“Constant-Size Commitments to Polynomials and Their Applications” (ASIACRYPT 2010) oleh Aniket Kate, Gregory Zaverucha, dan Ian Goldberg memperkenalkan skema KZG polynomial commitment — cara untuk membuat komitmen terhadap sebuah polynomial dan kemudian membuktikan evaluasi polynomial tersebut menggunakan proof berukuran konstan. KZG commitments kini menjadi tulang punggung strategi skalabilitas Ethereum (EIP-4844/Danksharding) dan sistem pembuktian yang mendasari ZK-rollup berbasis PLONK.

Publikasi dan Konteks

Kate, Zaverucha, dan Goldberg menerbitkan paper ini sebagai kontribusi akademis murni pada skema komitmen polynomial — tidak ada aplikasi blockchain yang mereka bayangkan pada saat itu. Lebih dari satu dekade kemudian, KZG menjadi salah satu primitif kriptografis paling berpengaruh dalam ekosistem Ethereum ketika Tim Ethereum memilihnya sebagai mekanisme verifikasi data untuk EIP-4844 (Proto-Danksharding, diaktifkan Maret 2024).

Cara KZG Bekerja

Diberikan polynomial f(x) berderajat d:

1. Komitmen: Menggunakan Structured Reference String (SRS) [G, τG, τ²G, …, τ^d G] — di mana τ adalah rahasia dari trusted setup — hitung komitmen C = f(τ)G — satu titik kurva eliptik
2. Buka di titik z: Buktikan bahwa f(z) = y dengan menyediakan proof π = (f(τ) − y)/(τ − z) * G — juga satu titik kurva
3. Verifikasi: Verifier memeriksa persamaan pairing yang menghubungkan C, π, z, dan y — waktu konstan terlepas dari derajat polynomial

Properti kunci: Proof selalu satu titik kurva (~48 byte untuk BLS12-381) terlepas dari derajat polynomial d. Ini adalah constant-size commitment — kontras dengan Merkle proof yang tumbuh logaritmis dengan ukuran.

KZG dalam EIP-4844 (Blob Transactions)

EIP-4844 memperkenalkan “blobs” — paket data 128 KB yang di-attach ke transaksi Ethereum untuk rollup. Setiap blob dikomit menggunakan KZG:

• Rollup memposting blob data + komitmen KZG (48 byte) ke Ethereum
• Validator Ethereum memverifikasi komitmen — tidak perlu memuat atau memproses 128 KB penuh
• Blobs dihapus setelah ~18 hari (tidak perlu disimpan selamanya oleh validator)
• Verifikasi KZG sangat efisien: satu persamaan pairing, tidak bergantung ukuran blob

Dalam Danksharding penuh: Data Availability Sampling (DAS) mengandalkan KZG untuk memverifikasi bahwa setiap chunk yang disampling oleh validator adalah bagian dari blob yang dikomit dengan benar.

KZG dalam PLONK dan ZK-Rollup

PLONK menggunakan KZG sebagai skema polynomial commitment dalam prover. Ukuran proof PLONK yang kecil (~600 byte) berasal dari komitmen semua polynomial dengan KZG. Varian PLONK (TurboPlonk, Halo2, Plonky2) semua pada akhirnya bergantung pada KZG atau alternatifnya.

Trusted Setup: Upacara Powers of Tau

KZG membutuhkan trusted setup: menghasilkan τ secara rahasia dan menghancurkannya (“toxic waste”). Jika τ diketahui, siapapun dapat memalsukan proof. Upacara KZG Ethereum (2023) melibatkan 140.000+ kontributor yang menghasilkan randomness bersama — trusted setup ZK terbesar yang pernah ada. Setup aman selama minimal satu kontributor jujur.

Keterbatasan

• Membutuhkan trusted setup — berbeda dari komitmen berbasis hash (tidak butuh setup) yang digunakan FRI/STARK
• Bergantung pada asumsi keamanan kurva pairing (BLS12-381) — dianggap tidak tahan kuantum
• Ukuran SRS tumbuh linear dengan derajat polynomial maksimum yang didukung

Warisan dan Dampak

KZG Commitments, meskipun ditulis sebagai paper akademis pada 2010, menjadi salah satu primitif kriptografis paling berpengaruh dalam ekosistem Ethereum. Adopsinya di EIP-4844 (Proto-Danksharding, aktif Maret 2024) secara dramatis mengurangi biaya data rollup dan memulai jalur menuju Danksharding penuh. Paper KZG asli sekarang dikutip oleh hampir setiap spesifikasi teknis Ethereum scaling dan setiap paper ZK-rollup berbasis PLONK.

Istilah Terkait

• Polynomial Commitment
• Data Availability
• PLONK Whitepaper
• Danksharding Whitepaper
• Celestia Whitepaper

Referensi

• Kate, Aniket; Zaverucha, Gregory M.; Goldberg, Ian. “Constant-Size Commitments to Polynomials and Their Applications,” ASIACRYPT 2010
• iacr.org (PDF)