Halo2 学习笔记——设计之Proving system之Inner product argument（6）

1. 引言

Halo2中使用的polynomial commitment scheme为Inner product argument。

其中Halo2中的${\text{PC}}_{\text{DL}}.\text{Open}$使用了BCMS20（ B¨unz 等人2020年论文《proof-carrying data from accumulation schemes》）中附录A.2中类似的算法。

2. BCMS20（proof-carry data）中的inner product argument

B¨unz 等人2020年论文《proof-carrying data from accumulation schemes》，详细可参看博客 proof-carrying data from accumulation schemes学习笔记 中的1.5节内容。

以下所有算法中的oracle access都是基于相同的random oracle ${\rho }_0$。
为了方便描述，假设$d+1$和$D+1$均为2的幂乘，即满足$d+1=2^k,D+1=2^m$。
对于向量$\vec{a}\in S^n$，二分法时，$l(\vec{a})=(a_1,\cdots ,a_{n/2})$和$r(\vec{a})=(a_{n/2+1},\cdots ,a_n)$分别表示$\vec{a}$的左半部分和右半部分。

基于discrete logarithm，对单变量多项式$p(X)=c_0+c_{1}X+\cdots +c_d{X}^d$的polynomial commitment算法实现细节为：

• $P{C}_{DL}.Setup$：
  

• $P{C}_{DL}.Trim$：（暂时只考虑所有polynomial degree均为$d$的情况）
  

• $P{C}_{DL}.Commit$：引入随机数$w$，对多项式系数进行commit $C=wS+{\sum }_{i=0}^d{c}_i{G}_i$。
  

• $P{C}_{DL}.Open$：借助[BCCGP16; BBBPWM18]中inner product argument的变种，计算evaluation proof $\pi$：（evaluation point为$z$）
  – 1. 计算evaluation $v=p(z)\in {\mathbb{F}}_q$。
  – 2. sample 随机多项式$\bar{p}\in {\mathbb{F}}_q^{\le d}[X]$，使得$\bar{p}(z)=0$。
  – 3. sample 相应的commitment randomness $\bar{w}\in {\mathbb{F}}_q$。
  – 4. 计算随机多项式$\bar{p}$的hiding commitment：$\bar{C}=CM.Commi{t}^{{\rho }_0}(\overrightarrow{ck},\bar{p};\bar{w})$。
  – 5. 计算challenge $\alpha =\rho (C,z,v,\bar{C})\in {\mathbb{F}}_q^{\ast }$。
  – 6. 计算多项式：$p^{\prime }=p+\alpha \bar{p}={\sum }_{i=0}^d{c}_i{X}^i\in {\mathbb{F}}_q[X]$。
  – 7. 计算commitment randomness：$w^{\prime }=w+\alpha \bar{w}\in {\mathbb{F}}_q$。
  – 8. 计算多项式$p^{\prime }$的non-hiding commitment：$C^{\prime }=C+\alpha \bar{C}-w^{\prime }S\in \mathbb{G}$。
  计算$0$-th challenge field element ${\xi }_0={\rho }_o(C^{\prime },z,v)\in {\mathbb{F}}_q$，用它来计算group element $H^{\prime }={\xi }_{0}H\in \mathbb{G}$。
  转为inner product 证明：
  a)public info：${\vec{z}}_0=(1,z,\cdots ,z^d)\in {\mathbb{F}}_q^{d+1}$ 和 ${\vec{G}}_0=(G_0,G_1,\cdots ,G_d)\in {\mathbb{G}}^{d+1}$，$v\in {\mathbb{F}}_q$，$C^{\prime }\in \mathbb{G}$。
  b)private info：${\vec{c}}_0=(c_0,c_1,\cdots ,c_d)\in {\mathbb{F}}_q^{d+1}$
  c)relation：$<{\vec{c}}_0,{\vec{z}}_0>=v$且$C^{\prime }={\sum }_{i=0}^d{c}_i{G}_i$
  借助[BCCGP16; BBBPWM18]中二分法递归调用思想，在每一轮 i ∈ { 1 , ⋯   , log ⁡ 2 ( d + 1 ) } i\in \{1,\cdots,\log_2(d+1)\} i∈{ 1,⋯,log2​(d+1)}，有：
  1）设置${\sum }_L=l({\vec{G}}_{i-1})||H^{\prime }$，计算left commitment $L_i=CM.Commi{t}_{{\sum }_L}(r({\vec{c}}_{i-1})||<r({\vec{c}}_{i-1}),l({\vec{z}}_{i-1})>)$。
  2）设置 ${\sum }_R=r({\vec{G}}_{i-1})||H^{\prime }$，计算right commitment $R_i=CM.Commi{t}_{{\sum }_R}(l({\vec{c}}_{i-1})||<l({\vec{c}}_{i-1}),r({\vec{z}}_{i-1})>)$。
  3）生成$i$-th challenge ${\xi }_i={\rho }_0({\xi }_{i-1},L_i,R_i)\in {\mathbb{F}}_q$。
  4）为下一轮构建新的commitment key： ${\vec{G}}_i=l({\vec{G}}_{i-1})+{\xi }_i\cdot r({\vec{G}}_{i-1})$。
  5）构建下一轮的输入：${\vec{c}}_i=l({\vec{c}}_{i-1})+{\xi }_i^{-1}\cdot r({\vec{c}}_{i-1})$和${\vec{z}}_i=l({\vec{z}}_{i-1})+{\xi }_i\cdot r({\vec{z}}_{i-1})$。
  最后一轮，设置$U=G_{{\log }_2(d+1)},c=c_{{\log }_2(d+1)}$。
  最终给receiver发送的evaluation proof 为：$\pi =(\vec{L},\vec{R},U,c,\bar{C},w^{\prime })$

• $P{C}_{DL}.Check$：receiver的输入为：receiver key ${\overrightarrow{rk}}_{PC}$、commitment $C$、degree bound $d$、evaluation point $z$、claimed evaluation $v$ 以及 evaluation proof $\pi$。$P{C}_{DL}.Check$ verifies the evaluation proof by invoking the verifier of the inner product argument：
  – 1. Parse $\overrightarrow{ck}$ as $(<group>,\overrightarrow{hk},S)$。
  – 2. 设置 $d^{\prime }=|\overrightarrow{hk}|-1$。
  – 3. 设置 $\overrightarrow{rk}=(<group>,S,H,d^{\prime })$。
  – 4. 验证 $P{C}_{DL}.SuccinctChec{k}^{{\rho }_0}(\overrightarrow{rk},C,d,z,v,\pi )$ 是否成立，输出为 $(h,U)$。
  – 5. 验证 $U=CM.Commit(ck,\vec{h})$，其中$\vec{h}$为多项式$h$的系数。

• $P{C}_{DL}.SuccinctCheck$：在$P{C}_{DL}.Check$和本文的accumulation scheme中均会调用。【$P{C}_{DL}.Open$中的inner product argument递归调用构建proof过程中，保证了每一轮的$C_i=CM.Commi{t}_{{\vec{G}}_i}(\overrightarrow{c_i})+<{\vec{c}}_i,{\vec{z}}_i>H^{\prime }$成立。在最后一轮的${\vec{c}}_{{\log }_2(d+1)}=c,{\vec{z}}_{{\log }_2(d+1)}=h(z)$。】
  – 1. Parse $\overrightarrow{rk}$ as $(<group>,S,H,d^{\prime })$，和 $\pi$ as $(\vec{L},\vec{R},U,c,\bar{C},w^{\prime })$。
  – 2. 验证 $d=d^{\prime }$。
  – 3. 计算challenge：$\alpha ={\rho }_0(C,z,v,\bar{C})\in {\mathbb{F}}_q^{\ast }$。
  – 4. 计算non-hiding commitment $C^{\prime }=C+\alpha \bar{C}-w^{\prime }S\in \mathbb{G}$。
  – 5. 计算 $0$-th challenge ${\xi }_0={\rho }_0(C^{\prime },z,v)$，设置$H^{\prime }={\xi }_{0}H\in \mathbb{G}$。
  – 6. 计算 group element $C_0=C^{\prime }+v{H}^{\prime }\in \mathbb{G}$。
  – 7. 在每一轮 i ∈ { 1 , ⋯   , log ⁡ 2 ( d + 1 ) } i\in \{1,\cdots,\log_2(d+1)\} i∈{ 1,⋯,log2​(d+1)}，有：
  （a）生成$i$-th challenge：${\xi }_i={\rho }_0({\xi }_{i-1},L_i,R_i)\in {\mathbb{F}}_q$。
  （b）计算the $i$-th commitment：$C_i={\xi }_i^{-1}{L}_i+C_{i-1}+{\xi }_i{R}_i\in \mathbb{G}$。
  – 8. 定义单变量多项式 $h(X)={\prod }_{i=0}^{{\log }_2(d+1)-1}(1+{\xi }_{{\log }_2(d+1)-i}{X}^{2^i})\in {\mathbb{F}}_q[X]$。
  – 9. 计算evaluation $v^{\prime }=c\cdot h(z)\in {\mathbb{F}}_q$。
  – 10. 验证$C_{{\log }_2(d+1)}=CM.Commi{t}_{\sum }(c||v^{\prime })$，其中$\sum =(U||H^{\prime })$。
  – 11. 输出 $(h,U)$。

以上整个$P{C}_{DL}$算法具有hiding和extractability属性。

---

注意：
借鉴了[BMMV19]中inner-product argument（参见博客 Proofs for Inner Pairing Products and Applications 学习笔记 5.2.1节内容。）中的思想，由于$\vec{z}=(1,z,z^2,\cdots ,z^d)$为public info，且为structured，Verifier中的递归调用计算${\vec{z}}_i$，可延迟计算最终以多项式$h(z)={\prod }_{i=0}^{{\log }_2(d+1)-1}(1+{\xi }_{{\log }_2(d+1)-i}{z}^{2^i})$表示。
甚至可以构建多项式$h(X)={\prod }_{i=0}^{{\log }_2(d+1)-1}(1+{\xi }_{{\log }_2(d+1)-i}{X}^{2^i})\in {\mathbb{F}}_q[X]$，如 博客 Proofs for Inner Pairing Products and Applications 学习笔记 5.2.1节内容 所示，为减少Verifier的计算压力，再引入一个对$h(X)$的polynomial commitment，将相应的计算压力转移给Prover。

---

3. Halo2中的inner product argument

BCMS20（ B¨unz 等人2020年论文《proof-carrying data from accumulation schemes》）中的polynomial commitment scheme 与 BGH19（Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》）的类似。
BCMS20为a generalization of the original Halo paper。
Halo论文解读可参看博客：Halo: Recursive Proof Composition without a Trusted Setup 学习笔记。

Halo2中的Inner product argument同时借鉴了BCMS20和BGH19的研究成果，Halo2中使用的polynomial commitment scheme与BCMS2非常类似。

以下为BCMS20中的变量名 与 Halo2中变量名 的映射关系为：【Halo2实际实现采用了Halo论文中的命名法】

BCMS20	Halo 2
$S$	$H$
$H$	$U$
$C$	msm or $P$
$\alpha$	$\iota$
${\xi }_0$	$z$
${\xi }_i$	challenge_i
$H^{\prime }$	$[z]U$
$\bar{p}$	s_poly
$\bar{\omega }$	s_poly_blind
$\bar{C}$	s_poly_commitment
$h(X)$	$g(X)$
${\omega }^{\prime }$	blind / $\xi$
$\mathbf{c}$	$\mathbf{a}$
$c$	$a={\mathbf{a}}_0$
$v^{\prime }$	$ab$

Halo2中的polynomial commitment scheme与BCMS20 附录A.2 有2个不同之处：

• 1）BCMS20 附录A.2：$P{C}_{DL}.Open$算法中的第8步中，在inner product argument之前计算了a “non-hiding” commitment $C^{\prime }$，该"non-hiding" commitment $C^{\prime }$ 可open to the same value as $C$，但是为a commitment to a randomly-drawn polynomial。协议的剩余部分不包含blinding。
  而Halo2中：对每个单独的commitment都实现了blind（甚至对于instance polynomials和fixed polynomials 也实现了blind，为fixed polynomials使用的blinding factor为$1$），这使得协议更易于推理。为此，Verifier在协议末尾需对blinding factor进行累计处理，因此，也不需要在协议初始阶段派生$C^{\prime }$.

  • $C^{\prime }$也为an input to the random oracle for ${\xi }_0$。在Halo2中，使用了a transcript that has already committed to the equivalent components of $C^{\prime }$ prior to sampling $z$。

• 2）BCMS20 附录A.2：${\text{PC}}_{\text{DL}}.\text{SuccinctCheck}$算法中，initial group element $C_0=C^{\prime }+v{H}^{\prime }\in \mathbb{G}$，其中$v{H}^{\prime }=[v{\xi }_0]H$需要2次scalar multiplication运算。
  而Halo2中：改为subtract $[v]G_0$ from original commitment $P$，从而可effectively opening the polynomial at the point to the value zero。$[v]G_0$在recursion场景下的计算效率更高，因为$G_0$为a fixed base，因此可使用lookup tables。

参考资料

[1] Halo2 之 Inner product argument