Zero-Knowledge-Proofs 2026: Was wirklich production-ready ist
2024 brauchte es Minuten und ein Datacenter, um einen Ethereum-Block zu beweisen. Ende 2025 dauerte es Sekunden auf Hardware, die unter einen Schreibtisch passt. Dieser rund 45-fache Einbruch der Proving-Kosten ist der Grund, warum Zero-Knowledge-Proofs still von Kryptographie-Konferenzen in Google Wallet und EU-Identity-Regulierung gewandert sind. Dieser Post ist der Stand des Felds für Architekten: auf welchen zkVMs man sicher bauen kann, was Proving wirklich kostet, was auf einem Phone funktioniert, und wo die Security-Leichen begraben liegen. Er gehört zu unserem pragmatischen Guide zum Bauen mit ZK und FHE, der abdeckt, wann man das alles überhaupt nutzen sollte.
Engineering-Perspektive, kein Vendor-Pitch. Hersteller-Benchmarks sind als solche gekennzeichnet, und Zahlen, die wir nicht unabhängig bestätigen konnten, sind mit Vorbehalt versehen. Die Referenzpunkte stammen aus Wavects Zero-Knowledge- und Web3-Arbeit.
Du scopest ein ZK-Feature oder Audit?
Kostenloses Erstgespräch buchenWas hat sich zwischen 2024 und 2026 geändert?
Drei Verschiebungen, von denen jede ändert, was du bauen solltest:
- zkVMs haben handgeschriebene Circuits ersetzt. Du schreibst heute gewöhnliches Rust, kompilierst es auf ein RISC-V-Target, und die zkVM produziert einen Proof, dass das Programm korrekt lief. Die Ära der Circuit-DSLs, mit Monaten an Spezialistenarbeit pro Feature, geht für General-Purpose-Use-Cases zu Ende.
- Proving wurde in einem Jahr rund 45x günstiger. Die Ethereum Foundation setzte im Juli 2025 konkrete Realtime-Proving-Ziele: unter 10 Sekunden für 99 Prozent der Mainnet-Blöcke, auf einem Rig für maximal 100.000 Dollar, mit maximal 10 Kilowatt Verbrauch, Proofs unter 300 KiB und ohne Trusted Setup (Ethereum Foundation, Juli 2025). Ende 2025 erreichten mehrere Teams diese Ziele, und die durchschnittlichen Kosten für einen Block-Proof auf dem öffentlichen ethproofs-Tracker fielen von 1,69 Dollar im Januar auf unter 4 Cent im Dezember (ethproofs.org).
- Big Tech shipped ZK-Identity. Google Wallet verifiziert "über 18" mit einem Zero-Knowledge-Proof und hat die zugrundeliegende Longfellow-Library im Juli 2025 open-sourced (google/longfellow-zk). Das ist das bislang klarste Signal, dass ZK die Blockchain-Nische verlassen hat.
Auf welcher zkVM solltest du bauen?
Die zkVM ist für die meisten Teams der pragmatische Einstieg: normales Rust rein, Proof raus. Das Feld Mitte 2026:
| zkVM | Backing | Headline-Ergebnis 2025/26 | Produktionsstatus |
|---|---|---|---|
| SP1 (Hypercube) | Succinct | 99,7 Prozent der Ethereum-Blöcke in unter 12 Sekunden bewiesen, auf 16 RTX 5090 GPUs (Succinct, Nov 2025) | Produktion, live auf Mainnet-Infrastruktur |
| RISC Zero | RISC Zero | Ausgereiftes GPU-Proving, sauberes Skalieren in unabhängigen Benchmarks | Produktion, treibt Live-Coprozessoren an |
| OpenVM | Axiom und Community | Modulares No-CPU-Design; adoptiert vom Scroll L2 | Produktion innerhalb seines Ökosystems |
| Airbender | Matter Labs (ZKsync) | Schnellste Single-GPU-Ergebnisse auf dem ethproofs-Leaderboard, beweist Ethereum-Blöcke in deutlich unter einer Minute auf einer H100 | Produktion innerhalb von ZKsync |
| Jolt | a16z crypto | Über 1M RISC-V-Zyklen pro Sekunde auf einer 32-Kern-CPU und rund 50 KB Proofs nach dem Twist-and-Shout-Upgrade (a16z crypto, 2025) | Vielversprechend, früheres Stadium |
| Pico, Nexus, zkWASM | Verschiedene | Modulare oder WASM-fokussierte Designs; Pico meldet 10x bis 20x GPU-Speedups gegenüber seiner eigenen CPU-Baseline | Früheres Stadium oder Nische |
Unsere Default-Empfehlung ist langweilig: SP1 oder RISC Zero, weil beide unabhängiges Benchmarking, Formal-Verification-Arbeit an ihren Constraint-Systemen und echte adversariale Nutzung überstanden haben. Ein unabhängiger Acht-zkVM-Benchmark von Fenbushi Capital im August 2025 sah diese beiden, neben OpenVM, mit der robustesten Gesamtperformance, wobei ihre GPU-Prover nahezu konstanten Speicherverbrauch zeigten, während bei mehreren jüngeren zkVMs Proving-Zeit und Speicher mit der Input-Größe explodierten (Fenbushi Capital). Nimm die neueren Systeme nur, wenn ihr spezifischer Vorteil (Single-GPU-Kosten, Proof-Größe, WASM-Support) dein Engpass ist.
Wie schnell und günstig ist Proving wirklich?
Die Zahlen, die für eine Build-Entscheidung zählen:
- Latenz: Realtime-Proving von Ethereum-Blöcken (10 bis 12 Sekunden für Blöcke mit Hunderten Transaktionen) ist auf Rigs mit 16 Consumer-GPUs demonstriert. Kleinere Programme beweisen sich in Sekunden auf einer einzigen GPU.
- Kosten: rund 4 Cent pro Ethereum-Block-Proof im Durchschnitt über das ethproofs-Leaderboard Ende 2025, 45x runter in einem Jahr. Für einen Proof in Anwendungsgröße denk an Bruchteile eines Cents bei Skalierung. Verifikation ist constant-time und praktisch gratis, was der ganze ökonomische Punkt ist: einmal beweisen, überall verifizieren.
- Proof-Größe: Moderne STARK-basierte Systeme wickeln ihre Proofs in einen finalen Groth16- oder PLONK-Proof für günstige On-Chain- oder On-Device-Verifikation und landen im Bereich von einigen zehn KB bis unter einem KB. Ein Vorbehalt: Dieser finale Wrap führt Pairing-basierte Kryptographie wieder ein. Wenn Post-Quantum-Resistenz eine Anforderung ist, bleib beim rohen hash-basierten STARK und akzeptiere den größeren Proof.
Was das außerhalb von Crypto bedeutet: Jede Batch-Berechnung, deren Korrektheit eine dritte Partei vertrauen muss (ein Settlement-Lauf, eine Compliance-Berechnung, eine ML-Inferenz), kann jetzt für Cents einen Proof mitführen. Der Kosteneinwand gegen ZK ist für Server-side Proving weitgehend tot.

"Der 45-fache Kosteneinbruch in einem Jahr bedeutet: Die Frage hat sich von 'können wir uns leisten, das zu beweisen' zu 'was ist es wert, bewiesen zu werden' verschoben."
Kannst du auf einem Phone oder im Browser beweisen?
Ja, in Grenzen, und hier leben die interessantesten Nicht-Crypto-Produkte:
- Mobile Proving. Das Mopro-Toolkit wrappt Circom-, Halo2- und Noir-Prover für iOS und Android, und natives mobiles Proving läuft bis zu 10x schneller als derselbe Prover im Browser via WASM (zkmopro.org). Proofs über Identitätsdokumente, E-Mail-Inhalte und kleine Credentials sind auf einem Mittelklasse-Phone in Sekunden praktikabel.
- zkEmail. Beweise Fakten über eine DKIM-signierte E-Mail ("diese Adresse hat ein Kündigungsschreiben von Arbeitgeber X erhalten"), ohne die E-Mail offenzulegen. Mächtig, aber beachte die Security-Sektion unten: In seiner regex-Komponente wurden 2025 per Fuzzing elf bestätigte Constraint-Bugs gefunden.
- zkTLS. Beweise Fakten über jede HTTPS-Session und mach damit jede Website zu einer verifizierbaren Datenquelle, ohne Mitwirkung der Site. Zwei Architekturen konkurrieren: MPC-basiert (TLSNotary-Linie, produktisiert von Pluto, und Opacity mit Slashing-gestützter Security) versus Proxy-basiert (Reclaim Protocol, schneller, aber mit schwächerem Trust Model) (tlsnotary.org). Nimm MPC-basiert, wo der bewiesene Fakt adversarialen Wert hat; Proxy-basiert, wo Geschwindigkeit und Abdeckung mehr zählen.
- ZK-Pässe und Personhood. Self, Rarimo und Anon Aadhaar beweisen Alter, Nationalität oder Eindeutigkeit aus Regierungsdokumenten via NFC-Chips oder signierten QR-Codes. World ID hat Millionen verifizierte User auf Semaphore-basierten Proofs. Diese Kategorie ging in etwa 18 Monaten von Demo zu deployten Apps.
Wo gewinnt ZK außerhalb von Crypto?
Identity, und das Timing ist regulatorisch. Jeder EU-Mitgliedstaat muss bis Ende 2026 unter eIDAS 2.0 ein European Digital Identity Wallet anbieten, und das Framework favorisiert explizit selektive Offenlegung. Google zielte mit seiner open-sourced Longfellow-ZK-Library genau darauf, mit Age Assurance als erstem Use Case (Google, Juli 2025).
Ein pragmatischer Haken, den die meiste Berichterstattung übersieht: Das aktuelle Architecture Reference Framework des EU-Wallets schreibt Salted-Hash-Credential-Formate vor (ISO mdoc und SD-JWT VC), die selektive Offenlegung bieten, aber bestenfalls begrenzte Unlinkability, und die kryptographischen Verfahren, die das beheben würden (Signaturen der BBS-Familie, ZK-SNARK-basierte Credentials), sind von SOG-IS, dem Krypto-Evaluierungsgremium der EU, noch nicht zugelassen. Das sperrt sie vorerst aus Public-Sector-Deployments aus und beschränkt sie auf Private-Sector-Piloten (dokumentiert in ETSI TR 119 476). Wenn du EUDI-nahe Produkte baust, designe so, dass das Credential-Format ausgetauscht werden kann, sobald die Zulassung kommt. Für die breitere Landschaft der Nicht-Crypto-Anwendungen siehe unseren früheren Post zu ZK-Use-Cases außerhalb von Crypto.
Ist zkML schon real?
Die Hälfte davon. Trenn den Begriff auf:
- Proof of Inference ("genau dieses Modell hat diesen Output produziert") nähert sich für kleine und mittlere Modelle dem Praktikablen. Lagranges DeepProve meldet den Proof einer vollen Inferenz der GPT-2-Klasse (124M Parameter) und behauptet Speedups um eine Größenordnung gegenüber der früheren EZKL-Baseline, das Framework ist inzwischen Open Source (Lagrange, Hersteller-Benchmark). Behandle Hersteller-Zahlen mit Vorsicht, aber die Richtung ist eindeutig.
- Private Inferenz via ZK (den Input verstecken und gleichzeitig die Berechnung beweisen) bleibt Nische und teuer. Wenn Input-Privacy das Ziel ist, sind FHE oder eine Confidential GPU meist das bessere Werkzeug; diesen Trade-off behandeln wir im FHE-Post und im Decision Framework.
zkML für Frontier-Modelle (eine Inferenz der Llama-Klasse beweisen) ist weiterhin Forschung. Wer dir das heute als Produktion verkauft, verkauft eine Roadmap.
Welche Sprache und Toolchain solltest du wählen?
| Tool | Was es ist | Nimm es, wenn |
|---|---|---|
| Rust-zkVM (SP1, RISC Zero) | Gewöhnliches Rust, keine Circuit-DSL | Allgemeine Berechnungen, schnellster Weg in Produktion, Team ohne ZK-Spezialisten |
| Noir | Rust-artige Circuit-Sprache, backend-agnostisch | Custom Circuits mit der aktuell besten Developer Experience; kleinere Proofs als eine zkVM für handgeformte Logik |
| Circom | Low-Level-Constraint-Sprache | Nur mit großem Audit-Budget; am meisten kampferprobt, historisch auch Quelle der meisten Soundness-Bugs |
| Cairo | Starknets native Sprache | Du baust auf Starknet; die produktionshärteste Shared-Prover-Pipeline |
| o1js | TypeScript-Circuits (Mina) | JS-native Teams im Mina-Ökosystem |
Der ehrliche Default für ein Produktteam 2026: eine Rust-zkVM für alles Allgemeine, Noir, wenn Proof-Größe oder Client-side Proving einen Custom Circuit erzwingen. Der Proving-Overhead einer zkVM gegenüber einem handoptimierten Circuit ist real, aber die Proving-Kosten sind weit genug gefallen, dass für die meisten Anwendungen inzwischen die Engineering-Zeit die Gleichung dominiert.
Was geht kaputt? Die Security-Failure-Modes.
- Under-constrained Circuits sind die dominante Bug-Klasse. Ein fehlendes Constraint bedeutet, dass der Verifier Proofs falscher Aussagen akzeptiert, still. Das Forschungstool zkFuzz fand 85 Bugs, darunter 59 Zero-Days mit 39 von Entwicklern bestätigten, über 452 öffentliche Circuits (arXiv 2504.11961). Budgetiere für Audit und Fuzzing; sie fangen unterschiedliche Bugs.
- Audits sind notwendig, nicht hinreichend. RISC Zero zahlte eine 50.000-Dollar-Bounty für einen Soundness-Bug, der nach vorherigen Audits gefunden wurde. ChainLight fand 2023 einen Soundness-Bug in zkSync Eras produktivem ZK-EVM. Die Lehre ist nicht "diese Teams sind nachlässig", sie gehören zu den besten im Feld. Sondern: ZK-Soundness-Bugs sind einzigartig schwer zu sehen und einzigartig katastrophal, weshalb geschichtete Absicherung (Audit, Fuzzing, Formal Verification, Bounty) inzwischen die Norm ist.
- Vermeide Trusted Setups pro Anwendung. Die ersten dokumentierten ZK-Exploits in freier Wildbahn zielten auf Circuits mit schlecht gehandhabten Groth16 Trusted Setups, nicht auf die Proof-Mathematik (zkSecurity, 2025). Transparente Systeme der STARK-Familie machen die ganze Zeremonie überflüssig, was ein Grund ist, warum die Realtime-Proving-Spec der Ethereum Foundation Trusted Setups schlicht verbietet.
Häufig gestellte Fragen
Was ist eine zkVM und warum ist sie wichtig?
Was kostet es 2026, einen ZK-Proof zu generieren?
SP1 vs RISC Zero: Was sollten wir wählen?
Sind Zero-Knowledge-Proofs post-quantum-sicher?
Brauchen wir noch ein Trusted Setup?
Fazit
ZK teilt sich 2026 sauber in zwei Welten. Server-side Proving ist ein gelöstes Kostenproblem: zkVMs lassen gewöhnliche Rust-Teams beliebige Berechnungen für Cents beweisen, mit Realtime-Ethereum-Proving als dem öffentlichen Benchmark, der den ganzen Stack nach vorn gezogen hat. Client-side ZK ist jünger, shipped aber, mit Mobile Proving, zkTLS und ZK-Identity in echten Produkten, und die EU-Digital-Identity-Regulierung macht selektive Offenlegung bald zur Mainstream-Anforderung.
Die Disziplin, die ausgelieferte ZK-Produkte von Postmortems trennt, hat sich nicht geändert: Nimm produktionsgehärtetes Tooling (SP1, RISC Zero, Noir), verweigere Trusted Setups pro Anwendung, und behandle Circuit-Audits plus Fuzzing als Fixkosten des Geschäfts. Die Mathematik ist bereit. Die Engineering-Kultur drumherum ist das, was du wirklich wählst.
Brauchst du Augen auf einer ZK-Architektur oder einem Circuit?
Kostenloses Erstgespräch buchen