zcash.github.io/halo2

译自 halo2 book：README.md

halo2

用法(Usage)

本仓库包含 halo2_proofs 和 halo2_gadgets 两个 crate，应直接使用它们。

最低支持的 Rust 版本(Minimum Supported Rust Version)

需要 Rust 1.60 或更高版本。

最低支持的 Rust 版本将来可能变更，但变更时会伴随一次次版本号(minor version)的提升。

控制并行(Controlling parallelism)

halo2 目前使用 rayon 进行并行计算。可以通过 RAYON_NUM_THREADS 环境变量来设置线程数。

你可以通过禁用 "multicore" 特性(feature)来禁用 rayon。警告！如果禁用 "multicore" 特性，Halo2 将无法使用并行能力。这会显著降低性能。

许可证(License)

按以下任一许可证授权

Apache License, Version 2.0, (LICENSE-APACHE 或 http://www.apache.org/licenses/LICENSE-2.0)
MIT license (LICENSE-MIT 或 http://opensource.org/licenses/MIT)

由你自行选择。

贡献(Contribution)

除非你明确另行声明，否则你有意提交以纳入本作品的任何贡献（按 Apache-2.0 许可证中的定义），都将如上所述进行双重许可，且不附加任何额外条款或条件。

译自 halo2 book：concepts.md

概念

我们首先介绍零知识证明系统(zero-knowledge proof system)背后的概念；Halo 2 所使用的算术化(arithmetization)（一种电路描述方式）；以及我们用来构建电路实现的各种抽象。

译自 halo2 book：concepts/proofs.md

证明系统

任何证明系统(proof system)的目标都是能够证明有意思的数学或密码学陈述(statement)。

通常，在一个给定的协议中，我们会想要证明一族陈述，这些陈述的区别在于它们的公开输入(public inputs)。证明者(prover)还需要表明他们知道某些使该陈述成立的私有输入(private inputs)。

为此，我们写下一个关系(relation) $R$ ，它指定了公开输入与私有输入的哪些组合是有效的。

上述术语意在与 ZKProof Community Reference 保持一致。

准确地说，我们应当区分关系 $R$ 与它在证明系统中所用的实现。我们称后者为电路(circuit)。

我们用来为特定证明系统表达电路的语言被称为算术化(arithmetization)。通常，一种算术化会以某个域(field)上变量的多项式约束(polynomial constraints)的形式来定义电路。

将某个特定关系表达为电路的这一_过程_有时也被称为“算术化”，但我们会避免这种用法。

为了创建对某个陈述的证明，证明者需要知道私有输入，以及电路所使用的中间值，这些中间值被称为***建议(advice)***值。

我们假设可以根据私有输入和公开输入高效地计算出建议值。具体的建议值取决于我们如何编写电路，而不仅仅取决于高层的陈述。

私有输入与建议值合起来被称为见证(witness)。

有些作者把“见证”仅仅当作私有输入的同义词。但在我们的用法中，见证包含建议值，即它包含证明者提供给电路的所有值。

例如，假设我们想要证明知道一个哈希函数 $H$ 对于摘要 $y$ 的某个原像(preimage) $x$ ：

私有输入是原像 $x$ 。
公开输入是摘要 $y$ 。
关系是 ${(x, y) : H (x) = y}$ 。
对于某个特定的公开输入 $Y$ ，陈述是： ${(x) : H (x) = Y}$ 。
建议值是实现该哈希函数的电路中的所有中间值。见证则是 $x$ 加上建议值。

非交互式论证(Non-interactive Argument)允许证明者(prover)为给定的陈述和见证创建一个证明(proof)。证明是一些数据，可用来使验证者(verifier)相信：_存在_一个见证使该陈述成立。使这类证明无法虚假地说服验证者的那条安全性质称为可靠性(soundness)。

非交互式知识论证(Non-interactive Argument of Knowledge)（NARK）进一步使验证者相信证明者_知道_一个使该陈述成立的见证。这条安全性质称为知识可靠性(knowledge soundness)，它蕴含可靠性。

在实践中，知识可靠性对密码学协议比可靠性更有用：例如，若我们关心 Alice 在某个协议中是否持有一个密钥，我们需要 Alice 证明_她知道_这个密钥，而不仅仅是它存在。

知识可靠性的形式化表述是：必须存在一个能够精确观察证明是如何生成的提取器(extractor)，它能够计算出见证。

鉴于证明可能是可塑的(malleable)，这条性质相当微妙。也就是说，依赖于具体的证明系统，可能可以在不知道见证的情况下，取一个已有的证明（或一组证明）并对其进行修改，从而产生一个针对相同或相关陈述的不同证明。使用可塑证明系统的更高层协议需要把这一点考虑进去。

即便没有可塑性，证明也可能被重放(replayed)。例如，在我们的例子中，我们不希望 Alice 能够出示由别人生成的证明，并使其被当作她知道该密钥的凭证。

如果一个证明除了表明见证存在且为证明者所知之外，不泄露关于见证的任何信息，那么我们就说该证明系统是***零知识(zero knowledge)***的。

如果一个证明系统产生简短的证明——即长度关于电路规模是多对数(polylogarithmic)的——那么我们就说它是简洁(succinct)的。简洁的 NARK 被称为SNARK（简洁非交互式知识论证(Succinct Non-Interactive Argument of Knowledge)）。

按照这个定义，SNARK 不一定要求验证时间关于电路规模是多对数的。有些论文用***高效(efficient)***一词来描述具有该性质的 SNARK，但我们会避免使用这个词，因为对于支持摊销式或递归式验证的 SNARK（后面会谈到），它含义不清。

zk-SNARK 是一种零知识的 SNARK。

译自 halo2 book：concepts/arithmetization.md

PLONKish 算术化

Halo 2 所使用的算术化(arithmetization)来自 PLONK，更确切地说是它的扩展 UltraPLONK，后者支持自定义门(custom gates)和查找论证(lookup arguments)。我们称之为 PLONKish。

PLONKish 电路是以一个值的矩形矩阵来定义的。我们用通常的含义来指代该矩阵的行(rows)、列(columns)和单元格(cells)。

一个 PLONKish 电路依赖于一个配置(configuration)：

一个有限域(finite field) $F$ ，其中单元格的值（对于给定的陈述和见证）将是 $F$ 中的元素。
矩阵中列的数量，以及对每一列的规约——它是固定(fixed)、***建议(advice)还是实例(instance)***列。固定列由电路固定；建议列对应见证值；实例列通常用于公开输入（从技术上讲，它们可用于证明者与验证者之间共享的任何元素）。
可以参与相等约束(equality constraints)的列的一个子集。
一个最大约束次数(maximum constraint degree)。
一系列多项式约束(polynomial constraints)。这些是 $F$ 上的多元多项式(multivariate polynomials)，它们对每一行都必须求值为零。多项式约束中的变量可以指代当前行某给定列中的一个单元格，或相对于当前行的另一行某给定列中的单元格（带回绕(wrap-around)，即对 $n$ 取模）。每个多项式的最大次数由最大约束次数给出。
一系列查找论证(lookup arguments)，它们定义在输入表达式(input expressions)（如上所述的多元多项式）和***表列(table columns)***的元组之上。

一个 PLONKish 电路还定义：

矩阵中的行数 $n$ 。 $n$ 必须对应于 $F^{\times}$ 的某个乘法子群(multiplicative subgroup)的大小；通常是 2 的幂。
一系列相等约束(equality constraints)，它们指定两个给定的单元格必须具有相等的值。
各行处固定列的值。

根据一个电路描述，我们可以生成一个证明密钥(proving key)和一个验证密钥(verification key)，它们是对该电路进行证明和验证操作所需要的。

注意，我们指定了列、多项式约束、查找论证和相等约束的顺序，尽管这些顺序并不影响电路的含义。这样做使得我们更容易将证明密钥和验证密钥的生成定义为一个确定性的过程。

通常，一个配置会定义一些多项式约束，这些约束由定义在固定列中的选择子(selectors)来开启和关闭。例如，约束 $q_{i} \cdot p (...) = 0$ 可以通过令 $q_{i} = 0$ 来对某个特定的行 $i$ 关闭。在这种情况下，我们有时会把一组由若干选择子列控制、被设计为一起使用的约束称为一个门(gate)。通常会有一个标准门(standard gate)，它支持诸如域乘法和域除法之类的通用操作，可能还会有支持更专门化操作的自定义门(custom gates)。

译自 halo2 book：concepts/chips.md

芯片

上一节给出了对电路相当底层的描述。在实现电路时，我们通常会使用一个更高层的 API，它旨在追求可审计性(auditability)、效率(efficiency)、模块化(modularity)和表达力(expressiveness)等理想特性。

这个 API 中使用的一些术语和概念取自与集成电路设计和布局的类比。正如对集成电路而言，通过组合那些为特定功能提供高效预制实现的芯片(chips)，上述理想特性更容易获得。

例如，我们可能会有实现特定密码学原语的芯片，比如哈希函数或密码(cipher)，或者诸如标量乘法(scalar multiplication)或配对(pairings)之类的算法。

在 PLONKish 电路中，仅凭做域乘法和域加法的标准门(standard gates)就可以搭建出任意的逻辑。然而，使用自定义门(custom gates)可以获得非常显著的效率提升。

利用我们的 API，我们定义那些“知道”如何使用特定自定义门集合的芯片。这创建了一个抽象层，将高层电路的实现与直接使用自定义门的复杂性隔离开来。

即便我们有时需要“身兼两职”，既实现一个高层电路，又实现它所使用的芯片，其用意在于：这种分离会带来更易于理解、审计、维护/复用的代码。部分原因在于，某些潜在的实现错误会由于这种构造方式而被排除掉。

PLONKish 电路中的门通过相对引用(relative references)来指代单元格，即指代某给定列、相对于门的选择子被设置的那一行处于某给定偏移的行中的单元格。当偏移非零时，我们称之为偏移引用(offset reference)（即偏移引用是相对引用的一个子集）。

相对引用与相等约束中使用的***绝对引用(absolute references)***形成对比，绝对引用可以指向任意单元格。

引入偏移引用的动机是减少配置中所需列的数量，从而减小证明大小。如果我们没有偏移引用，那么我们就需要一列来保存自定义门所引用的每一个值，并且需要使用相等约束把电路中其他单元格的值复制到该列中。有了偏移引用，我们不仅需要更少的列；而且也不需要对所有这些列都支持相等约束，这提升了效率。

在 R1CS（另一种算术化，某些读者可能更熟悉它，不熟悉也没关系）中，一个电路由一片“门之海(sea of gates)”构成，它们没有语义上有意义的顺序。而由于偏移引用，PLONKish 电路中行的顺序是有意义的。我们将做一些简化假设并定义一些抽象，以驯服由此产生的复杂性：目标是，在小工具层级(gadget level)——即我们进行大部分电路构造的地方——我们将不必显式地处理相对引用或门的布局。

我们会把一个电路划分为若干区域(regions)，每个区域包含一个互不相交的单元格子集，并且相对引用永远只指向某个区域内部。芯片实现的部分职责就是确保进行偏移引用的门被布局在某个区域内的正确位置上。

给定各区域及其***形状(shapes)的集合，我们将使用一个独立的布局规划器(floor planner)***来决定每个区域被放置在何处（即放在哪一行作为起始行）。有一个默认的布局规划器，它实现了一个非常通用的算法，但如果需要，你也可以编写自己的布局规划器。

布局规划一般会在矩阵中留下空隙，因为某给定行中的门并没有用到所有可用的列。这些空隙会——尽可能地——由那些不需要偏移引用的门来填补，这些门可以被放置在任意行上。

芯片也可以定义查找表(lookup tables)。如果对同一个查找论证定义了不止一个表，我们可以使用一个***标签列(tag column)***来指定每一行使用哪个表。也可以在若干个表的并集中执行查找（受多项式次数上界的限制）。

组合芯片

为了组合来自若干芯片的功能，我们把它们组合成一棵树。顶层芯片定义一组固定列、建议列和实例列，然后指定这些列应如何在更底层的芯片之间分配。

在最简单的情形下，每个更底层的芯片将使用与其他芯片互不相交的列。然而，也允许在芯片之间共享某一列。尤其重要的是要优化建议列的数量，因为它会影响证明大小。

其结果（可能在优化之后）是一个 PLONKish 配置。我们的电路实现将以一个芯片作为参数，并且可以通过顶层芯片使用所支持的更底层芯片的任何特性。

我们的期望是，不那么专业的用户通常能够找到一个已有的、支持其所需操作的芯片，或者只需对已有芯片做些微小修改。专家用户则将拥有完全的控制权，去做那种 ECC 公司以之闻名的电路优化 🙂。

译自 halo2 book：concepts/gadgets.md

小工具

在实现一个电路时，我们本可以直接使用我们所选芯片(chips)的特性。不过，通常我们会通过***小工具(gadgets)***来使用它们。这种间接层是有用的，因为出于效率原因以及 PLONKish 电路所施加的限制，芯片接口往往会依赖于底层的实现细节。小工具接口可以提供一个更便利、更稳定的 API，把那些无关紧要的细节抽象掉。

例如，考虑一个像 SHA-256 这样的哈希函数。一个支持 SHA-256 的芯片的接口可能依赖于该哈希函数设计的内部细节，比如消息调度(message schedule)与压缩函数(compression function)之间的划分。相应的小工具接口可以提供一个更便利、更熟悉的 update/finalize API，并且还可以处理哈希函数中不需要芯片支持的部分，比如填充(padding)。这类似于 CPU 上密码学原语的加速指令通常是通过软件库来访问，而不是直接访问。

小工具还可以为更高层级的电路编程提供模块化、可复用的抽象，类似于它们在 libsnark 和 bellman 等库中的用法。除了抽象函数之外，它们还可以抽象类型，比如椭圆曲线点(elliptic curve points)或特定大小的整数。

译自 halo2 book：user.md

用户文档

你来这里大概是想写电路(circuit)吧？太好了！

本节将引导你完成用 halo2 创建电路的整个流程。

译自 halo2 book：user/dev-tools.md

开发者工具

halo2 crate 包含若干实用工具，帮助你设计和实现电路(circuit)。

模拟证明器(Mock prover)

halo2_proofs::dev::MockProver 是一个用于调试电路的工具，也可以在单元测试中以很低的成本验证电路的正确性。电路的私有输入和公开输入按照通常生成证明(proof)的方式构造，但 MockProver::run 不会真的生成证明，而是创建一个对象来直接测试电路中的每一条约束(constraint)。它会返回细粒度的错误消息，指出具体是哪一条约束（如果有的话）未被满足。

电路可视化

dev-graph 特性标志(feature flag)暴露了若干辅助方法，用于创建电路的图形化表示。

在 Debian 系统上，你需要安装以下额外的软件包：

sudo apt install cmake libexpat1-dev libfreetype6-dev libcairo2-dev

电路布局(Circuit layout)

halo2_proofs::dev::CircuitLayout 将电路布局渲染为一张网格：

fn main() {
    // Prepare the circuit you want to render.
    // You don't need to include any witness variables.
    let a = Fp::random(OsRng);
    let instance = Fp::ONE + Fp::ONE;
    let lookup_table = vec![instance, a, a, Fp::zero()];
    let circuit: MyCircuit<Fp> = MyCircuit {
        a: Value::unknown(),
        lookup_table,
    };

    // Create the area you want to draw on.
    // Use SVGBackend if you want to render to .svg instead.
    use plotters::prelude::*;
    let root = BitMapBackend::new("layout.png", (1024, 768)).into_drawing_area();
    root.fill(&WHITE).unwrap();
    let root = root
        .titled("Example Circuit Layout", ("sans-serif", 60))
        .unwrap();

    halo2_proofs::dev::CircuitLayout::default()
        // You can optionally render only a section of the circuit.
        .view_width(0..2)
        .view_height(0..16)
        // You can hide labels, which can be useful with smaller areas.
        .show_labels(false)
        // Render the circuit onto your area!
        // The first argument is the size parameter for the circuit.
        .render(5, &circuit, &root)
        .unwrap();
}

列(column)从左到右依次排布为 instance、advice 和 fixed。除此之外，列的顺序没有特定含义。
- Instance 列采用白色背景。
- Advice 列采用红色背景。
- Fixed 列采用蓝色背景。
区域(region)显示为带标签的绿色方框（叠加在背景色之上）。如果某个区域的部分列恰好不相邻，它可能会显示为多个方框。
被电路赋值过的单元格(cell)会被涂成灰色。如果某些单元格被赋值了不止一次（这通常是个错误），它们会被涂得比周围的单元格更深。

电路结构

halo2_proofs::dev::circuit_dot_graph 会构建一个表示给定电路的 DOT 图字符串，然后可以用各种布局程序来渲染它。该图是根据电路内部以及它所使用的小工具(gadget)和芯片(chip)内部对 Layouter::namespace 的调用构建的。

fn main() {
    // Prepare the circuit you want to render.
    // You don't need to include any witness variables.
    let a = Fp::rand();
    let instance = Fp::one() + Fp::one();
    let lookup_table = vec![instance, a, a, Fp::zero()];
    let circuit: MyCircuit<Fp> = MyCircuit {
        a: None,
        lookup_table,
    };

    // Generate the DOT graph string.
    let dot_string = halo2_proofs::dev::circuit_dot_graph(&circuit);

    // Now you can either handle it in Rust, or just
    // print it out to use with command-line tools.
    print!("{}", dot_string);
}

成本估算器(Cost estimator)

cost-model 二进制程序接收电路设计的高层参数，并估算验证成本以及最终的证明大小。

Usage: cargo run --example cost-model -- [OPTIONS] k

Positional arguments:
  k                       2^K bound on the number of rows.

Optional arguments:
  -h, --help              Print this message.
  -a, --advice R[,R..]    An advice column with the given rotations. May be repeated.
  -i, --instance R[,R..]  An instance column with the given rotations. May be repeated.
  -f, --fixed R[,R..]     A fixed column with the given rotations. May be repeated.
  -g, --gate-degree D     Maximum degree of the custom gates.
  -l, --lookup N,I,T      A lookup over N columns with max input degree I and max table degree T. May be repeated.
  -p, --permutation N     A permutation over N columns. May be repeated.

例如，要估算一个具有三个 advice 列和一个 fixed 列（带各种旋转(rotation)）、且自定义门(custom gate)最大次数(degree)为 4 的电路的成本：

> cargo run --example cost-model -- -a 0,1 -a 0 -a-0,-1,1 -f 0 -g 4 11
    Finished dev [unoptimized + debuginfo] target(s) in 0.03s
     Running `target/debug/examples/cost-model -a 0,1 -a 0 -a 0,-1,1 -f 0 -g 4 11`
Circuit {
    k: 11,
    max_deg: 4,
    advice_columns: 3,
    lookups: 0,
    permutations: [],
    column_queries: 7,
    point_sets: 3,
    estimator: Estimator,
}
Proof size: 1440 bytes
Verification: at least 81.689ms

译自 halo2 book：user/simple-example.md

一个简单的示例

让我们从一个简单的电路(circuit)开始，向你介绍常用的 API 及其使用方式。这个电路将接收一个公开输入 $c$ ，并证明它知道两个满足如下关系的私有输入 $a$ 和 $b$

$a^{2} \cdot b^{2} \cdot constant = c,$

其中 $constant$ 是一个固定的数（域元素），例如 $constant = 7.$

定义指令(instructions)

首先，我们需要定义电路所依赖的指令(instruction)。指令是高层小工具(gadget)与底层电路操作之间的边界。指令可以是粗粒度的，也可以是细粒度的，但在实践中你需要在两者之间取得平衡：指令要足够大，以便能有效地优化其实现；同时又要足够小，以便有意义地被复用。

对于我们的电路，我们将使用三个指令：

将一个私有数值加载到电路中。
将两个数相乘。
将一个数作为公开输入暴露给电路。

我们还需要一个类型来表示一个数的变量。指令接口为它们的输入和输出提供了关联类型(associated type)，使得各种实现可以以最符合其优化目标的方式来表示这些类型。

trait NumericInstructions<F: Field>: Chip<F> {
    /// Variable representing a number.
    type Num;

    /// Loads a number into the circuit as a private input.
    fn load_private(&self, layouter: impl Layouter<F>, a: Value<F>) -> Result<Self::Num, Error>;

    /// Loads a number into the circuit as a fixed constant.
    fn load_constant(&self, layouter: impl Layouter<F>, constant: F) -> Result<Self::Num, Error>;

    /// Returns `c = a * b`.
    fn mul(
        &self,
        layouter: impl Layouter<F>,
        a: Self::Num,
        b: Self::Num,
    ) -> Result<Self::Num, Error>;

    /// Exposes a number as a public input to the circuit.
    fn expose_public(
        &self,
        layouter: impl Layouter<F>,
        num: Self::Num,
        row: usize,
    ) -> Result<(), Error>;
}

定义芯片(chip)实现

对于我们的电路，我们将构建一个芯片(chip)，为有限域提供上述数值指令。

/// The chip that will implement our instructions! Chips store their own
/// config, as well as type markers if necessary.
struct FieldChip<F: Field> {
    config: FieldConfig,
    _marker: PhantomData<F>,
}

每个芯片都需要实现 Chip trait。它定义了芯片的属性，布局器(Layouter)在综合(synthesize)电路时可以依赖这些属性，同时也使得芯片所需的任何初始状态能够被加载到电路中。

impl<F: Field> Chip<F> for FieldChip<F> {
    type Config = FieldConfig;
    type Loaded = ();

    fn config(&self) -> &Self::Config {
        &self.config
    }

    fn loaded(&self) -> &Self::Loaded {
        &()
    }
}

配置芯片

芯片需要配置好列(column)、置换(permutation)和门(gate)，这些是实现所有所需指令所必需的。

/// Chip state is stored in a config struct. This is generated by the chip
/// during configuration, and then stored inside the chip.
#[derive(Clone, Debug)]
struct FieldConfig {
    /// For this chip, we will use two advice columns to implement our instructions.
    /// These are also the columns through which we communicate with other parts of
    /// the circuit.
    advice: [Column<Advice>; 2],

    /// This is the public input (instance) column.
    instance: Column<Instance>,

    // We need a selector to enable the multiplication gate, so that we aren't placing
    // any constraints on cells where `NumericInstructions::mul` is not being used.
    // This is important when building larger circuits, where columns are used by
    // multiple sets of instructions.
    s_mul: Selector,
}

impl<F: Field> FieldChip<F> {
    fn construct(config: <Self as Chip<F>>::Config) -> Self {
        Self {
            config,
            _marker: PhantomData,
        }
    }

    fn configure(
        meta: &mut ConstraintSystem<F>,
        advice: [Column<Advice>; 2],
        instance: Column<Instance>,
        constant: Column<Fixed>,
    ) -> <Self as Chip<F>>::Config {
        meta.enable_equality(instance);
        meta.enable_constant(constant);
        for column in &advice {
            meta.enable_equality(*column);
        }
        let s_mul = meta.selector();

        // Define our multiplication gate!
        meta.create_gate("mul", |meta| {
            // To implement multiplication, we need three advice cells and a selector
            // cell. We arrange them like so:
            //
            // | a0  | a1  | s_mul |
            // |-----|-----|-------|
            // | lhs | rhs | s_mul |
            // | out |     |       |
            //
            // Gates may refer to any relative offsets we want, but each distinct
            // offset adds a cost to the proof. The most common offsets are 0 (the
            // current row), 1 (the next row), and -1 (the previous row), for which
            // `Rotation` has specific constructors.
            let lhs = meta.query_advice(advice[0], Rotation::cur());
            let rhs = meta.query_advice(advice[1], Rotation::cur());
            let out = meta.query_advice(advice[0], Rotation::next());
            let s_mul = meta.query_selector(s_mul);

            // Finally, we return the polynomial expressions that constrain this gate.
            // For our multiplication gate, we only need a single polynomial constraint.
            //
            // The polynomial expressions returned from `create_gate` will be
            // constrained by the proving system to equal zero. Our expression
            // has the following properties:
            // - When s_mul = 0, any value is allowed in lhs, rhs, and out.
            // - When s_mul != 0, this constrains lhs * rhs = out.
            vec![s_mul * (lhs * rhs - out)]
        });

        FieldConfig {
            advice,
            instance,
            s_mul,
        }
    }
}

实现芯片 trait

/// A variable representing a number.
#[derive(Clone)]
struct Number<F: Field>(AssignedCell<F, F>);

impl<F: Field> NumericInstructions<F> for FieldChip<F> {
    type Num = Number<F>;

    fn load_private(
        &self,
        mut layouter: impl Layouter<F>,
        value: Value<F>,
    ) -> Result<Self::Num, Error> {
        let config = self.config();

        layouter.assign_region(
            || "load private",
            |mut region| {
                region
                    .assign_advice(|| "private input", config.advice[0], 0, || value)
                    .map(Number)
            },
        )
    }

    fn load_constant(
        &self,
        mut layouter: impl Layouter<F>,
        constant: F,
    ) -> Result<Self::Num, Error> {
        let config = self.config();

        layouter.assign_region(
            || "load constant",
            |mut region| {
                region
                    .assign_advice_from_constant(|| "constant value", config.advice[0], 0, constant)
                    .map(Number)
            },
        )
    }

    fn mul(
        &self,
        mut layouter: impl Layouter<F>,
        a: Self::Num,
        b: Self::Num,
    ) -> Result<Self::Num, Error> {
        let config = self.config();

        layouter.assign_region(
            || "mul",
            |mut region: Region<'_, F>| {
                // We only want to use a single multiplication gate in this region,
                // so we enable it at region offset 0; this means it will constrain
                // cells at offsets 0 and 1.
                config.s_mul.enable(&mut region, 0)?;

                // The inputs we've been given could be located anywhere in the circuit,
                // but we can only rely on relative offsets inside this region. So we
                // assign new cells inside the region and constrain them to have the
                // same values as the inputs.
                a.0.copy_advice(|| "lhs", &mut region, config.advice[0], 0)?;
                b.0.copy_advice(|| "rhs", &mut region, config.advice[1], 0)?;

                // Now we can assign the multiplication result, which is to be assigned
                // into the output position.
                let value = a.0.value().copied() * b.0.value();

                // Finally, we do the assignment to the output, returning a
                // variable to be used in another part of the circuit.
                region
                    .assign_advice(|| "lhs * rhs", config.advice[0], 1, || value)
                    .map(Number)
            },
        )
    }

    fn expose_public(
        &self,
        mut layouter: impl Layouter<F>,
        num: Self::Num,
        row: usize,
    ) -> Result<(), Error> {
        let config = self.config();

        layouter.constrain_instance(num.0.cell(), config.instance, row)
    }
}

构建电路

现在我们已经有了所需的指令，以及一个实现了这些指令的芯片，终于可以构建我们的电路了！

/// The full circuit implementation.
///
/// In this struct we store the private input variables. We use `Option<F>` because
/// they won't have any value during key generation. During proving, if any of these
/// were `None` we would get an error.
#[derive(Default)]
struct MyCircuit<F: Field> {
    constant: F,
    a: Value<F>,
    b: Value<F>,
}

impl<F: Field> Circuit<F> for MyCircuit<F> {
    // Since we are using a single chip for everything, we can just reuse its config.
    type Config = FieldConfig;
    type FloorPlanner = SimpleFloorPlanner;

    fn without_witnesses(&self) -> Self {
        Self::default()
    }

    fn configure(meta: &mut ConstraintSystem<F>) -> Self::Config {
        // We create the two advice columns that FieldChip uses for I/O.
        let advice = [meta.advice_column(), meta.advice_column()];

        // We also need an instance column to store public inputs.
        let instance = meta.instance_column();

        // Create a fixed column to load constants.
        let constant = meta.fixed_column();

        FieldChip::configure(meta, advice, instance, constant)
    }

    fn synthesize(
        &self,
        config: Self::Config,
        mut layouter: impl Layouter<F>,
    ) -> Result<(), Error> {
        let field_chip = FieldChip::<F>::construct(config);

        // Load our private values into the circuit.
        let a = field_chip.load_private(layouter.namespace(|| "load a"), self.a)?;
        let b = field_chip.load_private(layouter.namespace(|| "load b"), self.b)?;

        // Load the constant factor into the circuit.
        let constant =
            field_chip.load_constant(layouter.namespace(|| "load constant"), self.constant)?;

        // We only have access to plain multiplication.
        // We could implement our circuit as:
        //     asq  = a*a
        //     bsq  = b*b
        //     absq = asq*bsq
        //     c    = constant*asq*bsq
        //
        // but it's more efficient to implement it as:
        //     ab   = a*b
        //     absq = ab^2
        //     c    = constant*absq
        let ab = field_chip.mul(layouter.namespace(|| "a * b"), a, b)?;
        let absq = field_chip.mul(layouter.namespace(|| "ab * ab"), ab.clone(), ab)?;
        let c = field_chip.mul(layouter.namespace(|| "constant * absq"), constant, absq)?;

        // Expose the result as a public input to the circuit.
        field_chip.expose_public(layouter.namespace(|| "expose c"), c, 0)
    }
}

测试电路

halo2_proofs::dev::MockProver 可用于测试电路是否正确工作。电路的私有输入和公开输入按照我们生成证明时的方式构造，但通过把它们传给 MockProver::run，我们会得到一个对象，它可以测试电路中的每一条约束(constraint)，并准确告诉我们哪里出了问题（如果有的话）。

    // The number of rows in our circuit cannot exceed 2^k. Since our example
    // circuit is very small, we can pick a very small value here.
    let k = 4;

    // Prepare the private and public inputs to the circuit!
    let constant = Fp::from(7);
    let a = Fp::from(2);
    let b = Fp::from(3);
    let c = constant * a.square() * b.square();

    // Instantiate the circuit with the private inputs.
    let circuit = MyCircuit {
        constant,
        a: Value::known(a),
        b: Value::known(b),
    };

    // Arrange the public input. We expose the multiplication result in row 0
    // of the instance column, so we position it there in our public inputs.
    let mut public_inputs = vec![c];

    // Given the correct public input, our circuit will verify.
    let prover = MockProver::run(k, &circuit, vec![public_inputs.clone()]).unwrap();
    assert_eq!(prover.verify(), Ok(()));

    // If we try some other public input, the proof will fail!
    public_inputs[0] += Fp::one();
    let prover = MockProver::run(k, &circuit, vec![public_inputs]).unwrap();
    assert!(prover.verify().is_err());

完整示例

你可以在这里找到本示例的源代码。

译自 halo2 book：user/lookup-tables.md

查表(lookup tables)

在普通程序中，你可以通过预计算并存储某部分计算的查表(lookup table)，用内存换取 CPU 来提升性能。在 halo2 电路(circuit)中我们也可以做同样的事情！

可以把查表理解为在变量之间强制实施一种关系(relation)，这种关系以表的形式表达。假设我们的约束系统(constraint system)中只有一个查表论证(lookup argument)，那么表的总大小受电路大小的限制：每一个表项占用一行，而每一次查表(lookup)也要占用一行。

TODO

译自 halo2 book：user/gadgets.md

小工具(Gadgets)

译自 halo2 book：user/tips-and-tricks.md

技巧与窍门

本节包含各种你在编写 halo2 电路(circuit)时可能会觉得有用的想法和代码片段。

小范围约束

R1CS 电路中常用的一种约束是布尔约束(boolean constraint)： $b * (1 - b) = 0$ 。这个约束只能被 $b = 0$ 或 $b = 1$ 满足。

在 halo2 电路中，你可以用类似的方式约束某个单元格(cell)取一小组值中的某一个。例如，要把 $a$ 约束到范围 $[0..5]$ ，你可以创建如下形式的门(gate)：

$a \cdot (1 - a) \cdot (2 - a) \cdot (3 - a) \cdot (4 - a) = 0$

而要把 $c$ 约束为 7 或 13，你可以使用：

$(7 - c) \cdot (13 - c) = 0$

这里的底层原理是：我们构造一个多项式约束(polynomial constraint)，让它在我们想要允许的那组可能取值中的每一个值处都有一个根。在 R1CS 电路中，所支持的多项式最大次数(degree)为 2（因为所有约束都是 $a * b = c$ 的形式）。在 halo2 电路中，你可以使用任意次数的多项式——但前提是，次数越高的约束使用起来成本越高。

注意，这些根不必是常数；例如 $(a - x) \cdot (a - y) \cdot (a - z) = 0$ 会把 $a$ 约束为等于 ${x, y, z}$ 中的某一个，其中后者可以是任意多项式，只要整个表达式保持在最大次数界限之内即可。

小集合插值

我们可以使用拉格朗日插值(Lagrange interpolation)构造一个多项式约束，对于小集合 $X \in {x_{i}}, Y \in {y_{i}}$ 实现映射 $f (X) = Y$ 。

例如，假设我们想把一个 2 比特的值映射到一个与零交错排列的"展开(spread)"版本。我们首先预计算每个点处的取值：

$00 \to 0000 01 \to 0001 10 \to 0100 11 \to 0101 ⟹ ⟹ ⟹ ⟹ 0 \to 0 1 \to 1 2 \to 4 3 \to 5$

然后，我们使用如下恒等式为每个点构造拉格朗日基多项式(Lagrange basis polynomial)： $l_{j} (X) = 0 \leq m < k, m \neq = j \prod \frac{x - x _{m}}{x _{j} - x _{m}},$ 其中 $k$ 是数据点的个数。（在上面的例子中 $k = 4$ 。）

回顾一下，拉格朗日基多项式 $l_{j} (X)$ 在 $X = x_{j}$ 处取值为 $1$ ，在所有其他 $x_{i}, j \neq = i$ 处取值为 $0$ 。

继续我们的例子，我们得到四个拉格朗日基多项式：

$l_{0} (X) l_{1} (X) l_{2} (X) l_{3} (X) = = = = \frac{( X - 3 ) ( X - 2 ) ( X - 1 )}{( - 3 ) ( - 2 ) ( - 1 )} \frac{( X - 3 ) ( X - 2 ) ( X )}{( - 2 ) ( - 1 ) ( 1 )} \frac{( X - 3 ) ( X - 1 ) ( X )}{( - 1 ) ( 1 ) ( 2 )} \frac{( X - 2 ) ( X - 1 ) ( X )}{( 1 ) ( 2 ) ( 3 )}$

于是我们的多项式约束为

$⟹ f (0) \cdot l_{0} (X) 0 \cdot l_{0} (X) + + f (1) \cdot l_{1} (X) 1 \cdot l_{1} (X) + + f (2) \cdot l_{2} (X) 4 \cdot l_{2} (X) + + f (3) \cdot l_{3} (X) 5 \cdot l_{3} (X) - - f (X) f (X) = = 0 0.$

译自 halo2 book：user/wasm-port.md

在 WASM 中使用 halo2

由于 halo2 是用 Rust 编写的，你可以把它编译成 WebAssembly (wasm)，这样你就能在浏览器应用中为你的电路(circuit)使用证明器(prover)和验证器(verifier)了。本教程会带你了解将电路编译成 wasm 所需的全部知识。

在整个教程中，我们会参考 Zordle 的代码仓库作为示例，它是已知最早一批基于 Halo 2 电路的 webapp 之一。Zordle 是 ZK 版的 Wordle，其电路把玩家输入的单词以及玩家的分享格子（灰色、黄色和绿色方块）作为 advice 值，并验证它们是否正确匹配。因此，该证明(proof)验证了玩家知道输出分享表的一个"原像(preimage)"，之后仅凭这份 ZK 证明就可以完成验证。

电路代码设置

第一步是在 Rust 中创建与浏览器应用对接的函数。对于证明器，这通常会输入某种形式的 advice 和 instance 数据，用它生成完整的见证(witness)，然后输出一份证明。对于验证器，这通常会输入一份证明和某种形式的 instance，然后输出一个布尔值，表示该证明是否验证通过。

在 Zordle 的例子里，这部分代码位于 wasm.rs，由两个主要函数组成：

证明器(Prover)

#[wasm_bindgen]
pub async fn prove_play(final_word: String, words_js: JsValue, params_ser: JsValue) -> JsValue {
  // Steps:
  // - Deserialise function parameters
  // - Generate the instance and advice columns using the words
  // - Instantiate the circuit and generate the witness
  // - Generate the proving key from the params
  // - Create a proof
}

虽然具体的输入及其序列化方式取决于你的电路和 webapp 设置，但了解 Zordle 这个特定场景下的格式还是有用的，因为你的使用场景很可能与之类似：

这个函数把用户想要凑出的 final_word，以及他们尝试使用的单词（以 words_js 的形式）作为输入。它还把电路的参数作为输入，这些参数序列化在 params_ser 中。我们将在下面的 Params 小节中展开说明。

注意，函数参数是以与 wasm_bindgen 兼容的格式传入的：String 和 JsValue。JsValue 类型来自 Serde 库。你可以在这里的文档中找到关于这个类型及其用法的更多细节。

输出是一个用 Serde 转换成 JSValue 的 Vec<u8>。之后它会作为输入传给验证器函数。

验证器(Verifier)

#[wasm_bindgen]
pub fn verify_play(final_word: String, proof_js: JsValue, diffs_u64_js: JsValue, params_ser: JsValue) -> bool {
  // Steps:
  // - Deserialise function parameters
  // - Generate the instance columns using the diffs representation of the columns
  // - Generate the verifying key using the params
  // - Verify the proof
}

与证明器类似，我们接收输入并输出一个布尔值 true/false，表示证明的正确性。diffs_u64_js 对象是一个二维 JS 数组，由每个单元格(cell)的值组成，这些值指示颜色：灰色、黄色或绿色。它们被用来组装电路的 instance 列。

参数(Params)

此外，证明器和验证器函数都会输入 params_ser，这是多项式承诺方案(polynomial commitment scheme)的公开参数的序列化形式。作为一种性能优化，这些参数是作为输入传入的（而不是在 prove/verify 函数中重新生成），因为它们仅根据电路的 K 值确定，是常量。我们可以把它们单独存放在一个静态 web 服务器上，然后作为输入传给 WASM。要生成这些参数的二进制序列化形式（在 WASM 函数之外单独生成），你可以运行类似下面的代码：

fn write_params(K: u32) {
    let mut params_file = File::create("params.bin").unwrap();
    let params: Params<EqAffine> = Params::new(K);
    params.write(&mut params_file).unwrap();
}

之后，我们可以在 JavaScript 中从 web 服务器以 Uint8Array 这种字节序列化的格式读取 params.bin 文件，并把它作为 params_ser 传给 WASM，再在 Rust 中使用 js_sys 库进行反序列化。

理想情况下，将来我们应该能够不必序列化这些参数，而是直接序列化并使用电路的证明密钥(proving key)和验证密钥(verifying key)，但目前该库尚不支持这一点，相关追踪见 issue #449 和 #443。

Rust 与 WASM 环境设置

通常，Rust 代码会用 wasm-pack 工具编译成 WASM，只需改改一些构建命令即可，非常简单。然而，对于 halo2 的证明器/验证器函数，我们需要对构建过程做一些额外的改动。具体来说，主要有两处改动：

并行(Parallelism)：halo2 使用 rayon 库来实现并行，而 WASM 并不直接支持它。不过，Chrome 团队提供了一个适配器，可以在浏览器中使用 Web Workers 实现类 rayon 的并行：wasm-bindgen-rayon。我们将用它在 WASM 证明器/验证器中启用并行。
WASM 最大内存：wasm-bindgen 下 WASM 的默认内存上限被设为 2GB，这不足以为大型电路（K 大于 10 左右）运行 halo2 证明器。我们需要把这个上限提高到 WASM 允许的最大值（4GB！），以支持更大的电路（直到 K = 15 左右）。

首先，把你的 WASM 对接函数所特有的所有依赖添加到 Cargo.toml 文件中。你可以通过 WASM 目标特性标志(target feature flag)把这些依赖限定在 WASM 编译范围内。在 Zordle 的例子中，它看起来是这样的：

[target.'cfg(target_family = "wasm")'.dependencies]
getrandom = { version = "0.2", features = ["js"]}
wasm-bindgen = { version = "0.2.81", features = ["serde-serialize"]}
console_error_panic_hook = "0.1.7"
rayon = "1.5"
wasm-bindgen-rayon = { version = "1.0"}
web-sys = { version = "0.3", features = ["Request", "Window", "Response"] }
wasm-bindgen-futures = "0.4"
js-sys = "0.3"

接下来，让我们把 wasm-bindgen-rayon 集成到代码中。该库的 README 很好地概述了如何做到这一点。特别要注意对 Rust 编译流程的改动。你需要切换到 nightly 版本的 Rust，并启用对 WASM atomics 的支持。此外，记得在 Rust 代码中导出 init_thread_pool。

接下来，我们要把 wasm-pack 默认的 2GB 最大内存上限提上去。为此，在 .cargo/config 文件中为 wasm 目标添加 Rust 标志 "-C", "link-arg=--max-memory=4294967296"。完成 wasm-bindgen-rayon 的设置并提高内存上限后，.cargo/config 文件现在应该是这样的：

[target.wasm32-unknown-unknown]
rustflags = ["-C", "target-feature=+atomics,+bulk-memory,+mutable-globals", "-C", "link-arg=--max-memory=4294967296"]
...

特别感谢 @mattgibb，他在一个不起眼的 GitHub issue 里记录了这个晦涩的、用于提高最大内存的改动。¹

现在 Rust 这边已经设置好了，你应该可以直接用 wasm-pack build --target web --out-dir pkg 构建出一个 WASM 包，并在你的 webapp 中使用输出的 WASM 包了。

Webapp 设置

Zordle 附带了一个极简的 React 测试客户端作为示例（它只是在默认的 create-react-app 模板上加入了 WASM 支持）。你可以在这里找到这个测试客户端的代码。我建议你为自己的应用 fork 这个测试客户端，并以此为起点开始开发。

该测试客户端包含一个干净的 WebWorker，用于与 Rust WASM 包对接。把对接逻辑放进 WebWorker 中可以避免阻塞浏览器主线程，并为 React/应用逻辑提供一个干净的接口。查看 halo-worker.ts 了解 WebWorker 代码，并在 App.tsx 中看看如何从 React 与该 web worker 对接。

如果到目前为止你都做对了，那么你现在应该可以在浏览器中生成并验证证明了！在 Zordle 的例子里，一个 K = 14 的电路在我的笔记本上生成证明大约需要一分钟左右。在生成证明期间，如果你打开 Chrome/Firefox 的任务管理器，应该还能看到类似下面的画面：

Example halo2 proof generation in-browser

Zordle 及其 test-client 默认把并行度设置为机器上可用的核心数。如果你想减少它，可以通过修改 initThreadPool 的参数来实现。

如果你更愿意使用自己的 Worker/React 设置，那么获取并序列化参数、证明以及其他 instance 和 advice 值的代码可能仍然值得一看！

Safari

注意，wasm-bindgen-rayon 库不被 Safari 支持，因为它会从一个 Web Worker 内部再派生(spawn)出新的 Web Workers。根据相关的 Webkit issue，对该特性的支持已于 2022 年 11 月进入 Safari Technology Preview，而且 Safari Technology Preview Release 155 的发行说明确实声称已支持，所以如果这一点对你很重要，值得去确认它是否已经进入正式版 Safari。

调试

你常常会遇到 Rust 代码出问题，看到 WASM 执行时报错 Uncaught (in promise) RuntimeError: unreachable，这是一个对调试完全没有帮助的错误。这是因为代码是以 release 模式编译的，作为性能优化它去掉了错误消息。要调试，你可以用 wasm-pack build 加上 --dev 标志，以 debug 模式构建 WASM 包。这会以 debug 模式构建，会显著拖慢执行速度，但能让你在浏览器控制台中看到任何运行时错误消息。此外，你可以安装 console_error_panic_hook crate（Zordle 就是这么做的），以便在发生运行时 panic 时也能得到有用的调试消息。

致谢

本指南由 Nalin 编写。另外感谢 Uma 和 Blaine 在弄清这些步骤上所做的大量工作。如果你在任何步骤上遇到困难，欢迎随时联系我。

题外话，但让我相当惊讶的是，WASM 有一个 4GB 内存的硬性上限。这是因为 WASM 目前是 32 位架构，对于这样一门崭新的、面向未来的汇编语言来说，这一点让我颇为意外。不过，确实有一些公开的提案，主张把 WASM 迁移到更大的地址空间。 ↩

译自 halo2 book：dev.md

开发者文档(Developer Documentation)

你想为 Halo 2 的各个 crate 做贡献？太棒了！

本节介绍我们的开发流程与审查标准的相关信息，以及在维护和扩展代码库时有用的一些技巧。

译自 halo2 book：dev/features.md

特性开发(Feature development)

有时特性开发(feature development)需要随时间不断迭代某个设计。尽早在下游(downstream) crate 中开始使用某个特性，对积累 API 与功能上的使用经验很有帮助，而这些经验又能在特性稳定化之前反馈到它的设计中。为实现这一点，我们采用一种受 Rust 编译器启发（但并不完全相同）的三阶段 nightly -> beta -> stable 开发模式。

特性标志(Feature flags)

每个尚未稳定化的特性都有一个默认关闭的特性标志(feature flag)来启用它，形式为 unstable-*。当该特性标志被禁用时，各 crate 的稳定 API(stable API)绝不能受到影响，除非是某些会按具体情况逐一考量的复杂特性。

我们还提供了两个元标志(meta-flag)，用于启用某个稳定化级别的全部特性：

beta 启用所有处于 "beta" 阶段的特性（并隐式启用所有处于 "stable" 阶段的特性）。
nightly 启用所有处于 "beta" 和 "nightly" 阶段的特性（并隐式启用所有处于 "stable" 阶段的特性），即启用全部特性。
当两个标志都未启用（且没有任何特性专属标志被启用）时，实际上只启用处于 "stable" 阶段的特性。

特性工作流(Feature workflow)

如果维护者们达成了大致共识(rough consensus)，认为某个实验性特性总体上是受欢迎的，那么可以乐观地以较低的审查标准，把它的初始实现合并进代码库，并置于一个该特性专属的特性标志之后。该特性的标志会被加入 nightly 特性标志集合。
- 在 halo2 各 crate 的下一次常规发布(general release)中，该特性即可被下游已发布的 crate 使用。
- 该特性后续的开发与完善可以通过额外的 PR 就地(in-situ)进行，并配以额外的审查。
- 如果该特性最终与其他特性（尤其是已稳定化的特性）产生不良交互，那么之后可以将其移除，而不影响 stable 或 beta 的 API。
一旦该特性经过了充分审查，并且达到了某个 halo2 用户认为其已可用于生产(production-ready)（且愿意或计划将其部署到生产环境）的程度，该特性的特性标志就会被移入 beta 特性标志集合。
一旦该特性经过了等同于 stable 审查策略的审查，并且达成了大致共识，认为该特性对更广泛的 halo2 用户群体有用，该特性的特性标志就会被移除，该特性也随之成为主维护代码库的一部分。

对于更复杂的特性，上述工作流可能会辅以 beta 和 nightly 分支；这一点将在某个需要此机制的特性被提名为纳入候选时再行确定。

进行中的特性(In-progress features)

特性标志	阶段	备注
`unstable-sha256-gadget`	`nightly`	SHA-256 gadget 与 chip。

译自 halo2 book:https://zcash.github.io/halo2/design.html

设计

关于术语的说明

我们使用与他人略有不同的术语来描述 PLONK 概念。以下是概览:

我们倾向于把类 PLONK 的论证(argument)看作一张表格,其中每一列对应一条"线"(wire)。我们把表格中的条目称为"单元格"(cell)。
我们倾向于把"选择子多项式"(selector polynomial)之类的东西改称为"固定列"(fixed column)。当一个固定列中的单元格被用来控制某条约束(constraint)是否在该行启用时,我们会专门称之为"选择子约束"(selector constraint)。
当另一些多项式由证明者(prover)填充时,我们通常把它们称为"建议列"(advice column)。
我们使用术语"规则"(rule)来指代像下面这样的"门"(gate): $A (X) \cdot q_{A} (X) + B (X) \cdot q_{B} (X) + A (X) \cdot B (X) \cdot q_{M} (X) + C (X) \cdot q_{C} (X) = 0.$
- TODO:检查我们在这一点上的一致性,并更新代码和文档以保持匹配。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system.html

证明系统(Proving system)

Halo 2 的证明系统可以分解为五个阶段:

对编码电路主要组成部分的多项式做承诺(commit):
- 单元格赋值(cell assignment)。
- 每个查表论证(lookup argument)的置换值(permuted value)与乘积(product)。
- 等式约束置换(equality constraint permutation)。
构造消失论证(vanishing argument),以将所有电路关系约束为零:
- 标准门(standard gate)与自定义门(custom gate)。
- 查表论证规则。
- 等式约束置换规则。
在所有必要的点上对上述多项式求值:
- 所有列上、所有自定义门所用的相对旋转(relative rotation)。
- 消失论证的各个分片。
构造多点打开论证(multipoint opening argument),以检查所有求值与各自的承诺保持一致。
运行内积论证(inner product argument),为多点打开论证的多项式创建一个多项式承诺打开证明(polynomial commitment opening proof)。

本章接下来将依次介绍这些阶段。

示例

为了便于讲解,我们有时会引用如下示例约束系统(constraint system):

四个建议列(advice column) $a, b, c, d$ 。
一个固定列(fixed column) $f$ 。
三个自定义门:
- $a \cdot b \cdot c_{- 1} - d = 0$
- $f_{- 1} \cdot c = 0$
- $f \cdot d \cdot a = 0$

tl;dr(太长不看)

下表对 Halo 2 协议给出一个(可能过于)简洁的描述。这一描述很可能会被 Halo 2 论文及其安全性证明所取代,但目前可作为接下来各小节内容的摘要。

Prover(证明者)		Verifier(验证者)
	$\leftarrow$	$t (X) = (X^{n} - 1)$
	$\leftarrow$	$F = [F_{0}, F_{1}, \dots, F_{m - 1}]$
$A = [A_{0}, A_{1}, \dots, A_{m - 1}]$	$\to$
	$\leftarrow$	$θ$
$L = [(A_{0}^{'}, S_{0}^{'}), \dots, (A_{m - 1}^{'}, S_{m - 1}^{'})]$	$\to$
	$\leftarrow$	$β, γ$
$Z_{P} = [Z_{P, 0}, Z_{P, 1}, \dots]$	$\to$
$Z_{L} = [Z_{L, 0}, Z_{L, 1}, \dots]$	$\to$
	$\leftarrow$	$y$
$h (X) = \frac{gate _{0} ( X ) + \dots + y ^{i} \cdot gate _{i} ( X )}{t ( X )}$
$h (X) = h_{0} (X) + \dots + X^{n (d - 1)} h_{d - 1} (X)$
$H = [H_{0}, H_{1}, \dots, H_{d - 1}]$	$\to$
	$\leftarrow$	$x$
$e v a l s = [A_{0} (x), \dots, H_{d - 1} (x)]$	$\to$
		检查 $h (x)$
	$\leftarrow$	$x_{1}, x_{2}$
构造多点打开多项式 $h^{'} (X)$
$U = Commit (h^{'} (X))$	$\to$
	$\leftarrow$	$x_{3}$
$q_{evals} = [Q_{0} (x_{3}), Q_{1} (x_{3}), \dots]$	$\to$
$u_{eval} = U (x_{3})$	$\to$
	$\leftarrow$	$x_{4}$

然后证明者与验证者:

使用 $x_{4}$ 的幂次,将 $finalPoly (X)$ 构造为 $Q$ 与 $U$ 的线性组合;
将 $finalPolyEval$ 构造为 $q_{evals}$ 与 $u_{eval}$ 的等价线性组合;并
执行 $InnerProduct (finalPoly (X), x_{3}, finalPolyEval) .$

TODO:撰写提供零知识(zero-knowledge)的协议组件。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/lookup.html

查表论证(Lookup argument)

Halo 2 使用以下查表技术,它允许在任意集合中进行查表,并且可以说比 Plookup 更简单。

关于术语的说明

除了关于术语的通用说明之外:

我们把 $Z (X)$ 多项式(置换论证中的大乘积论证多项式,grand product argument polynomial)称为"置换乘积"(permutation product)列。

技术描述

为了便于讲解,我们先描述一个忽略零知识(zero knowledge)的简化版本论证。

我们用一个"子集论证"(subset argument)来表达查表,该论证作用于一张具有 $2^{k}$ 行(从 0 开始编号)、含有列 $A$ 和 $S$ 的表格之上。

子集论证的目标是强制 $A$ 中的每个单元格都等于 $S$ 中的_某个_单元格。这意味着 $A$ 中的多个单元格可以等于 $S$ 中的_同一个_单元格,而 $S$ 中的某些单元格不需要等于 $A$ 中的任何单元格。

$S$ 可以是固定的,但不必如此。也就是说,我们既支持在固定表中查值,也支持在变量表(后者包含建议列)中查值。
$A$ 和 $S$ 可以包含重复项。如果 $A$ 和/或 $S$ 所表示的集合的大小不天然为 $2^{k}$ ,我们就用重复项扩充 $S$ ,并用已知存在于 $S$ 中的占位值(dummy value)扩充 $A$ 。
- 或者,我们可以添加一个"查表选择子"(lookup selector),用来控制 $A$ 列中的哪些元素参与查表。这会修改下面置换规则中 $A (X)$ 的出现:当某行未被选中进行查表时,把 $A$ 替换为(例如) $S_{0}$ 。

设 $ℓ_{i}$ 为拉格朗日基(Lagrange basis)多项式,它在第 $i$ 行求值为 $1$ ,其余处为 $0$ 。

我们先允许证明者提供 $A$ 和 $S$ 的置换列。分别称之为 $A^{'}$ 和 $S^{'}$ 。我们可以用一个带乘积列 $Z$ 的置换论证来强制它们确实是置换,规则如下:

$Z (ω X) \cdot (A^{'} (X) + β) \cdot (S^{'} (X) + γ) - Z (X) \cdot (A (X) + β) \cdot (S (X) + γ) = 0$ $ℓ_{0} (X) \cdot (1 - Z (X)) = 0$

即:只要不发生除以零的情况,对所有 $i \in [0, 2^{k})$ 我们有:

$Z_{i + 1} = Z_{i} \cdot \frac{( A _{i} + β ) \cdot ( S _{i} + γ )}{( A _{i}^{'} + β ) \cdot ( S _{i}^{'} + γ )}$ $Z_{2^{k}} = Z_{0} = 1.$

这是置换论证的一个版本,它允许 $A^{'}$ 和 $S^{'}$ 分别是 $A$ 和 $S$ 的置换,但并不指定具体的置换。 $β$ 和 $γ$ 是两个独立的挑战(challenge),这样我们就可以把这两个置换论证合并为一个,而不必担心它们彼此干扰。

这些置换的目标,是允许证明者以特定方式排列 $A^{'}$ 和 $S^{'}$ :

$A^{'}$ 列中的所有单元格被排列成:取值相同的单元格在竖直方向上相邻。这可以通过某种排序算法完成,但真正重要的只是:取值相同的单元格在 $A^{'}$ 列中位于连续的行上,且 $A^{'}$ 是 $A$ 的一个置换。
在 $A^{'}$ 中一段相同取值的序列里,第一行就是 $S^{'}$ 中具有相应取值的那一行。除此约束之外, $S^{'}$ 可以是 $S$ 的任意置换。

现在,我们用如下规则来强制要么 $A_{i}^{'} = S_{i}^{'}$ ,要么 $A_{i}^{'} = A_{i - 1}^{'}$ :

$(A^{'} (X) - S^{'} (X)) \cdot (A^{'} (X) - A^{'} (ω^{- 1} X)) = 0$

此外,我们用如下规则强制 $A_{0}^{'} = S_{0}^{'}$ :

$ℓ_{0} (X) \cdot (A^{'} (X) - S^{'} (X)) = 0$

(尽管 $ω^{- 1} X$ 会"绕回",这里第一条规则中的 $A^{'} (X) - A^{'} (ω^{- 1} X)$ 项在第 $0$ 行也不起作用,因为有第二条规则。)

这些约束合在一起,有效地强制 $A^{'}$ (从而 $A$ )中的每个元素都至少等于 $S^{'}$ (从而 $S$ )中的一个元素。证明:对各行前缀做归纳。

零知识调整

为了让基于 PLONK 的证明系统实现零知识,我们需要把每一列的最后 $t$ 行填充为随机值。这要求对查表论证作出调整,因为这些随机值并不满足上面描述的约束。

我们把可用行(usable row)的数量限制为 $u = 2^{k} - t - 1$ 。我们添加两个选择子:

$q_{blind}$ 在最后 $t$ 行上置为 $1$ ,其余处为 $0$ ;
$q_{last}$ 仅在第 $u$ 行置为 $1$ ,其余处为 $0$ (即它被置于可用行与盲化行之间的那一行)。

我们仅对可用行启用上面的约束:

$(1 - (q_{last} (X) + q_{blind} (X))) \cdot (Z (ω X) \cdot (A^{'} (X) + β) \cdot (S^{'} (X) + γ) - Z (X) \cdot (A (X) + β) \cdot (S (X) + γ)) = 0$ $(1 - (q_{last} (X) + q_{blind} (X))) \cdot (A^{'} (X) - S^{'} (X)) \cdot (A^{'} (X) - A^{'} (ω^{- 1} X)) = 0$

在第 $0$ 行启用的规则保持不变:

$ℓ_{0} (X) \cdot (A^{'} (X) - S^{'} (X)) = 0$ $ℓ_{0} (X) \cdot (1 - Z (X)) = 0$

由于我们不能再依赖绕回(wraparound)来保证乘积 $Z$ 在 $ω^{2^{k}}$ 处重新变为 $1$ ,我们改为需要把 $Z (ω^{u})$ 约束为 $1$ 。然而,这里存在一个潜在困难:如果对某个 $i \in [0, u)$ , $A_{i} + β$ 或 $S_{i} + γ$ 中有任何一个为零,那么可能无法满足置换论证。这种情况在 $β$ 和 $γ$ 的选择上以可忽略的概率发生,但它既是实现完美零知识的障碍(因为对手可以排除掉会导致这种情况的见证值),也是实现完美完备性(perfect completeness)的障碍。

为了同时确保完美完备性和完美零知识,我们允许 $Z (ω^{u})$ 取零或一:

$q_{last} (X) \cdot (Z (X)^{2} - Z (X)) = 0$

现在,如果对某个 $i$ , $A_{i} + β$ 或 $S_{i} + γ$ 为零,我们就可以对 $i < j \leq u$ 设 $Z_{j} = 0$ ,从而满足约束系统。

注意,挑战 $β$ 和 $γ$ 是在对 $A$ 和 $S$ (以及 $A^{'}$ 和 $S^{'}$ )做出承诺之后才选定的,因此证明者无法强行制造出某个 $A_{i} + β$ 或 $S_{i} + γ$ 为零的情况。由于这种情况以可忽略的概率发生,可靠性(soundness)不受影响。

开销

有原始列 $A$ 和固定列 $S$ 。
有一个置换乘积列 $Z$ 。
有两个置换 $A^{'}$ 和 $S^{'}$ 。
这些门的次数(degree)都很低。

推广

Halo 2 的查表论证实现以如下方式推广了上述技术:

$A$ 和 $S$ 可以扩展为多列,并用一个随机挑战组合起来。 $A^{'}$ 和 $S^{'}$ 仍保持为单列。
- 对 $S$ 各列的承诺可以预先计算,然后在挑战已知后,利用 Pedersen 承诺的同态(homomorphic)性质廉价地组合起来。
- $A$ 的各列可以用相对引用以任意多项式表达式给出。这些表达式会被代入乘积列约束中,但要受最大次数界(maximum degree bound)的限制。这有可能节省一个或多个建议列。
然后,任意宽度关系的查表论证可以用子集论证来实现,即:为了在每一行约束 $R (x, y, ...)$ ,把 $R$ 看作一个元组集合 $S$ (使用上一点的方法),并检查 $(x, y, ...) \in R$ 。
- 在 $R$ 表示一个函数的情况下,这隐式地也检查了输入是否在定义域内。这通常正是我们想要的,且常常能省掉一次额外的范围检查(range check)。
我们可以在同一个电路中支持多张表,办法是把它们合并成单张表,其中包含一个标签列(tag column)来标识原始表。
- 如果前面提到的"查表选择子"得以实现,标签列可以与之合并。

这些推广与 Plookup 论文第 4、5 节中的推广类似。也就是说,与 Plookup 的差异在于子集论证。这一论证随后可以用于所有相同的用途;例如,Plookup 论文第 5 节中优化的范围检查技术也可以与这个子集论证一起使用。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/permutation.html

置换论证(Permutation argument)

鉴于 halo2 电路中的门是"局部地"操作的(作用于当前行或定义好的相对行中的单元格),因此常常需要把某个任意单元格中的值复制到当前行中,以供门使用。这是通过等式约束(equality constraint)来完成的,该约束强制源单元格与目标单元格包含相同的值。

我们实现这些等式约束的方式,是构造一个表示这些约束的置换,然后在证明中使用置换论证来强制它们成立。

记号

置换(permutation)是一个集合到其自身的一一(one-to-one)且映满(onto)的映射。一个置换可以唯一地分解为若干循环(cycle)的复合(在循环的排序以及每个循环的旋转意义下)。

我们有时使用循环记号(cycle notation)来书写置换。设 $(a b c)$ 表示一个循环,其中 $a$ 映到 $b$ , $b$ 映到 $c$ , $c$ 映到 $a$ (对任意大小的循环有显然的推广)。把两个或多个循环并排书写表示对应置换的复合。例如, $(a b) (c d)$ 表示这样的置换:把 $a$ 映到 $b$ , $b$ 映到 $a$ , $c$ 映到 $d$ , $d$ 映到 $c$ 。

构造置换

目标

我们想要构造一个置换,使得处于同一等式约束集合中的每一组变量构成一个循环。例如,假设我们有一个电路,定义了如下等式约束:

$a \equiv b$
$a \equiv c$
$d \equiv e$

由此我们得到等式约束集合 ${a, b, c}$ 和 ${d, e}$ 。我们想要构造置换:

$(a b c) (d e)$

它定义了从 $[a, b, c, d, e]$ 到 $[b, c, a, e, d]$ 的映射。

算法

我们需要跟踪一组循环,这是一个不相交集合的集合(set of disjoint sets)。针对这一问题已有高效的数据结构;为简单起见,我们选择一个并非渐近最优、但易于实现的数据结构。

我们将当前状态表示为:

一个数组 $mapping$ ,表示置换本身;
一个辅助数组 $aux$ ,跟踪每个循环的一个特定代表元素;
另一个数组 $sizes$ ,跟踪每个循环的大小。

我们有这样一个不变式:对于给定循环 $C$ 中的每个元素 $x$ , $aux (x)$ 都指向同一个元素 $c \in C$ 。这使我们能够通过检查 $aux (x) = aux (y)$ 来快速判定给定的两个元素 $x$ 和 $y$ 是否在同一循环中。此外, $sizes (aux (x))$ 给出包含 $x$ 的循环的大小。(这一点仅对 $sizes (aux (x))$ 成立,而不对 $sizes (x)$ 成立。)

算法以恒等置换(identity permutation)的表示作为起点:对所有 $x$ ,我们设 $mapping (x) = x$ , $aux (x) = x$ , $sizes (x) = 1$ 。

要添加一个等式约束 $left \equiv right$ :

检查 $left$ 和 $right$ 是否已经在同一循环中,即是否 $aux (left) = aux (right)$ 。若是,则无需做任何事。
否则, $left$ 和 $right$ 属于不同的循环。让 $left$ 为较大的循环、 $right$ 为较小的循环:当 $sizes (aux (left)) < sizes (aux (right))$ 时把二者交换。
设 $sizes (aux (left)) := sizes (aux (left)) + sizes (aux (right)) .$
沿着映射绕较小(右侧)循环走一圈,对每个元素 $x$ 设 $aux (x) := aux (left)$ 。
通过交换 $mapping (left)$ 与 $mapping (right)$ ,把较小的循环拼接(splice)进较大的循环中。

例如,给定两个不相交的循环 $(A B C D)$ 和 $(E F G H)$ :

A +---> B
^       +
|       |
+       v
D <---+ C       E +---> F
                ^       +
                |       |
                +       v
                H <---+ G

在添加约束 $B \equiv E$ 之后,上述算法产生如下循环:

A +---> B +-------------+
^                       |
|                       |
+                       v
D <---+ C <---+ E       F
                ^       +
                |       |
                +       v
                H <---+ G

错误的替代做法

如果我们不检查 $left$ 和 $right$ 是否已经在同一循环中,那么我们可能会撤销一个等式约束。例如,如果我们有如下约束:

$a \equiv b$
$b \equiv c$
$c \equiv d$
$b \equiv d$

而我们试图仅用上述算法的第 5 步来实现等式约束的添加,那么我们最终会构造出循环 $(a b) (c d)$ ,而不是正确的 $(a b c d)$ 。

论证规约(Argument specification)

我们需要检查 $m$ 列中单元格的一个置换,这些列以拉格朗日基表示为多项式 $v_{0}, \dots, v_{m - 1}$ 。

我们将给这 $m$ 列中的每个单元格标注一个 $F^{\times}$ 中唯一的元素。

假设我们在这些标签上有一个置换, $σ (column : i, row : j) = (column : i^{'}, row : j^{'}) .$ 其中各循环对应于等式约束集合。

如果我们考虑序对的集合 ${(label, value)}$ ,那么每个循环中的各个值彼此相等,当且仅当用 $σ$ 对每个序对中的标签进行置换后,得到的是同一个集合:

由于标签互不相同,集合相等等同于多重集合(multiset)相等,而后者可以用乘积论证(product argument)来检查。

设 $ω$ 为一个 $2^{k}$ 次单位根(root of unity),设 $δ$ 为一个 $T$ 次单位根,其中 $T \cdot 2^{S} + 1 = p$ , $T$ 为奇数且 $k \leq S .$ 我们将用 $δ^{i} \cdot ω^{j} \in F^{\times}$ 作为置换论证中第 $i$ 列第 $j$ 行单元格的标签。

我们用一个由 $m$ 个多项式 $s_{i} (X)$ 构成的向量来表示 $σ$ ,使得 $s_{i} (ω^{j}) = δ^{i^{'}} \cdot ω^{j^{'}} .$

注意,恒等置换可以用由 $m$ 个多项式 $ID_{i} (ω^{j})$ 构成的向量来表示,使得 $ID_{i} (ω^{j}) = δ^{i} \cdot ω^{j} .$

我们将用一个挑战 $β$ 把每个 $(label, value)$ 序对压缩为 $value + β \cdot label .$ 正如我们在查表中所用的乘积论证一样,我们还使用一个挑战 $γ$ 来随机化乘积的每一项。

现在,给定由 $s_{0}, \dots, s_{m - 1}$ 表示的置换,作用于由 $v_{0}, \dots, v_{m - 1}$ 表示的各列,我们想要确保: $i = 0 \prod m - 1 j = 0 \prod n - 1 (\frac{v _{i} ( ω ^{j} ) + β \cdot δ ^{i} \cdot ω ^{j} + γ}{v _{i} ( ω ^{j} ) + β \cdot s _{i} ( ω ^{j} ) + γ}) = 1$

这里 $v_{i} (ω^{j}) + β \cdot δ^{i} \cdot ω^{j}$ 表示未置换的 $(label, v a l u e)$ 序对,而 $v_{i} (ω^{j}) + β \cdot s_{i} (ω^{j})$ 表示已置换的 $(σ (label), v a l u e)$ 序对。

设 $Z_{P}$ 满足 $Z_{P} (ω^{0}) = Z_{P} (ω^{n}) = 1$ ,且对 $0 \leq j < n$ : $Z_{P} (ω^{j + 1}) = h = 0 \prod j i = 0 \prod m - 1 \frac{v _{i} ( ω ^{h} ) + β \cdot δ ^{i} \cdot ω ^{h} + γ}{v _{i} ( ω ^{h} ) + β \cdot s _{i} ( ω ^{h} ) + γ} = Z_{P} (ω^{j}) i = 0 \prod m - 1 \frac{v _{i} ( ω ^{j} ) + β \cdot δ ^{i} \cdot ω ^{j} + γ}{v _{i} ( ω ^{j} ) + β \cdot s _{i} ( ω ^{j} ) + γ}$

那么,强制如下规则就足够了: $Z_{P} (ω X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot s_{i} (X) + γ) - Z_{P} (X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot δ^{i} \cdot X + γ) = 0 ℓ_{0} \cdot (1 - Z_{P} (X)) = 0$

这里假设列数 $m$ 使得上述第一条规则中的多项式能够落在 PLONK 配置的次数界之内。我们将在下文看到如何处理更多列数的情况。

用于得到恒等置换简洁表示的这一优化由 Vitalik Buterin 为 PLONK 提出,描述在 PLONK 论文第 8 节末尾。注意,只要启用等式约束的列数不超过 $T$ ,这些 $δ^{i}$ 就都是各不相同的二次非剩余(quadratic non-residue);对于 Halo 2 所用的曲线,这一点在实践中总是成立。

零知识调整

与查表论证类似,我们需要对上述论证作出调整,以应对每一列最后 $t$ 行被填充为随机值的情况。

我们把可用行的数量限制为 $u = 2^{k} - t - 1$ 。我们添加两个选择子,其定义方式与查表论证中相同:

$q_{blind}$ 在最后 $t$ 行上置为 $1$ ,其余处为 $0$ ;
$q_{last}$ 仅在第 $u$ 行置为 $1$ ,其余处为 $0$ (即它被置于可用行与盲化行之间的那一行)。

我们仅对可用行启用上面的乘积规则:

$(1 - (q_{last} (X) + q_{blind} (X))) \cdot$ $(Z_{P} (ω X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot s_{i} (X) + γ) - Z_{P} (X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot δ^{i} \cdot X + γ)) = 0$

在第 $0$ 行启用的规则保持不变:

$ℓ_{0} (X) \cdot (1 - Z_{P} (X)) = 0$

由于我们不能再依赖绕回来保证每个乘积 $Z_{P}$ 在 $ω^{2^{k}}$ 处重新变为 $1$ ,我们改为需要约束 $Z (ω^{u}) = 1$ 。这就引出了与查表论证中所描述的相同的问题。因此我们允许 $Z (ω^{u})$ 取零或一:

$q_{last} (X) \cdot (Z_{P} (X)^{2} - Z_{P} (X)) = 0$

这给出了完美完备性和零知识。

跨越大量列

halo2 的实现在实践中并不限制可启用等式约束的列数。因此,它必须解决一个问题:上述方法可能产生一个乘积规则,其中的多项式超出了 PLONK 配置的次数界。次数界可以提高,但如果没有其他规则需要更大的次数,这样做会效率低下。

取而代之,我们把乘积拆分到 $b$ 个由 $m$ 列组成的列集(column set)上,使用乘积列 $Z_{P, 0}, \dots Z_{P, b - 1}$ ,并用另一条规则把乘积从一个列集的末端复制到下一个列集的开端。

也就是说,对 $0 \leq a < b$ 我们有:

$(1 - (q_{last} (X) + q_{blind} (X))) \cdot$ $(Z_{P, a} (ω X) \cdot i = am \prod (a + 1) m - 1 (v_{i} (X) + β \cdot s_{i} (X) + γ) - Z_{P} (X) \cdot i = am \prod (a + 1) m - 1 (v_{i} (X) + β \cdot δ^{i} \cdot X + γ))$ $= 0$

为简单起见,这里的书写假设启用等式约束的列数是 $m$ 的倍数;如果不是,那么最后一个列集的乘积将少于 $m$ 项。

对于第一个列集我们有:

$ℓ_{0} \cdot (1 - Z_{P, 0} (X)) = 0$

对于每个后续列集 $0 < a < b$ ,我们用如下规则把 $Z_{P, a - 1} (ω^{u})$ 复制到下一个列集的起点 $Z_{P, a} (ω^{0})$ :

$ℓ_{0} \cdot (Z_{P, a} (X) - Z_{P, a - 1} (ω^{u} X)) = 0$

对于最后一个列集,我们允许 $Z_{P, b - 1} (ω^{u})$ 取零或一:

$q_{last} (X) \cdot (Z_{P, b - 1} (X)^{2} - Z_{P, b - 1} (X)) = 0$

这与之前一样给出了完美完备性和零知识。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/circuit-commitments.html

电路承诺(Circuit commitments)

对电路赋值做承诺

在证明创建之初,证明者持有一张单元格赋值表,它声称这些赋值满足约束系统。该表有 $n = 2^{k}$ 行,并被划分为建议(advice)列、实例(instance)列和固定(fixed)列。我们定义 $F_{i, j}$ 为第 $i$ 个固定列第 $j$ 行的赋值。不失一般性,我们类似地定义 $A_{i, j}$ 来表示建议列和实例列的赋值。

我们在这里把固定列单独区分出来,因为它们由验证者提供,而建议列和实例列由证明者提供。在实践中,对实例列和固定列的承诺由证明者和验证者双方各自计算,只有建议列的承诺被存入证明中。

为了对这些赋值做承诺,我们在一个大小为 $n$ 的求值域(evaluation domain)上,为每一列构造次数为 $n - 1$ 的拉格朗日多项式(其中 $ω$ 是第 $n$ 个本原单位根,primitive root of unity):

$a_{i} (X)$ 插值得到 $a_{i} (ω^{j}) = A_{i, j}$ 。
$f_{i} (X)$ 插值得到 $f_{i} (ω^{j}) = F_{i, j}$ 。

然后,我们对每一列的多项式创建一个盲化承诺(blinding commitment):

$A = [Commit (a_{0} (X)), \dots, Commit (a_{i} (X))]$ $F = [Commit (f_{0} (X)), \dots, Commit (f_{i} (X))]$

$F$ 作为密钥生成(key generation)的一部分构造,使用值为 $1$ 的盲化因子(blinding factor)。 $A$ 由证明者构造并发送给验证者。

对查表置换做承诺

验证者首先采样 $θ$ ,它用于保持查表内部各个列彼此独立。然后,证明者按如下方式对每个查表的置换做承诺:

给定一个查表,其输入列多项式为 $[A_{0} (X), \dots, A_{m - 1} (X)]$ ,表列多项式为 $[S_{0} (X), \dots, S_{m - 1} (X)]$ ,证明者构造两个压缩多项式

$A_{compressed} (X) = θ^{m - 1} A_{0} (X) + θ^{m - 2} A_{1} (X) + \dots + θ A_{m - 2} (X) + A_{m - 1} (X)$ $S_{compressed} (X) = θ^{m - 1} S_{0} (X) + θ^{m - 2} S_{1} (X) + \dots + θ S_{m - 2} (X) + S_{m - 1} (X)$
然后证明者按照查表论证的规则对 $A_{compressed} (X)$ 和 $S_{compressed} (X)$ 做置换,得到 $A^{'} (X)$ 和 $S^{'} (X)$ 。

证明者为所有查表创建盲化承诺

$L = [(Commit (A^{'} (X))), Commit (S^{'} (X))), \dots]$

并将它们发送给验证者。

在验证者收到 $A$ 、 $F$ 和 $L$ 之后,它采样挑战 $β$ 和 $γ$ ,这两个挑战将用于置换论证以及下文中查表论证的剩余部分。(由于这些论证彼此独立,这些挑战可以复用。)

对等式约束置换做承诺

设 $c$ 为启用了等式约束的列数。

设 $m$ 为在不超过 PLONK 配置的最大约束次数的前提下,一个列集所能容纳的最大列数。

设 $u$ 为置换论证一节中定义的"可用"行数。

设 $b = ceiling (c / m) .$

证明者构造一个长度为 $b u$ 的向量 $P$ ,使得对每个列集 $0 \leq a < b$ 和每一行 $0 \leq j < u$ ,

$P_{a u + j} = i = am \prod m i n (c, (a + 1) m) - 1 \frac{v _{i} ( ω ^{j} ) + β \cdot δ ^{i} \cdot ω ^{j} + γ}{v _{i} ( ω ^{j} ) + β \cdot s _{i} ( ω ^{j} ) + γ} .$

然后,证明者从 $1$ 开始计算 $P$ 的连续乘积(running product),并按照置换论证一节所述,得到一个多项式向量 $Z_{P, 0.. b - 1}$ ,其中每个多项式的拉格朗日基表示对应于该连续乘积的一个大小为 $u$ 的切片。

证明者对每个 $Z_{P, a}$ 多项式创建盲化承诺:

$Z_{P} = [Commit (Z_{P, 0} (X)), \dots, Commit (Z_{P, b - 1} (X))]$

并将它们发送给验证者。

对查表置换乘积列做承诺

除了对各个置换后的查表做承诺之外,对于每个查表,证明者还需要对置换乘积列做承诺:

证明者构造一个向量 $P$ :

$P_{j} = \frac{( A _{compressed} ( ω ^{j} ) + β ) ( S _{compressed} ( ω ^{j} ) + γ )}{( A ^{'} ( ω ^{j} ) + β ) ( S ^{'} ( ω ^{j} ) + γ )}$

证明者构造一个多项式 $Z_{L}$ ,其拉格朗日基表示对应于 $P$ 的连续乘积,从 $Z_{L} (1) = 1$ 开始。

$β$ 和 $γ$ 用于组合关于 $A^{'} (X)$ 和 $S^{'} (X)$ 的置换论证,同时保持它们彼此独立。这里重要的一点是:验证者在证明者已创建 $A$ 、 $F$ 和 $L$ (从而已对查表列中用到的所有单元格值、以及每个查表的 $A^{'} (X)$ 和 $S^{'} (X)$ 做出承诺)之后,才采样 $β$ 和 $γ$ 。

与之前一样,证明者对每个 $Z_{L}$ 多项式创建盲化承诺:

$Z_{L} = [Commit (Z_{L} (X)), \dots]$

并将它们发送给验证者。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/vanishing.html

消失论证(Vanishing argument)

在对电路赋值完成承诺后,证明者(prover)现在需要证明各种电路关系都被满足:

自定义门(custom gate),由多项式 $gate_{i} (X)$ 表示。
查找论证(lookup argument)的规则。
等式约束置换(equality constraint permutation)的规则。

这些关系中的每一个都被表示为一个关于电路列的、度数为 $d$ (任意关系的最大度数)的多项式。鉴于每一列的赋值多项式度数为 $n - 1$ ,这些关系多项式关于 $X$ 的度数为 $d (n - 1)$ 。

在我们的示例中,这些就是门多项式,度数为 $3 n - 3$ :

$gate_{0} (X) = a_{0} (X) \cdot a_{1} (X) \cdot a_{2} (X ω^{- 1}) - a_{3} (X)$

$gate_{1} (X) = f_{0} (X ω^{- 1}) \cdot a_{2} (X)$

$gate_{2} (X) = f_{0} (X) \cdot a_{3} (X) \cdot a_{0} (X)$

如果一个关系的多项式等于零,则该关系被满足。证明这一点的一种方式是把每个关系多项式除以消失多项式(vanishing polynomial) $t (X) = (X^{n} - 1)$ ,它是在每个 $ω^{i}$ 处都有根的最低度数多项式。如果某个关系的多项式能被 $t (X)$ 整除,那么它在整个域(domain)上等于零(正如所期望的)。

这个简单的构造将需要对每个关系做一次多项式承诺(polynomial commitment)。我们改为同时对所有电路关系做承诺:验证者(verifier)采样 $y$ ,然后证明者构造商多项式(quotient polynomial)

$h (X) = \frac{gate _{0} ( X ) + y \cdot gate _{1} ( X ) + \dots + y ^{i} \cdot gate _{i} ( X ) + \dots}{t ( X )},$

其中分子是各电路关系的一个随机(证明者在验证者采样 $y$ 之前已对单元格赋值做出承诺)线性组合。

如果分子多项式(以形式不定元 $X$ 表示)能被 $t (X)$ 完美整除,那么以高概率所有关系都被满足。
反之,如果至少有一个关系不被满足,那么以高概率 $h (x) \cdot t (x)$ 将不等于分子在 $x$ 处的求值。在这种情况下,分子多项式将不能被 $t (X)$ 完美整除。

对 $h (X)$ 做承诺

$h (X)$ 的度数为 $d (n - 1) - n$ (因为除数 $t (X)$ 的度数为 $n$ )。然而,我们在 Halo 2 中使用的多项式承诺方案只支持对度数为 $n - 1$ 的多项式做承诺(这是协议其余部分需要承诺的最大度数)。为了不增加多项式承诺方案的成本,证明者把 $h (X)$ 拆分成多个度数为 $n - 1$ 的片段

$h_{0} (X) + X^{n} h_{1} (X) + \dots + X^{n (d - 1)} h_{d - 1} (X),$

并对每个片段生成盲化承诺(blinding commitment)

$H = [Commit (h_{0} (X)), Commit (h_{1} (X)), \dots, Commit (h_{d - 1} (X))] .$

对多项式求值

到此为止,我们已经对电路的所有性质做出了承诺。验证者现在想要查看证明者是否承诺了正确的 $h (X)$ 多项式。验证者采样 $x$ ,证明者生成各个多项式在 $x$ 处的声称求值,涵盖电路中使用的所有相对偏移,以及 $h (X)$ 。

在我们的示例中,这将是:

$a_{0} (x)$

$a_{1} (x)$

$a_{2} (x)$ , $a_{2} (x ω^{- 1})$

$a_{3} (x)$

$f_{0} (x)$ , $f_{0} (x ω^{- 1})$

$h_{0} (x)$ , ..., $h_{d - 1} (x)$

验证者检查这些求值是否满足 $h (X)$ 的形式:

$\frac{gate _{0} ( x ) + \dots + y ^{i} \cdot gate _{i} ( x ) + \dots}{t ( x )} = h_{0} (x) + \dots + x^{n (d - 1)} h_{d - 1} (x)$

现在确信这些求值整体上满足门约束后,验证者需要检查这些求值本身与原始的电路承诺以及 $H$ 是一致的。为了高效地实现这一点,我们使用多点打开论证(multipoint opening argument)。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/multipoint-opening.html

多点打开论证(Multipoint opening argument)

考虑对多项式 $a (X), b (X), c (X), d (X)$ 的承诺 $A, B, C, D$ 。假设 $a$ 和 $b$ 在点 $x$ 处被查询,而 $c$ 和 $d$ 在 $x$ 与 $ω x$ 两个点处都被查询。(这里, $ω$ 是我们用来构造这些多项式的乘法子群中的本原单位根(primitive root of unity)。)

为了打开(open)这些承诺,我们可以为每个查询的点(对应电路中使用的每个相对旋转)创建一个多项式 $Q$ 。但这在电路中并不高效;例如, $c (X)$ 会出现在多个多项式中。

我们改为按照查询点的集合对承诺进行分组: ${x} A B {x, ω x} C D$

对于这些分组中的每一个,我们把它们合并成一个多项式集合,并为该集合创建单个 $Q$ ,然后在每个旋转处打开它。

优化步骤

多点打开优化以下列内容作为输入:

由验证者采样的随机 $x$ ,我们在该点对 $a (X), b (X), c (X), d (X)$ 求值。
由证明者提供的、每个多项式在每个相关点处的求值: $a (x), b (x), c (x), d (x), c (ω x), d (ω x)$

这些是消失论证(vanishing argument)的输出。

多点打开优化按如下方式进行:

采样随机 $x_{1}$ ,以保持 $a, b, c, d$ 线性无关。
根据多项式被查询时所在的点集,累加多项式及其对应的求值: q_polys: $q_{1} (X) q_{2} (X) = = a (X) c (X) + + x_{1} b (X) x_{1} d (X)$ q_eval_sets:
```
        [
            [a(x) + x_1 b(x)],
            [
                c(x) + x_1 d(x),
                c(\omega x) + x_1 d(\omega x)
            ]
        ]
```
注:q_eval_sets 是一个由求值集合构成的向量,其中外层向量对应点集(本例中为 ${x}$ 和 ${x, ω x}$ ),内层向量对应每个集合中的点。
对 q_eval_sets 中的每个值集合做插值(interpolate): r_polys: $r_{1} (X) s . t . r_{2} (X) s . t . r_{1} (x) r_{2} (x) r_{2} (ω x) = = = a (x) + x_{1} b (x) c (x) + x_{1} d (x) c (ω x) + x_{1} d (ω x)$
构造 f_polys,用于检查 q_polys 的正确性: f_polys $f_{1} (X) f_{2} (X) = = \frac{q _{1} ( X ) - r _{1} ( X )}{X - x} \frac{q _{2} ( X ) - r _{2} ( X )}{( X - x ) ( X - ω x )}$

如果 $q_{1} (x) = r_{1} (x)$ ,那么 $f_{1} (X)$ 应当是一个多项式。如果 $q_{2} (x) = r_{2} (x)$ 且 $q_{2} (ω x) = r_{2} (ω x)$ , 那么 $f_{2} (X)$ 应当是一个多项式。
采样随机 $x_{2}$ 以保持 f_polys 线性无关。
构造 $f (X) = f_{1} (X) + x_{2} f_{2} (X)$ 。
采样随机 $x_{3}$ ,我们在该点对 $f (X)$ 求值: $f (x_{3}) = = f_{1} (x_{3}) \frac{q _{1} ( x _{3} ) - r _{1} ( x _{3} )}{x _{3} - x} + + x_{2} f_{2} (x_{3}) x_{2} \frac{q _{2} ( x _{3} ) - r _{2} ( x _{3} )}{( x _{3} - x ) ( x _{3} - ω x )}$
采样随机 $x_{4}$ 以保持 $f (X)$ 与 q_polys 线性无关。
构造 final_poly, $f ina l_p o l y (X) = f (X) + x_{4} q_{1} (X) + x_{4}^{2} q_{2} (X),$ 这就是我们在内积论证(inner product argument)中要承诺的多项式。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/inner-product.html

内积论证(Inner product argument)

Halo 2 使用了一种多项式承诺方案(polynomial commitment scheme),我们可以基于内积论证(Inner Product Argument)为其创建多项式承诺打开证明(opening proof)。

TODO: 解释 Halo 2 的 IPA 变体。

它与 BCMS20 附录 A.2 中的 $PC_{DL} . Open$ 非常相似。详见此对比。

译自 halo2 book:https://zcash.github.io/halo2/design/proving-system/comparison.html

与其他工作的对比

BCMS20 附录 A.2

BCMS20 的附录 A.2 描述了一种多项式承诺方案(polynomial commitment scheme),它与 BGH19 中描述的方案相似(BCMS20 是原始 Halo 论文的推广)。Halo 2 建立在这两项工作之上,因此其自身使用的多项式承诺方案与 BCMS20 中的方案非常相似。

下表给出了 BCMS20 中的变量名与 Halo 2 中等价对象(其建立在 Halo 论文的命名法之上)之间的映射:

BCMS20	Halo 2
$S$	$H$
$H$	$U$
$C$	`msm` 或 $P$
$α$	$ι$
$ξ_{0}$	$z$
$ξ_{i}$	`challenge_i`
$H^{'}$	$[z] U$
$\overset{p}{ˉ}$	`s_poly`
$\overset{ω}{ˉ}$	`s_poly_blind`
$\overset{ˉ}{C}$	`s_poly_commitment`
$h (X)$	$g (X)$
$U$	$G$
$ω^{'}$	`blind` / $ξ$
$c$	$a$
$c$	$a = a_{0}$
$v^{'}$	$ab$

Halo 2 的多项式承诺方案与 BCMS20 附录 A.2 在两个方面有所不同:

$Open$ 算法的第 8 步在内积论证(inner product argument)之前计算一个"非隐藏(non-hiding)"承诺 $C^{'}$ ,它打开到与 $C$ 相同的值,但它是对一个随机抽取的多项式所做的承诺。协议的其余部分不涉及任何盲化(blinding)。相比之下,在 Halo 2 中我们对我们做出的每一个承诺都进行盲化(即便是对实例(instance)和固定(fixed)多项式也是如此,不过对固定多项式使用盲化因子 1);这使得协议更易于推理分析。由此带来的结果是,验证者需要在协议末尾处理累积的盲化因子,因此无需在协议开始时推导出等价于 $C^{'}$ 的对象。
- $C^{'}$ 也是 $ξ_{0}$ 的随机预言机(random oracle)的一个输入;在 Halo 2 中,我们使用的副本(transcript)在采样 $z$ 之前已经对 $C^{'}$ 的等价组成部分做出了承诺。
$PC_{DL} . SuccinctCheck$ 子例程(BCMS20 的图 2)通过加上 $[v] H^{'} = [v ξ_{0}] H$ 来计算初始群元素 $C_{0}$ ,这需要两次标量乘法。我们改为从原始承诺 $P$ 中减去 $[v] G_{0}$ ,从而实际上将多项式在该点打开到值零。计算 $[v] G_{0}$ 在递归(recursion)语境下更高效,因为 $G_{0}$ 是一个固定基(fixed base)(所以我们可以使用查找表)。

译自 halo2 book:https://zcash.github.io/halo2/design/protocol.html

协议描述(Protocol Description)

预备知识

我们取 $λ$ 作为安全参数(security parameter),除非另有明确说明,所有算法和敌手(adversary)都是在该安全参数下以多项式时间运行的概率性(交互式)图灵机。我们用 $negl (λ)$ 表示一个在 $λ$ 上可忽略(negligible)的函数。

密码学群(Cryptographic Groups)

我们令 $G$ 表示一个素数阶 $p$ 的循环群。群的单位元写作 $O$ 。我们把 $G$ 中元素的标量(scalar)称为大小为 $p$ 的标量域(scalar field) $F$ 中的元素。群元素用大写字母书写,标量用小写字母或希腊字母书写。标量向量或群元素向量用粗体书写,即 $a \in F^{n}$ 和 $G \in G^{n}$ 。群运算以加法形式书写,群元素 $G$ 乘以标量 $a$ 写作 $[a] G$ 。

我们经常用记号 $⟨ a, b ⟩$ 来表示两个等长标量向量 $a, b \in F^{n}$ 的内积(inner product)。我们也用这个记号来表示群元素的线性组合,例如 $⟨ a, G ⟩$ ,其中 $a \in F^{n}, G \in G^{n}$ ,在实践中通过多标量乘法(multiscalar multiplication)来计算。

我们用 $0^{n}$ 表示一个长度为 $n$ 、仅包含 $F$ 中零元素的向量。

离散对数关系问题(Discrete Log Relation Problem)。 优势度量(advantage metric) $Adv_{G, n}^{dl-rel} (A, λ) = Pr [G_{G, n}^{dl-rel} (A, λ)]$ 是相对于以下博弈(game)定义的。 $\underline{Game G_{G, n}^{dl-rel} (A, λ) :} G \leftarrow G_{λ}^{n} a \leftarrow A (G) Return (⟨ a, G ⟩ = O \land a \neq = 0^{n})$

给定一个 $n$ 长度的群元素向量 $G \in G^{n}$ ,离散对数关系问题 要求找出 $g \in F^{n}$ 使得 $g \neq = 0^{n}$ 但 $⟨ g, G ⟩ = O$ ,我们称之为一个 非平凡的 离散对数关系。如 [JT20] 的引理 3 所示,该问题的困难性可由群中离散对数问题的困难性紧致地推出。形式上,我们使用上面定义的博弈 $G_{G, n}^{dl-rel}$ 来刻画该问题。

交互式证明(Interactive Proofs)

交互式证明 是一个三元组算法 $IP = (Setup, P, V)$ 。算法 $Setup (1^{λ})$ 输出某些 公共参数(public parameters),通常用 $pp$ 来指代。证明者 $P$ 和验证者 $V$ 是交互式机器(可访问 $pp$ ),我们用 $⟨ P (x), V (y)⟩$ 表示一个在它们之间以输入 $x, y$ 执行两方协议的算法。该协议的输出是它们交互的一个 副本(transcript),包含 $P$ 与 $V$ 之间发送的所有消息。在协议结束时,验证者输出一个决策比特。

零知识知识论证(Zero knowledge Arguments of Knowledge)

知识证明(proofs of knowledge)是这样的交互式证明:证明者旨在使验证者相信,对于某个陈述 $x$ 和多项式时间可判定关系 $R$ ,他们知道一个证据(witness) $w$ 使得 $(x, w) \in R$ 。我们将处理 论证(arguments) 形式的知识证明,它假设证明者在计算上是有界的。

我们将通过四种安全概念来分析知识论证。

完备性(Completeness): 如果证明者持有一个有效的证据,他们能总是说服验证者吗?理解这一性质很有用,因为它可能会对其他安全概念产生影响。
可靠性(Soundness): 一个作弊的证明者能否虚假地使验证者相信一个实际上并不正确的陈述的正确性?我们把作弊证明者能虚假地说服验证者的概率称为 可靠性误差(soundness error)。
知识可靠性(Knowledge soundness): 当验证者被说服相信陈述是正确的时,证明者是否确实持有("知道")一个有效的证据?我们把作弊证明者虚假地使验证者相信这种知识的概率称为 知识误差(knowledge error)。
零知识(Zero knowledge): 验证者除了能从陈述的正确性以及证明者拥有有效证据这一事实推断出来的内容之外,是否还学到了别的东西?

首先,我们来看完备性的简单定义。

完美完备性(Perfect Completeness)。 一个交互式论证 $(Setup, P, V)$ 具有 完美完备性,如果对于所有多项式时间可判定关系 $R$ 以及所有非一致(non-uniform)多项式时间敌手 $A$ $P r [(x, w) \in / R \lor ⟨ P (pp, x, w), V (pp, x)⟩ accepts pp \leftarrow Setup (1^{λ}) (x, w) \leftarrow A (pp)] = 1$

可靠性

使我们的分析复杂化的是,尽管我们的协议被描述为一个交互式论证,但它在实践中是通过使用 Fiat-Shamir 变换实现为一个 非交互式论证(non-interactive argument) 的。

公开掷币(Public coin)。 我们说一个交互式论证是 公开掷币(public coin) 的,当验证者发送的所有消息都各自以新鲜随机性采样时。

Fiat-Shamir 变换(Fiat-Shamir transformation)。 在这个变换中,一个交互式、公开掷币的论证可以在 随机预言机模型(random oracle model) 下被变为 非交互式,方法是用一个产生足够随机外观输出的密码学强哈希函数替换验证者算法。

这一变换意味着,在具体协议中,一个作弊的证明者可以通过分叉副本(forking the transcript)并向验证者发送新消息来轻易地"回退(rewind)"验证者。研究我们的构造在应用这一变换之后的具体安全性很重要。幸运的是,我们能够遵循 Ghoshal 和 Tessaro([GT20])的一套分析框架,它已被应用于与我们类似的构造。

我们将通过 状态恢复可靠性(state-restoration soundness) 这一概念来研究我们的协议。在这个模型中,允许(作弊的)证明者将验证者回退到它之前所处的任意状态。如果证明者能够产生一个被接受的副本,则他们获胜。

状态恢复可靠性(State-Restoration Soundness)。 设 $IP$ 是一个具有 $r = r (λ)$ 个验证者挑战(challenge)的交互式论证,并设第 $i$ 个挑战从 $Ch_{i}$ 中采样。状态恢复证明者 $P$ 的优势度量 $Adv_{IP}^{SRS} (P, λ) = Pr [SRS_{P}^{IP} (λ)]$ 是相对于以下博弈定义的。 $\underline{Game SRS_{IP}^{P} (λ) :} win \leftarrow false; tr \leftarrow ϵ pp \leftarrow IP . Setup (1^{λ}) (x, st_{P}) \leftarrow P_{λ} (pp) Run P_{λ}^{O_{SRS}} (st_{P}) Return win \underline{Oracle O_{SRS} (τ = (a_{1}, c_{1}, ..., a_{i - 1}, c_{i - 1}), a_{i}) :} If τ \in tr then If i \leq r then c_{i} \leftarrow Ch_{i}; tr \leftarrow tr ∣∣ (τ, a_{i}, c_{i}); Return c_{i} Else if i = r + 1 then d \leftarrow IP . V (pp, x, (τ, a_{i})); tr \leftarrow (τ, a_{i}) If d = 1 then win \leftarrow true Return d Return ⊥$

如 [GT20](定理 1)所示,状态恢复可靠性与应用 Fiat-Shamir 变换之后的可靠性紧致相关。

知识可靠性

我们将证明,我们的协议满足一种被称为 证据扩展模拟(witness extended emulation) 的、被强化的知识可靠性概念。非形式地说,这一概念指出:对于任何成功的证明者算法,都存在一个高效的 模拟器(emulator),它能通过回退该算法并向其提供新鲜随机性来从中提取出一个证据。

然而,我们必须对证据扩展模拟的定义稍作调整,以考虑到我们的证明者是状态恢复证明者并且能够回退验证者这一事实。此外,为了避免在证据提取过程中需要回退状态恢复证明者,我们在代数群模型(algebraic group model)下研究我们的协议。

代数群模型(Algebraic Group Model,AGM)。 一个敌手 $P_{alg}$ 被称为 代数的(algebraic),如果每当它输出一个群元素 $X$ 时,它也输出一个 表示(representation) $x \in F^{n}$ 使得 $⟨ x, G ⟩ = X$ ,其中 $G \in G^{n}$ 是 $P_{alg}$ 迄今为止所见到的群元素向量。在记号上,我们写 ${X}$ 来表示带有该表示增强的群元素 $X$ 。我们也写 ${X}_{i}^{G}$ 来标识 $X$ 的表示中对应于 $G_{i}$ 的分量。换言之, $X = i = 0 \sum n - 1 [{X}_{i}^{G}] G_{i}$

代数群模型允许我们对某些协议执行所谓的"在线(online)"提取:提取器(extractor)可以从单个(被接受的)副本的表示本身中获得证据。

状态恢复证据扩展模拟(State Restoration Witness Extended Emulation) 设 $IP$ 是一个针对关系 $R$ 、具有 $r = r (λ)$ 个挑战的交互式论证。我们对于所有非一致的代数证明者 $P_{alg}$ 、提取器 $E$ ,以及计算上无界的区分器(distinguisher) $D$ 定义优势度量 $Adv_{IP, R}^{sr-wee} (P_{alg}, D, E, λ) = Pr [WEE-real_{IP, R}^{P, D} (λ)] - Pr [WEE-ideal_{IP, R}^{E, P, D} (λ)]$ 是相对于以下博弈定义的。 $\underline{Game WEE-real_{IP, R}^{P_{alg}, D} (λ) :} tr \leftarrow ϵ pp \leftarrow IP . Setup (1^{λ}) (x, st_{P}) \leftarrow P_{alg} (pp) Run P_{alg}^{O_{real}} (st_{P}) b \leftarrow D (tr) Return b = 1 \underline{Game WEE-ideal_{IP, R}^{E, P_{alg}, D} (λ) :} tr \leftarrow ϵ pp \leftarrow IP . Setup (1^{λ}) (x, st_{P}) \leftarrow P_{alg} (pp) st_{E} \leftarrow (1^{λ}, pp, x) Run P_{alg}^{O_{ideal}} (st_{P}) w \leftarrow E (st_{E}, ⊥) b \leftarrow D (tr) Return (b = 1) \land (Acc (tr) ⟹ (x, w) \in R) \underline{Oracle O_{real} (τ = (a_{1}, c_{1}, ..., a_{i - 1}, c_{i - 1}), a_{i}) :} If τ \in tr then If i \leq r then c_{i} \leftarrow Ch_{i}; tr \leftarrow tr ∣∣ (τ, a_{i}, c_{i}); Return c_{i} Else if i = r + 1 then d \leftarrow IP . V (pp, x, (τ, a_{i})); tr \leftarrow (τ, a_{i}) If d = 1 then win \leftarrow true Return d Return ⊥ \underline{Oracle O_{ideal} (τ, a) :} If τ \in tr then (r, st_{E}) \leftarrow E (st_{E}, [(τ, a)]) tr \leftarrow tr ∣∣ (τ, a, r) Return r Return ⊥$

零知识

我们说一个知识论证是 零知识(zero knowledge) 的,如果验证者除了从有效 $w$ 存在这一事实所能学到的内容之外,也不从他们的交互中学到任何其他东西。更形式地说,

完美特殊诚实验证者零知识(Perfect Special Honest-Verifier Zero Knowledge)。 一个公开掷币的交互式论证 $(Setup, P, V)$ 具有 完美特殊诚实验证者零知识(PSHVZK),如果对于所有多项式时间可判定关系 $R$ 、所有 $(x, w) \in R$ ,以及所有非一致多项式时间敌手 $A_{1}, A_{2}$ ,都存在一个概率多项式时间模拟器(simulator) $S$ 使得 $= P r A_{1} (σ, x, tr) = 1 pp \leftarrow Setup (1^{λ}); (x, w, ρ) \leftarrow A_{2} (pp); t r \leftarrow ⟨ P (pp, x, w), V (pp, x, ρ)⟩ P r A_{1} (σ, x, tr) = 1 pp \leftarrow Setup (1^{λ}); (x, w, ρ) \leftarrow A_{2} (pp); t r \leftarrow S (pp, x, ρ)$ 其中 $ρ$ 是验证者的内部随机性。

在这个(常见的)零知识定义中,验证者被期望"诚实地"行动,并发送仅与其内部随机性相对应的挑战;他们不能基于证明者的消息自适应地响应证明者。我们使用这一定义的一种强化形式,它强制模拟器输出一个带有验证者算法发送给证明者的相同(由敌手提供的)挑战的副本。

协议

设 $ω \in F$ 是一个 $n = 2^{k}$ 次本原单位根(primitive root of unity),构成域 $D = (ω^{0}, ω^{1}, ..., ω^{n - 1})$ , $t (X) = X^{n} - 1$ 是该域上的消失多项式(vanishing polynomial)。设 $n_{g}, n_{a}, n_{e}$ 为正整数,满足 $n_{a}, n_{e} < n$ 且 $n_{g} \geq 4$ 。我们针对关系 $R = ⎩ ⎨ ⎧ ((g (X, C_{0}, ..., C_{n_{a} - 1}, a_{0} (X), ..., a_{n_{a} - 1} (X, C_{0}, ..., C_{n_{a} - 1}, a_{0} (X), ..., a_{n_{a} - 2} (X)))); (a_{0} (X), a_{1} (X, C_{0}, a_{0} (X)), ..., a_{n_{a} - 1} (X, C_{0}, ..., C_{n_{a} - 1}, a_{0} (X), ..., a_{n_{a} - 2} (X)))) : g (ω^{i}, \dots) = 0 \forall i \in [0, 2^{k}) ⎭ ⎬ ⎫$ 给出一个交互式论证 $Halo = (Setup, P, V)$ ,其中 $a_{0}, a_{1}, ..., a_{n_{a} - 1}$ 是关于 $X$ 度数为 $n - 1$ 的(多元)多项式, $g$ 关于任意不定元 $X, C_{0}, C_{1}, ...$ 的度数至多为 $n_{g} (n - 1)$ 。

$Setup (λ)$ 返回 $pp = (G, F, G \in G^{n}, U, W \in G)$ 。

对于所有 $i \in [0, n_{a})$ :

设 $p_{i}$ 为所有整数 $j$ (模 $n$ )的穷举集合,使得 $a_{i} (ω^{j} X, \dots)$ 作为一项出现在 $g (X, \dots)$ 中。
设 $q$ 是一个由互异整数集合构成的列表,包含 $p_{i}$ 以及集合 $q_{0} = {0}$ 。
当 $q_{j} = p_{i}$ 时设 $σ (i) = q_{j}$ 。

设 $n_{q} \leq n_{a}$ 表示 $q$ 的大小,并不失一般性地设 $n_{e}$ 表示每个 $p_{i}$ 的大小。

在以下协议中,我们将默认每个多项式 $a_{i} (X, \dots)$ 的定义方式使得:有 $n_{e} + 1$ 个盲化因子(blinding factor)由证明者新鲜采样,并各自作为 $a_{i} (X, \dots)$ 在域 $D$ 上的一个求值出现。在以下所有内容中,验证者的挑战不能为零或 $D$ 中的元素,此外对某些特定挑战还设置了额外的限制。

$P$ 和 $V$ 进行以下 $n_{a}$ 轮交互,在第 $j$ 轮(从 $0$ 开始)中

$P$ 设 $a_{j}^{'} (X) = a_{j} (X, c_{0}, c_{1}, ..., c_{j - 1}, a_{0} (X, \dots), ..., a_{j - 1} (X, \dots, c_{j - 1}))$
$P$ 发送一个隐藏承诺(hiding commitment) $A_{j} = ⟨ a^{'}, G ⟩ + [\cdot] W$ ,其中 $a^{'}$ 是一元多项式 $a_{j}^{'} (X)$ 的系数,而 $\cdot$ 是某个为简化叙述而省略的、随机且独立采样的盲化因子。(这种省略记号在本协议描述中通篇使用以简化叙述。)
$V$ 以挑战 $c_{j}$ 作出响应。

$P$ 设 $g^{'} (X) = g (X, c_{0}, c_{1}, ..., c_{n_{a} - 1}, \dots)$ 。
$P$ 发送一个承诺 $R = ⟨ r, G ⟩ + [\cdot] W$ ,其中 $r \in F^{n}$ 是一个随机采样的、度数为 $n - 1$ 的一元多项式 $r (X)$ 的系数。
$P$ 计算一元多项式 $h (X) = \frac{g ^{'} ( X )}{t ( X )}$ ,其度数为 $n_{g} (n - 1) - n$ 。
$P$ 计算至多 $n - 1$ 度的多项式 $h_{0} (X), h_{1} (X), ..., h_{n_{g} - 2} (X)$ 使得 $h (X) = i = 0 \sum n_{g} - 2 X^{ni} h_{i} (X)$ 。
$P$ 对所有 $i$ 发送承诺 $H_{i} = ⟨ h_{i}, G ⟩ + [\cdot] W$ ,其中 $h_{i}$ 表示 $h_{i} (X)$ 的系数向量。
$V$ 以挑战 $x$ 作出响应,并计算 $H^{'} = i = 0 \sum n_{g} - 2 [x^{ni}] H_{i}$ 。
$P$ 设 $h^{'} (X) = i = 0 \sum n_{g} - 2 x^{ni} h_{i} (X)$ 。
$P$ 发送 $r = r (x)$ ,并对所有 $i \in [0, n_{a})$ 发送 $a_{i}$ 使得对所有 $j \in [0, n_{e} - 1]$ 有 $(a_{i})_{j} = a_{i}^{'} (ω^{(p_{i})_{j}} x)$ 。
对所有 $i \in [0, n_{a})$ , $P$ 和 $V$ 设 $s_{i} (X)$ 为最低度数的一元多项式,其定义满足对所有 $j \in [0, n_{e} - 1)$ 有 $s_{i} (ω^{(p_{i})_{j}} x) = (a_{i})_{j}$ 。
$V$ 以挑战 $x_{1}, x_{2}$ 作出响应,并初始化 $Q_{0}, Q_{1}, ..., Q_{n_{q} - 1} = O$ 。

从 $i = 0$ 开始到 $n_{a} - 1$ , $V$ 设 $Q_{σ (i)} := [x_{1}] Q_{σ (i)} + A_{i}$ 。
$V$ 最后设 $Q_{0} := [x_{1}^{2}] Q_{0} + [x_{1}] H^{'} + R$ 。

$P$ 初始化 $q_{0} (X), q_{1} (X), ..., q_{n_{q} - 1} (X) = 0$ 。

从 $i = 0$ 开始到 $n_{a} - 1$ , $P$ 设 $q_{σ (i)} := x_{1} q_{σ (i)} + a^{'} (X)$ 。
$P$ 最后设 $q_{0} (X) := x_{1}^{2} q_{0} (X) + x_{1} h^{'} (X) + r (X)$ 。

$P$ 和 $V$ 初始化 $r_{0} (X), r_{1} (X), ..., r_{n_{q} - 1} (X) = 0$ 。

从 $i = 0$ 开始到 $n_{a} - 1$ , $P$ 和 $V$ 设 $r_{σ (i)} (X) := x_{1} r_{σ (i)} (X) + s_{i} (X)$ 。
最后 $P$ 和 $V$ 设 $r_{0} := x_{1}^{2} r_{0} + x_{1} h + r$ ,其中 $h$ 由 $V$ 使用 $P$ 提供的值 $r, a$ 计算为 $\frac{g ^{'} ( x )}{t ( x )}$ 。

$P$ 发送 $Q^{'} = ⟨ q^{'}, G ⟩ + [\cdot] W$ ,其中 $q^{'}$ 定义了多项式 $q^{'} (X) = i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{q _{i} ( X ) - r _{i} ( X )}{j = 0 \prod n _{e} - 1 ( X - ω ^{(q_{i})_{j}} x )}$ 的系数。
$V$ 以挑战 $x_{3}$ 作出响应。
$P$ 发送 $u \in F^{n_{q}}$ 使得对所有 $i \in [0, n_{q})$ 有 $u_{i} = q_{i} (x_{3})$ 。
$V$ 以挑战 $x_{4}$ 作出响应。
$V$ 设 $P = Q^{'} + x_{4} i = 0 \sum n_{q} - 1 [x_{4}^{i}] Q_{i}$ 以及 $v =$ $i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{u _{i} - r _{i} ( x _{3} )}{j = 0 \prod n _{e} - 1 ( x _{3} - ω ^{(q_{i})_{j}} x )} + x_{4} i = 0 \sum n_{q} - 1 x_{4} u_{i}$
$P$ 设 $p (X) = q^{'} (X) + [x_{4}] i = 0 \sum n_{q} - 1 x_{4}^{i} q_{i} (X)$ 。
$P$ 采样一个度数为 $n - 1$ 且在 $x_{3}$ 处有根的随机多项式 $s (X)$ ,并发送承诺 $S = ⟨ s, G ⟩ + [\cdot] W$ ,其中 $s$ 定义了 $s (X)$ 的系数。
$V$ 以挑战 $ξ, z$ 作出响应。
$V$ 设 $P^{'} = P - [v] G_{0} + [ξ] S$ 。
$P$ 设 $p^{'} (X) = p (X) - p (x_{3}) + ξ s (X)$ (其中 $p (x_{3})$ 应与验证者计算出的值 $v$ 相对应)。
将 $p^{'}$ 初始化为 $p^{'} (X)$ 的系数,并设 $G^{'} = G$ 以及 $b = (x_{3}^{0}, x_{3}^{1}, ..., x_{3}^{n - 1})$ 。 $P$ 和 $V$ 将进行以下 $k$ 轮交互,在第 $j$ 轮(从第 $j = 0$ 轮开始到第 $j = k - 1$ 轮结束)中:

$P$ 发送 $L_{j} = ⟨ p^{'}_{hi}, G^{'}_{lo} ⟩ + [z ⟨ p^{'}_{hi}, b_{lo} ⟩] U + [\cdot] W$ 和 $R_{j} = ⟨ p^{'}_{lo}, G^{'}_{hi} ⟩ + [z ⟨ p^{'}_{lo}, b_{hi} ⟩] U + [\cdot] W$ 。
$V$ 以挑战 $u_{j}$ 作出响应,该挑战的选取使得 $1 + u_{k - 1 - j} x_{3}^{2^{j}}$ 非零。
$P$ 和 $V$ 设 $G^{'} := G^{'}_{lo} + u_{j} G^{'}_{hi}$ 以及 $b := b_{lo} + u_{j} b_{hi}$ 。
$P$ 设 $p^{'} := p^{'}_{lo} + u_{j}^{- 1} p^{'}_{hi}$ 。

$P$ 发送 $c = p^{'}_{0}$ 以及由被省略的盲化因子计算出的合成盲化因子(synthetic blinding factor) $f$ 。
$V$ 仅当 $\sum_{j = 0}^{k - 1} [u_{j}^{- 1}] L_{j} + P^{'} + \sum_{j = 0}^{k - 1} [u_{j}] R_{j} = [c] G^{'}_{0} + [c b_{0} z] U + [f] W$ 时接受。

零知识与完备性

我们声称该协议是 完美完备的(perfectly complete)。这可以通过对协议的检视来验证;给定一个有效的证据 $a_{i} (X, \dots) \forall i$ ,证明者以概率 $1$ 成功说服验证者。

我们声称该协议是 完美特殊诚实验证者零知识(perfect special honest-verifier zero knowledge) 的。我们通过证明存在一个模拟器 $S$ 来做到这一点,该模拟器能够产生一个被接受的副本,其分布与一个有效证明者在相同公开掷币下与验证者交互的分布相同。该模拟器将如同一个诚实的证明者那样行动,但有以下例外:

在协议的第 $1$ 步中, $S$ 选择随机的度数为 $n - 1$ 的多项式(关于 $X$ ) $a_{i} (X, \dots) \forall i$ 。
在协议的第 $5$ 步中, $S$ 选择随机的 $n - 1$ 度多项式 $h_{0} (X), h_{1} (X), ..., h_{n_{g} - 2} (X)$ 。
在协议的第 $14$ 步中, $S$ 选择一个随机的 $n - 1$ 度多项式 $q^{'} (X)$ 。
在协议的第 $20$ 步中, $S$ 利用其对验证者所选 $ξ$ 的预知,生成一个度数为 $n - 1$ 的多项式 $s (X)$ ,其唯一约束条件是 $p (X) - v + ξ s (X)$ 在 $x_{3}$ 处有根。

首先,让我们考虑为什么这个模拟器总能成功产生一个 被接受的 副本。 $S$ 缺乏一个有效的证据,并且每当诚实证明者需要有效证据的知识时,它都只是简单地对随机多项式做承诺。验证者对副本中的标量值不设任何条件。 $S$ 只须保证协议第 $26$ 步中的检查成功。它通过利用其对挑战 $ξ$ 的知识,生成一个与 $p^{'} (X)$ 相互作用的多项式,以确保后者在 $x_{3}$ 处有根来做到这一点。因此,由于完美完备性,该副本将总是被接受。

为了理解为什么 $S$ 产生的副本与诚实证明者的副本分布完全相同,我们将逐一考察副本的每个部分并比较其分布。首先,注意 $S$ (正如诚实证明者那样)对副本中的每个群元素都使用一个新鲜随机的盲化因子,因此我们只需考虑副本中的 标量(scalars)。 $S$ 的行为与证明者完全相同,除了上述提到的几种情况,因此我们将逐一分析每种情况:

$S$ 与诚实证明者都揭示每个多项式 $a_{i} (X, \dots)$ 的 $n_{e}$ 个打开值,并在第 $16$ 步中至多揭示每个 $a_{i} (X, \dots)$ 的一个额外打开值。然而,诚实证明者用 $n_{e} + 1$ 个在域 $D$ 上的随机求值来盲化他们的多项式 $a_{i} (X, \dots)$ (关于 $X$ )。因此, $a_{i} (X, \dots)$ 在挑战 $x$ (协议禁止其为 $0$ 或位于域 $D$ 中)处的打开值,在 $S$ 与诚实证明者之间的分布完全相同。
$S$ 和诚实证明者都不揭示 $h (x)$ ,因为它由验证者计算。然而,诚实证明者可能会揭示 $h^{'} (x_{3})$ ——它与 $h (X)$ 有一种非平凡的关系——若不是因为诚实证明者还在第 $3$ 步中对一个随机的度数为 $n - 1$ 的多项式 $r (X)$ 做了承诺,产生一个承诺 $R$ ,从而确保在第 $12$ 步当证明者设 $q_{0} (X) := x_{1}^{2} q_{0} (X) + x_{1} h^{'} (X) + r (X)$ 时 $q_{0} (x_{3})$ 的分布是均匀随机的。因此, $h^{'} (x_{3})$ 永远不会被诚实证明者也不会被 $S$ 揭示。
$q^{'} (x_{3})$ 的期望值由验证者计算(在第 $18$ 步中),因此模拟器对 $q^{'} (X)$ 的实际选择是无关紧要的。
$p (X) - v + ξ s (X)$ 被约束为在 $x_{3}$ 处有根,但除此之外对 $s (X)$ 不设其他条件,因此无论 $s (X)$ 是否在 $x_{3}$ 处有根,度数为 $n - 1$ 的多项式 $p (X) - v + ξ s (X)$ 的分布都是均匀随机的。因此,第 $25$ 步中产生的 $c$ 的分布在 $S$ 与诚实证明者之间完全相同。第 $25$ 步中也揭示的合成盲化因子 $f$ 是证明者其他盲化因子的一个平凡函数,因此在 $S$ 与诚实证明者之间分布完全相同。

注:

在我们协议的较早版本中,作为多点打开论证(multipoint opening argument)的一部分,证明者会在 $x$ 处打开每个单独的承诺 $H_{0}, H_{1}, ...$ ,而验证者会确认这些打开值的一个线性组合(以 $x^{n}$ 的幂为系数)与 $h (x)$ 的期望值相符。这样做是因为它在递归证明中更高效。然而,我们当时不清楚这些承诺 $H_{0}, H_{1}, ...$ 的打开值的期望分布是什么,因此证明该论证是零知识的很困难。于是我们改变了论证,使得 验证者 计算这些承诺的一个线性组合,而这个线性组合在 $x$ 处被打开。这避免了泄露 $h_{i} (x)$ 。
如前所述,在第 $3$ 步中证明者对一个随机多项式做承诺,作为一种确保 $h^{'} (x_{3})$ 不会在多重打开(multiopen)论证中被揭示的方法。这样做是因为不清楚 $h^{'} (x_{3})$ 的分布会是什么。
从技术上讲,我们也可以用一个模拟器来证明零知识,该模拟器利用其对挑战 $x$ 的预知来承诺一个 $h (X)$ ,使其在 $x$ 处与它将被期望的值相符。这将省去协议中对随机多项式 $s (X)$ 的需求。不过这可能会使协议其余部分的零知识分析变得有些棘手,所以我们没有走这条路。
群元素盲化因子在第 $23$ 步(此处多项式被完全随机化)之后 在技术上 不再必要。然而,在实践中,确保协议中的每个群元素都被随机盲化对我们来说更简单,这使得涉及无穷远点(point at infinity)的边界情况更难出现。
至关重要的是,验证者不能挑战证明者在 $D$ 中的点处打开多项式,否则诚实证明者的副本将被迫包含可能是证明者证据一部分的内容。因此我们将挑战空间限制为包含域中除 $D$ 之外的所有元素,并且为简单起见,我们还禁止挑战为 $0$ 。

证据扩展模拟

设 $Halo = Halo [G]$ 为上述针对关系 $R$ 、群 $G$ (其标量域为 $F$ )的交互式论证。我们总能构造一个提取器 $E$ ,使得对于任何对其预言机做至多 $q$ 次查询的非一致代数证明者 $P_{alg}$ ,都存在一个非一致敌手 $H$ ,具有这样的性质:对于任何计算上无界的区分器 $D$

$Adv_{Halo, R}^{sr-wee} (P_{alg}, D, E, λ) \leq q ϵ + Adv_{G, n + 2}^{dl-rel} (H, λ)$

其中 $ϵ \leq \frac{n _{g} \cdot ( n - 1 )}{∣ Ch ∣}$ 。

证明。 我们将通过援引 [GT20] 的定理 1 来证明这一点。首先,我们注意到所有轮次的挑战空间是相同的,即 $\forall i Ch = Ch_{i}$ 。定理 1 要求我们定义:

对所有部分副本 $tr^{'} = (pp, x, [a_{0}], c_{0}, \dots, [a_{i}])$ 定义 $BadCh (tr^{'}) \in Ch$ 使得 $∣ BadCh (tr^{'}) ∣/∣ Ch ∣ \leq ϵ$ 。
一个提取器函数 $e$ ,它以一个被接受的扩展副本 $tr$ 作为输入,并返回一个有效证据或失败。
一个返回概率的函数 $p_{fail} (Halo, P_{alg}, e, R)$ 。

我们说一个被接受的扩展副本 $tr$ 包含"坏挑战(bad challenges)",当且仅当存在一个部分扩展副本 $tr^{'}$ 、一个挑战 $c_{i} \in BadCh (tr^{'})$ ,以及某个证明者消息和挑战序列 $([a_{i + 1}], c_{i + 1}, \dots [a_{j}])$ 使得 $tr = tr^{'} ∣∣ (c_{i}, [a_{i + 1}], c_{i + 1}, \dots [a_{j}])$ 。

定理 1 要求:当给定一个不包含"坏挑战"的被接受扩展副本 $tr$ 时, $e$ 返回该副本的一个有效证据,除非概率上界为 $p_{fail} (Halo, P_{alg}, e, R)$ 的情形发生。

我们的策略如下:我们将定义 $e$ ,相对于一个参与 $dl-rel_{G, n + 2}$ 博弈的敌手 $H$ 建立 $p_{fail}$ 的一个上界,将这些代入定理 1,然后逐步走过协议以确定 $BadCh (tr^{'})$ 大小的上界。敌手 $H$ 按如下方式参与 $dl-rel_{G, n + 2}$ 博弈:给定输入 $U, W \in G, G \in G^{n}$ ,敌手 $H$ 向 $P_{alg}$ 模拟博弈 $sr-wee_{Halo, R}$ ,使用来自 $dl-rel_{G, n + 2}$ 博弈的输入作为公共参数。如果 $P_{alg}$ 设法产生一个被接受的扩展副本 $tr$ , $H$ 在 $tr$ 上调用一个函数 $h$ 并返回其输出。我们将以这样的方式定义 $h$ :对于一个不包含"坏挑战"的被接受扩展副本 $tr$ ,只要 $h (tr)$ 不返回一个非平凡的离散对数关系, $e (tr)$ 就总是返回一个有效证据。这意味着概率 $p_{fail} (Halo, P_{alg}, e, R)$ 不大于 $Adv_{G, n + 2}^{dl-rel} (H, λ)$ ,从而确立了我们的声称。

有用的替换

我们将执行一些替换以辅助叙述。首先,让我们定义多项式

$κ (X) = j = 0 \prod k - 1 (1 + u_{k - 1 - j} X^{2^{j}})$

这样我们可以写 $b_{0} = κ (x_{3})$ 。 $κ (X)$ 的系数向量 $s$ 定义为

$s_{i} = j = 0 \prod k - 1 u_{k - 1 - j}^{f (i, j)}$

其中 $f (i, j)$ 当 $i$ 的第 $j$ 个比特被置位时返回 $1$ ,否则返回 $0$ 。我们也可以写 $G^{'}_{0} = ⟨ s, G ⟩$ 。

函数 $h$ 的描述

回忆一个被接受的副本 $tr$ 满足

$i = 0 \sum k - 1 [u_{j}^{- 1}] {L_{j}} + {P^{'}} + i = 0 \sum k - 1 [u_{j}] {R_{j}} = [c] G^{'}_{0} + [cz b_{0}] U + [f] W$

通过检视群元素关于 $G, U, W$ 的表示(回忆 $P_{alg}$ 是代数的,因此 $H$ 拥有它们),我们得到 $n$ 个等式

$i = 0 \sum k - 1 u_{j}^{- 1} {L_{j}}_{i}^{G} + {P^{'}}_{i}^{G} + i = 0 \sum k - 1 u_{j} {R_{j}}_{i}^{G} = c s_{i} \forall i \in [0, n)$

以及这些等式

$i = 0 \sum k - 1 u_{j}^{- 1} {L_{j}}^{U} + {P^{'}}^{U} + i = 0 \sum k - 1 u_{j} {R_{j}}^{U} = cz κ (x_{3})$

$i = 0 \sum k - 1 u_{j}^{- 1} {L_{j}}^{W} + {P^{'}}^{W} + i = 0 \sum k - 1 u_{j} {R_{j}}^{W} = f$

我们定义线性时间函数 $h$ ,它返回如下表达式的表示

$i = 0 \sum n - 1 + + [\sum_{i = 0}^{k - 1} u_{j}^{- 1} {L_{j}}_{i}^{G} + {P^{'}}_{i}^{G} + \sum_{i = 0}^{k - 1} u_{j} {R_{j}}_{i}^{G} - c s_{i}] [\sum_{i = 0}^{k - 1} u_{j}^{- 1} {L_{j}}^{U} + {P^{'}}^{U} + \sum_{i = 0}^{k - 1} u_{j} {R_{j}}^{U} - cz κ (x_{3})] [\sum_{i = 0}^{k - 1} u_{j}^{- 1} {L_{j}}^{W} + {P^{'}}^{W} + \sum_{i = 0}^{k - 1} u_{j} {R_{j}}^{W} - f] G_{i} U W$

它总是一个离散对数关系。如果上述任何等式不被满足,那么这个离散对数关系就是非平凡的。这就是 $H$ 所调用的函数。

提取器函数 $e$

提取器函数 $e$ 简单地从表示 ${A_{i}}$ 中返回 $a_{i} (X)$ , $i \in [0, n_{a})$ 。由于我们将对每一轮中坏挑战空间施加限制,只要敌手的函数 $h$ 返回的离散对数关系是平凡的,我们就能保证得到这样的多项式: $g (X, C_{0}, C_{1}, \dots, a_{0} (X), a_{1} (X), \dots)$ 在 $D$ 上消失。这平凡地给出:提取器函数 $e$ 成功的概率上界为所要求的 $p_{fail}$ 。

定义 $BadCh (tr^{'})$

回忆前面所述,以下 $n$ 个等式成立:

$i = 0 \sum k - 1 u_{j}^{- 1} {L_{j}}_{i}^{G} + {P^{'}}_{i}^{G} + i = 0 \sum k - 1 u_{j} {R_{j}}_{i}^{G} = c s_{i} \forall i \in [0, n)$

以及等式

$i = 0 \sum k - 1 u_{j}^{- 1} {L_{j}}^{U} + {P^{'}}^{U} + i = 0 \sum k - 1 u_{j} {R_{j}}^{U} = cz κ (x_{3})$

为方便起见,让我们引入以下记号

$M_{i}^{G} (m) M_{U} (m) = \sum_{i = 0}^{m - 1} u_{j}^{- 1} {L_{j}}_{i}^{G} + {P^{'}}_{i}^{G} + \sum_{i = 0}^{m - 1} u_{j} {R_{j}}_{i}^{G} = \sum_{i = 0}^{m - 1} u_{j}^{- 1} {L_{j}}^{U} + {P^{'}}^{U} + \sum_{i = 0}^{m - 1} u_{j} {R_{j}}^{U}$

这样我们可以把上面的式子(在对 $κ (x_{3})$ 展开后)重写为

$M_{i}^{G} (k) = c s_{i} \forall i \in [0, n)$

$M_{U} (k) = cz j = 0 \prod k - 1 (1 + u_{k - 1 - j} x_{3}^{2^{j}})$

我们可以通过将第一个等式的每个实例的两边都乘以 $s_{i}^{- 1}$ (因为 $s_{i}$ 永不为零)并代入第二个等式中的 $c$ ,来合并这些方程,得到以下 $n$ 个等式:

$M_{U} (k) = M_{i}^{G} (k) \cdot s_{i}^{- 1} z j = 0 \prod k - 1 (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, n)$

引理 1。 如果 $M_{U} (k) = M_{i}^{G} (k) \cdot s_{i}^{- 1} z \prod_{j = 0}^{k - 1} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, n)$ ,那么对于所有不包含坏挑战的副本,可推出 ${P^{'}}^{U} = z i = 0 \sum 2^{k} - 1 x_{3}^{i} {P^{'}}_{i}^{G}$ 。

证明。 引入又一个抽象会很有用,它首先定义为 $Z_{k} (m, i) = M_{i}^{G} (m)$ 然后对所有满足 $0 < r \leq k$ 的整数 $r$ 递归定义 $Z_{k - r} (m, i) = Z_{k - r + 1} (m, i) + x_{3}^{2^{k - r}} Z_{k - r + 1} (m, i + 2^{k - r})$ 这允许我们把上面的等式重写为 $M_{U} (k) = Z_{k} (k, i) \cdot s_{i}^{- 1} z j = 0 \prod k - 1 (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, n)$

现在我们将证明:对于所有满足 $0 < r \leq k$ 的整数 $r$ ,每当以下式子对 $r$ 成立时 $M_{U} (r) = Z_{r} (r, i) \cdot s_{i}^{- 1} z j = 0 \prod r - 1 (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, 2^{r})$ 同样的式子也对以下成立 $M_{U} (r - 1) = Z_{r - 1} (r - 1, i) \cdot s_{i}^{- 1} z j = 0 \prod r - 2 (1 + u_{k - 2 - j} x_{3}^{2^{j}}) \forall i \in [0, 2^{r - 1})$

对于所有满足 $0 < r \leq k$ 的整数 $r$ ,根据 $s$ 的定义我们有 $s_{i + 2^{r - 1}} = u_{r - 1} s_{i} \forall i \in [0, 2^{r - 1})$ 。由于 $s$ 中没有任何值、也没有任何挑战 $u_{r}$ 为零,这给我们 $s_{i + 2^{r - 1}}^{- 1} = s_{i}^{- 1} u_{r - 1}^{- 1} \forall i \in [0, 2^{r - 1})$ 。我们可以用这一点把一半的等式与另一半关联起来,如下: $M_{U} (r) = Z_{r} (r, i) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 1} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) = Z_{r} (r, i + 2^{r - 1}) \cdot s_{i}^{- 1} u_{r - 1}^{- 1} z \prod_{j = 0}^{r - 1} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, 2^{r - 1})$

注意 $Z_{r} (r, i)$ 可以对所有 $i \in [0, 2^{r})$ 重写为 $u_{r - 1}^{- 1} {L_{r - 1}}_{i}^{G} + Z_{r} (r - 1, i) + u_{r - 1} {R_{r - 1}}_{i}^{G}$ 。因此我们可以把上式重写为

$M_{U} (r) = (u_{r - 1}^{- 1} {L_{r - 1}}_{i}^{G} + Z_{r} (r - 1, i) + u_{r - 1} {R_{r - 1}}_{i}^{G}) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 1} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) = (u_{r - 1}^{- 1} {L_{r - 1}}_{i + 2^{r - 1}}^{G} + Z_{r} (r - 1, i + 2^{r - 1}) + u_{r - 1} {R_{r - 1}}_{i + 2^{r - 1}}^{G}) \cdot s_{i}^{- 1} u_{r - 1}^{- 1} z \prod_{j = 0}^{r - 1} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, 2^{r - 1})$

现在让我们把这些等式中的 $u_{r - 1}$ 替换为形式不定元 $X$ 来重写它们。

$X^{- 1} {L_{r - 1}}^{U} + M_{U} (r - 1) + X {R_{r - 1}}^{U} = (X^{- 1} {L_{r - 1}}_{i}^{G} + Z_{r} (r - 1, i) + X {R_{r - 1}}_{i}^{G}) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) (1 + x_{3}^{2^{r - 1}} X) = (X^{- 1} {L_{r - 1}}_{i + 2^{r - 1}}^{G} + Z_{r} (r - 1, i + 2^{r - 1}) + X {R_{r - 1}}_{i + 2^{r - 1}}^{G}) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) (X^{- 1} + x_{3}^{2^{r - 1}}) \forall i \in [0, 2^{r - 1})$

现在让我们把所有式子按 $X^{2}$ 重新缩放以消除负指数。

$X {L_{r - 1}}^{U} + X^{2} M_{U} (r - 1) + X^{3} {R_{r - 1}}^{U} = (X^{- 1} {L_{r - 1}}_{i}^{G} + Z_{r} (r - 1, i) + X {R_{r - 1}}_{i}^{G}) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) (X^{2} + x_{3}^{2^{r - 1}} X^{3}) = (X^{- 1} {L_{r - 1}}_{i + 2^{r - 1}}^{G} + Z_{r} (r - 1, i + 2^{r - 1}) + X {R_{r - 1}}_{i + 2^{r - 1}}^{G}) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) (X + x_{3}^{2^{r - 1}} X^{2}) \forall i \in [0, 2^{r - 1})$

这给了我们 $2^{r - 1}$ 个三元组,每组是关于 $X$ 的最高度数为 $4$ 的多项式,尽管它们的系数在 $u_{r - 1}$ 选定之前就已确定,但它们在 $u_{r - 1}$ 处取值相等。根据 Schwartz-Zippel 引理,这其中两个多项式会在 $u_{r - 1}$ 处取值相等却又互异的概率为 $\frac{4}{∣ Ch ∣}$ ,因此由联合界(union bound),这三个多项式取值相等却又其中任意一个与另一个不同的概率为 $\frac{8}{∣ Ch ∣}$ 。再次由联合界, $2^{r - 1}$ 个三元组中任意一个含有多个互异多项式的概率为 $\frac{2 ^{r - 1} \cdot 8}{∣ Ch ∣}$ 。通过相应地限制 $u_{r - 1}$ 的挑战空间,我们对整数 $0 < r \leq k$ 得到 $∣ BadCh (tr^{'} ∣_{u_{r}}) ∣/∣ Ch ∣ \leq \frac{2 ^{r - 1} \cdot 8}{∣ Ch ∣}$ ,从而 $∣ BadCh (tr^{'} ∣_{u_{k}}) ∣/∣ Ch ∣ \leq \frac{4 n}{∣ Ch ∣} \leq ϵ$ 。

现在我们可以得出多项式相等的结论,从而得出系数相等。首先考虑常数项的系数,这给我们 $2^{r - 1}$ 个等式 $0 = 0 = s_{i}^{- 1} z (j = 0 \prod r - 2 (1 + u_{k - 1 - j} x_{3}^{2^{j}})) \cdot {L_{r - 1}}_{i + 2^{r - 1}}^{G} \forall i \in [0, 2^{r - 1})$

$s$ 中没有任何值为零, $z$ 永远不会被选为 $0$ ,且每个 $u_{j}$ 的选取使得 $1 + u_{k - 1 - j} x_{3}^{2^{j}}$ 非零,因此我们可以得出 $0 = {L_{r - 1}}_{i + 2^{r - 1}}^{G} \forall i \in [0, 2^{r - 1})$

对于这些等式中 $X^{4}$ 项的系数,可以遵循一个相同的过程来确立 $0 = {R_{r - 1}}_{i}^{G} \forall i \in [0, 2^{r - 1})$ ,这取决于 $x_{3}$ 非零(它总是非零)。把这些代入我们的等式得到更简单的式子

$X {L_{r - 1}}^{U} + X^{2} M_{U} (r - 1) + X^{3} {R_{r - 1}}^{U} = (X^{- 1} {L_{r - 1}}_{i}^{G} + Z_{r} (r - 1, i)) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) (X^{2} + x_{3}^{2^{r - 1}} X^{3}) = (Z_{r} (r - 1, i + 2^{r - 1}) + X {R_{r - 1}}_{i + 2^{r - 1}}^{G}) \cdot s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) (X + x_{3}^{2^{r - 1}} X^{2}) \forall i \in [0, 2^{r - 1})$

现在我们将考虑 $X$ 中的系数,它们给出等式

${L_{r - 1}}^{U} = s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \cdot {L_{r - 1}}_{i}^{G} = s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \cdot Z_{r} (r - 1, i + 2^{r - 1}) \forall i \in [0, 2^{r - 1})$

由与之前类似的推理,它给出等式 ${L_{r - 1}}_{i}^{G} = Z_{r} (r - 1, i + 2^{r - 1}) \forall i \in [0, 2^{r - 1})$

最后我们将考虑 $X^{2}$ 中的系数,它们给出等式

$M_{U} (r - 1) = s_{i}^{- 1} z \prod_{j = 0}^{r - 2} (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \cdot (Z_{r} (r - 1, i) + {L_{r - 1}}_{i}^{G} x_{3}^{2^{r - 1}}) \forall i \in [0, 2^{r - 1})$

它通过代入给我们 $\forall i \in [0, 2^{r - 1})$ $M_{U} (r - 1) = s_{i}^{- 1} z j = 0 \prod r - 2 (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \cdot (Z_{r} (r - 1, i) + Z_{r} (r - 1, i + 2^{r - 1}) x_{3}^{2^{r - 1}})$

注意到根据 $Z_{r - 1} (m, i)$ 的定义,我们可以把它重写为

$M_{U} (r - 1) = Z_{r - 1} (r - 1, i) \cdot s_{i}^{- 1} z j = 0 \prod r - 2 (1 + u_{k - 1 - j} x_{3}^{2^{j}}) \forall i \in [0, 2^{r - 1})$

这正是我们着手要证明的形式。

我们现在从已知成立的 $r = k$ 情形出发通过归纳法进行,直到达到 $r = 0$ ,这给我们 $M_{U} (0) = Z_{0} (0, 0) \cdot s_{0}^{- 1} z$

而因为 $M_{U} (0) = {P^{'}}^{U}$ 且 $Z_{0} (0, 0) = \sum_{i = 0}^{2^{k} - 1} x_{3}^{i} {P^{'}}_{i}^{G}$ ,我们得到 ${P^{'}}^{U} = z \sum_{i = 0}^{2^{k} - 1} x_{3}^{i} {P^{'}}_{i}^{G}$ ,这就完成了证明。

在确立了 ${P^{'}}^{U} = z \sum_{i = 0}^{2^{k} - 1} x_{3}^{i} {P^{'}}_{i}^{G}$ 之后,并鉴于 $x_{3}$ 和 ${P^{'}}_{i}^{G}$ 在 $z$ 选定之前就已固定,我们有:至多存在一个 $z \in Ch$ 的值(非零)使得 ${P^{'}}^{U} = z \sum_{i = 0}^{2^{k} - 1} x_{3}^{i} {P^{'}}_{i}^{G}$ 却又 ${P^{'}}^{U} \neq = 0$ 。通过相应地限制 $∣ BadCh (tr^{'} ∣_{z}) ∣/∣ Ch ∣ \leq \frac{1}{∣ Ch ∣} \leq ϵ$ ,我们得到 ${P^{'}}^{U} = 0$ ,从而由 ${P^{'}}^{G}$ 定义的多项式在 $x_{3}$ 处有根。

根据构造 $P^{'} = P - [v] G_{0} + [ξ] S$ ,这给我们由 ${P + [ξ] S}^{G}$ 定义的多项式在点 $x_{3}$ 处求值为 $v$ 。我们有 $v, P, S$ 在 $ξ$ 选定之前就已固定,因此要么由 ${S}^{G}$ 定义的多项式在 $x_{3}$ 处有根(这蕴含由 ${P}^{G}$ 定义的多项式在点 $x_{3}$ 处求值为 $v$ ),要么 $ξ$ 是 $Ch$ 中使得 ${P + [ξ] S}^{G}$ 在点 $x_{3}$ 处求值为 $v$ 、而 ${P}^{G}$ 本身却并非如此的唯一解。我们通过相应地限制 $∣ BadCh (tr^{'} ∣_{ξ}) ∣/∣ Ch ∣ \leq \frac{1}{∣ Ch ∣} \leq ϵ$ 来避免后一种情况,从而可以得出由 ${P}^{G}$ 定义的多项式在 $x_{3}$ 处求值为 $v$ 。

剩余的工作严格地处理证明者先前发送的群元素的表示及其与 $P$ 的关系,以及协议每一轮中所选的挑战。我们首先通过用 $p (X)$ 表示由 ${P}^{G}$ 定义的多项式来简化处理,因为这个 $p (X)$ 恰好对应于协议本身中同名的多项式。我们将对其他群元素(及其对应的多项式)做类似的替换以辅助叙述,因为这个证明的剩余部分主要是繁琐地应用 Schwartz-Zippel 引理来对协议中剩余每个挑战的坏挑战空间大小取上界。

回忆 $P = Q^{'} + x_{4} i = 0 \sum n_{q} - 1 [x_{4}^{i}] Q_{i}$ ,因此通过代入我们有 $p (X) = q^{'} (X) + x_{4} i = 0 \sum n_{q} - 1 x_{4}^{i} q_{i} (X)$ 。还回忆

$v = i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{u _{i} - r _{i} ( x _{3} )}{j = 0 \prod n _{e} - 1 ( x _{3} - ω ^{(q_{i})_{j}} x )} + x_{4} i = 0 \sum n_{q} - 1 x_{4} u_{i}$

我们已经确立了 $p (x_{3}) = v$ 。注意上述关于 $v$ 和 $P$ 的表达式中的系数在 $x_{4} \in Ch$ 选定之前就已固定。由 Schwartz-Zippel 引理我们有:至多存在 $n_{q} + 1$ 个可能的 $x_{4}$ 选择,使得这些表达式被满足却又对某个 $i$ 有 $q_{i} (x_{3}) \neq = u_{i}$ ,或

$q^{'} (x_{3}) \neq = i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{u _{i} - r _{i} ( x _{3} )}{j = 0 \prod n _{e} - 1 ( x _{3} - ω ^{(q_{i})_{j}} x )}$

通过限制 $∣ BadCh (tr^{'} ∣_{x_{4}}) ∣/∣ Ch ∣ \leq \frac{n _{q} + 1}{∣ Ch ∣} \leq ϵ$ ,我们可以得出上述所有不等式都不成立。现在我们可以对所有 $i$ 用 $q_{i} (x_{3})$ 替换 $u_{i}$ 以得到

$q^{'} (x_{3}) = i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{q _{i} ( x _{3} ) - r _{i} ( x _{3} )}{j = 0 \prod n _{e} - 1 ( x _{3} - ω ^{(q_{i})_{j}} x )}$

假设 $q^{'} (X)$ (它是由 ${Q^{'}}^{G}$ 定义的多项式,度数至多为 $n - 1$ )不具有如下形式

$i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{q _{i} ( X ) - r _{i} ( X )}{j = 0 \prod n _{e} - 1 ( X - ω ^{(q_{i})_{j}} x )}$

然而正如我们上面所确立的, $q^{'} (X)$ 在 $x_{3}$ 处与此表达式取值相符。由 Schwartz-Zippel 引理,这至多只能对 $n - 1$ 个 $x_{3} \in Ch$ 的选择发生,因此通过限制 $∣ BadCh (tr^{'} ∣_{x_{3}}) ∣/∣ Ch ∣ \leq \frac{n - 1}{∣ Ch ∣} \leq ϵ$ ,我们得到

$q^{'} (X) = i = 0 \sum n_{q} - 1 x_{2}^{i} \frac{q _{i} ( X ) - r _{i} ( X )}{j = 0 \prod n _{e} - 1 ( X - ω ^{(q_{i})_{j}} x )}$

接下来我们将通过再次相对于 $x_{2}$ 应用 Schwartz-Zippel 引理,来提取这个关于 $x_{2}$ 的多项式的系数(它们本身是关于形式不定元 $X$ 的多项式);同样,这导致限制 $∣ BadCh (tr^{'} ∣_{x_{2}}) ∣/∣ Ch ∣ \leq \frac{n _{q}}{∣ Ch ∣} \leq ϵ$ ,并且我们对所有 $i \in [0, n_{q} - 1)$ 得到以下度数至多为 $n - 1$ 的多项式

$\frac{q _{i} ( X ) - r _{i} ( X )}{j = 0 \prod n _{e} - 1 ( X - ω ^{(q_{i})_{j}} x )}$

在确立了这些各自是度数至多为 $n - 1$ 的非有理多项式之后,我们便可以说(由因式定理,factor theorem):对于每个 $i \in [0, n_{q} - 1]$ 和 $j \in [0, n_{e} - 1]$ , $q_{i} (X) - r_{i} (X)$ 在 $ω^{(q_{i})_{j}} x$ 处有根。注意,我们可以把每个 $q_{i} (X)$ 解释为一个二元多项式在点 $x_{1}$ 处的限制,该二元多项式关于 $x_{1}$ 的度数至多为 $n_{a} + 1$ ,其系数由各个多项式 $a_{i}^{'} (X)$ (来自表示 ${A_{i}^{'}}^{G}$ )以及 $h^{'} (X)$ (来自表示 ${H_{i}^{'}}^{G}$ )和 $r (X)$ (来自表示 ${R}^{G}$ )构成。通过类似地应用 Schwartz-Zippel 引理并以 $∣ BadCh (tr^{'} ∣_{x_{1}}) ∣/∣ Ch ∣ \leq \frac{n _{a} + 1}{∣ Ch ∣} \leq ϵ$ 限制挑战空间,我们(由协议第 12、13 步中每个 $q_{i}^{'} (X)$ 和 $r_{i} (X)$ 的构造)得到:证明者在第 9 步声称的 $r$ 值等于 $r (x)$ ;验证者在第 13 步计算的值 $h$ 等于 $h^{'} (x)$ ;并且对所有 $i \in [0, n_{q} - 1]$ ,证明者声称的值 $(a_{i})_{j} = a_{i}^{'} (ω^{(p_{i})_{j}} x)$ 对所有 $j \in [0, n_{e} - 1]$ 成立。

由第 7 步中 $h^{'} (X)$ (来自表示 ${H^{'}}^{G}$ )的构造,我们知道 $h^{'} (x) = h (x)$ ,其中我们用 $h (X)$ 指代度数至多为 $(n_{g} - 1) \cdot (n - 1)$ 的多项式,其系数对应于每个 ${H_{i}}^{G}$ 拼接后的表示。如前所述,假设 $h (X)$ 不具有形式 $g^{'} (X) / t (X)$ 。那么因为 $h (X)$ 在 $x$ 选定之前就已确定,由 Schwartz-Zippel 引理我们知道:如果这两个多项式不相等,它将至多在 $(n_{g} - 1) \cdot (n - 1)$ 个点处与 $g^{'} (X) / t (X)$ 相符。通过再次限制 $∣ BadCh (tr^{'} ∣_{x}) ∣/∣ Ch ∣ \leq \frac{( n _{g} - 1 ) \cdot ( n - 1 )}{∣ Ch ∣} \leq ϵ$ ,我们得到 $h (X) = g^{'} (X) / t (X)$ ,并且因为 $h (X)$ 是一个非有理多项式,由因式定理我们得到 $g^{'} (X)$ 在域 $D$ 上消失。

我们现在有 $g^{'} (X)$ 在 $D$ 上消失,但希望证明 $g (X, C_{0}, C_{1}, \dots)$ 在 $D$ 上的所有点处都消失,以完成证明。这只涉及对每个挑战重复应用同一技术;由于多项式 $g (\dots)$ 按定义关于任意不定元的度数至多为 $n_{g} \cdot (n - 1)$ ,并且因为每个多项式 $a_{i} (X, C_{0}, C_{1}, ..., C_{i - 1}, \dots)$ 在具体挑战 $c_{i}$ 选定之前就已确定,通过类似地限制 $∣ BadCh (tr^{'} ∣_{c_{i}}) ∣/∣ Ch ∣ \leq \frac{n _{g} \cdot ( n - 1 )}{∣ Ch ∣} \leq ϵ$ ,我们确保 $g (X, C_{0}, C_{1}, \dots)$ 在 $D$ 上消失,从而完成证明。

译自 halo2 book:https://zcash.github.io/halo2/design/implementation.html

实现(Implementation)

译自 halo2 book:https://zcash.github.io/halo2/design/implementation/proofs.html

Halo 2 证明(proofs)

证明作为不透明的字节流

在诸如 bellman 这样的证明系统实现中,存在一个具体的 Proof 结构体,它封装了证明数据,由证明者(prover)返回,并可被传递给验证者(verifier)。

halo2 出于以下几个原因,并不包含任何类似证明的结构:

证明结构会包含(若干)曲线点(curve point)和标量(scalar)的向量。这会使证明的序列化/反序列化变得复杂,因为这些向量的长度取决于电路(circuit)的配置。然而,我们不希望把向量的长度编码进证明里,因为在运行时电路是固定的,因此证明大小也是固定的。
很容易意外地把某些没有同时放入文字记录(transcript)的东西放进证明结构里,这在开发与实现证明系统时是一种隐患。
我们需要能够同时创建多个 PLONK 证明;当这些证明针对同一电路时,它们会共享许多不同的子结构。

因此,halo2 把证明对象当作不透明的字节流来处理。这些字节流的创建与消费都通过文字记录(transcript)进行:

TranscriptWrite trait 表示我们可以(在证明时)向其写入证明组件的某个对象。
TranscriptRead trait 表示我们可以(在验证时)从其读取证明组件的某个对象。

至关重要的一点是,TranscriptWrite 的实现负责在把内容哈希进文字记录的同时,也向某个 std::io::Write 缓冲区写入;TranscriptRead/std::io::Read 同理。

作为额外的好处,把证明当作不透明的字节流可确保验证过程把反序列化的开销也计算在内——由于点压缩(point compression),这个开销并不可忽略。

证明编码

一个在曲线 $E (F_{p})$ 上构造的 Halo 2 证明,被编码为如下内容组成的流:

点 $P \in E (F_{p})$ (用于对多项式的承诺,commitment),以及
标量 $s \in F_{q}$ (用于多项式的求值,以及盲化值,blinding values)。

对于 Pallas 和 Vesta 曲线,点和标量都采用 32 字节编码,这意味着证明的大小总是 32 字节的倍数。

halo2 crate 支持同时证明一个电路的多个实例,以便共享公共的证明组件和协议逻辑。

在下面的编码描述中,我们将使用以下与电路相关的常量:

$k$ —— 电路的大小参数(电路有 $2^{k}$ 行)。
$A$ —— 建议列(advice column)的数量。
$F$ —— 固定列(fixed column)的数量。
$I$ —— 实例列(instance column)的数量。
$L$ —— 查找论证(lookup argument)的数量。
$P$ —— 置换论证(permutation argument)的数量。
$Col_{P}$ —— 参与置换论证 $P$ 的列的数量。
$D$ —— 商多项式(quotient polynomial)的最大次数。
$Q_{A}$ —— 建议列查询(query)的数量。
$Q_{F}$ —— 固定列查询的数量。
$Q_{I}$ —— 实例列查询的数量。
$M$ —— 同时被证明的电路实例的数量。

由于证明编码直接遵循文字记录,我们可以把编码拆分成与 Halo 2 协议相对应的若干部分:

PLONK 承诺:
- $A$ 个点(重复 $M$ 次)。
- $2 L$ 个点(重复 $M$ 次)。
- $P$ 个点(重复 $M$ 次)。
- $L$ 个点(重复 $M$ 次)。
消去论证(vanishing argument):
- $D - 1$ 个点。
- $Q_{I}$ 个标量(重复 $M$ 次)。
- $Q_{A}$ 个标量(重复 $M$ 次)。
- $Q_{F}$ 个标量。
- $D - 1$ 个标量。
PLONK 求值:
- $(2 + Col_{P}) \times P$ 个标量(重复 $M$ 次)。
- $5 L$ 个标量(重复 $M$ 次)。
多点打开论证(multiopening argument):
- 1 个点。
- 多点打开论证中每组点对应 1 个标量。
多项式承诺方案(polynomial commitment scheme):
- $1 + 2 k$ 个点。
- $2$ 个标量。

译自 halo2 book:https://zcash.github.io/halo2/design/implementation/fields.html

域(Fields)

我们在 halo2 中使用的 Pasta 曲线被设计为高度 2-adic 的,这意味着每个域(field)中都存在一个较大的 $2^{S}$ 乘法子群(multiplicative subgroup)。也就是说,我们可以写成 $p - 1 \equiv 2^{S} \cdot T$ ,其中 $T$ 为奇数。对于 Pallas 和 Vesta, $S = 32$ ;这有助于简化域的实现。

Sarkar 平方根算法(基于表的变体)

我们使用来自 Sarkar2020 的一种技术来在 halo2 中计算平方根(square roots)。该算法背后的直觉是:我们可以把任务拆分为在每个乘法子群中分别计算平方根。

假设我们想求 $u$ 模某个 Pasta 素数 $p$ 的平方根,其中 $u$ 是 $Z_{p}^{\times}$ 中的一个非零平方数(square)。我们定义一个 $2^{S}$ 阶单位根(root of unity) $g = z^{T}$ ,其中 $z$ 是 $Z_{p}^{\times}$ 中的一个非平方数(non-square),并预计算以下各表:

$g t ab = g^{0} (g^{2^{8}})^{0} (g^{2^{16}})^{0} (g^{2^{24}})^{0} g^{1} (g^{2^{8}})^{1} (g^{2^{16}})^{1} (g^{2^{24}})^{1} ... ... ... ... g^{2^{8} - 1} (g^{2^{8}})^{2^{8} - 1} (g^{2^{16}})^{2^{8} - 1} (g^{2^{24}})^{2^{8} - 1}$

$in v t ab = [(g^{- 2^{24}})^{0} (g^{- 2^{24}})^{1} ... (g^{- 2^{24}})^{2^{8} - 1}]$

令 $v = u^{(T - 1) /2}$ 。我们便可定义 $x = uv \cdot v = u^{T}$ ,它是 $2^{S}$ 乘法子群中的一个元素。

令 $x_{3} = x, x_{2} = x_{3}^{2^{8}}, x_{1} = x_{2}^{2^{8}}, x_{0} = x_{1}^{2^{8}} .$

i = 0, 1

使用 $in v t ab$ ,我们查找 $t_{0}$ 使得 $x_{0} = (g^{- 2^{24}})^{t_{0}} ⟹ x_{0} \cdot g^{t_{0} \cdot 2^{24}} = 1.$

定义 $α_{1} = x_{1} \cdot (g^{2^{16}})^{t_{0}} .$

i = 2

查找 $t_{1}$ 使得 $α_{1} = (g^{- 2^{24}})^{t_{1}} ⟹ x_{1} \cdot (g^{2^{16}})^{t_{0}} = (g^{- 2^{24}})^{t_{1}} ⟹ x_{1} \cdot g^{(t_{0} + 2^{8} \cdot t_{1}) \cdot 2^{16}} = 1.$

定义 $α_{2} = x_{2} \cdot (g^{2^{8}})^{t_{0} + 2^{8} \cdot t_{1}} .$

i = 3

查找 $t_{2}$ 使得

$α_{2} = (g^{- 2^{24}})^{t_{2}} ⟹ x_{2} \cdot (g^{2^{8}})^{t_{0} + 2^{8} \cdot t_{1}} = (g^{- 2^{24}})^{t_{2}} ⟹ x_{2} \cdot g^{(t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2}) \cdot 2^{8}} = 1.$

定义 $α_{3} = x_{3} \cdot g^{t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2}} .$

最终结果

查找 $t_{3}$ 使得

$α_{3} = (g^{- 2^{24}})^{t_{3}} ⟹ x_{3} \cdot g^{t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2}} = (g^{- 2^{24}})^{t_{3}} ⟹ x_{3} \cdot g^{t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2} + 2^{24} \cdot t_{3}} = 1.$

令 $t = t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2} + 2^{24} \cdot t_{3}$ 。

现在我们可以写出 $x_{3} \cdot g^{t} = 1 ⟹ ⟹ ⟹ ⟹ x_{3} u v^{2} uv uv \cdot g^{t /2} = = = = g^{- t} g^{- t} v^{- 1} \cdot g^{- t} v^{- 1} \cdot g^{- t /2} .$

对右端(RHS)取平方,我们观察到 $(v^{- 1} g^{- t /2})^{2} = v^{- 2} g^{- t} = u .$ 因此, $u$ 的平方根就是 $uv \cdot g^{t /2}$ ;其中第一部分我们在前面已经计算过,第二部分可以利用 $g t ab$ 中的查找,通过三次乘法计算得到。

译自 halo2 book:https://zcash.github.io/halo2/design/implementation/selector-combining.html

选择子合并(Selector combining)

大量使用自定义门(custom gate)会导致一个电路定义出许多二元选择子(binary selector),这会增加证明大小和验证时间。

本节描述一种由 halo2 自动应用的优化,它把二元选择子列合并为更少的固定列(fixed column)。

其基本思想是:如果我们有 $ℓ$ 个标记为 $1, \dots, ℓ$ 的二元选择子,且它们在互不相交的行集合上被启用(enabled),那么在某些附加条件下,我们可以把它们合并为单个固定列,记作 $q$ ,使得: $q = {k, 0, 如果标记为 k 的选择子取值为 1 如果所有这些选择子都取值为 0.$

然而,魔鬼藏在细节之中。

halo2 的 API 允许把某些选择子定义为「简单选择子(simple selectors)」,但须满足以下条件:

每一个涉及简单选择子 $s$ 的多项式约束(polynomial constraint)都必须具有 $s \cdot t = 0$ 的形式,其中 $t$ 是一个不涉及任何简单选择子的多项式。

假设 $s$ 在某组 $ℓ$ 个简单选择子中标记为 $k$ ,这组选择子如上所述被合并为 $q$ 。那么上述条件可确保,把 $s$ 替换为 $q \cdot \prod_{1 \leq h \leq ℓ, h \neq = k} (h - q)$ 不会改变任何约束的含义。

也可以通过确保对二元选择子的每一次使用都被替换为它的值由相应合并选择子精确插值(interpolation)得到的表达式,来放宽这个条件。然而,

这条限制简化了实现、开发者工具链,以及人类对所得约束系统的理解与调试;

对于典型电路而言,这条限制并未很大程度上妨碍该优化的适用范围。

注意,把 $s$ 替换为 $q \cdot \prod_{1 \leq h \leq ℓ, h \neq = k} (h - q)$ 会使由 $s$ 选中的约束的次数(degree)增加 $ℓ - 1$ ,因此我们必须以不超过最大次数界(maximum degree bound)的方式来选取要合并的选择子。

识别可被合并的选择子

我们需要对整个选择子集合 $s_{0}, \dots, s_{m - 1}$ 进行一个划分,分成若干子集(称为「组合,combinations」),使得同一组合中没有两个选择子在同一行上被启用。

标记(label)在一个组合内必须唯一,但跨组合并不唯一。不要把选择子的索引(index)与它的标记混淆。

假设我们已给定 $max_degree$ ,即电路的次数界。

我们使用以下算法:

不优化非简单选择子,即把它们每一个都映射到一个单独的固定列。
检查(或通过构造确保)涉及每个简单选择子 $s_{i}$ 的所有多项式约束都具有 $s_{i} \cdot t_{i, j} = 0$ 的形式,其中 $t_{i, j}$ 不涉及任何简单选择子。对每个 $i$ ,把任意 $t_{i, j}$ 的最大次数记为 $d_{i}^{max}$ 。
计算一个二元的「排斥矩阵(exclusion matrix)」 $X$ ,使得当 $i \neq = j$ 且 $s_{i}$ 与 $s_{j}$ 在同一行上被启用时 $X_{j, i}$ 为 $1$ ;否则为 $0$ 。

由于 $X$ 是对称的且对角线为零,我们可以只用它的上三角或下三角项来表示它。算法的其余部分保证只访问 $j > i$ 的那些项 $X_{j, i}$ 。
把一个布尔数组 $added_{0.. k - 1}$ 初始化为全 $false$ 。

$added_{i}$ 将记录 $s_{i}$ 是否已被纳入任何组合。
遍历那些尚未被加入任何组合的 $s_{i}$ :
- a. 把 $s_{i}$ 加入一个全新的组合 $c$ ,并令 $added_{i} = true$ 。
- b. 令 mut $d := d_{i}^{max} - 1$ 。
  
  $d$ 用于跟踪到目前为止组合 $c$ 中所涉及的任何门的最大次数,不包括选择子表达式。
- c. 遍历所有 $j > i$ 且有可能加入 $c$ 的选择子 $s_{j}$ ,即 $added_{j}$ 为 false 的那些:
  - i.(优化)如果 $d + len (c) = max_degree$ ,跳出到外层循环,因为不能再向 $c$ 添加更多选择子。
  - ii. 令 $d^{new} = max (d, d_{j}^{max} - 1)$ 。
  - iii. 如果对 $c$ 中任意 $i^{'}$ 有 $X_{j, i^{'}}$ 为 $true$ ,或者 $d^{new} + (len (c) + 1) > max_degree$ ,跳出到外层循环。
    
    $d^{new} + (len (c) + 1)$ 是把 $s_{j}$ 加入组合 $c$ 后所产生的任何约束的最大次数,包括选择子表达式。
  - iv. 令 $d := d^{new}$ 。
  - v. 把 $s_{j}$ 加入 $c$ 并令 $added_{j} := true$ 。
- d. 分配一个固定列 $q_{c}$ ,初始化为全零。
- e. 对每个选择子 $s^{'} \in c$ :
  - i. 用一个互不相同的索引 $k$ 标记 $s^{'}$ ,其中 $1 \leq k \leq len (c)$ 。
  - ii. 记录:在所有门约束中, $s^{'}$ 应被替换为 $q_{c} \cdot \prod_{1 \leq h \leq len (c), h \neq = k} (h - q_{c})$ 。
  - iii. 对每一个使 $s^{'}$ 在该行被启用的行 $r$ ,把值 $k$ 赋给该行 $r$ 上的 $q_{c}$ 。

上述算法实现于 halo2_proofs/src/plonk/circuit/compress_selectors.rs。它由 halo2_proofs/src/plonk/circuit.rs 的 compress_selectors 函数使用,后者执行实际的替换。

编写电路以最大程度利用选择子合并

对于这项优化而言,一个电路尽可能使用简单选择子而非固定列是有益的。手动合并选择子通常没有好处,因为所得到的固定列无法参与自动合并。这意味着,要得到可比的结果,你将需要手动进行全局优化,而这会干扰可组合小工具(composable gadgets)的编写。

两个选择子是否在同一行上被启用(从而被阻止合并),取决于布局规划器(floor planner)如何排布各个区域(region)。当前已实现的布局规划器并不尝试把这一点纳入考虑。我们建议不要在此过分纠结——通过哄劝布局规划器来回挪动区域以改善合并所能获得的收益,很可能相对较小。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets.html

小工具(Gadgets)

在本节中,我们记录 halo2_gadgets crate 所提供的小工具(gadget)与芯片(chip)设计。

这些小工具及其实现都尚未经过审查,不应在生产环境中使用。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/ecc.html

椭圆曲线(Elliptic Curves)

`EccChip`

halo2_gadgets 提供了一个芯片(chip),它使用 10 个 advice 列实现了 EccInstructions。该芯片目前仅限于 Pallas 曲线,但在不久的将来会扩展以支持 Vesta 曲线。

芯片假设(Chip assumptions)

EccChip 所做假设的一个非穷尽列表:

$0$ 不是曲线上任何有效点(point)的 $x$ 坐标。
- 对 Pallas 成立,因为 $5$ 在 $F_{q}$ 中不是平方数。
$0$ 不是曲线上任何有效点的 $y$ 坐标。
- 对 Pallas 成立,因为 $- 5$ 在 $F_{q}$ 中不是立方数。

布局(Layout)

下表展示了各个芯片子区域的门(gate)如何使用各列:

$W$ - 见证点(witnessing points)。
$A I$ - 不完全点加法(incomplete point addition)。
$A C$ - 完全点加法(complete point addition)。
$MF$ - 定基标量乘(Fixed-base scalar multiplication)。
$M V I$ - 变基标量乘(variable-base scalar multiplication),不完全轮(incomplete rounds)。
$M V C$ - 变基标量乘,完全轮(complete rounds)。
$M V O$ - 变基标量乘,溢出检查(overflow check)。

$Sub-area W A I A C MF M V I M V C a_{0} x x_{p} x_{p} x_{p} x_{p} x_{p} a_{1} y y_{p} y_{p} y_{p} y_{p} y_{p} a_{2} x_{q} x_{r} x_{q} x_{r} x_{q} x_{r} λ_{2}^{l o} x_{q} x_{r} a_{3} y_{q} y_{r} y_{q} y_{r} y_{q} y_{r} x_{A}^{hi} y_{q} y_{r} a_{4} λ window λ_{1}^{hi} λ a_{5} α u λ_{2}^{hi} α a_{6} β z^{l o} β a_{7} γ x_{A}^{l o} γ a_{8} δ λ_{1}^{l o} δ a_{9} z^{hi} z^{co m pl e t e}$

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/ecc/witnessing-points.html

见证点(Witnessing points)

我们在电路中用仿射表示(affine representation) $(x, y)$ 来表示椭圆曲线点(point)。单位元(identity)用伪坐标(pseudo-coordinate) $(0, 0)$ 表示,我们假设它不是曲线上的有效点。

非单位元点(Non-identity points)

为了约束坐标对 $(x, y)$ 表示曲线上的一个有效点,我们直接检查曲线方程。对于 Pallas 和 Vesta,曲线方程为:

$y^{2} = x^{3} + 5$

$Degree 4 Constraint q_{point}^{non-id} \cdot (y^{2} - x^{3} - 5) = 0$

包含单位元的点(Points including the identity)

为了允许 $(x, y)$ 表示曲线上的一个有效点,或者表示伪坐标 $(0, 0)$ , 我们定义一个单独的门(gate),除非 $x$ 和 $y$ 都为零,否则强制执行曲线方程检查。

$Degree 55 Constraint (q_{point} \cdot x) \cdot (y^{2} - x^{3} - 5) = 0 (q_{point} \cdot y) \cdot (y^{2} - x^{3} - 5) = 0$

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/ecc/addition.html

我们将使用短 Weierstrass 曲线上仿射坐标(affine coordinates)的曲线算术公式, 推导自 Hüseyin Hışıl 博士论文的第 4.1 节。

不完全加法(Incomplete addition)

输入: $P = (x_{p}, y_{p}), Q = (x_{q}, y_{q})$
输出: $R = P ⸭ Q = (x_{r}, y_{r})$

Hışıl 论文中的公式为:

$x_{3} = (\frac{y _{1} - y _{2}}{x _{1} - x _{2}})^{2} - x_{1} - x_{2}$
$y_{3} = \frac{y _{1} - y _{2}}{x _{1} - x _{2}} \cdot (x_{1} - x_{3}) - y_{1} .$

把 $(x_{1}, y_{1})$ 重命名为 $(x_{q}, y_{q})$ ,把 $(x_{2}, y_{2})$ 重命名为 $(x_{p}, y_{p})$ ,把 $(x_{3}, y_{3})$ 重命名为 $(x_{r}, y_{r})$ ,得到

$x_{r} = (\frac{y _{q} - y _{p}}{x _{q} - x _{p}})^{2} - x_{q} - x_{p}$
$y_{r} = \frac{y _{q} - y _{p}}{x _{q} - x _{p}} \cdot (x_{q} - x_{r}) - y_{q}$

这等价于

$x_{r} + x_{q} + x_{p} = (\frac{y _{p} - y _{q}}{x _{p} - x _{q}})^{2}$
$y_{r} + y_{q} = \frac{y _{p} - y _{q}}{x _{p} - x _{q}} \cdot (x_{q} - x_{r}) .$

假设 $x_{p} \neq = x_{q}$ ,我们有

$and ⟺ ⟺ ⟺ ⟺ x_{r} + x_{q} + x_{p} (x_{r} + x_{q} + x_{p}) \cdot (x_{p} - x_{q})^{2} (x_{r} + x_{q} + x_{p}) \cdot (x_{p} - x_{q})^{2} - (y_{p} - y_{q})^{2} y_{r} + y_{q} (y_{r} + y_{q}) \cdot (x_{p} - x_{q}) (y_{r} + y_{q}) \cdot (x_{p} - x_{q}) - (y_{p} - y_{q}) \cdot (x_{q} - x_{r}) = = = = = = (\frac{y _{p} - y _{q}}{x _{p} - x _{q}})^{2} (y_{p} - y_{q})^{2} 0 \frac{y _{p} - y _{q}}{x _{p} - x _{q}} \cdot (x_{q} - x_{r}) (y_{p} - y_{q}) \cdot (x_{q} - x_{r}) 0.$

于是我们得到约束:

$(x_{r} + x_{q} + x_{p}) \cdot (x_{p} - x_{q})^{2} - (y_{p} - y_{q})^{2} = 0$
- 注意此约束对于 $P ⸭ (- P)$ (当 $P \neq = O$ 时)是不可满足的, 因此不能用于任意输入。
$(y_{r} + y_{q}) \cdot (x_{p} - x_{q}) - (y_{p} - y_{q}) \cdot (x_{q} - x_{r}) = 0.$

约束(Constraints)

$Degree 43 Constraint q_{add-incomplete} \cdot ((x_{r} + x_{q} + x_{p}) \cdot (x_{p} - x_{q})^{2} - (y_{p} - y_{q})^{2}) = 0 q_{add-incomplete} \cdot ((y_{r} + y_{q}) \cdot (x_{p} - x_{q}) - (y_{p} - y_{q}) \cdot (x_{q} - x_{r})) = 0$

完全加法(Complete addition)

$O O (x_{p}, y_{p}) (x, y) (x, y) (x_{p}, y_{p}) + + + + + + O (x_{q}, y_{q}) O (x, y) (x, - y) (x_{q}, y_{q}) = O = (x_{q}, y_{q}) = (x_{p}, y_{p}) = [2] (x, y) = O = (x_{p}, y_{p}) ⸭ (x_{q}, y_{q}), if x_{p} \neq = x_{q} .$

假设我们把 $O$ 表示为 $(0, 0)$ 。( $0$ 不是有效点的 $x$ 坐标,因为那将需要 $y^{2} = x^{3} + 5$ ,而 $5$ 在 $F_{q}$ 中不是平方数。同样 $0$ 也不是有效点的 $y$ 坐标,因为 $- 5$ 在 $F_{q}$ 中不是立方数。)

$P + Q (x_{p}, y_{p}) + (x_{q}, y_{q}) λ x_{r} y_{r} = R = (x_{r}, y_{r}) = \frac{y _{q} - y _{p}}{x _{q} - x _{p}} = λ^{2} - x_{p} - x_{q} = λ (x_{p} - x_{r}) - y_{p}$

对于倍点(doubling)情形,Hışıl 的论文告诉我们 $λ$ 必须改为计算为 $\frac{3 x ^{2}}{2 y}$ 。

定义 $inv0 (x) = {0, 1/ x, if x = 0 otherwise.$

见证(Witness) $α, β, γ, δ, λ$ ,其中:

$α = β = γ = δ = λ = inv0 (x_{q} - x_{p}) inv0 (x_{p}) inv0 (x_{q}) {inv0 (y_{q} + y_{p}), 0, if x_{q} = x_{p} otherwise ⎩ ⎨ ⎧ \frac{y _{q} - y _{p}}{x _{q} - x _{p}}, \frac{3 x _{p} ^{2}}{2 y _{p}} 0, if x_{q} \neq = x_{p} if x_{q} = x_{p} \land y_{p} \neq = 0 otherwise.$

约束(Constraints)

$Degree 456666444444 Constraint q_{add} \cdot (x_{q} - x_{p}) \cdot ((x_{q} - x_{p}) \cdot λ - (y_{q} - y_{p})) q_{add} \cdot (1 - (x_{q} - x_{p}) \cdot α) \cdot (2 y_{p} \cdot λ - 3 x_{p}^{2}) q_{add} \cdot x_{p} \cdot x_{q} \cdot (x_{q} - x_{p}) \cdot (λ^{2} - x_{p} - x_{q} - x_{r}) q_{add} \cdot x_{p} \cdot x_{q} \cdot (x_{q} - x_{p}) \cdot (λ \cdot (x_{p} - x_{r}) - y_{p} - y_{r}) q_{add} \cdot x_{p} \cdot x_{q} \cdot (y_{q} + y_{p}) \cdot (λ^{2} - x_{p} - x_{q} - x_{r}) q_{add} \cdot x_{p} \cdot x_{q} \cdot (y_{q} + y_{p}) \cdot (λ \cdot (x_{p} - x_{r}) - y_{p} - y_{r}) q_{add} \cdot (1 - x_{p} \cdot β) \cdot (x_{r} - x_{q}) q_{add} \cdot (1 - x_{p} \cdot β) \cdot (y_{r} - y_{q}) q_{add} \cdot (1 - x_{q} \cdot γ) \cdot (x_{r} - x_{p}) q_{add} \cdot (1 - x_{q} \cdot γ) \cdot (y_{r} - y_{p}) q_{add} \cdot (1 - (x_{q} - x_{p}) \cdot α - (y_{q} + y_{p}) \cdot δ) \cdot x_{r} q_{add} \cdot (1 - (x_{q} - x_{p}) \cdot α - (y_{q} + y_{p}) \cdot δ) \cdot y_{r} = = = = = = = = = = = = 000000000000 Meaning x_{q} \neq = x_{p} ⟹ λ = \frac{y _{q} - y _{p}}{x _{q} - x _{p}} {x_{q} = x_{p} \land y_{p} \neq = 0 ⟹ λ = \frac{3 x _{p} ^{2}}{2 y _{p}} x_{q} = x_{p} \land y_{p} = 0 ⟹ x_{p} = 0 x_{p} \neq = 0 \land x_{q} \neq = 0 \land x_{q} \neq = x_{p} ⟹ x_{r} = λ^{2} - x_{p} - x_{q} x_{p} \neq = 0 \land x_{q} \neq = 0 \land x_{q} \neq = x_{p} ⟹ y_{r} = λ \cdot (x_{p} - x_{r}) - y_{p} x_{p} \neq = 0 \land x_{q} \neq = 0 \land y_{q} \neq = - y_{p} ⟹ x_{r} = λ^{2} - x_{p} - x_{q} x_{p} \neq = 0 \land x_{q} \neq = 0 \land y_{q} \neq = - y_{p} ⟹ y_{r} = λ \cdot (x_{p} - x_{r}) - y_{p} x_{p} = 0 ⟹ x_{r} = x_{q} x_{p} = 0 ⟹ y_{r} = y_{q} x_{q} = 0 ⟹ x_{r} = x_{p} x_{q} = 0 ⟹ y_{r} = y_{p} x_{q} = x_{p} \land y_{q} = - y_{p} ⟹ x_{r} = 0 x_{q} = x_{p} \land y_{q} = - y_{p} ⟹ y_{r} = 0$

最大次数(Max degree):6

约束分析(Analysis of constraints)

命题(Propositions):

$(1) (2) (3) (4) (5) (6) x_{q} \neq = x_{p} ⟹ λ = (y_{q} - y_{p}) / (x_{q} - x_{p}) (x_{q} = x_{p}) \land y_{p} \neq = 0 ⟹ λ = 3 x_{p}^{2} /2 y_{p} (x_{p} \neq = 0) \land (x_{q} \neq = 0) \land ((x_{q} \neq = x_{p}) \lor (y_{q} \neq = - y_{p})) ⟹ (x_{r} = λ^{2} - x_{p} - x_{q}) \land (y_{r} = λ \cdot (x_{p} - x_{r}) - y_{p}) x_{p} = 0 ⟹ (x_{r}, y_{r}) = (x_{q}, y_{q}) x_{q} = 0 ⟹ (x_{r}, y_{r}) = (x_{p}, y_{p}) x_{q} = x_{p} \land y_{q} = - y_{p} ⟹ (x_{r}, y_{r}) = (0, 0)$

情形(Cases):

$(x_{p}, y_{p}) + (x_{q}, y_{q}) = (x_{r}, y_{r})$

注意我们依赖于这样一个事实: $0$ 不是 Pallas 曲线上除 $O$ 之外任何点的有效 $x$ 坐标或 $y$ 坐标。

$(0, 0) + (0, 0)$
- 完备性(Completeness):
  
  $(1) (2) (3) (4) (5) (6) holds because x_{q} = x_{p} holds because y_{p} = 0 holds because x_{p} = 0 holds because (x_{r}, y_{r}) = (x_{q}, y_{q}) = (0, 0) holds because (x_{r}, y_{r}) = (x_{p}, y_{p}) = (0, 0) holds because (x_{r}, y_{r}) = (0, 0) .$
- 可靠性(Soundness): $(x_{r}, y_{r}) = (0, 0)$ 是 $(6)$ 的唯一解。
$(x, y) + (0, 0)$ ,其中 $(x, y) \neq = (0, 0)$
- 完备性(Completeness):
  
  $(1) (2) (3) (4) (5) (6) holds because x_{q} \neq = x_{p}, therefore λ = (y_{q} - y_{p}) / (x_{q} - x_{p}) is a solution holds because x_{q} \neq = x_{p}, therefore α = (x_{q} - x_{p})^{- 1} is a solution holds because x_{q} = 0 holds because x_{p} \neq = 0, therefore β = x_{p}^{- 1} is a solution holds because (x_{r}, y_{r}) = (x_{p}, y_{p}) holds because x_{q} \neq = x_{p}, therefore α = (x_{q} - x_{p})^{- 1} and δ = 0 is a solution.$
- 可靠性(Soundness): $(x_{r}, y_{r}) = (x_{p}, y_{p})$ 是 $(5)$ 的唯一解。
$(0, 0) + (x, y)$ ,其中 $(x, y) \neq = (0, 0)$
- 完备性(Completeness):
  
  $(1) (2) (3) (4) (5) (6) holds because x_{q} \neq = x_{p}, therefore λ = (y_{q} - y_{p}) / (x_{q} - x_{p}) is a solution holds because x_{q} \neq = x_{p}, therefore α = (x_{q} - x_{p})^{- 1} is a solution holds because x_{p} = 0 holds because x_{p} = 0 only when (x_{r}, y_{r}) = (x_{q}, y_{q}) holds because x_{q} \neq = 0, therefore γ = x_{q}^{- 1} is a solution holds because x_{q} \neq = x_{p}, therefore α = (x_{q} - x_{p})^{- 1} and δ = 0 is a solution.$
- 可靠性(Soundness): $(x_{r}, y_{r}) = (x_{q}, y_{q})$ 是 $(4)$ 的唯一解。
$(x, y) + (x, y)$ ,其中 $(x, y) \neq = (0, 0)$
- 完备性(Completeness):
  
  $(1) (2) (3) (4) (5) (6) holds because x_{q} = x_{p} holds because x_{q} = x_{p} \land y_{p} \neq = 0, therefore λ = 3 x_{p}^{2} /2 y_{p} is a solution holds because x_{r} = λ^{2} - x_{p} - x_{q} \land y_{r} = λ \cdot (x_{p} - x_{r}) - y_{p} in this case holds because x_{p} \neq = 0, therefore β = x_{p}^{- 1} is a solution holds because x_{p} \neq = 0, therefore γ = x_{q}^{- 1} is a solution holds because x_{q} = x_{p} and y_{q} \neq = - y_{p}, therefore α = 0 and δ = (y_{q} + y_{p})^{- 1} is a solution.$
- 可靠性(Soundness): $λ$ 被正确计算,且 $(x_{r}, y_{r}) = (λ^{2} - x_{p} - x_{q}, λ \cdot (x_{p} - x_{r}) - y_{p})$ 是唯一解。
$(x, y) + (x, - y)$ ,其中 $(x, y) \neq = (0, 0)$
- 完备性(Completeness):
  
  $(1) (2) (3) (4) (5) (6) holds because x_{q} = x_{p} holds because x_{q} = x_{p} \land y_{p} \neq = 0, therefore λ = 3 x_{p}^{2} /2 y_{p} is a solution (although λ is not used in this case) holds because x_{q} = x_{p} and y_{q} = - y_{p} holds because x_{p} \neq = 0, therefore β = x_{p}^{- 1} is a solution holds because x_{q} \neq = 0, therefore γ = x_{q}^{- 1} is a solution holds because (x_{r}, y_{r}) = (0, 0)$
- 可靠性(Soundness): $(x_{r}, y_{r}) = (0, 0)$ 是 $(6)$ 的唯一解。
$(x_{p}, y_{p}) + (x_{q}, y_{q})$ ,其中 $(x_{p}, y_{p}) \neq = (0, 0)$ 且 $(x_{q}, y_{q}) \neq = (0, 0)$ 且 $x_{p} \neq = x_{q}$
- 完备性(Completeness):
  
  $(1) (2) (3) (4) (5) (6) holds because x_{q} \neq = x_{p}, therefore λ = (y_{q} - y_{p}) / (x_{q} - x_{p}) is a solution holds because x_{q} \neq = x_{p}, therefore α = (x_{q} - x_{p})^{- 1} is a solution holds because x_{r} = λ^{2} - x_{p} - x_{q} \land y_{r} = λ \cdot (x_{p} - x_{r}) - y_{p} in this case holds because x_{p} \neq = 0, therefore β = x_{p}^{- 1} is a solution holds because x_{q} \neq = 0, therefore γ = x_{q}^{- 1} is a solution holds because x_{q} \neq = x_{p}, therefore α = (x_{q} - x_{p})^{- 1} and δ = 0 is a solution.$
- 可靠性(Soundness): $λ$ 被正确计算,且 $(x_{r}, y_{r}) = (λ^{2} - x_{p} - x_{q}, λ \cdot (x_{p} - x_{r}) - y_{p})$ 是唯一解。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/ecc/fixed-base-scalar-mul.html

定基标量乘(Fixed-base scalar multiplication)

Orchard 协议中有 $6$ 个定基(fixed base):

$K^{Orchard}$ ,用于推导 nullifier;
$G^{Orchard}$ ,用于 spend authorization(花费授权);
$R$ 基,用于 $NoteCommit^{Orchard}$ ;
$V$ 和 $R$ 基,用于 $ValueCommit^{Orchard}$ ;以及
$R$ 基,用于 $Commit^{ivk}$ 。

分解标量(Decompose scalar)

我们支持三种类型标量(scalar)的定基标量乘:

全宽标量(Full-width scalar)

一个来自 $F_{q}$ 的 $255$ 位标量。我们把一个全宽标量 $α$ 分解为 $85$ 个 $3$ 位窗口(window):

$α = k_{0} + k_{1} \cdot (2^{3})^{1} + \dots + k_{84} \cdot (2^{3})^{84}, k_{i} \in [0.. 2^{3}) .$

对于表示 $[0, 2^{255})$ 范围内任意整数的 $k_{0..84}$ ,标量乘都将被正确计算——也就是说,允许标量是非规范(non-canonical)的。

我们使用一个多项式范围检查约束(polynomial range-check constraint)对标量分解的每个 $3$ 位字(word)进行范围约束: $Degree 9 Constraint q_{mul_fixed_full} \cdot range_check (word, 2^{3}) = 0$ 其中 $range_check (word, range) = word \cdot (1 - word) \dots (range - 1 - word) .$

基域元素(Base field element)

我们支持使用一个基域元素(base field element)作为定基乘法中的标量。例如,这出现在 Action 电路 nullifier 计算的标量乘中: $DeriveNullifie r_{nk} = Extract_{P} ([(PR F_{nk}^{nfOrchard} (ρ) + ψ) mod q_{P}] K^{Orchard} + cm)$ :这里,标量 $[(PR F_{nk}^{nfOrchard} (ρ) + ψ) mod q_{P}]$ 是一次基域加法的结果。

把基域元素 $α$ 分解为三位窗口,并对每个窗口进行范围约束,使用严格模式(strict mode)下的短范围分解(short range decomposition) gadget,其中 $W = 85, K = 3.$

如果 $k_{0..84}$ 是直接见证的,那么不会出现规范性(canonicity)问题。然而,因为这里标量是作为一个基域元素给出的,必须谨慎确保规范表示,因为 $2^{255} > p$ 。也就是说,我们必须检查 $0 \leq α < p,$ 其中 $p$ 是 Pallas 基域模数 $p = 2^{254} + t_{p} = 2^{254} + 45560315531419706090280762371685220353.$ 注意 $t_{p} < 2^{130} .$

为此,我们把 $α$ 分解为三段: $α = α_{0} (252 bits) ∣∣ α_{1} (2 bits) ∣∣ α_{2} (1 bit) .$

我们通过以下方式检查此分解的正确性: $Degree 532 Constraint q_{canon-base-field} \cdot range_check (α_{1}, 2^{2}) = 0 q_{canon-base-field} \cdot bool_check (α_{2}) = 0 q_{canon-base-field} \cdot (z_{84} - (α_{1} + α_{2} \cdot 2^{2})) = 0$ 如果最高有效位(MSB) $α_{2} = 0$ 未被置位,那么 $α < 2^{254} < p .$ 然而,在 $α_{2} = 1$ 的情况下,我们必须检查:

$α_{2} = 1 ⟹ α_{1} = 0;$
$α_{2} = 1 ⟹ α_{0} < t_{p}$ :
- $α_{2} = 1 ⟹ 0 \leq α_{0} < 2^{130}$ ,
- $α_{2} = 1 ⟹ 0 \leq α_{0} + 2^{130} - t_{p} < 2^{130}$

为了检查 $0 \leq α_{0} < 2^{130},$ 我们利用三位移动求和(running sum)分解:

首先,我们通过强制 $α_{0}$ 的高 $120$ 位全为零,把 $α_{0}$ 约束为一个 $132$ 位值。我们可以从分解中得到 $alpha_0_hi_120$ : $z_{44} ⟹ alpha_0_hi_120 = k_{44} + 2^{3} k_{45} + \dots + 2^{3 \cdot (84 - 44)} k_{84} = z_{44} - 2^{3 \cdot (84 - 44)} k_{84} = z_{44} - 2^{3 \cdot (40)} z_{84} .$
然后,我们约束 $α_{0}$ 的第 $130.. = 131$ 位为零;换句话说,我们约束三位字 $k_{43} = α [129.. = 131] = α_{0} [129.. = 131] \in {0, 1} .$ 我们利用移动求和分解来得到 $k_{43} = z_{43} - z_{44} \cdot 2^{3} .$

定义 $α_{0}^{'} = α_{0} + 2^{130} - t_{p}$ 。为了检查 $0 \leq α_{0}^{'} < 2^{130},$ 我们使用 13 个十位查找(lookups),在其中我们约束查找的 $z_{13}$ 移动求和输出在 $α_{2} = 1$ 时为 $0.$ $Degree 23343 Constraint q_{canon-base-field} \cdot (α_{0}^{'} - (α_{0} + 2^{130} - t_{P})) = 0 q_{canon-base-field} \cdot α_{2} \cdot α_{1} = 0 q_{canon-base-field} \cdot α_{2} \cdot alpha_0_hi_120 = 0 q_{canon-base-field} \cdot α_{2} \cdot bool_check (k_{43}) = 0 q_{canon-base-field} \cdot α_{2} \cdot z_{13} (lookup (α_{0}^{'}, 13)) = 0 Comment α_{2} = 1 ⟹ α_{1} = 0 Constrain α_{0} to be a 132-bit value Constrain α_{0} [130.. = 131] to 0 α_{2} = 1 ⟹ 0 \leq α_{0}^{'} < 2^{130}$

短有符号标量(Short signed scalar)

一个短有符号标量被见证为一个幅值(magnitude) $m$ 和一个符号(sign) $s$ ,使得 $s \in {- 1, 1} m \in [0, 2^{64}) v^{old} - v^{new} = s \cdot m .$

这用于 $ValueCommi t^{Orchard}$ 。我们想要计算 $ValueCommi t_{rcv}^{Orchard} (v^{old} - v^{new}) = [v^{old} - v^{new}] V + [rcv] R$ ,其中 $- (2^{64} - 1) \leq v^{old} - v^{new} \leq 2^{64} - 1$

$v^{old}$ 和 $v^{new}$ 各自已经被约束到 $64$ 位(由于它们被用作 $NoteCommi t^{Orchard}$ 的输入)。

把幅值 $m$ 分解为三位窗口,并对每个窗口进行范围约束,使用严格模式下的短范围分解(short range decomposition) gadget,其中 $W = 22, K = 3.$

我们有两个额外的约束: $Degree 33 Constraint q_{mul_fixed_short} \cdot bool_check (k_{21}) = 0 q_{mul_fixed_short} \cdot (s^{2} - 1) = 0 Comment The last window must be a single bit. The sign must be 1 or - 1.$ 其中 $bool_check (x) = x \cdot (1 - x)$ 。

加载定基(Load fixed base)

然后,我们为每个窗口预计算定基 $B$ 的若干倍数。这采取窗口表(window table)的形式: $M [0.. W) [0..8)$ ,使得:

对于前 (W-1) 行 $M [0.. (W - 1)) [0..8)$ : $M [w] [k] = [(k + 2) \cdot (2^{3})^{w}] B$
在最后一行 $M [W - 1] [0..8)$ : $M [w] [k] = [k \cdot (2^{3})^{w} - j = 0 \sum 83 2^{3 j + 1}] B$

额外的 $(k + 2)$ 项让我们在 $k = 0$ 的情况下避免加上无穷远点(point at infinity)。我们通过在最后一个窗口中减去这些累加项来抵消它们,即我们减去 $j = 0 \sum W - 2 2^{3 j + 1}$ 。

注:虽然 $(k + 1)$ 的偏移量朴素地看似乎就足够了,但它会在 $k_{0} = 7, k_{1} = 0$ 时引入一个边界情形(edge case)。在这种情况下,窗口表项求值为同一个点:

$M [0] [k_{0}] = [(7 + 1) * (2^{3})^{0}] B = [8] B,$

$M [1] [k_{1}] = [(0 + 1) * (2^{3})^{1}] B = [8] B .$

在定基标量乘中,我们使用不完全加法(incomplete addition)对每个窗口(除最后一个之外)的 $B$ 的倍数求和。由于倍点(point doubling)情形不被不完全加法处理,我们通过使用 $(k + 2)$ 的偏移量来避免它。

对于每个定基倍数窗口 $M [w] = (M [w] [0], \dots, M [w] [7]), w \in [0.. (W - 1))$ :

定义一个 Lagrange 插值多项式(interpolation polynomial) $L_{x} (k)$ ,它把 $k \in [0..8)$ 映射到倍数 $M [w] [k]$ 的 $x$ 坐标,即 $L_{x} (k) = ⎩ ⎨ ⎧ ([(k + 2) \cdot (2^{3})^{w}] B)_{x} ([k \cdot (2^{3})^{w} - j = 0 \sum 83 2^{3 j + 1}] B)_{x} for w \in [0.. (W - 1)); for w = 84; and$
找到一个值 $z_{w}$ ,使得 $z_{w} + (M [w] [k])_{y}$ 在域中是一个平方数 $u^{2}$ ,但错误符号的 $y$ 坐标 $z_{w} - (M [w] [k])_{y}$ 不产生平方数。

对全部 $W$ 个窗口重复此操作,我们最终得到:

一个 $W \times 8$ 的表 $L_{x}$ ,为每个窗口存储 $8$ 个对 $x$ 坐标进行插值的系数。每个 $x$ 坐标插值多项式将具有如下形式 $L_{x} [w] (k) = c_{0} + c_{1} \cdot k + c_{2} \cdot k^{2} + \dots + c_{7} \cdot k^{7},$ 其中 $k \in [0..8), w \in [0..85)$ ,且 $c_{k}$ 是 $k$ 各次幂的系数;以及
一个长度为 $W$ 的数组 $Z$ ,存储各个 $z_{w}$ 。

每当我们在电路中进行定基标量乘时,就把这些预计算值加载到固定列(fixed columns)中。

定基标量乘(Fixed-base scalar multiplication)

给定一个分解后的标量 $α$ 和一个定基 $B$ ,我们如下计算 $[α] B$ :

对于标量分解中的每个 $k_{w}, w \in [0..85), k_{w} \in [0..8)$ ,见证 $x$ 坐标和 $y$ 坐标 $(x_{w}, y_{w}) = M [w] [k_{w}] .$
检查 $(x_{w}, y_{w})$ 在曲线上: $y_{w}^{2} = x_{w}^{3} + b$ 。
见证 $u_{w}$ ,使得 $y_{w} + z_{w} = u_{w}^{2}$ 。
对于除最后一个之外的所有窗口,使用不完全加法(incomplete addition)对各个 $M [w] [k_{w}]$ 求和,得到 $[α - k_{84} \cdot (2^{3})^{84} + j = 0 \sum 83 2^{3 j + 1}] B$ 。
对于最后一个窗口,使用完全加法(complete addition) $M [83] [k_{83}] + M [84] [k_{84}]$ 并返回最终结果。

注:最后一步需要完全加法,以便正确地把 $[0] B$ 映射到无穷远点的表示 $(0, 0)$ ;并且也用于处理最后一步是倍点的一个极端情形(corner case)。

约束(Constraints): $Degree 843 Constraint q_{mul-fixed} \cdot (L_{x} [w] (k_{w}) - x_{w}) = 0 q_{mul-fixed} \cdot (y_{w}^{2} - x_{w}^{3} - b) = 0 q_{mul-fixed} \cdot (u_{w}^{2} - y_{w} - Z [w]) = 0$

其中 $b = 5$ (来自 Pallas 曲线方程)。

有符号短指数(Signed short exponent)

回想一下,有符号短指数被见证为一个 $64$ 位幅值 $m$ 和一个符号 $s \in 1, - 1 .$ 使用上述算法,我们计算 $P = [m] B$ 。然后,为了得到最终结果 $P^{'},$ 我们使用 $(x, y) \mapsto (x, s \cdot y)$ 对 $P$ 进行条件取负(conditionally negate)。

约束(Constraints): $Degree 33 Constraint q_{mul_fixed_short} \cdot (P_{y}^{'} - P_{y}) \cdot (P_{y}^{'} + P_{y}) = 0 q_{mul_fixed_short} \cdot (s \cdot P_{y}^{'} - P_{y}) = 0$

布局(Layout)

$x_{P} x_{P, 0} x_{P, 1} x_{P, 2} ⋮ y_{P} y_{P, 0} y_{P, 1} y_{P, 2} ⋮ x_{QR} x_{Q, 1} = x_{P, 0} x_{Q, 2} = x_{R, 1} ⋮ y_{QR} y_{Q, 1} = y_{P, 0} y_{Q, 2} = y_{R, 1} ⋮ u u_{0} u_{1} u_{2} ⋮ window window_{0} window_{1} window_{2} ⋮ L_{0.. = 7} L_{0.. = 7, 0} L_{0.. = 7, 1} L_{0.. = 7, 1} ⋮ fixed_z fixed_z_{0} fixed_z_{1} fixed_z_{2} ⋮$

注:这不包括使用完全加法(complete addition)的最后一行。在实现中这是在一个不同的 region 中分配的。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/ecc/var-base-scalar-mul.html

变基标量乘(Variable-base scalar multiplication)

在 Orchard 电路中,我们需要检查 $p k_{d} = [ivk] g_{d}$ ,其中 $ivk \in [0, p)$ ,且标量域(scalar field)为 $F_{q}$ , $p < q$ 。

我们有 $p = 2^{254} + t_{p}$ 和 $q = 2^{254} + t_{q}$ ,其中 $t_{p}, t_{q} < 2^{128}$ 。

见证标量(Witness scalar)

我们试图计算 $[α] T$ ,其中 $α \in [0, q)$ 。设 $k = α + t_{q}$ 且 $n = 254$ 。那么我们可以计算

$[2^{254} + (α + t_{q})] T = [2^{254} + (α + t_{q}) - (2^{254} + t_{q})] T = [α] T$

前提是 $α + t_{q} \in [0, 2^{n + 1})$ ,即 $α < 2^{n + 1} - t_{q}$ ,这覆盖了我们需要的整个范围,因为事实上 $2^{255} - t_{q} > q$ 。

因此,给定一个标量 $α$ ,我们见证 $k = α + t_{q}$ 的布尔分解(boolean decomposition)。(为便于输入到变基标量乘算法中,我们使用大端(big-endian)位序。)

$k = k_{254} \cdot 2^{254} + k_{253} \cdot 2^{253} + \dots + k_{0} .$

变基标量乘(Variable-base scalar multiplication)

我们使用一个优化过的倍加(double-and-add)算法,从《Faster variable-base scalar multiplication in zk-SNARK circuits》复制而来,并做了一些变量名修改:

Acc := [2] T
for i from n-1 down to 0 {
    P := k_{i+1} ? T : −T
    Acc := (Acc + P) + Acc
}
return (k_0 = 0) ? (Acc - T) : Acc

剩下要检查的是,每对要相加的点的 x 坐标都互不相同。

当在素数阶群(prime-order group)中相加点时,我们可以依赖 Halo 论文附录 C 中的定理 3,它表明:如果我们有两个这样的点,它们相对于给定的奇素数阶基有非零索引(index),且这些索引取在 $- (q - 1) /2.. (q - 1) /2$ 范围内时,忽略符号是互不相同的,那么它们就有不同的 x 坐标。这很有帮助,因为对标量乘算法中出现的点的索引进行推理,比直接对它们的 x 坐标进行推理要容易。

因此,所需的检查等价于说,上述算法的下列"带索引版本"永远不会触发 assert:

acc := 2
for i from n-1 down to 0 {
    p = k_{i+1} ? 1 : −1
    assert acc ≠ ± p
    assert (acc + p) ≠ acc    // X
    acc := (acc + p) + acc
    assert 0 < acc ≤ (q-1)/2
}
if k_0 = 0 {
    assert acc ≠ 1
    acc := acc - 1
}

acc 的最大值是:

    <--- n 1s --->
  1011111...111111
= 1100000...000000 - 1

= $2^{n + 1} + 2^{n} - 1$

标记为 X 的 assert 显然不可能失败,因为 $p \neq = 0$ 。可以看出,除了最后那个条件分支外,acc 是单调递增的。它在 $k$ 取最大值时达到其最大值,即 $2^{n + 1} + 2^{n} - 1$ 。

所以,为了完全避免例外情形(exceptional cases),我们将需要 $2^{n + 1} + 2^{n} - 1 < (q - 1) /2$ 。但如果最后 $c$ 次迭代使用完全加法(complete addition),我们就可以把 $n$ 增大 $c$ 。

仅使用不完全加法(incomplete addition)时算法第一个失败的 $i$ 将是 $252$ ,因为 $2^{252 + 1} + 2^{252} - 1 > (q - 1) /2$ 。我们需要 $n = 254$ 才能使上述环绕(wraparound)技巧奏效。

sage: q = 0x40000000000000000000000000000000224698fc0994a8dd8c46eb2100000001
sage: 2^253 + 2^252 - 1 < (q-1)//2
False
sage: 2^252 + 2^251 - 1 < (q-1)//2
True

所以循环的最后三次迭代( $i = 2..0$ )需要使用完全加法(complete addition),末尾的条件减法也是如此。用 ⸭ 表示不完全加法(如我们在规范中所做),把它写出来,我们有:

Acc := [2] T
for i from 253 down to 3 {
    P := k_{i+1} ? T : −T
    Acc := (Acc ⸭ P) ⸭ Acc
}
for i from 2 down to 0 {
    P := k_{i+1} ? T : −T
    Acc := (Acc + P) + Acc  // complete addition
}
return (k_0 = 0) ? (Acc + (-T)) : Acc  // complete addition

优化倍加的约束程序(Constraint program for optimized double-and-add)

定义一个移动求和(running sum) $z_{j} = \sum_{i = j}^{n} (k_{i} \cdot 2^{i - j})$ ,其中 $n = 254$ 且:

$z_{n + 1} = 0, z_{n} = k_{n}, (most significant bit) z_{0} = k .$

$Initialize A_{254} = [2] T . for i from 254 down to 4 : bool_check (k_{i}) = 0 z_{i} = 2 z_{i + 1} + k_{i} x_{P, i} = x_{T} y_{P, i} = (2 k_{i} - 1) \cdot y_{T} (conditionally negate) λ_{1, i} \cdot (x_{A, i} - x_{P, i}) = y_{A, i} - y_{P, i} x_{R, i} = λ_{1, i}^{2} - x_{A, i} - x_{P, i} (λ_{1, i} + λ_{2, i}) \cdot (x_{A, i} - x_{R, i}) = 2 y_{A, i} λ_{2, i}^{2} = x_{A, i - 1} + x_{R, i} + x_{A, i} λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) = y_{A, i} + y_{A, i - 1} .$

辅助函数 $bool_check (x) = x \cdot (1 - x)$ 。在代入 $x_{P, i}, y_{P, i}, x_{R, i}, y_{A, i}$ 和 $y_{A, i - 1}$ 之后,这变为:

$Initialize A_{254} = [2] T . for i from 254 down to 4 : // let k_{i} = z_{i} - 2 z_{i + 1} // let y_{A, i} = \frac{( λ _{1, i} + λ _{2, i} ) \cdot ( x _{A, i} - ( λ _{1, i}^{2} - x _{A, i} - x _{T} ))}{2} bool_check (k_{i}) = 0 λ_{1, i} \cdot (x_{A, i} - x_{T}) = y_{A, i} - (2 k_{i} - 1) \cdot y_{T} λ_{2, i}^{2} = x_{A, i - 1} + λ_{1, i}^{2} - x_{T} {λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) = y_{A, i} + y_{A, i - 1}, λ_{2, 4} \cdot (x_{A, 4} - x_{A, 3}) = y_{A, 4} + y_{A, 3}^{witnessed}, if i > 4 if i = 4.$

这里, $y_{A, 3}^{witnessed}$ 被分配到一个单元格(cell)中。这与之前的各个 $y_{A, i}$ 不同,后者是从 $λ_{1, i}, λ_{2, i}, x_{A, i}, x_{T}$ 隐式推导出来的,但从未真正被分配过。

位 $k_{3 \dots 1}$ 被用于另外三个步骤中,使用完全加法(complete addition):

$for i from 3 down to 1 : // let k_{i} = z_{i} - 2 z_{i + 1} bool_check (k_{i}) = 0 (x_{A, i - 1}, y_{A, i - 1}) = ((x_{A, i}, y_{A, i}) + (x_{T}, y_{T})) + (x_{A, i}, y_{A, i})$

如果最低有效位(least significant bit) $k_{0} = 1,$ 我们置 $B = O,$ 否则我们置 $B = - T$ 。然后我们使用完全加法返回 $A + B$ 。

设 $B = {(0, 0), (x_{T}, - y_{T}), if k_{0} = 1, otherwise.$

输出 $(x_{A, 0}, y_{A, 0}) + B$ 。

(注意 $(0, 0)$ 表示 $O$ 。)

不完全加法(Incomplete addition)

我们需要六个 advice 列来见证 $(x_{T}, y_{T}, λ_{1}, λ_{2}, x_{A, i}, z_{i})$ 。然而,由于 $(x_{T}, y_{T})$ 是相同的,我们可以在一行中执行两次不完全加法,复用相同的 $(x_{T}, y_{T})$ 。我们把不完全加法中使用的标量位分成 $hi$ 和 $l o$ 两半并行处理。这意味着我们实际上有两个 for 循环:

第一个,覆盖 $hi$ 半部分, $i$ 从 $254$ 到 $130$ ,在 $i = 130$ 处有一个特殊情形;以及
第二个,覆盖 $l o$ 半部分,即剩余的 $i$ 从 $129$ 到 $4$ ,在 $i = 4$ 处有一个特殊情形。

$x_{T} x_{T} x_{T} ⋮ x_{T} x_{T} y_{T} y_{T} y_{T} ⋮ y_{T} y_{T} z^{hi} z_{255} = 0 z_{254} z_{253} ⋮ z_{130} x_{A}^{hi} x_{A, 254} = 2 [T]_{x} x_{A, 253} ⋮ x_{A, 130} x_{A, 129} λ_{1}^{hi} y_{A, 254} = 2 [T]_{y} λ_{1, 254} λ_{1, 253} ⋮ λ_{1, 130} y_{A, 129} λ_{2}^{hi} λ_{2, 254} λ_{2, 253} ⋮ λ_{2, 130} q_{1}^{hi} 100 ⋮ 0 q_{2}^{hi} 011 ⋮ 0 q_{3}^{hi} 000 ⋮ 1 z^{l o} z_{130} z_{129} z_{128} ⋮ z_{5} z_{4} x_{A}^{l o} x_{A, 129} x_{A, 128} ⋮ x_{A, 5} x_{A, 4} x_{A, 3} λ_{1}^{l o} y_{A, 129} λ_{1, 129} λ_{1, 128} ⋮ λ_{1, 5} λ_{1, 4} y_{A, 3} λ_{2}^{l o} λ_{2, 129} λ_{2, 128} ⋮ λ_{2, 5} λ_{2, 4} q_{1}^{l o} 100 ⋮ 00 q_{2}^{l o} 011 ⋮ 10 q_{3}^{l o} 000 ⋮ 01$

对于每个 $hi$ 和 $l o$ 半部分,我们有三组门(gate)。注意 $i$ 是从 $255.. = 3$ 取值; $i$ 不是对行做索引。

$q_{1} = 1$

这个门仅用于第一行(在 for 循环之前)。我们检查 $λ_{1}, λ_{2}$ 被初始化为与初始 $y_{A}$ 一致的值。 $Degree 4 Constraint q_{1} \cdot (y_{A, n}^{witnessed} - y_{A, n}) = 0$ 其中 $y_{A, n} y_{A, n}^{witnessed} = \frac{( λ _{1, n} + λ _{2, n} ) \cdot ( x _{A, n} - ( λ _{1, n}^{2} - x _{A, n} - x _{T} ))}{2}, is witnessed.$

$q_{2} = 1$

这个门用于对应 for 循环的所有行,除最后一行外。

$Degree 223433 Constraint q_{2} \cdot (x_{T, c u r} - x_{T, n e x t}) = 0 q_{2} \cdot (y_{T, c u r} - y_{T, n e x t}) = 0 q_{2} \cdot bool_check (k_{i}) = 0, where k_{i} = z_{i} - 2 z_{i + 1} q_{2} \cdot (λ_{1, i} \cdot (x_{A, i} - x_{T, i}) - y_{A, i} + (2 k_{i} - 1) \cdot y_{T, i}) = 0 q_{2} \cdot (λ_{2, i}^{2} - x_{A, i - 1} - x_{R, i} - x_{A, i}) = 0 q_{2} \cdot (λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) - y_{A, i} - y_{A, i - 1}) = 0$ 其中 $x_{R, i} y_{A, i} y_{A, i - 1} = λ_{1, i}^{2} - x_{A, i} - x_{T}, = \frac{( λ _{1, i} + λ _{2, i} ) \cdot ( x _{A, i} - ( λ _{1, i}^{2} - x _{A, i} - x _{T} ))}{2}, = \frac{( λ _{1, i - 1} + λ _{2, i - 1} ) \cdot ( x _{A, i - 1} - ( λ _{1, i - 1}^{2} - x _{A, i - 1} - x _{T} ))}{2},$

$q_{3} = 1$

这个门用于 for 循环的最后一次迭代,处理特殊情形,其中我们检查输出 $y_{A}$ 被正确见证。 $Degree 3433 Constraint q_{3} \cdot bool_check (k_{i}) = 0, where k_{i} = z_{i} - 2 z_{i + 1} q_{3} \cdot (λ_{1, i} \cdot (x_{A, i} - x_{T, i}) - y_{A, i} + (2 k_{i} - 1) \cdot y_{T, i}) = 0 q_{3} \cdot (λ_{2, i}^{2} - x_{A, i - 1} - x_{R, i} - x_{A, i}) = 0 q_{3} \cdot (λ_{2, i} \cdot (x_{A, i} - x_{A, i - 1}) - y_{A, i} - y_{A, i - 1}^{witnessed}) = 0$ 其中 $x_{R, i} y_{A, i} y_{A, i - 1}^{witnessed} = λ_{1, i}^{2} - x_{A, i} - x_{T}, = \frac{( λ _{1, i} + λ _{2, i} ) \cdot ( x _{A, i} - ( λ _{1, i}^{2} - x _{A, i} - x _{T} ))}{2}, is witnessed.$

完全加法(Complete addition)

我们复用完全加法(complete addition)约束来实现倍加的最后 $c$ 轮。这需要每轮两行,因为每次完全加法都需要 9 个 advice 列。在第 10 个 advice 列中,我们暂存为正确实现倍加所需的其他单元格:

基点的 $y$ 坐标,这样我们可以对它进行条件取负,作为其中一次完全加法的输入。
移动求和(running sum),我们在两行上而非顺序地对它进行约束。

布局(Layout)

$a_{0} x_{T} x_{A} a_{1} y_{p} y_{A} a_{2} x_{A} x_{q} x_{r} a_{3} y_{A} y_{q} y_{r} a_{4} λ_{1} λ_{2} a_{5} α_{1} α_{2} a_{6} β_{1} β_{2} a_{7} γ_{1} γ_{2} a_{8} δ_{1} δ_{2} a_{9} z_{i + 1} y_{T} z_{i} q_{mul_decompose_var} 010$

约束(Constraints)

除了完全加法约束之外,我们定义以下门(gate):

$Degree Constraint q_{mul_decompose_var} \cdot bool_check (k_{i}) = 0 q_{mul_decompose_var} \cdot ternary (k_{i}, y_{T} - y_{p}, y_{T} + y_{p}) = 0$ 其中 $k_{i} = z_{i} - 2 z_{i + 1}$ 。

LSB(最低有效位)

布局(Layout)

$a_{0} x_{p} x_{T} a_{1} y_{p} y_{T} a_{2} x_{A} x_{r} a_{3} y_{A} y_{r} a_{4} λ a_{5} α a_{6} β a_{7} γ a_{8} δ a_{9} z_{1} z_{0} q_{mul_lsb} 10$

约束(Constraints)

$Degree Constraint q_{mul_lsb} \cdot bool_check (k_{0}) = 0 q_{mul_lsb} \cdot ternary (k_{0}, x_{p}, x_{p} - x_{T}) = 0 q_{mul_lsb} \cdot ternary (k_{0}, y_{p}, y_{p} + y_{T}) = 0$ 其中 $k_{0} = z_{0} - 2 z_{1}$ 。

溢出检查(Overflow check)

对于任何 $i \geq 1$ , $z_{i}$ 都不会溢出,因为它是仅到 $2^{n - 1} = 2^{253}$ 为止的若干位的加权求和,而 $2^{253}$ 小于 $p$ (也小于 $q$ )。

然而, $z_{0} = α + t_{q}$ 可能会溢出 $[0, p)$ 。

注:对于全宽标量乘,可能无法在基域中表示 $z_{0}$ (例如当基域是 Pasta 的 $F_{p}$ 且 $p < q$ 时)。在这种情况下,我们需要对涉及 $z_{0}$ 的那一行进行特殊处理,使其对于我们用于全宽标量的任何表示都是正确的。我们对 $k$ 的表示将是这个对: $(k_{254}, k^{'} = k - 2^{254} \cdot k_{254})$ 。我们将用 $k^{'}$ 代替 $α + t_{q}$ 作为 $z_{0}$ ,并把 $k^{'}$ 约束到 254 位,使它能放入一个 $F_{p}$ 元素。然后我们只需把下面的论证推广到适用于 $k^{'} \in [0, 2 \cdot t_{q})$ (因为 $α + t_{q}$ 的最大值是 $q - 1 + t_{q} = 2^{254} + t_{q} - 1 + t_{q}$ )。

由于溢出只可能发生在约束 $z_{0} = 2 \cdot z_{1} + k_{0}$ 的最后一步,我们有 $z_{0} = k (mod p)$ 。那么只需再检查 $z_{0} = α + t_{q} (mod p)$ (使得 $k = α + t_{q} (mod p)$ )以及 $k \in [t_{q}, p + t_{q})$ 即可。这些条件合在一起就意味着 $k = α + t_{q}$ 作为整数成立,因此如所需有 $2^{254} + k = α (mod q)$ 。

注:位 $k_{254..0}$ 并不表示一个对 $q$ 取模归约后的值,而是表示未归约的 $α + t_{q}$ 的一个表示。

对 $k \in [t_{q}, p + t_{q})$ 的优化检查(Optimized check)

由于 $t_{p} + t_{q} < 2^{130}$ (若 $p$ 和 $q$ 互换也成立),我们有 $[t_{q}, p + t_{q}) = [t_{q}, t_{q} + 2^{130}) \cup [2^{130}, 2^{254}) \cup ([2^{254}, 2^{254} + 2^{130}) \cap [p + t_{q} - 2^{130}, p + t_{q})) .$

我们可以假设 $k = α + t_{q} (mod p)$ 。

(对于 Orchard 中变基标量乘的使用而言这是真的,在那里我们知道 $α < p$ 。如果我们互换 $p$ 和 $q$ 使得 $p > q$ ,这也成立。但对于一个全宽标量 $α \geq p$ 且 $p < q$ 时,它不成立。)

因此, $k \in [t_{q}, p + t_{q}) \Leftrightarrow \Leftrightarrow \Leftrightarrow (k \in [t_{q}, t_{q} + 2^{130}) \lor k \in [2^{130}, 2^{254})) \lor (k \in [2^{254}, 2^{254} + 2^{130}) \land k \in [p + t_{q} - 2^{130}, p + t_{q})) (k_{254} = 0 ⟹ (k \in [t_{q}, t_{q} + 2^{130}) \lor k \in [2^{130}, 2^{254}))) \land (k_{254} = 1 ⟹ (k \in [2^{254}, 2^{254} + 2^{130}) \land k \in [p + t_{q} - 2^{130}, p + t_{q}))) (k_{254} = 0 ⟹ (α \in [0, 2^{130}) \lor k \in [2^{130}, 2^{254}))) \land (k_{254} = 1 ⟹ (k \in [2^{254}, 2^{254} + 2^{130}) \land (α + 2^{130}) mod p \in [0, 2^{130}))) Ⓐ$

给定 $k \in [2^{254}, 2^{254} + 2^{130})$ ,我们如下证明 $k \in [p + t_{q} - 2^{130}, p + t_{q})$ 与 $(α + 2^{130}) mod p \in [0, 2^{130})$ 的等价性:

把该区间平移 $2^{130} - p - t_{q}$ ,得到 $k + 2^{130} - p - t_{q} \in [0, 2^{130})$ ;

观察到 $k + 2^{130} - p - t_{q}$ 保证落在 $[2^{130} - t_{p} - t_{q}, 2^{131} - t_{p} - t_{q})$ 内,因此对 $p$ 取模时既不会溢出也不会下溢;

利用 $k = α + t_{q} (mod p)$ 这一事实,观察到 $(k + 2^{130} - p - t_{q}) mod p = (α + t_{q} + 2^{130} - p - t_{q}) mod p = (α + 2^{130}) mod p$ 。

(我们可以用另一种方式看出这是正确的:观察到它检查的是 $α mod p \in [p - 2^{130}, p)$ ,所以上界如我们所预期地对齐。)

现在,我们可以从 $Ⓐ$ 继续优化:

$k \in [t_{q}, p + t_{q}) \Leftrightarrow \Leftrightarrow (k_{254} = 0 ⟹ (α \in [0, 2^{130}) \lor k \in [2^{130}, 2^{254})) \land (k_{254} = 1 ⟹ (k \in [2^{254}, 2^{254} + 2^{130}) \land (α + 2^{130}) mod p \in [0, 2^{130}))) (k_{254} = 0 ⟹ (α \in [0, 2^{130}) \lor k_{253..130} are not all 0)) \land (k_{254} = 1 ⟹ (k_{253..130} are all 0 \land (α + 2^{130}) mod p \in [0, 2^{130})))$

把 $k_{253..130}$ 约束为全 $0$ 或非全 $0$ ,几乎可以"免费"实现,方法如下。

回想 $z_{i} = \sum_{h = i}^{n} (k_{h} \cdot 2^{h - i})$ ,所以我们有:

$z_{130} z_{130} z_{130} - k_{254} \cdot 2^{124} = = = \sum_{h = 130}^{254} (k_{h} \cdot 2^{h - 130}) k_{254} \cdot 2^{254 - 130} + \sum_{h = 130}^{253} (k_{h} \cdot 2^{h - 130}) \sum_{h = 130}^{253} (k_{h} \cdot 2^{h - 130})$

所以 $k_{253..130}$ 全为 $0$ 当且仅当 $z_{130} = k_{254} \cdot 2^{124}$ 。

最后,我们可以通过检查 $(α + k_{254} \cdot 2^{130}) mod p \in [0, 2^{130})$ ,把 $k_{254} = 0$ 和 $k_{254} = 1$ 两种情形的 $130$ 位分解合并起来。

溢出检查约束(Overflow check constraints)

设 $s = α + k_{254} \cdot 2^{130}$ 。溢出检查的约束为:

$z_{0} k_{254} = 1 ⟹ (z_{130} k_{254} = 0 ⟹ (z_{130} = α + t_{q} (mod p) = 2^{124} \land s mod p \in [0, 2^{130})) \neq = 0 \lor s mod p \in [0, 2^{130}))$

定义 $inv0 (x) = {0, 1/ x, if x = 0 otherwise.$

见证 $η = inv0 (z_{130})$ ,并把 $s mod p$ 分解为 $s_{129..0}$ 。

那么所需的门(gate)为:

$Degree 22335 Constraint q_{mul_overflow} \cdot (s - (α + k_{254} \cdot 2^{130})) = 0 q_{mul_overflow} \cdot (z_{0} - α - t_{q}) = 0 q_{mul_overflow} \cdot (k_{254} \cdot (z_{130} - 2^{124})) = 0 q_{mul_overflow} \cdot (k_{254} \cdot (s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130}) = 0 q_{mul_overflow} \cdot ((1 - k_{254}) \cdot (1 - z_{130} \cdot η) \cdot (s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130}) = 0$ 其中 $(s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130}$ 可以由另一个移动求和计算得到。注意 $1/ 2^{130}$ 这个因子对约束没有影响,因为右边为零。

移动求和范围检查(Running sum range check)

我们在电路中利用一个 $10$ 位查找范围检查(lookup range check)来减去 $s$ 的低 $130$ 位。该范围检查减去 $s$ 的前 $13 \cdot 10$ 位,并把结果右移,得到 $(s - i = 0 \sum 129 2^{i} \cdot s_{i}) / 2^{130} .$

溢出检查(通用版)(Overflow check (general))

回想我们定义了 $z_{j} = \sum_{i = j}^{n} (k_{i} \cdot 2^{i - j})$ ,其中 $n = 254$ 。

对于任何 $j \geq 1$ , $z_{j}$ 都不会溢出,因为它是仅到并包括 $2^{n - j}$ 为止的若干位的加权求和。当 $n = 254$ 且 $j = 1$ 时,此求和至多为 $2^{254} - 1$ ,小于 $p$ (也小于 $q$ )。

然而,对于全宽标量乘,可能无法在基域中表示 $z_{0}$ (例如当基域是 Pasta 的 $F_{p}$ 且 $p < q$ 时)。在这种情况下, $z_{0} = α + t_{q}$ 可能会溢出 $[0, p)$ 。

所以,我们需要对涉及 $z_{0}$ 的那一行进行特殊处理,使其对于我们用于全宽标量的任何表示都是正确的。

我们对 $k$ 的表示将是这个对: $(k_{254}, k^{'} = k - 2^{254} \cdot k_{254})$ 。我们将用 $k^{'}$ 代替 $α + t_{q}$ 作为 $z_{0}$ ,并把 $k^{'}$ 约束到 254 位,使它能放入一个 $F_{p}$ 元素。

然后我们只需把 Orchard 电路中变基标量乘所使用的溢出检查推广到适用于 $k^{'} \in [0, 2 \cdot t_{q})$ (因为 $α + t_{q}$ 的最大值是 $q - 1 + t_{q} = 2^{254} + t_{q} - 1 + t_{q}$ )。

注:位 $k_{254..0}$ 并不表示一个对 $q$ 取模归约后的值,而是表示未归约的 $α + t_{q}$ 的一个表示。

溢出只可能发生在约束 $z_{0} = 2 \cdot z_{1} + k_{0}$ 的最后一步,并且只有在 $z_{1}$ 设置了权重为 $2^{253}$ 的那一位时(即 $k_{254} = 1$ 时)才会发生。如果我们改为设置 $z_{0} = 2 \cdot z_{1} - 2^{254} \cdot k_{254} + k_{0}$ ,那么现在 $z_{0}$ 就不会溢出,并且应当等于 $k^{'}$ 。

那么只需再检查 $z_{0} + 2^{254} \cdot k_{254} = α + t_{q}$ 作为整数成立(其中 $α \in [0, q)$ )即可。

把 $α$ 表示为 $2^{254} \cdot α_{254} + 2^{253} \cdot α_{253} + α^{''}$ ,其中我们约束 $α^{''} \in [0, 2^{253})$ ,并约束 $α_{253}$ 和 $α_{254}$ 为布尔值。为使这是一个规范表示,我们还需要 $α_{254} = 1 ⟹ (α_{253} = 0 \land α^{''} \in [0, t_{q}))$ 。

设 $α^{'} = 2^{253} \cdot α_{253} + α^{''}$ 。

如果 $α_{254} = 1$ :

约束 $k_{254} = 1$ 且 $z_{0} = α^{'} + t_{q}$ 。这不会溢出,因为在这种情况下 $α^{'} \in [0, t_{q})$ ,因此 $z_{0} \in [0, 2 \cdot t_{q})$ 。

如果 $α_{254} = 0$ :

我们应当在 $α^{'} \in [2^{254} - t_{q}, 2^{254})$ 时且仅在此时有 $k_{254} = 1$ ,即把 $k_{254}$ 见证为布尔值,然后
- 如果 $k_{254} = 0$ ,则约束 $α^{'} \neq \in [2^{254} - t_{q}, 2^{254})$ 。
  - 这可以通过约束 $α_{253} = 0$ 或 $α^{''} + t_{q} \in [0, 2^{253})$ 二者之一来完成。( $α^{''} + t_{q}$ 不会溢出。)
- 如果 $k_{254} = 1$ ,则约束 $α^{'} \in [2^{254} - t_{q}, 2^{254})$ 。
  - 这可以通过约束 $α^{'} - (2^{254} - t_{q}) \in [0, 2^{130})$ 和 $α^{'} - 2^{254} + 2^{130} \in [0, 2^{130})$ 来完成。

溢出检查约束(通用版)(Overflow check constraints (general))

如上把 $α$ 表示为 $2^{254} \cdot α_{254} + 2^{253} \cdot α_{253} + α^{''}$ 。

溢出检查的约束为:

$α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 1 ⟹ α_{254} = 0 \land α_{253} = 1 \land k_{254} = 0 α_{254} = 0 \land k_{254} = 1 α_{254} = 0 \land k_{254} = 1 α^{''} \in [0, 2^{253}) α_{253} \in {0, 1} α_{254} \in {0, 1} k_{254} \in {0, 1} α_{253} = 0 α^{''} \in [0, 2^{130}) ❁ α^{''} + 2^{130} - t_{q} \in [0, 2^{130}) ❁ k_{254} = 1 z_{0} = α^{'} + t_{q} ⟹ α^{''} + t_{q} \in [0, 2^{253}) ⟹ α^{'} - 2^{254} + t_{q} \in [0, 2^{130}) ❁ ⟹ α^{'} - 2^{254} + 2^{130} \in [0, 2^{130}) ❁$

注意标记为 $❁$ 的四个 130 位约束分成两对,出现在不相交(disjoint)的情形中。因此我们可以用一个新的见证变量 $u$ 把它们合并为两个 130 位约束;另一个约束始终是对 $u + 2^{130} - t_{q}$ 的约束:

$α_{254} = 1 ⟹ α_{254} = 0 \land k_{254} = 1 ⟹ u = α^{''} u = α^{'} - 2^{254} + t_{q} u \in [0, 2^{130}) u + 2^{130} - t_{q} \in [0, 2^{130})$

( $u$ 是无约束的,在 $α_{254} = 0 \land k_{254} = 0$ 的情况下可以见证为 $0$ 。)

成本(Cost)

25 次 10 位范围检查和一次 3 位范围检查,用于把 $α^{''}$ 约束到 253 位;
25 次 10 位范围检查和一次 3 位范围检查,用于在 $α_{254} = 0 \land α_{253} = 1 \land k_{254} = 0$ 时把 $α^{''} + t_{q}$ 约束到 253 位;
两次 13 个 10 位范围检查。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/sinsemilla.html

Sinsemilla

概述

Sinsemilla 是一种抗碰撞(collision-resistant)的哈希(hash)函数和承诺(commitment)方案,其设计目标是在支持查表(lookups)的代数电路模型(如 PLONK 或 Halo 2)中保持高效。

Sinsemilla 的安全性质与 Pedersen 哈希类似;它并非设计用于需要随机预言机(random oracle)、PRF 或抗原像(preimage-resistant)哈希的场合。该哈希函数唯一声称的安全性质是对定长输入的抗碰撞性。

在电路内部,Sinsemilla 的效率大约比代数哈希 Rescue 和 Poseidon 低 4 倍,但在电路外部却比 Rescue 高约 19 倍。与这两种哈希不同的是,Sinsemilla 的抗碰撞性质可以基于已确立至少 20 年的密码学假设来证明。Sinsemilla 还可用作一个计算上绑定(computationally binding)且完美隐藏(perfectly hiding)的承诺方案。

总体思路是把消息切分成 $k$ 比特的小片,对每一片,从我们密码学群中的一张含 $2^{k}$ 个基底(bases)的表里选出一个。我们用倍加(double-and-add)算法把所选的基底组合起来。最终其安全性可证明地等同于一个向量 Pedersen 哈希,并且充分利用了 Halo 2 所支持的查表功能。

描述

本节是 Sinsemilla 工作原理的概述:规范性的定义请参阅协议规范中的 §5.4.1.9 Sinsemilla 哈希函数。我们下文使用的不完全点加(incomplete point addition)运算符 ⸭ 也在那里定义。

设 $G$ 是一个素数阶 $q$ 的密码学群。我们用加法记号书写 $G$ ,其单位元为 $O$ ,并用 $[m] P$ 表示 $P$ 被 $m$ 作标量乘法。

设 $k \geq 1$ 是一个基于效率考量选取的整数(表的大小将为 $2^{k}$ )。设 $n$ 是一个整数,对每个实例化是固定的,使得消息为 $kn$ 比特,其中 $2^{n} \leq \frac{q - 1}{2}$ 。必要时我们用零填充(zero-padding)补到下一个 $k$ 比特的整数倍。

$Setup$ :选取 $Q$ 和 $P [0.. 2^{k} - 1]$ 作为 $G$ 的 $2^{k} + 1$ 个独立的、可验证随机(verifiably random)的生成元,方法是使用一个合适的"哈希进 $G$ "(hash into $G$ )函数,使得 $Q$ 与 $P [0.. 2^{k} - 1]$ 都不等于 $O$ 。

在 Orchard 中,我们将 $Q$ 定义为依赖于一个域分隔符(domain separator) $D$ 。协议规范用 $Q (D)$ 替代 $Q$ ,用 $S (m)$ 替代 $P [m]$ 。

$Hash (M)$ :

把 $M$ 切分成 $n$ 组,每组 $k$ 比特。把每组解释为一个 $k$ 比特小端(little-endian)整数 $m_{i}$ 。
令 $Acc_{0} := Q$
对 $i$ 从 $0$ 到 $n - 1$ :
- 令 $Acc_{i + 1} := (Acc_{i} ⸭ P [m_{i + 1}]) ⸭ Acc_{i}$
返回 $Acc_{n}$

设 $ShortHash (M)$ 为 $Hash (M)$ 的 $x$ 坐标。(这里假定 $G$ 是短 Weierstrass 形式(short Weierstrass form)的素数阶椭圆曲线,对 Pallas 和 Vesta 而言确实如此。)

把一个倍加 $[2] A + R$ 表示为 $(A + R) + A$ 会稍微高效一些。我们也使用不完全加法:Sinsemilla 安全性论证中证明了,在 $G$ 为素数阶短 Weierstrass 椭圆曲线的情形下,加法的一个例外情形(exceptional case)将会导致求出一个离散对数(discrete logarithm),而即便对于敌手构造的输入,这也可以假定以可忽略的概率发生。

用作承诺方案

独立于 $Q$ 与 $P [0.. 2^{k} - 1]$ 另选一个生成元 $H$ 。

承诺的随机量 $r$ 在 $[0, q)$ 上均匀选取。

令 $Commit_{r} (M) = Hash (M) ⸭ [r] H$ 。

设 $ShortCommit_{r} (M)$ 为 $Commit_{r} (M)$ 的 $x 坐标$ 。(这同样假定 $G$ 是短 Weierstrass 形式的素数阶椭圆曲线。)

注意,与简单的 Pedersen 承诺不同,这个承诺方案( $Commit$ 或 $ShortCommit$ )不是加法同态(additively homomorphic)的。

高效实现

设计的目标是,在给定表大小的前提下,优化算法每一步(每步需要在 $G$ 中作一次倍乘和一次加法)所能处理的比特数。使用一张大小为 $2^{k}$ 个群元素的单表,我们每次可以处理 $k$ 比特。

不完全加法

在 Sinsemilla 的每一步中,我们要计算 $A_{i + 1} := (A_{i} ⸭ P_{i}) ⸭ A_{i}$ 。设 $R_{i} := A_{i} ⸭ P_{i}$ 为中间结果,使得 $A_{i + 1} := A_{i} ⸭ R_{i}$ 。回顾不完全加法公式:

$x_{3} y_{3} = (\frac{y _{1} - y _{2}}{x _{1} - x _{2}})^{2} - x_{1} - x_{2} = \frac{y _{1} - y _{2}}{x _{1} - x _{2}} \cdot (x_{1} - x_{3}) - y_{1}$

令 $λ = \frac{y _{1} - y _{2}}{x _{1} - x _{2}}$ 。依次代入每个不完全加法的坐标并整理,我们得到

$λ_{1, i} x_{R, i} y_{R, i} = \frac{y _{A, i} - y _{P, i}}{x _{A, i} - x _{P, i}} ⟹ y_{A, i} - y_{P, i} = λ_{1, i} \cdot (x_{A, i} - x_{P, i}) ⟹ y_{P, i} = y_{A, i} - λ_{1, i} \cdot (x_{A, i} - x_{P, i}) = λ_{1, i}^{2} - x_{A, i} - x_{P, i} = λ_{1, i} \cdot (x_{A, i} - x_{R, i}) - y_{A, i}$ 以及 $λ_{2, i} x_{A, i + 1} y_{A, i + 1} = \frac{y _{A, i} - y _{R, i}}{x _{A, i} - x _{R, i}} ⟹ y_{A, i} - y_{R, i} = λ_{2, i} \cdot (x_{A, i} - x_{R, i}) ⟹ y_{A, i} - (λ_{1, i} \cdot (x_{A, i} - x_{R, i}) - y_{A, i}) = λ_{2, i} \cdot (x_{A, i} - x_{R, i}) ⟹ 2 \cdot y_{A, i} = (λ_{1, i} + λ_{2, i}) \cdot (x_{A, i} - x_{R, i}) = λ_{2, i}^{2} - x_{A, i} - x_{R, i} = λ_{2, i} \cdot (x_{A, i} - x_{A, i + 1}) - y_{A, i} .$

约束程序

令 $P = {(j, x_{P [j]}, y_{P [j]}) 对 j \in {0.. 2^{k} - 1}}$ 。

输入: $m_{1.. = n}$ 。(这里消息字(message words)的下标从 1 开始,与协议规范一致,但我们让循环从 $i = 0$ 开始,使得 $(x_{A, i}, y_{A, i})$ 对应协议规范中的 $Acc_{i}$ 。)

输出: $(x_{A, n}, y_{A, n})$ 。

$(x_{A, 0}, y_{A, 0}) = Q$
对 $i$ 从 $0$ 到 $n - 1$ :
- $y_{P, i} = y_{A, i} - λ_{1, i} \cdot (x_{A, i} - x_{P, i})$
- $x_{R, i} = λ_{1, i}^{2} - x_{A, i} - x_{P, i}$
- $2 \cdot y_{A, i} = (λ_{1, i} + λ_{2, i}) \cdot (x_{A, i} - x_{R, i})$
- $(m_{i + 1}, x_{P, i}, y_{P, i}) \in P$
- $λ_{2, i}^{2} = x_{A, i + 1} + x_{R, i} + x_{A, i}$
- $λ_{2, i} \cdot (x_{A, i} - x_{A, i + 1}) = y_{A, i} + y_{A, i + 1}$

PLONK / Halo 2 约束

消息分解(decomposition)

我们有一条 $n$ 比特的消息 $m = m_{1} + 2^{k} m_{2} + ... + 2^{k \cdot (n - 1)} m_{n}$ 。(注意消息字的下标从 1 开始,与协议规范一致。)

将累加和(running sum)初始化为 $z_{0} = α$ ,并定义 $z_{i + 1} := \frac{z _{i} - m _{i + 1}}{2 ^{K}}$ 。最终我们将得到 $z_{n} = 0.$

整理后得到原消息每个字的表达式 $m_{i + 1} = z_{i} - 2^{k} \cdot z_{i + 1}$ ,我们可以在表中对它进行查表。我们把 $z_{i}$ 和 $z_{i + 1}$ 放在同一列的相邻两行,这样就能沿整条消息顺序地施加该约束。

换言之, $z_{n - i} = h = 0 \sum i - 1 2^{kh} \cdot m_{h + 1}$ 。

对于此处所用的小端分解,累加和初始化为该标量并以 0 结束。而对于变基标量乘法(variable-base scalar multiplication)中所用的大端(big-endian)分解,累加和会从 0 开始,并以恢复出原标量结束。

高效打包(packing)

累加和只适用于单个域元素(field element)内部的消息字。这意味着,如果 $n \geq PrimeField :: NUM_BITS$ ,我们就需要多个互不相交的累加和。更长的消息可以通过把消息字拆分到多个域元素中来构造,然后运行下面这些约束的多个实例。

上面 $m_{i + 1}$ 的表达式在 $z_{i}$ 列中需要 $n + 1$ 行,这会在相邻列里留下一行空隙,使得 $Acc_{i}$ 更难累加。为了支持把多个域元素串联起来而不留空隙,我们对 $m_{i + 1}$ 使用一个稍复杂、包含一个选择子(selector)的表达式:

$m_{i + 1} = z_{i} - 2^{k} \cdot q_{r u n, i} \cdot z_{i + 1}$

这实际上把每个域元素最后一步的 $z_{n}$ 强制为零,从而让本应作为 $z_{n}$ 的那个单元(cell)可以被用来为下一个域元素重新初始化累加和。

这样安排好之后,不完全加法累加器几乎可以完全消去 $y_{A, i}$ ,办法是在当前行和下一行中用 $x$ 和 $λ$ 的值进行代换。两个例外是在 Sinsemilla 的起点(那里我们需要约束累加器的初始值为 $Q$ )和终点(那里我们需要见证(witness) $y_{A, n}$ 以供 Sinsemilla 之外使用)。

选择子

我们总共需要四个逻辑选择子,用于:

控制 Sinsemilla 门(gate)和查表。
区分一个累加和中的最后一个消息字与它之前的各个字。
标记 Sinsemilla 的开始。
标记 Sinsemilla 的结束。

我们对 Sinsemilla 门选择子 $q_{S 1}$ 和 Sinsemilla 起始选择子 $q_{S 4}$ 使用普通的选择子列。另外两个选择子从单一固定列 $q_{S 2}$ 按如下方式合成(synthesized):

$q_{S 3} q_{r u n} = q_{S 2} \cdot (q_{S 2} - 1) = q_{S 2} - q_{S 3}$

$q_{S 2} 012 q_{S 3} 002 q_{r u n} 010$

我们在大多数 Sinsemilla 行上把 $q_{S 2}$ 设为 $1$ ,在每个域元素的最后一步设为 $0$ ,但最后一个域元素例外,那里设为 $2$ 。然后我们可以用 $q_{S 3}$ 在两种约束之间切换:约束相邻两行上经代换的 $y_{A, i + 1}$ ,以及约束 Sinsemilla 末尾处所见证的 $y_{A, n}$ :

$λ_{2, i} \cdot (x_{A, i} - x_{A, i + 1}) = y_{A, i} + \frac{2 - q _{S 3}}{2} \cdot y_{A, i + 1} + \frac{q _{S 3}}{2} \cdot y_{A, n}$

生成元查表表

Sinsemilla 电路使用了 $2^{10}$ 个预计算的随机生成元。它们被装入一张查表表中: $t ab l e_{i d x} 012 ⋮ 2^{10} - 1 t ab l e_{x} x_{P [0]} x_{P [1]} x_{P [2]} ⋮ x_{P [2^{10} - 1]} t ab l e_{y} y_{P [0]} y_{P [1]} y_{P [2]} ⋮ y_{P [2^{10} - 1]}$

布局(Layout)

$Step 012 ⋮ n - 1 0^{'} 1^{'} 2^{'} ⋮ n - 1^{'} n^{'} x_{A} x_{Q} x_{A, 1} x_{A, 2} ⋮ x_{A, n - 1} x_{A, 0}^{'} x_{A, 1}^{'} x_{A, 2}^{'} ⋮ x_{A, n - 1}^{'} x_{A, n}^{'} x_{P} x_{P [m_{1}]} x_{P [m_{2}]} x_{P [m_{3}]} ⋮ x_{P [m_{n}]} x_{P [m_{1}^{'}]} x_{P [m_{2}^{'}]} x_{P [m_{3}^{'}]} ⋮ x_{P [m_{n}^{'}]} bi t s z_{0} z_{1} z_{2} ⋮ z_{n - 1} z_{0}^{'} z_{1}^{'} z_{2}^{'} ⋮ z_{n - 1}^{'} λ_{1} λ_{1, 0} λ_{1, 1} λ_{1, 2} ⋮ λ_{1, n - 1} λ_{1, 0}^{'} λ_{1, 1}^{'} λ_{1, 2}^{'} ⋮ λ_{1, n - 1}^{'} y_{A, n} λ_{2} λ_{2, 0} λ_{2, 1} λ_{2, 2} ⋮ λ_{2, n - 1} λ_{2, 0}^{'} λ_{2, 1}^{'} λ_{2, 2}^{'} ⋮ λ_{2, n - 1}^{'} q_{S 1} 11111111110 q_{S 2} 11110111120 q_{S 4} 10000000000 fixed_y_Q y_{Q} 0000000000$

$x_{Q}$ 、 $z_{0}$ 、 $z_{0}^{'}$ 等通过相等约束(equality constraints)拷入。

优化后的 Sinsemilla 门

$对 i \in [0, n), 令 x_{R, i} Y_{A, i} y_{P, i} m_{i + 1} q_{r u n} q_{S 3} = = = = = = λ_{1, i}^{2} - x_{A, i} - x_{P, i} (λ_{1, i} + λ_{2, i}) \cdot (x_{A, i} - x_{R, i}) Y_{A, i} /2 - λ_{1, i} \cdot (x_{A, i} - x_{P, i}) z_{i} - q_{r u n, i} \cdot z_{i + 1} \cdot 2^{k} q_{S 2} - q_{S 3} q_{S 2} \cdot (q_{S 2} - 1)$

Halo 2 电路 API 可以自动代换 $y_{P, i}$ 、 $x_{R, i}$ 、 $Y_{A, i}$ 和 $Y_{A, i + 1}$ ,所以我们无需手动去做。

$x_{A, 0} = x_{Q}$
$2 \cdot y_{Q} = Y_{A, 0}$
对 $i$ 从 $0$ 到 $n - 1$ :
- $(m_{i + 1}, x_{P, i}, y_{P, i}) \in P$
- $λ_{2, i}^{2} = x_{A, i + 1} + x_{R, i} + x_{A, i}$
- $4 \cdot λ_{2, i} \cdot (x_{A, i} - x_{A, i + 1}) = 2 \cdot Y_{A, i} + (2 - q_{S 3}) \cdot Y_{A, i + 1} + 2 q_{S 3} \cdot y_{A, n}$

注意,相对于前面给出的约束程序,最后一个约束的每一项都乘以了 $4$ 。这是一个小的优化,可以避免除以 $2$ 。

通过用 $q_{S 1}$ 来门控(gating)查表表达式,我们避免了为了让查表论证(lookup argument)通过而用哑值(dummy values)去填充未用单元的需要。优化后的查表值(使用默认下标 $0$ )为:

$(q_{S 1} \cdot m_{i + 1}, q_{S 1} \cdot x_{P, i} + (1 - q_{S 1}) \cdot x_{P, 0}, q_{S 1} \cdot y_{P, i} + (1 - q_{S 1}) \cdot y_{P, 0})$

这把查表论证的次数(degree)提高到了 $6$ 。

$Degree 4635 Constraint q_{S 4} \cdot (2 \cdot y_{Q} - Y_{A, 0}) = 0 q_{S 1, i} \Rightarrow (m_{i + 1}, x_{P, i}, y_{P, i}) \in P q_{S 1, i} \cdot (λ_{2, i}^{2} - (x_{A, i + 1} + x_{R, i} + x_{A, i})) q_{S 1, i} \cdot (4 \cdot λ_{2, i} \cdot (x_{A, i} - x_{A, i + 1}) - (2 \cdot Y_{A, i} + (2 - q_{S 3, i}) \cdot Y_{A, i + 1} + 2 \cdot q_{S 3, i} \cdot y_{A, n})) = 0$

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/sinsemilla/merkle-crh.html

MerkleCRH

消息分解(decomposition)

$SinsemillaHash$ 被用在 $MerkleCR H^{Orchard}$ 哈希函数中。 $SinsemillaHash$ 的输入是:

$l ⋆ ∣∣ left ⋆ ∣∣ right ⋆,$

其中:

$l ⋆ = I2LEBSP_{10} (l) = I2LEBSP_{10} (MerkleDepth^{Orchard} - 1 - layer)$ ,
$left ⋆ = I2LEBSP_{ℓ_{Merkle}^{Orchard}} (left)$ ,
$right ⋆ = I2LEBSP_{ℓ_{Merkle}^{Orchard}} (right)$ ,

其中 $ℓ_{Merkle}^{Orchard} = 255.$ $left ⋆$ 和 $right ⋆$ 允许是 $left$ 和 $right$ 的非规范(non-canonical) $255$ 比特编码。

Sinsemilla 以 10 比特的整数倍进行操作,所以我们首先把消息分解(decomposing)成若干块(chunks):

$l ⋆ left ⋆ right ⋆ = a_{0} = a_{1} ∣∣ b_{0} ∣∣ b_{1} = (bits 0.. = 239 of left) ∣∣ (bits 240.. = 249 of left) ∣∣ (bits 250.. = 254 of left) = b_{2} ∣∣ c = (bits 0.. = 4 of right) ∣∣ (bits 5.. = 254 of right)$

然后我们把这些块重新组合(recompose)成若干 MessagePiece(消息片):

$Length (bits) 25020250 Piece a = a_{0} ∣∣ a_{1} b = b_{0} ∣∣ b_{1} ∣∣ b_{2} c$

每个消息片都被 $SinsemillaHash$ 约束到其所声明的长度。此外, $left$ 和 $right$ 作为域元素(field elements)被见证(witnessed),所以我们知道它们是规范的(canonical)。然而,我们还需要额外的约束来确保这些块具有正确的比特长度(否则它们可能在分解中相互重叠,从而允许证明者(prover)见证出任意的 $SinsemillaHash$ 消息)。

其中一些约束可以用可复用的电路 gadget 来实现。我们定义一个由选择子(selector) $q_{decompose}$ 控制的自定义门(custom gate)来承载其余的约束。

比特长度约束

块 $c$ 由 Sinsemilla 直接约束。我们用以下约束来约束其余的块:

$a_{0}, a_{1}$

$z_{1, a}$ ,即 $SinsemillaHash (a)$ 的下标为 1 的累加和(running sum)输出,被拷入门中。 $z_{1, a}$ 已被 $SinsemillaHash$ 约束为 $240$ 比特,并且恰好就是 $a_{1}$ 。我们利用 $a, z_{1, a}$ 来恢复块 $a_{0}$ : $z_{1, a} ⟹ a_{0} = \frac{a - a _{0}}{2 ^{10}} = a_{1} = a - z_{1, a} \cdot 2^{10} .$

$b_{0}, b_{1}, b_{2}$

$z_{1, b}$ ,即 $SinsemillaHash (b)$ 的下标为 1 的累加和输出,被拷入门中。 $z_{1, b}$ 已被 $SinsemillaHash$ 约束为 $10$ 比特。我们在该门之外见证子片(subpieces) $b_{1}, b_{2}$ ,并各自约束它们为 $5$ 比特。在门内,我们检查 $b_{1} + 2^{5} \cdot b_{2} = z_{1, b} .$ 我们还利用 $(b, z_{1, b})$ 恢复子片 $b_{0}$ : $z_{1, b} ⟹ b_{0} = \frac{b - b _{0.. = 10}}{2 ^{10}} = b - (z_{1, b} \cdot 2^{10}) .$

约束

$Degree 2 Constraint short_lookup_range_check (b_{1}, 5) short_lookup_range_check (b_{2}, 5) q_{decompose} \cdot (z_{1, b} - (b_{1} + b_{2} \cdot 2^{5})) = 0$

其中 $short_lookup_range_check ()$ 是一个短查表范围检查(short lookup range check)。

分解约束

至此我们已经导出或见证了每个子片,并对每个子片做了范围约束:

$a_{0}$ ( $10$ 比特),导出为 $a_{0} = a - 2^{10} \cdot z_{1, a}$ ;
$a_{1}$ ( $240$ 比特),等于 $z_{1, a}$ ;
$b_{0}$ ( $10$ 比特),导出为 $b_{0} = b - 2^{10} \cdot z_{1, b}$ ;
$b_{1}$ ( $5$ 比特)在门外被见证并约束;
$b_{2}$ ( $5$ 比特)在门外被见证并约束;
$c$ ( $250$ 比特)在门外被见证并约束。
$b_{1} + 2^{5} \cdot b_{2}$ 被约束为等于 $z_{1, b}$ 。

现在我们可以用它们来重建原始的域元素输入:

$l left right = a_{0} = a_{1} + 2^{240} \cdot b_{0} + 2^{250} \cdot b_{1} = b_{2} + 2^{5} \cdot c$

$Degree 222 Constraint q_{decompose} \cdot (a_{0} - l) = 0 q_{decompose} \cdot (a_{1} + (b_{0} + b_{1} \cdot 2^{10}) \cdot 2^{240} - left) = 0 q_{decompose} \cdot (b_{2} + c \cdot 2^{5} - right) = 0$

区域布局(Region layout)

$a z_{1, a} b z_{1, b} c b_{1} left b_{2} right l q_{decompose} 10$

电路组件

Orchard 电路横跨 $10$ 个建议列(advice columns),而 $Sinsemilla$ 芯片(chip)只使用 $5$ 个建议列。我们把路径哈希(path hashing)均匀地分摊到两个 $Sinsemilla$ 芯片上,以便更好地利用可用的电路面积。由于上一层哈希的输出会被拷入下一层哈希,即使在从一个芯片转到另一个芯片时,我们也能保持连续性。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/decomposition.html

分解(Decomposition)

给定一个域元素(field element) $α$ ,这些 gadget 把它分解(decompose)成 $W$ 个 $K$ 比特的窗口(windows) $α = k_{0} + 2^{K} \cdot k_{1} + 2^{2 K} \cdot k_{2} + \dots + 2^{(W - 1) K} \cdot k_{W - 1}$ 其中每个 $k_{i}$ 是一个 $K$ 比特的值。

这是用一个累加和(running sum) $z_{i}, i \in [0.. W)$ 来完成的。我们将累加和初始化为 $z_{0} = α,$ 并计算后续各项 $z_{i + 1} = \frac{z _{i} - k _{i}}{2 ^{K}} .$ 这给出:

$z_{0} z_{1} z_{2} ↓ z_{W} = α = k_{0} + 2^{K} \cdot k_{1} + 2^{2 K} \cdot k_{2} + 2^{3 K} \cdot k_{3} + \dots, = (z_{0} - k_{0}) / 2^{K} = k_{1} + 2^{K} \cdot k_{2} + 2^{2 K} \cdot k_{3} + \dots, = (z_{1} - k_{1}) / 2^{K} = k_{2} + 2^{K} \cdot k_{3} + \dots, ⋮ (in strict mode) = (z_{W - 1} - k_{W - 1}) / 2^{K} = 0 (because z_{W - 1} = k_{W - 1})$

严格模式(Strict mode)

严格模式把累加和输出 $z_{W}$ 约束为零,从而把该域元素范围约束(range-constrain)在 $W \cdot K$ 比特之内。

在严格模式下,我们还能确信 $z_{W - 1} = k_{W - 1}$ 给出了分解中的最后一个窗口。

查表分解(Lookup decomposition)

这个 gadget 利用一张 $K$ 比特的查表表把域元素 $α$ 分解成 $K$ 比特的字(words)。每个 $K$ 比特字 $k_{i} = z_{i} - 2^{K} \cdot z_{i + 1}$ 都通过在 $K$ 比特表中查表而被范围约束。

查表分解的区域布局使用单个建议列(advice column) $z$ ,以及两个选择子(selectors) $q_{l oo k u p}$ 和 $q_{r u nnin g} .$ $z z_{0} z_{1} ⋮ z_{n - 1} z_{n} q_{lookup} 11 ⋮ 10 q_{running} 11 ⋮ 10$

短范围检查(Short range check)

使用两次 $K$ 比特查表,我们可以把一个域元素 $α$ 范围约束为 $n$ 比特,其中 $n \leq K .$ 做法是:

用一次 $K$ 比特查表把 $0 \leq α < 2^{K}$ 约束在 $K$ 比特之内。
用一次 $K$ 比特查表把 $0 \leq α \cdot 2^{K - n} < 2^{K}$ 约束在 $K$ 比特之内。

查表分解的短变体(short variant)引入了一个 $q_{bi t s hi f t}$ 选择子。这里把同一个建议列 $z$ 重命名为 $word$ 以便表述清晰: $word α α^{'} 2^{K - n} q_{lookup} 110 q_{running} 000 q_{bitshift} 010$

其中 $α^{'} = α \cdot 2^{K - n} .$ 注意 $2^{K - n}$ 在密钥生成(keygen)时被赋到一个固定列里,并在证明(proving)时拷入。它被用在由 $q_{bitshift}$ 选择子启用的门中,以检查 $α$ 是否被正确地移位(shifted): $Degree 2 Constraint q_{bitshift} \cdot ((α \cdot 2^{K - n}) - α^{'})$

合并的查表表达式

由于查表分解及其短变体都使用同一张查表表,我们把它们的查表输入表达式合并成一个:

$q_{lookup} \cdot (q_{running} \cdot (z_{i} - 2^{K} \cdot z_{i + 1}) + (1 - q_{running}) \cdot word)$

其中 $z_{i}$ 和 $word$ 是同一个单元(cell)(此处为了用法上的清晰而加以区分)。

短范围分解(Short range decomposition)

对于一个短范围(例如 $[0, range)$ ,其中 $range \leq 8$ ),我们可以用一个 $range$ 次多项式约束来范围约束每个字,而不必用查表: $range_check (w or d, r an g e) = word \cdot (1 - word) \dots (range - 1 - word) .$

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/sha256.html

SHA-256

规范(Specification)

SHA-256 在 NIST FIPS PUB 180-4 中定义。

与该规范不同,我们用 $⊞$ 表示模 $2^{32}$ 加法,用 $+$ 表示域加法(field addition)。 $\oplus$ 用于表示异或(XOR)。

Gadget 接口

SHA-256 在八个 32 比特变量中维护状态。它以 512 比特的块(blocks)为单位处理输入,但在内部把这些块切分成 32 比特的小块(chunks)。因此我们把 SHA-256 gadget 设计成以 32 比特小块为单位消费输入。

芯片指令(Chip instructions)

SHA-256 gadget 需要一个具备以下指令的芯片(chip):

#![allow(unused)]
fn main() {
extern crate halo2_proofs;
use halo2_proofs::plonk::Error;
use std::fmt;

trait Chip: Sized {}
trait Layouter<C: Chip> {}
const BLOCK_SIZE: usize = 16;
const DIGEST_SIZE: usize = 8;

pub trait Sha256Instructions: Chip {
    /// Variable representing the SHA-256 internal state.
    type State: Clone + fmt::Debug;
    /// Variable representing a 32-bit word of the input block to the SHA-256 compression
    /// function.
    type BlockWord: Copy + fmt::Debug;

    /// Places the SHA-256 IV in the circuit, returning the initial state variable.
    fn initialization_vector(layouter: &mut impl Layouter<Self>) -> Result<Self::State, Error>;

    /// Starting from the given initial state, processes a block of input and returns the
    /// final state.
    fn compress(
        layouter: &mut impl Layouter<Self>,
        initial_state: &Self::State,
        input: [Self::BlockWord; BLOCK_SIZE],
    ) -> Result<Self::State, Error>;

    /// Converts the given state into a message digest.
    fn digest(
        layouter: &mut impl Layouter<Self>,
        state: &Self::State,
    ) -> Result<[Self::BlockWord; DIGEST_SIZE], Error>;
}
}

TODO:添加用于计算填充(padding)的指令。

这套指令的选取是为了在指令的可复用性和芯片对其进行内部优化的空间之间取得平衡。具体来说,我们考虑过把压缩函数(compression function)拆分成其组成部分(Ch、Maj 等),并提供一个实现轮逻辑(round logic)的压缩函数 gadget。然而,这会阻止芯片在一轮压缩(round compression)的各个部分之间使用相对引用(relative references)。提供一条实现全部压缩轮的指令,也与 Intel SHA 扩展(extensions)类似——后者提供了一条执行多轮压缩的指令。

译自 halo2 book:https://zcash.github.io/halo2/design/gadgets/sha256/table16.html

用于 SHA-256 的 16 比特表芯片(table chip)

这个芯片(chip)实现围绕单张 16 比特查表表(lookup table)构建。它至少需要 $2^{16}$ 个电路行(circuit rows),因此适合用在较大的电路中。

我们的目标是最大约束次数(constraint degree)为 $9$ 。这将允许我们在一行内处理对进位(carries)以及"小片(small pieces)"约束到 ${0..7}$ 范围内的约束。

轮压缩(Compression round)

共有 $64$ 轮压缩(compression rounds)。每一轮以 32 比特值 $A, B, C, D, E, F, G, H$ 作为输入,并执行以下运算:

$C h (E, F, G) M aj (A, B, C) Σ_{0} (A) Σ_{1} (E) H^{'} E_{n e w} A_{n e w} = = = = = = = = (E \land F) \oplus (\neg E \land G) (A \land B) \oplus (A \land C) \oplus (B \land C) co u n t (A, B, C) \geq 2 (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22) (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25) H + C h (E, F, G) + Σ_{1} (E) + K_{t} + W_{t} re d u c e_{6} (H^{'} + D) re d u c e_{7} (H^{'} + M aj (A, B, C) + Σ_{0} (A))$

其中 $re d u c e_{i}$ 必须处理一个满足 $0 \leq carry < i$ 的进位(carry)。

The SHA-256 compression function

把 $spread$ 定义为一张表,它把一个 $16$ 比特的输入映射到一个用零比特交错(interleaved)的输出。我们不需要为范围检查(range checks)单独建表,因为可以使用 $spread$ 。

模加法(Modular addition)

为实现模 $2^{32}$ 加法,我们注意到这等价于用域加法(field addition)把操作数相加,然后把结果除最低 32 比特之外的全部比特都掩掉(mask away)。例如,若我们有两个操作数 $a$ 和 $b$ :

$a ⊞ b = c,$

我们把每个操作数(连同结果)分解(decompose)成 16 比特的小块(chunks):

$(a_{L} : Z_{2^{16}}, a_{H} : Z_{2^{16}}) ⊞ (b_{L} : Z_{2^{16}}, b_{H} : Z_{2^{16}}) = (c_{L} : Z_{2^{16}}, c_{H} : Z_{2^{16}}),$

然后用域加法重新表述该约束:

$carry \cdot 2^{32} + c_{H} \cdot 2^{16} + c_{L} = (a_{H} + b_{H}) \cdot 2^{16} + a_{L} + b_{L} .$

更一般地,输出的任意比特分解(bit-decomposition)都可以使用,而不仅限于分解成 16 比特小块。注意这正确地处理了来自 $a_{L} + b_{L}$ 的进位。

这个约束要求每个小块都被正确地范围检查(否则一次赋值可能溢出该域(overflow the field))。

操作数小块和结果小块可以用 $spread$ 来约束,办法是在表的某个子集中,在"密集(dense)"列里对每个小块查表。这样我们还能免费得到输出的"展开(spread)"形式;特别地,对于右下角那个 $⊞$ 的输出(它会成为 $A_{n e w}$ ),以及最左边那个 $⊞$ 的输出(它会成为 $E_{n e w}$ ),都是如此。我们将在下文用这一点来优化 $M aj$ 和 $C h$ 。
$carry$ 必须被约束到与操作数个数相对应的、允许的进位值的精确范围内。我们用一个小范围约束(small range constraint)来做这件事。

Maj 函数

$M aj$ 可以用 $4$ 次查表完成: $2 spread * 2$ 个小块

如上所述,第一轮之后我们已经拥有展开形式的 $A$ ,即 $A^{'}$ 。类似地, $B$ 和 $C$ 分别等于上一轮的 $A$ 和 $B$ , 因此在稳态(steady state)下,我们已经拥有它们的展开形式 $B^{'}$ 和 $C^{'}$ 。事实上我们也可以假定在第一轮就拥有它们的展开形式,要么来自固定的 IV,要么来自用 $spread$ 去归约(reduce)上一块前馈(feedforward)的输出。
把这些展开形式在域中相加: $M^{'} = A^{'} + B^{'} + C^{'}$ ;
- 我们可以把它们当作 $32$ 比特字相加,也可以分片相加;两者等价。
见证(witness)压缩偶数比特 $M_{i}^{e v e n}$ 和压缩奇数比特 $M_{i}^{o dd}$ , $i = {0..1}$ ;
约束 $M^{'} = spread (M_{0}^{e v e n}) + 2 \cdot spread (M_{0}^{o dd}) + 2^{32} \cdot spread (M_{1}^{e v e n}) + 2^{33} \cdot spread (M_{1}^{o dd})$ ,其中 $M_{i}^{o dd}$ 是 $M aj$ 函数的输出。

注:我们所说的"偶数(even)"比特指的是权重为 $2$ 的偶数次幂的比特,即权重为 $2^{0}, 2^{2}, \dots$ 的比特。类似地,"奇数(odd)"比特指的是权重为 $2$ 的奇数次幂的比特。

Ch 函数

TODO:借助一张额外的表,可能可以优化到 $4$ 或 $5$ 次查表。

$C h$ 可以用 $8$ 次查表完成: $4 spread * 2$ 个小块

如上所述,第一轮之后我们已经拥有展开形式的 $E$ ,即 $E^{'}$ 。类似地, $F$ 和 $G$ 分别等于上一轮的 $E$ 和 $F$ , 因此在稳态下,我们已经拥有它们的展开形式 $F^{'}$ 和 $G^{'}$ 。事实上我们也可以假定在第一轮就拥有它们的展开形式,要么来自固定的 IV,要么来自用 $spread$ 去归约上一块前馈的输出。
计算 $P^{'} = E^{'} + F^{'}$ 和 $Q^{'} = (e v e n s - E^{'}) + G^{'}$ ,其中 $e v e n s = spread (2^{32} - 1)$ 。
- 我们可以把它们当作 $32$ 比特字相加,也可以分片相加;两者等价。
- $e v e n s - E^{'}$ 之所以能算出 $\neg E$ 的展开形式,尽管取反(negation)与 $spread$ 一般并不交换(commute)。它之所以有效,是因为 $E^{'}$ 中的每个展开比特都从 $1$ 中减去,所以不会发生借位(borrows)。
见证 $P_{i}^{e v e n}, P_{i}^{o dd}, Q_{i}^{e v e n}, Q_{i}^{o dd}$ ,使得 $P^{'} = spread (P_{0}^{e v e n}) + 2 \cdot spread (P_{0}^{o dd}) + 2^{32} \cdot spread (P_{1}^{e v e n}) + 2^{33} \cdot spread (P_{1}^{o dd})$ ,对 $Q^{'}$ 同理。
${P_{i}^{o dd} + Q_{i}^{o dd}}_{i = 0..1}$ 就是 $C h$ 函数的输出。

Σ_0 函数

$Σ_{0} (A)$ 可以用 $6$ 次查表完成。

为此,我们首先把 $A$ 切分成片 $(a, b, c, d)$ ,长度分别为 $(2, 11, 9, 10)$ 比特,从低端(little end)开始计数。同时我们得到这些片的展开形式。这一切都可以在两个 PLONK 行内完成,因为 $10$ 比特和 $11$ 比特的片可以用 $spread$ 查表来处理,而 $9$ 比特的片可以切分成 $3 * 3$ 比特的子片(subpieces)。后者和剩下的 $2$ 比特片可以与这两次查表并行地用多项式约束(polynomial constraints)做范围检查,每行做两个小片。这些小片的展开形式通过插值(interpolation)求得。

注意,把它切分成片这件事可以与 $A_{n e w}$ 的归约(reduction)合并,即后者不需要额外的查表。在最后一轮中,我们在加上前馈之后再归约 $A_{n e w}$ (需要处理一个至多为 $7$ 的进位,这没问题)。

$(A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22)$ 等价于 $(A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋘ 10)$ :

然后,再用 $4$ 次 $spread$ 查表,我们把结果作为这些片的某个线性组合(linear combination)的偶数比特而得到:

$R^{'} = (a (b (c 4^{30} a 4^{21} b 4^{23} c ∣∣ ∣∣ ∣∣ + + + d a b 4^{20} d 4^{19} a 4^{12} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{11} c 4^{9} d 4^{10} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

也就是说,我们见证压缩偶数比特 $R_{i}^{e v e n}$ 和压缩奇数比特 $R_{i}^{o dd}$ ,并约束 $R^{'} = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ 其中 ${R_{i}^{e v e n}}_{i = 0..1}$ 是 $Σ_{0}$ 函数的输出。

Σ_1 函数

$Σ_{1} (E)$ 可以用 $6$ 次查表完成。

为此,我们首先把 $E$ 切分成片 $(a, b, c, d)$ ,长度分别为 $(6, 5, 14, 7)$ 比特,从低端开始计数。同时我们得到这些片的展开形式。这一切都可以在两个 PLONK 行内完成,因为 $7$ 比特和 $14$ 比特的片可以用 $spread$ 查表来处理, $5$ 比特的片可以切分成 $3$ 比特和 $2$ 比特的子片,而 $6$ 比特的片可以切分成 $2 * 3$ 比特的子片。这四个小片可以与这两次查表并行地用多项式约束做范围检查,每行做两个小片。这些小片的展开形式通过插值求得。

注意,把它切分成片这件事可以与 $E_{n e w}$ 的归约合并,即后者不需要额外的查表。在最后一轮中,我们在加上前馈之后再归约 $E_{n e w}$ (需要处理一个至多为 $6$ 的进位,这没问题)。

$(E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25)$ 等价于 $(E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋘ 7)$ 。

然后,再用 $4$ 次 $spread$ 查表,我们以与 $Σ_{0}$ 相同的方式,把结果作为这些片的某个线性组合的偶数比特而得到:

$R^{'} = (a (b (c 4^{26} a 4^{27} b 4^{18} c ∣∣ ∣∣ ∣∣ + + + d a b 4^{19} d 4^{21} a 4^{13} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{5} c 4^{14} d 4^{7} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

块分解(Block decomposition)

对于已填充消息(padded message)的每一个块 $M \in {0, 1}^{512}$ ,要构造 $64$ 个各 $32$ 比特的字 ,方法如下:

前 $16$ 个通过把 $M$ 切分成 $32$ 比特的块来得到 $M = W_{0} ∣∣ W_{1} ∣∣ \dots ∣∣ W_{14} ∣∣ W_{15};$
其余 $48$ 个字用以下公式构造: $W_{i} = σ_{1} (W_{i - 2}) ⊞ W_{i - 7} ⊞ σ_{0} (W_{i - 15}) ⊞ W_{i - 16},$ 对 $16 \leq i < 64$ 。

注: $W$ 字的下标采用从 $0$ 开始的编号。

$σ_{0} (X) σ_{1} (X) = = (X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3) (X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$

注: $≫$ 是右移位(shift),不是旋转(rotation)。

σ_0 函数

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

与上面类似,但片 $(a, b, c, d)$ 的长度为 $(3, 4, 11, 14)$ ,从低端开始计数。把 $b$ 切分成两个 $2$ 比特子片。

$R^{'} = (0^{[3]} (b (c 4^{28} b 4^{21} c ∣∣ ∣∣ ∣∣ + + d a b 4^{15} d 4^{25} a 4^{17} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{4} c 4^{11} d 4^{14} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

σ_1 函数

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ 。

TODO:这张图与右侧的表达式不符。这里只是为了与其他图保持一致。

与上面类似,但片 $(a, b, c, d)$ 的长度为 $(10, 7, 2, 13)$ ,从低端开始计数。把 $b$ 切分成 $(3, 2, 2)$ 比特子片。

$R^{'} = (0^{[10]} (b (c 4^{25} b 4^{30} c ∣∣ ∣∣ ∣∣ + + d a b 4^{9} d 4^{15} a 4^{23} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{7} c 4^{2} d 4^{13} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

消息调度(Message scheduling)

我们对 $W_{1..48}$ 应用 $σ_{0}$ ,对 $W_{14..61}$ 应用 $σ_{1}$ 。为了避免对 $spread$ 的冗余应用,在 $W_{14..48}$ 的情形下,我们可以把 $σ_{0}$ 和 $σ_{1}$ 的切片合并。把片长度 $(3, 4, 11, 14)$ 和 $(10, 7, 2, 13)$ 合并后,得到长度为 $(3, 4, 3, 7, 1, 1, 13)$ 的片。

如果我们能用 $3$ 行完成这个合并的切分(而不是分别为 $σ_{0}$ 和 $σ_{1}$ 切分时总共需要的 $4$ 行),我们就节省了 $35$ 行。

这些甚至或许能用 $2$ 行做到;不确定。 ——Daira

当 $W_{16..61}$ 被用于计算后续的字时,我们可以把它们的模 $2^{32}$ 归约合并进它们的切分中,类似于我们对轮函数中的 $A$ 和 $E$ 所做的。

我们仍然需要归约 $W_{62..63}$ ,因为它们没有被切分。(从技术上讲我们可以让它们保持未归约,因为稍后用它们来计算 $A_{n e w}$ 和 $E_{n e w}$ 时它们会被归约——但那会需要处理一个至多为 $10$ 而不是 $6$ 的进位,所以不值得为此增加复杂度。)

由此得到的消息调度代价为:

$2$ 行用于把 $W_{0}$ 约束为 $32$ 比特
- 这从技术上讲是可选的,但为了健壮性我们还是这么做,因为输入的其余部分是免费被约束的。
$13 * 2$ 行用于把 $W_{1..13}$ 切分成 $(3, 4, 11, 14)$ 比特的片
$35 * 3$ 行用于把 $W_{14..48}$ 切分成 $(3, 4, 3, 7, 1, 1, 13)$ 比特的片(对 $W_{16..48}$ 合并了一次归约)
$13 * 2$ 行用于把 $W_{49..61}$ 切分成 $(10, 7, 2, 13)$ 比特的片(合并了一次归约)
$4 * 48$ 行用于提取 $W_{1..48}$ 的 $σ_{0}$ 结果
$4 * 48$ 行用于提取 $W_{14..61}$ 的 $σ_{1}$ 结果
$2 * 2$ 行用于归约 $W_{62..63}$
$= 547$ 行。

总体代价(Overall cost)

对每一轮:

$8$ 行用于 $C h$
$4$ 行用于 $M aj$
$6$ 行用于 $Σ_{0}$
$6$ 行用于 $Σ_{1}$
$re d u c e_{6}$ 和 $re d u c e_{7}$ 始终是免费的
$=$ 每轮 $24$

这给整个"步骤 3"带来 $24 * 64 = 1792$ 行,在此之上我们还需加上:

$547$ 行用于消息调度
$2 * 8$ 行用于"步骤 4"中 $8$ 次模 $2^{32}$ 归约

总计 $2099$ 行。

表(Tables)

我们只需要一张表 $spread$ ,它有 $2^{16}$ 行和 $3$ 列。我们需要一个标签(tag)列,以便为 $Σ_{0..1}$ 和 $σ_{0..1}$ 选取表的 $(7, 10, 11, 13, 14)$ 比特子集。

`spread` 表

row	tag	table (16b)	spread (32b)
$0$	0	0000000000000000	00000000000000000000000000000000
$1$	0	0000000000000001	00000000000000000000000000000001
$2$	0	0000000000000010	00000000000000000000000000000100
$3$	0	0000000000000011	00000000000000000000000000000101
...	0	...	...
$2^{7} - 1$	0	0000000001111111	00000000000000000001010101010101
$2^{7}$	1	0000000010000000	00000000000000000100000000000000
...	1	...	...
$2^{10} - 1$	1	0000001111111111	00000000000001010101010101010101
...	2	...	...
$2^{11} - 1$	2	0000011111111111	00000000010101010101010101010101
...	3	...	...
$2^{13} - 1$	3	0001111111111111	00000001010101010101010101010101
...	4	...	...
$2^{14} - 1$	4	0011111111111111	00000101010101010101010101010101
...	5	...	...
$2^{16} - 1$	5	1111111111111111	01010101010101010101010101010101

例如,要做一次 $11$ 比特的 $spread$ 查表,我们用多项式约束把标签约束到 ${0, 1, 2}$ 内。对于最常见的 $16$ 比特查表的情形,我们不需要约束标签。注意我们可以用一个重复条目(例如全零)来填充超出 $2^{16}$ 的任何未用行。

门(Gates)

选择门(Choice gate)

来自先前运算的输入:

$E^{'}, F^{'}, G^{'},$ 即 32 比特字 $E, F, G$ 的 64 比特展开形式,假定已被先前运算所约束
- 在实践中,把 $E^{'}, F^{'}, G^{'}$ 分解成 16 比特子片之后,我们才会有它们的展开形式
$e v e n s$ 定义为 $spread (2^{32} - 1)$
- $e v e n s_{0} = e v e n s_{1} = spread (2^{16} - 1)$

E ∧ F

s_ch	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$
0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$
1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$
0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$
0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$

¬E ∧ G

s_ch_neg	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$
0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$
1	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$

约束:

s_ch(选择,choice): $L H S - R H S = 0$
- $L H S = a_{3} ω^{- 1} + a_{3} ω + 2^{32} (a_{4} ω^{- 1} + a_{4} ω)$
- $R H S = a_{2} ω^{- 1} + 2 * a_{2} + 2^{32} (a_{2} ω + 2 * a_{3})$
s_ch_neg(取反,negation):带一个额外取反检查的 s_ch
对 $(a_{0}, a_{1}, a_{2})$ 做 $spread$ 查表
$(a_{2}, a_{3})$ 之间的置换(permutation)

输出: $C h (E, F, G) = P^{o dd} + Q^{o dd} = (P_{0}^{o dd} + Q_{0}^{o dd}) + 2^{16} (P_{1}^{o dd} + Q_{1}^{o dd})$

多数门(Majority gate)

来自先前运算的输入:

$A^{'}, B^{'}, C^{'},$ 即 32 比特字 $A, B, C$ 的 64 比特展开形式,假定已被先前运算所约束
- 在实践中,把 $A^{'}, B^{'}, C^{'}$ 分解成 $16$ 比特子片之后,我们才会有它们的展开形式

s_maj	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$
0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$		$spread (A^{l o})$	$spread (A^{hi})$
1	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B^{l o})$	$spread (B^{hi})$
0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C^{l o})$	$spread (C^{hi})$
0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

约束:

s_maj(多数,majority): $L H S - R H S = 0$
- $L H S = spread (M_{0}^{e v e n}) + 2 \cdot spread (M_{0}^{o dd}) + 2^{32} \cdot spread (M_{1}^{e v e n}) + 2^{33} \cdot spread (M_{1}^{o dd})$
- $R H S = A^{'} + B^{'} + C^{'}$
对 $(a_{0}, a_{1}, a_{2})$ 做 $spread$ 查表
$(a_{2}, a_{3})$ 之间的置换

输出: $M aj (A, B, C) = M^{o dd} = M_{0}^{o dd} + 2^{16} M_{1}^{o dd}$

Σ_0 门

$A$ 是一个 32 比特字,被切分成 $(2, 11, 9, 10)$ 比特的小块,从低端开始。我们分别把这些小块称为 $(a (2), b (11), c (9), d (10))$ ,并进一步把 $c (9)$ 切分成三个 3 比特小块 $c (9)^{l o}, c (9)^{mi d}, c (9)^{hi}$ 。我们见证这些小块的展开版本。

$Σ_{0} (A) = = (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22) (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋘ 10)$

s_upp_sigma_0	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$c (9)^{l o}$	$spread (c (9)^{l o})$	$c (9)^{mi d}$	$spread (c (9)^{mi d})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$	$c (9)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (2)$	$spread (a (2))$	$c (9)^{hi}$	$spread (c (9)^{hi})$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束:

s_upp_sigma_0( $Σ_{0}$ 约束): $L H S - R H S + t a g + d eco m p ose = 0$

$t a g d eco m p ose L H S = = = co n s t r ai n_{1} (a_{0} ω^{- 1}) + co n s t r ai n_{2} (a_{0} ω) a (2) + 2^{2} b (11) + 2^{13} c (9)^{l o} + 2^{16} c (9)^{mi d} + 2^{19} c (9)^{hi} + 2^{22} d (10) - A spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} spread (a (2)) 4^{21} spread (b (11)) 4^{29} spread (c (9)^{hi}) + + + 4^{20} spread (d (10)) 4^{19} spread (a (2)) 4^{26} spread (c (9)^{mi d}) + + + 4^{17} spread (c (9)^{hi}) 4^{9} spread (d (10)) 4^{23} spread (c (9)^{l o}) + + + 4^{14} spread (c (9)^{mi d}) 4^{6} spread (c (9)^{hi}) 4^{12} spread (b (11)) + + + 4^{11} spread (c (9)^{l o}) 4^{3} spread (c (9)^{mi d}) 4^{10} spread (a (2)) + + + spread (b (11)) spread (c (9)^{l o}) spread (d (10)) + +$

对 $a_{0}, a_{1}, a_{2}$ 做 $spread$ 查表
对 $a (2)$ 做 2 比特范围检查和 2 比特展开检查
对 $c (9)^{l o}, c (9)^{mi d}, c (9)^{hi}$ 做 3 比特范围检查和 3 比特展开检查

(参见辅助门(Helper gates)一节)

输出: $Σ_{0} (A) = R^{e v e n} = R_{0}^{e v e n} + 2^{16} R_{1}^{e v e n}$

Σ_1 门

$E$ 是一个 32 比特字,被切分成 $(6, 5, 14, 7)$ 比特的小块,从低端开始。我们分别把这些小块称为 $(a (6), b (5), c (14), d (7))$ ,并进一步把 $a (6)$ 切分成两个 3 比特小块 $a (6)^{l o}, a (6)^{hi}$ ,把 $b$ 切分成 (2,3) 比特小块 $b (5)^{l o}, b (5)^{hi}$ 。我们见证这些小块的展开版本。

$Σ_{1} (E) = = (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25) (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋘ 7)$

s_upp_sigma_1	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (5)^{l o}$	$spread (b (5)^{l o})$	$b (5)^{hi}$	$spread (b (5)^{hi})$	$b (5)$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (c (14))$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (6)^{l o}$	$spread (a (6)^{l o})$	$a (6)^{hi}$	$spread (a (6)^{hi})$	$a (6)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束:

s_upp_sigma_1( $Σ_{1}$ 约束): $L H S - R H S + t a g + d eco m p ose = 0$

$t a g d eco m p ose L H S = = = a_{0} ω^{- 1} + co n s t r ai n_{4} (a_{0} ω) a (6)^{l o} + 2^{3} a (6)^{hi} + 2^{6} b (5)^{l o} + 2^{8} b (5)^{hi} + 2^{11} c (14) + 2^{25} d (7) - E spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{29} spread (a (6)^{hi}) 4^{29} spread (b (5)^{hi}) 4^{18} spread (c (14)) + + + 4^{26} spread (a (6)^{l o}) 4^{27} spread (b (5)^{l o}) 4^{15} spread (b (5)^{hi}) + + + 4^{19} spread (d (7)) 4^{24} spread (a (6)^{hi}) 4^{13} spread (b (5)^{l o}) + + + 4^{5} spread (c (14)) 4^{21} spread (a (6)^{l o}) 4^{10} spread (a (6)^{hi}) + + + 4^{2} spread (b (5)^{hi}) 4^{14} spread (d (7)) 4^{7} spread (a (6)^{l o}) + + + spread (b (5)^{l o}) spread (c (14)) spread (d (7)) + +$

对 $a_{0}, a_{1}, a_{2}$ 做 $spread$ 查表
对 $b (5)^{l o}$ 做 2 比特范围检查和 2 比特展开检查
对 $a (6)^{l o}, a (6)^{hi}, b (4)^{hi}$ 做 3 比特范围检查和 3 比特展开检查

(参见辅助门(Helper gates)一节)

输出: $Σ_{1} (E) = R^{e v e n} = R_{0}^{e v e n} + 2^{16} R_{1}^{e v e n}$

σ_0 门

v1

$σ_{0}$ 门的 v1 版本接收一个被切分成 $(3, 4, 11, 14)$ 比特小块的字(已由消息调度约束)。我们分别把这些小块称为 $(a (3), b (4), c (11), d (14)) .$ $b (4)$ 被进一步切分成两个 2 比特小块 $b (4)^{l o}, b (4)^{hi} .$ 我们见证这些小块的展开版本。我们已经从消息调度得到了 $spread (c (11))$ 和 $spread (d (14))$ 。

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

s_low_sigma_0	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (c)$	$spread (d)$	$b (4)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$0$	$0$	$a$	$spread (a)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束:

s_low_sigma_0( $σ_{0}$ v1 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} b (4)^{hi} 4^{21} c (11) + + 4^{15} d (14) 4^{28} b (4)^{l o} 4^{19} b (4)^{hi} + + + 4^{4} c (11) 4^{25} a (3) 4^{17} b (4)^{l o} + + + 4^{2} b (4)^{hi} 4^{11} d (14) 4^{14} a (3) + + + b (4)^{l o} c (11) d (14) + +$

检查 b 是否被正确地切分成 4 比特片的各子段。
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
对 $b (4)^{l o}, b (4)^{hi}$ 做 2 比特范围检查和 2 比特展开检查
对 $a (3)$ 做 3 比特范围检查和 3 比特展开检查

v2

$σ_{0}$ 门的 v2 版本接收一个被切分成 $(3, 4, 3, 7, 1, 1, 13)$ 比特小块的字(已由消息调度约束)。我们分别把这些小块称为 $(a (3), b (4), c (3), d (7), e (1), f (1), g (13)) .$ 我们已经从消息调度得到了 $spread (d (7)), spread (g (13))$ 。1 比特的 $e (1), f (1)$ 经展开运算后保持不变,可以直接使用。我们进一步把 $b (4)$ 切分成两个 2 比特小块 $b (4)^{l o}, b (4)^{hi} .$ 我们见证这些小块的展开版本。

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

s_low_sigma_0_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (g (13))$	$b (4)$	$e (1)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (3)$	$spread (a (3))$	$c (3)$	$spread (c (3))$	$f (1)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束:

s_low_sigma_0_v2( $σ_{0}$ v2 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} b (4)^{hi} 4^{31} e (1) + + 4^{16} g (13) 4^{28} b (4)^{l o} 4^{24} d (7) + + + 4^{15} f (1) 4^{25} a (3) 4^{21} c (3) + + + 4^{14} e (1) 4^{12} g (13) 4^{19} b (4)^{hi} + + + 4^{7} d (7) 4^{11} f (1) 4^{17} b (4)^{l o} + + + 4^{4} c (3) 4^{10} e (1) 4^{14} a (3) + + + 4^{2} b (4)^{hi} 4^{3} d (7) 4^{1} g (13) + + + b (4)^{l o} c (3) f (1) + +$

检查 b 是否被正确地切分成 4 比特片的各子段。
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
对 $b (4)^{l o}, b (4)^{hi}$ 做 2 比特范围检查和 2 比特展开检查
对 $a (3), c (3)$ 做 3 比特范围检查和 3 比特展开检查

σ_1 门

v1

$σ_{1}$ 门的 v1 版本接收一个被切分成 $(10, 7, 2, 13)$ 比特小块的字(已由消息调度约束)。我们分别把这些小块称为 $(a (10), b (7), c (2), d (13)) .$ $b (7)$ 被进一步切分成 $(2, 2, 3)$ 比特小块 $b (7)^{l o}, b (7)^{mi d}, b (7)^{hi} .$ 我们见证这些小块的展开版本。我们已经从消息调度得到了 $spread (a (10))$ 和 $spread (d (13))$ 。

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ 。

s_low_sigma_1	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (7)^{l o}$	$spread (b (7)^{l o})$	$b (7)^{mi d}$	$spread (b (7)^{mi d})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (a (10))$	$spread (d (13))$	$b (7)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$c (2)$	$spread (c (2))$	$b (7)^{hi}$	$spread (b (7)^{hi})$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束:

s_low_sigma_1( $σ_{1}$ v1 约束): $L H S - R H S = 0$ $L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{29} b (7)^{hi} 4^{30} c (2) + + 4^{9} d (13) 4^{27} b (7)^{mi d} 4^{27} b (7)^{hi} + + + 4^{7} c (2) 4^{25} b (7)^{l o} 4^{25} b (7)^{mi d} + + + 4^{4} b (7)^{hi} 4^{15} a (10) 4^{23} b (7)^{l o} + + + 4^{2} b (7)^{mi d} 4^{2} d (13) 4^{13} a (10) + + + b (7)^{l o} c (2) d (13) + +$
检查 b 是否被正确地切分成 7 比特片的各子段。
- $W^{b (7) l o} + 2^{2} W^{b (7) mi d} + 2^{4} W^{b (7) hi} - W = 0$
对 $b (7)^{l o}, b (7)^{mi d}, c (2)$ 做 2 比特范围检查和 2 比特展开检查
对 $b (7)^{hi}$ 做 3 比特范围检查和 3 比特展开检查

v2

$σ_{1}$ 门的 v2 版本接收一个被切分成 $(3, 4, 3, 7, 1, 1, 13)$ 比特小块的字(已由消息调度约束)。我们分别把这些小块称为 $(a (3), b (4), c (3), d (7), e (1), f (1), g (13)) .$ 我们已经从消息调度得到了 $spread (d (7)), spread (g (13))$ 。1 比特的 $e (1), f (1)$ 经展开运算后保持不变,可以直接使用。我们进一步把 $b (4)$ 切分成两个 2 比特小块 $b (4)^{l o}, b (4)^{hi} .$ 我们见证这些小块的展开版本。

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ 。

s_low_sigma_1_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (g (13))$	$b (4)$	$e (1)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (3)$	$spread (a (3))$	$c (3)$	$spread (c (3))$	$f (1)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束:

s_low_sigma_1_v2( $σ_{1}$ v2 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{25} d (7) 4^{31} f (1) + + 4^{22} c (3) 4^{30} e (1) + + 4^{20} b (4)^{hi} 4^{23} d (7) + + 4^{9} g (13) 4^{18} b (4)^{l o} 4^{20} c (3) + + + 4^{8} f (1) 4^{15} a 4^{18} b (4)^{hi} + + + 4^{7} e (1) 4^{2} g (13) 4^{16} b (4)^{l o} + + + d (7) 4^{1} f (1) 4^{13} a + + + e (1) g (13) +$

检查 b 是否被正确地切分成 4 比特片的各子段。
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
对 $b (4)^{l o}, b (4)^{hi}$ 做 2 比特范围检查和 2 比特展开检查
对 $a (3), c (3)$ 做 3 比特范围检查和 3 比特展开检查

辅助门(Helper gates)

小范围约束(Small range constraints)

令 $co n s t r ai n_{n} (x) = \prod_{i = 0}^{n} (x - i)$ 。把这个表达式约束为零就强制 $x$ 位于 $[0.. n]$ 内。

2 比特范围检查

$(a - 3) (a - 2) (a - 1) (a) = 0$

sr2	$a_{0}$
1	a

2 比特展开

$l_{1} (a) + 4 * l_{2} (a) + 5 * l_{3} (a) - a^{'} = 0$

ss2	$a_{0}$	$a_{1}$
1	a	a'

插值多项式(interpolation polynomials)为:

$l_{0} (a) = \frac{( a - 3 ) ( a - 2 ) ( a - 1 )}{( - 3 ) ( - 2 ) ( - 1 )}$ ( $spread (00) = 0000$ )
$l_{1} (a) = \frac{( a - 3 ) ( a - 2 ) ( a )}{( - 2 ) ( - 1 ) ( 1 )}$ ( $spread (01) = 0001$ )
$l_{2} (a) = \frac{( a - 3 ) ( a - 1 ) ( a )}{( - 1 ) ( 1 ) ( 2 )}$ ( $spread (10) = 0100$ )
$l_{3} (a) = \frac{( a - 2 ) ( a - 1 ) ( a )}{( 1 ) ( 2 ) ( 3 )}$ ( $spread (11) = 0101$ )

3 比特范围检查

$(a - 7) (a - 6) (a - 5) (a - 4) (a - 3) (a - 2) (a - 1) (a) = 0$

sr3	$a_{0}$
1	a

3 比特展开

$l_{1} (a) + 4 * l_{2} (a) + 5 * l_{3} (a) + 16 * l_{4} (a) + 17 * l_{5} (a) + 20 * l_{6} (a) + 21 * l_{7} (a) - a^{'} = 0$

ss3	$a_{0}$	$a_{1}$
1	a	a'

插值多项式为:

$l_{0} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 )}{( - 7 ) ( - 6 ) ( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 )}$ ( $spread (000) = 000000$ )
$l_{1} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a )}{( - 6 ) ( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 )}$ ( $spread (001) = 000001$ )
$l_{2} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 1 ) ( a )}{( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 )}$ ( $spread (010) = 000100$ )
$l_{3} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 )}$ ( $spread (011) = 000101$ )
$l_{4} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 )}$ ( $spread (100) = 010000$ )
$l_{5} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )}$ ( $spread (101) = 010001$ )
$l_{6} (a) = \frac{( a - 7 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 )}$ ( $spread (110) = 010100$ )
$l_{7} (a) = \frac{( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 )}$ ( $spread (111) = 010101$ )

reduce_6 门

6 个元素的模 $2^{32}$ 加法

输入:

$E$
${e_{i}^{l o}, e_{i}^{hi}}_{i = 0}^{5}$
$c a rry$

检查: $E = e_{0} + e_{1} + e_{2} + e_{3} + e_{4} + e_{5} (mod 32)$

假定输入已被约束为 16 比特。

加法门(sa):
- $a_{0} + a_{1} + a_{2} + a_{3} + a_{4} + a_{5} + a_{6} - a_{7} = 0$
进位门(sc):
- $2^{16} a_{6} ω^{- 1} + a_{6} + [(a_{6} - 5) (a_{6} - 4) (a_{6} - 3) (a_{6} - 2) (a_{6} - 1) (a_{6})] = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
1	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$- c a rry * 2^{16}$	$E^{l o}$
1	1	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$c a rry$	$E^{hi}$

假定输入已被约束为 16 比特。

加法门(sa):
- $a_{0} ω^{- 1} + a_{1} ω^{- 1} + a_{2} ω^{- 1} + a_{0} + a_{1} + a_{2} + a_{3} ω^{- 1} - a_{3} = 0$
进位门(sc):
- $2^{16} a_{3} ω + a_{3} ω^{- 1} = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$
0	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$- c a rry * 2^{16}$
1	1	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$E^{l o}$
0	0	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$c a rry$
1	0	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$E^{hi}$

reduce_7 门

7 个元素的模 $2^{32}$ 加法

输入:

$E$
${e_{i}^{l o}, e_{i}^{hi}}_{i = 0}^{6}$
$c a rry$

检查: $E = e_{0} + e_{1} + e_{2} + e_{3} + e_{4} + e_{5} + e_{6} (mod 32)$

假定输入已被约束为 16 比特。

加法门(sa):
- $a_{0} + a_{1} + a_{2} + a_{3} + a_{4} + a_{5} + a_{6} + a_{7} - a_{8} = 0$
进位门(sc):
- $2^{16} a_{7} ω^{- 1} + a_{7} + [(a_{7} - 6) (a_{7} - 5) (a_{7} - 4) (a_{7} - 3) (a_{7} - 2) (a_{7} - 1) (a_{7})] = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$
1	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$e_{6}^{l o}$	$- c a rry * 2^{16}$	$E^{l o}$
1	1	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$e_{6}^{hi}$	$c a rry$	$E^{hi}$

消息调度区域(Message scheduling region)

对于已填充消息的每一个块 $M \in {0, 1}^{512}$ ,要构造 $64$ 个各 $32$ 比特的字,方法如下:

前 $16$ 个通过把 $M$ 切分成 $32$ 比特的块来得到 $M = W_{0} ∣∣ W_{1} ∣∣ \dots ∣∣ W_{14} ∣∣ W_{15};$
其余 $48$ 个字用以下公式构造: $W_{i} = σ_{1} (W_{i - 2}) ⊞ W_{i - 7} ⊞ σ_{0} (W_{i - 15}) ⊞ W_{i - 16},$ 对 $16 \leq i < 64$ 。

sw	sd0	sd1	sd2	sd3	ss0	ss0_v2	ss1	ss1_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{0}^{l o}$	$spread (W_{0}^{l o})$	$W_{0}^{l o}$	$W_{0}^{hi}$	$W_{0}$	$σ_{0} (W_{1})^{l o}$	$σ_{1} (W_{14})^{l o}$	$W_{9}^{l o}$
1	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{0}^{hi}$	$spread (W_{0}^{hi})$			$W_{16}$	$σ_{0} (W_{1})^{hi}$	$σ_{1} (W_{14})^{hi}$	$W_{9}^{hi}$	$c a rr y_{16}$
0	1	1	0	0	0	0	0	0	{0,1,2,3,4}	$W_{1}^{d (14)}$	$spread (W_{1}^{d (14)})$	$W_{1}^{l o}$	$W_{1}^{hi}$	$W_{1}$	$σ_{0} (W_{2})^{l o}$	$σ_{1} (W_{15})^{l o}$	$W_{10}^{l o}$
1	0	0	0	0	0	0	0	0	{0,1,2}	$W_{1}^{c (11)}$	$spread (W_{1}^{c (11)})$	$W_{1}^{a (3)}$	$W_{1}^{b (4)}$	$W_{17}$	$σ_{0} (W_{2})^{hi}$	$σ_{1} (W_{15})^{hi}$	$W_{10}^{hi}$	$c a rr y_{17}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{1}^{b (4) l o}$	$spread (W_{1}^{b (4) l o})$	$W_{1}^{b (4) hi}$	$spread (W_{1}^{b (4) hi})$
0	0	0	0	0	1	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (W_{1}^{c (11)})$	$spread (W_{1}^{d (14)})$	$W_{1}^{b (4)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{1}^{e v e n})$	$0$	$0$	$W_{1}^{a (3)}$	$spread (W_{1}^{a (3)})$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{o dd})$	$σ_{0} v 1 R_{0}$	$σ_{0} v 1 R_{1}$	$σ_{0} v 1 R_{0}^{e v e n}$	$σ_{0} v 1 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	0	0	0	0	0	0	0	0	{0,1,2,3}	$W_{14}^{g (13)}$	$spread (W_{14}^{g (13)})$	$W_{14}^{a (3)}$	$W_{14}^{c (3)}$
0	1	0	1	0	0	0	0	0	0	$W_{14}^{d (7)}$	$spread (W_{14}^{d (7)})$	$W_{14}^{l o}$	$W_{14}^{hi}$	$W_{14}$	$σ_{0} (W_{15})^{l o}$	$σ_{1} (W_{28})^{l o}$	$W_{23}^{l o}$
1	0	0	0	0	0	0	0	0	0	$W_{14}^{b (4)}$	$spread (W_{14}^{b (4)})$	$W_{14}^{e (1)}$	$W_{14}^{f (1)}$	$W_{30}$	$σ_{0} (W_{15})^{hi}$	$σ_{1} (W_{28})^{hi}$	$W_{23}^{hi}$	$c a rr y_{30}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{14}^{b (4) l o}$	$spread (W_{14}^{b (4) l o})$	$W_{14}^{b (4) hi}$	$spread (W_{14}^{b (4) hi})$
0	0	0	0	0	0	1	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (W_{14}^{d (7)})$	$spread (W_{14}^{g (13)})$	$W_{1}^{b (14)}$	$W_{14}^{e (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{14}^{a (3)}$	$spread (W_{14}^{a (3)})$	$W_{14}^{c (3)}$	$spread (W_{14}^{c (3)})$	$W_{14}^{f (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{0} v 2 R_{0}$	$σ_{0} v 2 R_{1}$	$σ_{0} v 2 R_{0}^{e v e n}$	$σ_{0} v 2 R_{0}^{o dd}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{14}^{b (4) l o}$	$spread (W_{14}^{b (4) l o})$	$W_{14}^{b (4) hi}$	$spread (W_{14}^{b (4) hi})$
0	0	0	0	0	0	0	0	1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d)$	$spread (g)$		$W_{14}^{e (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{14}^{a (3)}$	$spread (W_{14}^{a (3)})$	$W_{14}^{c (3)}$	$spread (W_{14}^{c (3)})$	$W_{14}^{f (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{1} v 2 R_{0}$	$σ_{1} v 2 R_{1}$	$σ_{1} v 2 R_{0}^{e v e n}$	$σ_{1} v 2 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	1	0	0	1	0	0	0	0	{0,1,2,3}	$W_{49}^{d (13)}$	$spread (W_{49}^{d (13)})$	$W_{49}^{l o}$	$W_{49}^{hi}$	$W_{49}$
0	0	0	0	0	0	0	0	0	{0,1}	$W_{49}^{a (10)}$	$spread (W_{49}^{a (10)})$	$W_{49}^{c (2)}$	$W_{49}^{b (7)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{49}^{b (7) l o}$	$spread (W_{49}^{b (7) l o})$	$W_{49}^{b (7) mi d}$	$spread (W_{49}^{b (7) mi d})$
0	0	0	0	0	0	0	0	1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (a)$	$spread (d)$	$W_{1}^{b (49)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{49}^{c (2)}$	$spread (W_{49}^{c (2)})$	$W_{49}^{b (7) hi}$	$spread (W_{49}^{b (7) hi})$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{1} v 1 R_{0}$	$σ_{1} v 1 R_{1}$	$σ_{1} v 1 R_{0}^{e v e n}$	$σ_{1} v 1 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{62}^{l o}$	$spread (W_{62}^{l o})$	$W_{62}^{l o}$	$W_{62}^{hi}$	$W_{62}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{62}^{hi}$	$spread (W_{62}^{hi})$
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{63}^{l o}$	$spread (W_{63}^{l o})$	$W_{63}^{l o}$	$W_{63}^{hi}$	$W_{63}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{63}^{hi}$	$spread (W_{63}^{hi})$

约束:

sw:用 $re d u c e_{4}$ 构造字
sd0: $W_{0}, W_{62}, W_{63}$ 的分解门
- $W^{l o} + 2^{16} W^{hi} - W = 0$
sd1: $W_{1..13}$ 的分解门(切分成 $(3, 4, 11, 14)$ 比特的片)
- $W^{a (3)} + 2^{3} W^{b (4) l o} + 2^{5} W^{b (4) hi} + 2^{7} W^{c (11)} + 2^{18} W^{d (14)} - W = 0$
sd2: $W_{14..48}$ 的分解门(切分成 $(3, 4, 3, 7, 1, 1, 13)$ 比特的片)
- $W^{a (3)} + 2^{3} W^{b (4) l o} + 2^{5} W^{b (4) hi} + 2^{7} W^{c (11)} + 2^{10} W^{d (14)} + 2^{17} W^{e (1)} + 2^{18} W^{f (1)} + 2^{19} W^{g (13)} - W = 0$
sd3: $W_{49..61}$ 的分解门(切分成 $(10, 7, 2, 13)$ 比特的片)
- $W^{a (10)} + 2^{10} W^{b (7) l o} + 2^{12} W^{b (7) mi d} + 2^{15} W^{b (7) hi} + 2^{17} W^{c (2)} + 2^{19} W^{d (13)} - W = 0$

压缩区域(Compression region)

+----------------------------------------------------------+
|                                                          |
|          decompose E,                                    |
|          Σ_1(E)                                          |
|                                                          |
|                  +---------------------------------------+
|                  |                                       |
|                  |        reduce_5() to get H'           |
|                  |                                       |
+----------------------------------------------------------+
|          decompose F, decompose G                        |
|                                                          |
|                        Ch(E,F,G)                         |
|                                                          |
+----------------------------------------------------------+
|                                                          |
|          decompose A,                                    |
|          Σ_0(A)                                          |
|                                                          |
|                                                          |
|                  +---------------------------------------+
|                  |                                       |
|                  |        reduce_7() to get A_new,       |
|                  |              using H'                 |
|                  |                                       |
+------------------+---------------------------------------+
|          decompose B, decompose C                        |
|                                                          |
|          Maj(A,B,C)                                      |
|                                                          |
|                  +---------------------------------------+
|                  |        reduce_6() to get E_new,       |
|                  |              using H'                 |
+------------------+---------------------------------------+

初始轮(Initial round):

sd_abcd	sd_efgh	ss0	ss1	s_maj	s_ch_neg	s_ch	s_a_new	s_e_new	s_h_prime	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (E_{0} d (7))$	$E_{0} b (5)^{l o}$	$spread (E_{0} b (5)^{l o})$	$E_{0} b (5)^{hi}$	$spread (E_{0} b (5)^{hi})$	$E_{0}^{l o}$	$spread (E_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$E_{0} c (14)$	$spread (E_{0} c (14))$	$E_{0} a (6)^{l o}$	$spread (E_{0} a (6)^{l o})$	$E_{0} a (6)^{hi}$	$spread (E_{0} a (6)^{hi})$	$E_{0}^{hi}$	$spread (E_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (E_{0} b (5)^{l o})$	$spread (E_{0} b (5)^{hi})$
0	0	0	1	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (E_{0} d (7))$	$spread (E_{0} c (14))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (E_{0} a (6)^{l o})$	$spread (E_{0} a (6)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (F_{0} d (7))$	$F_{0} b (5)^{l o}$	$spread (F_{0} b (5)^{l o})$	$F_{0} b (5)^{hi}$	$spread (F_{0} b (5)^{hi})$	$F_{0}^{l o}$	$spread (F_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$F_{0} c (14)$	$spread (F_{0} c (14))$	$F_{0} a (6)^{l o}$	$spread (F_{0} a (6)^{l o})$	$F_{0} a (6)^{hi}$	$spread (F_{0} a (6)^{hi})$	$F_{0}^{hi}$	$spread (F_{0}^{hi})$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$G_{0} d (7)$	$spread (G_{0} d (7))$	$G_{0} b (5)^{l o}$	$spread (G_{0} b (5)^{l o})$	$G_{0} b (5)^{hi}$	$spread (G_{0} b (5)^{hi})$	$G_{0}^{l o}$	$spread (G_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$G_{0} c (14)$	$spread (G_{0} c (14))$	$G_{0} a (6)^{l o}$	$spread (G_{0} a (6)^{l o})$	$G_{0} a (6)^{hi}$	$spread (G_{0} a (6)^{hi})$	$G_{0}^{hi}$	$spread (G_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$	$Q_{0}^{o dd}$	$K_{0}^{l o}$	$H_{0}^{l o}$	$W_{0}^{l o}$
0	0	0	0	0	0	1	0	0	1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$	$Σ_{1} (E_{0})^{l o}$	$Σ_{1} (E_{0})^{hi}$	$K_{0}^{hi}$	$H_{0}^{hi}$	$W_{0}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$	$Q_{1}^{o dd}$	$P_{1}^{o dd}$	$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$	$H p r im e_{0} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$					$D_{0}^{l o}$	$E_{1}^{l o}$
0	0	0	0	0	0	0	0	1	0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$		$D_{0}^{hi}$	$E_{1}^{hi}$	$E_{1} c a rry$
0	0	0	0	0	1	0	0	0	0	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$A_{0} b (11)$	$spread (A_{0} b (11))$	$A_{0} c (9)^{l o}$	$spread (A_{0} c (9)^{l o})$	$A_{0} c (9)^{mi d}$	$spread (A_{0} c (9)^{mi d})$	$A_{0}^{l o}$	$spread (A_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$A_{0} d (10)$	$spread (A_{0} d (10))$	$A_{0} a (2)$	$spread (A_{0} a (2))$	$A_{0} c (9)^{hi}$	$spread (A_{0} c (9)^{hi})$	$A_{0}^{hi}$	$spread (A_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (c (9)^{l o})$	$spread (c (9)^{mi d})$
0	0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (a (2))$	$spread (c (9)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$B_{0} b (11)$	$spread (B_{0} b (11))$	$B_{0} c (9)^{l o}$	$spread (B_{0} c (9)^{l o})$	$B_{0} c (9)^{mi d}$	$spread (B_{0} c (9)^{mi d})$	$B_{0}^{l o}$	$spread (B_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$B_{0} d (10)$	$spread (B_{0} d (10))$	$B_{0} a (2)$	$spread (B_{0} a (2))$	$B_{0} c (9)^{hi}$	$spread (B_{0} c (9)^{hi})$	$B_{0}^{hi}$	$spread (B_{0}^{hi})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$C_{0} b (11)$	$spread (C_{0} b (11))$	$C_{0} c (9)^{l o}$	$spread (C_{0} c (9)^{l o})$	$C_{0} c (9)^{mi d}$	$spread (C_{0} c (9)^{mi d})$	$C_{0}^{l o}$	$spread (C_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$C_{0} d (10)$	$spread (C_{0} d (10))$	$C_{0} a (2)$	$spread (C_{0} a (2))$	$C_{0} c (9)^{hi}$	$spread (C_{0} c (9)^{hi})$	$C_{0}^{hi}$	$spread (C_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$	$M_{1}^{o dd}$	$spread (A_{0}^{l o})$	$spread (A_{0}^{hi})$		$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$
0	0	0	0	1	0	0	1	0	0	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B_{0}^{l o})$	$spread (B_{0}^{hi})$	$Σ_{0} (A_{0})^{l o}$		$A_{1}^{l o}$	$A_{1} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C_{0}^{l o})$	$spread (C_{0}^{hi})$	$Σ_{0} (A_{0})^{hi}$		$A_{1}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

稳态(Steady-state):

sd_abcd	sd_efgh	ss0	ss1	s_maj	s_ch_neg	s_ch	s_a_new	s_e_new	s_h_prime	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (E_{0} d (7))$	$E_{0} b (5)^{l o}$	$spread (E_{0} b (5)^{l o})$	$E_{0} b (5)^{hi}$	$spread (E_{0} b (5)^{hi})$	$E_{0}^{l o}$	$spread (E_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$E_{0} c (14)$	$spread (E_{0} c (14))$	$E_{0} a (6)^{l o}$	$spread (E_{0} a (6)^{l o})$	$E_{0} a (6)^{hi}$	$spread (E_{0} a (6)^{hi})$	$E_{0}^{hi}$	$spread (E_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (E_{0} b (5)^{l o})$	$spread (E_{0} b (5)^{hi})$
0	0	0	1	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (E_{0} d (7))$	$spread (E_{0} c (14))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (E_{0} a (6)^{l o})$	$spread (E_{0} a (6)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$	$Q_{0}^{o dd}$	$K_{0}^{l o}$	$H_{0}^{l o}$	$W_{0}^{l o}$
0	0	0	0	0	0	1	0	0	1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$	$Σ_{1} (E_{0})^{l o}$	$Σ_{1} (E_{0})^{hi}$	$K_{0}^{hi}$	$H_{0}^{hi}$	$W_{0}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$	$Q_{1}^{o dd}$	$P_{1}^{o dd}$	$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$	$H p r im e_{0} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$					$D_{0}^{l o}$	$E_{1}^{l o}$
0	0	0	0	0	0	0	0	1	0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$		$D_{0}^{hi}$	$E_{1}^{hi}$	$E_{1} c a rry$
0	0	0	0	0	1	0	0	0	0	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$A_{0} b (11)$	$spread (A_{0} b (11))$	$A_{0} c (9)^{l o}$	$spread (A_{0} c (9)^{l o})$	$A_{0} c (9)^{mi d}$	$spread (A_{0} c (9)^{mi d})$	$A_{0}^{l o}$	$spread (A_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$A_{0} d (10)$	$spread (A_{0} d (10))$	$A_{0} a (2)$	$spread (A_{0} a (2))$	$A_{0} c (9)^{hi}$	$spread (A_{0} c (9)^{hi})$	$A_{0}^{hi}$	$spread (A_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (c (9)^{l o})$	$spread (c (9)^{mi d})$
0	0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (a (2))$	$spread (c (9)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$	$M_{1}^{o dd}$	$spread (A_{0}^{l o})$	$spread (A_{0}^{hi})$		$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$
0	0	0	0	1	0	0	1	0	0	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B_{0}^{l o})$	$spread (B_{0}^{hi})$	$Σ_{0} (A_{0})^{l o}$		$A_{1}^{l o}$	$A_{1} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C_{0}^{l o})$	$spread (C_{0}^{hi})$	$Σ_{0} (A_{0})^{hi}$		$A_{1}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

最终摘要(Final digest):

s_digest	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$
1	$A_{63}^{l o}$	$A_{63}^{hi}$	$A_{63}$	$B_{63}^{l o}$	$B_{63}^{hi}$	$B_{63}$
0	$C_{63}^{l o}$	$C_{63}^{hi}$	$C_{63}$	$C_{63}^{l o}$	$C_{63}^{hi}$	$C_{63}$
1	$E_{63}^{l o}$	$E_{63}^{hi}$	$E_{63}$	$G_{63}^{l o}$	$G_{63}^{hi}$	$G_{63}$
0	$F_{63}^{l o}$	$F_{63}^{hi}$	$F_{63}$	$H_{63}^{l o}$	$H_{63}^{hi}$	$H_{63}$

译自 halo2 book：background.md

背景知识

本节涵盖理解 Halo 2 证明系统所需的背景材料。它的讲解目标是 ELI15（Explain It Like I'm 15，像对 15 岁的人那样解释）的水平；如果你觉得哪里还需要补充说明，请告诉我们！

译自 halo2 book：background/fields.md

域(field)

许多密码学协议的一个基础组成部分，是被称为域(field) 的代数结构。域是一些对象（通常是数）的集合，配备两个相关联的二元运算符 $+$ 和 $\times$ ，使得各种域公理(field axioms) 成立。实数 $R$ 就是一个具有不可数多个元素的域的例子。

Halo 使用 有限域(finite field)，它只有有限个元素。有限域可以完全分类如下：

如果 $F$ 是一个有限域，那么对某个整数 $k \geq 1$ 和某个素数 $p$ ，它包含 $∣ F ∣ = p^{k}$ 个元素；
任意两个具有相同元素个数的有限域是同构的。特别地，素域(prime field) $F_{p}$ 中的所有算术运算，都与整数模 $p$ 的加法和乘法同构，即与 $Z_{p}$ 中的运算同构。这就是我们常把 $p$ 称为 模(modulus) 的原因。

我们将域写作 $F_{q}$ ，其中 $q = p^{k}$ 。素数 $p$ 称为它的 特征(characteristic)。在 $k > 1$ 的情形下，域 $F_{q}$ 是域 $F_{p}$ 的 $k$ 次扩张(extension)。（作个类比，复数 $C = R (i)$ 是实数的扩张。）然而在 Halo 中我们不使用扩域(extension field)。每当我们写 $F_{p}$ 时，指的都是我们所说的 素域(prime field)，它有素数 $p$ 个元素，即 $k = 1$ 。

重要说明：

任何域中都有两个特殊元素： $0$ ，即加法单位元(additive identity)；以及 $1$ ，即乘法单位元(multiplicative identity)。
当域元素以二进制整数形式表示时，其最低有效位(least significant bit)可以被解释为它的"符号(sign)"，以帮助把它与其加法逆元(negation)区分开。这是因为对于某个最低有效位为 $0$ 的非零元素 $a$ ，我们有 $- a = p - a$ 的最低有效位为 $1$ ，反之亦然。我们也可以用一个元素是否大于 $(p - 1) /2$ 来赋予它一个"符号"。

有限域稍后将用于构造多项式(polynomial) 和椭圆曲线(elliptic curve)。椭圆曲线是群(group)的例子，我们接下来讨论群。

群(group)

群比域更简单也更受限；它们只有一个二元运算符 $\cdot$ ，公理也更少。它们也有一个单位元，我们记作 $1$ 。

群中任意非零元素 $a$ 都有一个 逆元(inverse) $b = a^{- 1}$ ，它是唯一满足 $a \cdot b = 1$ 的元素 $b$ 。

例如， $F_{p}$ 的非零元素的集合构成一个群，其中群运算由域上的乘法给出。

（旁注）加法记法 vs 乘法记法

如果像我们上面那样把 $\cdot$ 写成 $\times$ 或者省略（即把 $a \cdot b$ 写作 $ab$ ），把单位元写作 $1$ ，把求逆写作 $a^{- 1}$ ，那么我们说这个群是"用乘法记法书写的"。如果把 $\cdot$ 写成 $+$ ，把单位元写作 $0$ 或 $O$ ，把求逆写作 $- a$ ，那么我们说它是"用加法记法书写的"。

习惯上，椭圆曲线群用加法记法，而当元素来自有限域时用乘法记法。

使用加法记法时，对于非负的 $k$ ，我们还写

$[k] A = k times A + A + \dots + A$

并称之为"标量乘法(scalar multiplication)"；我们也常用大写字母作为表示群元素的变量。使用乘法记法时，我们还写

$a^{k} = k times a \times a \times \dots \times a$

并称之为"幂运算(exponentiation)"。无论哪种情形，我们把满足 $[k] g = a$ 或 $g^{k} = a$ 的标量 $k$ 称为 $a$ 以 $g$ 为底的"离散对数(discrete logarithm)"。我们可以通过求逆把标量扩展到负整数，即 $[- k] A + [k] A = O$ 或 $a^{- k} \times a^{k} = 1$ 。

有限群的元素 $a$ 的 阶(order) 定义为使得 $a^{k} = 1$ （乘法记法）或 $[k] a = O$ （加法记法）成立的最小正整数 $k$ 。群的阶 是群中元素的个数。

群总有一个生成集(generating set)，即这样一个元素集合：我们能（用乘法术语来说）把群中任意元素表示为这些元素的幂的乘积。所以若生成集是 $g_{1.. k}$ ，我们就能把群中任意元素表示为 $i = 1 \prod k g_{i}^{a_{i}}$ 。对于给定的群，可以有许多不同的生成集。

如果一个群有一个仅含单个元素（记为 $g$ ）的（不一定唯一的）生成集，则称它为循环群(cyclic)。在这种情形下，我们可以说 $g$ 生成该群，并且 $g$ 的阶就是该群的阶。

任意 $n$ 阶有限循环群 $G$ 都同构(isomorphic) 于整数模 $n$ （记作 $Z / n Z$ ），使得：

$G$ 中的运算 $\cdot$ 对应于模 $n$ 加法；
$G$ 中的单位元对应于 $0$ ；
某个生成元 $g \in G$ 对应于 $1$ 。

给定一个生成元 $g$ ，这个同构在 $Z / n Z \to G$ 方向上总是易于计算的；它就是 $a \mapsto g^{a}$ （或在加法记法下， $a \mapsto [a] g$ ）。但在 $G \to Z / n Z$ 方向上一般可能很难计算；当我们讲到椭圆曲线(elliptic curve) 时会进一步讨论这一点。

如果有限群的阶 $n$ 是素数，那么这个群是循环群，并且每个非单位元都是生成元。

有限域的乘法群(multiplicative group)

我们用记号 $F_{p}^{\times}$ 表示集合 $F_{p} - {0}$ 上的乘法群（即群运算是 $F_{p}$ 中的乘法）。

在 $F_{p}^{\times}$ 中求逆的一个快捷方式是 $a^{- 1} = a^{p - 2}$ 。其原因源自费马小定理(Fermat's little theorem)，该定理指出对任意整数 $a$ 都有 $a^{p} = a (mod p)$ 。如果 $a$ 非零，我们可以把它除两次 $a$ ，得到 $a^{p - 2} = a^{- 1} .$

设 $α$ 是 $F_{p}^{\times}$ 的一个生成元，那么它的阶为 $p - 1$ （等于 $F_{p}^{\times}$ 中元素的个数）。因此，对任意元素 $a \in F_{p}^{\times}$ ，都存在唯一的整数 $i \in {0.. p - 2}$ 使得 $a = α^{i}$ 。

注意 $a \times b$ （其中 $a, b \in F_{p}^{\times}$ ）实际上可以被解释为 $α^{i} \times α^{j}$ ，其中 $a = α^{i}$ 且 $b = α^{j}$ 。事实上，对所有 $0 \leq i, j < p - 1$ 都有 $α^{i} \times α^{j} = α^{i + j}$ 成立。因此，非零域元素的乘法可以被解释为相对于某个固定生成元 $α$ 的模 $p - 1$ 加法。加法只是发生"在指数上"。

这也是看待计算域中逆元为何用 $a^{p - 2}$ 的另一种角度：

$p - 2 \equiv - 1 (mod p - 1),$

所以 $a^{p - 2} = a^{- 1}$ 。

蒙哥马利技巧(Montgomery's Trick)

蒙哥马利技巧（以 Peter Montgomery（安息）命名）是一种同时计算多个群逆元的方法。它常用于计算 $F_{p}^{\times}$ 中的逆元，相对于乘法而言，这些逆元的计算开销相当大。

设想我们需要计算三个非零元素 $a, b, c \in F_{p}^{\times}$ 的逆元。我们改为先计算乘积 $x = ab$ 和 $y = x c = ab c$ ，然后计算逆元

$z = y^{p - 2} = \frac{1}{ab c} .$

现在我们可以把 $z$ 乘以 $x$ 得到 $\frac{1}{c}$ ，把 $z$ 乘以 $c$ 得到 $\frac{1}{ab}$ ，随后再把它乘以 $a, b$ 就能得到它们各自的逆元。

这个技巧可以推广到任意数量的群元素，而只需要做一次求逆。

乘法子群(multiplicative subgroups)

群 $G$ （运算为 $\cdot$ ）的一个 子群(subgroup)，是 $G$ 中这样一个元素子集：它在 $\cdot$ 下也构成一个群。

在上一节中我们说过 $α$ 是 $(p - 1)$ 阶乘法群 $F_{p}^{\times}$ 的一个生成元。这个群的阶是 合数(composite)，因此由中国剩余定理¹，它有真子群(strict subgroups)。举例来说，设想 $p = 11$ ，于是 $p - 1$ 分解为 $5 \cdot 2$ 。这样就存在一个 $5$ 阶子群的生成元 $β$ 和一个 $2$ 阶子群的生成元 $γ$ 。因此 $F_{p}^{\times}$ 中的所有元素都可以唯一地写成 $β^{i} \cdot γ^{j}$ ，其中 $i$ （模 $5$ ）、 $j$ （模 $2$ ）。

如果我们有 $a = β^{i} \cdot γ^{j}$ ，注意当我们计算

$a^{5} = (β^{i} \cdot γ^{j})^{5} = β^{i \cdot 5} \cdot γ^{j \cdot 5} = β^{0} \cdot γ^{j \cdot 5} = γ^{j \cdot 5};$

时会发生什么；我们实际上"杀死"了 $5$ 阶子群分量，产生了一个 $2$ 阶子群中的值。

拉格朗日定理（群论）(Lagrange's theorem (group theory)) 指出，有限群 $G$ 的任意子群 $H$ 的阶整除 $G$ 的阶。因此， $F_{p}^{\times}$ 任意子群的阶必定整除 $p - 1.$

像 Halo 2 这样基于 PLONK 的证明系统，更便于在具有大量乘法子群且其分布"光滑(smooth)"的域上使用（这使得随着电路规模增大，性能悬崖更小、更细粒度）。Pallas 和 Vesta 曲线特别地具有如下形式的素数

$T \cdot 2^{S} = p - 1$

其中 $S = 32$ 且 $T$ 为奇数（即 $p - 1$ 有 32 个低位零比特）。这意味着对所有 $k \leq 32$ ，它们都有 $2^{k}$ 阶的乘法子群。这些 2-adic 子群非常适合高效的 FFT，同时也支持种类繁多的电路规模。

平方根(square roots)

在域 $F_{p}$ 中，恰好一半的非零元素是平方数(squares)；其余的是非平方数，或称"二次非剩余(quadratic non-residues)"。为了理解原因，考虑一个生成 $F_{p}^{\times}$ 的 $2$ 阶乘法子群的 $α$ （之所以存在，是因为 $p$ 是大于 $2$ 的素数，所以 $p - 1$ 能被 $2$ 整除），以及一个生成 $F_{p}^{\times}$ 的 $t$ 阶乘法子群的 $β$ ，其中 $p - 1 = 2 t$ 。那么每个元素 $a \in F_{p}^{\times}$ 都可以唯一地写成 $α^{i} \cdot β^{j}$ ，其中 $i \in Z_{2}$ 且 $j \in Z_{t}$ 。所有元素中有一半满足 $i = 0$ ，另一半满足 $i = 1$ 。

让我们考虑 $p \equiv 3 (mod 4)$ 的简单情形，此时 $t$ 为奇数（如果 $t$ 为偶数，那么 $p - 1$ 就能被 $4$ 整除，这与 $p$ 为 $3 (mod 4)$ 矛盾）。如果 $a \in F_{p}^{\times}$ 是平方数，那么必定存在 $b = α^{i} \cdot β^{j}$ 使得 $b^{2} = a$ 。但这意味着

$a = (α^{i} \cdot β^{j})^{2} = α^{2 i} \cdot β^{2 j} = β^{2 j} .$

换言之，在这个特定的域中所有平方数都不生成 $2$ 阶乘法子群，于是由于一半的元素生成 $2$ 阶子群，那么至多一半的元素是平方数。事实上恰好一半的元素是平方数（因为把每个非平方元素平方都给出一个唯一的平方数）。这意味着我们可以假定所有平方数都可以写成 $β^{m}$ （对某个 $m$ ），因此求平方根的问题就归结为做 $2^{- 1} (mod t)$ 的幂运算。

在 $p \equiv 1 (mod 4)$ 的情形下，事情变得更复杂，因为 $2^{- 1} (mod t)$ 不存在。我们把 $p - 1$ 写成 $2^{k} \cdot t$ ，其中 $t$ 为奇数。 $k = 0$ 的情形不可能， $k = 1$ 的情形就是我们已经描述过的，所以考虑 $k \geq 2$ 。 $α$ 生成一个 $2^{k}$ 阶乘法子群， $β$ 生成奇数阶 $t$ 阶乘法子群。那么每个元素 $a \in F_{p}^{\times}$ 都可以写成 $α^{i} \cdot β^{j}$ ，其中 $i \in Z_{2^{k}}$ 且 $j \in Z_{t}$ 。如果该元素是平方数，那么存在某个 $b = a$ ，它可以写成 $b = α^{i^{'}} \cdot β^{j^{'}}$ ，其中 $i^{'} \in Z_{2^{k}}$ 且 $j^{'} \in Z_{t}$ 。这意味着 $a = b^{2} = α^{2 i^{'}} \cdot β^{2 j^{'}}$ ，因此我们有 $i \equiv 2 i^{'} (mod 2^{k})$ ，且 $j \equiv 2 j^{'} (mod t)$ 。在这种情形下 $i$ 必须为偶数，否则就不可能对任何 $i^{'}$ 都有 $i \equiv 2 i^{'} (mod 2^{k})$ 。在 $a$ 不是平方数的情形下， $i$ 为奇数，所以一半的元素是平方数。

为了计算平方根，我们可以先把元素 $a = α^{i} \cdot β^{j}$ 升到 $t$ 次幂以"杀死" $t$ 阶分量，得到

$a^{t} = α^{i t (mod 2^{k})} \cdot β^{j t (mod t)} = α^{i t (mod 2^{k})}$

然后把这个结果升到 $t^{- 1} (mod 2^{k})$ 次幂，以撤销原来的幂运算对 $2^{k}$ 阶分量的影响：

$(α^{i t mod 2^{k}})^{t^{- 1} (mod 2^{k})} = α^{i}$

（因为 $t$ 与 $2^{k}$ 互素）。这就裸露出 $α^{i}$ 值，我们可以平凡地处理它。我们可以类似地杀死 $2^{k}$ 阶分量以得到 $β^{j \cdot 2^{- 1} (mod t)}$ ，再把这些值组合起来得到平方根。

事实证明，在 $k = 2, 3$ 的情形下，有更简单的算法把其中几个幂运算合并在一起以提高效率。对于其他的 $k$ 值，已知唯一的方法是通过反复平方来手动提取 $i$ ，直到对 $i$ 的每一位都得到单位元为止。这就是 Tonelli-Shanks 平方根算法(Tonelli-Shanks square root algorithm) 的精髓，描述了通用策略。（还有另一种使用二次扩域的平方根算法，但直到素数变得相当大之前，它在效率上都不划算。）

单位根(roots of unity)

在前面几节中，我们把 $p - 1$ 写成 $2^{k} \cdot t$ ，其中 $t$ 为奇数，并说明了元素 $α \in F_{p}^{\times}$ 生成了 $2^{k}$ 阶子群。为方便起见，记 $n := 2^{k} .$ 元素 ${1, α, \dots, α^{n - 1}}$ 被称为 $n$ 次单位根(roots of unity)。

本原单位根(primitive root of unity) $ω,$ 是这样一个 $n$ 次单位根：除非 $i \equiv 0 (mod n)$ ，否则 $ω^{i} \neq = 1$ 。

重要说明：

如果 $α$ 是 $n$ 次单位根， $α$ 满足 $α^{n} - 1 = 0.$ 如果 $α \neq = 1,$ 那么 $1 + α + α^{2} + \dots + α^{n - 1} = 0.$
等价地，单位根是方程 $X^{n} - 1 = (X - 1) (X - α) (X - α^{2}) \dots (X - α^{n - 1}) .$ 的解。
$ω^{\frac{n}{2} + i} = - ω^{i}$ （"取负引理(Negation lemma)"）。证明： $ω^{n} = 1 ⟹ ω^{n} - 1 = 0 ⟹ (ω^{n /2} + 1) (ω^{n /2} - 1) = 0.$ 由于 $ω$ 的阶是 $n$ ， $ω^{n /2} \neq = 1.$ 因此， $ω^{n /2} = - 1.$
$(ω^{\frac{n}{2} + i})^{2} = (ω^{i})^{2}$ （"减半引理(Halving lemma)"）。证明： $(ω^{\frac{n}{2} + i})^{2} = ω^{n + 2 i} = ω^{n} \cdot ω^{2 i} = ω^{2 i} = (ω^{i})^{2} .$ 换言之，如果我们把 $n$ 次单位根中每个元素都平方，我们只会得到一半的元素， ${(ω_{n}^{i})^{2}} = {ω_{n /2}}$ （即 $\frac{n}{2}$ 次单位根）。元素与其平方之间是二对一的映射。

参考文献

Friedman, R. (n.d.) "Cyclic Groups and Elementary Number Theory II" (p. 5). ↩

译自 halo2 book：background/polynomials.md

多项式(polynomial)

设 $A (X)$ 是 $F_{p}$ 上以形式不定元(formal indeterminate) $X$ 表示的多项式。举例来说，

$A (X) = a_{0} + a_{1} X + a_{2} X^{2} + a_{3} X^{3}$

定义了一个 $3$ 次多项式。 $a_{0}$ 称为常数项(constant term)。 $n - 1$ 次多项式有 $n$ 个系数。我们常常想要计算把形式不定元 $X$ 替换成某个具体值 $x$ 的结果，记作 $A (x)$ 。

在数学中这通常被称为"在点 $x$ 处求值 $A (X)$ "。这里"点(point)"一词源自多项式 $y = A (x)$ 形式的几何用法，其中 $(x, y)$ 是二维空间中某点的坐标。然而，我们处理的多项式几乎总是被约束为等于零，并且 $x$ 将是某个域的元素。这不应与椭圆曲线(elliptic curve) 上的点混淆，我们也会用到椭圆曲线，但绝不会在多项式求值的语境中使用。

重要说明：

多项式相乘产生的乘积多项式，其次数是各因子次数之和。多项式除法则从次数中作减法。 $de g (A (X) B (X)) = de g (A (X)) + de g (B (X)),$ $de g (A (X) / B (X)) = de g (A (X)) - de g (B (X)) .$
给定一个 $n - 1$ 次多项式 $A (X)$ ，如果我们在不同的点上得到该多项式的 $n$ 个求值，那么这些求值就完美地确定了该多项式。换言之，给定这些求值，我们可以通过多项式插值(interpolation)得到唯一的 $n - 1$ 次多项式 $A (X)$ 。
$[a_{0}, a_{1}, \dots, a_{n - 1}]$ 是多项式 $A (X)$ 的 系数表示(coefficient representation)。等价地，我们可以使用它在 $n$ 个不同点上的 求值表示(evaluation representation) $[(x_{0}, A (x_{0})), (x_{1}, A (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}))]$ 两种表示都唯一地确定同一个多项式。

（旁注）霍纳法则(Horner's rule)

霍纳法则允许高效地求一个 $n - 1$ 次多项式的值，只需 $n - 1$ 次乘法和 $n - 1$ 次加法。它就是下面这个恒等式： $a_{0} + a_{1} X + a_{2} X^{2} + \dots + a_{n - 1} X^{n - 1} = a_{0} + X (a_{1} + X (a_{2} + \dots + X (a_{n - 2} + X a_{n - 1}))),$

快速傅里叶变换(Fast Fourier Transform, FFT)

FFT 是在多项式的系数表示与求值表示之间转换的一种高效方法。它在 $n$ 次单位根 ${ω^{0}, ω^{1}, \dots, ω^{n - 1}}$ 处对多项式求值，其中 $ω$ 是本原 $n$ 次单位根。通过利用单位根中的对称性，FFT 的每一轮都把求值问题缩减为一个只有原来一半大小的问题。最常见的是，我们使用长度为 2 的某个幂次 $n = 2^{k}$ 的多项式，并递归地应用这个减半缩减。

动机：快速多项式乘法

在系数表示下，把两个多项式相乘 $A (X) \cdot B (X) = C (X)$ 需要 $O (n^{2})$ 次运算：

$A (X) B (X) C (X) = a_{0} + a_{1} X + a_{2} X^{2} + \dots + a_{n - 1} X^{n - 1}, = b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}, = a_{0} \cdot (b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}) + a_{1} X \cdot (b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}) + \dots + a_{n - 1} X^{n - 1} \cdot (b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}),$

其中第一个多项式中的 $n$ 项每一项都必须乘以第二个多项式的 $n$ 项。

然而在求值表示下，多项式乘法只需要 $O (n)$ 次运算：

$A B C : {(x_{0}, A (x_{0})), (x_{1}, A (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}))}, : {(x_{0}, B (x_{0})), (x_{1}, B (x_{1})), \dots, (x_{n - 1}, B (x_{n - 1}))}, : {(x_{0}, A (x_{0}) B (x_{0})), (x_{1}, A (x_{1}) B (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}) B (x_{n - 1}))},$

其中每个求值是逐点(pointwise)相乘的。

这提示了如下快速多项式乘法的策略：

在全部 $n$ 个点处对多项式求值；
在求值表示中执行快速逐点乘法（ $O (n)$ ）；
转换回系数表示。

现在的挑战是如何高效地 求值(evaluate) 和 插值(interpolate) 多项式。朴素地说，在 $n$ 个点处对一个多项式求值需要 $O (n^{2})$ 次运算（我们在每个点处使用 $O (n)$ 的霍纳法则）：

$A (1) A (ω) A (ω^{2}) ⋮ A (ω^{n - 1}) = 111 ⋮ 1 1 ω ω^{2} ⋮ ω^{n - 1} 1 ω^{2} ω^{2 \cdot 2} ⋮ ω^{2 (n - 1)} \dots \dots \dots \dots 1 ω^{n - 1} ω^{2 \cdot (n - 1)} ⋮ ω^{(n - 1)^{2}} \cdot a_{0} a_{1} a_{2} ⋮ a_{n - 1} .$

为方便起见，我们将上述矩阵记为： $\hat{A} = V_{ω} \cdot A .$

（ $\hat{A}$ 被称为 $A$ 的 离散傅里叶变换(Discrete Fourier Transform)； $V_{ω}$ 也称为 范德蒙德矩阵(Vandermonde matrix)。）

（基-2）Cooley-Tukey 算法

我们的策略是把一个大小为 $n$ 的 DFT 分成两个交织(interleaved)的大小为 $n /2$ 的 DFT。给定多项式 $A (X) = a_{0} + a_{1} X + a_{2} X^{2} + \dots + a_{n - 1} X^{n - 1},$ 我们把它拆分成偶次项和奇次项：

$A_{even} A_{odd} = a_{0} + a_{2} X + \dots + a_{n - 2} X^{\frac{n}{2} - 1}, = a_{1} + a_{3} X + \dots + a_{n - 1} X^{\frac{n}{2} - 1} .$

为恢复原始多项式，我们做 $A (X) = A_{even} (X^{2}) + X A_{odd} (X^{2}) .$

在点 $ω_{n}^{i}$ 和 $ω_{n}^{\frac{n}{2} + i}$ （ $i \in [0.. \frac{n}{2} - 1]$ ）上试一下，我们开始注意到一些对称性：

$A (ω_{n}^{i}) A (ω_{n}^{\frac{n}{2} + i}) = A_{even} ((ω_{n}^{i})^{2}) + ω_{n}^{i} A_{odd} ((ω_{n}^{i})^{2}), = A_{even} ((ω_{n}^{\frac{n}{2} + i})^{2}) + ω_{n}^{\frac{n}{2} + i} A_{odd} ((ω_{n}^{\frac{n}{2} + i})^{2}) = A_{even} ((- ω_{n}^{i})^{2}) - ω_{n}^{i} A_{odd} ((- ω_{n}^{i})^{2}) \leftarrow (negation lemma) = A_{even} ((ω_{n}^{i})^{2}) - ω_{n}^{i} A_{odd} ((ω_{n}^{i})^{2}) .$

注意我们只在半个定义域 ${(ω_{n}^{0})^{2}, (ω_{n})^{2}, \dots, (ω_{n}^{\frac{n}{2} - 1})^{2}} = {ω_{n /2}^{i}}, i = [0.. \frac{n}{2} - 1]$ （减半引理）上对 $A_{even} (X)$ 和 $A_{odd} (X)$ 求值。这给了我们重构 $A (X)$ 在整个定义域 ${ω^{0}, ω, \dots, ω^{n - 1}}$ 上所需的所有项：这意味着我们已经把一个长度为 $n$ 的 DFT 转换成了两个长度为 $\frac{n}{2}$ 的 DFT。

我们选择 $n = 2^{k}$ 为 2 的某个幂次（必要时通过补零），并递归地应用这个分治策略。由主定理(Master Theorem)¹，这给了我们一个具有 $O (n lo g_{2} n)$ 次运算的求值算法，也就是快速傅里叶变换(FFT)。

逆 FFT(Inverse FFT)

至此我们已经对多项式求了值并逐点相乘。剩下的就是把乘积从求值表示转换回系数表示。为此，我们只需对求值表示再调用一次 FFT。不过这一次我们还要：

在范德蒙德矩阵中把 $ω^{i}$ 替换为 $ω^{- i}$ ，并且
把最终结果乘以一个因子 $1/ n$ 。

换言之： $A = \frac{1}{n} V_{ω^{- 1}} \cdot \hat{A} .$

（要理解逆 FFT 为何与 FFT 形式相似，请参阅 ² 的 Slide 13-1。下图同样取自 ²。）

Schwartz-Zippel 引理

Schwartz-Zippel 引理非形式地指出"不同的多项式在大多数点上都不同"。形式上，它可以写成如下：

设 $p (x_{1}, x_{2}, \dots, x_{n})$ 是一个 $n$ 元、次数为 $d$ 的非零多项式。设 $S$ 是一个至少含有 $d$ 个元素的有限数集。如果我们从 $S$ 中随机选取 $α_{1}, α_{2}, \dots, α_{n}$ ，那么 $Pr [p (α_{1}, α_{2}, \dots, α_{n}) = 0] \leq \frac{d}{∣ S ∣} .$

在我们熟悉的单变量情形 $p (X)$ 下，这归结为：一个 $d$ 次非零多项式至多有 $d$ 个根。

Schwartz-Zippel 引理用于多项式相等性测试。给定两个多变量多项式 $p_{1} (x_{1}, \dots, x_{n})$ 和 $p_{2} (x_{1}, \dots, x_{n})$ ，次数分别为 $d_{1}, d_{2}$ ，我们可以对随机的 $α_{1}, \dots, α_{n} \leftarrow S$ 测试是否 $p_{1} (α_{1}, \dots, α_{n}) - p_{2} (α_{1}, \dots, α_{n}) = 0$ ，其中 $S$ 的大小至少为 $∣ S ∣ \geq (d_{1} + d_{2}) .$ 如果两个多项式相同，这将永远成立；而如果两个多项式不同，那么等式成立的概率至多为 $\frac{m a x ( d _{1} , d _{2} )}{∣ S ∣}$ 。

消失多项式(Vanishing polynomial)

考虑以本原单位根 $ω$ 生成的 $n$ 阶乘法子群 $H$ 。对所有 $ω^{i} \in H, i \in [n - 1],$ 我们有 $(ω^{i})^{n} = (ω^{n})^{i} = (ω^{0})^{i} = 1.$ 换言之， $H$ 的每个元素都满足方程

$Z_{H} (X) = X^{n} - 1 = (X - ω^{0}) (X - ω^{1}) (X - ω^{2}) \dots (X - ω^{n - 1}),$

也就是说每个元素都是 $Z_{H} (X)$ 的根。我们称 $Z_{H} (X)$ 为 $H$ 上的 消失多项式(vanishing polynomial)，因为它在 $H$ 的所有元素上求值都为零。

这在检查多项式约束时尤其方便。例如，要检查 $A (X) + B (X) = C (X)$ 在 $H$ 上成立，我们只需检查 $A (X) + B (X) - C (X)$ 是 $Z_{H} (X)$ 的某个倍数。换言之，如果把我们的约束除以消失多项式仍然得到某个多项式 $\frac{A ( X ) + B ( X ) - C ( X )}{Z _{H} ( X )} = H (X),$ 我们就确信 $A (X) + B (X) - C (X) = 0$ 在 $H$ 上成立。

拉格朗日基函数(Lagrange basis functions)

TODO：（简要地）解释一般意义上的基(basis)是什么。

多项式通常用单项式基(monomial basis)书写（例如 $X, X^{2}, ... X^{n}$ ）。然而，当在 $n$ 阶乘法子群上工作时，我们发现用拉格朗日基(Lagrange basis)表达更为自然。

考虑以本原单位根 $ω$ 生成的 $n$ 阶乘法子群 $H$ 。对应于这个子群的拉格朗日基是一组函数 ${L_{i}}_{i = 0}^{n - 1}$ ，其中

$L_{i} (ω^{j}) = {10 if i = j, otherwise.$

我们可以更紧凑地写成 $L_{i} (ω^{j}) = δ_{ij},$ 其中 $δ$ 是克罗内克 delta 函数(Kronecker delta function)。

现在，我们可以把多项式写成拉格朗日基函数的线性组合，

$A (X) = i = 0 \sum n - 1 a_{i} L_{i} (X), X \in H,$

这等价于说 $A (X)$ 在 $ω^{0}$ 处求值为 $a_{0}$ ，在 $ω^{1}$ 处为 $a_{1}$ ，在 $ω^{2}$ 处为 $a_{2}, \dots,$ 依此类推。

当在乘法子群上工作时，拉格朗日基函数有一种便利的稀疏表示，形如

$L_{i} (X) = \frac{c _{i} \cdot ( X ^{n} - 1 )}{X - ω ^{i}},$

其中 $c_{i}$ 是重心权重(barycentric weight)。（要理解这个形式是如何推导出来的，请参阅 ³。）对于 $i = 0,$ 我们有 $c = 1/ n ⟹ L_{0} (X) = \frac{1}{n} \frac{( X ^{n} - 1 )}{X - 1}$ 。

假设我们给定了一组求值点 ${x_{0}, x_{1}, \dots, x_{n - 1}}$ 。由于我们不能假定这些 $x_{i}$ 构成一个乘法子群，我们也考虑一般情形下的拉格朗日多项式 $L_{i}$ 。那么我们可以构造：

$L_{i} (X) = j \neq = i \prod \frac{X - x _{j}}{x _{i} - x _{j}}, i \in [0.. n - 1] .$

这里，每个 $X = x_{j} \neq = x_{i}$ 都会产生一个为零的分子项 $(x_{j} - x_{j}),$ 使得整个乘积求值为零。另一方面， $X = x_{i}$ 会在每一项处求值为 $\frac{x _{i} - x _{j}}{x _{i} - x _{j}}$ ，导致整体乘积为一。这就在集合 ${x_{0}, x_{1}, \dots, x_{n - 1}}$ 上给出了所需的克罗内克 delta 行为 $L_{i} (x_{j}) = δ_{ij}$ 。

拉格朗日插值(Lagrange interpolation)

给定一个处于求值表示下的多项式

$A : {(x_{0}, A (x_{0})), (x_{1}, A (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}))},$

我们可以在拉格朗日基下重构它的系数形式：

$A (X) = i = 0 \sum n - 1 A (x_{i}) L_{i} (X),$

其中 $X \in {x_{0}, x_{1}, \dots, x_{n - 1}} .$

参考文献

译自 halo2 book：background/groups.md

密码学群(cryptographic groups)

在逆元与群(Inverses and groups) 一节中，我们引入了 群(group) 的概念。群有一个单位元和一个群运算。在本节中，我们将以加法记法书写群，即单位元是 $O$ ，群运算是 $+$ 。

某些群可以用作 密码学群(cryptographic group)。冒着过度简化的风险来说，这意味着求群元素 $P$ 以给定基 $G$ 为底的离散对数(discrete logarithm)的问题——即求满足 $P = [x] G$ 的 $x$ ——在一般情况下是困难的。

Pedersen 承诺(Pedersen commitment)

Pedersen 承诺 [P99] 是一种以可验证的方式承诺(commit)某条秘密消息的方法。它使用两个随机的公开生成元 $G, H \in G,$ 其中 $G$ 是阶为 $q$ 的密码学群。在 $Z_{q}$ 中选取一个随机秘密 $r$ ，要承诺的消息 $m$ 来自 $Z_{q}$ 的任意子集。承诺为

$c = Commit (m, r) = [m] G + [r] H .$

为打开(open)承诺，承诺者揭示 $m$ 和 $r,$ 从而允许任何人验证 $c$ 确实是对 $m$ 的承诺。

注意 Pedersen 承诺方案是同态的(homomorphic)：

$Commit (m, r) + Commit (m^{'}, r^{'}) = [m] G + [r] H + [m^{'}] G + [r^{'}] H = [m + m^{'}] G + [r + r^{'}] H = Commit (m + m^{'}, r + r^{'}) .$

假定离散对数假设成立，Pedersen 承诺还是完美隐藏(perfectly hiding)和计算绑定(computationally binding)的：

隐藏(hiding)：敌手选择消息 $m_{0}, m_{1} .$ 承诺者承诺其中一条消息 $c = Commit (m_{b}, r), b \in {0, 1} .$ 给定 $c,$ 敌手猜中正确的 $b$ 的概率不超过 $\frac{1}{2}$ 。
绑定(binding)：敌手无法选出两条不同的消息 $m_{0} \neq = m_{1},$ 以及随机数 $r_{0}, r_{1},$ 使得 $Commit (m_{0}, r_{0}) = Commit (m_{1}, r_{1}) .$

向量 Pedersen 承诺(Vector Pedersen commitment)

我们可以使用 Pedersen 承诺方案的一个变体，一次性承诺多条消息 $m = (m_{0}, \dots, m_{n - 1})$ 。这一次，我们必须采样相应数量的随机公开生成元 $G = (G_{0}, \dots, G_{n - 1}),$ 外加像之前一样的单个随机生成元 $H$ （用于隐藏）。那么，我们的承诺方案为：

$Commit (m; r) = Commit ((m_{0}, \dots, m_{n - 1}); r) = [r] H + [m_{0}] G_{0} + \dots + [m_{n - 1}] G_{n - 1} = [r] H + i = 0 \sum n - 1 [m_{i}] G_{i} .$

TODO：这是否是位置绑定的(positionally binding)？

Diffie–Hellman

使用密码学群的协议的一个例子是 Diffie–Hellman 密钥协商 [DH1976]。Diffie–Hellman 协议是供两个用户 Alice 和 Bob 生成共享私钥的方法。它的过程如下：

Alice 和 Bob 公开地约定两个素数 $p$ 和 $G,$ 其中 $p$ 很大， $G$ 是一个本原根 $(mod p) .$ （注意 $g$ 是群 $F_{p}^{\times}$ 的一个生成元。）
Alice 选择一个大随机数 $a$ 作为她的私钥。她计算她的公钥 $A = [a] G (mod p),$ 并把 $A$ 发送给 Bob。
类似地，Bob 选择一个大随机数 $b$ 作为他的私钥。他计算他的公钥 $B = [b] G (mod p),$ 并把 $B$ 发送给 Alice。
现在 Alice 和 Bob 都计算他们的共享密钥 $K = [ab] G (mod p),$ Alice 计算为 $K = [a] B (mod p) = [a] ([b] G) (mod p),$ Bob 计算为 $K = [b] A (mod p) = [b] ([a] G) (mod p) .$

潜在的窃听者只知道 $g, p, A = [a] G,$ 和 $B = [b] G$ ，却需要推导出 $K = [ab] g (mod p)$ ：换言之，他们需要从 $A = [a] G$ 得到离散对数 $a$ ，或从 $B = [b] G$ 得到 $b$ ，而我们假定这在 $F_{p}^{\times}$ 中计算上是不可行的。

更一般地，使用与 Diffie–Hellman 类似思想的协议在整个密码学领域随处可见。实例化密码学群的一种方式是用椭圆曲线(elliptic curve)。在深入讨论椭圆曲线之前，我们先描述一些可以用于任意群的算法。

多标量乘法(Multiscalar multiplication)

TODO：Pippenger 算法(Pippenger's algorithm)

参考：https://jbootle.github.io/Misc/pippenger.pdf

译自 halo2 book：background/curves.md

椭圆曲线(elliptic curve)

在有限域上构造的椭圆曲线是另一种重要的密码学工具。

我们使用椭圆曲线，因为它们提供了一个密码学群(group)，即一个其中离散对数问题（下面讨论）困难的群。

定义曲线方程有若干种方式，但就我们的目的而言，设 $F_{p}$ 是一个大的（255 位的）域，再让 $y^{2} = x^{3} + b$ （对某个常数 $b$ ）的解 $(x, y)$ 的集合定义椭圆曲线 $E (F_{p})$ 上的 $F_{p}$ -有理点( $F_{p}$ -rational points)。这些 $(x, y)$ 坐标称为"仿射坐标(affine coordinates)"。每个 $F_{p}$ -有理点，连同充当群单位元的"无穷远点(point at infinity)" $O$ ，都可以被解释为某个群的元素。按惯例，椭圆曲线群用加法记法书写。

"一条直线上的三个点之和为零，即无穷远点。"

群加法法则很简单：要把两个点相加，找到同时经过这两个点的直线并求出第三个点，然后对其 $y$ 坐标取负。一个点与自身相加的情形，称为倍点(point doubling)，需要特殊处理：我们找到与该点相切的直线，然后找到与这条直线相交的另一个唯一的点并取负。此外，在一个点与其负元"相加"的情况下，结果是无穷远点。

把点相加和倍乘的能力自然地给了我们用整数（称为 标量(scalars)）来缩放它们的方法。曲线上点的个数即群的阶。如果这个数是素数 $q$ ，那么这些标量可以被视为某个 标量域(scalar field) $F_{q}$ 的元素。

椭圆曲线在正确设计时具有一个重要的安全性质。给定两个随机元素 $G, H \in E (F_{p})$ ，求满足 $[a] G = H$ 的 $a$ （也就是 $H$ 关于 $G$ 的离散对数），在经典计算机上被认为是计算上不可行的。这称为椭圆曲线离散对数假设(elliptic curve discrete log assumption)。

如果一个椭圆曲线群 $G$ 具有素数阶 $q$ （就像 Halo 2 中使用的那些），那么它是一个有限循环群。回忆群(groups) 一节中讲过，这意味着它同构于 $Z / q Z$ ，或等价地同构于标量域 $F_{q}$ 。每个可能的生成元 $G$ 都确定了这个同构；于是标量那一侧的某个元素，恰好就是对应群元素关于 $G$ 的离散对数。在密码学安全的椭圆曲线的情形下，这个同构在 $G \to F_{q}$ 方向上难以计算，因为椭圆曲线离散对数问题是困难的。

利用这个同构、用标量而不是用群元素来思考基于群的密码学协议和算法，有时是有帮助的。这能使证明和记法更简单。

例如，在证明系统的论文中，用记号 $[x]$ 来表示离散对数为 $x$ 的群元素（其中生成元是隐含的）已变得很常见。

我们在 "distinct-x 定理" 中也用到了这个想法，以证明 Sapling 中椭圆曲线标量乘法的优化的正确性，以及原始 Halo 论文附录 C 中一个基于自同态(endomorphism)的优化。

曲线算术(Curve arithmetic)

倍点(Point doubling)

最简单的情形是给一个点 $(x_{0}, y_{0})$ 做倍点。继续我们的例子 $y^{2} = x^{3} + b$ ，这首先通过计算导数来完成 $λ = \frac{d y}{d x} = \frac{3 x ^{2}}{2 y} .$

为得到 $(x_{1}, y_{1}) = (x_{0}, y_{0}) + (x_{0}, y_{0})$ 的表达式，我们考虑

$\frac{- y _{1} - y _{0}}{x _{1} - x _{0}} = λ ⟹ - y_{1} = λ (x_{1} - x_{0}) + y_{0} ⟹ y_{1} = λ (x_{0} - x_{1}) - y_{0} .$

为得到 $x_{1}$ 的表达式，我们把 $y = λ (x_{0} - x) - y_{0}$ 代入椭圆曲线方程：

$y^{2} = x^{3} + b ⟹ (λ (x_{0} - x) - y_{0})^{2} = x^{3} + b ⟹ x^{3} - λ^{2} x^{2} + \dots = 0 \leftarrow (rearranging terms) = (x - x_{0}) (x - x_{0}) (x - x_{1}) \leftarrow (known roots x_{0}, x_{0}, x_{1}) = x^{3} - (x_{0} + x_{0} + x_{1}) x^{2} + \dots .$

比较 $x^{2}$ 项的系数给出 $λ^{2} = x_{0} + x_{0} + x_{1} ⟹ x_{1} = λ^{2} - 2 x_{0} .$

射影坐标(Projective coordinates)

不幸的是，这需要对 $2 y$ 做一次开销很大的求逆。我们可以通过安排我们的方程来"推迟"逆的计算，从而避免这一点，因为在单个曲线运算之后，我们通常不需要立即得到所得点的实际仿射 $(x^{'}, y^{'})$ 坐标。我们引入第三个坐标 $Z$ ，并像下面这样把曲线方程用 $Z^{3}$ 缩放：

$Z^{3} y^{2} = Z^{3} x^{3} + Z^{3} b$

我们原来的曲线就是这条曲线在 $Z = 1$ 限制下的样子。如果我们允许仿射点 $(x, y)$ 由 $X = x Z$ 、 $Y = y Z$ 和 $Z \neq = 0$ 表示，那么我们就有了齐次射影曲线(homogenous projective curve)

$Y^{2} Z = X^{3} + Z^{3} b .$

当 $Z \neq = 0$ 时，从 $(X, Y, Z)$ 得到 $(x, y)$ 就像计算 $(X / Z, Y / Z)$ 那么简单。（当 $Z = 0,$ 时，我们处理的是无穷远点 $O := (0 : 1 : 0)$ 。）在这种形式下，我们现在有了一种便利的方法来推迟倍点所需的求逆。一般策略是用 $x = X / Z$ 和 $y = Y / Z$ 把 $x^{'}, y^{'}$ 表达为有理函数(rational function)，重新整理以使它们的分母相同，然后取所得点 $(X, Y, Z)$ ，使 $Z$ 为公共分母且 $X = x^{'} Z, Y = y^{'} Z$ 。

射影坐标往往（但并非总是）比仿射坐标更高效。当我们有不同的方式应用蒙哥马利技巧时，或者当我们处在电路环境中（其中乘法和求逆的开销大致相当——至少就电路规模而言）时，可能会有例外。

下面展示一个不做求逆给点 $(X, Y, Z) = (x Z, y Z, Z)$ 做倍点的例子。代入 $X, Y, Z$ 给出 $λ = \frac{3 x ^{2}}{2 y} = \frac{3 ( X / Z ) ^{2}}{2 ( Y / Z )} = \frac{3 X ^{2}}{2 Y Z}$

并给出 $x^{'} y^{'} = λ^{2} - 2 x = λ^{2} - \frac{2 X}{Z} = \frac{9 X ^{4}}{4 Y ^{2} Z ^{2}} - \frac{2 X}{Z} = \frac{9 X ^{4} - 8 X Y ^{2} Z}{4 Y ^{2} Z ^{2}} = \frac{18 X ^{4} Y Z - 16 X Y ^{3} Z ^{2}}{8 Y ^{3} Z ^{3}} = λ (x - x^{'}) - y = λ (\frac{X}{Z} - \frac{9 X ^{4} - 8 X Y ^{2} Z}{4 Y ^{2} Z ^{2}}) - \frac{Y}{Z} = \frac{3 X ^{2}}{2 Y Z} (\frac{X}{Z} - \frac{9 X ^{4} - 8 X Y ^{2} Z}{4 Y ^{2} Z ^{2}}) - \frac{Y}{Z} = \frac{3 X ^{3}}{2 Y Z ^{2}} - \frac{27 X ^{6} - 24 X ^{3} Y ^{2} Z}{8 Y ^{3} Z ^{3}} - \frac{Y}{Z} = \frac{12 X ^{3} Y ^{2} Z - 8 Y ^{4} Z ^{2} - 27 X ^{6} + 24 X ^{3} Y ^{2} Z}{8 Y ^{3} Z ^{3}}$

注意 $x^{'}$ 和 $y^{'}$ 的分母是相同的。因此，我们不必计算 $(x^{'}, y^{'})$ ，而是可以计算 $(X, Y, Z)$ ，其中 $Z = 8 Y^{3} Z^{3}$ ，且 $X, Y$ 设为相应的分子，使得 $X / Z = x^{'}$ 且 $Y / Z = y^{'}$ 。这完全避免了倍点时执行求逆的需要，而当把两个不同的点相加时也可以做类似的事情。

点加法(Point addition)

现在我们把两个具有不同 $x$ 坐标的点 $P = (x_{0}, y_{0})$ 和 $Q = (x_{1}, y_{1})$ （其中 $x_{0} \neq = x_{1}$ ）相加，得到 $R = P + Q = (x_{2}, y_{2}) .$ 直线 $\overline{PQ}$ 的斜率为 $λ = \frac{y _{1} - y _{0}}{x _{1} - x _{0}} ⟹ y - y_{0} = λ \cdot (x - x_{0}) .$

利用 $\overline{PQ}$ 的表达式，我们计算 $- R$ 的 $y$ 坐标 $- y_{2}$ 为： $- y_{2} - y_{0} = λ \cdot (x_{2} - x_{0}) ⟹ y_{2} = λ (x_{0} - x_{2}) - y_{0} .$

把 $\overline{PQ}$ 的表达式代入曲线方程 $y^{2} = x^{3} + b$ 得到 $y^{2} = x^{3} + b ⟹ (λ \cdot (x - x_{0}) + y_{0})^{2} = x^{3} + b ⟹ x^{3} - λ^{2} x^{2} + \dots = 0 \leftarrow (rearranging terms) = (x - x_{0}) (x - x_{1}) (x - x_{2}) \leftarrow (known roots x_{0}, x_{1}, x_{2}) = x^{3} - (x_{0} + x_{1} + x_{2}) x^{2} + \dots .$

比较 $x^{2}$ 项的系数给出 $λ^{2} = x_{0} + x_{1} + x_{2} ⟹ x_{2} = λ^{2} - x_{0} - x_{1}$ 。

重要说明：

存在不带边界情形的点加法高效公式¹（即所谓的"完备(complete)"公式），它把加法和倍点两种情形统一在一起。用这些公式把一个点与其负元相加，结果产生 $Z = 0$ ，它表示无穷远点。
此外，还有其他模型，比如雅可比表示(Jacobian representation)，其中 $(x, y) = (x Z^{2}, y Z^{3}, Z)$ ，曲线用 $Z^{6}$ 而不是 $Z^{3}$ 重新缩放，这种表示具有甚至更高效的算术，但没有统一/完备公式。
我们可以在齐次射影坐标空间中通过把两个曲线点 $(X_{1}, Y_{1}, Z_{1})$ 和 $(X_{2}, Y_{2}, Z_{2})$ 的 Z 坐标"齐次化(homogenizing)"来轻松地比较它们是否相等；检查变为 $X_{1} Z_{2} = X_{2} Z_{1}$ 和 $Y_{1} Z_{2} = Y_{2} Z_{1}$ 。

曲线自同态(Curve endomorphisms)

设想 $F_{p}$ 有一个本原三次单位根，换言之 $3∣ p - 1$ 因而存在一个元素 $ζ_{p}$ 生成一个 $3$ 阶乘法子群。注意我们的示例椭圆曲线 $y^{2} = x^{3} + b$ 上的一个点 $(x, y)$ 有两个"表亲"点： $(ζ_{p} x, y), (ζ_{p}^{2} x, y)$ ，因为计算 $x^{3}$ 实际上杀死了 $x$ 坐标的 $ζ$ 分量。应用映射 $(x, y) \mapsto (ζ_{p} x, y)$ 就是对曲线应用一个自同态(endomorphism)。其中涉及的精确机制很复杂，但当曲线有素数 $q$ 个点（因而有素数"阶"）时，这个自同态的效果就是把该点乘以 $F_{q}$ 中的一个标量，而这个标量也是标量域中的一个本原三次根 $ζ_{q}$ 。

曲线点压缩(Curve point compression)

给定曲线上的一个点 $P = (x, y)$ ，我们知道它的负元 $- P = (x, - y)$ 也在曲线上。要唯一地确定一个点，我们只需编码它的 $x$ 坐标连同其 $y$ 坐标的符号。

序列化(Serialization)

正如域(Fields) 一节中提到的，我们可以把域元素的最低有效位解释为它的"符号"，因为它的加法逆元总有相反的最低有效位。所以我们把 $y$ 坐标的最低有效位记为 sign。

Pallas 和 Vesta 定义在 $F_{p}$ 和 $F_{q}$ 域上，其元素可以用 $255$ 位表示。这恰好在 32 字节表示中留出一个未用的位。我们把 $y$ 坐标的 sign 位塞进 $x$ 坐标表示的最高位：

         <----------------------------------- x --------------------------------->
Enc(P) = [_ _ _ _ _ _ _ _] [_ _ _ _ _ _ _ _] ... [_ _ _ _ _ _ _ _] [_ _ _ _ _ _ _ sign]
          ^                <------------------------------------->                 ^
         LSB                              30 bytes                                MSB

充当群单位元的"无穷远点" $O$ 没有仿射 $(x, y)$ 表示。然而事实证明，Pallas 或 Vesta 曲线上都没有 $x = 0$ 或 $y = 0$ 的点。因此我们使用"伪造的"仿射坐标 $(0, 0)$ 来编码 $O$ ，其结果是全零的 32 字节数组。

反序列化(Deserialization)

反序列化一个压缩曲线点时，我们首先读取最高有效位作为 ysign，即 $y$ 坐标的符号。然后，我们把这一位置零以恢复原始的 $x$ 坐标。

如果 $x = 0, y = 0,$ 我们返回"无穷远点" $O$ 。否则，我们继续计算 $y = x^{3} + b .$ 这里，我们读取 $y$ 的最低有效位作为 sign。如果 sign == ysign，我们已经有了正确的符号，直接返回曲线点 $(x, y)$ 。否则，我们对 $y$ 取负并返回 $(x, - y)$ 。

曲线环(Cycles of curves)

设 $E_{p}$ 是有限域 $F_{p}$ 上的椭圆曲线，其中 $p$ 为素数。我们把它记为 $E_{p} / F_{p} .$ 并把 $E_{p}$ 在 $F_{p}$ 上的点构成的群记出来，其阶为 $q = # E (F_{p}) .$ 对于这条曲线，我们称 $F_{p}$ 为"基域(base field)"，称 $F_{q}$ 为"标量域(scalar field)"。

我们在椭圆曲线 $E_{p} / F_{p}$ 上实例化我们的证明系统。这使我们能够证明关于 $F_{q}$ -算术电路可满足性(arithmetic circuit satisfiability)的命题。

（旁注）如果我们的曲线 $E_{p}$ 在 $F_{p}$ 上，为什么算术电路反而在 $F_{q}$ 中？ 证明系统基本上是在电路中标量的编码（或更确切地说，是对系数为标量的多项式的承诺）上工作。当标量的编码/承诺是 $E_{p} / F_{p}$ 中的椭圆曲线点时，这些标量就在 $F_{q}$ 中。

然而，验证者(verifier)的大部分算术计算都在基域 $F_{p}$ 上，因此可以高效地表达为一个 $F_{p}$ -算术电路。

（旁注）为什么验证者的计算（主要）在 $F_{p}$ 上？ Halo 2 验证者实际上必须使用电路输出的信息执行群运算。像倍点和点加法这样的群运算使用 $F_{p}$ 中的算术，因为点的坐标在 $F_{p}$ 中。

这促使我们构造另一条标量域为 $F_{p}$ 的曲线，它有一个 $F_{p}$ -算术电路，能够高效地验证来自第一条曲线的证明。作为额外好处，如果这第二条曲线的基域是 $E_{q} / F_{q},$ 它就会生成可以在第一条曲线的 $F_{q}$ -算术电路中被高效验证的证明。换言之，我们在 $E_{q} / F_{q}$ 上实例化第二个证明系统，与第一个形成一个 2-环(2-cycle)：

TODO：Pallas-Vesta 曲线

参考：https://github.com/zcash/pasta

哈希到曲线(Hashing to curves)

有时，能够针对某个输入产生椭圆曲线 $E_{p} / F_{p}$ 上的一个随机点，并且使任何人都不会知道它（关于任何其他基的）离散对数，是很有用的。

这在关于哈希到椭圆曲线的互联网草案(Internet draft on Hashing to Elliptic Curves) 中有详细描述。根据效率和安全要求的不同，可以使用若干种算法。该互联网草案使用的框架用到了几个函数：

hash_to_field：接受一个字节序列输入，并把它映射到基域 $F_{p}$ 中的一个元素；
map_to_curve：接受一个 $F_{p}$ 元素，并把它映射到 $E_{p}$ 。

TODO：简化 SWU(Simplified SWU)

参考：https://eprint.iacr.org/2019/403.pdf

参考文献

Renes, J., Costello, C., & Batina, L. (2016, May). "Complete addition formulas for prime order elliptic curves." In Annual International Conference on the Theory and Applications of Cryptographic Techniques (pp. 403-428). Springer, Berlin, Heidelberg. ↩

译自 halo2 book：background/pc-ipa.md

使用内积论证(inner product argument)的多项式承诺(polynomial commitment)

我们想要承诺(commit)某个多项式 $p (X) \in F_{p} [X]$ ，并能够可证明地在任意点处对所承诺的多项式求值。朴素的方案是让证明者(prover)直接把多项式的系数发给验证者(verifier)：然而，这需要 $O (n)$ 的通信量。我们的多项式承诺方案则用 $O (lo g n)$ 的通信量完成这件事。

`Setup`

给定参数 $d = 2^{k},$ 我们生成公共参考串(common reference string) $σ = (G, G, H, F_{p})$ ，它为本方案定义了若干常数：

$G$ 是一个素数阶 $p$ 的群；
$G \in G^{d}$ 是一个由 $d$ 个随机群元素组成的向量；
$H \in G$ 是一个随机群元素；以及
$F_{p}$ 是阶为 $p$ 的有限域。

`Commit`

Pedersen 向量承诺 $Commit$ 定义为

$Commit (σ, p (X); r) = ⟨ a, G ⟩ + [r] H,$

其中 $p (X) \in F_{p} [X]$ 是某个多项式， $r \in F_{p}$ 是某个盲化因子(blinding factor)。这里，向量的每个元素 $a_{i} \in F_{p}$ 是 $p (X)$ 第 $i$ 次项的系数，而 $p (X)$ 的最高次数为 $d - 1.$

`Open`（证明者）与 `OpenVerify`（验证者）

改进版的内积论证是关于如下关系的知识论证(argument of knowledge)

${((P, x, v); (a, r)) : P = ⟨ a, G ⟩ + [r] H, v = ⟨ a, b ⟩},$

其中 $b = (1, x, x^{2}, \dots, x^{d - 1})$ 由求值点 $x$ 的递增幂次组成。这使得证明者能向验证者证明：承诺 $P$ "内部"所含的多项式在 $x$ 处求值为 $v,$ 而且，所承诺的多项式具有最高次数 $d - 1.$

内积论证进行 $k = lo g_{2} d$ 轮。就我们的目的而言，只需了解它的最终输出即可，对于中间各轮我们仅提供直觉。（完整解释请参阅 Halo 论文第 3 节。）

在开始论证之前，验证者选取一个随机群元素 $U$ 并把它发给证明者。我们在第 $k$ 轮初始化论证，使用向量 $a^{(k)} := a,$ $G^{(k)} := G$ 和 $b^{(k)} := b .$ 在每一轮 $j = k, k - 1, \dots, 1$ 中：

证明者通过取 $a^{(j)}$ 与 $G^{(j)}$ 和 $b^{(j)}$ 的某个内积来计算两个值 $L_{j}$ 和 $R_{j}$ 。注意它们在某种意义上是"交叉项(cross-terms)"： $a$ 的下半部分与 $G$ 和 $b$ 的上半部分一起使用，反之亦然：

$L_{j} R_{j} = ⟨ a_{lo}^{(j)}, G_{hi}^{(j)} ⟩ + [l_{j}] H + [⟨ a_{lo}^{(j)}, b_{hi}^{(j)} ⟩] U = ⟨ a_{hi}^{(j)}, G_{lo}^{(j)} ⟩ + [r_{j}] H + [⟨ a_{hi}^{(j)}, b_{lo}^{(j)} ⟩] U$

验证者发出一个随机挑战 $u_{j}$ ；
证明者使用 $u_{j}$ 来压缩 $a^{(j)}$ 的下半部分和上半部分，从而产生一个长度为原来一半的新向量 $a^{(j - 1)} = a_{hi}^{(j)} + a_{lo}^{(j)} \cdot u_{j}^{- 1} .$ 向量 $G^{(j)}$ 和 $b^{(j)}$ 被类似地压缩以给出 $G^{(j - 1)}$ 和 $b^{(j - 1)}$ （使用 $u_{j}$ 而不是 $u_{j}^{- 1}$ ）。
$a^{(j - 1)}$ 、 $G^{(j - 1)}$ 和 $b^{(j - 1)}$ 被输入到下一轮 $j - 1.$

注意在最后一轮 $j = 1$ 结束时，我们剩下 $a := a^{(0)}$ 、 $G := G^{(0)}$ 、 $b := b^{(0)},$ 它们各自的长度都为 1。其直觉是，这些最终的标量，连同每一轮的挑战 ${u_{j}}$ 和"交叉项" ${L_{j}, R_{j}}$ ，编码了每一轮中的压缩。由于证明者事先并不知道挑战 $U, {u_{j}}$ ，他们将无法操纵各轮的压缩。因此，对这些最终项检查一个约束，应当能强制保证压缩是正确执行的，并且原始的 $a$ 在经历压缩之前满足该关系。

注意 $G, b$ 只是公开已知的 $G, b$ 的重新排列，其中混入了各轮挑战 ${u_{j}}$ ：这意味着验证者可以独立地计算 $G, b$ ，并验证证明者提供的是同样的值。

译自 halo2 book：background/recursion.md

递归(recursion)

替代术语：归纳(Induction)；累加方案(Accumulation scheme)；携带证明的数据(Proof-carrying data)

然而， $G$ 的计算需要一个长度为 $2^{k}$ 的多重幂运算(multiexponentiation) $⟨ G, s ⟩,$ 其中 $s$ 由按二进制计数结构排列的各轮挑战 $u_{1}, \dots, u_{k}$ 组成。这就是我们想要在一批证明实例上分摊(amortise)的线性时间计算。我们注意到，与其计算 $G,$ 不如把 $G$ 表达为对某个多项式的承诺

$G = Commit (σ, g (X, u_{1}, \dots, u_{k})),$

其中 $g (X, u_{1}, \dots, u_{k}) := \prod_{i = 1}^{k} (u_{i} + u_{i}^{- 1} X^{2^{i - 1}})$ 是一个次数为 $2^{k} - 1$ 的多项式。


	由于 $G$ 是一个承诺，它可以在一个内积论证中被检查。验证者电路见证(witness) $G$ ，并把 $G, u_{1}, \dots, u_{k}$ 作为公开输入(public inputs)带出到证明 $π .$ 下一个验证者实例使用内积论证检查 $π$ ；这包括检查 $G = Commit (g (X, u_{1}, \dots, u_{k}))$ 在某个随机点处求值为给定挑战 $u_{1}, \dots, u_{k}$ 所对应的期望值。回忆上一节中讲过，这个检查只需要 $lo g d$ 的工作量。在检查完 $π$ 和 $G$ 之后，电路剩下一个新的 $G^{'},$ 连同为该检查采样的 $u_{1}^{'}, \dots, u_{k}^{'}$ 挑战。要完全接受 $π$ 为有效，我们应当执行 $G^{'} = ⟨ G, s^{'} ⟩$ 的线性时间计算。我们再次延迟这个计算，方法是见证 $G^{'}$ 并把 $G^{'}, u_{1}^{'}, \dots, u_{k}^{'}$ 作为公开输入带出到证明 $π^{'} .$ 这样从一个证明实例进行到下一个，直到我们对这批证明的规模感到满意为止。最后我们执行单个线性时间计算，从而判定整批证明的有效性。

由于

G

是一个承诺，它可以在一个内积论证中被检查。验证者电路见证(witness)

G

，并把

G, u_{1}, \dots, u_{k}

作为公开输入(public inputs)带出到证明

π .

下一个验证者实例使用内积论证检查

π

；这包括检查

G = Commit (g (X, u_{1}, \dots, u_{k}))

在某个随机点处求值为给定挑战

u_{1}, \dots, u_{k}

所对应的期望值。回忆上一节中讲过，这个检查只需要

lo g d

的工作量。

在检查完

π

和

G

之后，电路剩下一个新的

G^{'},

连同为该检查采样的

u_{1}^{'}, \dots, u_{k}^{'}

挑战。要完全接受

π

为有效，我们应当执行

G^{'} = ⟨ G, s^{'} ⟩

的线性时间计算。我们再次延迟这个计算，方法是见证

G^{'}

并把

G^{'}, u_{1}^{'}, \dots, u_{k}^{'}

作为公开输入带出到证明

π^{'} .

这样从一个证明实例进行到下一个，直到我们对这批证明的规模感到满意为止。最后我们执行单个线性时间计算，从而判定整批证明的有效性。

我们回忆曲线环(Cycles of curves) 一节，我们可以在一个 2-环上实例化这个协议，其中由一条曲线产生的证明能在另一条曲线的电路中被高效验证。然而，其中某些验证者检查实际上可以在本地电路(native circuit)中高效执行；这些检查被"推迟(deferred)"到下一个本地电路（见下图），而不是立即传递给另一条曲线。

译自 halo2 book：background/plonkish.md

[WIP] PLONKish 算术化(arithmetization)

我们把电路所定义于其上的域称为 $F = F_{p}$ 。

设 $n = 2^{k}$ ，并假定 $ω$ 是 $F^{\times}$ 中 $n$ 阶的本原单位根，使得 $F^{\times}$ 有一个乘法子群 $H = {1, ω, ω^{2}, \dots, ω^{n - 1}}$ 。这构成一个对应于该子群中元素的拉格朗日基(Lagrange basis)。

多项式规则(Polynomial rules)

一条多项式规则定义了一个约束，该约束必须在每一行（即在乘法子群中的每个元素处）于其指定的各列之间成立。

例如：

a * sa + b * sb + a * b * sm + c * sc + PI = 0

列(Columns)

固定列(fixed columns)：对某个特定电路的所有实例都是固定的。这包括选择子列(selector columns)，它们把多项式规则的某些部分"打开"或"关闭"以形成一个"自定义门(custom gate)"。它们也可以包含任何其他固定数据。
辅助列(advice columns)：在电路的每个实例中分配的可变值。对应于证明者的秘密见证(secret witness)。
公开输入(public input)：类似于辅助列，但是公开已知的值。

每一列都是一个由 $n$ 个值组成的向量，例如 $a = [a_{0}, a_{1}, \dots, a_{n - 1}]$ 。我们可以把这个向量看作列多项式 $a (X), X \in H$ 的求值形式。要恢复系数形式，我们可以使用拉格朗日插值(Lagrange interpolation)，使得 $a (ω^{i}) = a_{i} .$

相等性约束(Equality constraints)

在一组列之间定义置换(permutation)，例如 $σ (a, b, c)$
断言这些列中特定单元格之间的相等性，例如 $b_{1} = c_{0}$
构造置换后的列，它们应当求值为与原始列相同的值

置换总乘积(Permutation grand product)

$Z (ω^{i}) := 0 \leq j \leq i \prod \frac{C _{k} ( ω ^{j} ) + β δ ^{k} ω ^{j} + γ}{C _{k} ( ω ^{j} ) + β S _{k} ( ω ^{j} ) + γ},$ 其中 $i = 0, \dots, n - 1$ 在乘法子群的大小上索引， $k = 0, \dots, m - 1$ 在参与置换的辅助列上索引。这是一个滚动乘积(running product)，其中每一项都包含其之前各项的累积乘积。

TODO： $δ$ 是什么？保持各列线性无关

检查约束：

第一项等于一 $L_{0} (X) \cdot (1 - Z (X)) = 0$
滚动乘积构造良好。对每一行，我们检查下式成立： $Z (ω^{i}) \cdot (C (ω^{i}) + β S_{k} (ω^{i}) + γ) - Z (ω^{i - 1}) \cdot (C (ω^{i}) + δ^{k} β ω^{i} + γ) = 0$ 重新整理得到 $Z (ω^{i}) = Z (ω^{i - 1}) \frac{C ( ω ^{i} ) + β δ ^{k} ω ^{i} + γ}{C ( ω ^{i} ) + β S _{k} ( ω ^{i} ) + γ},$ 这正是我们最初定义总乘积多项式的方式。

查找(Lookup)

参考：Generic Lookups with PLONK (DRAFT)

消失论证(Vanishing argument)

我们想要检查由门约束(gate constraints)、置换约束(permutation constraints)和查找约束(lookup constraints)所定义的表达式，在乘法子群的所有元素处求值都为零。为此，证明者把所有表达式坍缩(collapse)成一个多项式 $H (X) = i = 0 \sum e y^{i} E_{i} (X),$ 其中 $e$ 是表达式的个数， $y$ 是一个用于保持各约束线性无关的随机挑战。然后证明者把它除以消失多项式（见小节：消失多项式(Vanishing polynomial)），并对所得的商承诺

$Commit (Q (X)), where Q (X) = \frac{H ( X )}{Z _{H} ( X )} .$

验证者以一个随机求值点 $x$ 回应，对此证明者回复声称的求值 $q = Q (x), {e_{i}}_{i = 0}^{e} = {E_{i} (x)}_{i = 0}^{e} .$ 现在，验证者剩下要检查的就是这些求值是否满足

$q = ? \frac{\sum _{i = 0}^{e} y ^{i} e _{i}}{Z _{H} ( x )} .$

注意我们还没有检查所承诺的多项式在 $x$ 处确实求值为所声称的值，即 $x, q = ? Q (x), {e_{i}}_{i = 0}^{e} = ? {E_{i} (x)}_{i = 0}^{e} .$ 这个检查由多项式承诺方案处理（在下一节描述）。

Keyboard shortcuts

halo2 中文手册 (The halo2 Book · 简体中文版)