Докази з нульовим розголошенням для перевірки пропускної здатності

Проблема підтвердження передачі даних

Ви коли-небудь замислювалися, чому ви платите за «високошвидкісний» інтернет, а відео все одно гальмує, ніби на дворі 2005 рік? Зазвичай це відбувається тому, що ми опинилися в пастці стосунків з інтернет-провайдерами та VPN-сервісами, які будуються за принципом «просто повір мені на слово».

У старому світі — тому, що ми називаємо централізованою мережею — ви підключаєтеся до сервера, який належить одній компанії. Вони кажуть вам, скільки пропускної здатності ви використали, і ви оплачуєте рахунок. Але в децентралізованій мережі фізичної інфраструктури (DePIN) ви часто отримуєте доступ до інтернету через домашній вузол (ноду) випадкової людини.

• Централізовані логи — це величезна діра в приватності: Більшість традиційних VPN-сервісів заявляють про політику «без логів», але ви просто вірите їм на слово. Якщо уряд надішле судовий запит, ці логи зазвичай виявляються на місці.
• Дефіцит чесності: Якщо я ділюся з вами своїм домашнім оптоволоконним з'єднанням, щоб заробити крипто-токени, що завадить мені збрехати мережі та заявити, що я передав вам 10 ГБ, хоча насправді надіслав лише 1 ГБ?
• Необхідність верифікації без довіри (trustless): Нам потрібен спосіб довести, що дані дійсно перемістилися з точки А в точку Б, без посередника, який би стежив за всім трафіком.

Згідно з дослідженням Zero-Knowledge Proof Frameworks, технологія доказів із нульовим розголошенням (ZKP) дозволяє «доводжувачу» переконати «верифікатора» у правдивості твердження, не розкриваючи при цьому самі секретні дані. У нашому контексті це означає доказ того, що я надіслав вам дані, без необхідності для мережі «прослуховувати» ваші приватні пакети.

Коли ми говоримо про «майнінг пропускної здатності» (Bandwidth Mining) або «Airbnb для інтернету», ми, по суті, стимулюємо людей перетворювати свої роутери на міні-провайдерів. Проте крипто-винагороди приваблюють і тих, хто хоче «обіграти систему» — отримати токени, не виконуючи реальної роботи.

Як показано на наступній схемі робочого процесу верифікації пропускної здатності, нам потрібна система, яка перевіряє потік даних, не деанонімізуючи користувача.

Якщо ми дозволимо вузлам самостійно звітувати про свою статистику, система завалиться через шахрайство. З іншого боку, якщо ми дозволимо мережі бачити все для перевірки трафіку, ми просто побудуємо гігантську машину для стеження.

Вимірювання пірингового (P2P) трафіку — це надзвичайно складний процес. На відміну від каси в магазині, де сканується штрих-код, пакети даних є текучими. У таких галузях, як охорона здоров'я чи фінанси, це питання стоїть ще гостріше. Ви не можете просто дозволити третій стороні інспектувати пакети, щоб перевірити чесність вузла.

Звіт за 2023 рік від екосистеми arkworks zksnark свідчить про те, що модульні бібліотеки стають стандартом для створення таких типів «лаконічних» (succinct) доказів, які можуть працювати навіть на малопотужному обладнанні.

Нам потрібна математика — зокрема криптографічні зобов'язання (cryptographic commitments), щоб подолати цей розрив. Без них пропускна здатність залишається послугою, що надається «за можливістю» (best effort), а не гарантованим ресурсом. Оскільки такі сценарії використання вимагають високої надійності, вартість виконання цих перевірок у блокчейні стає головною перешкодою, яку нам належить подолати.

Що ж таке докази з нульовим розголошенням?

Уявіть, що вам потрібно довести охоронцю на вході до клубу, що вам уже виповнилося 18 років, але ви не хочете, щоб він бачив вашу адресу реєстрації, зріст або те, наскільки невдалим вийшло ваше фото в паспорті. Замість того, щоб передавати фізичний документ, ви показуєте йому «чорну скриньку», на якій спалахує зелене світло лише у випадку, якщо ви відповідаєте віковому цензу.

Саме це і роблять докази з нульовим розголошенням (zero-knowledge proofs, ZKP) у цифровому світі. Це спосіб сказати: «У мене є відповідь», не показуючи при цьому самі розрахунки або вихідні дані.

У контексті нашого маркетплейсу пропускної здатності це працює так: провайдер доводить, що він передав вам рівно 500 МБ зашифрованого трафіку, при цьому мережа жодним чином не бачить, що саме знаходиться всередині цих пакетів. Це міст між концепцією «просто повір мені» та «ось математичне підтвердження того, що я не брешу».

В основі ZKP лежать дві ролі: Довідник (Prover) — вузол, що ділиться своєю пропускною здатністю, та Верифікатор (Verifier) — блокчейн або користувач, який отримує дані. Мета полягає в тому, щоб Довідник переконав Верифікатора в істинності твердження, не розкриваючи жодної зайвої інформації.

Щоб система ZKP була життєздатною, вона має відповідати трьом критеріям:

• Повнота (Completeness): якщо вузол дійсно передав дані, математична перевірка завжди має бути успішною, щоб він отримав свою винагороду.
• Надійність (Soundness): якщо вузол намагається збрехати, математика має виявити помилку майже у 100% випадків. Шахрайство виключено.
• Нульове розголошення (Zero-knowledge): Верифікатор не дізнається нічого про вміст файлів, що передаються — лише те, що обсяг і пункт призначення були правильними.

Саме так ми реалізуємо принцип «нульової довіри» (zero-trust) у децентралізованих мережах. Користуючись dVPN, ви не хочете, щоб вузли мережі шпигували за вашими переглядами на Netflix або банківськими транзакціями. Завдяки ZKP вузол може довести мережі виконання контракту — і заробити крипто-винагороду — ні разу не «зазирнувши» у ваш приватний трафік.

Заглиблюючись у технічні деталі DePIN-проєктів, ви зустрінете два основні різновиди цих доказів: SNARK та STARK. Вони звучать як імена персонажів із поеми Льюїса Керролла, але на практиці мають абсолютно різні характеристики.

zk-SNARKs (Succinct Non-Interactive Arguments of Knowledge) — це старша та більш поширена технологія. Вони «лаконічні» (succinct), що означає малий розмір доказів — іноді всього кілька сотень байтів. Це ідеально підходить для користувачів мобільних VPN, оскільки перевірка з’єднання не з’їдає мобільний трафік.

Однак більшість SNARK-протоколів (як-от відомий Groth16) потребують «довіреного налаштування» (trusted setup). Це одноразова подія, під час якої генеруються випадкові числа для запуску системи. Якщо люди, які проводять це налаштування, виявляться недоброчесними, вони теоретично зможуть підробляти докази. Як зазначалося раніше в оглядах фреймворків ZKP, саме тому багато нових проєктів шукають альтернативи.

zk-STARKs (Scalable Transparent Arguments of Knowledge) — це новіша та потужніша версія. Вони не потребують довіреного налаштування — вони «прозорі» (transparent). Також вони мають величезну перевагу: стійкість до квантових комп’ютерів.

Наведена нижче архітектурна діаграма ілюструє компроміси між робочими процесами SNARK та STARK у P2P-середовищі.

Створюючи P2P-біржу пропускної здатності, ми фактично будуємо децентралізованого інтернет-провайдера (ISP). У реальному житті ви б ніколи не заплатили касиру, який просто «пообіцяв», що поклав молоко в пакет, не давши вам зазирнути всередину. У фінансах ви не довіряєте просто таблицям банку — вам потрібен аудит.

ZKP забезпечує такий аудит для даних. Незалежно від того, чи це медична установа, що передає конфіденційні дані пацієнтів через VPN, чи роздрібна мережа, що синхронізує залишки товарів у тисячах магазинів — їм необхідно знати, що дані доставлені в цілісності, а посередник (вузол) не бачив їхнього змісту.

Верифікація пропускної здатності без шпигунства

Отже, ви запустили вузол (ноду) і ділитеся своєю пропускною здатністю, щоб заробити трохи криптовалюти. Чудово. Але як мережа насправді дізнається, що ви передаєте реальні дані користувачеві, скажімо, у Берліні, без прямого «перехоплення» пакетів для перевірки?

Це величезна технічна проблема. Якщо мережа бачить дані для їх верифікації — вашій конфіденційності кінець. Якщо ж вона не бачить нічого — ви могли б просто «майнити» токени, надсилаючи сміттєвий трафік самому собі. Саме тут ми занурюємося в тонкощі протоколів доказу пропускної здатності (bandwidth proof protocols).

Щоб розв'язати цю проблему, ми використовуємо специфічний розділ математики під назвою vOLE-based Zero-Knowledge (Vector Oblivious Linear Evaluation — векторне забудькувате лінійне обчислення). Звучить як термін із науково-фантастичного роману, але насправді це неймовірно елегантне рішення для високошвидкісної передачі даних.

На відміну від протоколів SNARK або STARK, які часто використовують важкі еліптичні криві, vOLE є формою «інтерактивного оракульного доказу» (Interactive Oracle Proof), де пріоритетом є швидкість доказувача, а не розмір самого доказу. Він буквально створений для швидкості, що робить його ідеальним для верифікації масивних потоків даних у реальному часі без затримок у вашому з'єднанні.

• Високошвидкісна верифікація: Протоколи на базі vOLE чудові тим, що вони не покладаються на складні математичні обчислення на кожному кроці. Це робить їх значно швидшими для майнінгу пропускної здатності в реальному часі.
• Перевірка узгодженості: Мережа використовує ці докази, щоб переконатися, що вузол дійсно має ту швидкість віддачі, про яку заявляє. Якщо ви позиціюєте себе як «супервузол» (Supernode), але математика не збігається, смартконтракт просто не активує виплату.
• Будьте в курсі подій: Якщо ви глибоко занурені в цю тему, стежити за новинами в таких спільнотах, як squirrelvpn — інформаційному ресурсі та ком'юніті про технології децентралізованих VPN — буде гарним рішенням, щоб розуміти, які протоколи дійсно виходять у мейннет.

Діаграма нижче демонструє, як vOLE створює безпечне «рукостискання» між вузлом та верифікатором.

Найцікавіше — це те, як усе це пов'язано з вашим гаманцем. У децентралізованих VPN (dVPN) ми прагнемо, щоб винагороди нараховувалися автоматично. Вам не потрібно чекати, поки реальний «менеджер» схвалить ваш заробіток.

Ми використовуємо смартконтракти, які виступають у ролі ідеального ескроу-агента. Ці контракти запрограмовані бути «сліпими», але справедливими. Вони утримують токени й вивільняють їх лише тоді, коли надано валідний доказ із нульовим розголошенням (ZKP). Немає доказу — немає оплати. Це жорсткий, але необхідний спосіб підтримувати чесність у P2P-мережі.

Вирішення проблеми вартості газу

Однією з головних перешкод у минулому була вартість «газу» — комісія, яку ви сплачуєте за внесення даних у блокчейн. Якщо доказ занадто об’ємний, витрати на комісії можуть перевищити суму заробленої винагороди. Саме ця «економіка ончейн-верифікації» часто стає фатальною для багатьох проектів.

Щоб розв'язати цю проблему, ми використовуємо рекурсивні докази (Recursive Proofs). Це метод, який дозволяє перевіряти безліч дрібних доказів у межах одного великого. Замість того, щоб відправляти в блокчейн 1000 окремих транзакцій для 1000 дрібних передач даних, система об'єднує їх у пакет (batch) та формує єдиний доказ. Це розподіляє вартість газу між тисячами запитів, зводячи витрати для кожного користувача до лічених центів.

Рішення другого рівня (Layer 2) також допомагають, переносячи основне обчислювальне навантаження за межі головної мережі. Верифікуючи докази з нульовим розголошенням (zkp) у швидшій та дешевшій мережі та фіксуючи лише фінальний баланс у основному блокчейні, ми зберігаємо прибутковість для власників вузлів (нод).

• Автоматизовані виплати: щойно zkp верифікується в мережі, токени автоматично перераховуються на гаманець вузла. Тут немає місця для «довіри» — працює лише код.
• Зменшення накладних витрат: використання таких бібліотек, як arkworks, допомагає стискати ці докази, роблячи їх «лаконічними» (succinct) та дешевими для перевірки.
• Запобігання шахрайству: завдяки математичній «обґрунтованості» протоколу, для вузла статистично неможливо підробити передачу 1 ГБ трафіку, не маючи цих даних насправді.

Реальні сценарії використання ZKP у DePIN

Ви коли-небудь замислювалися, як можна продати надлишок свого домашнього інтернету користувачеві в Токіо так, щоб ніхто з вас не став жертвою шахрайства? Це звучить як сюжет технологічного трилера, але насправді це основа руху DePIN (децентралізованих мереж фізичної інфраструктури).

Ідея проста: у вас вдома гігабітне оптоволокно, але ви використовуєте його лише для перегляду Netflix або гортання стрічки Reddit. Чому б не продати залишок? У моделі децентралізованого VPN (dVPN) ваш роутер стає повноцінним вузлом (нодою) мережі.

• Гарантії якості обслуговування (QoS): Ми використовуємо докази з нульовим розголошенням (ZKP), щоб підтвердити, що вузол дійсно надав обіцяну швидкість у 100 Мбіт/с. Вузол генерує «доказ роботи», який блокчейн перевіряє перед тим, як розблокувати ваші криптовинагороди.
• Конфіденційність для постачальника: Ви не хочете знати, що саме робить покупець вашого трафіку. ZKP дозволяють мережі перевіряти обсяг переданих даних, при цьому ви ніколи не бачите нешифровані пакети.

Ця блок-схема ілюструє, як користувач запитує пропускну здатність, а вузол надає доказ для отримання оплати.

Цікавий підхід застосовується в проєктах для реалізації «Доказу зв’язку» (Proof of Connectivity). Мережі потрібно знати, що ваш вузол справді перебуває в мережі. Замість того, щоб надсилати пінг щосекунди, вони можуть використовувати ZKP, щоб довести активність вашої ноди протягом певного проміжку часу.

Тепер поговоримо про більш серйозні речі. У країнах із жорсткою цензурою (на кшталт «Золотого щита») сам факт використання VPN може стати приводом для підозри. Традиційні VPN-протоколи мають характерні «цифрові підписи», які системи глибокої перевірки пакетів (DPI) легко розпізнають.

Саме тут на допомогу приходить доступ, стійкий до цензури. Використовуючи ZKP, ми можемо створювати «обфусковані» (замасковані) з’єднання. Мета полягає не просто в шифруванні даних, а в тому, щоб довести мережі валідність з’єднання, взагалі не розкриваючи, що це VPN-тунель.

Наступна діаграма демонструє, як приховуються метадані під час з’єднання для обходу цензури.

Виклики та шлях у майбутнє

Отже, з математикою ми розібралися, але чи зможе ваш старий роутер реально впоратися з цим і не спалахнути? Це ключове питання, адже ніхто не хоче мати приватне інтернет-з’єднання, яке за швидкістю нагадує часи Dial-up модемів на 56к.

Реальність така, що генерація ZKP (доказів із нульовим розголошенням) є «дорогою» — не обов'язково у грошовому еквіваленті, а в циклах процесора. Якщо ви намагаєтеся запустити вузол високошвидкісної децентралізованої мережі (dVPN) на дешевому домашньому роутері, обчислювальне навантаження стає надто важким.

• Затримка (Latency) проти Конфіденційності: Тут існує класичний компроміс. Якщо ми прагнемо 100% абсолютної криптографічної впевненості для кожного окремого пакета, ваш пінг злетить до небес.
• Апаратне прискорення: Ми вже спостерігаємо перехід до використання графічних процесорів (GPU) або спеціалізованих чіпів для обробки цих доказів.

Ця фінальна діаграма демонструє дорожню карту майбутнього для апаратно-прискореної верифікації ZKP.

Чесно кажучи, «прірва в юзабіліті» — це найбільша перешкода, з якою ми стикаємося. Дослідження 2024 року, проведене вченими з Каліфорнійського університету в Сан-Дієго та Університету штату Аризона, показало: попри існування багатьох фреймворків, цей розрив залишається головним бар'єром для розробників, які намагаються впровадити ці інструменти в реальному світі. Більшість користувачів dVPN не хочуть знати про еліптичні криві; їм просто потрібна приватність.

Дивлячись у майбутнє, ми рухаємося до світу, де провайдером (ISP) є не гігантська корпорація з хмарочосом, а глобальна мережа таких людей, як ми з вами. ZKP — це, по суті, останній елемент пазла для цієї Web3-інфраструктури. Саме це робить систему «бездовірною» (trustless): вам не потрібно знати людину, яка надає вам пропускну здатність, тому що математика доводить, що вас не обманюють.