1. 引言

本文重点关注基于inner product argument实现的polynomial commitment。

对polynomial $p(X)\in\mathbb{F}_p[X]$ 进行commit，并需可provably evaluate the committed polynomial at arbitrary points。
最直观的解决方案是：
Prover将多项式的系数都发给Verifier，这需要 $O (n)$ communication。

而借助polynomial commitment scheme，可实现 $O(\log n)$ communication。

2. Setup

根据参数 $d=2^k$ ，生成common reference string $\sigma=(\mathbb{G},\vec{G},H,\mathbb{F}_p)$ ：

$\mathbb{G}$ 为a group of prime order $p$ 。
$\vec{G}\in\mathbb{G}^d$ 为a vector of $d$ random group elements。
$H\in\mathbb{G}$ 为a random group element。
$\mathbb{F}_p$ 为the finite field of group $p$ 。

3. Commit

Pedersen vector commitment $C o m m i t$ 定义为：
$Commit(\sigma,p(X);r)=<\vec{a},\vec{G}>+[r]H$
其中，多项式 $p(X)\in\mathbb{F}_p[X]$ ，blinding factor $r\in\mathbb{F}_p$ 。每个vector元素 $a_i\in\mathbb{F}_p$ 为 $p (X)$ 第 $i$ 项的系数， $p (X)$ 的最大degree为 $d - 1$ 。

4. Open (prover) and OpenVerify (verifier)

改进版的inner product argument用于证明以下关系：
$\{((P,x,v);(\vec{a},r)):P=<\vec{a},\vec{G}>+[r]H, v=<\vec{a},\vec{b}>\}$
其中 $\vec{b}=(1,x,x^2,\cdots,x^{d-1})$ 包含的为increasing powers of the evaluation point $x$ 。

即，需要Prover向Verifier证明：
the polynomial contained “inside” the commitment $P$ evaluates to $v$ at $x$ ，且该committed polynomial的最大degree为 $d - 1$ 。

inner product argument需 $k=\log_2d$ 轮。仅需知道其最后一轮的输出即可，而不需要中间轮的结果，详细可参看Halo论文第3节内容。

在开始证明之前，Verifier需选择一个随机group element $U$ ，并将 $U$ 发送给Prover。并从第 $k$ 轮开始，递减到 $1$ ，初始 $\vec{a}^{(k)}=\vec{a},\vec{G}^{(k)}=\vec{G}.\vec{b}^{(k)}=\vec{b}$ ，在每一轮 $j=k,k-1,\cdots,1$ ：

Prover计算2个值 $L_j,R_j$ ：【其中 $l_j,r_j$ 为random blinding factors。 $L_j,R_j$ 以"cross-term"形式表达。】
$L_j=<\vec{a}_{lo}^{(j)},\vec{G}_{hi}^{(j)}>+[l_j]H+[<\vec{a}_{lo}^{(j)}, \vec{b}_{hi}^{(j)}>]U$
$R_j=<\vec{a}_{hi}^{(j)},\vec{G}_{lo}^{(j)}>+[r_j]H+[<\vec{a}_{hi}^{(j)}, \vec{b}_{lo}^{(j)}>]U$
Verifier发送random challenge $u_j$ 。
Prover使用 $u_j$ 来压缩 $\vec{a}^{(j)}$ 的前半部分和后半部分，产生新的vector，其length为原来的一半：
$\vec{a}^{(j-1)}=\vec{a}_{hi}^{(j)}\cdot u_j^{-1}+\vec{a}_{lo}^{(j)}\cdot u_j$
$\vec{b}^{(j-1)}=\vec{b}_{lo}^{(j)}\cdot u_j^{-1}+\vec{b}_{hi}^{(j)}\cdot u_j$
$\vec{G}^{(j-1)}=\vec{G}_{lo}^{(j)}\cdot u_j^{-1}+\vec{G}_{hi}^{(j)}\cdot u_j$
$\vec{a}^{(j-1)},\vec{G}^{(j-1)},\vec{b}^{(j-1)}$ 作为下一轮 $j - 1$ 的输入，重复以上过程。

最后一轮为 $j = 1$ ，剩余的结果为 $a=\vec{a}^{(0)},G=\vec{G}^{(0)},b=\vec{b}^{(0)}$ ，length均为 $1$ 。根据这些scalar值，以及各轮中的challenges ${u_j\}$ 以及 “cross-terms” ${L_j,R_j\}$ ，由于Prover事先并不知道challenges $U,\{u_j\}$ ，其在每轮的compression中没法操纵结果。对这些final terms的constraints进行验证，可检查compression是否正确执行，从而可证明原始的 $\vec{a}$ 满足如上关系。

注意，最终的 $G, b$ 为rearrangements of the publicly known $\vec{G},\vec{b}$ with the round challenges ${u_j\}$ mixed in，这就意味着，Verifier可独立计算 $G, b$ ，并验证Prover提供的 $G, b$ 值是否匹配。

5. Recursion

根据第4节可知，计算 $G$ 需要a length- $2^k$ multiexponentiation $<\vec{G},\vec{s}>$ ，其中 $\vec{s}$ 由round challenges $u_1,\cdots,u_k$ 以binary counting structure组成。这种linear-time computation，我们希望可分摊到a batch of proof instances中。因此，不直接计算 $G$ ，而是将 $G$ 表示为a commitment to a polynomial：
$G=Commit(\sigma,g(X,u_1,\cdots,u_k))$
其中 $g(X,u_1,\cdots,u_k)=\prod_{i=1}^{k}(u_i+u_i^{-1}X^{2^i-1})$ 为a polynomial with degree $2^k-1$ 。


	由于 $G$ 为a commitment，其可被checked in an inner product argument：Verifier circuit可将 $G,u_1,\cdots,u_k$ 作为public input，使用inner product argument来验证proof $\pi$ ：即check that $G=Commit(g(X,u_1,\cdots,u_k))$ evaluates at some random point to the expected value for the given challenges $u_1,\cdots,u_k$ 。根据第4节可知，仅需 $k=\log_2d$ 轮。在验证完 $\pi$ 和 $G$ 之后，the circuit is left with a new $G^{'}$ , along with the $u_1',\cdots,u_k'$ challenges sampled for the check。为了完全接受 $\pi$ 为valid的，需perform a linear-time computation of $G'=<\vec{G},\vec{s}'>$ 。再次，可delay this computation by witnessing $G^{'}$ and bringing $G',u_1',\cdots,u_k'$ out as public inputs to the proof $\pi'$ 。这样依次由one proof instance to the next，直到we are satisfied with the size of our batch of proofs。然后最终仅需运行依次linear-time computation，从而decide the validity of the whole batch。

由于

G

为a commitment，其可被checked in an inner product argument：Verifier circuit可将

G,u_1,\cdots,u_k

作为public input，使用inner product argument来验证proof

\pi

：即check that

G=Commit(g(X,u_1,\cdots,u_k))

evaluates at some random point to the expected value for the given challenges

u_1,\cdots,u_k

。

根据第4节可知，仅需

k=\log_2d

轮。在验证完

\pi

和

G

之后，the circuit is left with a new

G^{'}

, along with the

u_1',\cdots,u_k'

challenges sampled for the check。为了完全接受

\pi

为valid的，需perform a linear-time computation of

G'=<\vec{G},\vec{s}'>

。再次，可delay this computation by witnessing

G^{'}

and bringing

G',u_1',\cdots,u_k'

out as public inputs to the proof

\pi'

。

这样依次由one proof instance to the next，直到we are satisfied with the size of our batch of proofs。然后最终仅需运行依次linear-time computation，从而decide the validity of the whole batch。

根据Halo2中构建的Cycles of curves 可知，可将以上协议基于two-cycle curve来实例化：

a proof produced by one curve is efficiently verified in the circuit of the other curve。
但是，some of these verifier checks can actually be efficiently performed in the native circuit，这些“deferred” to the next native circuit（具体如下图）instead of being immediately passed over to the other curve。

参考资料

[1] Halo2 背景资料之 Polynomial commitment using inner product argument
[2] Halo2 背景资料之 Recursion

Halo2 学习笔记——背景资料之Polynomial commitment（6）