、非 PQ SNARK (透過性と非透過性を問わず) では発生しません。 非 PQ-SNARK は、離散対数を計算するのが難しいと推定される楕円曲線グループを使用し、それらのセキュリティ レベルは使用されるグループによって決定されます。 適切な楕円曲線グループのサイズ、したがって各グループ操作のコストは、必要なセキュリティ レベルと共に増加します。 しかし 数 証明の群要素の数は、群の選択とは無関係です。 

PQ-SNARK では、ハッシュ評価のサイズが目的のセキュリティ レベルに比例して増加するだけでなく、証明に含まれ、検証者によって実行される評価の数も増加します。 

配備された SNARK における具体的な検証者のコストとセキュリティ

具体的な検証者のコストと配備された SNARK のセキュリティ レベルはかなり異なります。 以下にいくつかの例を示します。

検証者の費用 

My 以前の投稿 具体的な検証コストの例を XNUMX つ挙げました。 PlonK 校正費用 下 300,000ガス StarkWare のプルーフには約 5 万ガスの費用がかかります。 StarkWare の証明は透過的であり、もっともらしいポスト量子ですが、PlonK の証明はそうではありません。 ただし、次に詳しく説明するように、StarkWare のプルーフは、Ethereum 上の PlonK プルーフよりもはるかに低いセキュリティ レベルで実行されています。

具体的なセキュリティ

イーサリアムのプリコンパイルを伴う唯一の楕円曲線は altbn128 と呼ばれるため、これは、イーサリアムに展開されたすべての非 PQ SNARK が使用する曲線です。 アステカ族'砂 zkSyncの。 この曲線 (したがって、それを使用する配備された SNARK も同様) は、当初、およそ 128 ビットのセキュリティを提供すると考えられていました。 しかし、 改善された攻撃 (正確な実行時間は 決定するのが難しい)、この曲線は現在、100 ～ 110 ビットのセキュリティを提供すると広く見なされています。 

EIPがあります 下 考慮 128 ビットに近いセキュリティを提供するとまだ信じられているさまざまな曲線のプリコンパイルを導入します。 このような曲線は 既に使われた ZCash、アルゴランド、Dfinity、Filecoin、Aleo などの非イーサリアム プロジェクトの SNARK で。 

対照的に、オンチェーン データによると、StarkWare の PQ-SNARK (いわゆる SHARP システムで、SHARed Prover の略) は 80 ビットのセキュリティをターゲットにするように構成されています。 このセキュリティ レベルは、FRI の統計的健全性に関する特定の推測の下で保持されます (これについては、この記事の後半で説明します)。 

「80 ビットのセキュリティ」という用語は、この文脈ではあいまいなので、説明します。 大まかに言えば、攻撃者がハッシュ関数を評価することで、虚偽のステートメントの説得力のある証拠を作成できることを意味します 2⁸⁰ 回（つまり、イーサリアムで使用されるハッシュ関数である KECCAK-256）。 より正確には、2を実行する意思のある攻撃者^k ハッシュ評価は、およそ 2 の確率で説得力のある証拠を生成できます。^k-80. たとえば、2⁷⁰ ハッシュ評価では、約 2 の確率で偽のステートメントの SNARK「証明」を見つけることができます。^-10 = 1/1024。 

この概念は、「80 ビットのセキュリティ」という用語が他の文脈で意味するものよりも弱いものです。 たとえば、80 ビットのセキュリティに構成された衝突耐性ハッシュ関数 (CRHF) は、160 ビットの出力を生成します。 ハッシュ関数が適切に設計されている場合、最速の衝突検出手順は次のようになります。 誕生日攻撃、約2との衝突を見つけることができる力ずくの手順^160/2 = 2⁸⁰ ハッシュ評価。 ただし、2^k ハッシュ評価では、誕生日攻撃はわずか 2 の確率で衝突を検出します。^2k-160. 

たとえば、2⁷⁰ ハッシュ評価は 2 の確率で衝突を引き起こします^-20  ≒1/1,000,000。 これは、攻撃者が 1 ビットのセキュリティに設定された PQ-SNARK 証明を偽造する 1,000/80 の確率よりもはるかに小さい. 

この違いにより、攻撃の魅力が大幅に変わる可能性があります。 説明のために、攻撃者が 100 万ドルの予算を持っていると想像してください。⁷⁰ ハッシュ評価。 そして、攻撃者が成功した場合、見返りは 200 億ドルになるとします。 80 ビットのセキュリティに設定された PQ-SNARK に対する攻撃の期待値は、(1/1,000) * 200 億ドル、つまり 200 万ドルで、コストの 1 倍です。 CRHF のように、成功確率がわずか 1,000,000/200 の場合、攻撃の期待値はわずか XNUMX ドルになります。 

「80 ビット セキュリティ」の 1,000 つの概念は、独立した攻撃に対する堅牢性においても劇的に異なります。 たとえば、2 の独立したパーティがそれぞれ XNUMX を実行して PQ-SNARK を攻撃するとします。⁷⁰ ハッシュ評価。 それぞれが約 1/1,000 の確率で成功するため、少なくとも 1 つは成功する可能性が高くなります。 それぞれがわずか 1,000,000/XNUMX の確率で成功した場合、これは当てはまりません。

適切に設計された楕円曲線グループは、次のような誕生日のような攻撃で、CRHF と同様に動作することが期待されます。 Pollard の rho アルゴリズム 最もよく知られています。 これは、128 ビットのセキュリティを提供するグループでは、2^k 群演算は、離散対数問題のインスタンスの解をわずか 2 の確率で生成する必要があります。^2k-256。 たとえば、2⁷⁰ 群演算は、天文学的にわずかな確率 2 の離散対数を見つけます。^-116. さらに、各グループ操作は CRHF 評価よりも遅くなります。 

現在、実行可能なハッシュ評価はいくつありますか?

2020 年 2 月、コンピューティングのコストはわずか XNUMX 分の XNUMX になりました⁶⁴ GPU を使用した SHA-1 評価は $45,000. これは 2 のコストを置きます⁷⁰ GPU での SHA-1 評価は数百万ドルです (Ethereum の合併後は、GPU が支配するプルーフ オブ ワーク マイニングからの移行により、GPU コンピューティングの需要が減少し、そのコストが低下する可能性が高いため、おそらく低くなります)。 

妥当性のロールアップにはすでに数億ドルのユーザー資金が保存されているため、虚偽の陳述の説得力のある証拠を見つけることで、何百万ドルもの利益を得ることができます。 積極的な推測の下で 80 ビットのセキュリティで PQ-SNARK を構成すると、収益性の高い攻撃と PQ-SNARK の推測されたセキュリティとの間に 10 ビット未満の小刻みな余裕が残ります。

別のデータ ポイントとして、ビットコインのネットワーク ハッシュ レートは現在約 2 です。⁶⁴  XNUMX 秒あたりのハッシュ評価、つまり、ビットコイン マイナーは全体として 2 を実行します⁸⁰ 256 時間ごとの SHA-18 評価。 もちろん、この驚くべき数字は、ビットコイン マイニング用の ASIC への莫大な投資によるものです。 

と仮定すると XNUMXつのビットコインブロック 6.25 時間ごとに作成され、現在のブロック報酬が 2 ブロックあたり XNUMX ビットコインであるとすると、これら XNUMX⁸⁰ SHA-256 評価の費用は、おそらく $22,000 * 18 * 6 * 6.25 ≈ 15 万ドル未満です。 そうでなければ、ビットコインマイニングは現在の価格では利益を上げられないでしょう. 

健全な生態系のための提案された行動

ロールアップで SNARK を使用することの要点は、ユーザーがロールアップ サービスを盲目的に信頼する必要なく、ブロックチェーンのスケーラビリティを実現することです。 ロールアップ サービスが SNARK 検証者として機能するスマート コントラクトを作成したため、パブリックはコントラクトを検査し、適切なステートメントの SNARK 証明を実際に検証していることを確認できなければなりません。 ロールアップ サービスが自身のユーザーを検閲できないことを確認するために、スマート コントラクトの公的精査も必要になる場合があります。 検閲耐性のために提案されている方法では、ロールアップ サービスがトランザクションの処理に失敗した場合に、ロールアップのスマート コントラクトを使用して、ユーザーが資金を強制的に引き出すことができるようにする必要があります。 

これらのプロトコルの洗練された性質を考えると、この公的精査のパラダイムは、展開された契約のセキュリティについて率直かつ率直に議論することを専門家にいくらか負担させます。 

しかし、PQ-SNARK では、これらの SNARK のセキュリティと検証者のパフォーマンスが緊張状態にあるのと同じ理由で、展開されたプロトコルのセキュリティ レベルを確認することは専門家でさえ難しい場合があります。セキュリティ レベル (および検証者のコスト) は、スナーク。 少なくともStarkWareの場合は スマート契約、これらのパラメータ、called logBlowupFactor、 ofWorkBits、および n_Queries は、スマート コントラクトのコードで直接指定されるのではなく、パブリック データとしてスマート コントラクトに渡されます。 私の知る限り、オンチェーン情報からこれらのパラメーターを特定する最も簡単な方法は、次の XNUMX ステップのプロセスを使用することです。 

1. 見る 適切なスマート コントラクト Etherscan などのブロック エクスプローラーで、 
2. をクリックします 適切な「検証」トランザクション, 
3. トランザクションの入力データをデコードし、
4. 方法を理解する 解釈する デコードされた入力データを使用して、セキュリティ レベルを決定する主要な SNARK パラメータを学習します。 

この最後のステップでは、トランザクションを実装する適切な Solidity コードを見つける必要がありますが、これ自体が紛らわしい作業になる可能性があります。 (準備していた時 調査 会談 この夏のロールアップでは、Etherscan は、上記のステップ 2 に従って、関連する入力データを SHARP ベリファイア トランザクションにデコードすることができました。 しかし、それはもはや機能していないようです。)

提案 1: 精査 

これを念頭に置いて、web3 コミュニティへの私の最初の提案は、展開されたポスト量子 SNARK のセキュリティ レベルの精査をはるかに簡単にすることです。 これには、チェーン上のデータを理解するためのより優れたツールと、これらのパラメーターを知らせるプロジェクト自体による透明性の向上が含まれる可能性があります。 

提案 2: 規範の強化

80 ビットのセキュリティは低すぎます。特に 2 ビットの脆弱なバージョンでは⁷⁰ ハッシュ評価は、約 1/1000 の確率で攻撃を成功させるのに十分です。暗号プリミティブに対する驚くべき攻撃の長い歴史を考えると、なおさらです。 上記の 128 つは、altbn1 などのペアリングに適した楕円曲線に対するより優れた攻撃です。 より有名な例は SHA-80 で、60 ビットのセキュリティで標準化されましたが、最終的には約 10 ビットしか達成できないことが示されました。 この歴史を念頭に置いて、PQ-SNARK の設計者は、セキュリティ レベルを構成するときに XNUMX ビット以上の小刻みな余裕を残す必要があります。特に、セキュリティ分析に FRI などの比較的新しいプロトコルの統計的セキュリティに関する強力な推測が含まれる場合はそうです。

PQ-SNARK の場合でも、検証コストを増やすだけで、常に適切なセキュリティ レベルを達成できます。 たとえば、SHARP のベリファイアのセキュリティを 80 ビットから 128 ビットに増やすと (FRI の統計的健全性に関する推測に基づいて)、ガスのコストが約 5 倍に増加し、10 万強から 20 万強になります。 FRI に関する推測がなければ、ガスのコストはさらに XNUMX 倍に増加し、XNUMX 万を超えることになります。 

私の次の提案は、web3 コミュニティが、展開された SNARK の適切なセキュリティ レベルに関するより強力な基準を開発する必要があるということです。 私の個人的な推奨は、少なくとも 100 ビットであり、SNARK のセキュリティが非標準の仮定に基づいている場合は少なくとも 128 ビットです。 私は初めてではありません そのような提案をする.

ここでは、無条件のセキュリティを「標準的な仮定」として分類したいと思います。 ランダムオラクルモデル、展開された SNARK のランダムオラクルが KECCAK-256 などの標準ハッシュ関数でインスタンス化されている場合。 ランダム オラクル モデルは、適切に設計された暗号化ハッシュ関数の動作をキャプチャするための理想的な設定です。 PQ-SNARK のセキュリティを分析するためによく使用されます。 

非標準的な仮定の例としては、FRI などのプロトコルの定量的な健全性に関する推測 (以下で説明) があります。これは、インタラクティブな設定またはランダム オラクル モデルの非インタラクティブなプロトコルとしてのいずれかです。

SNARK の設計者は多くのエキサイティングな方法で革新を行っており、そのうちのいくつかはセキュリティの面で限界を押し広げている可能性があります。 私はそのような努力をやめるよう求めているわけではありません。 ただし、これらのプリミティブは、既知の実行可能な攻撃を 10 ビットをはるかに超えるセキュリティ レベルでインスタンス化する必要があります。 

SNARK を使用したロールアップは、一般に、L1 のセキュリティを継承していると説明されています。 しかし、L1 で使用される暗号化プリミティブよりもはるかに低いセキュリティ レベルで構成されている場合、これを行うのは困難です。 SNARK の採用が増加しているため、私たちが話している方法と一致する方法で SNARK を展開するようにする必要があります。 SNARK が注意深く分析され、適切に構成され、正しく実装されている限り、現在使用されている暗号プリミティブと同じくらい安全です。 

余談: PQ-SNARK セキュリティをさらに深く掘り下げる

StarkWare の PQ-SNARK における 80 ビットのセキュリティは、次のように説明されています。 これらの PQ-SNARK は、 FREE、および StarkWare の SHARP 検証ツールは、推測に基づいて 48 ビットのセキュリティで FRI を実行します。 大雑把に言えば、FRI の健全性に対する単純な攻撃が最適であるという推測です。 この攻撃では、チート証明者がわずかな労力で、検証者がランダムに選択したチェックを確率 2 で通過する「FRI 証明」を生成します。^-48. 

StarkWare は FRI を「研削」と呼ばれる技術と組み合わせます。 これには、正直な証明者が FRI プルーフを生成する前に 32 ビットのプルーフ オブ ワークを生成する必要があります。 粉砕の利点は、不正証明者が上記の FRI に対する単純な攻撃を実行するために必要な作業が約 2 に大幅に増加することです。³² ハッシュ評価。 

(期待して) 2⁴⁸ そのうちの 2 つが成功する前に単純な攻撃の試みが必要であり、不正証明者が FRI 証明を偽造するために行わなければならない作業の総量は、およそ XNUMX です。⁴⁸ * 2³² = 2⁸⁰ ハッシュ評価。

最後に、FRI の 48 ビット セキュリティがどのように発生するかを解き明かしましょう。 FRI ベリファイアは、コミットされた多項式に対して「クエリ」を実行します。 FRI 検証のコストは、クエリの数に比例して増加します。 たとえば、36 個の FRI ベリファイア クエリは、4 個のクエリの約 9 倍のコストがかかります。 ただし、クエリが多いほど、セキュリティが強化されます。 「クエリごとのセキュリティ ビット」の数は、コード レートと呼ばれる FRI の別のパラメータに依存します。 

具体的には、FRI はレートのリードソロモン コードと呼ばれるものを使用します。 rここで、 r は常に厳密に 0 と 1 の間の数値です。FRI 証明者のコストは反比例します。 r、したがって、1/16 のレートは、¼ のレートよりも約 XNUMX 倍遅く、より多くのスペースを消費する証明者につながります。 

SHARP 検証機は、1/16 のコード レートと 12 の検証者クエリで FRI を実行しています。

各 FRI 検証クエリがログを追加するという StarkWare の推測₂（1 /r) セキュリティのビット。 この推測では、12 個のベリファイア クエリで 12 * ログが生成されます。₂(16) = 48 ビットのセキュリティ。

ただし、現在の分析では、各ベリファイア クエリがログよりもわずかに少なく追加することしか立証されていません。₂(1/r^1/2) セキュリティのビット。 したがって、12 個の FRI ベリファイア クエリでは、12 * ログ未満しか得られません。₂(4) = 24 ビットの「証明可能な」セキュリティ。 

セキュリティとパフォーマンスの間の緊張を緩和するための提案

実用的な PQ-SNARK の検証コストは、必要なセキュリティ ビット数に比例して増加します。 この緊張を緩和するための有望な手法の XNUMX つは SNARK コンポジションです。以前の投稿で証明者と検証者のコストの間の緊張を解決する手段として説明しましたが、セキュリティにも対処できます。 

XNUMX つの例 

ポリゴンエルメスは PlonK で PQ-SNARK を作成する. アイデアは、証明者が最初に PQ-SNARK 証明 π を生成するというものです。 PQ-SNARK が高速な証明者と適切なセキュリティ レベルを持つように構成されている場合、π は大きくなります。 したがって、証明者は検証者に π を送信しません。 代わりに、PlonK を使用して、π を知っていることを証明します。 

これは、入力として π を受け取る回路に PlonK を適用し、PQ-SNARK ベリファイアが π を受け入れるかどうかをチェックすることを意味します。 PQ-SNARK は多対数検証コストがあるため、PlonK は小さな回路に適用されるため、PlonK 証明器は高速です。 PlonK プルーフはサイズが小さく、安価に検証できるため、検証コストが低くなります。 

残念ながら、PlonK を使用すると、透明性とポスト量子セキュリティが破壊されます。 代わりに、PlonK の代わりに PQ-SNARK 自体を使用して、π の知識を証明することを検討できます (実際、Polygon で使用される PQ-SNARK はこの方法で自己構成されています)。 

PQ-SNARK のこの XNUMX 番目のアプリケーションでは、π の知識を証明するために、システムを構成して、妥当なサイズの証明で適切なセキュリティを実現できます。たとえば、FRI で使用するために非常に小さいコード レートを選択します。 重要な点は、この小さなコード レートは証明者の時間にとっては悪いことですが、PQ-SNARK の XNUMX 回目の適用は小さな回路にのみ適用されるため、合計の証明者時間は依然として小さいはずです。

構成された SNARK のセキュリティに関する理論的な理解には、まだ多くのことが望まれています。 ただし、構成する SNARK の XNUMX つを個別に攻撃するよりも高速な攻撃は知られていません。 たとえば、PlonK で PQ-SNARK を構成する場合、PQ-SNARK を攻撃する (つまり、虚偽のステートメントの PQ-SNARK 証明 π を見つける) か、PlonK を攻撃する (つまり、 「私は、検証者が受け入れたであろう PQ-SNARK 証明 π を知っています。」という誤ったステートメントの PlonK 証明を見つけます。)

この方法で SNARK を構成することは、パフォーマンスを改善するための一般的な方法です。 プロトコル設計者もそれを使用してセキュリティを向上させることを願っています。

***

ジャスティン・セイラー ジョージタウン大学の准教授。 ジョージタウンに入社する前は、ニューヨークの Yahoo Labs でリサーチ サイエンティストとして XNUMX 年間勤務し、その前は、 シモンズ コンピューティング理論研究所 UC Beでrkeley。 

編集者：ティム・サリバン @tim_org

***

ここに示されている見解は、引用された個々のAH Capital Management、LLC（「a16z」）の担当者の見解であり、a16zまたはその関連会社の見解ではありません。 ここに含まれる特定の情報は、a16zが管理するファンドのポートフォリオ企業を含むサードパーティの情報源から入手したものです。 a16zは、信頼できると思われる情報源から取得したものですが、そのような情報を独自に検証しておらず、情報の永続的な正確性や特定の状況に対するその適切性について表明していません。 さらに、このコンテンツにはサードパーティの広告が含まれる場合があります。 a16zはそのような広告をレビューしておらず、そこに含まれる広告コンテンツを推奨していません。

このコンテンツは情報提供のみを目的として提供されており、法律、ビジネス、投資、または税務に関するアドバイスとして信頼されるべきではありません。 これらの問題については、ご自身のアドバイザーにご相談ください。 証券またはデジタル資産への言及は、説明のみを目的としたものであり、投資の推奨または投資顧問サービスの提供を構成するものではありません。 さらに、このコンテンツは、投資家または将来の投資家による使用を目的としたものではなく、a16zが管理するファンドへの投資を決定する際にいかなる状況においても信頼されない場合があります。 （a16zファンドへの投資の申し出は、私募覚書、サブスクリプション契約、およびそのようなファンドの他の関連文書によってのみ行われ、その全体を読む必要があります。）言及、参照、または記載されているのは、a16zが管理する車両へのすべての投資を代表するものではなく、投資が有益である、または将来行われる他の投資が同様の特性または結果をもたらすという保証はありません。 アンドリーセンホロウィッツが管理するファンドが行った投資のリスト（発行者がa16zに公開を許可していない投資、および公開されているデジタル資産への未発表の投資を除く）は、https：//a16z.com/investmentsで入手できます。 /。

記載されているチャートおよびグラフは、情報提供のみを目的としており、投資を決定する際に信頼することはできません。 過去の実績は将来の結果を示すものではありません。 内容は、示された日付の時点でのみ話されています。 これらの資料に記載されている予測、推定、予測、目標、見通し、および/または意見は、予告なしに変更される場合があり、他の人が表明した意見と異なる場合があります。 その他の重要な情報については、https：//a16z.com/disclosuresを参照してください。