译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/ecc/var-base-scalar-mul.html

变基标量乘(Variable-base scalar multiplication)

在 Orchard 电路中,我们需要检查 $p k_{d} = [ivk] g_{d}$ ,其中 $ivk \in [0, p)$ ,且标量域(scalar field)为 $F_{q}$ , $p < q$ 。

我们有 $p = 2^{254} + t_{p}$ 和 $q = 2^{254} + t_{q}$ ,其中 $t_{p}, t_{q} < 2^{128}$ 。

见证标量(Witness scalar)

我们试图计算 $[α] T$ ,其中 $α \in [0, q)$ 。设 $k = α + t_{q}$ 且 $n = 254$ 。那么我们可以计算

$[2^{254} + (α + t_{q})] T = [2^{254} + (α + t_{q}) - (2^{254} + t_{q})] T = [α] T$

前提是 $α + t_{q} \in [0, 2^{n + 1})$ ,即 $α < 2^{n + 1} - t_{q}$ ,这覆盖了我们需要的整个范围,因为事实上 $2^{255} - t_{q} > q$ 。

因此,给定一个标量 $α$ ,我们见证 $k = α + t_{q}$ 的布尔分解(boolean decomposition)。(为便于输入到变基标量乘算法中,我们使用大端(big-endian)位序。)

$k = k_{254} \cdot 2^{254} + k_{253} \cdot 2^{253} + \dots + k_{0} .$

变基标量乘(Variable-base scalar multiplication)

我们使用一个优化过的倍加(double-and-add)算法,从《Faster variable-base scalar multiplication in zk-SNARK circuits》复制而来,并做了一些变量名修改:

Acc := [2] T
for i from n-1 down to 0 {
    P := k_{i+1} ? T : −T
    Acc := (Acc + P) + Acc
}
return (k_0 = 0) ? (Acc - T) : Acc

剩下要检查的是,每对要相加的点的 x 坐标都互不相同。

当在素数阶群(prime-order group)中相加点时,我们可以依赖 Halo 论文附录 C 中的定理 3,它表明:如果我们有两个这样的点,它们相对于给定的奇素数阶基有非零索引(index),且这些索引取在 $- (q - 1) /2.. (q - 1) /2$ 范围内时,忽略符号是互不相同的,那么它们就有不同的 x 坐标。这很有帮助,因为对标量乘算法中出现的点的索引进行推理,比直接对它们的 x 坐标进行推理要容易。

因此,所需的检查等价于说,上述算法的下列"带索引版本"永远不会触发 assert:

acc := 2
for i from n-1 down to 0 {
    p = k_{i+1} ? 1 : −1
    assert acc ≠ ± p
    assert (acc + p) ≠ acc    // X
    acc := (acc + p) + acc
    assert 0 < acc ≤ (q-1)/2
}
if k_0 = 0 {
    assert acc ≠ 1
    acc := acc - 1
}

acc 的最大值是:

    <--- n 1s --->
  1011111...111111
= 1100000...000000 - 1

= $2^{n + 1} + 2^{n} - 1$

标记为 X 的 assert 显然不可能失败,因为 $p \neq = 0$ 。可以看出,除了最后那个条件分支外,acc 是单调递增的。它在 $k$ 取最大值时达到其最大值,即 $2^{n + 1} + 2^{n} - 1$ 。

所以,为了完全避免例外情形(exceptional cases),我们将需要 $2^{n + 1} + 2^{n} - 1 < (q - 1) /2$ 。但如果最后 $c$ 次迭代使用完全加法(complete addition),我们就可以把 $n$ 增大 $c$ 。

仅使用不完全加法(incomplete addition)时算法第一个失败的 $i$ 将是 $252$ ,因为 $2^{252 + 1} + 2^{252} - 1 > (q - 1) /2$ 。我们需要 $n = 254$ 才能使上述环绕(wraparound)技巧奏效。

sage: q = 0x40000000000000000000000000000000224698fc0994a8dd8c46eb2100000001
sage: 2^253 + 2^252 - 1 < (q-1)//2
False
sage: 2^252 + 2^251 - 1 < (q-1)//2
True

所以循环的最后三次迭代( $i = 2..0$ )需要使用完全加法(complete addition),末尾的条件减法也是如此。用 ⸭ 表示不完全加法(如我们在规范中所做),把它写出来,我们有:

Acc := [2] T
for i from 253 down to 3 {
    P := k_{i+1} ? T : −T
    Acc := (Acc ⸭ P) ⸭ Acc
}
for i from 2 down to 0 {
    P := k_{i+1} ? T : −T
    Acc := (Acc + P) + Acc  // complete addition
}
return (k_0 = 0) ? (Acc + (-T)) : Acc  // complete addition

优化倍加的约束程序(Constraint program for optimized double-and-add)

定义一个移动求和(running sum) $z_{j} = \sum_{i = j}^{n} (k_{i} \cdot 2^{i - j})$ ,其中 $n = 254$ 且:

$z_{n + 1} = 0, z_{n} = k_{n}, (most significant bit) z_{0} = k .$

$Initialize A_{254} = [2] T . for i from 254 down to 4 : bool_check (k_{i}) = 0 z_{i} = 2 z_{i + 1} + k_{i} x_{P, i} = x_{T} y_{P, i} = (2 k_{i} - 1) \cdot y_{T} (conditionally negate) λ_{1, i} \cdot (x_{A, i} - x_{P, i}) = y_{A, i} - y_{P, i} x_{R, i} = λ_{1, i}^{2} - x_{A, i} - x_{P, i} (λ_{1, i} + λ_{2, i}) \cdot (x_{A, i} - x_{R, i}) = 2 y_{A, i} λ_{2, i}^{2} = x_{A, i - 1} + x_{R, i} + x_{A, i} λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) = y_{A, i} + y_{A, i - 1} .$

辅助函数 $bool_check (x) = x \cdot (1 - x)$ 。在代入 $x_{P, i}, y_{P, i}, x_{R, i}, y_{A, i}$ 和 $y_{A, i - 1}$ 之后,这变为:

$Initialize A_{254} = [2] T . for i from 254 down to 4 : // let k_{i} = z_{i} - 2 z_{i + 1} // let y_{A, i} = \frac{( λ _{1, i} + λ _{2, i} ) \cdot ( x _{A, i} - ( λ _{1, i}^{2} - x _{A, i} - x _{T} ))}{2} bool_check (k_{i}) = 0 λ_{1, i} \cdot (x_{A, i} - x_{T}) = y_{A, i} - (2 k_{i} - 1) \cdot y_{T} λ_{2, i}^{2} = x_{A, i - 1} + λ_{1, i}^{2} - x_{T} {λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) = y_{A, i} + y_{A, i - 1}, λ_{2, 4} \cdot (x_{A, 4} - x_{A, 3}) = y_{A, 4} + y_{A, 3}^{witnessed}, if i > 4 if i = 4.$

这里, $y_{A, 3}^{witnessed}$ 被分配到一个单元格(cell)中。这与之前的各个 $y_{A, i}$ 不同,后者是从 $λ_{1, i}, λ_{2, i}, x_{A, i}, x_{T}$ 隐式推导出来的,但从未真正被分配过。

位 $k_{3 \dots 1}$ 被用于另外三个步骤中,使用完全加法(complete addition):

$for i from 3 down to 1 : // let k_{i} = z_{i} - 2 z_{i + 1} bool_check (k_{i}) = 0 (x_{A, i - 1}, y_{A, i - 1}) = ((x_{A, i}, y_{A, i}) + (x_{T}, y_{T})) + (x_{A, i}, y_{A, i})$

如果最低有效位(least significant bit) $k_{0} = 1,$ 我们置 $B = O,$ 否则我们置 $B = - T$ 。然后我们使用完全加法返回 $A + B$ 。

设 $B = {(0, 0), (x_{T}, - y_{T}), if k_{0} = 1, otherwise.$

输出 $(x_{A, 0}, y_{A, 0}) + B$ 。

(注意 $(0, 0)$ 表示 $O$ 。)

不完全加法(Incomplete addition)

我们需要六个 advice 列来见证 $(x_{T}, y_{T}, λ_{1}, λ_{2}, x_{A, i}, z_{i})$ 。然而,由于 $(x_{T}, y_{T})$ 是相同的,我们可以在一行中执行两次不完全加法,复用相同的 $(x_{T}, y_{T})$ 。我们把不完全加法中使用的标量位分成 $hi$ 和 $l o$ 两半并行处理。这意味着我们实际上有两个 for 循环:

第一个,覆盖 $hi$ 半部分, $i$ 从 $254$ 到 $130$ ,在 $i = 130$ 处有一个特殊情形;以及
第二个,覆盖 $l o$ 半部分,即剩余的 $i$ 从 $129$ 到 $4$ ,在 $i = 4$ 处有一个特殊情形。

$x_{T} x_{T} x_{T} ⋮ x_{T} x_{T} y_{T} y_{T} y_{T} ⋮ y_{T} y_{T} z^{hi} z_{255} = 0 z_{254} z_{253} ⋮ z_{130} x_{A}^{hi} x_{A, 254} = 2 [T]_{x} x_{A, 253} ⋮ x_{A, 130} x_{A, 129} λ_{1}^{hi} y_{A, 254} = 2 [T]_{y} λ_{1, 254} λ_{1, 253} ⋮ λ_{1, 130} y_{A, 129} λ_{2}^{hi} λ_{2, 254} λ_{2, 253} ⋮ λ_{2, 130} q_{1}^{hi} 100 ⋮ 0 q_{2}^{hi} 011 ⋮ 0 q_{3}^{hi} 000 ⋮ 1 z^{l o} z_{130} z_{129} z_{128} ⋮ z_{5} z_{4} x_{A}^{l o} x_{A, 129} x_{A, 128} ⋮ x_{A, 5} x_{A, 4} x_{A, 3} λ_{1}^{l o} y_{A, 129} λ_{1, 129} λ_{1, 128} ⋮ λ_{1, 5} λ_{1, 4} y_{A, 3} λ_{2}^{l o} λ_{2, 129} λ_{2, 128} ⋮ λ_{2, 5} λ_{2, 4} q_{1}^{l o} 100 ⋮ 00 q_{2}^{l o} 011 ⋮ 10 q_{3}^{l o} 000 ⋮ 01$

对于每个 $hi$ 和 $l o$ 半部分,我们有三组门(gate)。注意 $i$ 是从 $255.. = 3$ 取值; $i$ 不是对行做索引。

$q_{1} = 1$

这个门仅用于第一行(在 for 循环之前)。我们检查 $λ_{1}, λ_{2}$ 被初始化为与初始 $y_{A}$ 一致的值。 $Degree 4 Constraint q_{1} \cdot (y_{A, n}^{witnessed} - y_{A, n}) = 0$ 其中 $y_{A, n} y_{A, n}^{witnessed} = \frac{( λ _{1, n} + λ _{2, n} ) \cdot ( x _{A, n} - ( λ _{1, n}^{2} - x _{A, n} - x _{T} ))}{2}, is witnessed.$

$q_{2} = 1$

这个门用于对应 for 循环的所有行,除最后一行外。

$Degree 223433 Constraint q_{2} \cdot (x_{T, c u r} - x_{T, n e x t}) = 0 q_{2} \cdot (y_{T, c u r} - y_{T, n e x t}) = 0 q_{2} \cdot bool_check (k_{i}) = 0, where k_{i} = z_{i} - 2 z_{i + 1} q_{2} \cdot (λ_{1, i} \cdot (x_{A, i} - x_{T, i}) - y_{A, i} + (2 k_{i} - 1) \cdot y_{T, i}) = 0 q_{2} \cdot (λ_{2, i}^{2} - x_{A, i - 1} - x_{R, i} - x_{A, i}) = 0 q_{2} \cdot (λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) - y_{A, i} - y_{A, i - 1}) = 0$ 其中 $x_{R, i} y_{A, i} y_{A, i - 1} = λ_{1, i}^{2} - x_{A, i} - x_{T}, = \frac{( λ _{1, i} + λ _{2, i} ) \cdot ( x _{A, i} - ( λ _{1, i}^{2} - x _{A, i} - x _{T} ))}{2}, = \frac{( λ _{1, i - 1} + λ _{2, i - 1} ) \cdot ( x _{A, i - 1} - ( λ _{1, i - 1}^{2} - x _{A, i - 1} - x _{T} ))}{2},$

$q_{3} = 1$

这个门用于 for 循环的最后一次迭代,处理特殊情形,其中我们检查输出 $y_{A}$ 被正确见证。 $Degree 3433 Constraint q_{3} \cdot bool_check (k_{i}) = 0, where k_{i} = z_{i} - 2 z_{i + 1} q_{3} \cdot (λ_{1, i} \cdot (x_{A, i} - x_{T, i}) - y_{A, i} + (2 k_{i} - 1) \cdot y_{T, i}) = 0 q_{3} \cdot (λ_{2, i}^{2} - x_{A, i - 1} - x_{R, i} - x_{A, i}) = 0 q_{3} \cdot (λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) - y_{A, i} - y_{A, i - 1}^{witnessed}) = 0$ 其中 $x_{R, i} y_{A, i} y_{A, i - 1}^{witnessed} = λ_{1, i}^{2} - x_{A, i} - x_{T}, = \frac{( λ _{1, i} + λ _{2, i} ) \cdot ( x _{A, i} - ( λ _{1, i}^{2} - x _{A, i} - x _{T} ))}{2}, is witnessed.$

完全加法(Complete addition)

我们复用完全加法(complete addition)约束来实现倍加的最后 $c$ 轮。这需要每轮两行,因为每次完全加法都需要 9 个 advice 列。在第 10 个 advice 列中,我们暂存为正确实现倍加所需的其他单元格:

基点的 $y$ 坐标,这样我们可以对它进行条件取负,作为其中一次完全加法的输入。
移动求和(running sum),我们在两行上而非顺序地对它进行约束。

布局(Layout)

$a_{0} x_{T} x_{A} a_{1} y_{p} y_{A} a_{2} x_{A} x_{q} x_{r} a_{3} y_{A} y_{q} y_{r} a_{4} λ_{1} λ_{2} a_{5} α_{1} α_{2} a_{6} β_{1} β_{2} a_{7} γ_{1} γ_{2} a_{8} δ_{1} δ_{2} a_{9} z_{i + 1} y_{T} z_{i} q_{mul_decompose_var} 010$

约束(Constraints)

除了完全加法约束之外,我们定义以下门(gate):

$Degree Constraint q_{mul_decompose_var} \cdot bool_check (k_{i}) = 0 q_{mul_decompose_var} \cdot ternary (k_{i}, y_{T} - y_{p}, y_{T} + y_{p}) = 0$ 其中 $k_{i} = z_{i} - 2 z_{i + 1}$ 。

LSB(最低有效位)

布局(Layout)

$a_{0} x_{p} x_{T} a_{1} y_{p} y_{T} a_{2} x_{A} x_{r} a_{3} y_{A} y_{r} a_{4} λ a_{5} α a_{6} β a_{7} γ a_{8} δ a_{9} z_{1} z_{0} q_{mul_lsb} 10$

约束(Constraints)

$Degree Constraint q_{mul_lsb} \cdot bool_check (k_{0}) = 0 q_{mul_lsb} \cdot ternary (k_{0}, x_{p}, x_{p} - x_{T}) = 0 q_{mul_lsb} \cdot ternary (k_{0}, y_{p}, y_{p} + y_{T}) = 0$ 其中 $k_{0} = z_{0} - 2 z_{1}$ 。

溢出检查(Overflow check)

对于任何 $i \geq 1$ , $z_{i}$ 都不会溢出,因为它是仅到 $2^{n - 1} = 2^{253}$ 为止的若干位的加权求和,而 $2^{253}$ 小于 $p$ (也小于 $q$ )。

然而, $z_{0} = α + t_{q}$ 可能会溢出 $[0, p)$ 。

注:对于全宽标量乘,可能无法在基域中表示 $z_{0}$ (例如当基域是 Pasta 的 $F_{p}$ 且 $p < q$ 时)。在这种情况下,我们需要对涉及 $z_{0}$ 的那一行进行特殊处理,使其对于我们用于全宽标量的任何表示都是正确的。我们对 $k$ 的表示将是这个对: $(k_{254}, k^{'} = k - 2^{254} \cdot k_{254})$ 。我们将用 $k^{'}$ 代替 $α + t_{q}$ 作为 $z_{0}$ ,并把 $k^{'}$ 约束到 254 位,使它能放入一个 $F_{p}$ 元素。然后我们只需把下面的论证推广到适用于 $k^{'} \in [0, 2 \cdot t_{q})$ (因为 $α + t_{q}$ 的最大值是 $q - 1 + t_{q} = 2^{254} + t_{q} - 1 + t_{q}$ )。

由于溢出只可能发生在约束 $z_{0} = 2 \cdot z_{1} + k_{0}$ 的最后一步,我们有 $z_{0} = k (mod p)$ 。那么只需再检查 $z_{0} = α + t_{q} (mod p)$ (使得 $k = α + t_{q} (mod p)$ )以及 $k \in [t_{q}, p + t_{q})$ 即可。这些条件合在一起就意味着 $k = α + t_{q}$ 作为整数成立,因此如所需有 $2^{254} + k = α (mod q)$ 。

注:位 $k_{254..0}$ 并不表示一个对 $q$ 取模归约后的值,而是表示未归约的 $α + t_{q}$ 的一个表示。

对 $k \in [t_{q}, p + t_{q})$ 的优化检查(Optimized check)

由于 $t_{p} + t_{q} < 2^{130}$ (若 $p$ 和 $q$ 互换也成立),我们有 $[t_{q}, p + t_{q}) = [t_{q}, t_{q} + 2^{130}) \cup [2^{130}, 2^{254}) \cup ([2^{254}, 2^{254} + 2^{130}) \cap [p + t_{q} - 2^{130}, p + t_{q})) .$

我们可以假设 $k = α + t_{q} (mod p)$ 。

(对于 Orchard 中变基标量乘的使用而言这是真的,在那里我们知道 $α < p$ 。如果我们互换 $p$ 和 $q$ 使得 $p > q$ ,这也成立。但对于一个全宽标量 $α \geq p$ 且 $p < q$ 时,它不成立。)

因此, $k \in [t_{q}, p + t_{q}) \Leftrightarrow \Leftrightarrow \Leftrightarrow (k \in [t_{q}, t_{q} + 2^{130}) \lor k \in [2^{130}, 2^{254})) \lor (k \in [2^{254}, 2^{254} + 2^{130}) \land k \in [p + t_{q} - 2^{130}, p + t_{q})) (k_{254} = 0 ⟹ (k \in [t_{q}, t_{q} + 2^{130}) \lor k \in [2^{130}, 2^{254}))) \land (k_{254} = 1 ⟹ (k \in [2^{254}, 2^{254} + 2^{130}) \land k \in [p + t_{q} - 2^{130}, p + t_{q}))) (k_{254} = 0 ⟹ (α \in [0, 2^{130}) \lor k \in [2^{130}, 2^{254}))) \land (k_{254} = 1 ⟹ (k \in [2^{254}, 2^{254} + 2^{130}) \land (α + 2^{130}) mod p \in [0, 2^{130}))) Ⓐ$

给定 $k \in [2^{254}, 2^{254} + 2^{130})$ ,我们如下证明 $k \in [p + t_{q} - 2^{130}, p + t_{q})$ 与 $(α + 2^{130}) mod p \in [0, 2^{130})$ 的等价性:

把该区间平移 $2^{130} - p - t_{q}$ ,得到 $k + 2^{130} - p - t_{q} \in [0, 2^{130})$ ;

观察到 $k + 2^{130} - p - t_{q}$ 保证落在 $[2^{130} - t_{p} - t_{q}, 2^{131} - t_{p} - t_{q})$ 内,因此对 $p$ 取模时既不会溢出也不会下溢;

利用 $k = α + t_{q} (mod p)$ 这一事实,观察到 $(k + 2^{130} - p - t_{q}) mod p = (α + t_{q} + 2^{130} - p - t_{q}) mod p = (α + 2^{130}) mod p$ 。

(我们可以用另一种方式看出这是正确的:观察到它检查的是 $α mod p \in [p - 2^{130}, p)$ ,所以上界如我们所预期地对齐。)

现在,我们可以从 $Ⓐ$ 继续优化:

$k \in [t_{q}, p + t_{q}) \Leftrightarrow \Leftrightarrow (k_{254} = 0 ⟹ (α \in [0, 2^{130}) \lor k \in [2^{130}, 2^{254})) \land (k_{254} = 1 ⟹ (k \in [2^{254}, 2^{254} + 2^{130}) \land (α + 2^{130}) mod p \in [0, 2^{130}))) (k_{254} = 0 ⟹ (α \in [0, 2^{130}) \lor k_{253..130} are not all 0)) \land (k_{254} = 1 ⟹ (k_{253..130} are all 0 \land (α + 2^{130}) mod p \in [0, 2^{130})))$

把 $k_{253..130}$ 约束为全 $0$ 或非全 $0$ ,几乎可以"免费"实现,方法如下。

回想 $z_{i} = \sum_{h = i}^{n} (k_{h} \cdot 2^{h - i})$ ,所以我们有:

$z_{130} z_{130} z_{130} - k_{254} \cdot 2^{124} = = = \sum_{h = 130}^{254} (k_{h} \cdot 2^{h - 130}) k_{254} \cdot 2^{254 - 130} + \sum_{h = 130}^{253} (k_{h} \cdot 2^{h - 130}) \sum_{h = 130}^{253} (k_{h} \cdot 2^{h - 130})$

所以 $k_{253..130}$ 全为 $0$ 当且仅当 $z_{130} = k_{254} \cdot 2^{124}$ 。

最后,我们可以通过检查 $(α + k_{254} \cdot 2^{130}) mod p \in [0, 2^{130})$ ,把 $k_{254} = 0$ 和 $k_{254} = 1$ 两种情形的 $130$ 位分解合并起来。

溢出检查约束(Overflow check constraints)

设 $s = α + k_{254} \cdot 2^{130}$ 。溢出检查的约束为:

$z_{0} k_{254} = 1 ⟹ (z_{130} k_{254} = 0 ⟹ (z_{130} = α + t_{q} (mod p) = 2^{124} \land s mod p \in [0, 2^{130})) \neq = 0 \lor s mod p \in [0, 2^{130}))$

定义 $inv0 (x) = {0, 1/ x, if x = 0 otherwise.$

见证 $η = inv0 (z_{130})$ ,并把 $s mod p$ 分解为 $s_{129..0}$ 。

那么所需的门(gate)为:

$Degree 22335 Constraint q_{mul_overflow} \cdot (s - (α + k_{254} \cdot 2^{130})) = 0 q_{mul_overflow} \cdot (z_{0} - α - t_{q}) = 0 q_{mul_overflow} \cdot (k_{254} \cdot (z_{130} - 2^{124})) = 0 q_{mul_overflow} \cdot (k_{254} \cdot (s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130}) = 0 q_{mul_overflow} \cdot ((1 - k_{254}) \cdot (1 - z_{130} \cdot η) \cdot (s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130}) = 0$ 其中 $(s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130}$ 可以由另一个移动求和计算得到。注意 $1/ 2^{130}$ 这个因子对约束没有影响,因为右边为零。

移动求和范围检查(Running sum range check)

我们在电路中利用一个 $10$ 位查找范围检查(lookup range check)来减去 $s$ 的低 $130$ 位。该范围检查减去 $s$ 的前 $13 \cdot 10$ 位,并把结果右移,得到 $(s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130} .$

溢出检查(通用版)(Overflow check (general))

回想我们定义了 $z_{j} = \sum_{i = j}^{n} (k_{i} \cdot 2^{i - j})$ ,其中 $n = 254$ 。

对于任何 $j \geq 1$ , $z_{j}$ 都不会溢出,因为它是仅到并包括 $2^{n - j}$ 为止的若干位的加权求和。当 $n = 254$ 且 $j = 1$ 时,此求和至多为 $2^{254} - 1$ ,小于 $p$ (也小于 $q$ )。

然而,对于全宽标量乘,可能无法在基域中表示 $z_{0}$ (例如当基域是 Pasta 的 $F_{p}$ 且 $p < q$ 时)。在这种情况下, $z_{0} = α + t_{q}$ 可能会溢出 $[0, p)$ 。

所以,我们需要对涉及 $z_{0}$ 的那一行进行特殊处理,使其对于我们用于全宽标量的任何表示都是正确的。

我们对 $k$ 的表示将是这个对: $(k_{254}, k^{'} = k - 2^{254} \cdot k_{254})$ 。我们将用 $k^{'}$ 代替 $α + t_{q}$ 作为 $z_{0}$ ,并把 $k^{'}$ 约束到 254 位,使它能放入一个 $F_{p}$ 元素。

然后我们只需把 Orchard 电路中变基标量乘所使用的溢出检查推广到适用于 $k^{'} \in [0, 2 \cdot t_{q})$ (因为 $α + t_{q}$ 的最大值是 $q - 1 + t_{q} = 2^{254} + t_{q} - 1 + t_{q}$ )。

注:位 $k_{254..0}$ 并不表示一个对 $q$ 取模归约后的值,而是表示未归约的 $α + t_{q}$ 的一个表示。

溢出只可能发生在约束 $z_{0} = 2 \cdot z_{1} + k_{0}$ 的最后一步,并且只有在 $z_{1}$ 设置了权重为 $2^{253}$ 的那一位时(即 $k_{254} = 1$ 时)才会发生。如果我们改为设置 $z_{0} = 2 \cdot z_{1} - 2^{254} \cdot k_{254} + k_{0}$ ,那么现在 $z_{0}$ 就不会溢出,并且应当等于 $k^{'}$ 。

那么只需再检查 $z_{0} + 2^{254} \cdot k_{254} = α + t_{q}$ 作为整数成立(其中 $α \in [0, q)$ )即可。

把 $α$ 表示为 $2^{254} \cdot α_{254} + 2^{253} \cdot α_{253} + α^{''}$ ,其中我们约束 $α^{''} \in [0, 2^{253})$ ,并约束 $α_{253}$ 和 $α_{254}$ 为布尔值。为使这是一个规范表示,我们还需要 $α_{254} = 1 ⟹ (α_{253} = 0 \land α^{''} \in [0, t_{q}))$ 。

设 $α^{'} = 2^{253} \cdot α_{253} + α^{''}$ 。

如果 $α_{254} = 1$ :

约束 $k_{254} = 1$ 且 $z_{0} = α^{'} + t_{q}$ 。这不会溢出,因为在这种情况下 $α^{'} \in [0, t_{q})$ ,因此 $z_{0} \in [0, 2 \cdot t_{q})$ 。

如果 $α_{254} = 0$ :

我们应当在 $α^{'} \in [2^{254} - t_{q}, 2^{254})$ 时且仅在此时有 $k_{254} = 1$ ,即把 $k_{254}$ 见证为布尔值,然后
- 如果 $k_{254} = 0$ ,则约束 $α^{'} \neq \in [2^{254} - t_{q}, 2^{254})$ 。
  - 这可以通过约束 $α_{253} = 0$ 或 $α^{''} + t_{q} \in [0, 2^{253})$ 二者之一来完成。( $α^{''} + t_{q}$ 不会溢出。)
- 如果 $k_{254} = 1$ ,则约束 $α^{'} \in [2^{254} - t_{q}, 2^{254})$ 。
  - 这可以通过约束 $α^{'} - (2^{254} - t_{q}) \in [0, 2^{130})$ 和 $α^{'} - 2^{254} + 2^{130} \in [0, 2^{130})$ 来完成。

溢出检查约束(通用版)(Overflow check constraints (general))

如上把 $α$ 表示为 $2^{254} \cdot α_{254} + 2^{253} \cdot α_{253} + α^{''}$ 。

溢出检查的约束为:

$α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 0 \land α_{253} = 1 \land k_{254} = 0 α_{254} = 0 \land k_{254} = 1 α_{254} = 0 \land k_{254} = 1 α^{''} \in [0, 2^{253}) α_{253} \in {0, 1} α_{254} \in {0, 1} k_{254} \in {0, 1} α_{253} = 0 α^{''} \in [0, 2^{130}) ❁ α^{''} + 2^{130} - t_{q} \in [0, 2^{130}) ❁ k_{254} = 1 z_{0} = α^{'} + t_{q} ⟹ α^{''} + t_{q} \in [0, 2^{253}) ⟹ α^{'} - 2^{254} + t_{q} \in [0, 2^{130}) ❁ ⟹ α^{'} - 2^{254} + 2^{130} \in [0, 2^{130}) ❁$

注意标记为 $❁$ 的四个 130 位约束分成两对,出现在不相交(disjoint)的情形中。因此我们可以用一个新的见证变量 $u$ 把它们合并为两个 130 位约束;另一个约束始终是对 $u + 2^{130} - t_{q}$ 的约束:

$α_{254} = 1 ⟹ α_{254} = 0 \land k_{254} = 1 ⟹ u = α^{''} u = α^{'} - 2^{254} + t_{q} u \in [0, 2^{130}) u + 2^{130} - t_{q} \in [0, 2^{130})$

( $u$ 是无约束的,在 $α_{254} = 0 \land k_{254} = 0$ 的情况下可以见证为 $0$ 。)

成本(Cost)

25 次 10 位范围检查和一次 3 位范围检查,用于把 $α^{''}$ 约束到 253 位;
25 次 10 位范围检查和一次 3 位范围检查,用于在 $α_{254} = 0 \land α_{253} = 1 \land k_{254} = 0$ 时把 $α^{''} + t_{q}$ 约束到 253 位;
两次 13 个 10 位范围检查。

Keyboard shortcuts

halo2 中文手册 (The halo2 Book · 简体中文版)