递归（Recursion） - halo2 中文手册 (The halo2 Book

译自 halo2 book：background/recursion.md

递归(recursion)

替代术语：归纳(Induction)；累加方案(Accumulation scheme)；携带证明的数据(Proof-carrying data)

然而， $G$ 的计算需要一个长度为 $2^{k}$ 的多重幂运算(multiexponentiation) $⟨ G, s ⟩,$ 其中 $s$ 由按二进制计数结构排列的各轮挑战 $u_{1}, \dots, u_{k}$ 组成。这就是我们想要在一批证明实例上分摊(amortise)的线性时间计算。我们注意到，与其计算 $G,$ 不如把 $G$ 表达为对某个多项式的承诺

$G = Commit (σ, g (X, u_{1}, \dots, u_{k})),$

其中 $g (X, u_{1}, \dots, u_{k}) := \prod_{i = 1}^{k} (u_{i} + u_{i}^{- 1} X^{2^{i - 1}})$ 是一个次数为 $2^{k} - 1$ 的多项式。


	由于 $G$ 是一个承诺，它可以在一个内积论证中被检查。验证者电路见证(witness) $G$ ，并把 $G, u_{1}, \dots, u_{k}$ 作为公开输入(public inputs)带出到证明 $π .$ 下一个验证者实例使用内积论证检查 $π$ ；这包括检查 $G = Commit (g (X, u_{1}, \dots, u_{k}))$ 在某个随机点处求值为给定挑战 $u_{1}, \dots, u_{k}$ 所对应的期望值。回忆上一节中讲过，这个检查只需要 $lo g d$ 的工作量。在检查完 $π$ 和 $G$ 之后，电路剩下一个新的 $G^{'},$ 连同为该检查采样的 $u_{1}^{'}, \dots, u_{k}^{'}$ 挑战。要完全接受 $π$ 为有效，我们应当执行 $G^{'} = ⟨ G, s^{'} ⟩$ 的线性时间计算。我们再次延迟这个计算，方法是见证 $G^{'}$ 并把 $G^{'}, u_{1}^{'}, \dots, u_{k}^{'}$ 作为公开输入带出到证明 $π^{'} .$ 这样从一个证明实例进行到下一个，直到我们对这批证明的规模感到满意为止。最后我们执行单个线性时间计算，从而判定整批证明的有效性。

由于

G

是一个承诺，它可以在一个内积论证中被检查。验证者电路见证(witness)

G

，并把

G, u_{1}, \dots, u_{k}

作为公开输入(public inputs)带出到证明

π .

下一个验证者实例使用内积论证检查

π

；这包括检查

G = Commit (g (X, u_{1}, \dots, u_{k}))

在某个随机点处求值为给定挑战

u_{1}, \dots, u_{k}

所对应的期望值。回忆上一节中讲过，这个检查只需要

lo g d

的工作量。

在检查完

π

和

G

之后，电路剩下一个新的

G^{'},

连同为该检查采样的

u_{1}^{'}, \dots, u_{k}^{'}

挑战。要完全接受

π

为有效，我们应当执行

G^{'} = ⟨ G, s^{'} ⟩

的线性时间计算。我们再次延迟这个计算，方法是见证

G^{'}

并把

G^{'}, u_{1}^{'}, \dots, u_{k}^{'}

作为公开输入带出到证明

π^{'} .

这样从一个证明实例进行到下一个，直到我们对这批证明的规模感到满意为止。最后我们执行单个线性时间计算，从而判定整批证明的有效性。

我们回忆曲线环(Cycles of curves) 一节，我们可以在一个 2-环上实例化这个协议，其中由一条曲线产生的证明能在另一条曲线的电路中被高效验证。然而，其中某些验证者检查实际上可以在本地电路(native circuit)中高效执行；这些检查被"推迟(deferred)"到下一个本地电路（见下图），而不是立即传递给另一条曲线。

Keyboard shortcuts

halo2 中文手册 (The halo2 Book · 简体中文版)

递归(recursion)