Labrador：后量子 ZK 证明的新纪元

TLDR :

1. 后量子安全 (Post-Quantum Security): Labrador 是一个基于格的 zkSNARK 系统，旨在防御未来的量子计算机，为区块链系统中的长期隐私和可扩展性提供强大的解决方案。
2. 高效证明 (Efficient Proofs): 它使用递归压缩技术为大型计算生成简洁的证明（约 50 KB），在保持效率的同时具备抗量子性。
3. 模块化和透明化 (Modular and Transparent): 与传统的 SNARK 不同，Labrador 不需要可信设置，为面向未来的区块链应用提供透明性和可扩展性。
4. 未来潜力 (Future Potential): Labrador 在安全性和效率之间取得了平衡，使其成为优先考虑后量子安全用例的理想选择，并且预计在即将发布的版本中会进行进一步的优化。

介绍

随着零知识 (ZK) 技术的快速发展，一个名为 Labrador 的新项目应运而生，有望彻底改变我们对后量子时代安全证明的看法。Labrador 不仅仅是一个可爱的名字，它是第一个实用的基于格的 zkSNARK（零知识简洁非交互式知识论证）。

简单来说，它是一个在不泄露秘密的情况下证明事情的系统，建立在即使未来的量子计算机也无法轻易破解的高级数学之上。ZK 爱好者对 Labrador 感到兴奋，因为它提供了紧凑的证明大小（约 50 KB），同时完全依赖于后量子安全假设（特别是格密码学）。该项目由密码学家于 2023 年推出，并迅速成为 ZK 领域的重要工具，已应用于后量子签名聚合等领域。

在本文中，我们将深入探讨 Labrador 的设计和方法，从其证明系统和新颖的密码学技术到它如何融入模块化区块链架构和数据可用性层。我们还将 Labrador 与其他 ZK 生态系统进行比较，以了解其在该领域中的独特地位。我们的目标是用简单的语言解释这些复杂的概念，使用类比和清晰的例子，以便即使没有正式的数学或物理背景的读者也能掌握 Labrador 背后的宏大理念。

为什么后量子 ZK 很重要

在深入研究 Labrador 本身之前，重要的是要了解它背后的背景和动机。当今流行的 ZK 证明系统（例如区块链项目中使用的许多 SNARK）通常依赖于经典的密码学假设，例如椭圆曲线离散对数问题的难度。这些假设对当前的计算机有效，但未来足够强大的量子计算机可能会使用 Shor 算法（可以有效地解决离散对数和分解大数）来破解它们。

换句话说，许多我们最喜欢的使用椭圆曲线或类似技术的 SNARK 在后量子世界中将不堪一击。另一方面，STARK 和其他一些证明系统仅使用哈希函数（被视为“随机预言机”）来避免椭圆曲线，如果它们的参数（例如哈希大小）足够大，则相信可以抵抗量子攻击。

但是，这些“基于哈希”的证明往往具有更大的证明大小和更慢的性能——这是实现量子安全的折衷方案。这就是基于格的密码学发挥作用的地方。格问题是一类数学问题，即使对于量子计算机来说也被认为是困难的，并且它们已成为许多后量子密码方案的基础（你可能听说过 NIST 标准化的后量子加密和签名算法，其中许多都是基于格的）。

在零知识领域，研究人员一直在研究基于格的证明系统，以将抗量子性与效率结合起来。Labrador 项目是这些努力的结晶，它提供了一个不仅后量子安全，而且简洁高效的证明系统。通过使用格，Labrador 旨在为我们提供两全其美的优势：确保我们的证明能够对抗量子对手的安心，以及小证明和合理的验证时间的实用性。对于 ZK 爱好者来说，这意味着面向未来的区块链及其他领域的隐私和可扩展性解决方案。

Labrador 设计概览

Labrador 本质上是一个 zkSNARK——这意味着它生成简洁的证明，证明一个陈述是真实的，而不会泄露为什么它是真实的。Labrador 的与众不同之处在于它是如何生成这些证明的。传统的 SNARK（如 Groth16 或 PLONK）依赖于椭圆曲线配对，并且通常需要可信设置仪式。另一方面，STARK 仅使用哈希，不需要可信设置，但由于 Merkle 树打开证明和 FRI，它们的证明更大（数百 KB 或更多）。

Labrador 引入了一种基于格密码学的新证明系统，特别是 Module-SIS 问题的难度（我们稍后将对此进行解释）。这使得 Labrador 能够像 STARK 一样，实现透明（无需可信设置）和后量子安全，但证明大小却比早期的后量子要小得多。事实上，对于一个大的算术电路，在 128 位安全级别下，Labrador 证明只有 50-60 KB 左右。这大约比以前的技术（如基于哈希的 Aurora 或 Ligero 证明）的可比较的量子安全证明小一个数量级。

Labrador 是如何实现这一点的？线索就在它的名字中：LaBRADOR 代表“Lattice-Based Recursively Amortized Demonstration of R1CS”。该协议分为两个部分——一个基本证明协议和一个递归压缩步骤——它们共同产生一个很小的证明，而与原始计算大小无关。基本协议生成一个有些大的初始证明，但随后 Labrador 重复地将递归应用于该证明，每次都进一步“折叠”或压缩该证明。经过递归步骤（实际上对于典型情况可能是约 7 轮），证明大小基本上变为恒定。

这是一件大事——这意味着即使是非常复杂的计算也可以有一个小到足以发布在区块链上的证明。但是，没有任何东西是完全免费的：一个权衡是 Labrador 的验证者（检查证明的算法）必须在计算大小上做线性工作。换句话说，验证 Labrador 证明仍然需要与原始电路大小成正比的时间，这比传统 SNARK 的近乎瞬时的验证要慢。

尽管存在这一缺点，但 Labrador 的设计是一个里程碑，因为它展示了一条通往具有简洁大小的实用抗量子 ZK 证明的可行途径。它的设计是模块化的，这意味着核心证明结构（R1CS 约束的递归摊销）可以潜在地与其他组件或改进集成（事实上，它启发了后续工作，如 Greyhound，它改进了多项式承诺方面）。

概括来说，以下是 Labrador 的主要特点：

• 后量子安全性 (Post-Quantum Security)：建立在被认为对量子攻击安全的格假设 (Module-SIS) 之上。
• 透明性 (Transparency)：无需可信设置；任何人都可以使用公开已知的参数（仅需要随机格）来验证证明。
• 简洁证明 (Succinct Proofs)：即使对于大型计算，也具有接近恒定的证明大小 (~50 KB)，这要归功于递归证明压缩。
• R1CS 兼容性 (R1CS Compatibility)：可以证明表示为秩 1 约束系统（Rank-1 Constraint Systems，像许多 SNARK 一样）的任意计算，使其具有广泛的适用性。
• 模块化设计 (Modular Design)：分为基本协议和递归步骤，这为交换改进（例如，更好的多项式承诺）打开了大门，而无需从头开始重新设计。

这种高层次的视角展示了为什么 Labrador 令人兴奋——它承诺了我们期望从 SNARK 获得的扩展性和效率水平，同时还为后量子世界做好了准备，并避免了可信设置的陷阱。

Labrador 的证明系统如何工作？

让我们用简单的术语来解释 Labrador 如何生成证明。我们将避免正式的数学，而是使用“通过将一个大拼图分解为更小的拼图来证明它已解决”的类比。想象一下，你有一个巨大的拼图（这代表你想证明的原始计算或电路）。由于其庞大的规模，直接证明你解决了它将很难验证。相反，Labrador 的方法是：解决拼图，然后逐步压缩该解决方案的证据，直到它变得很小。以下是 Labrador 证明过程的逐步分解：

对见证 (Witness) 进行承诺 (Ajtai Commitment)：首先，证明者将拼图的解决方案（计算的秘密见证）隐藏在一种称为 _Ajtai 承诺_的密码“保险箱”中。这就像将拼图的解决方案与一些随机噪声混合，以便你只将装有混合拼图的锁定盒子发送给验证者。验证者无法看到你的实际拼图（因此保留了零知识），但承诺会“锁定”你的解决方案——如果你不打破盒子就不能稍后更改它，这被认为是计算上不可行的，因为格 (Module-SIS) 的困难性。本质上，Ajtai 承诺使用一个大的随机矩阵（公开已知），并将其乘以你的秘密向量（见证）以产生一个承诺。此承诺具有同态属性（意味着对承诺的操作对应于对秘密向量的操作，稍后将非常有用。

证明约束满足 (基本协议)：接下来，证明者需要说服验证者，秘密见证向量实际上满足拼图的所有必需约束而不泄露秘密向量。Labrador 的基本协议通过交互式证明来做到这一点（在实际实现中，它将通过 Fiat-Shamir 转换转换为非交互式形式。）。简而言之，证明者和验证者进行一系列步骤：验证者抛出一些随机挑战，证明者用信息回复，这些信息只有在所有约束都有效时才有意义。这里的一个聪明的技巧是证明者使用随机挑战将许多约束聚合为一个。

在基本协议结束时，证明者有效地提供了一个证明（由一些承诺的值和响应组成），即所有约束都得到满足，并且见证具有较小的“范数”（意味着解决方案数字不是很大，这对于安全性很重要）。

递归证明压缩 (Recursive Proof Compression)：神奇的地方来了——Labrador 使用递归来进一步缩小证明。其思路是，基本协议生成的证明具有其自身的内部结构和约束（验证者将检查的内容本身可以被视为一种较小的拼图）。Labrador 实际上采用了步骤 2 中的证明，并将该证明的数据视为要证明的新“见证”！。换句话说，我们得到了第二个证明，证明“第一个证明形成正确且有效”。

验证 (Verification)：验证者通过执行协议定义的一系列基于格的计算来检查最终证明。在不深入研究数学的情况下，验证者基本上确保所有承诺和响应都正确对齐——类似于检查最后一个小拼图的解决方案，该解决方案通过构造保证了大拼图已解决。这是一个已知的限制：与经典 SNARK 可能在恒定时间内验证不同，在这里我们牺牲了一些验证速度，以换取后量子安全和无信任设置的好处。但是，对于适度的 N 来说，验证者的线性时间（在 ZK-rollup 场景中通常是智能合约或区块链节点）可能是可以接受的，并且正在进行研究以改进这一点（例如，像 Greyhound 这样的较新方案以亚线性验证为目标）。

在整个过程中，都保持了零知识——验证者除了见证满足约束这一事实之外，对实际见证（解决方案）一无所知。所有巧妙的随机挑战、承诺和代数确保与正确见证的任何偏差都将导致以高概率检测到不一致，但是正确的见证会产生完全有效的证明，验证者会接受该证明。这就像重复压缩文件一样；每次压缩时，文件都会变小，并且经过足够的迭代后，你会得到一个很小的存档，该存档仍然在逐层打开时包含完整的原始数据。

Labrador 背后的新颖密码学技术

Labrador 的力量来自一些巧妙的密码学构建块，主要来自基于格的密码学。让我们揭开它使用的一些新颖技术的神秘面纱（而不会深入研究数学）：

• Module-SIS 问题（格假设）(Module-SIS Problem (Lattice Assumption))：Labrador 的安全性建立在 Module Short Integer Solution (Module-SIS) 问题的难度之上。这是一个格问题。简单来说，SIS 会询问：给定一堆本质上是随机的大数（或向量），你是否能找到它们的一个具有_小_系数的组合，并且它们加起来正好为零？这就像拥有一组非常大的拼图，并询问你是否可以非常巧妙地平衡其中的一些（使用小权重），使它们相互抵消。人们认为即使对于量子计算机来说，这也是极其困难的。Module-SIS 只是一个更高级的版本，其中这些数字不是普通整数，而是素数域上的多项式（想象一下每个“数字”实际上是一个多项式，这给问题增加了一个结构化的转折）。因为没有已知的有效算法可以解决 Module-SIS（除非我们破解像 SVP 这样的基本格问题，这被认为是不太可能的），所以它为 Labrador 的承诺和证明提供了牢不可破的“锁”。与传统 SNARK 中使用的假设（如椭圆曲线离散对数）相比，Module-SIS 具有后量子安全性，并在学术文献中得到了充分的研究。
• 范数界限和“短”向量 (Norm Bounds and "Short" Vectors)：Labrador 协议中反复出现的一个概念是见证向量必须“短”（具有小范数）。直观地说，这意味着秘密数字不是天文数字——它们在可管理的范围内。强制执行规范界限很重要，因为 SIS 问题的难度依赖于找到_短_解决方案。如果允许任意大的系数，则存在微不足道的解决方案（只需采用巨大的系数来抵消事物即可）。在证明中，证明者证明他们的见证尊重这些界限（通常通过巧妙的约束设计和随机挑战来实现，如果范数太高，则会爆炸）。对于非数学类比：将见证想象成穿过茂密森林的路径。范数界限确保路径不会偏离太远——它保持在“短”距离内。验证者可以确信证明者没有采取一些疯狂的弯路（这可能代表无效的解决方案），因为这会违反已知的界限。
• 二次方程（秩 1 约束）(Quadratic Equations (Rank-1 Constraints))：Labrador 的约束系统使用二次方程——本质上是内积和常数项。这实际上与 R1CS 在典型 SNARK 中的工作方式在精神上相似（R1CS 约束是一个二次方程，将线性组合的乘积等同于另一个线性组合）。通过在格设置中使用二次形式，Labrador 可以编码任意算术电路。使用二次（2 次）约束的原因是它们具有足够的表达能力来捕获复杂的逻辑（你可以乘以变量），但结构足以简洁地证明。承诺是线性的，而约束是二次的这一事实至关重要——它允许递归，因为验证条件（涉及已承诺值的二次检查）本身可以在下一层转换为类似的二次约束。

这些密码学技术在底层非常先进，但关键是 Labrador 将它们融合在一起以产生协同作用格承诺提供强大的安全性和线性，递归摊销提供简洁性，而像 Fiat-Shamir 这样的传统技术确保了实用性（非交互性）。Labrador 的设计证明了现代 ZK 研究如何将来自不同领域的思想结合在一起——在这里我们看到数论、线性代数（矩阵和向量）和理论计算机科学（交互式证明）都在一起工作。值得注意的是，Labrador 中的所有内容都建立在被认为在量子时代安全的假设之上，这是我们迈向未来时的主要卖点。

将 Labrador 与其他 ZK 生态系统进行比较

ZK 格局充满活力，各种证明系统和项目都有自己的优势和权衡。让我们将 Labrador 与一些著名的系统进行比较，以了解它的地位：

• Labrador 与经典 SNARK (Groth16/PLONK/etc.)： 像 Groth16 这样的传统 SNARK 具有很小的证明（约 1-2 KB）和极快的验证（几个配对检查）。但是，它们需要 可信设置（这可能很复杂，并且如果设置损坏则会带来安全风险）并且依赖于 非后量子安全 的密码学假设（椭圆曲线配对）。相比之下，Labrador 具有更大的证明（约 50KB）和更慢的验证（线性时间），但无需可信设置和具有量子弹性。在当前设置（还没有量子计算机）中，由于 Groth16 或 PLONK 的速度和大小，它们可能更适用于链上验证。但是 Labrador 提供了一种面向未来的替代方案——你现在会牺牲一些性能和便利性，以避免在量子计算机到来时彻底改造你的系统。此外，Labrador 的透明性简化了部署（无需多方仪式来生成密钥）。例如，像 Zcash 这样的项目以有毒废物仪式而闻名地使用了 Groth16；在未来假设的类似 Zcash 的应用程序中，Labrador 可以完全消除该仪式。
• Labrador 与其他新兴的后量子 ZK 系统： Labrador 并不孤单——后量子 ZK 领域很热门。例如，Greyhound (2025) 是一种较新的协议，它实际上建立在 Labrador 的方法之上，但侧重于证明的多项式承诺部分。Greyhound 实现了一种具有 亚线性验证 和类似证明大小的方案它本身不是一个完整的证明系统（更像是一个组件），但它表明了方向：改进 Labrador 的弱点（即验证成本）。Dan Boneh 甚至评论说，这些发展标志着后量子 SNARK 首次在某些方面可能优于前量子 SNARK。这是 Labrador 的重要背景：它启动了“格子 SNARK 竞赛”，并且在几年内，我们已经看到了快速的改进。因此，今天的 Labrador 应该被视为基础——实际的格子 SNARK 是可能的的概念验证——而不是故事的结局。我们可以期望未来的版本会更加高效。
• 用例视角： 不同的 ZK 生态系统针对不同的用例。例如，以太坊上的 ZK-rollup（如 zkSync、Scroll） 旨在实现即时的实际可扩展性，因此使用经过验证的 SNARK 技术（PLONKish 方案）来提高现有硬件的速度。注重隐私的链（如 Aztec 或 Penumbra） 也使用现有的 SNARK 来提高效率和 UX。Labrador 可能不会在短期内取代它们，因为它更具有前瞻性。但是，对于任何重视长期安全性且可以容忍更多开销的应用程序，Labrador 都具有吸引力。想象一下，一个政府或机构想要一个在几十年内保持安全的 ZK 系统——后量子证明系统对于这种情况极具吸引力。

总而言之，Labrador 以其 后量子血统和简洁的证明大小 而与众不同，同时从其基于格的性质继承了一些缺点，例如验证更加繁重。它的竞争对手要么牺牲后量子安全性以换取速度（经典 SNARK，Halo），要么牺牲证明大小以换取后量子安全性（STARK）。Labrador 找到了一个中间地带：量子安全且证明大小相对有效，但代价是验证者工作负载。随着技术的成熟，这种中间地带可能会有所改善，从而缩小甚至超越旧方法的差距。对于 ZK 爱好者来说，这是一个令人兴奋的发展——这意味着生态系统正在为未来做好准备，在这个未来，安全性和性能都可以实现，而无需妥协。

结论

Labrador 的出现标志着零知识故事的新篇章——后量子安全性和实用性相交。多年来，ZK 爱好者一直看到一种权衡：我们有极其高效的 SNARK，但有一天可能会被量子计算机破解，还有一些防量子的系统，但对于实际使用来说太不切实际了。Labrador 基于格的方法表明，这种差距是可以弥合的。它引入了一种证明系统，通过创造性的递归设计和格密码学，实现了紧凑的证明，而无需依赖量子机器可能打破的猜想。撰写关于这样一个技术主题的 Medium 风格 文章带来了在保持深度的同时避免形式主义的挑战。我们通过使用类比和通俗易懂的语言来解释 Module-SIS、递归证明摊销和数据可用性等概念——将承诺描述为锁定的盒子，将证明描述为拼图，并将区块链描述为分层框架。希望这种双语探索使更广泛的受众更容易理解拉布拉多项目。

对于 ZK 爱好者来说，理解 Labrador 不仅仅是了解一个项目——而是了解整个生态系统的未来。像 Labrador 这样的创新将使每个人受益，跨越国界，因为我们共同努力实现一个更具隐私性、可扩展性和安全性的世界。你不需要数学或物理学博士学位才能参与这个旅程——正如我们所见，通过一些想象力和开放的心态，就可以理解其核心思想。

最后，Labrador 项目证明了人类在密码学方面的独创性：通过回到基本难题（格）并推动创造性技术（递归证明），研究人员已经释放了新的可能性。我们可以期待一个 模块化、后量子的 ZK 基础设施，其中像 Labrador 这样的工具可以确保我们的去中心化应用程序保持可信，即使面对明天的技术挑战。Labrador 可能是一种友好的狗品种，但在 ZK 世界中，它也是一个守护者的名字，确保我们的证明保持强大，我们的秘密保持安全。

• 原文链接： medium.com/@CFrontier_La...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～