1. 引言

Mina系列博客有：

2. 多项式 VS 函数

令 $R$ 为某域，基于域 $R$ 变量为 $X$ 的多项式表示为：
$a_0+a_1X+a_2X^2+\cdots +a_dX^d$
其中 $a_i\in R$ 且 $d$ 为任意自然数。

针对基于 $R$ 的多项式的函数 $\mathsf{eval}:R[X]\rightarrow (R\rightarrow R)$ 定义为：【可将 $\mathsf{eval}$ 看成是对多项式采样。】
$\mathsf{eval}(a_0+a_1X+\cdots+a_dX^d)=(x:R)\mapsto a_0+a_1x+\cdots +a_dx^d$
其中 $X$ 为未赋值的变量名， $\mathsf{eval}$ 将其映射为field element $x$ ，整个evaluation函数可看成是系数 $<a_0,a_1,\cdots,a_d>$ 与 $<1,x,\cdots, x^d>$ 的inner product。

注意，多项式与函数是不同的。多项式是一组系数列表，基于某些域值，对于多项式 $p 1, p 2$ ，会存在 $\mathsf{eval}(p1)=\mathsf{eval}(p2)$ ，但 $p1\neq p2$ 的情况。
如，以 $\mathbb{F}_2[X]$ 为域的多项式 $X$ 和 $X^2$ ，二者可映射为相同的函数 $\mathbb{F}_2\rightarrow \mathbb{F}_2$ （即意味着对 $x\in R=\mathbb{F}_2=\{0,1\}$ 有 $x=x^2$ ），但是二者是不同的多项式。

使用多项式的原因在于：

1）将关于一组域值的statement 转换为关于多项式的statement，从而可构建zkSNARKs。
2）基于多项式的特定运算效率更高。

对于函数 $\varphi: A\rightarrow F$ ， $A$ 为数组，长度为 $∣ A ∣$ ，需基于 $\forall x\in A, (x,\varphi(x))$ 进行插值构建多项式。
对于每一个 $x_i\in A$ ，可构建多项式：
$f_{i}(X) =\left\{\begin{matrix} \varphi(x_i)& X=x_i\\ 0 & X\neq x_i \end{matrix}\right.$
最终的多项式： $f(X)=\sum_if_i(X)$ 。

相应的vanishing 多项式表示为：
$v_S(X)=(X-x_0)(X-x_1)\cdots(X-x_d)$ 。

同时有 $\mathsf{interp}_A(\mathsf{eval}_A(f))=f$ ，即对多项式 $f$ 基于 $A$ 采样后，再插值获得的多项式仍然是 $f$ 。（多项式degree为 $d$ ，不同的采样点数为 $d + 1$ 。）【 $\mathsf{interp}_A$ 和 $\mathsf{eval}_A$ 为同构集合（即双射），为同构环。】

对同一Field，两个不同多项式 $f, g$ 的最大degree为 $d$ ，若在 $d + 1$ 个不同的点 $x_i$ 均有 $f(x_i)=g(x_i)$ ，则认为2多项式相等，即 $f = g$ 。
对2个不同多项式 $f,g:A\rightarrow F$ 采样后的加法、惩罚运算可表示为： $f+g:=a\mapsto f(a)+g(a)，f\cdot g=a\mapsto f(a)\cdot g(a)$ 。

Fundamental theorem of polynomials (final version)

Let $\in \N$ and let $\subseteq F$ with $∣ A ∣ = d + 1$ . With

$\mathsf{eval}_A \colon F[x]_{\leq d} \to (A \to F)\\ \mathsf{interp}_A \colon (A \to F) \to F[x]_{\leq d}$

defined as above, these two functions define an isomorphism of rings.

That is is, they are mutually inverse and each one respects addition, subtraction and multiplication.

基于以上表示，可借助FFT算法以 $O(n\log n)$ 实现2个degree为 $n$ 的多项式乘法运算，而直接的乘法运算需要 $O(n^2)$ 。

3. 多项式的程序表示

在实际计算机实现时，对多项式有3种常用的表达方式：

1）dense coefficient形式：将degree为 $d$ 的多项式以长度为 $d + 1$ 的向量来表示其所有系数。该向量中的第 $i$ 个元素对应系数 $a_i$ 。这就是arkworks中的DensePolynomial类型。有时也可以单项式集合来表示多项式，因为多项式是单项式 $x^i$ 的线性组合。【系数表示法】
2）sparse coefficient形式：若多项式中没有很多非零系数，则以dense coefficient来表示将很浪费。采用sparse形式，可将多项式表示为pairs $(u s i z e, F)$ 向量，其中 $F$ 为系数的类型。数组 $[(i_0,b_0),\cdots ,(i_n,b_n)]$ 对应的多项式为 $b_0x^{i_0}+\cdots + b_nx^{i_n}$ 。
3）evaluation形式。对于固定的index set $A\subseteq F$ ，其中 $A=\{a_0,\cdots, a_d\}$ ，将多项式 $f\in F[X]_{\leq d}$ 表示为向量 $[f(a_0), \cdots, f(a_d)]$ 。【点值表示法】

evaluation形式很重要，因为evaluation形式下，2个多项式相乘仅需对2个向量中的对应每个元素相乘，所需time为 $O (n)$ 。而直接相乘需要 $O(n^2)$ 。

对于特定的集合 $A\subseteq F$ ，可高效的在dense coefficient形式和evaluation形式之间相互转换。因为，对于特定的 $A$ ， $\mathsf{interp}_A$ 和 $\mathsf{eval}_A$ 的计算效率要远远优于 $O(n^2)$ 。

4. FFT计算多项式乘法

前序博客有：

Halo中的快速傅里叶（逆）变换算法(I)FFT

通过Cooley-Tukey fast Fourier transform（简称FFT）算法（由Gauss 160年前发明，但由Cooley-Tukey独立再发现并公布），进行多项式乘法运算所需复杂度为 $O(n\log n)$ 。

FFT算法的核心是系数表示法与点值表示法之间的相互转换，而不是直接进行多项式乘法运算。给定以dense coefficient表示的2个degree为 $n - 1$ 的多项式 $p, q$ ，FFT计算 $p\cdot q$ 的流程为：

1）借助FFT，将 $p, q$ 由系数表示法转换为点值表示法，相应的复杂度为 $O(n\log n)$ 。
2）依次将2个点值表示法的每个元素相乘 $r = p * q$ ，相应的复杂度为 $O (n)$ 。
3）借助iFFT，将点值表示的 $r$ 转换为系数表示，相应的复杂度为 $O(n\log n)$ 。

关键点在于，可选择任意 $n$ 个不同的evaluation点来表示任意的degree为 $n - 1$ 的多项式。Cooley-Tukey FFT通过选择合适的点来生成高效的FFT算法，这些点为固定的，且适于特定degree的任意多项式。

特别地，具有 $n$ -th root of unity $\omega\in F$ ，使得 $\omega^n=1$ ，且对于任意的 $0 < r < n$ ，有 $\omega^r\neq 1$ 。
$1,\omega,\omega^2,\omega^3,\cdots,\omega^{n-1}$ 为 $n$ 个完全不同的点，且 $\omega^n=1$ 。也可将其称为是由 $\omega$ 在 $F^{\times}$ 内生成的size为 $n$ 的group。

令 $n=2^{k}$ ，且 $\omega$ 为 $2^k$ -th root of unity，且 $A_k=\{1,\omega, \cdots, \omega ^{2^k-1}\}$ 。

$\mathsf{FFT}(k,\omega,f)$ 算法的输入有：

$k\in\mathbb{N}$
$\omega\in F$ 为 $2^k$ -th root of unity
$f\in F[X]_{<2^k}$ 为dense coefficient形式（即长度为 $n$ 的系数向量）

$\mathsf{FFT}(k,\omega,f)$ 算法的输出为evaluation向量：
$[f(1),f(\omega),f(\omega^2),\cdots,f(\omega^{2^k-1})]$

$\mathsf{FFT}(k,\omega,f)$ 算法的复杂度为 $O(k2^k)$ （若 $n=2^k$ ，亦为 $O(n\log n)$ ）。【若直接根据 $f$ 的系数来计算每个 $f(\omega^i)$ 需 $O (n)$ ，计算 $n$ 次总的为 $O(n^2)$ 。】
核心在于FFT算法中的递归调用。
将多项式按奇偶项拆分表示为：
$\begin{aligned} f(x) &= \sum_{i < 2^k} c_i x^i \\ &= \sum_{i < 2^{k-1}} c_{2i} x^{2i} + \sum_{i < 2^{k-1}} c_{2i + 1} x^{2i + 1} \\ &= \sum_{i < 2^{k-1}} c_{2i} (x^2)^i+ \sum_{i < 2^{k-1}} c_{2i + 1} x \cdot (x^2)^i \\ &= \sum_{i < 2^{k-1}} c_{2i} (x^2)^i+ x \sum_{i < 2^{k-1}} c_{2i + 1} (x^2)^i \\ &= f_0(x^2) + x f_1(x^2) \end{aligned}$
注意，若 $\omega$ 为 $2^k$ -th root of unity，则 $\omega^2$ 为 $2^{k-1}$ -th root of unity。可递归调用 $\mathsf{FFT}(k-1,\omega^2,f_0)$ 和 $\mathsf{FFT}(k-1,\omega^2,f_1)$ 。令：
$\begin{aligned} [e_{0, 0}, \dots, e_{0, 2^{k-1} - 1}] &= \mathsf{FFT}(k-1, \omega^2, f_0) \\ [e_{1, 0}, \dots, e_{1, 2^{k-1} - 1}] &= \mathsf{FFT}(k-1, \omega^2, f_1) \end{aligned}$

假设 $e_{i, j} = f_i((\omega^2)^j)$ ，则对任意的 $j$ 有：
$\begin{aligned} f(\omega^j) &= f_0((\omega^2)^j) + \omega^j f_1((\omega^2)^j) \end{aligned}$

由于 $j$ 可能大于 $2^{k-1}-1$ ，因此需将其reduce为 $mod 2^{k-1}$ 。若 $\tau$ 为 $n$ -th root of unity 则有： $\tau^j = \tau^{j \mod n}$ 因 $\tau^n = 1$ 。因此有：
$(\omega^2)^j = (\omega^2)^{j \mod 2^{k-1}}$
从而有：
$\begin{aligned} f(\omega^j) &= f_0((\omega^2)^{j \mod 2^{k-1}} ) + \omega^j f_1((\omega^2)^{j \mod 2^{k-1}}) \\ &= e_{0, j \mod 2^{k-1}} + \omega^j e_{1, j \mod 2^{k-1}} \end{aligned}$
计算数组 $\omega, \dots, \omega^{2^k - 1}]$ 的复杂度为 $O (n)$ （因为每个元素为前一元素乘以 $\omega$ ），然后可以 $O (1)$ 复杂度计算：
$\begin{aligned} f(\omega^j) &= e_{0, j \mod 2^{k-1}} + W[j] \cdot e_{1, j \mod 2^{k-1}} \end{aligned}$
由于需计算 $n$ 个类似元素，因此总复杂度为 $O (n)$ 。

完整的 $\mathsf{FFT}(k, \omega, f)$ 递归算法示意如下：【将系数表示法转换为点值表示法】

Algorithm: computing $\mathsf{eval}_{A_k}$

$\mathsf{Input~} f = [c_0, \ldots, c_{2^k - 1}]$ the coefficients of polynomial $\sum_{i < 2^k} c_i x^i$

$\mathsf{Compute~} W \gets \left[1, \omega, \omega^2, ..., \omega^{2^k - 1}\right]$ 【复杂度为 $O (n)$ 】

$\mathsf{FFT}(k, \omega, f) \rightarrow \left[f(1), f(\omega), f(\omega^2) \dots, f(\omega^{2^k - 1})\right]$

$\mathtt{if~} k == 0$

$\mathtt{return~} f$

$\mathtt{else}$

$\mathsf{Compute~} f_0 = [c_0, c_2, ..., c_{2^k - 2}]$ the even coefficients of $f,$ corresponding to $f_0(x) = \sum_{i < 2^{k - 1}} c_{2i} x^i$

$\mathsf{Compute~} f_1 = [c_1, c_3, ..., c_{2^k - 1}]$ the odd coefficients of $f,$ corresponding to $f_1(x) = \sum_{i < 2^{k - 1}} c_{2i + 1} x^i$ 【计算 $f_0$ 和 $f_1$ 的复杂度为 $O (n)$ 】

$e_0 \gets \mathsf{FFT}(k - 1, \omega^2, f_0)$ 【递归调用size为 $n / 2$ 】

$e_1 \gets \mathsf{FFT}(k - 1, \omega^2, f_1)$ 【递归调用size为 $n / 2$ 】

$\mathtt{for~} j \in [0, 2^k - 1]$ 【将递归调用结果组合复杂度为 $O (n)$ 】

$F_j \gets e_{0, j \mod 2^{k - 1}} + W[j] \cdot e_{1, j \mod 2^{k - 1}}$

$\mathtt{return~} F$

以 $T (n)$ 来表示size为 $n$ （ $n=2^k$ ）的instance的复杂度，则以上算法总的复杂度为：
$O (n) + 2 T (n / 2)$
而 $T(n)=O(n)\cdot \log n=O(n\log n)$ ，因为一共有 $\log n$ 次递归调用，每次复杂度为 $O (n)$ 。

不过实际实现时，可以非递归的方式实现更好的性能。

将系数表示法转换为点值表示法的算法流程为：【复杂度也为 $O(n\log n)$ 】

Algorithm: computing $\mathsf{interp}_{A_k}$

Input: $[a_0, \dots, a_{n-1}]$ the points we want to interpolate and $\omega$ a $n$ th root of unity.

Interpret the input array as the coefficients of a polynomial $\sum_{i < n} a_i x^n$ .

Let $[e_0, \dots, e_n] = \mathsf{FFT}(k, \omega^{-1}, g)$ .

Output the polynomial $\sum_{i < n}(e_i / n) x^i$ . I.e., in terms of the dense-coefficients form, output the vector $[e_0 / n, \dots, e_{n - 1}/n]$ .

5. 多项式承诺

前序博客有：

commitment应具有hiding和binding属性。同时具有一定的同态属性（如基于pairing的commitment具有乘法同态属性；基于DLG的commitment具有加法同态属性。）
polynomial commitment中包含的3个主要算法为：

1）Commit算法
2）Open算法
3）Verify算法

当前的polynomial commitment 方案主要分为：

1）基于KZG的多项式承诺方案：需要trusted setup。也可参看博客Pairing-based polynomial commitments and Kate polynomial commitments。
2）基于FRI的多项式承诺方案。
3）基于Bulletproofs的Inner product argument（IPA）多项式承诺方案。
4）IPA + Halo-style aggregation多项式承诺方案。

Technology	基于的密码学假设	Proof size	Verification time
FRI	Hashes only（quantum safe!）	Large（10-200kB）	Medium（poly-logarithmic）
Inner product arguments (IPAs)	Basic elliptic curves	Medium (1-3 kB)	Very high (linear)
KZG commitments	Elliptic curves + pairings + trusted setup	Short (~500 bytes)	Low (constant)
IPA + Halo-style aggregation	Basic elliptic curves	Medium (1-3 kB)	Medium (constant but higher than KZG)

5.1 inner product argument

前序博客有：

Mina中采用的为inner product argument多项式承诺方案。
Inner product argument的发展历程为：

由Bootle等人在2016年《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》中发明
在2017年《Bulletproofs: Short Proofs for Confidential Transactions and More》论文中进行了优化。
在2019年《Halo: Recursive Proof Composition without a Trusted Setup》论文中进一步优化。

详细的衍化历程为：【仅 $\vec{a}$ 为secret info。】

1）直接的方案为Prover将secret info $\vec{a}$ 发送给Verifier：
$\boxed{ \begin{aligned} & \langle \vec{a}, \vec{b} \rangle = z\\ & \text{given } \vec{b} \text{, } z \text{, and a hash of } \vec{a} \end{aligned} } \; \overleftarrow{\text{open proof}} \; \boxed{\vec{a}}$
2）引入中间reduction proof为：【其中 $\vec{a}'$ 的size 为 $\vec{a}$ 的一半，最终的open proof $(\vec{a})'$ size 也为方案1）中的一半。】
$\boxed{\begin{aligned} & \langle \vec{a}, \vec{b} \rangle = z\\ & \text{given } \vec{b} \text{, } z \text{, and a hash of } \vec{a} \end{aligned}} \; \overleftarrow{\text{reduction proof}} \; \boxed{\begin{aligned} & \langle \vec{a'}, \vec{b'} \rangle = z'\\ & \text{ given } \vec{b'} \text{, } z' \text{, and a hash of } \vec{a'} \end{aligned}} \; \overleftarrow{\text{open proof}} \; \boxed{\vec{a'}}$
其中的reduction proof为最神奇之处，运行该reduction $log_2(n)$ 次，最终的opening proof size可减为1。当然整个proof中不只包含该size为1的final opening proof，还包含在reduction中的所有元素，总的大小仍要远小于原始的proof size $n$ 。总的proof size主要来源于这多个reduction subproofs。总的proof实际是这些subproofs（或miniproofs）的集合。

以多项式 $f=a_1+a_2x+a_3x^2+a_4x^3$ 为例，有 $\vec{a}=(a_1,a_2,a_3,a_4)$ ， $\vec{G}=(G_1,G_2,G_3,G_4)$ 为相互不知道discret logarithm关系的generators。
inner product argument针对的场景为：
在这里插入图片描述

1）Prover发送对多项式 $f$ 的commitment值： $A=<\vec{a},\vec{G}>$ 为对 $\vec{a}$ 的commitment。
2）Verifier发送evaluation point $s$ ，请求evaluation值 $f (s)$ ，有： $\vec{b}=(b_1,b_2,b_3,b_4)=(1,s,s^2,s^3)$ 。
Verifier还发送random challenge $x$ 。
3）Prover发送evaluation结果 $z$ 以及相应的proof。

其中Verifier发送的random challenge $x$ 用于实现half reduction：

$\vec{a'} = x^{-1} \begin{pmatrix}a_1 \\ a_2\end{pmatrix} + x \begin{pmatrix}a_3 \\ a_4\end{pmatrix}=\begin{pmatrix}x^{-1} a_1 + x a_3 \\ x^{-1} a_2 + x a_4 \end{pmatrix}$
$\vec{b'} = x \begin{pmatrix}b_1 \\ b_2\end{pmatrix} + x^{-1} \begin{pmatrix}b_3 \\ b_4\end{pmatrix}=\begin{pmatrix}x b_1 + x^{-1} b_3 \\ x b_2 + x^{-1} b_4 \end{pmatrix}$
$\vec{G'} = x \begin{pmatrix}G_1 \\ G_2\end{pmatrix} + x^{-1} \begin{pmatrix}G_3 \\ G_4\end{pmatrix}=\begin{pmatrix}x G_1 + x^{-1} G_3 \\ x G_2 + x^{-1} G_4 \end{pmatrix}$

这样将待证明的问题由 $<\vec{a},\vec{b}>=z$ reduce为证明 $<\vec{a}',\vec{b}'>=z'$ 。
此时，Prover可直接将 $\vec{a}',\vec{b}',z'$ 直接发送给Verifier，Verifier验证 $<\vec{a}',\vec{b}'>=z'$ 确实成立。但是，此时仍然有2个问题：

1）需要向Verifier证明 $<\vec{a}',\vec{b}'>=z'$ 确实等价为之前的statement $<\vec{a},\vec{b}>=z$ 。
2）Verifier需要自己来计算 $z',\vec{b}',\vec{G}' 和A'=<\vec{b}',\vec{G}'>$ 。

其中：

（1） $A^{'}$ 的计算逻辑为：
$\begin{aligned} \vec{A'} =& \langle \vec{a'}, \vec{G'} \rangle \\ =& (x^{-1} a_1 + x a_3)(x G_1 + x^{-1} G_3) + (x^{-1} a_2 + x a_4)(x G_2 + x^{-1}G_4) \\ =& A + x^{-2} (a_1 G_3 + a_2 G_4) + x^2 (a_3 G_1 + a_4 G_2) \\ =& A + x^{-2} L_a + x^{2} R_a \end{aligned}$
为了计算 $A^{'}$ ，Verifier需要：
- 之前的commitment $A$ ，Verifier已知。
- $x$ 的一些幂值 $x^2,x^{-2}$ ，Verifier可自己计算。
- 2个curve point $L_a,R_a$ ，可由Prover提供给Verifier。【若采用压缩模式表示curve point，大小可压缩为约等于2个field element的size。】
（2） $z^{'}$ 的计算逻辑为：
$\begin{aligned} \vec{z'} =& \langle \vec{a'}, \vec{b'} \rangle \\ =& \langle \begin{pmatrix}x^{-1} a_1 + x a_3 \\ x^{-1} a_2 + x a_4 \end{pmatrix}, \begin{pmatrix}x b_1 + x^{-1} b_3 \\ x b_2 + x^{-1} b_4 \end{pmatrix} \rangle \\ =& (a_1b_1 + a_2b_2 + a_3b_3 + a_4b_4) + x^{-2} (a_1b_3 + a_2b_4) + x^2 (a_3b_1 + a_4b_2) \\ =& z + x^{-2} (L_z) + x^2 (R_z) \end{aligned}$
为了计算 $z^{'}$ ，Verifier需要：
- evaluation结果 $z$ ，Verifier已知。
- $x$ 的一些幂值 $x^2,x^{-2}$ ，Verifier可自己计算。
- 2个scalar value $L_z,R_z$ ，可由Prover提供给Verifier。

因此，最终Prover发送的proof中包含的信息为：

1）向量 $\vec{a}'$ ：为 $\vec{a}$ 的一半大小。
2）2个curve point $L_a,R_a$ 。【若采用压缩表示，大小约为2个field element。】
3）2个scalar value $L_z,R_z$ 。

相应的证明过程变为：
在这里插入图片描述
不过，本例中， $\vec{a}$ 的size为4，若直接reveal $\vec{a}$ ，相应的proof size为4个field element，但经reduction后proof size反而变为了 $2 + 2 + 2 = 6$ 个field element，反而不值当。但是当 $\vec{a}$ 很大时，如128，reduction后的proof size 仅为 $64 + 2 + 2 = 68$ 个field element。而且，还可进一步优化。

5.2 Halo对inner product argument的优化

Halo优化类似于bulletproofs优化，可进一步减少proof size。

Halo优化中，将待证明问题由 $A=<\vec{a}, \vec{G}> \wedge <\vec{a},\vec{b}>=z$ 进一步转换为证明：【注意，实际应再引入一个公共generator $U_z$ ，Verifier再发送random challenge $r_z$ ，Prover计算 $U=r_zU_z$ 。】
$\langle \vec{a}, \vec{G} \rangle + \langle \vec{a}, \vec{b} \rangle U$

可将其half reduction为证明：
$\langle \vec{a'}, \vec{G'} \rangle + \langle \vec{a'}, \vec{b'} \rangle U$
因为：
$\begin{aligned} C' =& \langle \vec{a'}, \vec{G'} \rangle + \langle \vec{a'}, \vec{b'} \rangle U \\ =& [A + x^{-2} L_a + x^{2} R_a] + [z + x^{-2} (L_z) + x^2 (R_z)] U\\ = & C + x^{-2} (L_a + L_z U) + x^{2} (R_a + R_z U) \end{aligned}$
此时，Verifier出需要 $\vec{a}'$ 之外，挨需要2个curve point（~ 2个field element）：

$L = L_a + L_z U$
$R = R_a + R_z U$

经此优化之后，每一轮reduction，由之前的4个field element降为2个field element。
在最后一轮，Verifier可计算并验证 $x^{-2}L + x^2 R=\langle \vec{a'}, \vec{G'} \rangle + \langle \vec{a'}, \vec{b'} \rangle U$ 是否成立即可。

至此，仍然需要Verifier自己来计算 $\vec{G}'$ 和 $\vec{b}'$ 。
经Halo优化后相应的证明为：
在这里插入图片描述

5.3 inner product argument + zero knowledge

目前为止，在最后一轮，需要直接发送 $a^{'}$ ， $a^{'}$ 为单一element，将泄漏原始向量 $\vec{a}$ 的某些信息（ $a^{'}$ 为原始向量 $\vec{a}$ 的线性组合。）
详细参看Halo论文的附录A。

为实现zero knowledge，再额外引入一个公共generator $H$ 以实现blinding：【 $r$ 由Prover生成，仅Prover知悉。】
$\langle \vec{a}, \vec{G} \rangle + \langle \vec{a}, \vec{b} \rangle U +rH$
同理， $L=L_a+L_zU,R=R_a+R_zU$ 也会泄露 $\vec{a}$ 的某些信息，因此需要在每轮中引入随机值 $r_L,r_R$ 来进行blinding，使得有：

$L = L_a + L_z U + r_L H$
$R = R_a + R_z U + r_R H$

最终的commitment 仍保持为：
$C' = C + x^{-2} L + x^2 R$
Prover仅需发送 $\vec{a}'$ 和最终的blinding value $r^{'}$ （ $r^{'}$ 由 $r$ 和每一轮的 $r_L,r_R$ 组成），Verifier再自己重构 $\vec{G}'$ 和 $\vec{b}'$ 来将 $C^{'}$ open为：
$\langle \vec{a'}, \vec{G'} \rangle + \langle \vec{a'}, \vec{b'} \rangle U + r'H$
其中 $r^{'}$ 等于类似 $\sum_i (x_i^2r_{Li} + x_i^{-2}r_{Ri})$ 。

最终，整个协议的proof为：

1）每轮2个curve point $L, R$ 。
2）最后一轮open时的1个scalar value $a^{'}$ 。
3）最后一轮open时的1个blinding (scalar) value $r^{'}$ 。

不过，在上述协议中，Prover即使不发送 $\vec{a}'$ ，仅发送 $r^{'}$ 的情况下，某人也可能会计算出 $\vec{a}'$ 。为此，在Halo论文中，提出了一种更通用的Schnorr协议，可在不发送 $\vec{a}'和r'$ 的情况下，open相应的commitment：【下图中为不发送 $a, r^{'}$ 的情况下open $Q = a G + a b U + r^{'} H$ 】
在这里插入图片描述
最终经 $log_2n$ 轮reduction，通过Fiat-Shamir transformation实现的non-interactive zero-knowledge inner product argument为：

5.4 Mina中的多项式承诺tips

5.4.1 约束所commit的多项式的最大degree

为约束所commit的多项式的最大degree，可要求Prover将多项式的系数移到最右端，使得若该多项式的degree大于所设定的最大degree，则无法符合要求。等价为：
$right_shift ( f ) = x n − m a x f \text{right\_shift}(f) = x^{n-max} f$
当Verifier验证时，也需要对收到的evaluation值也同样进行右移操作：
$right_shift ( f ( z ) ) = z n − m a x f ( z ) \text{right\_shift}(f(z)) = z^{n-max} f(z)$

5.4.2 对多个多项式在同一点进行聚合证明

$\langle \vec{f} + v \cdot \vec{g}, \vec{x}\rangle = f(x) + v \cdot g(x)$

5.4.3 对单个多项式在多个点进行聚合证明

$\langle \vec{f}, \vec{x_1} + u \cdot \vec{x_2}\rangle = f(x_1) + u \cdot f(x_2)$

5.4.4 对多个多项式open多个不同点的聚合证明

如对多项式 $f$ open $x_1$ ，对多项式 $g$ open $x_1,x_2$ ，相应的聚合证明为：
$\langle \vec{f} + v \cdot \vec{g}, \vec{x_1} + u \cdot \vec{x_2} \rangle = f(x_1) + v \cdot g(x_1) + u \cdot (f(x_2) + v \cdot g(x_2))$
注意，这种类型的聚合中要求提供所有组合的evaluation值，可能包含某些不需要的evalaution值（如 $f(x_2)$ ）。

5.4.5 对多项式进行切分

若多项式的degree大于SRS所允许的最大degree $n$ ，可将其切分为多个degree不超过 $n$ 的多项式。

5.4.6 proof of correct commitment to a polynomial

这在HALO中有用。
针对的场景为：
已知commitment $A$ 和多项式 $f$ ，证明 $A = c o m (f)$ 。

相应的证明过程为：

生成一个随机点 $s$
evaluate $f$ at $s$ ，有 $f (s) = y$
请求evaluation proof of $A$ on $s$ ，若其也evaluate to $y$ ，则大概率 $A$ 是多项式 $f$ 的commitment。

参考资料

[1] Mina-book——多项式
[2] Mina-book——多项式承诺方案

Mina中的多项式承诺方案

1. 引言

2. 多项式 VS 函数

3. 多项式的程序表示

4. FFT计算多项式乘法

5. 多项式承诺

5.1 inner product argument

5.2 Halo对inner product argument的优化

5.3 inner product argument + zero knowledge

5.4 Mina中的多项式承诺tips

5.4.1 约束所commit的多项式的最大degree

5.4.2 对多个多项式在同一点进行聚合证明

5.4.3 对单个多项式在多个点进行聚合证明

5.4.4 对多个多项式open多个不同点的聚合证明

5.4.5 对多项式进行切分

5.4.6 proof of correct commitment to a polynomial

参考资料

猜你喜欢