Arithmetic circuit

1. 引言

对于只有加法门和乘法门的arithmetic circuit，可将其理解为是“一系列的乘法门+一系列表示gate输入输出关系的linear consistency equations”。

一个 arithmetic circuit 可理解为是一个有向无环图，其中每个顶点称为gate。in-degree为0的gate为circuit的输入，可表示为$a_i$或者a constant field element。其它的gate可标示为$+$或$\times$。

对于 fan-in 2 circuits，其所有$+$门和$\times$门均具有 in-degree 2。

任何可表述为有向无环图的circuit均可转换为：
“一系列的乘法门+一系列表示gate输入输出关系的linear consistency equations”。

• 首先，需要将arithmetic circuit $A$ 中的加法门和常量乘法门替换为：
  bilinear consistency equations on the inputs and outputs of the remaining gates
  从而保证这些equations的satisfiability与原始circuit的satisfiability等同。
  假设$B$为$A$的sub-circuit，$B$中包含了一个乘法门之前的所有wires和gates。$B$ 有 $m$ 个input wires和 $n$ 个output wires。这 $m$ 个inputs可以单位向量表示 ${\vec{e}}_i=(0,\cdots ,1,\cdots ,0)$，其中$i\in [1,m],|{\vec{e}}_i|=m$ 。
  – 对于每个加法门，其input表示为$\vec{x},\vec{y}$，其output表示为$\vec{x}+\vec{y}$。
  – 对于每个常量乘法门，其input表示为$\vec{x}$和常量$c$，其output表示为$c\vec{x}$。
  以此执行，$B$ 的$n$个output均可以length为$m$的向量来表示linear combinations of the inputs。
  最多需要 $m|B|$ 个arithmetic operations。注意，$B$的所有output均为linear combinations of the inputs，所以$B$可表示为具有$n(2m-1)$ 个 fan-in 2 gates，使得consistency equations可直接从circuit description中获取。
  注意，形如${\sum }_{i=1}^m{a}_i{x}_i$的linear combination，可由 $m$个常量乘法门和$m-1$ 个加法门组成。

• 其次，将$B$的gates 从$A$ 中移除，同时移除 any multiplication gates whose inputs are the inputs of the new circuit。

• 重复以上过程，知道找出所有的consistency equations。repeat the process of finding consistency equations until we have considered the whole of $A$。

注意，circuit $A$的第一个（input）和最后一个（output）sub-circuit需要增加额外操作。
以 output sub-circuit为例（input sub-circuit类似）：

• 假设$B$为the output sub-circuit，其$m$个input表示为$\vec{a}=(a_1,\cdots ,a_m{)}^T$，$n$个output表示为$\vec{b}=(b_1,\cdots ,b_n{)}^T$。
  其中，每个output $b_i$均可表示为${\sum }_{j=1}^m{q}_{ij}{a}_j+p_i$，所有的可表示为：
  $\vec{b}=\mathbf{Q}\vec{a}+\vec{p}$
  其中$\mathbf{Q}$为$n\times m$矩阵，$\vec{p}$为size为$n$的列向量。
  假设矩阵$\mathbf{Q}$的rank为$r$，则可将$\mathbf{Q}$ reduce 为 row echelon form $\mathbf{R}$，可表示为：
  ${\vec{b}}^{\prime \prime }=\mathbf{R}\vec{a}$

2. 附注

附注：

• 所谓matrix rank是指：通过行列式转换，非零行的数量。matrix的rank最大可能值为$min(m,n)$。
• 所谓row echelon form matrix是指：通过行列式转换，将矩阵左下角的所有元素均表示为0的过程。
  

3. Arithmetic circuit的constraint system表示

Maller等人2019年《Sonic: Zero-Knowledge SNARKs from linear-size universal and updatable Structured Reference Strings》论文第5章中，将只具有加法门和乘法门的Arithmetic circuit，其加法门和常量乘法门以linear constraints表示，其非常量乘法门以multiplication constraints表示。假设其存在$n$个非常量乘法门，则整个constraint system可表示为：

• Prover知道相应的$\vec{a},\vec{b},\vec{c}\in {\mathbb{F}}^n$，使得：（其中$a_i,b_i,c_i$分别为第$i$个非常量乘法门的左侧输入、右侧输入和输出。）
  $\vec{a}\circ \vec{b}=\vec{c}$

• 具有$Q$个linear constraints来表示相应的加法门、常量乘法门以及circuit中wires所代表的其它内部约束，形如：
  $\vec{a}\cdot {\vec{u}}_q+\vec{b}\cdot {\vec{v}}_q+\vec{c}\cdot {\vec{w}}_q=k_q$
  其中的$\overrightarrow{u_q},{\vec{v}}_q,{\vec{w}}_q\in {\mathbb{F}}^n$为第$q$-th linear constraint的fixed vectors，$k_q\in {\mathbb{F}}_p$为instance value。

举例，如为了表示$x^2+y^2=z$，相应的constraint组成可为：

• $\vec{a}=(x,y),\vec{b}=(x,y),\vec{c}=(x^2,y^2)$ 【multiplication constraints】
• ${\vec{u}}_1=(1,0),{\vec{v}}_1=(-1,0),{\vec{w}}_1=(0,0),k_1=0$ 【linear constraints】
• ${\vec{u}}_2=(0,1),{\vec{v}}_2=(0,-1),{\vec{w}}_2=(0,0),k_2=0$ 【linear constraints】
• ${\vec{u}}_3=(0,0),{\vec{v}}_3=(0,0),{\vec{w}}_3=(1,1),k_3=z$ 【linear constraints】

需要对所有的multiplication constraints和linear constraints进行合并表示：

• 1）可引入随机变量$Y$将$n$个multiplication constraints合并为一个方程式，通常形式为：
  ${\sum }_{i=1}^n(a_i{b}_i-c_i)Y^i=0$
  不过，为了匹配后续的证明，可使用$Y$的负数次幂来组合，形式为：
  ${\sum }_{i=1}^n(a_i{b}_i-c_i)Y^{-i}=0$……（a）
• 2）对于$Q$个linear constraints，可使用1）中相同的随机变量，同时都偏移$Y^n$来进行合并：
  ${\sum }_{q=1}^Q(\vec{a}\cdot {\vec{u}}_q+\vec{b}\cdot {\vec{v}}_q+\vec{c}\cdot {\vec{w}}_q-k_q)Y^{q+n}=0$……（b）
• 3）基于1）和2），定义多项式：
  $u_i(Y)={\sum }_{q=1}^Q{Y}^{q+n}{u}_{q,i}$
  $v_i(Y)={\sum }_{q=1}^Q{Y}^{q+n}{v}_{q,i}$
  $w_i(Y)=-Y^i-Y^{-i}+{\sum }_{q=1}^Q{Y}^{q+n}{w}_{q,i}$
  $k(Y)={\sum }_{q=1}^Q{Y}^{q+n}{k}_q$
  于是（a）+（b）可表示为：
  $\vec{a}\cdot \vec{u}(Y)+\vec{b}\cdot \vec{v}(Y)+\vec{c}\cdot \vec{w}(Y)+{\sum }_{i=1}^n{a}_i{b}_i(Y^i+Y^{-i})-k(Y)=0$……（1）
  Given a choice of $(\vec{a},\vec{b},\vec{c},k(Y))$, we have that Equation 1 will hold at all points if the constraint system is satisfied. If the constraint system is not satisfied the equation will fail to hold with high probability, given a large enough field.
  借鉴Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》中的Laurent polynomial commitment scheme，其中要求Laurent polynomial的constant term为0（即$t_0=0$），相应思路为：（详细参见博客 Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting学习笔记）
  引入变量$X$, 构建一个Laurent polynomial $t(X,Y)$，将上述公式（1）的左侧作为其constant term，即the coefficient of $X^0$ in $t(X,Y)$即为公式（1）的左侧。Sonic若能证明the constant term of $t(X,Y)$为0，则说明our constraint system is satisfied。
  具体的实现为：
  $r(X,Y)={\sum }_{i=1}^n(a_i{X}^i{Y}^i+b_i{X}^{-i}{Y}^{-i}+c_i{X}^{-i-n}{Y}^{-i-n})$
  $s(X,Y)={\sum }_{i=1}^n(u_i(Y)X^{-i}+v_i(Y)X^i+w_i(Y)X^{i+n})$
  $r^{\prime }(X,Y)=r(X,Y)+s(X,Y)$
  $t(X,Y)=r(X,1)r^{\prime }(X,Y)-k(Y)$

参见博客 Linear-time zero-knowledge proofs for arithmetic circuit satisfiability 学习笔记 “4. zero-knowledge proofs for arithmetic circuit satisfiability in the ideal linear commitment model” 中指出：
arithmetic circuit satisfiability proof 中主要包含以下任务：【即存在以下4类constraints。】

• Prove for each value specified in the instance that this is indeed the value the prover has committed to。
• Prove for each addition gate that the committed output is the sum of the committed input。
• Prove for each multiplication gate that the committed output is the product of the committed input。
• Prove for each wire that all committed values corresponding to this wire are the same。

参考资料：
[1] How to Reduce a Matrix to Row Echelon Form
[2] Bootle和Groth等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》
[3] matrix rank