ヴィタリックがGKRプロトコル解説
イーサリアム(Ethereum)の共同創設者ヴィタリック・ブテリン(Vitalik Buterin)氏が、超高速なゼロ知識証明システムの背後にある技術「GKR(Goldwasser-Kalai-Rothblum)」について詳細な解説ブログを10月19日に公開した。
GKRは多くの高性能証明システムで使用されている技術で、消費者向けGPU50台程度でのイーサリアムL1のリアルタイム証明や、一般的なラップトップで毎秒200万回のPoseidonハッシュを証明する性能を実現している。
GKRプロトコルは、複数の低次数レイヤーを通じてデータを処理し、同じ関数を大量の入力に適用する「大きな」計算パターンに特化して設計されている。多くの計算集約的な証明操作は大量のハッシュの証明を伴い、各ハッシュが内部的にこの構造を持つため、暗号学者にとって重要な技術となっている。またAI研究者にとっても、ニューラルネットワークが同様の内部構造を持つため関連性が高いという。
GKRの効率性は、中間レイヤーへのコミットメントを一切必要とせず、入力と出力のみにコミットすれば良いという点から生まれている。従来の手法では、データを暗号学的データ構造(KZGやマークル木)に格納するコミットメントが必要で、最も安価なマークルツリーでもコミット対象の各バイトに対して4〜16バイトのハッシュが必要だった。GKRはこの処理を最初と最後以外で完全に回避できる。
効率性について、ブテリン氏が作成したデモ実装では、Poseidonハッシュの証明において理論的に約15倍のオーバーヘッドを示した。これは従来のSTARK証明の約100倍のオーバーヘッドと比較して大幅な改善となる。また実際の実装テストでは10倍未満のオーバーヘッドを達成しており、さらなる最適化により一桁のオーバーヘッドでのハッシュ証明が可能だと主張されている。
なおGKR自体はゼロ知識(プライバシー)を提供せず、簡潔性のみを扱う技術だという。プライバシーが必要な場合は、GKR証明をZK-SNARKやZK-STARKでラップする必要がある。また実際のプロトコルでは、検証者が入力と出力の完全なリストを平文で扱うのではなく、ハッシュを証明してからそれらを大きな計算で使用するルックアップテーブルとして公開する手法が使われる。
GKRは「バッチとレイヤー」形式で表現できる多くの種類の計算の証明に適しており、各レイヤーが低次数多項式として表現できる場合に直接適用可能だ。大規模計算内で異なる値間の相互作用がある場合でも、多くの場合トリックを使用できるため、LLM推論の証明や他の多くの状況で関連性があるという。そのため高効率と低オーバーヘッドを目指すほとんどの証明者は、何らかの形でGKRのような技術を使用することになると予想されている。
A GKR tutorial:https://t.co/Oo7jraC4sy
— vitalik.eth (@VitalikButerin) October 20, 2025
参考:ヴィタリックブログ
画像:PIXTA