BSP:一文了解FPGA和GPU加速零知识证明计算的优缺点

零知识证明技术应用越来越广，隐私证明，计算证明，共识证明等等。在寻找更多更好的应用场景的同时，很多人逐步发现零知识证明证明性能是个瓶颈。Trapdoor Tech 团队从 2019 年开始深入研究零知识证明技术，并一直探索高效的零知识证明加速方案。GPU 或者 FPGA 是目前市面上比较常见的加速平台。本文从 MSM 的计算入手，分析 FPGA 和 GPU 加速零知识证明计算的优缺点。

ZKP 是拥有未来广泛前景的技术。越来越多的应用开始采用零知识证明技术。但 ZKP 算法比较多，各种项目使用不同的 ZKP 算法。同时，ZKP 证明的计算性能比较差。本文详细分析了 MSM 算法，椭圆曲线点加算法，蒙哥马利乘法算法等等，并对比了 GPU 和 FPGA 在 BLS 12 _ 381 曲线点加的性能差别。总的来说，在 ZKP 证明计算方面，短期 GPU 优势比较明显，Throughput 高，性价比高，具有可编程性等等。FPGA 相对来说，功耗有一定的优势。长期看，有可能出现适合 ZKP 计算的 FPGA 芯片，也可能为 ZKP 定制的 ASIC 芯片。

ZKP 是个零知识证明技术的统称（Zero Knowledge Proof）。主要由两种分类：zk-SNARK 以及 zk-STARK。zk-SNARK 目前常见的算法是 Groth 16 ，PLONK，PLOOKUP，Marlin 和 Halo/Halo 2 。zk-SNARK 算法的迭代主要是沿着两条方向： 1/ 是否需要 trusted setup 2/ 电路结构的性能。zk-STARK 算法的优势是毋需 trusted setup，但是验证计算量是对数线性的。

加密货币总市值为1

^{n}s_i*G_i

行业普遍采用 Pippenger 算法对 MSM 计算进行优化。深入看看 Pippenger 算法的过程的示意图：

Pippenger 算法的计算过程分成两步：

1/ Scalar 切分为 Windows。如果 Scalar 是 256 bits，并且一个 Window 是 8 bits，则所有的 Scalar 切分为 256/8 = 32 个 Window。每一层的 Window，采用一个「Buckets」临时存放中间结果。GW_x 就是一层上的累加结果的点。计算 GW_x 也比较简单，依次遍历一层中的每个 Scalar，根据 Scalar 这层的值作为 Index，将对应的 G_x 加到相应的 Buckets 的位上。其实原理也比较简单，如果两个点加的系数相同，则先将两个点相加后再做一次 Scalar 加，而不需要两个点做两次 Scalar 加后再累加。

IPOR Labs推出新协议，为DeFi信贷市场带来透明度和稳定性:金色财经报道，链上利率衍生品服务提供商IPOR Labs AG周二宣布正在推出一项协议，旨在为去中心化金融(DeFi)信贷市场带来透明度和稳定性。通过其Inter Protocol Overblock Rate指数(IPOR)，交易者将能够对冲、套利和对利率变动采取定向头寸，以管理其在以太坊区块链上的信用投资组合的风险。IPOR指数是一种基于智能合约交易及其自身利率衍生品去中心化交易所（DEX）的标准化基准利率，基于伦敦银行同业拆借利率(LIBOR)的算法模型，但适用于DeFi。

IPOR Labs首席执行官Darren Camas表示：“我们需要将机构固定收益市场与DeFi连接起来，为此，他们需要风险管理工具和透明度”。[2022/8/17 12:29:35]

2/ 每个 Window 计算出来的点，再通过 double-add 的方式进行累加，从而得到最后的结果。

Pippenger 算法也有很多变形优化算法。不管怎么说，MSM 算法的底层计算就是椭圆曲线上的点加。不同的优化算法，对应不同的点加个数。

你可以从这个网站看看具有「short Weierstrass」形式的椭圆曲线上点加的各种算法。

http://www.hyperelliptic.org/EFD/g 1 p/auto-shortw-jacobian-0.html#addition-madd-2007-bl

Decentraland DAO投票同意向Decentral Games发放100万美元赠款:6月17日消息，近日，Decentral Games（DG）向元宇宙项目Decentraland DAO提出一项提案，寻求获得100万美元赠款以支持其流动性池，这比一般的最高社区赠款额度24万美元（以MANA的形式支付）高出四倍多。该提案目前已获投票通过。

DG上个月提出申请该笔赠款是为了奖励QuickSwap上的ICE-USDC流动性池。ICE代币用于DG在2021年10月推出的P2E ICE Poker游戏。由DAO拨付的MANA将在三个月内分发给那些质押USDC-ICE LP代币的用户。

据悉，DG是Decentraland生态系统的重要参与者。据该公司称，ICE Poker约占Decentraland周活跃用户的60%。（The Block）[2022/6/17 4:35:40]

假设两个点的 Projective 坐标分别为（x 1, y 1, z 1) 和 （x 2, y 2, z 2) ，则通过如下的计算公式可以计算出点加的结果 (x 3, y 3, z 3)。

详细给出计算过程的原因是想表明整个计算过程绝大部分是整数运算。整数的位宽取决于椭圆曲线的参数。给出一些常见的椭圆曲线的位宽：

BN 256 - 256 bits

BLS 12 _ 381 - 381 bits

BLS 12 _ 377 - 377 bits

特别注意的是，这些整数运算是在模域上的运算。模加 / 模减相对来说简单，重点看看模乘的原理和实现。

给定模域上的两个值：x 和 y。模乘计算指的是 x*y mod p。注意这些整数的位宽是椭圆曲线的位宽。模乘的经典算法是蒙哥马利乘法（Montgomery Muliplication)。在进行蒙哥马利乘法之前，被乘数需要转化为蒙哥马利表示：

蒙哥马利乘法计算公式如下：

蒙哥马利乘法实现算法又有很多：CIOS (Coarsely Integrated Operand Scanning)，FIOS（Finely Integrated Operand Scanning），以及 FIPS（Finely Integrated Product Scanning）等等。本文不深入介绍各种算法实现的细节，感兴趣的读者可以自行研究。

为了对比 FPGA 以及 GPU 的本身的性能差别，选择最基本的算法实现方法：

简单的说，模乘算法可以进一步分成两种计算：大数乘法和大数加法。理解了 MSM 的计算逻辑的基础上，可以选择模乘的性能（Throughput）来对比 FPGA 和 GPU 的性能。

在这样的 FPGA 设计下，可以估算出整个 VU 9 P 能提供的在 BLS 12 _ 381 椭圆曲线点加 Throughput。一个点加（add_mix 方式）大约需要 12 个模乘。FPGA 的系统时钟为 450 M。

在同样的模乘 / 模加算法下，采用同样的点加算法，Nvidia 3090 的点加 Troughput（考虑到数据传输因素）超过 500 M/s。当然，整个计算涉及到多种算法，可能存在某些算法适合 FPGA，有些算法适合 GPU。采用一样的算法对比的原因，想对比 FPGA 和 GPU 的核心计算能力。

基于上述的结果，总结一下 GPU 和 FPGA 在 ZKP 证明性能方面的比较：

越来越多的应用开始采用零知识证明技术。但 ZKP 算法比较多，各种项目使用不同的 ZKP 算法。从我们的实践工程经验来看，FPGA 是个选项，但是目前 GPU 是个性价比高选项。FPGA 偏好确定性计算，有 latency 以及功耗的优势。GPU 可编程性高，有相对成熟的高性能计算的框架，开发迭代周期短，偏好需要 throughput 场景。

IOSG Ventures

企业专栏

阅读更多

金色财经

SevenUp DAO

金色图览

LK Venture

金色荐读

区块律动BlockBeats

标签：BSPNBSFPGALABSPNetworknbs币发行量FPG币gala币能成为百倍币吗

AVAX热门资讯