零知识证明 - Groth16算法介绍

看zk-SNARK的文章或者资料的时候，经常会碰到一些算法名称，比如Groth16，GGPR13等等。这些名称是由算法提出的作者名称或者名称首字母以及相应的年份组成。Groth16，是由Jens Groth在2016年提出的算法。GGPR13，是由Rosario Gennaro，Craig Gentry，Bryan Parno，Mariana Raykova在2013年提出的算法。

零知识证明（zk-SNARK )，从QSP/QAP到Groth16，期间也有很多学者专家，提出各种优化（优化计算时间，优化证明的大小，优化电路的尺寸等等）。Groth16提出的算法，具有非常少的证明数据（2/3个证明数据）以及一个表达式验证。

Groth16论文（On the Size of Pairing-based Non-interactive Arguments）的下载地址：

https://eprint.iacr.org/2016/260.pdf

本文主要从工程应用理解的角度介绍Groth16算法的证明和验证过程。文章中所用的中文字眼可能和行业中不一样，欢迎批评指出。

术语介绍

Proofs - 在零知识证明的场景下，Proofs指具有完美的完备性（Completeness）以及完美的可靠性（Soundness）。也就是，具有无限计算资源也无法攻破。

Arguments - 在零知识证明的场景下，Arguments是指具有完美的完备性以及多项式计算的可靠性。也就是，在多项式计算能力下，是可靠的。

Schwartz-Zippel 定理 - 假设$f(x_1,x_2,...,x_n)$是个n元多项式，多项式总的阶为d。如果$r_1,r_2,...,r_n$是从有限集合S中随机选取，则$f(r_1,r_2,...,r_n)=0$的概率是小于等于$\frac{d}{|s|}$。简单的说，如果多元多项式，在很大的集合中随机选取参数，恰好函数f等于0的概率几乎为0。

https://brilliant.org/wiki/schwartz-zippel-lemma/

线性（Linear）函数 - 假设函数f满足两个条件：1. $f(x+y)=f(x)+f(y)$ 2. $f(\alpha x)=\alpha f(x)$，则称函数f为线性函数。

Affine 函数 - 假设函数g，能找到一个线性函数f，满足$g(x)=f(x)+b$，则称函数g为Affine函数。也就是，Affine函数是由一个线性函数和偏移构成。

Trapdoor函数 - 假设一个Trapdoor函数f，$x\to f(x)$ 很容易，但是$f(x)\to x$非常难。但是，如果提供一个secret，$f(x)\to x$也非常容易。

Jens Groth是谁？

Groth是英国伦敦UCL大学的计算机系的教授。伦敦大学学院 (University College London），简称UCL，建校于1826年，位于英国伦敦，是一所世界著名的顶尖高等学府，为享有顶级声誉的综合研究型大学，伦敦大学联盟创始院校，英国金三角名校，与剑桥大学、牛津大学、帝国理工、伦敦政经学院并称G5超级精英大学。

http://www0.cs.ucl.ac.uk/staff/j.groth/

Groth从2009年开始，每年发表一篇或者多篇密码学或者零知识证明的文章，所以你经常会听到Groth09，Groth10等等算法。

简言之，牛人～。

NILP

Groth16的论文先引出NILP（non-interactive linear proofs）的定义：

1. $(\sigma ,\tau )\leftarrow Setup(R)$ ：设置过程，生成$\sigma \in F^m$, $\tau \in F^n$。

2. $\pi \leftarrow Prove(R,\sigma ,\varphi ,\omega )$ ：证明过程，证明过程又分成两步：a. 生成线性关系$\Pi \leftarrow ProofMatrix(R,\varphi ,\omega )$，其中ProofMatrix是个多项式算法。b. 生成证明：$\pi =\Pi \sigma$。

3. $0/1\leftarrow Vfy(R,\sigma ,\varphi ,\pi )$ ：验证过程，验证者使用$(R,\varphi )$生成电路t，并验证$t(\sigma ,\pi )$是否成立。

在NILP定义的基础上，Groth16进一步定义了split NILP，也就是说，CRS分成两部分$(\sigma 1,\sigma 2)$，证明者提交的证明也分成两部分$(\pi 1,\pi 2)$。

总的来说，核心在“Linear”上，证明者生成的证明和CRS成线性关系。

QAP的NILP

QAP的定义为"Relation"： R = ( F , a u x , ℓ , { u i ( X ) , v i ( X ) , w i ( X ) } i = 0 m , t ( X ) ) R=(F, aux, \ell, \{u_i(X), v_i(X), w_i(X)\}_{i=0}^m, t(X)) R=(F,aux,ℓ,{ ui​(X),vi​(X),wi​(X)}i=0m​,t(X))。也就是说，statements为$(a_1,...,a_{\ell })\in F^{\ell }$， witness为$(a_{l+1},...,a_m)\in F^{m-\ell }$，并且$a_0=1$的情况下，满足如下的等式：

${\sum }_{i=0}^m{a}_i{u}_i(X)\cdot {\sum }_{i=0}^m{a}_i{v}_i(X)={\sum }_{i=0}^m{a}_i{w}_i(X)+h(X)t(X)$

$t(X)$的阶为n。

1. 设置过程：随机选取$\alpha ,\beta ,\gamma ,\delta ,x\leftarrow F^{\ast }$，生成$\sigma ,\tau$。

   $\tau =(\alpha ,\beta ,\gamma ,\delta ,x)$

   σ = ( α , β , γ , δ , { x i } i = 0 n − 1 , { β u i ( x ) + α v i ( x ) + w i ( x ) γ } i = 0 ℓ , { β u i ( x ) + α v i ( x ) + w i ( x ) δ } i = ℓ + 1 m , { x i t ( x ) δ } i = 0 n − 2 ) \sigma = (\alpha, \beta, \gamma, \delta, \{x^i\}_{i=0}^{n-1}, \{\cfrac{\beta u_i(x)+\alpha v_i(x)+w_i(x)}{\gamma}\}_{i=0}^\ell, \{\cfrac{\beta u_i(x)+\alpha v_i(x)+w_i(x)}{\delta}\}_{i=\ell+1}^m, \{\cfrac{x^it(x)}{\delta}\}_{i=0}^{n-2}) σ=(α,β,γ,δ,{ xi}i=0n−1​,{ γβui​(x)+αvi​(x)+wi​(x)​}i=0ℓ​,{ δβui​(x)+αvi​(x)+wi​(x)​}i=ℓ+1m​,{ δxit(x)​}i=0n−2​)

2. 证明过程：随机选择两个参数$r和s$，计算$\pi =\Pi \sigma =(A,B,C)$

   $A=\alpha +{\sum }_{i=0}^m{a}_i{u}_i(x)+r\delta$

   $B=\beta +{\sum }_{i=0}^m{a}_i{v}_i(x)+s\delta$

   $C=\frac{{\sum }_{i=\ell +1}^m{a}_i(\beta u_i(x)+\alpha v_i(x)+w_i(x))+h(x)t(x)}{\delta }+As+rB-rs\delta$

3. 验证过程：

   验证过程，计算如下的等式是否成立：

   $A\cdot B=\alpha \cdot \beta +\frac{{\sum }_{i=0}^{\ell }{a}_i(\beta u_i(x)+\alpha v_i(x)+w_i(x))}{\gamma }\cdot \gamma +C\cdot \delta$

注意，设置过程中的x是一个值，不是代表多项式。在理解证明/验证过程的时候，必须要明确，A/B/C的计算是和CRS中的参数成线性关系（NILP的定义）。在明确这一点的基础上，可以看出$\alpha 和\beta$的参数能保证A/B/C的计算采用统一的$a_0,a_1,...,a_m$参数。因为$A\cdot B$会包含${\sum }_{i=0}^{\ell }{a}_i(\beta u_i(x)+\alpha v_i(x))$子项，要保证$A\cdot B$和C相等，必须采用统一的$a_0,a_1,...,a_m$