本文介绍了lambdaworks,一个用于零知识证明的密码学库,它使用Rust编写,专注于生产环境而非学术研究。文章概述了lambdaworks的功能、最近的性能优化工作、未来的发展路线图,以及其在以太坊生态系统中的角色,旨在为构建provers, verifiers和密码学应用的团队提供基础工具,并作为一个学习资源。
介绍
自从我们启动 lambdaworks ,我们用于零知识证明的密码学库以来,已经过去了将近 3 年。第一个 PR 于 2023 年 1 月 18 日合并,从那时起,我们合并了来自近 80 位合作者的 575 多个 PR,而且还在不断增加。当时,以太坊和 ZK 社区对于最佳证明系统、使用哪种算术化方法、使用电路还是虚拟机、选择椭圆曲线还是基于哈希的证明系统等问题仍然存在很大的争论。我们了解并理解不同的技术,并且我们认为使用零知识虚拟机 (zkvm) 和基于哈希的证明系统/STARK 才是正确的方向,因为它更容易理解,具有更少的安全假设,具有后量子安全性,并且大大简化了可证明应用程序的编写。我们看到了 Cairo-vm (第一个使用 STARK 的可证明虚拟机)和 Risc0 虚拟机(使用 RISC-V 指令集架构 (ISA))的潜力,可以简化开发人员在构建可验证应用程序时必须做的工作。2024 年为 zkvm 带来了更强大的设计,并且编写可证明的应用程序变得越来越容易;2025 年出现了大规模加速,实现了以太坊区块的实时证明,并且我们看到了今年以来的巨大性能提升,表明该技术正在成熟。我们还看到设计正在趋同于相似的选择,即使用后量子安全的 STARK 和 RISC-V ISA。以太坊基金会发布了 Lean Ethereum 的路线图,利用零知识证明来实现共识中使用的后量子安全可聚合签名(Fort Mode),并证明 L1 和 L2 区块以实现大规模吞吐量,在 L1 中达到大约 1 Ggas (109109 gas,超过每秒 10,000 笔交易),在 L2 中达到 Tgas (10121012 gas)(Beast Mode)。虽然我们正在开发我们自己的零知识虚拟机,并且我们已经有了我们的执行客户端(ethrex)并且正在开发我们的 lean 共识客户端(ethlambda),但我们也认为继续构建一个通用的零知识证明和密码学库供其他项目使用,以及进行研究和基准测试是很好的。
我们为什么要构建 lambdaworks
我们看到当时的许多 可用库不是用 Rust 编写的,就是难以使用,具有不必要的复杂性,并且更多地是为研究目的而构建的,而不是为了生产。基于 lambda 工程理念,我们决定我们的库必须:
- 用 Rust 编写,具有可靠的工程实践
- 专为生产而设计,而不仅仅是学术研究
- 易于使用,并附带清晰的文档
- 能够进行 GPU 加速(CUDA、Metal)
- 具有足够的模块化,供研究人员构建新想法的原型
当前状态
经过两年多的开发,我们能够添加许多不同的特性和后端;该库正在 Cairo-vm 和 ethrex 中使用。以下是 lambdaworks 中当前存在的功能的摘要:
证明系统
- STARK Platinum:我们的主要 STARK 证明器
- Groth16:完整的实现,支持 Circom
- GKR:基于 Sumcheck 的分层电路协议
- Plonk:部分实现,支持基本电路
数学
- 有限域:Stark252、Mersenne31、BabyBear、MiniGoldilocks、二进制域等等
- 椭圆曲线:BLS12-381、BLS12-377、BN254、Pallas、Vesta、secp256k1、secq256r1
- 多项式:密集和稀疏表示、FFT、NTT、求值和插值
- 配对:BN254 和 BLS 曲线的优化 Ate 配对
密码学原语
- 多项式承诺:KZG10、FRI
- 哈希函数:Poseidon、Rescue、Pedersen
教育资源
- 示例:Shamir 秘密共享、Merkle 树、BabySNARK、Pinocchio、Reed-Solomon、FROST 签名、Schnorr、RSA。
- Bootcamp:内部培训计划,产生了其中几个示例。
- CTF 挑战:Lambda-Ingo ZK CTF,其挑战建立在 lambdaworks 之上
最近的工作
在过去的几周里,我们专注于性能和代码质量:
- 针对更快的算术运算的字段和曲线优化
- 修复了慢速平方根计算
- BabyBear 重构为仅使用 u32 操作
- 移除了朴素的配对实现,转而使用优化版本
- 提取了通用的序列化助手
- 改进了文档,增加了入门指南
更新后的路线图
在今年,我们想要添加一些待处理的功能,提高库的性能,增加对 GPU 的更多支持,并添加新的证明系统和原语以进行实验和学习。以下是一个全面的列表:
证明系统
- 完整的 STARK 协议,支持使用 FRI 的 logUp
- 完整的 Plonk 协议,以支持查找表
- 添加 Circle STARK
- 添加 GKR logUp
- 改进 AIR 和 Plonk 中约束的 DSL
多项式承诺方案
- 添加 WHIR 作为多项式承诺方案
- 添加 PCS 特征并统一多项式承诺接口
原语和字段
- 添加缺失的字段,例如 KoalaBear
- 改进多线性多项式和 sumcheck 协议
- 添加恒定时间操作以启用签名
签名
- 添加 Lean Ethereum 的 XMSS 签名
- 实现其他后量子安全签名
性能
- 为 lambdaworks 添加 GPU 支持(CUDA、Metal、WebGPU)
- 继续改进字段和曲线运算的性能
代码质量
- 简化代码库
- 添加更多测试、模糊测试和差异模糊测试
- 对关键组件进行形式化验证
展望未来
以太坊生态系统正围绕着一个清晰的技术愿景趋同。https://leanroadmap.org/ 概述了两个互补的目标:Fort Mode 用于后量子安全和抵抗国家级对手的弹性,Beast Mode 用于将 L1 扩展到 1 gigagas/秒(约 10,000 TPS),将 L2 扩展到 1 teragas/秒(约 1000 万 TPS)。两种模式都严重依赖 lambdaworks 提供的密码学原语。lambdaworks 可以通过提供性能、简单的代码库和冗余来增加价值(如果所有的 zkvm 都依赖于同一个库,并且该库有一个 bug,那么我们是否有多个 zkvm 实现并不重要)。
更广泛的生态系统也在趋同于相似的选择:STARK 而不是 SNARK,因为它们的透明性和后量子安全性;RISC-V 作为 zkVM 的标准 ISA;以及基于哈希的密码学作为基础。新的多项式承诺方案,如 WHIR 和基于 sumcheck 协议的证明系统,正在推动可能性的边界。我们希望 lambdaworks 支持这种实验,同时保持简单和可用于生产。
我们认为 lambdaworks 在未来将扮演三个角色:
- 我们自己项目的基础设施:ethrex、ethlambda 和我们的 zkvm 都依赖于 lambdaworks 原语
- 更广泛生态系统的工具包:构建证明器、验证器和密码学应用程序的团队可以使用 lambdaworks 作为基础
- 学习资源:深入理解这些原语对于任何在 ZK 工作的人来说都是必不可少的,我们的示例和文档旨在使其更容易
未来几年对于零知识技术将是决定性的。随着以太坊走向 Lean Consensus 和后量子签名,随着 L1 和 L2 吞吐量成倍增加,以及随着 ZK 嵌入到从身份到金融基础设施的一切事物中,拥有强大、经过良好测试的密码学库变得至关重要。我们正在构建 lambdaworks 成为其中的一个库。
如果你想贡献代码或有疑问,请加入我们的 https://t.me/lambdaworks 或在 https://github.com/lambdaclass/lambdaworks 上打开一个 issue。
