1. 引言

前序博客：

• CUDA入门
• WebGPU+ZKP：客户端证明
• WebGPU入门

正如Personae Labs团队2022年11月博客 Efficient ECDSA & the case for client-side proving 中所指出：

仅适用于高端笔记本电脑的5分钟证明生成时长，远不是可行的用户体验。为了完全隐私，不能将“生成证明的过程”直接转移到云上，这些证明必须在用户的设备上计算。否则，需要将用户的公钥明文发送到服务器来生成用户的证明，这样给了服务器巨大的能量——只要服务器愿意，就可以破坏用户的匿名性。

对于某些隐私应用来说，在客户端生成证明是必须的，但当前的现状为：

• Client-side ZK is slow.

如以Groth16 browser benchmarks为例：

• https://github.com/personaelabs/efficient-zk-ecdsa#run-benchmarks（JavaScript）中指出：ECDSA_verify电路对应163,239 个约束，在M1 Pro Macbook Pro电脑上运行，生成ECDSA_verify证明用时需39秒左右。
• https://github.com/tornadocash/tornado-core#specs（JavaScript+Solidity）中指出：对于具有28271个约束的电路，其生成证明用时需10秒左右。

2. WebGPU: client-side GPU API

WebGPU为针对web的相对新的API:

• 为WebGL（2011）的接班人
• 由苹果在2017年通过W3C发起，目前Google和Mozilla也已参与。
• 自2023年初，可用于Google Chrome、Safari和Firefox。
• 采用名为WGSL的shader语言。Cuda和C++等为更底层的编程语言。
• 当前使用时必须启用开发者模式，如：
  • chrome://flags/#enable-webgpu-developer-features
  • Firefox config flags：dom.webgpu.enabled, gfx.webgpu。

WebGPU：

• 不仅支持图形：见https://threejs.org/examples/#webgpu_compute。
• 还支持计算

GPU的加速性能，对Crypto/ZK的意义毋庸置疑：

• Ingonyama指出：GPU提供了难以置信的性能，其在Crypto/ZK领域的存在将不可抹除。
• ZPrize指出：通过将证明生成过程中的大多数耗时操作（MSM和FFT）移到GPU中执行，获奖团队的[PLONK-DIZK]证明时长提升了40%。
• Henzinger等指出：借助硬件加速，改进了[Private Information Retrieval]的单服务器和多服务器的性能。通过硬件加速这种互补方式，可进一步提升新的PIR协议性能。

不过，以上都是对服务端GPU加速的探索，而客户端的GPU加速仍处于探索不足的阶段。

2.1 WebGPU API

WebGPU API文档可参看：

• Mozilla开发者文档 WebGPU API

WebGPU基本架构为：

其主要包括：

• GPUAdapter：为对WebGPU实现的抽象。
• GPUDevice：为对底层视频卡的抽象。
• GPUBuffer：包含了与GPU来回拷贝的数据。用于存储输入和输出数据。
• Shader：为发送给GPU的代码。比C++和Cuda简单。
• Compute pipeline：将shader和GPUBuffer(s) flow 封装给GPU，并等待结果。

WGSL shader代码示例：

相应的CPU和GPU性能对比为：

3. WebGPU for Crypto/ZK现状

现有的一些WebGPU Crypto相关基础算法库有：

• https://github.com/geometryresearch/wgsl-poseidon（Rust+TypeScript+WGSL）：基于BN254 Scalar域以WGSL实现了Poseidon哈希函数，可在浏览器内和命令行运行。
• https://github.com/sampritipanda/msm-webgpu（WGSL+HTML+Python）：实现了Vesta域的基于Pippenger算法MSM，以及其他一些关键椭圆曲线运算函数。【注意wgsl不支持u64运算，实现的是基于u32数组的modular运算。基于u32数组的modular运算也可参看https://github.com/filecoin-project/ec-gpu/中的FIELD_LIMB_BITS == 32场景。】
• https://github.com/voidash/webgpu-examples（Rust+WGSL）：实现了BLS12-381有限域运算。

4. 客户端WebGPU待研发空白

将WebGPU用于客户端Crypto/ZK，目前存在如下待研发空白：

• 算法层：
  • 实现Multi-scalar multiplication (MSM) 和 Number-theoretic transform (NTT)以及iNTT。

Luke Pearson和Cysic团队指出：

考虑到GPU的灵活性、易于部署以及卓越的性能，坚信GPU解决方案将比ASIC方案提前数月实现。

Georgios Konstantopoulos指出：

MSM需要大量的内存，即使高度并行化之后也仍然很慢。
FFT需要对内存随机访问，使得其对硬件并不友好。
为此，市场赢家有可能是那些专注于FPGA而不是ASIC或GPU的公司。

4.1 Circom vs. WebGPU

Circom当前的开发工具有：

• zkREPL
• hardhat-circom

Circom可用于extremely large circuits：

• Circom-ecda

Circom目前有：

• Dark Forest生态。
• 开发者教育。
• 大量的项目和毕业生参与circom创业。

对标Circom，WebGPU需关注：

• 开发者工具：
  • 调试工具不成熟。目前没有？
  • 大多数WGSL开发者专注于图形，而不是计算
• 领域编程语言：
  • WGSL不错，但有些怪异。是否可将更高层的语言编译为WGSL?
• 对消费者GPU更好的抽象：
  • 不是所有GPU都一样的（如 手机GPU vs. 电脑GPU）。WGSL能否运行在某种GPU仿真层。
• 安全性研究：
  • 恶意输入能否DOS客户端，或者提取出私有数据？
  • 是否会存在timing攻击或者side-channel攻击？

4.2 WebGPU应用展望

WebGPU应用展望：

• 在移动设备上实现高效ZK Prover。
• 在浏览器中加速witness generation。
• 分布式证明网络，使得任何笔记本电脑用户也可参与。
• 分布式Private Information Retrieval网络。

参考资料

[1] Geometry团队Koh Wei Jie 在2023年7月zkParis上的视频分享 ZK Paris: Koh Wei Jie - Deep Dive into WebGPU