译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/sha256/table16.html

用于 SHA-256 的 16 比特表芯片(table chip)

这个芯片(chip)实现围绕单张 16 比特查表表(lookup table)构建。它至少需要 $2^{16}$ 个电路行(circuit rows),因此适合用在较大的电路中。

我们的目标是最大约束次数(constraint degree)为 $9$。这将允许我们在一行内处理对进位(carries)以及"小片(small pieces)"约束到 $\{\mathrm{0..7}\}$ 范围内的约束。

轮压缩(Compression round)

共有 $64$ 轮压缩(compression rounds)。每一轮以 32 比特值 $A,B,C,D,E,F,G,H$ 作为输入,并执行以下运算:

$$\begin{array}{rcl}Ch(E,F,G)& =& (E\wedge F)\oplus (\neg E\wedge G)\\ Maj(A,B,C)& =& (A\wedge B)\oplus (A\wedge C)\oplus (B\wedge C)\\ & =& count(A,B,C)\ge 2\\ {\Sigma }_0(A)& =& (A⋙2)\oplus (A⋙13)\oplus (A⋙22)\\ {\Sigma }_1(E)& =& (E⋙6)\oplus (E⋙11)\oplus (E⋙25)\\ H^{\prime }& =& H+Ch(E,F,G)+{\Sigma }_1(E)+K_t+W_t\\ E_{new}& =& reduc{e}_6(H^{\prime }+D)\\ A_{new}& =& reduc{e}_7(H^{\prime }+Maj(A,B,C)+{\Sigma }_0(A))\end{array}$$

其中 $reduc{e}_i$ 必须处理一个满足 $0\le carry<i$ 的进位(carry)。

把 $\mathtt{spread}$ 定义为一张表,它把一个 $16$ 比特的输入映射到一个用零比特交错(interleaved)的输出。我们不需要为范围检查(range checks)单独建表,因为可以使用 $\mathtt{spread}$。

模加法(Modular addition)

为实现模 $2^{32}$ 加法,我们注意到这等价于用域加法(field addition)把操作数相加,然后把结果除最低 32 比特之外的全部比特都掩掉(mask away)。例如,若我们有两个操作数 $a$ 和 $b$:

$$a⊞b=c,$$

我们把每个操作数(连同结果)分解(decompose)成 16 比特的小块(chunks):

$$(a_L:{\mathbb{Z}}_{2^{16}},a_H:{\mathbb{Z}}_{2^{16}})⊞(b_L:{\mathbb{Z}}_{2^{16}},b_H:{\mathbb{Z}}_{2^{16}})=(c_L:{\mathbb{Z}}_{2^{16}},c_H:{\mathbb{Z}}_{2^{16}}),$$

然后用域加法重新表述该约束:

$$\mathsf{carry}\cdot 2^{32}+c_H\cdot 2^{16}+c_L=(a_H+b_H)\cdot 2^{16}+a_L+b_L.$$

更一般地,输出的任意比特分解(bit-decomposition)都可以使用,而不仅限于分解成 16 比特小块。注意这正确地处理了来自 $a_L+b_L$ 的进位。

这个约束要求每个小块都被正确地范围检查(否则一次赋值可能溢出该域(overflow the field))。

• 操作数小块和结果小块可以用 $\mathtt{spread}$ 来约束,办法是在表的某个子集中,在"密集(dense)"列里对每个小块查表。这样我们还能免费得到输出的"展开(spread)"形式;特别地,对于右下角那个 $⊞$ 的输出(它会成为 $A_{new}$),以及最左边那个 $⊞$ 的输出(它会成为 $E_{new}$),都是如此。我们将在下文用这一点来优化 $Maj$ 和 $Ch$。

• $\mathsf{carry}$ 必须被约束到与操作数个数相对应的、允许的进位值的精确范围内。我们用一个 小范围约束(small range constraint)来做这件事。

Maj 函数

$Maj$ 可以用 $4$ 次查表完成:$2\mathtt{spread}\ast 2$ 个小块

• 如上所述,第一轮之后我们已经拥有展开形式的 $A$,即 $A^{\prime }$。 类似地,$B$ 和 $C$ 分别等于上一轮的 $A$ 和 $B$, 因此在稳态(steady state)下,我们已经拥有它们的展开形式 $B^{\prime }$ 和 $C^{\prime }$。事实上 我们也可以假定在第一轮就拥有它们的展开形式,要么来自固定的 IV,要么来自用 $\mathtt{spread}$ 去归约(reduce)上一块前馈(feedforward)的输出。
• 把这些展开形式在域中相加:$M^{\prime }=A^{\prime }+B^{\prime }+C^{\prime }$;
  • 我们可以把它们当作 $32$ 比特字相加,也可以分片相加;两者等价。
• 见证(witness)压缩偶数比特 $M_i^{even}$ 和压缩奇数比特 $M_i^{odd}$,$i=\{\mathrm{0..1}\}$;
• 约束 $M^{\prime }=\mathtt{spread}(M_0^{even})+2\cdot \mathtt{spread}(M_0^{odd})+2^{32}\cdot \mathtt{spread}(M_1^{even})+2^{33}\cdot \mathtt{spread}(M_1^{odd})$,其中 $M_i^{odd}$ 是 $Maj$ 函数的输出。

注:我们所说的"偶数(even)"比特指的是权重为 $2$ 的偶数次幂的比特,即权重为 $2^0,2^2,\dots$ 的比特。类似地,"奇数(odd)"比特指的是权重为 $2$ 的奇数次幂的比特。

Ch 函数

TODO:借助一张额外的表,可能可以优化到 $4$ 或 $5$ 次查表。

$Ch$ 可以用 $8$ 次查表完成:$4\mathtt{spread}\ast 2$ 个小块

• 如上所述,第一轮之后我们已经拥有展开形式的 $E$,即 $E^{\prime }$。 类似地,$F$ 和 $G$ 分别等于上一轮的 $E$ 和 $F$, 因此在稳态下,我们已经拥有它们的展开形式 $F^{\prime }$ 和 $G^{\prime }$。事实上 我们也可以假定在第一轮就拥有它们的展开形式,要么来自固定的 IV,要么来自用 $\mathtt{spread}$ 去归约上一块前馈的输出。
• 计算 $P^{\prime }=E^{\prime }+F^{\prime }$ 和 $Q^{\prime }=(evens-E^{\prime })+G^{\prime }$,其中 $evens=\mathtt{spread}(2^{32}-1)$。
  • 我们可以把它们当作 $32$ 比特字相加,也可以分片相加;两者等价。
  • $evens-E^{\prime }$ 之所以能算出 $\neg E$ 的展开形式,尽管取反(negation)与 $\mathtt{spread}$ 一般并不交换(commute)。它之所以有效,是因为 $E^{\prime }$ 中的每个展开比特 都从 $1$ 中减去,所以不会发生借位(borrows)。
• 见证 $P_i^{even},P_i^{odd},Q_i^{even},Q_i^{odd}$,使得 $P^{\prime }=\mathtt{spread}(P_0^{even})+2\cdot \mathtt{spread}(P_0^{odd})+2^{32}\cdot \mathtt{spread}(P_1^{even})+2^{33}\cdot \mathtt{spread}(P_1^{odd})$,对 $Q^{\prime }$ 同理。
• $\{P_i^{odd}+Q_i^{odd}{\}}_{i=\mathrm{0..1}}$ 就是 $Ch$ 函数的输出。

Σ_0 函数

${\Sigma }_0(A)$ 可以用 $6$ 次查表完成。

为此,我们首先把 $A$ 切分成片 $(a,b,c,d)$,长度分别为 $(2,11,9,10)$ 比特,从低端(little end)开始计数。同时我们得到这些片的展开 形式。这一切都可以在两个 PLONK 行内完成,因为 $10$ 比特和 $11$ 比特的片可以用 $\mathtt{spread}$ 查表来处理,而 $9$ 比特的片可以 切分成 $3\ast 3$ 比特的子片(subpieces)。后者和剩下的 $2$ 比特片可以 与这两次查表并行地用多项式约束(polynomial constraints)做范围检查,每行做两个小片 。这些小片的展开形式通过插值(interpolation)求得。

注意,把它切分成片这件事可以与 $A_{new}$ 的归约(reduction)合并,即 后者不需要额外的查表。在最后一轮中,我们在加上前馈之后再归约 $A_{new}$(需要处理一个至多为 $7$ 的进位,这没问题)。

$(A⋙2)\oplus (A⋙13)\oplus (A⋙22)$ 等价于 $(A⋙2)\oplus (A⋙13)\oplus (A⋘10)$:

然后,再用 $4$ 次 $\mathtt{spread}$ 查表,我们把结果作为这些片的某个 线性组合(linear combination)的偶数比特而得到:

$$\begin{array}{rcccccccl}& (a& ||& d& ||& c& ||& b)& \oplus \\ & (b& ||& a& ||& d& ||& c)& \oplus \\ & (c& ||& b& ||& a& ||& d)& \\ & & & & \Downarrow & & & & \\ R^{\prime }=& 4^{30}a& +& 4^{20}d& +& 4^{11}c& +& b& +\\ & 4^{21}b& +& 4^{19}a& +& 4^{9}d& +& c& +\\ & 4^{23}c& +& 4^{12}b& +& 4^{10}a& +& d& \end{array}$$

也就是说,我们见证压缩偶数比特 $R_i^{even}$ 和压缩奇数比特 $R_i^{odd}$,并约束 $$R^{\prime }=\mathtt{spread}(R_0^{even})+2\cdot \mathtt{spread}(R_0^{odd})+2^{32}\cdot \mathtt{spread}(R_1^{even})+2^{33}\cdot \mathtt{spread}(R_1^{odd})$$ 其中 $\{R_i^{even}{\}}_{i=\mathrm{0..1}}$ 是 ${\Sigma }_0$ 函数的输出。

Σ_1 函数

${\Sigma }_1(E)$ 可以用 $6$ 次查表完成。

为此,我们首先把 $E$ 切分成片 $(a,b,c,d)$,长度分别为 $(6,5,14,7)$ 比特,从低端开始计数。同时我们得到这些片的展开 形式。这一切都可以在两个 PLONK 行内完成,因为 $7$ 比特和 $14$ 比特的片可以用 $\mathtt{spread}$ 查表来处理,$5$ 比特的片可以 切分成 $3$ 比特和 $2$ 比特的子片,而 $6$ 比特的片可以切分成 $2\ast 3$ 比特 的子片。这四个小片可以与这两次查表 并行地用多项式约束做范围检查,每行做两个小片。这些 小片的展开形式通过插值求得。

注意,把它切分成片这件事可以与 $E_{new}$ 的归约合并,即 后者不需要额外的查表。在最后一轮中,我们在加上前馈 之后再归约 $E_{new}$(需要处理一个至多为 $6$ 的进位,这没问题)。

$(E⋙6)\oplus (E⋙11)\oplus (E⋙25)$ 等价于 $(E⋙6)\oplus (E⋙11)\oplus (E⋘7)$。

然后,再用 $4$ 次 $\mathtt{spread}$ 查表,我们以与 ${\Sigma }_0$ 相同的方式,把结果作为这些片的某个线性组合的偶数比特而得到:

$$\begin{array}{rcccccccl}& (a& ||& d& ||& c& ||& b)& \oplus \\ & (b& ||& a& ||& d& ||& c)& \oplus \\ & (c& ||& b& ||& a& ||& d)& \\ & & & & \Downarrow & & & & \\ R^{\prime }=& 4^{26}a& +& 4^{19}d& +& 4^{5}c& +& b& +\\ & 4^{27}b& +& 4^{21}a& +& 4^{14}d& +& c& +\\ & 4^{18}c& +& 4^{13}b& +& 4^{7}a& +& d& \end{array}$$

也就是说,我们见证压缩偶数比特 $R_i^{even}$ 和压缩奇数比特 $R_i^{odd}$,并约束 $$R^{\prime }=\mathtt{spread}(R_0^{even})+2\cdot \mathtt{spread}(R_0^{odd})+2^{32}\cdot \mathtt{spread}(R_1^{even})+2^{33}\cdot \mathtt{spread}(R_1^{odd})$$ 其中 $\{R_i^{even}{\}}_{i=\mathrm{0..1}}$ 是 ${\Sigma }_1$ 函数的输出。

块分解(Block decomposition)

对于已填充消息(padded message)的每一个块 $M\in \{0,1{\}}^{512}$,要构造 $64$ 个各 $32$ 比特的字 ,方法如下:

• 前 $16$ 个通过把 $M$ 切分成 $32$ 比特的块来得到 $$M=W_0||W_1||\cdots ||W_{14}||W_{15};$$
• 其余 $48$ 个字用以下公式构造: $$W_i={\sigma }_1(W_{i-2})⊞W_{i-7}⊞{\sigma }_0(W_{i-15})⊞W_{i-16},$$ 对 $16\le i<64$。

注:$W$ 字的下标采用从 $0$ 开始的编号。

$$\begin{array}{ccc}{\sigma }_0(X)& =& (X⋙7)\oplus (X⋙18)\oplus (X\gg 3)\\ {\sigma }_1(X)& =& (X⋙17)\oplus (X⋙19)\oplus (X\gg 10)\end{array}$$

注:$\gg$ 是右移位(shift),不是旋转(rotation)。

σ_0 函数

$(X⋙7)\oplus (X⋙18)\oplus (X\gg 3)$ 等价于 $(X⋙7)\oplus (X⋘14)\oplus (X\gg 3)$。

与上面类似,但片 $(a,b,c,d)$ 的长度为 $(3,4,11,14)$,从低端 开始计数。把 $b$ 切分成两个 $2$ 比特子片。

$$\begin{array}{rcccccccl}& (0^{[3]}& ||& d& ||& c& ||& b)& \oplus \\ & (b& ||& a& ||& d& ||& c)& \oplus \\ & (c& ||& b& ||& a& ||& d)& \\ & & & & \Downarrow & & & & \\ R^{\prime }=& & & 4^{15}d& +& 4^{4}c& +& b& +\\ & 4^{28}b& +& 4^{25}a& +& 4^{11}d& +& c& +\\ & 4^{21}c& +& 4^{17}b& +& 4^{14}a& +& d& \end{array}$$

σ_1 函数

$(X⋙17)\oplus (X⋙19)\oplus (X\gg 10)$ 等价于 $(X⋘15)\oplus (X⋘13)\oplus (X\gg 10)$。

TODO:这张图与右侧的表达式不符。这里只是为了与 其他图保持一致。

与上面类似,但片 $(a,b,c,d)$ 的长度为 $(10,7,2,13)$,从低端 开始计数。把 $b$ 切分成 $(3,2,2)$ 比特子片。

$$\begin{array}{rcccccccl}& (0^{[10]}& ||& d& ||& c& ||& b)& \oplus \\ & (b& ||& a& ||& d& ||& c)& \oplus \\ & (c& ||& b& ||& a& ||& d)& \\ & & & & \Downarrow & & & & \\ R^{\prime }=& & & 4^{9}d& +& 4^{7}c& +& b& +\\ & 4^{25}b& +& 4^{15}a& +& 4^{2}d& +& c& +\\ & 4^{30}c& +& 4^{23}b& +& 4^{13}a& +& d& \end{array}$$

消息调度(Message scheduling)

我们对 $W_{\mathrm{1..48}}$ 应用 ${\sigma }_0$,对 $W_{\mathrm{14..61}}$ 应用 ${\sigma }_1$。为了避免 对 $\mathtt{spread}$ 的冗余应用,在 $W_{\mathrm{14..48}}$ 的情形下,我们可以把 ${\sigma }_0$ 和 ${\sigma }_1$ 的切片合并。把片长度 $(3,4,11,14)$ 和 $(10,7,2,13)$ 合并后,得到长度为 $(3,4,3,7,1,1,13)$ 的片。

如果我们能用 $3$ 行完成这个合并的切分(而不是分别为 ${\sigma }_0$ 和 ${\sigma }_1$ 切分时总共需要的 $4$ 行),我们就节省了 $35$ 行。

这些甚至或许能用 $2$ 行做到;不确定。 ——Daira

当 $W_{\mathrm{16..61}}$ 被用于计算后续的字时,我们可以把它们的模 $2^{32}$ 归约 合并进它们的切分中,类似于我们对轮函数中的 $A$ 和 $E$ 所做的。

我们仍然需要归约 $W_{\mathrm{62..63}}$,因为它们没有被切分。(从技术上讲我们可以 让它们保持未归约,因为稍后用它们来计算 $A_{new}$ 和 $E_{new}$ 时它们会被归约——但那会需要处理一个至多为 $10$ 而不是 $6$ 的进位,所以不值得为此增加复杂度。)

由此得到的消息调度代价为:

• $2$ 行用于把 $W_0$ 约束为 $32$ 比特
  • 这从技术上讲是可选的,但为了健壮性我们还是这么做,因为输入的其余部分 是免费被约束的。
• $13\ast 2$ 行用于把 $W_{\mathrm{1..13}}$ 切分成 $(3,4,11,14)$ 比特的片
• $35\ast 3$ 行用于把 $W_{\mathrm{14..48}}$ 切分成 $(3,4,3,7,1,1,13)$ 比特的片(对 $W_{\mathrm{16..48}}$ 合并了一次归约)
• $13\ast 2$ 行用于把 $W_{\mathrm{49..61}}$ 切分成 $(10,7,2,13)$ 比特的片(合并了一次 归约)
• $4\ast 48$ 行用于提取 $W_{\mathrm{1..48}}$ 的 ${\sigma }_0$ 结果
• $4\ast 48$ 行用于提取 $W_{\mathrm{14..61}}$ 的 ${\sigma }_1$ 结果
• $2\ast 2$ 行用于归约 $W_{\mathrm{62..63}}$
• $=547$ 行。

总体代价(Overall cost)

对每一轮:

• $8$ 行用于 $Ch$
• $4$ 行用于 $Maj$
• $6$ 行用于 ${\Sigma }_0$
• $6$ 行用于 ${\Sigma }_1$
• $reduc{e}_6$ 和 $reduc{e}_7$ 始终是免费的
• $=$ 每轮 $24$

这给整个"步骤 3"带来 $24\ast 64=1792$ 行,在此之上我们还需加上:

• $547$ 行用于消息调度
• $2\ast 8$ 行用于"步骤 4"中 $8$ 次模 $2^{32}$ 归约

总计 $2099$ 行。

表(Tables)

我们只需要一张表 $\mathtt{spread}$,它有 $2^{16}$ 行和 $3$ 列。我们需要一个 标签(tag)列,以便为 ${\Sigma }_{\mathrm{0..1}}$ 和 ${\sigma }_{\mathrm{0..1}}$ 选取表的 $(7,10,11,13,14)$ 比特子集。

spread 表

例如,要做一次 $11$ 比特的 $\mathtt{spread}$ 查表,我们用多项式约束把标签 约束到 $\{0,1,2\}$ 内。对于最常见的 $16$ 比特查表的情形,我们不需要 约束标签。注意我们可以用一个重复条目(例如全零)来填充超出 $2^{16}$ 的任何 未用行。

门(Gates)

选择门(Choice gate)

来自先前运算的输入:

• $E^{\prime },F^{\prime },G^{\prime },$ 即 32 比特字 $E,F,G$ 的 64 比特展开形式,假定已被先前运算所约束
  • 在实践中,把 $E^{\prime },F^{\prime },G^{\prime }$ 分解成 16 比特子片之后,我们才会有它们的展开形式
• $evens$ 定义为 $\mathtt{spread}(2^{32}-1)$
  • $even{s}_0=even{s}_1=\mathtt{spread}(2^{16}-1)$

E ∧ F

¬E ∧ G

约束:

• s_ch(选择,choice):$LHS-RHS=0$
  • $LHS=a_3{\omega }^{-1}+a_3\omega +2^{32}(a_4{\omega }^{-1}+a_4\omega )$
  • $RHS=a_2{\omega }^{-1}+2\ast a_2+2^{32}(a_2\omega +2\ast a_3)$
• s_ch_neg(取反,negation):带一个额外取反检查的 s_ch
• 对 $(a_0,a_1,a_2)$ 做 $\mathtt{spread}$ 查表
• $(a_2,a_3)$ 之间的置换(permutation)

输出:$Ch(E,F,G)=P^{odd}+Q^{odd}=(P_0^{odd}+Q_0^{odd})+2^{16}(P_1^{odd}+Q_1^{odd})$

多数门(Majority gate)

来自先前运算的输入:

• $A^{\prime },B^{\prime },C^{\prime },$ 即 32 比特字 $A,B,C$ 的 64 比特展开形式,假定已被先前运算所约束
  • 在实践中,把 $A^{\prime },B^{\prime },C^{\prime }$ 分解成 $16$ 比特子片之后,我们才会有它们的展开形式

约束:

• s_maj(多数,majority):$LHS-RHS=0$
  • $LHS=\mathtt{spread}(M_0^{even})+2\cdot \mathtt{spread}(M_0^{odd})+2^{32}\cdot \mathtt{spread}(M_1^{even})+2^{33}\cdot \mathtt{spread}(M_1^{odd})$
  • $RHS=A^{\prime }+B^{\prime }+C^{\prime }$
• 对 $(a_0,a_1,a_2)$ 做 $\mathtt{spread}$ 查表
• $(a_2,a_3)$ 之间的置换

输出:$Maj(A,B,C)=M^{odd}=M_0^{odd}+2^{16}{M}_1^{odd}$

Σ_0 门

$A$ 是一个 32 比特字,被切分成 $(2,11,9,10)$ 比特的小块,从低端开始。我们分别把这些小块称为 $(a(2),b(11),c(9),d(10))$,并进一步把 $c(9)$ 切分成三个 3 比特小块 $c(9{)}^{lo},c(9{)}^{mid},c(9{)}^{hi}$。我们见证这些小块的展开版本。

$$\begin{array}{ccc}{\Sigma }_0(A)& =& (A⋙2)\oplus (A⋙13)\oplus (A⋙22)\\ & =& (A⋙2)\oplus (A⋙13)\oplus (A⋘10)\end{array}$$

约束:

• s_upp_sigma_0(${\Sigma }_0$ 约束):$LHS-RHS+tag+decompose=0$

$$\begin{array}{ccc}tag& =& constrai{n}_1(a_0{\omega }^{-1})+constrai{n}_2(a_0\omega )\\ decompose& =& a(2)+2^{2}b(11)+2^{13}c(9{)}^{lo}+2^{16}c(9{)}^{mid}+2^{19}c(9{)}^{hi}+2^{22}d(10)-A\\ LHS& =& \mathtt{spread}(R_0^{even})+2\cdot \mathtt{spread}(R_0^{odd})+2^{32}\cdot \mathtt{spread}(R_1^{even})+2^{33}\cdot \mathtt{spread}(R_1^{odd})\end{array}$$ $$\begin{array}{rccccccccclcc}RHS=& 4^{30}\text{spread}(a(2))& +& 4^{20}\text{spread}(d(10))& +& 4^{17}\text{spread}(c(9{)}^{hi})& +& 4^{14}\text{spread}(c(9{)}^{mid})& +& 4^{11}\text{spread}(c(9{)}^{lo})& +& \text{spread}(b(11))& +\\ & 4^{21}\text{spread}(b(11))& +& 4^{19}\text{spread}(a(2))& +& 4^9\text{spread}(d(10))& +& 4^6\text{spread}(c(9{)}^{hi})& +& 4^3\text{spread}(c(9{)}^{mid})& +& \text{spread}(c(9{)}^{lo})& +\\ & 4^{29}\text{spread}(c(9{)}^{hi})& +& 4^{26}\text{spread}(c(9{)}^{mid})& +& 4^{23}\text{spread}(c(9{)}^{lo})& +& 4^{12}\text{spread}(b(11))& +& 4^{10}\text{spread}(a(2))& +& \text{spread}(d(10))& \end{array}$$

• 对 $a_0,a_1,a_2$ 做 $\mathtt{spread}$ 查表
• 对 $a(2)$ 做 2 比特范围检查和 2 比特展开检查
• 对 $c(9{)}^{lo},c(9{)}^{mid},c(9{)}^{hi}$ 做 3 比特范围检查和 3 比特展开检查

(参见辅助门(Helper gates)一节)

输出:${\Sigma }_0(A)=R^{even}=R_0^{even}+2^{16}{R}_1^{even}$

Σ_1 门

$E$ 是一个 32 比特字,被切分成 $(6,5,14,7)$ 比特的小块,从低端开始。我们分别把这些小块称为 $(a(6),b(5),c(14),d(7))$,并进一步把 $a(6)$ 切分成两个 3 比特小块 $a(6{)}^{lo},a(6{)}^{hi}$,把 $b$ 切分成 (2,3) 比特小块 $b(5{)}^{lo},b(5{)}^{hi}$。我们见证这些小块的展开版本。

$$\begin{array}{ccc}{\Sigma }_1(E)& =& (E⋙6)\oplus (E⋙11)\oplus (E⋙25)\\ & =& (E⋙6)\oplus (E⋙11)\oplus (E⋘7)\end{array}$$

约束:

• s_upp_sigma_1(${\Sigma }_1$ 约束):$LHS-RHS+tag+decompose=0$

$$\begin{array}{ccc}tag& =& a_0{\omega }^{-1}+constrai{n}_4(a_0\omega )\\ decompose& =& a(6{)}^{lo}+2^{3}a(6{)}^{hi}+2^{6}b(5{)}^{lo}+2^{8}b(5{)}^{hi}+2^{11}c(14)+2^{25}d(7)-E\\ LHS& =& \mathtt{spread}(R_0^{even})+2\cdot \mathtt{spread}(R_0^{odd})+2^{32}\cdot \mathtt{spread}(R_1^{even})+2^{33}\cdot \mathtt{spread}(R_1^{odd})\end{array}$$ $$\begin{array}{rccccccccclcc}RHS=& 4^{29}\text{spread}(a(6{)}^{hi})& +& 4^{26}\text{spread}(a(6{)}^{lo})& +& 4^{19}\text{spread}(d(7))& +& 4^5\text{spread}(c(14))& +& 4^2\text{spread}(b(5{)}^{hi})& +& \text{spread}(b(5{)}^{lo})& +\\ & 4^{29}\text{spread}(b(5{)}^{hi})& +& 4^{27}\text{spread}(b(5{)}^{lo})& +& 4^{24}\text{spread}(a(6{)}^{hi})& +& 4^{21}\text{spread}(a(6{)}^{lo})& +& 4^{14}\text{spread}(d(7))& +& \text{spread}(c(14))& +\\ & 4^{18}\text{spread}(c(14))& +& 4^{15}\text{spread}(b(5{)}^{hi})& +& 4^{13}\text{spread}(b(5{)}^{lo})& +& 4^{10}\text{spread}(a(6{)}^{hi})& +& 4^7\text{spread}(a(6{)}^{lo})& +& \text{spread}(d(7))& \end{array}$$

• 对 $a_0,a_1,a_2$ 做 $\mathtt{spread}$ 查表
• 对 $b(5{)}^{lo}$ 做 2 比特范围检查和 2 比特展开检查
• 对 $a(6{)}^{lo},a(6{)}^{hi},b(4{)}^{hi}$ 做 3 比特范围检查和 3 比特展开检查

(参见辅助门(Helper gates)一节)

输出:${\Sigma }_1(E)=R^{even}=R_0^{even}+2^{16}{R}_1^{even}$

σ_0 门

v1

${\sigma }_0$ 门的 v1 版本接收一个被切分成 $(3,4,11,14)$ 比特小块的字(已由消息调度约束)。我们分别把这些小块称为 $(a(3),b(4),c(11),d(14)).$ $b(4)$ 被进一步切分成两个 2 比特小块 $b(4{)}^{lo},b(4{)}^{hi}.$ 我们见证这些小块的展开版本。我们已经从消息调度得到了 $\text{spread}(c(11))$ 和 $\text{spread}(d(14))$。

$(X⋙7)\oplus (X⋙18)\oplus (X\gg 3)$ 等价于 $(X⋙7)\oplus (X⋘14)\oplus (X\gg 3)$。

约束:

• s_low_sigma_0(${\sigma }_0$ v1 约束):$LHS-RHS=0$

$$\begin{array}{ccc}LHS& =& \mathtt{spread}(R_0^{even})+2\cdot \mathtt{spread}(R_0^{odd})+2^{32}\cdot \mathtt{spread}(R_1^{even})+2^{33}\cdot \mathtt{spread}(R_1^{odd})\end{array}$$ $$\begin{array}{rcccccccclc}RHS=& & & 4^{15}d(14)& +& 4^{4}c(11)& +& 4^{2}b(4{)}^{hi}& +& b(4{)}^{lo}& +\\ & 4^{30}b(4{)}^{hi}& +& 4^{28}b(4{)}^{lo}& +& 4^{25}a(3)& +& 4^{11}d(14)& +& c(11)& +\\ & 4^{21}c(11)& +& 4^{19}b(4{)}^{hi}& +& 4^{17}b(4{)}^{lo}& +& 4^{14}a(3)& +& d(14)& \end{array}$$

• 检查 b 是否被正确地切分成 4 比特片的各子段。
  • $W^{b(4)lo}+2^2{W}^{b(4)hi}-W=0$
• 对 $b(4{)}^{lo},b(4{)}^{hi}$ 做 2 比特范围检查和 2 比特展开检查
• 对 $a(3)$ 做 3 比特范围检查和 3 比特展开检查

v2

${\sigma }_0$ 门的 v2 版本接收一个被切分成 $(3,4,3,7,1,1,13)$ 比特小块的字(已由消息调度约束)。我们分别把这些小块称为 $(a(3),b(4),c(3),d(7),e(1),f(1),g(13)).$ 我们已经从消息调度得到了 $\mathtt{spread}(d(7)),\mathtt{spread}(g(13))$。1 比特的 $e(1),f(1)$ 经展开运算后保持不变,可以直接使用。我们进一步把 $b(4)$ 切分成两个 2 比特小块 $b(4{)}^{lo},b(4{)}^{hi}.$ 我们见证这些小块的展开版本。

$(X⋙7)\oplus (X⋙18)\oplus (X\gg 3)$ 等价于 $(X⋙7)\oplus (X⋘14)\oplus (X\gg 3)$。

约束:

• s_low_sigma_0_v2(${\sigma }_0$ v2 约束):$LHS-RHS=0$

$$\begin{array}{ccc}LHS& =& \mathtt{spread}(R_0^{even})+2\cdot \mathtt{spread}(R_0^{odd})+2^{32}\cdot \mathtt{spread}(R_1^{even})+2^{33}\cdot \mathtt{spread}(R_1^{odd})\end{array}$$ $$\begin{array}{rccccccccccclcccc}RHS=& & & 4^{16}g(13)& +& 4^{15}f(1)& +& 4^{14}e(1)& +& 4^{7}d(7)& +& 4^{4}c(3)& +& 4^{2}b(4{)}^{hi}& +& b(4{)}^{lo}& +\\ & 4^{30}b(4{)}^{hi}& +& 4^{28}b(4{)}^{lo}& +& 4^{25}a(3)& +& 4^{12}g(13)& +& 4^{11}f(1)& +& 4^{10}e(1)& +& 4^{3}d(7)& +& c(3)& +\\ & 4^{31}e(1)& +& 4^{24}d(7)& +& 4^{21}c(3)& +& 4^{19}b(4{)}^{hi}& +& 4^{17}b(4{)}^{lo}& +& 4^{14}a(3)& +& 4^{1}g(13)& +& f(1)& \end{array}$$