ZKP S3M7: zkID (匿名凭证)

视频 AI 总结： 本视频探讨了数字身份的隐私保护构建。指出当前广泛部署的数字身份系统（如基于Salted Hashes的方案）存在严重隐私缺陷，特别是缺乏不可关联性，导致用户活动易被追踪。为解决此问题，视频提出采用零知识证明（ZK-SNARKs）作为隐私增强层，在不改变现有发行方基础设施的前提下，实现选择性披露和不可关联性。视频还深入讨论了凭证撤销、可否认呈现等高级隐私特性，并比较了不同ZK证明技术及其在标准化方面的挑战。 关键信息： 1. **现有数字身份系统的隐私缺陷**：目前广泛部署的数字身份方案（如基于Salted Hashes的LA Wallet，以及EUDI和MDL的早期设计）存在严重隐私问题。其核心缺陷在于使用静态的哈希摘要和签名，导致发行方和验证方能够追踪用户的凭证使用活动，缺乏“不可关联性”（Unlinkability）。 2. **ZK-SNARKs作为隐私增强层**：视频提出使用零知识证明（ZK-SNARKs）作为解决方案。这种“签名零知识证明”（Snark of a Signature）架构，可以在不改变现有凭证发行方（如政府）行为和其签发凭证格式（如SD-JWT）的前提下，为数字身份系统增加隐私保护层。 3. **核心隐私特性**： * **不可关联性 (Unlinkability)**：确保发行方和验证方无法将不同时间或地点的凭证出示行为关联到同一用户。 * **选择性披露 (Selective Disclosure)**：用户可以仅披露凭证的必要部分，而非全部信息。 * **可否认呈现 (Deniable Presentation)**：用户在出示凭证后，能够合理否认曾进行过该呈现行为，防止验证方伪造或滥用证明。 4. **技术实现与挑战**： * **架构**：将现有凭证作为ZK证明的私有输入，在电路中验证其签名（如ECDSA-verify）和解析数据格式（如JSON）。 * **“准备”与“出示”阶段**：可将凭证解析和签名验证等计算密集型操作预处理，出示时仅处理与验证方请求和活跃性（Nonce签名）相关的部分。 * **设备绑定**：通过发行方签署持有者的公钥，并在出示时要求持有者用该私钥签名Nonce，确保凭证与特定设备和当前用户绑定。 * **撤销机制**：讨论了多种撤销方案，从隐私保护最佳的客户端证明非黑名单包含，到隐私最差的验证方直接询问发行方，强调平衡隐私与功能。 5. **不同ZK证明系统比较**： * **Microsoft Crescent Credentials (Groth16)**：高效可重随机化，但需要可信设置 (Trusted Setup)。 * **Google (GKR/Ligero)**：无需可信设置，但每次出示需重新计算整个证明，通过优化底层字段实现快速计算。 6. **标准化与额外隐私考量**： * 强调与IETF、W3C、ISO等标准机构合作的重要性，以确保方案的互操作性、安全性和大规模部署。 * 警惕零知识证明可能带来的“虚假安全感”，导致用户过度披露信息，并关注协议外隐私泄露（如网络地址、时间戳）和属性间的关联性可能导致去匿名化。

ZKP 白板：可信执行环境

视频 AI 总结： 视频深入探讨了可信执行环境（TEE），解释了其隔离、远程证明等核心机制，以及基于进程和VM的两种主要类型。它详细阐述了TEE在Web3（如私有智能合约、MEV抵抗）和传统应用中的潜力，并将其与ZK、MPC、FHE等技术进行比较。视频还强调了TEE面临的侧信道、重放攻击和升级挑战，以及如何通过信任链和TCB信息确保其安全性，最终指出TEE正从DRM工具转变为保护云端数据隐私的关键技术。 **关键信息点：** 1. **TEE核心概念与工作原理：** * **隔离（Isolation）**：TEE提供一个安全区域，保护程序或虚拟机免受操作系统、Hypervisor及其他进程的窥探。 * **远程证明（Remote Attestation）**：允许远程用户验证TEE中运行的代码哈希、配置及数据完整性，由硬件制造商的公钥签名，形成信任链。 * **内存加密**：TEE内部的数据在主内存中是加密的，只有TEE能解密和访问。 2. **TEE的信任模型：** * 涉及硬件制造商（如Intel/AMD）、托管提供商/云服务商、应用开发者和最终用户。 * 信任链从制造商的根公钥延伸至平台证书和应用代码哈希，用户需信任制造商不会伪造证明。 * 物理攻击（如内存拦截）是威胁模型的一部分，需要信任托管提供商不会进行此类攻击。 3. **TEE的类型：** * **基于进程的TEE**：如Intel SGX，单个进程在隔离区运行，操作系统内核被视为不可信。 * **基于VM的TEE（机密虚拟机CVM）**：如AMD SEV和Intel TDX，整个虚拟机在隔离区运行，Hypervisor被视为不可信。CVM简化了编程模型，但可能增加可信计算基（TCB）的攻击面。 4. **TEE的应用场景：** * **Web3领域**： * **Rollup证明**：为L2 Rollup提供区块有效性的主动证明，支持以太坊L2的快速干预机制。 * **私有智能合约**：在TEE中运行EVM，实现加密数据的智能合约操作，如Secret Network和Oasis。 * **MEV抵抗**：通过在TEE中执行交易，防止抢跑（front-running）。 * **传统应用**：在TEE中运行传统服务器（如PHP/MySQL），保护数据库隐私和代码完整性，实现“去中心化前端”。 * **通用优势**：为现有代码提供隐私和完整性保护，支持构建去中心化网络。 5. **TEE与其他隐私计算技术的比较（以密封竞价拍卖为例）：** * **零知识证明（ZK）**：可证明竞价有效性，但拍卖师仍能看到所有竞价，存在信息泄露风险。 * **多方计算（MPC）**：通过K-of-N委员会实现隐私，依赖委员会的诚实多数假设，通信开销大。 * **全同态加密（FHE）**：可将计算外包给不可信方以提高性能，但隐私信任模型仍依赖于解密密钥的持有者（通常是MPC委员会）。 * **TEE在拍卖中的优势**：TEE可以解密并处理所有竞价，只公布结果，保护未中标者的隐私，且不依赖于委员会的诚实多数。TEE也可与MPC结合，增强MPC节点的安全性。 6. **TEE面临的挑战与陷阱：** * **侧信道攻击（Side Channels）**：通过观察TEE与外部环境的交互（如内存访问模式、页面错误）来推断敏感信息。 * **重放攻击（Replay/Rollback Attacks）**：不可信主机可以回滚TEE的外部存储（如磁盘）到旧状态，TEE难以察觉。解决方案包括使用Merkle树或将状态存储在区块链上。 * **升级机制（Upgrades）**：TEE的默认不可变性与软件升级需求之间的矛盾，需要设计类似智能合约代理模式的升级机制，并考虑“rage quit”等用户保护措施。 * **可信计算基（TCB）**：TEE的安全性依赖于硬件、固件和TEE内部运行的软件，TCB越大，攻击面越大。 * **可重现构建（Reproducible Builds）**：验证TEE中运行的二进制代码是否与公开的源代码一致，是确保信任的关键挑战。 7. **Intel Attestation Service (IAS) 和 TCB Info：** * 远程证明证书链包含CPU配置信息（处理器家族、BIOS版本）。 * Intel发布TCB Info，列出不同BIOS版本的安全状态，客户端需对照验证TEE的安全性。 * 将TCB Info放在区块链上（如Automata On-chain PCCS）可提高透明度和抗审查性，类似于证书透明度项目。 8. **TEE的演变与未来：** * 早期主要用于DRM，导致负面声誉。 * 现在更多用于约束云服务提供商，提供“机密计算”（Confidential Compute），保护用户数据在云端的隐私和完整性，成为一个日益增长的技术方向。

ZK 白板 S3M5: Ligero 证明系统

视频 AI 总结： 1. **核心内容概括：** 视频深入探讨了零知识证明（ZKPs）系统Ligero的原理和设计。Muthu首先回顾了零知识证明和多方安全计算（MPC）的起源，特别是“MPC in the head”范式如何作为Ligero的基础。他详细解释了Ligero如何利用Reed-Solomon编码和多项式性质，通过打包秘密共享和交互式证明协议来验证计算的正确性，同时保持隐私。视频还讨论了Ligero在实现简洁验证和内存效率方面的挑战与解决方案，强调了ZK技术从理论走向实际应用的重要性。 2. **视频中提出的关键信息：** * **零知识证明（ZKPs）与多方安全计算（MPC）基础：** * **知识定义：** 攻击者可以免费获得高效计算和随机性所能学习到的任何信息。零知识证明旨在确保攻击者不会学习到超出这些“免费知识”的额外信息。 * **模拟器（Simulator）：** 证明零知识的关键工具，它能在不知道私有信息的情况下生成与真实交互无法区分的证明，且必须在多项式时间内运行。 * **MPC定义：** 多个参与方在不泄露各自私有输入的情况下，共同计算一个函数，确保最大隐私。 * **MPC与ZK关系：** ZK是MPC的一个特例。从通用MPC构建ZK效率低下且继承了公钥假设。 * **“MPC in the Head”范式：** * 由Ishai Kushi Levitz Ostrovsky和Sahai于2007年提出，是Ligero的基础。 * 通过模拟一个“诚实多数”的MPC协议（例如5个虚拟参与方），将证明者的私有信息秘密共享给这些虚拟方，并验证它们之间的计算一致性，从而实现高效的零知识证明，且无需公钥假设。 * **Ligero证明系统核心机制：** * **约束系统：** 将计算表示为点乘约束（x * y = z）和线性约束（A * w = b）。 * **打包秘密共享（Packed Secret Sharing）：** 使用Reed-Solomon编码将多行见证值秘密共享为编码后的行，形成证明预言（Proof Oracle）。 * **交互式协议：** 证明者提交编码后的见证矩阵，验证者提供随机挑战R，证明者计算三个聚合值（VP, VM, VL）用于**邻近性测试**（验证编码正确性）、**乘法测试**（验证点乘约束）和**线性测试**（验证线性约束）。验证者通过查询随机位置并重新计算来检查一致性。 * **零知识实现：** 通过在秘密共享中添加随机盲化行（blinding rows）来隐藏见证信息，模拟器可以生成这些盲化值。 * **简洁验证与内存效率：** * **简洁验证：** 对于批量处理的方程组，Ligero可以实现简洁验证。对于任意电路，线性测试会破坏简洁性。 * **预处理SNARK：** 通过引入一个额外的SNARK来证明线性测试中所需辅助值（R-hat）的正确性，可以将Ligero转换为一个预处理SNARK，从而实现任意电路的简洁验证。 * **内存效率：** 通过流式处理（streaming）和垃圾回收（garbage collection）技术，Ligero可以在内存受限的环境（如浏览器、手机）中运行，例如Merkle树的构建和部分测试的计算。 * **见证遍历：** Ligero协议需要多次（例如3次）遍历见证数据，这是影响性能的关键因素。 * **未来展望：** 零知识证明技术正从理论走向实际应用，能够在移动设备和浏览器上运行，解决隐私和合规性问题。

ZK 白板 S3M4: LatticeFold 基于格的折叠方案

视频 AI 总结： 该视频深入探讨了 LatticeFold，一种基于格的折叠方案，旨在实现内存高效的大规模零知识证明。视频首先介绍了多项式环在格密码学中的应用及其带来的效率优势，特别是对于SWIFFT承诺。随后，它阐述了折叠方案的核心挑战，即如何维持证明中证人（witness）范数的有界性，并提出了分解技术来解决这一问题。最后，视频详细讲解了LatticeFold独特的范围证明机制，该机制利用多项式环的代数结构，实现了高效且安全的折叠，并与现有方法进行了对比。 视频中提出的关键信息： 1. **多项式环 (Polynomial Rings) 及其应用：** * 多项式环是整数的推广，在格密码学中用于提高效率和安全性，例如使用 `Z[x]/(x^d+1)` 形式的循环多项式环。 * 介绍了多项式环的算术运算（加法、乘法模 `x^d+1` 和 `q`）以及范数（L-infinity 范数）。 * `Rq`（系数模 `q` 的多项式环）具有快速乘法特性（O(d log d) 复杂度）。 2. **SWIFFT 承诺 (Ajtai Commitments 的高效变体)：** * SWIFFT 是一种更高效的 Ajtai 承诺，通过将数据 `f` 分割成环元素，并使用 `Rq` 上的承诺矩阵 `A`。 * 其安全性可归结为结构化格问题（理想格问题），被认为是后量子安全的。 * 计算效率远高于传统 Ajtai 承诺（m log n 对 n*m）。 3. **折叠方案 (Folding Schemes) 及其挑战：** * 折叠方案旨在将两个证明实例合并为一个更简单的实例，以实现证明的累积。 * 需满足完备性、可靠性和简洁性（验证者复杂度亚线性）等特性。 * 核心挑战在于，简单的随机线性组合（`cm = cm1 + r * cm2`）会导致新证人 `f = f1 + r * f2` 的范数显著增大，从而破坏承诺的绑定性。 4. **范数增长问题的解决方案：** * **改进挑战集 S：** 将随机挑战 `r` 限制在系数较小的多项式集合 `S` 中（例如，系数为 {-1, 0, 1}），可以将范数增长限制在 `d * B` 范围内，但仍会在多次折叠后累积。 * **分解技术 (Decomposition Technique)：** 将证人 `f` 分解为 `f_l` 和 `f_h`（例如 `f = f_l + sqrt(B) * f_h`），并对分解后的部分进行承诺。通过验证这些承诺的一致性，并巧妙地组合，可以确保最终折叠后的证人范数保持在 `B` 以下（例如，当 `B = 16d^2` 时）。 5. **范围证明 (Range Proof) 机制：** * **分解技术的安全问题：** 分解技术本身无法强制证明者绑定到正确的、小范数的分解向量，因此需要范围证明来强制执行范数约束。 * **现有范围证明方法的局限性：** 现有的格基 Bulletproofs、Labrador 或基于 SNARK 的 plookup 等方法，要么验证者复杂度为线性，要么存在辅助向量范数过高导致的循环性问题，不适用于折叠方案。 * **LatticeFold 的范围证明：** * 将证人 `f` 分解为 `t` 个向量（`f_1` 到 `f_t`），每个向量的系数限制在 `{-1, 0, 1}` 范围内。 * 将范数约束转换为代数“零检查”关系（例如 `f_i * (f_i - 1) * (f_i + 1) = 0`）。 * 利用 Sum-Check 协议将这些关系高效地归约为线性关系和求值语句。 * **LatticeFold+ 的优化：** * 直接利用 `Rq` 的代数结构，而不是依赖于分解和高次多项式的 Sum-Check。 * 通过在 `Rq` 上构造低次多项式公式来表示范围约束，使得 Sum-Check 协议的开销大大降低。 * 最终证明者开销显著降低，接近于一到两个 SWIFFT 承诺的计算成本，从而实现更高效的大范围证明。

ZK 白板 S3M3: 基于格的 SNARKs

视频 AI 总结： 本视频深入探讨了格密码学及其在零知识证明中的应用。主讲人Vadim Lubashevsky首先介绍了格密码学中的核心难题——小整数解问题（SIS），并在此基础上构建了Ajtai承诺方案。随后，视频详细阐述了一个两阶段的证明系统，用于证明对一个长向量`s`的知识及其范数（大小）的约束。该证明系统结合了“左右技术”来确保范数的紧密性。最后，视频讨论了如何通过在多项式环上进行操作，显著提高这些格基证明的效率。 **视频中提出的关键信息：** 1. **格密码学基础：** * **SIS 问题 (Small Integer Solution Problem)：** 格密码学中的核心难题，被认为是量子安全的。它涉及给定矩阵`A`和目标`t`，找到一个具有小系数的向量`s`，使得`As = t (mod q)`。 * **Ajtai 承诺方案：** 基于 SIS 问题构建，通过计算 `As = t` 来承诺向量 `s`。该方案具有压缩性（将长向量 `s` 压缩为短向量 `t`）和绑定性（难以找到不同的 `s'` 满足 `As' = t`）。 2. **格基证明系统构建：** * **初步证明（知识承诺）：** 证明者知道一个满足 `As = T` 的 `s`。 * 将长向量 `s` 分割成多个子向量，并对每个子向量进行承诺。 * 验证者发送随机挑战矩阵 `C`，证明者响应 `Z = S * C`。 * 验证者检查 `norm(Z)` 是否小，以及 `A * Z = T * C`。 * **挑战矩阵 `C` 的必要性：** 单个挑战向量 `c` 存在证明者作弊的风险（50% 成功率），使用多列的挑战矩阵 `C` 可以强制证明者正确响应，确保健全性。 * **“左右技术”实现范数紧密证明：** * 初步证明只能保证 `s` 的范数“不太大”，但无法证明其满足特定的紧密范数（例如，`s` 是二元的）。 * **左乘操作：** 验证者发送随机整数 `lambda`。证明者计算 `U+` 和 `U-`，它们是 `s` 的行向量与 `lambda` 幂次的加权和。 * **范数提取：** `U+` 和 `U-` 的内积会揭示 `s` 的平方范数 `Beta`，以及一个关于 `lambda` 的多项式。 * **多项式恒等引理：** 通过检查 `U+ * U- = Beta + sum(lambda^i * g_i)`，利用多项式在随机点处求值来确保 `Beta` 是正确的平方范数。 * **模 `q` 环绕问题：** 由于所有计算都在模 `q` 下进行，`Beta` 可能是 `Beta + Kq`。 * **解决方案：** 确保 `s` 的系数足够小，使得其范数不会超过 `q`。 * **更优方案（随机投影）：** 引入随机投影矩阵 `R`，通过证明 `R * s = t` 来获得 `s` 范数更紧密的近似（例如，在 2-4 倍因子内）。 3. **多项式环上的效率提升：** * **多项式环 `Rq = Zq[x] / (x^d + 1)`：** 将整数运算扩展到多项式环，其中 `d` 是 2 的幂次。 * **Module SIS：** 在多项式环上定义的 SIS 问题。 * **效率优势：** * **挑战 `C`：** `C` 可以是小多项式向量，提供更高的熵，减少挑战矩阵的维度，从而提高效率。 * **乘法效率：** 多项式乘法可以使用数论变换（NTT）或快速傅里叶变换（FFT）进行优化，将复杂度从 `n^2` 降低到 `n log n`。 * **范数提取：** 通过巧妙地构造 `s(x)` 与其自同构 `phi(s(x))` 的乘积，可以将范数精确地提取为结果多项式的常数项。 * **结构匹配：** 格基方案本身通常在多项式环上操作，使得证明系统与底层方案结构一致，避免了额外的转换开销。

ZKP - S3M2：与 Jim Posen 探讨 SNARK 的高性能工程

视频 AI 总结： 视频探讨了SNARKs高性能工程，通过利用并行计算、优化硬件资源和定制化设计，显著提升零知识证明的生成效率。 视频中提出了哪些关键信息： 1. **SNARKs协议瓶颈：** 识别了SNARKs（以STARKs为例）证明生成中的计算和内存瓶颈，如域乘法、哈希和NTT（数论变换）。 2. **CPU优化：** * **SIMD并行：** 利用单指令多数据（SIMD）技术，在CPU层面同时处理多个数据元素，提高域乘法吞吐量，应用于约束评估、PCS开启和哈希。 * **多核并行：** 将任务分配给多个CPU核心，利用共享内存和缓存机制加速计算，但NTT中的转置操作可能导致内存瓶颈。 3. **GPU优化：** * **大规模并行：** 利用GPU海量计算核心进行并行算术运算，显著提升吞吐量。 * **“喂饱野兽”原则与流水线：** 通过操作流水线（如重叠内存传输与计算）确保GPU核心持续工作，避免空闲。 * **交互性影响：** 协议中的交互轮次（如Fiat-Shamir挑战）可能限制流水线效率。 4. **集群级并行与递归：** * **分布式证明：** 将大型计算（如数十亿RISC-V周期）分解为小段，在多台服务器上并行生成独立证明。 * **递归聚合：** 通过递归方式（如二叉树结构）将小段证明聚合成最终证明，克服网络带宽限制。 * **见证生成优化：** 采用“预执行”（preflight execution）策略，先顺序记录关键数据，再并行生成见证。 5. **定制硬件：** * **ASIC/ASIP：** 为SNARKs计算设计专用芯片（如ASIC或ASIP），进一步减少指令周期、降低成本和功耗。 * **二元域优势：** 在硬件层面，二元域乘法比素数域乘法效率高出约5倍，但通用CPU/GPU难以利用。 * **FPGA：** 可编程门阵列（FPGA）可用于原型验证和特定场景生产，其二元域乘法吞吐量可与消费级GPU的素数域乘法媲美。

ZK 白板会议 - S3M1：如何构建哈希函数

视频 AI 总结： 该视频深入探讨了密码学哈希函数，涵盖了哈希函数的基本概念、安全性定义、构造方法以及在密码学中的广泛应用。视频强调了哈希函数在数据完整性验证中的作用，并讨论了不同类型的哈希函数，包括基于置换的 Sponge 结构和基于密钥置换的 Merkle-Damgård 结构。此外，视频还探讨了哈希函数的安全性，包括抗碰撞性、抗原像性，以及差分密码分析等攻击方法。最后，视频还介绍了 ZK 友好的哈希函数，如 Poseidon，并讨论了哈希函数在 Fiat-Shamir 变换中的应用。 关键信息： 1. 哈希函数是密码学中的瑞士军刀，广泛应用于签名、随机数生成、密钥派生、消息认证码以及零知识证明等领域。 2. 哈希函数将任意长度的输入映射为固定长度的输出，具有单向性，即难以从哈希值反推出原始输入。 3. 哈希函数的安全性包括抗碰撞性（难以找到两个不同的输入产生相同的哈希值）和抗原像性（难以找到一个输入产生给定的哈希值）。 4. Sponge 结构和 Merkle-Damgård 结构是两种常见的哈希函数构造方法，前者基于置换，后者基于密钥置换。 5. 差分密码分析是一种攻击哈希函数的方法，通过观察输入差异如何影响输出差异来寻找哈希函数的弱点。 6. ZK 友好的哈希函数，如 Poseidon，专为零知识证明设计，在有限域上进行运算，具有高效性和代数特性。 7. 在 Fiat-Shamir 变换中使用哈希函数时，需要确保哈希所有必要的信息，并进行良好的域分离，以防止碰撞攻击。

精简以太坊第二部分: PQ 签名和 Poseidon

视频 AI 总结： 本期“零知识”播客是“精益以太坊”迷你系列节目的第二集，由以太坊基金会的密码学研究员 Benedikt Wagner 和 Dmitry Korvatovich 担任嘉宾。节目深入探讨了后量子签名技术，特别是 LeanSig。该方案是一种基于哈希的多签名机制，旨在取代以太坊共识层中易受量子攻击的 BLS 签名，以实现量子安全。讨论内容涵盖了 LeanSig 的设计原理、安全权衡、编码挑战以及对核心哈希函数 Poseidon 的持续密码分析。 **视频中提出的关键信息：** 1. **核心问题与解决方案：** 以太坊共识目前使用的 BLS 签名易受量子计算机攻击。LeanSig 被提出作为一种基于哈希的后量子多签名方案，旨在提供量子安全且可聚合的替代方案。 2. **LeanSig 的工作原理：** * 它从一次性签名（one-time signature）开始，然后通过 Merkle 树构建一个可支持多次签名（例如 2^32 次，足以支持数百年）的方案。 * 聚合功能通过使用通用 SNARK（零知识简洁非交互式论证）实现，SNARK 证明了对一系列有效签名的了解，其输出即为聚合签名。 3. **设计权衡与优化：** * LeanSig 的设计涉及签名大小与性能（哈希计算量）之间的权衡。为了优化 SNARK 验证器的电路大小，通常需要增加证明者的工作量。 * “超立方体顶部”（Top of the Hypercube）优化旨在进一步减小签名并加快验证，但其复杂的编码方式在 SNARK 环境中仍面临挑战，目前正在通过新的形式化模型进行安全分析。 4. **安全分析方法：** * 为了减小签名大小，需要使用输出较小的哈希函数，这要求对方案进行更严格（tight）的安全分析。 * 研究人员正从传统的“随机预言模型”（random oracle model）转向更保守的“标准模型”（standard model），通过定义哈希函数的具体安全属性（如目标碰撞抗性、原像抗性）来证明方案的安全性。 5. **Poseidon 哈希函数：** * Poseidon 是 LeanSig 设计的核心哈希函数，目前主要关注其针对小素数域优化的新版本。 * 通过“Poseidon 倡议”（Poseidon Initiative）等项目，社区正积极对其进行密码分析，以建立对其安全性的信心。尽管已发现一些弱点，但其安全裕度仍在可接受范围内。 * 节目录制时，尚未考虑到 Mertz 和 Garcia 对 Poseidon 的最新攻击。 6. **其他相关工作：** 视频还简要提及了 ZK Summit 会议、ZK Mesh Plus 订阅服务，以及对 Plonky3 库中 Merkle 树实现进行安全分析的“十亿美元 Merkle 树”论文。

Justin 介绍精简以太坊第一部分

视频 AI 总结： 本次播客节目是“精益以太坊”（Lean Ethereum）六集迷你系列的首期，由以太坊基金会研究员 Justin Drake 介绍。该愿景旨在通过跨共识层、数据层和执行层（C-D-E）的全面升级，为以太坊核心提供面向未来的保障。核心内容包括引入后量子密码学、实现更快的最终确定性以及将零知识证明（ZK）技术深度嵌入系统。通过采用精简的 ZKVM（LeanVM）和对 SNARK 友好的哈希函数（Poseidon2），以太坊旨在解决签名聚合、提高吞吐量和确保端到端的形式化验证，从而打造一个更安全、可扩展且高效的区块链平台。 视频中提出了哪些关键信息： 1. **精益以太坊（Lean Ethereum）愿景**：这是一个旨在未来化以太坊核心的全面升级计划，涵盖共识层（Consensus Layer）、数据层（Data Layer）和执行层（Execution Layer），简称 C-D-E。 2. **核心目标**： * **后量子密码学（Post-Quantum Cryptography）**：将以太坊从当前的 BLS 签名和 KZG 方案迁移到后量子安全的密码学，以抵御未来的量子计算攻击。 * **更快的最终确定性（Faster Finality）**：提高共识层交易的包含速度和最终确定性。 * **提高吞吐量（Increased Throughput）**：通过 ZK-EVMs 提高 L1 的吞吐量和 Gas Limit，目标是实现 L2 的“每秒万亿 Gas”（Tera Gas per second），即每秒 1000 万笔交易。 3. **关键技术与解决方案**： * **SNARKs（零知识证明）**：在共识层用于高效聚合大量后量子签名，并在执行层用于 ZK-EVMs。 * **LeanVM**：一个极简的定制化 ZKVM，仅包含 5 条指令，专门为基于哈希的密码学设计，旨在在所有 C-D-E 层部署以实现协同效应。 * **Poseidon2 哈希函数**：被选为精益以太坊的首选哈希函数，因其对 SNARK 友好，能将性能提升 10 倍以上。以太坊基金会正通过研讨会和“Poseidon 奖金”计划来验证其安全性。 * **签名聚合**：通过 SNARKs 和 LeanVM 实现高效、递归和灵活的签名聚合，以支持百万级别的验证者。 * **形式化验证（Formal Verification）**：采用端到端的形式化验证方法，确保 LeanVM 及其数学基础和运行程序的正确性和安全性，甚至利用 AI 进行定理证明。 * **数据层升级**：将数据层迁移到后量子 Blob，利用纠删码（如 Reed-Solomon）和 Merkle 树，并在 LeanVM 中进行验证。 4. **潜在影响与行业标准**：精益以太坊旨在清理技术债务，使信标链对 SNARK 友好，并实现无需信任的钱包和跨链桥。该项目有望为整个区块链行业树立后量子解决方案的新标准，甚至可能被比特币和 Solana 等其他区块链采用。 5. **团队与协作**：项目由一个“精益团队”推动，利用 AI（如 Opus 4.5）加速研发，并通过每周的“后量子中断电话会议”进行协作。

ZK12：迈向实践中可验证的全同态加密

该视频的核心内容是探讨如何结合全同态加密（FHE）和简洁零知识证明（SNARKs）来实现既能保护隐私又能验证计算结果的外包计算，即“可验证的FHE”（Verifiable FHE）。 视频中提出的关键论据和信息包括： 1. **FHE和SNARKs的互补性：** FHE提供隐私保护，SNARKs提供可验证性。结合两者可以实现隐私保护和可验证的外包计算。 2. **两种结合方式：** 一种是在SNARKs内部运行FHE，即用SNARKs证明FHE的密文操作；另一种是在FHE内部运行SNARKs，即同态计算证明。视频强调，从安全角度考虑，应该选择前者，即在SNARKs内部运行FHE，以便客户端在解密前先验证证明。 3. **结合的挑战：** FHE和SNARKs都有各自的开销，结合后开销会成倍增加。FHE的密文扩展会增大电路规模，FHE的自举操作（bootstrapping）开销巨大，且FHE通常在环上运算，而SNARKs通常在有限域上运算，存在不匹配。 4. **解决方案：** 视频介绍了使用轻量级的FHE方案TFHE，并将其与高效的SNARKs方案Plonky2结合。由于TFHE的自举操作开销过大，视频提出使用基于递归的增量可验证计算（IVC）来优化自举操作的证明。 5. **实验结果：** 使用IVC优化后，在AWS大型实例上，单个自举操作的证明时间约为20分钟。虽然较慢，但表明该方案是可行的。 6. **安全性证明：** 视频强调，在特定条件下（先验证后解密，客户端知道电路和输入密文，输入密文格式良好），该结合方案可以在通用可组合性（UC）模型下证明其安全性，甚至可以抵抗恶意攻击者。 7. **潜在应用：** 可验证的FHE可以应用于神经网络（实现可验证和私有的AI）和区块链（减少验证者数量，降低对验证者诚实性的信任要求）。