Halo2学习笔记——设计之Proof和Field实现（3）

1. Halo2中的Proof实现

1.1 Proof以opaque byte stream表示

与bellman proving system实现不同，bellman中有明确的Proof结构体封装可proof data，该结构体由Prover返回，并传送给Verifier。

而Halo2中并不包含类似的proof的结构体，基于以下原因：

• Proof结构体中将包含vectors of (vectors of) curve points and scalars。这将使proof的序列化和反序列化变复杂，因为这些vectors的长度将取决于circuit的配置。但是，我们并不想在proof中encode the lengths of vectors，因为at runtime the circuit is fixed, and thus so are the proof sizes。
• 很容易意外地将内容放入一个Proof结构中，而并没有放在transcript中，这在开发和实施proving system时是一种危险。
• 需要能同时创建多个PLONK proofs，对于同一circuit，这些proofs共享很多不同的子结构体。

相反，Halo2中将proof objects当成opaque byte streams。通过transcript来创建和消费这些byte streams：

• TranscriptWrite trait表示something that we can write proof components to (at proving time)。
• TranscriptRead trait表示something that we can read proof components from (at verifying time)。

最关键的是，TranscriptWrite的实现应负责支持同时写入some std::io::Write buffer that they hash things into the transcript，TranscriptRead的实现应负责支持同时读取some std::io::Read buffer。

将proofs以opaque byte streams表示，可确保verification时会考虑到反序列化的开销，由于point compression，这种开销不可忽略。

1.2 Proof encoding

Halo2 proof，基于curve $E({\mathbb{F}}_p)$构建的，encode为a stream of：

• Points $P\in E({\mathbb{F}}_p)$ （for commitments to polynomials）
• Scalars $s\in {\mathbb{F}}_q$（for evaluations of polynomials以及blinding values）

对于Pallas和Vesta curves，points和scalars均具有32-byte encodings，即意味着proof的大小总为32 bytes的倍数。

halo2 crate支持同时对同一circuit的多个instance进行证明，可共享共同的proof components和protocol logic。

实际encoding过程中，使用了如下circuit-specific constants：

• $k$ - the size parameter of the circuit (which has $2^k$ rows).
• $A$ - the number of advice columns.
• $F$ - the number of fixed columns.
• $I$ - the number of instance columns.
• $L$ - the number of lookup arguments.
• $P$ - the number of permutation arguments.
• ${\text{Col}}_P$ - the number of columns involved in permutation argument $P$.
• $D$ - the maximum degree for the quotient polynomial.
• $Q_A$ - the number of advice column queries.
• $Q_F$ - the number of fixed column queries.
• $Q_I$ - the number of instance column queries.
• $M$ - the number of instances of the circuit that are being proven simultaneously.

由于proof encoding 直接follow the transcript，可将encoding切分为以下sections来匹配Halo2 协议：

• PLONK commitments:

  • $A$ points (repeated $M$ times).
  • $2L$ points (repeated $M$ times).
  • $P$ points (repeated $M$ times).
  • $L$ points (repeated $M$ times).

• Vanishing argument:

  • $D-1$ points.
  • $Q_I$ scalars (repeated $M$ times).
  • $Q_A$ scalars (repeated $M$ times).
  • $Q_F$ scalars.
  • $D-1$ scalars.

• PLONK evaluations:

  • $(2+{\text{Col}}_P)\times P$ scalars (repeated $M$ times).
  • $5L$ scalars (repeated $M$ times).

• Multiopening argument:

  • 1 point.
  • 1 scalar per set of points in the multiopening argument.

• Polynomial commitment scheme:

  • $1+2k$ points.
  • $2$ scalars.

2. Halo2中的Fields实现

Halo2中使用的Pasta curves，特意设计为具有high 2-adic，即在每个field都有large $2^S$ multiplicative subgroup 存在。
$p-1\equiv 2^S\cdot T$，其中$T$为奇数。

对于Halo2中使用Pallas和Vesta curve，其$S=32$。

2.1 采用Sarkar square-root算法（table-based variant）

Halo2中使用 Sarkar2020中的算法 来计算 square roots平方根。

使用该算法的原因是，可split the task into computing square roots in each multiplicative subgroup。

假设我们需找到 $u$ modulo one of the Pasta primes $p$ 的平方根，其中$u$为a non-zero square in ${\mathbb{Z}}_p^{\times }$。
定义a $2^S$ root of unity $g=z^T$，其中$z$为a non-square in ${\mathbb{Z}}_p^{\times }$，然后预计算出如下tables：
$$gtab=\left[\begin{array}{cccc}{g}^0& g^1& ...& g^{2^8-1}\\ (g^{2^8}{)}^0& (g^{2^8}{)}^1& ...& (g^{2^8}{)}^{2^8-1}\\ (g^{2^{16}}{)}^0& (g^{2^{16}}{)}^1& ...& (g^{2^{16}}{)}^{2^8-1}\\ (g^{2^{24}}{)}^0& (g^{2^{24}}{)}^1& ...& (g^{2^{24}}{)}^{2^8-1}\end{array}\right]$$

$$invtab=\left[\begin{array}{cccc}(g^{-2^{24}}{)}^0& (g^{-2^{24}}{)}^1& ...& (g^{-2^{24}}{)}^{2^8-1}\end{array}\right]$$

令$v=u^{(T-1)/2}$，则可定义$x=uv\cdot v=u^T$为an element of the $2^S$ multiplicative subgroup。
令$x_3=x,x_2=x_3^{2^S},x_1=x_2^{2^S},x_0=x_1^{2^S}$。

2.1.1 当 $i=0,1$时

使用$invtab$, we lookup $t_0$ 使得：
$$x_0=(g^{-2^{24}}{)}^{t_0}⟹x_0\cdot g^{t_0\cdot 2^{24}}=1.$$

定义${\alpha }_1=x_1\cdot (g^{2^{16}}{)}^{t_0}$。

2.1.2 当 $i=2$时

Lookup $t_1$ 满足：
$$\begin{array}{ll}{\alpha }_1=(g^{-2^{24}}{)}^{t_1}& ⟹x_1\cdot (g^{2^{16}}{)}^{t_0}=(g^{-2^{24}}{)}^{t_1}\\ & ⟹x_1\cdot g^{(t_0+2^8\cdot t_1)\cdot 2^{16}}=1.\end{array}$$

定义${\alpha }_2=x_2\cdot (g^{2^8}{)}^{t_0+2^8\cdot t_1}$。

2.1.3 当 $i=3$时

Lookup $t_2$满足：
$$\begin{array}{ll}{\alpha }_2=(g^{-2^{24}}{)}^{t_2}& ⟹x_2\cdot (g^{2^8}{)}^{t_0+2^8\cdot t_1}=(g^{-2^{24}}{)}^{t_2}\\ & ⟹x_2\cdot g^{(t_0+2^8\cdot t_1+2^{16}\cdot t_2)\cdot 2^8}=1.\end{array}$$

定义${\alpha }_3=x_3\cdot g^{t_0+2^8\cdot t_1+2^{16}\cdot t_2}$。

2.1.4 Final result

Lookup $t_3$ 使得：

$$\begin{array}{ll}{\alpha }_3=(g^{-2^{24}}{)}^{t_3}& ⟹x_3\cdot g^{t_0+2^8\cdot t_1+2^{16}\cdot t_2}=(g^{-2^{24}}{)}^{t_3}\\ & ⟹x_3\cdot g^{t_0+2^8\cdot t_1+2^{16}\cdot t_2+2^{24}\cdot t_3}=1.\end{array}$$

令$t=t_0+2^8\cdot t_1+2^{16}\cdot t_2+2^{24}\cdot t_3$。

此时有：
$$\begin{array}{lclcl}{x}_3\cdot g^t=1& ⟹& x_3& =& g^{-t}\\ & ⟹& u{v}^2& =& g^{-t}\\ & ⟹& uv& =& v^{-1}\cdot g^{-t}\\ & ⟹& uv\cdot g^{t/2}& =& v^{-1}\cdot g^{-t/2}.\end{array}$$

对右侧求平方，有 $(v^{-1}{g}^{-t/2}{)}^2=v^{-2}{g}^{-t}=u.$ 从而可知，$u$ 的平方根为 $uv\cdot g^{t/2}$，其中第一部分之前已计算出了，第二部分可使用$gtab$中的3个multiplication来计算。

参考资料

[1] Halo2中的proof实现
[2] Halo2中的Field实现