[论文学习]Flock:让证明逼近计算极限的批量布尔计算 SNARK Flock批量布尔计算的快速证明——深度分析总结1. 核心问题与动机研究背景与问题定义SNARK简洁非交互式知识论证允许不受信任的一方通过提交一份小型收据来证明其正确完成了某项计算任何人都能以重新计算所需时间的一小部分来验证该收据。然而证明是有代价的——生成证明远比单纯执行计算更昂贵。正如 Justin Thaler 所阐述的对于最先进的 zkVM 而言证明一项计算的成本可能比单纯执行计算高出一万到一百万倍。Flock 所针对的核心问题是如何大幅降低标准哈希函数如 Keccak、SHA-256、BLAKE3批量计算的证明开销。这些哈希函数构成了区块链和密码学应用的基石但其证明效率长期以来一直是系统性能的瓶颈。现有研究的局限性既有 SNARK 系统主要存在以下局限算术域失配大多数 SNARK 原生用于证明大素数域上的算术运算。然而标准哈希函数本质上是布尔电路操作比特级的 AND 和 XOR将布尔电路编码到素数域中会引入大量额外开销。通用性代价通用 zkVM 相较原生执行慢四个到六个数量级。为通用计算设计的证明系统在处理特定工作负载时效率远低于专用系统。哈希证明效率低下基于素数域和群的证明系统在哈希函数证明上表现不佳——Flock 比 Plonky3 快约 10–40 倍比 Spartan 快数百倍。研究动机与创新点Flock 由 Espresso 首席科学家 Benedikt Bünz、Succinct 的 Ron Rothblum 及 NYU 博士生 William Wang 共同开发。其核心创新在于直接基于布尔电路运作与多数 SNARK 不同Flock 直接处理布尔电路——即构成真实计算和标准密码学的比特级 AND 和 XOR 操作。批量处理策略Flock 专门针对实践中占主导的工作负载——大批量的标准密码哈希函数。牺牲通用性换取极致效率Flock 完全放弃了通用性专注于证明批量固定布尔电路而非任意程序。研究目标与假设Flock 的核心假设是对于许多以标准哈希为主导的应用如区块链放弃通用性以换取证明效率是一个非常值得的权衡。其目标是在消费级硬件上实现接近计算成本的证明开销将证明与计算的开销比从六个数量级压缩到两个数量级以内。2. 结果/成果主要发现与关键结果Flock 在 Apple M4 Max 消费级笔记本上取得了以下性能表现哈希函数单核吞吐量每秒证明/计算开销比BLAKE3 压缩82,100~250×SHA-256 压缩42,100~170×Keccak-f[1600] 排列30,700~245×实现可轻松并行化在十核上 BLAKE3 吞吐量超过每秒 660,000 次压缩。另有基准测试显示每秒可证明 66.1 万次 Blake3 压缩、33.8 万次 SHA-256 压缩和 25.2 万次 Keccak 置换。证明大小低于 450KB验证时间低于 4 毫秒。与现有工作的比较Flock 在标准哈希证明方面显著优于现有方案比较维度Flock 优势SHA-256 vs Binius64快约8.4 倍BLAKE3 vs Binius64快约14 倍BLAKE3 vs Plonky3快约14 倍Keccak vs Hashcaster单核快约1.8 倍Keccak vs Hashcaster多线程快约4 倍vs 基于素数域系统Plonky3快约10–40 倍vs Spartan快数百倍另有报道指出 Flock 在 SHA-256 上比 Binius64 快约 9 倍在 Blake3 上比 Binius64 和 Plonky3 快约 14 倍。Flock 完成比特币区块签名哈希证明的时间为 2.5 秒是以太坊后量子基准的 3 倍。统计显著性与可信度这些数据基于实际硬件基准测试Apple M4 Max测量的是挂钟时间wall-clock time。需要说明的是原生基线未使用 Apple 专用的 SHA-256 和 SHA-3 指令——这些指令只加速特定函数不适用于其他布尔运算。3. 分析/洞见结果的深层含义Flock 的结果具有深远的理论与实践意义证明开销的数量级突破将证明标准哈希的成本压缩到仅比计算高出几百倍相较于通用 zkVM 的四到六个数量级开销是质的飞跃。这表明针对特定计算模式的专用证明系统可以逼近计算本身的极限。布尔电路优先的设计哲学验证Flock 的成功证明了“回归布尔”是一条正确的路径。大多数 SNARK 设计从算术电路出发再将布尔电路编码进去这种间接方式会引入根本性的效率损失。Flock 直接基于布尔电路设计避免了这种损失。Bitslicing 技术的威力Flock 的设计充分利用了 bitslicing 技术——将多个布尔输入打包到一个大寄存器中用一条位元指令完成多个并行布尔操作。这种技术在批量场景下能将硬件并行性转化为证明加速。对领域发展的影响SNARK 设计范式转移Flock 可能引发 SNARK 设计从“算术优先”向“计算模式优先”的转变。对于特定类型的计算如哈希布尔电路可能是比算术电路更自然的表达方式。区块链扩容的新路径Flock 能在 2.5 秒内完成比特币单个区块的后量子证明这对区块链轻客户端、跨链桥、zk-rollup 等应用具有重大意义。zkVM 发展的启示论文作者相信 Flock 背后的想法最终可以应用到 zkVM 中。这暗示了未来 zkVM 可能采用混合架构——对哈希等密集操作使用布尔电路专用证明器对其他计算使用算术电路证明器。跨学科应用潜力密码学协议Flock 的批量布尔证明技术可应用于 MPC安全多方计算中批量布尔电路求值的验证。数据库与查询系统批量验证技术可应用于数据库查询结果的可验证计算。机器学习验证神经网络中的大量操作可转化为布尔电路批量证明。技术发展趋势判断Flock 的出现标志着 SNARK 技术从“通用性追求”转向“场景专用优化”的新阶段。未来可能出现更多针对特定计算模式如矩阵乘法、FFT、签名验证的专用证明系统。同时Flock 目前仍是研究原型尚未准备好用于生产环境其技术的产业化落地仍需时日。4. 结论作者的主要结论Flock 的核心结论是通过直接基于布尔电路设计 SNARK并专注于批量标准哈希函数证明可以在消费级硬件上实现前所未有的证明效率。Flock 是目前每种标准哈希最快的证明器证明了“放弃通用性以换取效率”在特定场景下是正确的设计选择。研究的局限性和边界条件专用性限制Flock 完全放弃了通用性仅适用于批量固定布尔电路。对于不涉及大量标准哈希的应用Flock 无法直接受益。硬件依赖性能数据基于 Apple M4 Max 芯片不同硬件平台上的表现可能有显著差异。生产就绪性Flock 目前仍为研究原型尚未准备好用于生产环境。测量复杂性证明/计算开销比的测量依赖于底层硬件和测量选择不同环境下数值可能不同。实际应用建议区块链应用对于需要大量哈希证明的区块链场景如基于哈希的签名方案、Merkle 树验证、轻客户端Flock 提供了极具竞争力的解决方案。zk-rollup 优化Rollup 系统中大量的状态转换验证涉及哈希操作可考虑集成 Flock 作为证明后端。混合架构设计在通用 zkVM 中可将哈希操作卸载到 Flock 风格的布尔证明器其他操作使用传统算术证明器。文章連結作者Benedikt Bünz (Espresso/NYU)、Ron Rothblum (Succinct)、William Wang (NYU)Github: https://github.com/succinctlabs/flock/blob/main/paper/flock-paper.pdf