Ligero 和 Ligetron 中的 MPC 和 ZK

1. 引言

前序博客有：

• Ligetron：Nim Network开发的针对AI的zkVM
• Transparent 且 Post-quantum zkSNARKs

Ligero团队：

• 基于Scott Ames、Carmit Hazay、Yuval Ishai、Muthuramakrishnan Venkitasubramaniam 2017年以及2022年论文 Ligero: Lightweight Sublinear Arguments Without a Trusted Setup，
• 设计了浏览器上的Post-Quantum zkSNARKs系统——Ligetron ，具体见Ruihan Wang、Carmit Haza 和 Muthuramakrishnan Venkitasubramaniam 2024年论文Ligetron: Lightweight Scalable End-to-End Zero-Knowledge Proofs. Post-Quantum ZK-SNARKs on a Browser，【Ligetron 可看成是 Ligero 2.0】
• 相应的playground见：https://ligetron.com/。
  
  prove：

packing: 835, padding: 1024, encoding: 2048
Start Stage 1
Memory init: 1024, size: 256
mem[2098348] = 4, mem[2098344] = 95
argv[0] = p
argv[1] = zk is amazing
argv[2] = zk####amazing
argv[3] = b4f332673d537ef0e8e006f73383bf813a44bdbc8dc83c616f0954d25cd898e9
Root of Merkle Tree: 2f0b84bdbbafe0a330ff78dbc523ec3c8ed7169f57bbf5824f172e63cdbe81db
----------------------------------------
Start Stage 2
Memory init: 1024, size: 256
mem[2098348] = 4, mem[2098344] = 95
argv[0] = p
argv[1] = zk is amazing
argv[2] = zk####amazing
argv[3] = b4f332673d537ef0e8e006f73383bf813a44bdbc8dc83c616f0954d25cd898e9
Num quadratic constraints: 403305
Validation of assertion results:     true true true 
Validation of quadratic constraints: true true true 
----------------------------------------
Start Stage 3
Memory init: 1024, size: 256
mem[2098348] = 4, mem[2098344] = 95
argv[0] = p
argv[1] = zk is amazing
argv[2] = zk####amazing
argv[3] = b4f332673d537ef0e8e006f73383bf813a44bdbc8dc83c616f0954d25cd898e9
----------------------------------------
Validating prover assertion:    true
Validating prover quadratic:   true
----------------------------------------
Final prove result:             true

========== Timing Info ==========
Instantiate: 154ms    (min: 3, max: 23, count: 18)
stage1: 32476ms    (min: 1728, max: 6930, count: 6)
    stage1.hash: 25171ms    (min: 0, max: 62, count: 7040)
    stage1.on_linear: 11643ms    (min: 0, max: 57, count: 4378)
    stage1.on_quadratic: 19498ms    (min: 0, max: 63, count: 2662)
stage2: 53650ms    (min: 5166, max: 10178, count: 6)
    stage2.on_linear: 10322ms    (min: 1, max: 30, count: 4378)
    stage2.on_quadratic: 20108ms    (min: 5, max: 55, count: 2662)
stage3: 7005ms    (min: 776, max: 1327, count: 6)
    stage3.write_proof: 357ms    (min: 0, max: 8, count: 12364)
    stage3.on_linear: 2168ms    (min: 0, max: 9, count: 4378)
    stage3.on_quadratic: 3980ms    (min: 0, max: 7, count: 2662)

verify：

packing: 835, padding: 1024, encoding: 2048
Memory init: 1024, size: 256
mem[2098348] = 4, mem[2098344] = 95
argv[0] = v
argv[1] = zk is amazing
argv[2] = zk####amazing
argv[3] = b4f332673d537ef0e8e006f73383bf813a44bdbc8dc83c616f0954d25cd898e9
----------------------------------------
Prover root  :       2f0b84bdbbafe0a330ff78dbc523ec3c8ed7169f57bbf5824f172e63cdbe81db
Verifier root:       2f0b84bdbbafe0a330ff78dbc523ec3c8ed7169f57bbf5824f172e63cdbe81db
----------------------------------------
Validating prover code:          true
Validating prover assertion:     true
Validating prover quadratic:     true
Validating verifier assertion    true
Validating Merkle Tree root:     true
Validating code equality:        true
Validating quadratic equality:   true
----------------------------------------
Final verify result:             true
Verify time: 8433 ms

========== Timing Info ==========
Instantiate: 48ms    (min: 19, max: 28, count: 2)
Verifier: 7090ms    (min: 7090, max: 7090, count: 1)
    Verifier.pop_sample: 65ms    (min: 0, max: 4, count: 4193)
    Verifier.on_linear: 2342ms    (min: 1, max: 6, count: 1481)
    Verifier.on_quadratic: 4178ms    (min: 3, max: 11, count: 904)

sendProof：

Ligero（发音为“Lee-hair-oh”）团队 的 Muthu（为Ligero公司首席技术官，即将成为首席执行官） 和 Carmit（为Ligero公司首席科学家），近20年来一直致力于 MPC 和 ZK 等加密技术的研究。本文将提及：

• MPC-in-the-Head 及其改进
• MPC和ZK之间的关系，以及Ligetron如何融合了ZK和MPC这两个领域的进步和新技术
• 计划如何将Ligetron系统推广给大众

2. 创始人Muthu和Carmit背景

Carmit和Muthu的背景为计算机博士，研究方向为密码学、零知识证明和安全多方计算。之前对这些协议进行了大量理论研究，2017年，提出了Ligero ZK系统，因为其很轻量级lightweight，西班牙语中，Lig-表示轻量级，-ero表示零。

2.1 创始人Muthu背景

Muthu在本科期间即对密码学感兴趣，研究生期间本打算做数据库系统，但后来转向了数据库隐私，并于2006年发表了ℓ-Diversity: Privacy Beyond k-Anonymity论文，虽然没有多少人知道，但不知为何，在Muthu所有的论文中，这篇论文的引用次数最多。从那时起，Muthu就致力于做密码学，一旦学会了ZK和MPC，就会爱上。Muthu非常热衷于理论研究，如最小假设、round复杂度等。Muthu的许多早期研究并不具备实用性，更多的是关注如何实现特定的安全性或安全功能。后来，基于这些理论研究，Muthu与其博士生 Scott Ames一起，推出并实现了Ligero ZK系统，性能很好。Ligero论文的大部分工作在2016年完成，在2017年发布。当时只有ZCash加密系统，Ligero的工作实际上早于STARK。

Ligero是第一批Transparent zkSNARK方案之一，其并不是完全的SNARK，其是sublinear的，而不是succinct的。

Ligero论文的合著者 Yuval Ishai 是以色列理工大学的教授，想将其商业化。后来Muthu回到罗彻斯特大学当教授时，罗彻斯特大学有一个技术转让部门，让Muthu与其他商业联合创始人 Scott Catlin 和 Matt DiBiase联系，创办了一家公司。

Muthu认为多亏了区块链社区，让越来越多的人对ZK以及更广泛意义上的密码学技术感兴趣。

创办Ligero公司的目的是，致力于：

• 寻找ZK和MPC方面的应用。

当前正在寻找金融方面的应用，Ligero公司的业务联合创始人来自华尔街，有着深厚的人脉，将同时关注链上和链下 TradFi 以及加密应用。

创立Ligero公司之初，关注的是MPC，而不是ZK。Ligero公司拥有一种可扩展的暗池拍卖技术，还有其他一些产品。

在此过程中，在过去的四年里，还获得了 DARPA 的合同来扩展零知识。并改进了Ligero系统——当前仍处于迭代阶段，并将新版本命名为Ligetron。

2.2 创始人Carmit背景

Carmit在巴伊兰大学读了本科和硕士学位，但不是密码学方向，后来选修了阿米尔·赫茨伯格教授密码学课程，转为攻读密码学博士学位。而当时（2004年-2005年）阿米尔已经招满，推荐Carmit读了Yehuda的博士生。Yehuda是 Unbound 的联合创始人之一，该公司被 Coinbase 收购。

当时Yehuda在研究安全计算MPC。也就是说近20年来，Carmit一直在研究MPC。早期MPC的论文总是被驳回，认为这永远不可能实用。Carmit在丹麦做博士后期间发表了一篇关于分布式RSA的论文（2012年论文Efficient RSA Key Generation and Threshold Paillier in the Two-Party Setting）被拒了5次以上。被拒的理由是：该论文不会有用。但实际该论文的引用率还挺高的。

Carmit在Yehuda的指导下完成了博士学位，然后搬到丹麦做博士后，师从实用安全计算的导师 Ivan Damgard——为首批通过Sugar Beet Auctions实现安全计算的人。

2014年左右，Carmit回到Bar-llan，然后遇到了Muthu。之前两人尽管认识，但没有合作过。

3. Ligero历史

• 2017年在 ACM CCS 2017 上发表了Ligero论文
• 2018年成立了Ligero公司
• 2019年初完成了种子轮融资
• 过去四年来，没有过多自我选出，专注于醒目、扩大技术规模。
• 与ZK相比，更关注MPC。Ligero的ZK正在DARPA项目下并行开发以扩大规模。DARPA资助基础研究，使得团队不必筹集资金，对技术开发来说是一笔很好的资金。
  • 对于 DARPA 来说，唯一的问题是，无论何时公开宣布或发布某件事，你都必须得到他们的批准。但这从未成为推广这项技术的瓶颈。
• 重点在多方计算和银行。如与华尔街的大银行摩根大通、富达、花旗集团等进行了交谈，想建立拍卖技术。
• 承担了以太坊基金会进行分布式 RSA 生成的项目。为Ligero公司成立依赖的首批成果之一。
  • 展示的第一个可以在 10,000 方之间运行的多方计算项目。
  • 曾设想，维护比特币或维护以太坊的主要节点的每个人都可以运行此协议
  • 当时，人们正在研究所谓的可验证延迟函数。
  • 能够将其扩展到 10,000 方。目标实际上是采用 ZK 和 MPC 并对其进行扩展。
• 之后，改进了拍卖技术。
  • 在拍卖中，有一群人想要竞标某种产品，通常是通过第三方进行的。第三方收集您的出价并宣布获胜者。但使用 MPC，您可以消除第三方。您只需与竞标者交谈，最后只会宣布获胜者。现在，这非常有用，因为它将信息泄露减少到最低限度。只公布拍卖的获胜者。
  • 实际上可以扩大拍卖规模……例如，假设你把美国的所有资产和其他市场的所有资产都拿来，假设它们是 10,000 个股票代码，我们可以同时为这 10,000 个代码进行拍卖，并在五分钟内完成。
• 今天人们对 MPC 的看法与至少两三年前不同。
  • 区块链在零知识方面做得很好，但对于 MPC 来说还没有。所以我们想要……实际上，我们创建了一个可爱的小产品，也可以使用，用于安排会议。现在，你可以想象这是一项非常基本的任务，你想要隐私。我不想告诉别人我有什么约会。即使我不显示约会是什么，我也不想告诉别人我什么时候有空和忙。但你可以使用 MPC 来找到一个共同的会议时间。
• 现在也开始探索ZK对MPC领域的影响。

4. Ligero vs. MPC-in-the-Head

Ligero基于早期的MPC-in-the-Head构建。

具体见：

• Yuval Ishai、Eyal Kushilevitz、Rafail Ostrovsky和Amit Sahai 2007年 论文 Zero-Knowledge from Secure Multiparty Computation【以下按作者名简称为IKOS论文】：一种设计零知识证明的新技术。其不完全是MPC协议。
  • 可定义一个函数，在该函数内，获取秘密输入并在一组参与者之间秘密共享。Prover是虚拟进行的，即为进入大脑的地方。Prover将采用某种协议并在其头脑中模拟该协议，计算出一个基本上可验证witness的函数。
• Carmit Hazay 2018年课件 Introduction to MPC-in-the-Head
• 基于MPC-in-the-Head核心思想，Irene Giacomelli、Jesper Madsen 和 Claudio Orlandi 2016年论文ZKBoo: Faster Zero-Knowledge for Boolean Circuits。
  • MPC-in-the-Head 和 ZKBoo：想要增强可靠性，你必须重复你说的话，那就是你可以并行运行很多程序，并以此提高效率。
• Scott Ames、Carmit Hazay、Yuval Ishai、Muthuramakrishnan Venkitasubramaniam 2017年以及2022年论文 Ligero: Lightweight Sublinear Arguments Without a Trusted Setup：通过选择正确的MPC，而不必像MPC-in-the-Head 和 ZKBoo那样并行重复。且Ligero中不需要用较大的域就能获得良好的安全性，而其它系统，其底层安全性与域大小相关。
• 2024年5月1日 Episode 322: Definitions, Security and Sumcheck in ZK Systems with Justin Thaler 中Justin Thaler谈到了并行重复这些事情。其提到说震惊了两位研究人员，其中一位是Muthu。
  • 对于 ZKBoo 设置，并行重复是可以的，因为它实际上是与Verifier的一轮交互。
  • Ligero 就像三轮交互，当你并行化时，你不会得到最好的参数。所以你宁愿在 MPC 本身中做到这一点。但也许我只会从今天的情况来谈谈这个 MPC-in-the-Head。对于 Carmit 和我来说，这件事情的其中一个原因是，我们来自密码学世界，而不是复杂性世界。对我来说，就像 Eli Ben-Sasson 等人一样，我的意思是，他们来自这个进行概率可检验证明的复杂性世界，这种证明已经演变为交互式预言机证明，以及基于Sumcheck协议的证明，这也是来自复杂性世界。

ZK vs. MPC：

• MPC是ZK的泛化
  • 在ZK中，有两方：Prover和Verifier。ZK中，Prover通过某些statement的有效性来说服Verifier。
  • 在MPC中，可有任意数量的参与方。MPC中，可计算任意函数。
    • 因为 MPC 足够通用，可以有不同类型的安全定义或对抗模型。展望未来，这就是 MPC-in-the-Head 技术具有灵活性的原因，因为它可以用不同的协议实例化。

当运行 MPC-in-the-head 协议时：

• 会获得一份各方或views交换的transcript或messages。
• a view，为：a party的sixth internal state，和，incoming messages。
• 在虚拟运行此协议后，Prover将获取虚拟各方生成的所有views视图并提交这些视图。这是 MPC-in-the-Head 协议的第一条消息。
• 在提交这些视图后，Verifier将挑战Prover揭示这些视图的子集，以检查其一致性。即意味着：
  • 若一方发送了一条特定消息，那么它应该出现在另一方的视图中。这就是所谓的pairwise consistency。
  • IKOS 表明，若具有这种pairwise或local一致性，即可证明也具有全局一致性，这意味着如果每对视图都是一致的，则意味着可正确验证该statement。
  • 这是 MPC-in-the-Head 的核心思想，并在 ZKBoo 论文等实现。其已经实现并被证明是实用的。然而，基本方法是获得constant soundness。因此，若想获得非常小的健全性，需要多次重复该协议。这就是 Ligero 发挥作用的地方。因为若增强 MPC 协议的安全属性，实际上是在使用虚拟协议，那么可做得更好。Ligero 具有的所有属性，如sublinear等。

Muthu认为：

• MPC-in-the-Head 实际上可以被看作是交互式预言证明的一个实例。

对于零知识证明，包括 Ligero 系统，只需要哈希函数，就像 STARK 一样。不需要任何称之为公钥原语、椭圆曲线或类似Lattice的东西。多方计算有几种变体，Ligero使用的变体是所谓的诚实多数多方计算，这意味着：

• 实际上可以在没有任何密码学原语的情况下构建这些计算。
• 正是这些多方计算协议被插入到这个编译器中，以获得基于哈希函数的零知识系统。所以也许，回答你的问题，它是一个零知识系统，因为它只需要哈希函数。但其中的技术来自 MPC 世界。

事实上：

• 正如 Justin 所说，Jolt 不是 zkVM，它需要被称为简洁的 VM，不需要ZK。
• 而Ligero默认是ZK的，因为其使用MPC，而MPC本身具有隐私性。

Irene Giacomelli、Jesper Madsen 和 Claudio Orlandi 2016年论文ZKBoo: Faster Zero-Knowledge for Boolean Circuits，是Ligero团队的第一项工作，实际上获得了 USENIX 上实现 MPC-in-the-Head 的最佳论文。该方向的研究工作仍在继续，且正在引领后量子签名。但将这种 MPC-in-the-Head 与 Ligero 所做的工作进行比较，MPC 面临挑战，这样的证明长度不会很短，而是与计算量相当。

因此，在设计MPC协议时，head内每个参与方的视图大小需要小于计算。 Franklin 和 Yung 在 90 年代 论文Communication Complexity of Secure Computation (Extended Abstract) 中，引入了名为”Packed Secret Sharing“ 的概念，该概念表示标准秘密共享只能共享一个秘密，但若稍微调整一下阈值，实际上可以在将秘密分发给各方时将许多秘密打包在一个共享中。这也导致了具有此功能的多方计算协议。因此，Ligero 利用了这一优势，实际上需要在这里和那里对其进行锐化和收紧，才能真正获得具体的效率，但 Ligero 的第一个版本就是这样。这些 MPC 协议的其中一个特点是它们具有非常简单的结构。

• 其使用 Reed-Solomon 编码，可以使用快速算法来实现。
• 即使在今天，Ligero 仍然是最快的Prover之一。
• Ligetron 比 Ligero 更快，但它仍是最快的prover time协议之一。

Ligero协议：

• 是基于哈希的
• 其不完全是SNARK，因为其不是sublinear的
• 复杂度，proof length为circuit size的平方根，而不是polylogarithmic。而通常人们认为SNARKs是polylogarithmic的。
• verification不是succinct的。这个特性不好不坏。因为在所有的ZK系统内，Verifier所需时长与电路是呈比例的。只是在重复多次时，可做某些优化。
  • 若只证明某单个statement一次，则verifier至少需要读取该statement，否则，verifier不知道要让其信服的内容是什么。
  • 但在任何情况下，verification也不是succinct的。仅当计算是结构化的时（如机器学习应用，或，rollups等），计算是高度结构哈的，Ligero的proof是sublinear的，且verification也是succinct的。

Muthu认为Ligero当前不像Groth16、Plonk和STARKs那样受关注的原因在于：

• Ligero仍需要工程设计，需要应用程序。
• 当前似乎只能与STARK进行比较。
  • Ligero是基于哈希的，像STARK一样是后量子安全的。
  • Ligetron proof length与STARK proof相比有竞争力。【见Justin Thaler整理的：Comparison of FRI vs. Ligero proof sizes，其认为，当degree小于$2^{20}$时，Ligero proofs长度，要小于，FRI proofs长度。】
• 像Justin Thaler 在2024年5月1日 Episode 322: Definitions, Security and Sumcheck in ZK Systems with Justin Thaler 博客中所述：也许有人需要不切实际，如去实现sum-check，或者去实现MPC-in-the-Head。
• 已经开始在MPC世界中应用ZK技术。
• Carmit认为：MPC和ZK之间存在共生关系。而Muthu认为：MPC比ZK更通用。

Justin Thaler在最近的帖子中指出：

• 作为一个社区，至少在密码学领域，人们非常专注于优化verifier时长和链上验证等，但也有其它用例场景，其中prover时长更为重要，而可 以其它方式处理verifier时长。
• Muthu认可并指出：很多ZK系统，隐藏了其在构建产品时花费的prover资源。像 rollups 这样的系统来说，这种投资是值得的。因为可将这些成本转嫁给用户。但在许多情况下，情况并非如此。在这些情况下，关注证明时间很重要。
  • 当前在研究使用Ligero技术进行客户端证明，以及频繁证明非常大规模的计算，比如机器学习推理。此时，证明时长，或者更严格来说，prover资源将非常重要。

Ligetron 可看成是 Ligero 2.0：

• Ligetron 遵循了 Ligero 的蓝图

Ligetron，与Ligero 2.0，在两个关键方面有所不同：

• 1）Ligetron节省内存。Muthu认为Ligetron是唯一一个真正高效的零知识系统，即不使用递归组合和增量可验证计算等技术就能节省内存。所以，Ligetron本质上是一个节省内存的零知识系统。
• 2）Ligetron可将 WebAssembly 程序用作输入。从这个意义上说，Ligetron几乎是一个 ZK-WASM。
  • 可将 WebAssembly 程序作为输入。
  • 是唯一一个可完全从浏览器运行的ZK系统。https://ligetron.com/，可将 C、C++ 或 Rust 程序（当前尚未集成Rust），编译为WebAssembly，然后就可在浏览器中运行整个计算。【这有利于将Web2引入Web3。】
  • 已测试了多达10亿个gates，在浏览器上运行需要一二十分钟，但可运行。ZK系统所需的内存与底层 WebAssembly 程序所需的内存接近或成比例。

在Rollup之前，很早就关注到了ZK应用的内存瓶颈，当前DARPA希望在消费级硬件（而不需要重型硬件）上扩展至支持数万亿gates，因此必须解决内存瓶颈。在 DARPA 计划，Ligero团队实际上是 Stealth Software Technologies 团队的一部分，这是另一家 MPC 公司，还有其他团队也参与其中。而其他团队几乎都没有研究过 SNARK。他们都研究过所谓的基于 VOLE 的ZK，这是一种交互式的，基于 VOLE 的ZK还没有为区块链做好准备，但从某种意义上说，基于 VOLE 的ZK 并不适用于区块链。基于 VOLE 的ZK，是，不可公开验证的。

基于VOLE的ZK，实际上更接近于MPC：

• 其使用公钥假设等，但以不同的方式获得内存效率。

所谓内存效率，是指：

• 当前的zk-SNARK，首先需运行计算，然后证明每个中间值计算都正确执行。即在运行计算时，需将所有这些中间计算记在呈比例的内存中。所需的内存与整个计算成正比。
• Ligero内存效率高，可进行垃圾回收。可像现代计算机一样，有一种称为垃圾回收的东西可以删除所有未使用的东西。
• 现代zk-SNARK，试图解决该问题方法为：Continuations，或递归组合。即，将整个计算分为几个块，然后分别证明每个块，然后使用第二层证明将这些证明组合起来，可多次执行此操作。可有一个树状结构，是内存高效的，可为每个块（或分片）选择内存大小。当完成证明后，可移动到下一个分片。逐个块执行，但会花费很多时间。
  • 实际上，如Starknet的作法为，有 200 台计算机并行执行此操作，然后进行递归组合。
  • Muthu认为：这种递归组合和IVC技术，可获得内存效率，但代价是硬件非常笨重。而Ligero可在标准硬件上获得内存效率，若投入更多硬件，可利用并行性。但在标准硬件删个，可获得这种内存效率。

当前Ligetron几乎是一个zkVM：

• Ligetron不是zkVM的地方在于：只能使用具有无意识控制流的程序。即，不能在程序中使用 if-then-else 来分支一个秘密值，因为verifier需要确切地知道如何流经程序。Ligero团队这两年有多篇论文，展示了如何消除该问题。
• Ligero团队最近在筹备，让Ligetron成为一个成熟的zk-WASM。
  • 与RISC Zero、SP1、Jolt不同，Ligetron为每条指令都设置了 fetch-decode-execute cycle来解决该问题。可进一步优化为，不再一次获取指令，而是一次获取block。因此，这将fetch-decode分摊到块上，而不是每条指令上。因此，希望通过将其变成 ZK-WASM 来获得更多收益。

Ligero团队在做应用程序，重点关注2个领域：

• 作为企业，正在寻找客户端证明交易级别隐私的代币化。
• 在密码学方面， 正在寻找验证 AI 计算。

Modulus Labs 最近在几个月前宣布他们能够验证，实际上是第一个在链上验证 GPT2 推理的。
Ligero团队于Nim Network合作，当前证明还不能上链，采用了一个纯 C 程序，有一个 GitHub 存储库，由 Karpathy 或为 Llama 做过的人编写，70 亿模型，比 GPT2-XL 模型大五倍，只是将它编译为 WebAssembly 并运行它。没有做任何优化、查找，什么都没有。只是在Ligetron系统中运行，在 14 小时内就出来了，这有点像 60 倍的改进，但若看硬件，所用的硬件比 Modulus Labs 好 100 倍。

WebAssembly vs. RISC-V：

• Muthu认为，WebAssembly更好。原因在于WebAssembly更加通用，且有一些非常好的功能可供利用——如垃圾回收。
  所以回到正题，我想，好吧，在 WebAssembly 和 RISC-V 之间，有一个问题，我可以花整整一个小时来解释为什么 WebAssembly 更好。但长话短说，WebAssembly 更加通用。我们出于这个原因选择了它，但没有理由保留它。我们确实可以做任何我们选择的 VM，但 WebAssembly 有一些非常好的功能我们可以利用。垃圾收集就是其中之一。

Muthu喜欢虚拟机，原因在于易于部署，易于人们编写应用程序。Ligetron的动机是：

• 获得良好的中间表示。
• 不想使用 R1CS 或这些具有学习曲线的特定电路，而是想选择一个容易使用的电路。

Ligetron proof也是可在链上验证的，具体必须采用2个步骤：

• 1）必须进行Ligero预处理。可以为验证者提供少量的提示或信息，验证者可以一遍又一遍地验证这些计算。从而减少verification size。当前已在做一些内部研究。预估表明：从证明一个陈述到验证其证明，时间减少了 50 倍。【已实现了隐私】
  • 如从一个 2000 亿门电路开始，也就是 Llama 70 亿模型，若得到 50 倍或 100 倍的改进，就会减少到 20 亿或 40 亿。可再递归一次，让其变成 1 亿，就可放任何东西了。
  • 如想要进入Prover networks、DePINs等，可直接推送到链上。
• 2）只需要一个SNARK。

当前Ligetron本身是功能期权的。但在C程序中需使用无意识的控制流。当前Ligero团队将拥有2个合作伙伴：

• 企业领域：与华尔街合作，希望使用ZK来实现带比划的交易级隐私。华尔街想要匿名的Zether之类的，但需要KYC AML。因此Ligero与Aztec和ZCash不同，Ligero想要遵守监管规定。将为需要客户端证明的应用程序增强基于浏览器的ZK。
• 在密码学领域，进行了 Llama 70 亿次推理，Ligero团队正在考虑如何为 AI 构建下一代基础设施，正在寻求与 Nim Network 合作，将 AI 游戏引入链上。其中第一步是将proof引入到链上，预计还需要2到3个月。

Ligero 3也正在研究中。

Muthu认为Lasso、Lookup argument、Binius等都很赞，Muthu知道如何将lookup arguments带入到MPC-in-the-Head，但不知道如何将lookup arguments带入到Binius中。有趣的是：

• Binius 承诺实际上是 Ligero 多项式承诺方案的结构。

参考资料

[1] 2024年5月29日 Zero Knowledge Podcast Episode 326 - MPC & ZK in Ligero and Ligetron