Casting out Primes: Bignum Arithmetic for Zero-Knowledge Proofs学习笔记

1. 引言

Polygon zero团队 Daniel Lubarov 和 Polygon zkEVM团队 Jordi Baylina 2022年10月联合发表的论文 《Casting out Primes: Bignum Arithmetic for Zero-Knowledge Proofs》。

受“casting out nines” 技术——做对9取模运算并提供概率性结果，启发，本论文核心思想为：

• 对bignum运算的非确定方案

即：【详细参看Optimizations of zkEVM with Daniel and Jordi】

即，若某identity在moduli set $M$中每个$m_i\in M$均有：

• $f(\vec{x})=0\mathrm{mod}{m}_i$

则有：

• $f(\vec{x})=0\mathrm{mod}\text{lcm}(M)$，其中$\text{lcm}(M)$表示$M$中的最小公倍数。

若已知$|f(\vec{x})|<\text{lcm}(M)$，则有：

• $f(\vec{x})=0$

1.1 相关约定

令$[b]$表示集合： { 0 , ⋯   , b − 1 } \{0,\cdots,b-1\} { 0,⋯,b−1}，某bignum可表示为$n$ limbs in base $b$，即$[b{]}^n$。

$[b{]}^n$与$[b^n]$之间具有canonical isomorphism：【由于$b$为公开已知，可进行预处理。】
${\sigma }_b(x)={\sum }_{i=0}^{n-1}{b}^i{x}_i$

已知一组bignum $x,y\in [b{]}^n$，乘积${\sigma }_b(x){\sigma }_b(y)$可表示为某函数$([b{]}^n,[b{]}^n)\to [b^{2n}]$，即：
${\pi }_b(x,y)={\sum }_{i=0}^{n-1}{\sum }_{j=0}^{n-1}{b}^{i+j}{x}_i{y}_j$

• Partially reduced summations：
  某identity 对 $m$ 取模，可表示为对每个系数取模，即：
  ${\sigma }_b^m(x)={\sum }_{i=0}^{n-1}(b^i\mathrm{mod}m)x_i$
  类似的，也有：
  ${\pi }_b(x,y{)}^{(m)}={\sum }_{i=0}^{n-1}{\sum }_{j=0}^{n-1}(b^{i+j}\mathrm{mod}m)x_i{y}_j$
  注意其中：${\sigma }_b(x)={\sigma }_b^m(x)$ 以及 ${\pi }_b(x,y)={\pi }_b(x,y{)}^{(m)}$。

从而可推导出如下定理1：

• 已知$x\in [b{]}^n$，有${\sigma }_b^m(x)<nmb$。
• 已知$x,y\in [b{]}^n$，有${\pi }_b(x,y{)}^{(m)}<n^{2}m{b}^2$。

在本文中，已知$x\in [b{]}^n$，则$x$和${\sigma }_b(x)$这二者表示等价。

2. Widening multiplication

首先考虑2个bignum的乘法运算，$x,y\in [b{]}^n$：

• 不同于对$xy$进行确定性运算，而是将其乘积$z\in [b{]}^{2n}$作为witness，转为检查identity $xy-z$。
• 不同于直接验证该identity，转为检查其在一组模 M = { m 0 , ⋯   , m k − 1 } M=\{m_0,\cdots, m_{k-1}\} M={ m0​,⋯,mk−1​}下均成立。
  假设对于每个$m_i$，$xy=z\mathrm{mod}{m}_i$均成立，或者等价为$m_i|(xy-z)$。则有$\text{lcm}(M)|(xy-z)$，其中$\text{lcm}$表示the least common multiple function。
  由于$xy<b^{2n}$且$z<b^{2n}$，使得$|xy-z|<b^{2n}$。
  若选择的模集合$M$满足$\text{lcm}(M)\ge b^{2n}$，则$|xy-z|<\text{lcm}(M)$，因此$xy-z=0$为$\text{lcm}(M)|(xy-z)$成立的唯一解，从而有$xy=z$。

Remark 1：

• 为$M$选择pairwise coprime sets是很自然的选择，因其具有$\text{lcm}(M)={\prod }_{i=0}^{k-1}{m}_i$属性。

2.1 Congruence mod $m_i$

仍需检查$xy=z\mathrm{mod}{m}_i$，更准确来说，是仍需检查${\pi }_b(x,y)={\sigma }_b(z)\mathrm{mod}{m}_i$。等式两边同时reduce，将该检查reduce为：
${\pi }_b(x,y{)}^{(m_i)}={\sigma }_b^{m_i}(z)\mathrm{mod}{m}_i$
不同于对等式两边进行确定性reduce，引入witness $s\in \mathbb{Z}$使得：
$$\begin{array}{c}{\pi }_b(x,y{)}^{(m_i)}-{\sigma }_b^{m_i}(z)=s{m}_i\end{array}$$

根据定理1，可推导出定理2——$|s|$的上限值进行了约定：

• 若$s$为对方程式（1）有效解，则有$|s|<n^2{b}^2$。

2.2 避免wrap-around

基于素数域进行运算的计算模型，无法对上述方程式（1）进行直接检查，我们仅能检查其 $\mathrm{mod}p$是否成立，或等价为，存在某$t$，使得：
${\pi }_b(x,y{)}^{(m_i)}-{\sigma }_b^{m_i}(z)-s{m}_i=tp$

为避免因包含wrap-around引入的无效解，必须对上述等式左侧进行限制，使得$t=0$为唯一可能解，即必须确保：
$|{\pi }_b(x,y{)}^{(m_i)}-{\sigma }_b^{m_i}(z)-s{m}_i|<p$

针对以上不等式，并利用${\pi }_b(x,y{)}^{(m_i)}$和$-{\sigma }_b^{m_i}(z)$为符号相反的2个数的事实，足以确保：
max ⁡ { π b ( x , y ) ( m i ) , σ b m i ( z ) } + ∣ s m i ∣ < p \max\{\pi_b(x,y)^{(m_i)},\sigma_b^{m_i}(z)\}+|sm_i|<p max{ πb​(x,y)(mi​),σbmi​​(z)}+∣smi​∣<p

或应用以上定理1和定理2，有：

• $2n^2{m}_i{b}^2\le p$

从而可选择一组能满足该条件的参数。

Remark 2：

• 在$M$中包含$p$自身是很自然的选择，因为，这样可“原生”检查an identity $\mathrm{mod}p$。显然$p$自身并不满足上面$2n^2{m}_i{b}^2\le p$的限定，因此，当检查某identity $\mathrm{mod}p$时，wrap-around并不是an issue。

3. Modular multiplication

对某固定模$q<b^n$进行modular multiplication计算，即为：

• 以$x,y\in [b{]}^n$为输入，$z\in [b{]}^n$为witness，检查$xy=z\mathrm{mod}q$。（不同于上面的检查$xy=z$）

为此，引入witness $r$，使得${\pi }_b(x,y)-{\sigma }_b(z)=rq$。不过，可将该问题进一步reduce为：

• 存在witness $r$，使得${\pi }_b^{(q)}(x,y)-{\sigma }_b^q(z)=rq$。

根据定理1，意味着$|r|<n^2{b}^2$——可引入range check来强化该限制。

跟之前的方案类似，引入模集合$M$，根据定理1和不等式，有：

• $|{\pi }_b(x,y{)}^{(q)}-{\sigma }_b^{(q)}(z)-rq|<2n^{2}q{b}^2$

因此，可选择$M$使得$\text{lcm}(M)\ge 2n^{2}q{b}^2$。为此，若不执行partial reduction $\mathrm{mod}q$，我们需要大一点的$\text{lcm}(M)$。

3.1 Congruence mod $m_i$

small-moduli checks形式为：

• ${\pi }_b^{(q)}(x,y)-{\sigma }_b^{(q)}(z)=rq\mathrm{mod}{m}_i$

对所有的常量进行partial reductions $\mathrm{mod}{m}_i$，从而有：

• ${\pi }_b^{(q)(m_i)}(x,y)-{\sigma }_b^{(q)(m_i)}(z)=r(q\mathrm{mod}{m}_i)\mathrm{mod}{m}_i$

其中$(q)(m_i)$表示为一系列的partial reductions，即：

• ${\sigma }_b^{(q)(m_i)}={\sum }_{i=0}^{n-1}((b^i\mathrm{mod}q)\mathrm{mod}{m}_i)x_i$
• ${\pi }_b^{(q)(m_i)}={\sum }_{i=0}^{n-1}{\sum }_{j=0}^{n-1}((b^{i+j}\mathrm{mod}q)\mathrm{mod}{m}_i)x_i{y}_j$

引入witness $s$，使得：

• ${\pi }_b^{(q)(m_i)}(x,y)-{\sigma }_b^{(q)(m_i)}(z)-r(q\mathrm{mod}{m}_i)=s{m}_i$

成立。根据定理1，意味着$|s|<2n^2{b}^2$——可借助range check来强化该限制。

3.2 避免wrap-around

与2.2节思路类似，必须选择特定的参数，使得当对以上约束进行$\mathrm{mod}p$ check时，wrap-around不可能发生。采用类似的分析可知，要求：

• $4n^2{m}_i{b}^2\le p$

3.3 举个例子

假设“原生”field为${\mathbb{F}}_p$，其中$p=2^{64}-2^{32}+1$。当需要基于secp256k1 base field ${\mathbb{F}}_q$（其中$q=2^{256}-2^{32}-2^9-2^8-2^7-2^6-2^4-1$）进行乘法运算时，且$n=16，b=2^{16}$。
为避免wrap-around，要求每个$m_i$（$p$自身除外——根据Remark 2）满足：

• $m_i\le \frac{p}{4n^2{b}^2}$

对其向下取整为$4194303$，即约为$2^{22}$。

此外，$M$还需满足$\text{lcm}(M)\ge 2n^{2}q{b}^2$——约为$2^{297}$。
满足以上条件的$M$可为：

• M = { p , 4194272 , 4194273 , 4194275 , 4294277 , 4294281 , 4194283 , 4194287 , 4194289 , 4194293 , 4194299 , 419430 } M=\{p,4194272,4194273,4194275,4294277,4294281,4194283,4194287, 4194289, 4194293, 4194299, 419430\} M={ p,4194272,4194273,4194275,4294277,4294281,4194283,4194287,4194289,4194293,4194299,419430}

为pairwise coprime set，满足以上约束。

4. Probabilistic method

不同于上面的固定模集合$M$，可将其从某更大的pariwise coprime set $\mathbb{M}$中随机选择subset。
已知bound $|xy-z|<b^{2n}$，可argue that $\mathbb{M}$中仅有小部分可整除$xy-z$，因此若$xy\ne z$，则不可能对所有$m\in M$该identity都成立。
取决于具体的安全参数，可能可采用比之前方案中相对更小的$M$集合。

4.1 举个例子

令$\mathbb{M}$为pairwise coprime subset of $[2^{15},\cdots ,2^{16}]$——可发现该集合内可包含3802个整数。
若$xy$和$z$均不超过512 bits，则$xy-z$最多可整除34个$m_i\in \mathbb{M}$，任意subset size为35或更多时，相应的product将超过$2^{512}$。因此，若$xy\ne z$，则对于随机的$m_i\in \mathbb{M}$，$xy=z\mathrm{mod}{m}_i$成立的概率最高为$32/3069$。

若独立sample每个$m_i\in \mathbb{M}$，则可能存在重复取值的情况，若做20次sample，提供128-bit securit：$(32/3069{)}^{20}<2^{-128}$。若整个sample过程中避免重复情况，则19次sample就足够了，因为：
${\prod }_{i=0}^{18}(\frac{34-i}{3069-i})<2^{-128}$