条条大路通罗马：Eurocrypt、zkSummit与zkProof会议之旅总结

引言

过去两周，密码学研究的重心转移到了罗马，举办了一系列活动：5月7日迎来了zkSummit 14的回归，5月9日至10日举行了zkProof 8及多个Eurocrypt周边活动，而5月11日至13日则是Eurocrypt 2026的主会场。Lambda与Aligned、布宜诺斯艾利斯大学密码学与分布式系统中心（CCSD）以及我们的合作伙伴3MI Labs共同参加了这些活动，讨论最新成果并着手应对未来的挑战。我们兴奋地看到，更广泛的学术界正如何探讨零知识、量子威胁等议题，以及形式化验证和人工智能如何影响密码学研究。

zkSummit 14

在zkSummit 14上，时隔一年后会场座无虚席。我们发表了演讲《lambda-vm：极简且高性能的zkvm》（视频链接），讨论了我们在构建高性能zkvm（延续执行客户端ethrex的设计思路）这一当前探索中的设计哲学。为现有证明系统添加零知识功能是一个热门话题，Giacomo Fenzi介绍了ZO0K：约束交织码的零知识IOPP，Ron Rothblum介绍了VEIL（SP1的轻量级构造）。Antonio Sanso讨论了Poseidon哈希函数的代数攻击，并详细解释了攻击原理。其他活动则专注于分析当前代数哈希函数的安全性，以及为选择此类哈希函数制定明确指南。以太坊基金会除了Antonio的演讲外，还参与了多场重要演讲，包括他们在zkvm安全和zkID方面的冲刺开发。来自Miden的朋友们介绍了他们的算术电路评估小片，这是一个继续与他们讨论和合作的好机会。闭幕小组讨论非常精彩，探讨了量子威胁、应对量子计算机的步骤与方法以及时间线。原定是Justin Drake和Dan Boneh的小组讨论，但后来扩展到了Daira-Emma Hopwood、Jens Groth以及其他研究人员。

zkProof 8

zkProof 8 是议程的下一站，还包括两个额外活动：IOPFest（关于交互式预言机证明的发展）和ArkLib日（聚焦形式化验证）。会上讨论了基于哈希函数的新型IOP的开发，以及新型交互式预言机归约（IOR）的发展——这些现已成为帮助我们更好理解现有IOP安全性的基础组件，同时也用于开发基于哈希的证明系统的累积/折叠方案。此外，还讨论了IOP的最优性结果，以及过去十年间定义和框架的演变。Alessandro Chiesa讨论了如何从线性编码发展到新的邻近性测试，以及当前研究证明系统的框架。

以太坊基金会发表了多场重要演讲。Dan Boneh介绍了“邻近性奖”（Proximity Prize），即以太坊基金会为推进邻近性差距相关成果提供高达100万美元的奖励。

随后，Dan Boneh和Justin Drake进行了一场关于零知识证明系统后量子准备的小组讨论。Justin还讨论了量子密码分析。一个关键收获是，许多研究人员认为量子计算的时间线实际上更短，即使并非如此，我们也应该以此为行动准则，因为存在很大的不确定性。后来在Eurocrypt上，还有关于量子因数分解算法的讲解。

zkProof 8的第二天专门讨论形式化验证以及以太坊基金会在ArkLib上的努力，接着继续关于IOP、为证明系统添加零知识功能以及折叠方案的演讲。

周边活动：对称原语研讨会

周日，我们参加了第一届“素域和整数环上的对称原语研讨会”（与代数哈希函数密码分析合并）。该研讨会专注于为多方计算（MPC）、同态加密（HE）、零知识（ZK）和保形加密（FPE）设计素域和整数环上的对称密钥原语，以及这些原语的新型和改进的密码分析。Dmitry Khovratovich介绍了Poseidon密码分析。Léo Perrin综述了近期被攻破的若干环和域上的原语，重点介绍了哈希函数。Alex Rodríguez García关于通过跳轮技术降低Poseidon哈希函数安全性的工作极具洞察力。尽管这些周边活动在周日举行，但参与者非常多。

Eurocrypt 2026

最后，周一我们迎来了在音乐公园（Parco della Musica）开幕的Eurocrypt 2026，连续四天涵盖密码学的多个主题。大多数时候有三个并行分会场，这让我们很难决定参加哪些演讲。零知识I分会介绍了查询最优IOP和锯齿状多项式承诺（Jagged Polynomial Commitments）。前者虽然在渐近意义上更优，但对于当前我们要证明的程序规模，具体效率仍不如FRI或WHIR。我们曾在之前的文章中讨论过锯齿状PCS，很高兴看到在处理多线性多项式上的证明系统时性能的提升。另一个有趣的环节是关于神经网络在密码学中的应用，以及它们如何被用于密码分析。Adi Shamir（RSA中的S）关于深度神经密码学的演讲极具启发性，解释了在基于实数的机器上实现密码学时的陷阱。与此同时，多场关于全同态加密的演讲也在进行。下午有一个完整的环节专门讨论量子计算，介绍了多种加速计算的技巧。周二上午继续讨论了一些不可能性结果，随后是Clémence Chevignard关于“减少椭圆曲线上量子离散对数中的量子比特数”的讲解。最后一场演讲包含了加速解决椭圆曲线离散对数问题的多种思路。许多想法包括利用椭圆曲线上一些众所周知的策略，例如使用射影坐标完全避免求逆运算、利用中国剩余定理以及进行一些经典预计算，这表明先前关于解决该问题所需量子计算机规模的估计被高估了。还需要观察的是，能否使用诸如自同态等技术进一步改进计算时间，但似乎我们很可能会得到更低的估计值（事实上，后来发布的Google论文进一步改进了这个界限）。

还有更多关于零知识和量子的演讲，包括关于近似计算的sumcheck协议的演讲。Anna Lysyanskaya应邀做了题为“现代密码学五十年”（Diffie和Hellman的论文正好发表50周年）的报告，她介绍了现代密码学如何渗透到社会、当前的一些挑战，以及匿名凭证和身份方面的努力，表明这些仍然是密码学中的热门话题。同源密码学（Isogenies）有单独的分会场，Luca De Feo做了主题演讲。

对我们来说，另一个有趣的分会场是乱码电路（Garbled Circuits），因为它们是比特币中验证零知识证明的关键构建模块之一。我们看到了多种策略及其权衡。零知识继续在其他分会场进行，包括Giacomo关于FRI-Binius的演讲。最后，高级签名和后量子密码学分会场为最后一天画上句号。这是紧张的一周，我们得以了解最新进展，更深入理解新主题及其应用，并与朋友和伙伴们交流。当然，我们也享受了罗马的美景，追忆了罗马帝国，品尝了意大利美食。

结论

很高兴在那里见到这么多朋友，并看到密码学格局的演变。零知识仍然是一个热门话题，但与我们2021年所见不同：现在焦点转向基于哈希的证明系统、改进证明大小以及开发折叠方案。后量子密码学无处不在。大多数协议和研究人员都在推动开发更高效的原语，并在预计的Q-day之前很久就采用后量子安全原语。这需要权衡，但将真正复杂的系统迁移到新原语并非几天内能完成的事。我们看好以太坊基金会通过Lean Ethereum为长期保障以太坊安全所做的努力，以及形式化验证工作的快速进展。我们正以最快的速度让我们的zkvm准备就绪，使其易于理解且最小化组件数量。这反过来应该会使规范和代码库的形式化验证更加容易。我们与3MI Labs的朋友们花了大量时间讨论zkvm和代数哈希函数的安全性。现在是时候落地了。请继续关注更多消息。

• 原文链接： blog.lambdaclass.com/all...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～