基于endomorphism优化scalar multiplication及其用途

1. 引言

前序博客有：

• Halo中的elliptic curve cycle
• Halo——zcash新的零知识证明机制，无需Trusted Setup
• Halo2学习笔记——背景资料之Elliptic curves（5）

本文主要考虑的是 Gallant等人2001年论文 Faster Point Multiplication on Elliptic Curves with Efficient Endomorphisms 中提到的曲线：
$E({\mathbb{F}}_p):y^2=x^3+b$
其中$p$为素数，满足$p\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}3$，即 $3|p-1$。
曲线$E({\mathbb{F}}_p)$具有prime order $q$。该曲线上的所有非$\mathcal{O}$点都称为${\mathbb{F}}_p$-rational points $(x,y)$。取该曲线基点$G$。
scalar multiplication $[k]G$ 中的scalar值 $k\in {\mathbb{F}}_q$。

1.1 endomorphism定义

因$3|p-1$，即${\mathbb{F}}_p$ 有 a primitive cube root of unity，若 ${\zeta }_p\in {\mathbb{F}}_p$为an element of order 3（即${\zeta }_p^3=1\mathrm{m}\mathrm{o}\mathrm{d}p$），则椭圆曲线$y^2=x^3+b$上的point $(x,y)$ 存在2个cousin points：
$({\zeta }_{p}x,y)$和$({\zeta }_p^{2}x,y)$。

由于${\zeta }_p^3=1\mathrm{m}\mathrm{o}\mathrm{d}p$，有$order({\zeta }_p)=3$，以及${\zeta }_p^2+{\zeta }_p+1\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}p$。

使用map $(x,y)\mapsto ({\zeta }_{p}x,y)$即为 应用an endomorphism over the curve，则对曲线$E({\mathbb{F}}_P)$的endomorphism定义为：
$$\varphi (x,y)\mapsto ({\zeta }_{p}x,y),\varphi (\mathcal{O})=\mathcal{O}$$
具有如下属性：
$$\varphi (P_1+P_2)=\varphi (P_1)+\varphi (P_2),\forall P_1,P_2\in E({\mathbb{F}}_p)$$
$$({\varphi }^2+\varphi +1)(P)=\mathcal{O},\forall P\in E$$【因为$({\varphi }^2+\varphi +1)(P)={\varphi }^2(P)+\varphi (P)+1(P)=({\zeta }_p^{2}x,y)+({\zeta }_{p}x,y)+(x,y)=(-{\zeta }_p^{2}x-{\zeta }_{p}x,-y)+(x,y)=(x,-y)+(x,y)=\mathcal{O}$】

若${\zeta }_q\in {\mathbb{F}}_q$为an element of order 3 （即${\zeta }_q^3=1\mathrm{m}\mathrm{o}\mathrm{d}q$，也即${\zeta }_q^2+{\zeta }_q+1\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}q$），则有：
$$\varphi (P)=\varphi (x,y)=[{\zeta }_q]P=({\zeta }_{p}x,y),{\zeta }_p\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p,{\zeta }_q^3\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}q,\forall P\in E({\mathbb{F}}_p)$$

对于任意的scalar值$k\in {\mathbb{F}}_q$，为计算scalar multiplication $[k]P$：

• 1）可将$k$分解为$k=k_1+k_2{\zeta }_q\mathrm{m}\mathrm{o}\mathrm{d}q$
• 2）有$[k]P=[k_1]P+[k_2{\zeta }_q]P=[k_1]P+[k_2]Q$，从而转换为fixed point multiplication，可根据$P=(x,y)$预计算$Q=({\zeta }_{p}x,y)$。

1.2 endomorphism用途

可借助endomorphism实现：

• 1）recursive zkSNARKs加速：实现partial proof verification
• 2）ECDSA验签加速

2. 基于2-cycle curves的endomorphism实现recursive zkSNARKs的partial proof verification

Halo论文中构建的ZKP算法，其Verifier保持为logarithmic-size state，并执行logarithmic-time operations来partially verify each proof in sequence。
在对a proof进行partial verification时，大部分的计算压力源自group operations。若选择任意的椭圆曲线$E$ over base field ${\mathbb{F}}_p$，基于安全性考虑，该曲线的group order为素数$q$，必然有$q\ne p$。为此，在构建ZKP时，是基于scalar field $q$来表达arithmetic circuit satisfaction的，使得模仿另一域${\mathbb{F}}_p$的计算将是昂贵的，从而成为ZKP协议中的一个效率挑战问题。为解决该效率问题，在Ben-Sasson等人2014年论文 Scalable Zero Knowledge via cycles of elliptic curves 中指出，可通过构建2-cycle curve $E_p,E_q$，其base field分别为${\mathbb{F}}_p和{\mathbb{F}}_q$，使得$\#E_p=q,\#E_q=p$。

假设 r ⃗ ∈ { 0 , 1 } λ \vec{r}\in\{0,1\}^{\lambda} r ∈{ 0,1}λ为a verifier challenge，在 Halo论文 中，并不会直接将$\vec{r}$解析为a scalar值并对某${\mathbb{F}}_p$-rational point $P$进行scalar multiplication运算，而是借助endomorphism属性，取一个基于$\vec{r}$生成的scalar值进行相应的运算，即在Halo论文中，将$[\vec{r}]P$运算替换为了：

该算法中，$\vec{r}$的每个bit，可以3.5个multiplication constraints来表示，当采用2-cycle curve， λ = 128 , n : { 0 , 1 } λ ↦ I \lambda=128,n:\{0,1\}^{\lambda}\mapsto \mathbb{I} λ=128,n:{ 0,1}λ↦I时，该算法等价为计算$[n(\vec{r})]P$：

3. 基于secp256k1的endomorphism mapping实现ECDSA验签加速

详细见博客 Acceleration of ECDSA Verification with Endomorphism Mapping of secp256k1，借助secp256k1的endomorphism属性，ECDSA验签速度提升了约40%。

参考资料

[1] About the endomorphism-based optimization in halo
[2] Acceleration of ECDSA Verification with Endomorphism Mapping of secp256k1
[3] Gallant等人2001年论文 Faster Point Multiplication on Elliptic Curves with Efficient Endomorphisms