Was ist ein wissensfreier Beweis (zk-SNARK vs. zk-STARK)?

Zero-Knowledge-Beweise in Blockchain verstehen

Zero-Knowledge-Proofs (ZKPs) sind kryptografische Protokolle, die es einer Partei ermöglichen, die Gültigkeit einer Aussage nachzuweisen, ohne zugrunde liegende Daten preiszugeben. In Blockchain-Ökosystemen dienen ZKPs als grundlegende Werkzeuge zur Verbesserung des Datenschutzes, der Skalierbarkeit und der Verifizierungseffizienz. Sie ermöglichen es Knoten, die Korrektheit von Transaktionen zu bestätigen, ohne auf Absenderadressen, Empfängerdetails oder Beträge zuzugreifen. Diese Eigenschaft ist besonders wertvoll in öffentlichen Hauptbüchern, wo Transparenz im Widerspruch zur Vertraulichkeit der Benutzer steht.

Zwei herausragende Implementierungen dominieren die aktuelle Infrastruktur: zk-SNARKs und zk-STARKs. Beide erfüllen die Zero-Knowledge-, Vollständigkeits- und Soliditätsanforderungen, unterscheiden sich jedoch erheblich in der Designphilosophie, den Vertrauensannahmen und dem Rechenverhalten. Ihre Einführung beeinflusst Layer-2-Architekturen, Rollup-Strategien und On-Chain-Verifizierungskosten in großen Netzwerken wie Ethereum und Starknet.

zk-SNARK: Prägnantes, nicht interaktives Wissensargument

1. Verlässt sich auf vertrauenswürdige Einrichtungszeremonien mit mehreren Teilnehmern, die kryptografische Parameter generieren, die als Giftmüll bekannt sind.

2. Verwendet Elliptische-Kurven-Kryptographie und paarbasierte Mathematik, was zu extrem kleinen Beweisgrößen führt – oft unter 300 Byte.

3. Die Verifizierungszeit bleibt unabhängig von der Berechnungskomplexität konstant, was sie ideal für eingeschränkte Umgebungen wie Smart Contracts macht.

4. Erfordert die Vorverarbeitung von Schaltkreisen im R1CS-Format vor der Beweiserstellung, was die Flexibilität für dynamische Logik einschränkt.

5. Anfällig für Kompromittierungen, wenn das vertrauenswürdige Setup verletzt wird, obwohl reale Bereitstellungen dies durch Mehrparteienberechnungen abmildern.

zk-STARK: Skalierbares transparentes Wissensargument

1. Macht eine vertrauenswürdige Einrichtung überflüssig, indem auf kollisionsresistente Hash-Funktionen und die Fiat-Shamir-Heuristik zurückgegriffen wird.

2. Nutzt transparente Zufälligkeiten, die aus öffentlichen Daten abgeleitet werden, wodurch die Überprüfbarkeit erhöht und Zentralisierungsrisiken verringert werden.

3. Erzeugt größere Proofs – typischerweise mehrere zehn Kilobyte – was die Anrufdatengebühren auf Ethereum L1 erhöht.

4. Bietet Post-Quantum-Sicherheit, da es auf symmetrischer Kryptographie und nicht auf zahlentheoretischen Annahmen basiert.

5. Unterstützt die rekursive Komposition natürlicher und ermöglicht so komplexe verschachtelte Überprüfungen ohne exponentiellen Overhead.

Leistungskompromisse in Produktionssystemen

1. zk-SNARKs dominieren bei Anwendungen, bei denen ein minimaler Platzbedarf in der Kette im Vordergrund steht, wie z. B. datenschutzerhaltende DeFi-Swaps und Identitätsnachweise.

2. zk-STARKs unterstützen Rollups mit hohem Durchsatz wie StarkEx und Starknet, bei denen die Rechenintegrität unabhängig von Verifiziererbeschränkungen skaliert werden muss.

3. Gaskostenmodelle unterscheiden sich stark: Die SNARK-Verifizierung verbraucht etwa 200.000 Gas pro Beweis, während die STARK-Verifizierung je nach Feldgröße und Rekursionstiefe mehr als 500.000 Gas verbrauchen kann.

4. Die Kompilierungstools variieren – Circom und SnarkJS unterstützen SNARK-Workflows, während Cairo und Warp auf STARK-kompatible Ausführungsumgebungen abzielen.

5. Die Bemühungen zur Hardwarebeschleunigung konzentrieren sich auf das FPGA-Offloading für STARK-Prüfer, während SNARK-Optimierungen den Schwerpunkt auf GPU-basierten Prüfclustern legen.

Häufig gestellte Fragen

F: Erfordern zk-SNARKs bei jedem Schaltungswechsel ein neues vertrauenswürdiges Setup? Ja. Jede Änderung des Einschränkungssystems erfordert ein neues vertrauenswürdiges Setup, es sei denn, universelle Setup-Schemata wie PLONK mit einem einzigen Setup für alle Schaltkreise werden verwendet.

F: Können zk-STARKs beliebige Smart-Contract-Logik direkt überprüfen? Nein. Sie verifizieren Berechnungen, die in algebraischen Zwischendarstellungen (AIR) ausgedrückt werden, und erfordern vor der Beweiserstellung eine Übersetzung in domänenspezifische Sprachen wie Cairo.

F: Warum kombinieren einige Protokolle sowohl zk-SNARKs als auch zk-STARKs? Hybride Ansätze nutzen STARKs für die Basisschichtintegrität und SNARKs für eine prägnante Endüberprüfung – und nutzen dabei die Transparenz von STARK und die Kompaktheit von SNARK in Schichtarchitekturen.

F: Gibt es Auswirkungen auf Konsensebene, wenn zwischen diesen ZKP-Typen gewechselt wird? Ja. Sich ändernde Proof-Systeme erfordern oft Hard Forks oder aktualisierbare Prüfverträge, was sich auf die Governance-Zeitpläne und die Client-Kompatibilität zwischen Vollknoten und Light-Clients auswirkt.