本日、LayerZeroは、トランザクションの実行と検証を分離する全く新しいゼロ知識証明手法を含む、いくつかの技術的進歩を取り入れた新しいチェーンZeroを発表しました。これはすべて「Jolt Inside」のおかげです。

Joltとは？Joltは、高速、安全、かつ使いやすいオープンソースのRISC-V zkVM（ゼロ知識仮想マシン、またはより正確には「簡潔な」仮想マシン）です。これは、a16z cryptoによる3年間の研究開発に基づいた、全く新しい最先端のSNARK設計手法を表しており、誰でも使用またはさらに開発できるようにオープンソース化しました。しかし、Joltの誕生は、実際には数十年にわたる物語の集大成なのです。

なぜzkVMとSNARK設計がそれほど重要なのでしょうか？SNARK設計の進化を深く掘り下げる前に、まずzkVMとは何かを詳しく理解する必要があります。この種の仮想マシンは通常「zk」仮想マシンと呼ばれますが、ここでより一般的に使用される特性は簡潔さです。「ゼロ知識」はプライバシー保護に不可欠ですが、「簡潔さ」は証明が簡潔で検証しやすいことを意味します。これらは2つの有用ですが異なる特性であり、しばしば混同されます。（Joltはすでに簡潔性を備えており、すぐにゼロ知識も実現する予定です。）

しかし、なぜzkVMがそれほど重要なのでしょうか？zkVM、そしてより広義にはSNARK（簡潔な非対話型知識論証）は、ブロックチェーンのスケーラビリティ、プライバシー、セキュリティなど、多くの側面において重要な構成要素です。この種の証明、論証、およびゼロ知識（まとめて検証可能な計算技術と呼ばれる）は、暗号業界およびその他の分野で無数の応用があります。従来のデザインアーキテクチャやその他の理由により、業界はこれまでzkVMの構築において比較的複雑なアプローチを採用してきました。これについては、以下でより詳細に説明します。しかし、Joltは当初から、より高い効率、可用性、およびパフォーマンスを実現することを目的とした、全く異なるSNARK設計手法に焦点を当てていました。

簡単に言うと、zkVMは、コンピュータープログラムを正しく実行したことを証明する方法です。zkVMが他のSNARKよりも優れている点は、開発者にとって使いやすいことです。既存の計算インフラストラクチャ（たとえば、オープンソースのLLVMコンパイラエコシステム）を利用することで、開発者はドメイン固有言語（DSL）を使用せずに、選択したプログラミング言語でSNARKの強力な機能を活用できます。

これは、今日の多くの現代暗号化分野と非常によく似ています。暗号化とデジタル署名に使用される標準の組み込みライブラリがあり、通常の開発者はその内部動作を理解する必要なく、毎日これらのライブラリを使用しています。Joltは開発者に同じ抽象化レイヤーを提供します。既存のプログラムを使用して検証するだけで、両者の相互作用について心配する必要はありません。これは、あらゆる新しい暗号化普及アプリケーションの必須条件です。開発者は実際の操作に集中できます。Joltを使用すると、開発者はSNARKに関する専門知識がなくても、ボタンを押すだけで、すでに記述したコンピューターコードを使用してJolt証明を生成できます。

しかし、Joltが多くの進歩を遂げたとしても、中程度の複雑さの証明（たとえば、単一の標準CPUコアが1秒間操作を実行すること）を証明するには、依然として強力な計算能力が必要です。妥当な時間内に複雑な証明を生成するには、複数のGPUが必要です。LayerZeroはJolt証明器をCUDAに移植し、Zeroをリリースしました。これは、Joltの基盤となる高度に並列化されたアルゴリズムとGPUの並列ハードウェアを組み合わせることで、より高度なスケーラビリティを実現します。LayerZeroは、zkVMと証明のスケーラビリティを向上させるために不可欠な、JoltアルゴリズムのGPUフレンドリーバージョンの開発における協力を含め、Joltを本番レベルのGPU証明に推進することに取り組んでいます。

Jolt自体はオープンソースであるため、誰でも使用したり、その革新的な技術に基づいて開発したりできます。オープンソースは究極の増幅器です。成果を公開的に共有することで、エコシステム内のより多くの人々が使用、再利用、ストレステスト/監査/修正、改善、そしてその上にさらに革新を行うことができます。

ベンチャーキャピタル企業がオープンソースプロジェクトに投資することは珍しいことのように思えるかもしれませんが、現代の研究開発の構造は、ほとんどの開発作業が企業内（たとえば、過去の企業研究所や今日の財団研究所）または学術界で行われることを決定づけています。a16z暗号研究機関を設立した目的は、学術理論と産業実践を結び付ける産業研究ラボとエンジニアリングチームを構築することでした。ベンチャーキャピタル企業として、私たちは他の機関が資金を提供できないプロジェクトにも資金を提供できます…特に逆張り投資の場合。

SNARKをサポートする逆張り設計手法は、Joltにとって特に重要です。これは、従来のデザイン手法とは全く異なる大きな「パラダイムシフト」を表しているからです。この設計の進化には長年の歳月がかかっています。イノベーションの物語は、アーキテクチャ設計の変革に関する物語であることがよくあります。

JoltがSNARK設計手法に対して行った大きな変革を理解するには、2000年以上前に遡る必要があります。古代ギリシャ人は形式化された数学的証明システムの発展を切り開き、その後、中東、アジア、およびその他の地域の学者がそれを拡張しました。これらの初期の証明（段階的に記述された論理的推論）は、誰でも検証できるように、形式言語または数式で記録されました。たとえば、数学者は証明を「本」に書き、別の数学者がその本を逐語的に読んで検証することができます。この従来の静的な書面による証明の概念こそが、有名な「P vs. NP」複雑性クラスNPの具現化なのです。注目すべきは、この従来の証明方法が順次的であり、順番に行う必要があることです。つまり、静的であり、対話型ではありません。

しかし、1985年に時間を早送りすると、Shafi Goldwasser、Silvio Micali、およびCharles Rackoffが対話型証明（「IP」）の概念を提唱しました。[実際には、彼らの論文の提出時期は数年前ですが、論文が何度も拒否された後に受け入れられました。]この対話型証明方法の中核となる考え方は、たとえば、2人の数学者がコミュニケーションをとっている場合、一方がある証明を書き終えてから、もう一方を説得するのを待つ必要がないということです。代わりに、リアルタイムで質問することができます。言い換えれば、対話を通じて証明の真実を探求するのです。

この種の対話型証明の大きな威力（古代ギリシャ人が切り開いた従来の静的証明と比較して）は、5年後の1990年になって初めて十分に認識されました。当時、Carsten Lund、Lance Fortnow、Howard Karloff、およびNoam Nisanが、対話型証明システムで使用される代数的手法である求和検査プロトコルを提案しました。

Adi Shamirによるその後の研究と組み合わせることで、これはすぐに「IP=PSPACE」という基礎的な結論につながりました。これは、次の直感的な記述を要約した技術的な言い方です。証明者と検証者が対話できる場合（つまり、従来の証明システムのようにチャレンジ-レスポンスを行う場合、（嘘をつく証明者が答えられないチャレンジに「捕まらない」と仮定して））、古代ギリシャの従来の静的な書面による証明と比較して、より複雑な記述を迅速に検証できます。言い換えれば、対話属性は証明システムに非常に大きな利点をもたらします。

そして、求和検査（sum-check）こそが、この利点を効率的な検証に変換する中核です。これにより、検証者は証明されるべき計算プロセス全体を再構築することなく、主張された結果を検証できます。

数年後、Joe Kilianは、確率的検証可能証明（PCP）から簡潔なゼロ知識論証を構築することを提案しました。PCPの証明理論では、証明者（古代ギリシャの数学者、ただし現在はコンピューターであると想像してください）は、通常の証明を「本」に書き込みますが、形式は非常に冗長です。注目すべきは、この冗長性により、検証者は本全体を読む必要がないことです。検証者は、証明の位置をランダムに固定数だけ（たとえば、本の中の3つの「単語」）抽出するだけで、高い信頼度で証明全体が有効かどうかを判断できます。

しかし、問題はPCP証明自体が非常に長いことです。検証コストは低いものの。したがって、Kilianは、PCPを暗号化と組み合わせる方法を示しました。これにより、証明者はこの「長い本」の完成を「約束」し、抽出されたいくつかの単語のみを短い暗号化認証とともに公開できます。Kilianプロトコルにおける最終的な証明は、実際にはこれらのいくつかの単語（およびいくつかの暗号化認証データ）にすぎませんが、それらは検証者に本全体が有効であると信じさせるのに十分です。これらの証明は当時も対話型でした。

その後、Micaliは、Fiat-Shamir変換を適用することにより、KilianのPCPベースの対話型論証を非対話型論証に変換する方法を示しました。簡単に言うと、Fiat-Shamir変換は検証者のランダムチャレンジを「排除」し、証明者が自分でチャレンジを生成して、証明全体を一度に出力できるようにします。

証明システムの歴史と進化を振り返ると、静的から対話型、確率的および非対話型（PCP）、そして再び対話型（Kilianを参照）、最後に再び非対話型（Micaliを参照）への進化を経験しました。SNARKはこの進化の終わりに現れます。Fiat-Shamir変換をKilianの対話型論証に適用することにより、Micaliは現在私たちが最初のSNARK構造と呼んでいるものを得ました。

しかし、これらの初期のPCPベースのSNARKでは、証明者の作業量が膨大でした。計算に時間がかかりすぎて、実際に展開することが困難でした。しかし、SNARKの設計方法は数十年間変更されていません。業界がPCPベースのSNARK設計手法から脱却しようとしたとしても、設計者は関連する概念（たとえば、「線形PCP」など）を使用し続けています。これらの概念は、実際にはPCPヒューリスティックのバリエーションにすぎません。

これらの方法では、証明が非常に短いSNARKが実現しましたが、証明者の速度が最も速いSNARKは実現しませんでした。SNARK設計者は、その根本的なソースである求和検査プロトコルに戻って、現代の計算によってすでに可能になっている、より高速で使いやすい証明者を取得することはありませんでした。

一歩下がって考えてみましょう。求和検査プロトコルをより早く採用するには、上記で概説したSNARKの歴史と進化を非線形的に検討する必要があります。(a) 対話型証明 → (b) PCP → (c) 簡潔な対話型論証 → (d) 初期SNARKの開発の過程で、業界は次の変革を経験しました。

(a) 対話型証明 → (b) PCPへの移行における主な課題は、検証の簡潔さを維持しながら、証明システムから対話を取り除く方法でした。これにより、設計者は求和検査プロトコル（つまり、対話部分）を放棄しました。しかし、(b) PCPから(c) 簡潔なゼロ知識論証に移行するとき、対話が再び現れました…最終的に、Fiat-Shamir変換によって削除され、(c) 簡潔な対話型論証から(d) 初期SNARKへの移行が実現しました。

後から考えると、(a) → (b) → (c) → (d) のすべてのステップを線形に検討すると、SNARK設計者が実際には2回対話を省略したことが明確にわかります。1回目は(a) → (b) から、もう1回は(c) → (d) からです。しかし、Fiat-Shamirを使用して対話を排除するつもりなら…中間ステップ(b)、つまり確率的検証可能証明を直接スキップする必要があります！

この中間ステップ(b)をスキップすることこそが、Joltメソッドの背後にある重要な洞察であり、対話型証明からSNARKを直接構築します。つまり、求和検証に直接向かいます。なぜより多くの人々が求和検証プロトコルに基づく設計方法に早くから移行しなかったのでしょうか？初期のSNARK設計者は、PCPとSNARKがどちらも簡潔な検証の概念を実現しているため、表面上は非常によく似ているため、そうしなかった可能性があります。その後の発展については、アーキテクチャ（および誤解）が存続する可能性があります。

私たちにとって、求和検査に基づくzkVM Joltに大量のエンジニアリングおよび研究リソースを投入することは、SNARK分野で数十年間支配的なパラダイムとは正反対であるため、逆張り賭けです。

JoltのSNARK設計手法（それ自体はバッチ評価およびメモリチェックメカニズム、たとえばTwist + Shoutに基づいています）は、対話型証明と求和検査プロトコルに基づいています。現在、Joltの構築を開始してから数年後、他の人々も設計に求和検査プロトコル手法を採用し始めています。では、Joltは今日のzkVMでどのような点で際立っているのでしょうか？

Joltは、CPU実行における反復構造を最大限に活用しています。各CPUコアの「フェッチ-デコード-実行」抽象化がバッチ評価メカニズムにどのように適用されるかを観察することにより、Joltは最小限の複雑さで比類のない効率を実現します。それに対して、他のzkVMは、妥当なパフォーマンスを実現するために、「プリコンパイル」（特定のサブルーチン用のASICのようなアクセラレータ）に大きく依存しています。Joltは、これらのプリコンパイルを放棄しました。これらは、zkVMが登場する前のSNARK設計手法を繰り返すことになるためです。このような専用SNARKを設計するには専門家が必要なため、バグが発生しやすく、幅広い開発者が使用するのが困難です。Joltの重点は、SNARKの普及にあります。

CPU実行の正確性を検証することこそが、zkVMの中核となる価値であり、開発者エクスペリエンスの大きなブレークスルーです。これにより、既存の強化された汎用計算インフラストラクチャを再利用できるからです。グローバルな計算インフラストラクチャはすべてCPUをサポートするために構築されており、JoltはCPU実行に固有の「構造」を最大限に活用して、簡潔さとパフォーマンスを最大限に高めています。

Joltは当初から、使いやすさと本番レベルのパフォーマンスを最優先事項としています。開発者は既存のプログラムを直接検証できます。高速検証のためであっても、コードを変更する必要はありません。Joltは、他のソリューションのように、許容できるパフォーマンスを達成するために、チームに「プリコンパイル」または特別なAPIを中心にアプリケーションを再構築することを強制するのではなく、元のコードの整合性を維持し、採用しやすく、監査しやすく、反復コストを低く抑えます。

さらに重要なことに、Joltは高速であるだけでなく、よりシンプルです。他のソリューションでは、zkVM設計者が仮想マシンの各基本命令に対して回路を指定する必要がありますが、Joltでは必要ありません。Joltでは、各基本命令を指定するために必要なのは、約10行のRustコードだけです。回路は不要で、10行のコードだけです。

私たちはすでに速度の面でリードしています。さらなる最適化と機能の追加（特に、楕円曲線暗号から格子暗号への移行を計画している、再帰とゼロ知識証明を含む）により、今年の後半には速度がさらに1桁向上し、ポスト量子時代は言うまでもありません。

Joltにより、より多くのアプリケーションが可能になります。ブロックチェーンにとって、待ち望まれていたスケーラビリティと分散化が、より簡単に展開できるようになります。ゼロ知識証明のロールアップは、数か月または数年もの暗号エンジニアリングを費やすことなく、すぐに使用できます。

しかし、Joltがさらに発展するにつれて（たとえば、携帯電話やノートパソコンで実行できる高速で簡単なゼロ知識証明仮想マシンを構築するなど）、開発者はクライアント側とプライバシー保護の面でより多くのユースケースをアンロックできるようになります。たとえば、携帯電話のプライバシー保護アプリケーションは、メンテナンスが難しく、ほとんど実行できない状態から、簡単にすぐに使用できるようになります。

長期的には、これらの証明システムは、暗号化やデジタル署名と同様に、世界のデジタルインフラストラクチャの中核的な構成要素になります。この汎用的な暗号化圧縮技術（誰でも、すべてのデータではなく、特定の属性を満たす数GBのデータを自分が持っていることを証明するために、50キロバイトの証明ファイルを送信するだけでよい）は非常に強力であるため、人々がそれを使用してどのようなアプリケーションを開発するかを予測するのは困難です。その可能性は無限大です。

[Block unicorn]