qesa Efficient zero-knowledge arguments in the discrete log setting 学习笔记

最新推荐文章于 2022-07-03 18:55:37 发布

mutourend

最新推荐文章于 2022-07-03 18:55:37 发布

阅读量588

点赞数 1

分类专栏：零知识证明

本文链接：https://blog.csdn.net/mutourend/article/details/107923002

版权

零知识证明专栏收录该内容

343 篇文章 144 订阅

订阅专栏

1. 引言

Hoffmann等人 2019年论文《Efficient zero-knowledge arguments in the discrete log setting 》。

相应的代码实现可参见：

https://github.com/crate-crypto/qesa
https://github.com/emsec/QESA_ZK

总结：
1）将Bulletproofs中的vector-vector multiplication扩展至了matrix-vector multiplication argument，构建的zero-knowledge argument有：
– $LMPA_{simpleZK}$ 协议：简单的 $\sum_{std}$ 协议和 $LMPA_{noZK}$ 协议组合。
– $LMPA_{ZK}$ 协议：区别于Bulletproofs中引入random row vector来实现hiding，本文是通过引入random column vector来实现hiding。（且random column vector 可直接从 random matrix $[\mathbf{h}]$ 中逐列获取。）
2）提出了三种inner product protocol：
– $IPA_{noZK}$ 协议：实现方式与Bulletproofs类似，无zero-knowledge属性；
– $IPA_{almZK}$ 协议：借助kernel guideline来引入特定的随机变量 $\vec{r}',\vec{r}''$ 来实现hiding，从而实现zero-knowledge；
– $QESA_{Inner}$ 协议：通过random linear combination （通过 $\vec{x}$ 和 $\vec{s}'$ ），将多个matrix-vector multiplication转换为 $IPA_{almZK}$
3）构建了2种 $Q E S A$ 协议：
– $QESA_{zk}$ 协议： $QESA_{Inner}$ 协议的封装。
– $QESA_{Copy}$ 协议：可用于构建各种circuit argument。
4）提出了将R1CS转换为quadratic equation表示：（从而可基于inner product argument来进行相应证明，参见本博文5.2）
R1CS的表示为： $(\vec{w}^T\vec{a})(\vec{b}^T\vec{w})-\vec{c}^T\vec{w}=0$ ，其中 $\vec{a},\vec{b},\vec{c}\in\mathbb{F}_p^n$
设置 $\mathbf{\Gamma}=\vec{a}\vec{b}^T-\vec{e}_1\vec{c}^T$ ，其中 $\vec{e}_1=(1,0,0,\cdots,0)$
可将上述R1CS表示转为quadratic equation表示：
$\vec{w}^T\mathbf{\Gamma}\vec{w}=0$

本文主要关注zero-knowledge proofs in the discrete logarithm setting：

指出可通过protocols的linear combination来实现zero-knowledge 和(或) 减少communication。利用这些linear combination of protocols技术，可设计出具有logarithmic communication cost的zero-knowledge argument（如Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》和Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》中的zero-knowledge argument的communication cost为 $O(\log (n))$ ）。
构建了一个理论上简单的commit-and-prove argument for satisfiability of a set of quadratic equations。与之前的研究不同，本文不受限于rank 1 constraint systems (R1CS)。这是第一次不依赖于R1CS来表示quadratic constraints in dlg setting or ideal linear commitment。
可以进一步优化，如对任意degree为 $n^2$ 的polynomial $f (X)$ ，可 “evaluated” with at most $2 n$ quadratic constraints。
同时，本文形成了一个 short-circuit extraction，可用于对extractor的效率进行量化测量。

在这里插入图片描述

1.1 相关研究

第一个实用的succinct non-interactive arguments of knowledge (SNARK) 为：
Gennaro等人2013年论文《Quadratic Span Programs and Succinct NIZKs without PCPs》。

之后关于ZKAoK（zero-knowledge arguments of knowledge）的研究成果有：[2, 8, 13, 17, 21, 24, 25, 26, 46]

Scott Ames等人2017年论文《Ligero: Lightweight Sublinear Arguments Without a Trusted Setup》
Ben-Sasson等人2018年论文《Aurora: Transparent Succinct Arguments for R1CS》
Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》
Chase等人2017年论文《Post-Quantum Zero-Knowledge and Signatures from Symmetric-Key Primitives》
Danezis等人2014年论文《Square Span Programs with Applications to Succinct NIZK Arguments》
Gennaro等人2018年论文《Lattice-Based zk-SNARKs from Square Span Programs》
Gennaro等人2013年论文《Quadratic Span Programs and Succinct NIZKs without PCPs》。
Giacomelli等人2016年论文《ZKBoo: Faster Zero-Knowledge for Boolean Circuits》
Wahby等人2018年论文《Doubly-Efficient zkSNARKs Without Trusted Setup》

本文，主要关注在groups of prime order setting下的研究成果：[13, 16, 28]

Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》
Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》
Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》

以上[13, 16, 28]论文中实现的ILC-argument，仅natively 支持 R1CS language，本文在不依赖于R1CS情况下实现了对 systems of quadratic equations的处理。

同时，如果借助Groth等人在2019年Security Track Proceeding中发布的《ZKProof Community Reference》技术文档，本文的工作成果可归结为ideal linear commitments (ILC)。
本文的Verifier允许 do “matrix-vector queries” on a committed value $\vec{w}$ ，如 request an opening for a matrix-vector product $\mathbf{\Gamma}\vec{w}$ 。由此可知，具有比只支持point queries或inner-product queries的PCP或IOP更强的功能。
在这里插入图片描述
除此之后，本文还提供了对prove knowledge of preimage of group homomorphisms。如证明 knowledge of the decryption of an EIGamal ciphertext。这种不属于ILC范畴。

根据Groth等人在2019年Security Track Proceeding中发布的《ZKProof Community Reference》技术文档中的相关内容进行梳理：

基于dlog setting和ILC构建的zk proof有：
– Bootle和Groth 2018年论文《Efficient Batch Zero-Knowledge Arguments for Low Degree Polynomials》
– Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》
– Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》
– Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》
很多zk proofs in the group setting都是 Cramer等人1998年论文《Zero-Knowledge Proofs for Finite Field Arithmetic; or: Can Zero-Knowledge Be for Free?》和Maurer 2015年论文《Zero-knowledge proofs of knowledge for group homomorphisms》的实例化。
Bootle等人2017年论文《Linear-Time Zero-Knowledge Proofs for Arithmetic Circuit Satisfiability》中提到的ideal linear commitment model (ILC) ，可以 apply linear transformations to a committed witness。本文的 $QESA_{ZK}$ 就属于ILC。
基于knowledge of exponent assumption (KEA)构建的NIZK proof有：（对于arithmetic circuit，这些都有constant size proof和sublinear verification cost。但是也都需要trusted setup。）
– Britansky等人2017年论文《The Hunting of the SNARK》
– Danezis等人2014年论文《Square Span Programs with Applications to Succinct NIZK Arguments》
– Gennaro等人2013年论文《Quadratic Span Programs and Succinct NIZKs without PCPs》
– Groth 2016年论文《On the Size of Pairing-Based Non-interactive Arguments》
– Groth 2010年论文《Short Non-interactive Zero-Knowledge Proofs》
– Lipmaa 2013年论文《Succinct Non-Interactive Zero Knowledge Arguments from Span Programs and Linear Error-Correcting Codes》
PCPs, IOPs, MPC-in-the-head：采用类似 probabilistically checkable proofs (PCP)、MPC-in-the-head（源自Ishai等人2007年论文《Zero-knowledge from secure multiparty computation》）、interactive oracle proofs (IOP) 等技术，可在不依赖public key primitives的情况下构建高效的zk proofs。需要从实用的角度来提升性能表现和抗量子攻击。相关的研究成果有：（目前存在的主要问题是具有relatively large proof size或者unacceptable constants。）
– Scott Ames等人2017年论文《Ligero: Lightweight Sublinear Arguments Without a Trusted Setup》
– Ben-Sasson等人2018年论文《Aurora: Transparent Succinct Arguments for R1CS》
– Chase等人2017年论文《Post-Quantum Zero-Knowledge and Signatures from Symmetric-Key Primitives》
– Gennaro等人2018年论文《Lattice-Based zk-SNARKs from Square Span Programs》
– Wahby等人2018年论文《Doubly-Efficient zkSNARKs Without Trusted Setup》
目前存在的主要问题是具有relatively large proof size或者unacceptable constants。
Ben-Sasson等人2018年论文《Aurora: Transparent Succinct Arguments for R1CS》中提供了具有logarithmic communication IOP for R1CS算法，对于R1CS statements of size $N=10^6$ 的proof size大约为130kb，而若采用Bulletproofs对应的proof size将低于2kb。
Agrawal等人2018年论文《Non-Interactive Zero-Knowledge Proofs for Composite Statements》中，将proofs in the “symmetric key” setting和efficient proofs for “public key” algebraic statements结合起来了。
本文可以直接将algebraic statements over the same group $\mathbb{G}$ 进行组合。

1.2 基本技术

基本信息为：

public info： $[\mathbf{A}]\in\mathbb{G}^{m\times n},[\mathbf{t}]\in\mathbb{G}^{m\times 1}$
witness： $\vec{w}\in\mathbb{F}_p^n$
Relation： $[\mathbf{A}]\vec{w}=[\mathbf{t}]$

直接借助 $\sum$ -protocol 进行证明的思路如下：

Prover：选择随机向量 $\vec{r}\leftarrow\mathbb{F}_p^n$ ，计算 $[\mathbf{a}]=[\mathbf{A}]\vec{r}$ ，将 $[\mathbf{a}]\in\mathbb{G}^{m\times 1}$ 发送给Verifier。
Verifier：选择challenges $\vec{x}=(x_1,x_2)\leftarrow\mathbb{F}_p^2$ ，其中 $x_2\neq 0$ 。
Prover：计算 $\vec{z}=x_1\vec{w}+x_2\vec{r}$ ，将 $\vec{z}\in\mathbb{F}_p^n$ 发送给Verifier。
Verifier：验证 $[\mathbf{A}]\vec{z}=x_1[\mathbf{t}]+x_2[\mathbf{a}]$ 是否成立即可。

注意借助 $\vec{r}$ ，由于 $x_2\neq 0$ ，witness $\vec{w}$ completely masked in $\vec{z}=x_1\vec{w}+x_2\vec{r}$ ，而根据 $[\mathbf{a}]$ 求 $\vec{r}$ 为hard的，从而实现zero-knowledge。
以上协议具有可extractable特性，当针对相同的 $\vec{r}$ ，Verifier给两组不同的challenges $\vec{x}_1,\vec{x}_2$ ，Prover返回两组不同的response $\vec{z}_1,\vec{z}_2$ ，从而可extract提取出witness $\vec{w}$ 和 randomness $\vec{r}$ 。

注意，以上 $\sum$ -protocol构建的证明其communication效率较低，需要有 $n$ 个field elements和 $m$ 个group elements。
而若借助probabilistic verification，可对其communication cost进行改进。

1.2.1 Probabilistic verification

efficient arguments of knowledge (without zero-knowledge) 的基础是：probabilistic verification of the claim。
如上，与直接verify $[\mathbf{A}]\vec{w}=[\mathbf{t}]$ 不同：

Verifier：只发送一个random challenge $y\leftarrow\mathbb{F}_p$ 。
Prover and Verifier：两者都计算 $\vec{y}=(y^i)_i\in\mathbb{F}_p^m$ ， $[\hat{\vec{A}}]=y^T[\mathbf{A}]\in\mathbb{G}^{1\times n},[\hat{t}]=\vec{y}^T[\mathbf{t}]\in\mathbb{G}$ 。

probabilistic verification of the claim后，基本信息转为：

public info： $[\hat{\vec{A}}]\in\mathbb{G}^{1\times n},[\hat{t}]\in\mathbb{G}$
witness： $\vec{w}\in\mathbb{F}_p^n$
Relation： $[\hat{\vec{A}}]\vec{w}=[\hat{t}]$

probabilistic verification of the claim后，借助 $\sum$ -protocol 进行证明的思路类似：、

Prover：选择随机向量 $\vec{r}\leftarrow\mathbb{F}_p^n$ ，计算 $[\hat{a}]=[\hat{\vec{A}}]\vec{r}$ ，将 $[\hat{a}]\in\mathbb{G}$ 发送给Verifier。
Verifier：选择challenges $\vec{x}=(x_1,x_2)\leftarrow\mathbb{F}_p^2$ ，其中 $x_2\neq 0$ 。
Prover：计算 $\vec{z}=x_1\vec{w}+x_2\vec{r}$ ，将 $\vec{z}\in\mathbb{F}_p^n$ 发送给Verifier。
Verifier：验证 $[\hat{\vec{A}}]\vec{z}=x_1[\hat{t}]+x_2[\hat{a}]$ 是否成立即可。

此时，communication cost变为：有 $n$ 个field elements和仅有 $1$ 个group elements。（与 $m$ 无关）

1.2.2 linear combination of protocols

在这里插入图片描述
以上协议具有可extractable特性，当针对相同的 $\vec{r}$ ，Verifier给两组不同的challenges $\vec{x}_1,\vec{x}_2$ ，Prover返回两组不同的response $\vec{z}_1,\vec{z}_2$ ，从而可extract提取出witness $\vec{w}$ 和 randomness $\vec{r}$ 。
同理，这种类型的linear combination也可用于恢复batch proofs（参见Peng等人2007年论文《Batch zero-knowledge proof and verification and its applications》），non-randomised linear combinations也适合（参见Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》）。

1.2.3 Uniform(-or-unique) response

是指Prover反馈的response只有两种可能：

uniformly distributed (conditioned on all later messages, not previous messages)，如1.2节中的 $\vec{z}$ 。
可以uniquely determined and efficiently computable from the challenges and all later messages，如1.2节中的 $[\mathbf{a}]$ 。

对Prover response的这个要求，有利于构建trivial simulator——反向运行transcript：从最终的消息开始，依次反推至最初的消息。这样simulator就可以自己选择uniformly distributed messages，然后计算出uniquely determined ones。

1.2.4 Kernels and redundancy

可参看博客 Ker(A)——矩阵kernel。

很多有趣的statement都是非线性的。
以 Bootle和Groth 2018年论文《Efficient Batch Zero-Knowledge Arguments for Low Degree Polynomials》中的polynomial commitment为例，a polynomial $f\in\mathbb{F}_p[X]$ ， $f(X)=a_0+a_1X+\cdots+a_{n-1}X^{n-1}$ ，对于任意的 $x\in\mathbb{F}_p$ ，需证明 $f (x) = t$ 。
最直观的方法是：直接对 $f (X)$ 中所有的系数 $a_0,\cdots,a_{n-1}$ 进行commit，然后借助linear combination protocol就可证明 $f (x) = t$ 成立。
但是，如果想实现random linear combination，可在不影响soundness的情况下增加redundancy，通过巧妙地对 ”evaluate at $x$ ”-map 创建 a non-trivial kenerl，具体实现方式为：将 $f (X)$ 表示为 $f(X)=\sum_{i}(\alpha_i+\beta_i)X^i$ ，然后对所有的 $\alpha_i$ 和 $\beta_i$ 进行commit。同理，若想表示 $f (x) = 0$ ，可直接取 $\alpha_i\leftarrow\mathbb{F}_p,\beta_i=-\alpha_i$ 。
从而在response中插入了randomness，总之可通过增加redundancy的方式来实现uniformly random responses。

1.2.5 argument systems组合

以inner product argument $IPA_{almZK}$ 为例，需证明：
$\exists \vec{x},\vec{y}:<\vec{x},\vec{y}>=t$
引入随机数，转为证明：（仅需要logarithmically many (specially chosen) random components in $\vec{r},\vec{s}$ 。）
$<\vec{x}+\vec{r},\vec{y}+\vec{s}>=t$ ，其中 $<\vec{r},\vec{y}>=<\vec{r},\vec{s}>=<\vec{x},\vec{s}>=0$

这就是“redundancy/kernel”技术的一种应用。而“uniform-or-unique”指南可保证每次response都是随机的。从而在 $\vec{r},\vec{s}$ 中仅需要a logarithmic number of (well-chosen) random components 就足够了。

1.3 本文主要贡献

1.3.1 linear map preimage argument (LMPA)

分两步来实现对 $\exists\vec{w}:[\mathbf{A}]\vec{w}=[\vec{t}]$ （其中 $[\mathbf{A}]\in\mathbb{G}^{m\times n}$ ）的证明，具有的communication complexity为 $O(\log(n))$ ：（参见1.2.1节内容。）

首先，使用batch verification $LMPA_{batch}$ ，在方程式左侧乘以一个随机向量 $\vec{y}\in\mathbb{F}_p^m$ ，获得 $[\hat{\vec{A}}]=\vec{y}^T[\mathbf{A}]\in\mathbb{G}^{1\times n},[\hat{t}]=\vec{y}^T[\mathbf{t}]\in\mathbb{G}$ 。此时，实现了communication cost与 $m$ 无关。
然后，使用 $LMPA_{zk}$ 协议来证明 $\exists\vec{w}:[\hat{\vec{A}}]\vec{w}=[\hat{t}]$ 。其中 $LMPA_{zk}$ 协议源自Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》中算法，并在此基础上实现了zero-knowledge，代价是增加了constant communication overhead和logarithmic computational overhead (in $n$ )。

1.3.2 quadratic equation commit-and-prove

在Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》和Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》的基础上，本文实现了一个 (almost) zero-knowledge inner product argument $IPA_{almZK}$ 协议，代价是增加了constant communication overhead和logarithmic computational overhead。
$IPA_{almZK}$ 协议用于证明的内容为 $\exists\vec{w}:\forall i :<\vec{w},\mathbf{\Gamma_i}\vec{w}>=0$ ，其中 $\mathbf{\Gamma_i}\in\mathbb{F}_p^{n\times n}$ ， $\vec{w}$ 为committed to。
为提升效率，采用batch proof方式，改为证明 $<\vec{w},\mathbf{\Gamma}\vec{w}>$ ，其中 $\mathbf{\Gamma}=\sum_{i}r_i\Gamma_i$ for random $r_i\in\mathbb{F}_p$ 。
最终生成的argument可称为 $QESA_{ZK}$ ，具有”adaptive commit-and-prove”特性，即the statement $\mathbf{\Gamma_i}$ may be chosen after the commitment to $\vec{w}$ 。

commit-and-prove system $QESA_{ZK}$ 理论简单且可与其它arguments高效结合使用。

1.3.3 quadratic equations集合

不借助R1CS，证明任意的quadratic equations如 $(\sum a_ix_i)(\sum b_ix_i)+\sum c_ix_i=0$ 。
可将quadratic equation表示为 $<\vec{x},\vec{x}>=\sum x_i^2=t$ ，而若采用R1CS来表示，则需要 $n$ 个方程式： $y_i=x_i^2(i=1,\cdots,n-1)$ and $x_n^2=t-\sum_{i}y_i$ ，其中 $y_i$ 为额外引入的变量。

$QESA_{ZK}$ 仅需要一个（quadratic）equation来表示 $<\vec{x},\vec{x}>=t$ 。

借助这种表示，可对任意degree为 $d^2-1$ 的（univariate）多项式 $f(X)=\sum_{i=1}^{d^2-1}a_iX^i$ 以 $2 d$ 个equations和intermediate variables来表示：
$y_i=x^i=y_{i-1}x$ 其中 $i=1,\cdots,d，y_0=1$
$z_i=x^{di}=z_1z_{i-1}$ 其中 $i=2,\cdots,d-1，z_1=y_{d-1}x，z_0=1$
最终 $f(x)=\sum_{i,j=0}^{d,d-1}a_{i+jd}y_iz_j$ 。

对于S(N)ARK-friendly cryptography （Kosba等人2015年论文《“C∅C∅: A Framework for Building Composable Zero-Knowledge Proof》），支持quadratic equations 将非常有用。Matrix-vector multiplications将可快速计算，即使matrix和vector 二者都是secret的。采用类似 Jubjub 的embedding elliptic curve，其效率要优于R1CS。对于general point addition in a (twisted) Edwards curve，不再需要8个，仅需要5个constraints per bit就足够了。

1.3.4 实现shuffle证明

采用本文的 $LMPA_{ZK}$ 和 $QESA_{ZK}$ 协议可实现 Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》中的shuffle证明算法。
（参见博客 Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1））

本文构建的shuffle证明算法 $\Pi_{shuffle}$ 可证明 correctness of a shuffle (of EIGamal ciphertexts)，具有的proof size为 $O(\log(N))$ ，而Stephanie Bayer和Jens Groth 2012年论文的proof size为 $O(\sqrt{N})$ 。

在这里插入图片描述

1.3.5 short-circuit extraction

在这里插入图片描述

2. 相关安全假设

Instead of discrete logarithm assumptions, Morillo等人2016年论文《The Kernel Matrix Diffie-Hellman Assumption》中提及的the generalization of hard (matrix) kernel assumptions, but for right-kernels, better suits our needs。

hard kernel assumption：（与Pedersen commitment的binding属性关联。Breaking the binding property of the commitment is equivalent to finding non-trivial elements in $ker([\mathbf{A}])$ 。）

3. Matrix-vector multiplication argument

$ck=[\vec{g}]=[g_0,\vec{\bar{g}}]\leftarrow \mathbb{G}^{1+1\times n}$ 为Pedersen commitment key。其中 $g_0\in\mathbb{G},[\vec{\bar{g}}]\in\mathbb{G}^n$ 。
定义 $Com_{g}(\vec{w};r)=[g_0]r+[\vec{\bar{g}}]\vec{w}$ for $r\in\mathbb{F}_p,\vec{w}\in\mathbb{F}_p^n$
矩阵 $[\mathbf{A}]\in\mathbb{G}^{m\times n}$
向量 $\vec{w}\in\mathbb{F}_p^n, [\vec{t}]\in\mathbb{G}^m$

为了证明 $\exists\vec{w}:[\mathbf{A}]\vec{w}=[\vec{t}]$ ，本文主要遵循2个原则：

使用 probabilistic (batch) verification来check many things at once；
若messages are too long, replace them by a shorter proof (of knowledge)。（采用shrinking commitments来keep the messages small。）

基本信息为：

Public info： $[\mathbf{A}]\in\mathbb{G}^{m\times n}$ ， $[\vec{t}]\in\mathbb{G}^m$
Private info： $\vec{w}\in\mathbb{F}_p^n$
Relation： $[\mathbf{A}]\vec{w}=[\vec{t}]$

Matrix-vector multiplication argument具有可组合性：
在这里插入图片描述

3.1 采用标准的 $\sum$ -protocol来证明Matrix-vector multiplication argument

若采用 Cramer等人1998年论文《Zero-Knowledge Proofs for Finite Field Arithmetic; or: Can Zero-Knowledge Be for Free?》和Maurer 2015年论文《Zero-knowledge proofs of knowledge for group homomorphisms》中标准的 $\sum$ -protocol 来证明Matrix-vector multiplication argument，详细的实现思路为：（ $\sum_{std}$ 协议）

Prover：选择随机向量 $\vec{r}\leftarrow\mathbb{F}_p^n$ ，计算 $[\vec{a}]=[\mathbf{A}]\vec{r}$ ，将 $[\vec{a}]\in\mathbb{G}^m$ 发送给Verifier。
Verifier：选择随机数 $\beta\leftarrow\mathbb{F}_p$ 。
Prover：计算 $\vec{z}=\beta\vec{w}+\vec{r}$ ，将 $\vec{z}\in\mathbb{F}_p^n$ 发送给Verifier。
Verifier：验证 $[\mathbf{A}]\vec{z}=\beta[\vec{t}]+[\vec{a}]$ 是否成立即可。

以上基于标准 $\sum$ -protocol的整个实现communication cost为 $O (m + n)$ 。需要从以下两方面进行改进：

借助batch verification，使得communication与 $m$ 无关；（此处 $m$ 为 number of equations。）
借助 Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》和 Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》中的递归方法，使得communication cost 为 $O(\log(n))$ 。（此处 $n$ 为witness size。）

3.2 借助batch verification 使communication与 $m$ 无关

需要shrink 3.1节中的 $[\vec{a}]\in\mathbb{G}^m$ ，方法是将 $m$ 个linear equations batch into a single linear equation。
详细的实现思路如下：（ $LMPA_{batch}$ 协议）

Prover：选择blind 随机数 $r_w\leftarrow \mathbb{F}_p$ ，计算 $[c_w]=[g_0]r_w+[\vec{\bar{g}}]\vec{w}=Com(\vec{w};r_w)$ 。将 $c_w]$ 发送给Verifier。（即先对witness进行commit。）
Verifier：选择随机数 $x\leftarrow \mathbb{F}_p$ ，构建随机向量 $\vec{x}=(1,x,\cdots,x^{m-1})$ ，将 $\vec{x}$ 发送给Prover。
Prover和Verifier：都计算 $[\hat{\vec{A}}]=\vec{x}^T[\mathbf{A}]\in\mathbb{G}^{1\times n}，[\hat{t}]=\vec{x}^T[\vec{t}]\in\mathbb{G}$ 。具有 $[\mathbf{B}]= \begin{bmatrix} g_0 & \vec{\bar{g}}\\ 0 & \hat{\vec{A}} \end{bmatrix}$ ，转为证明 $\exists: [\mathbf{B}] \begin{pmatrix} r_w\\ \vec{w} \end{pmatrix} =\begin{bmatrix} c_w\\ \hat{t} \end{bmatrix}=[\vec{u}]$ ，其中 $[\mathbf{B}],[\vec{u}]$ 为public info。从而可以继续采用3.1节的 $\sum$ -protocol来证明，调用 $\sum_{std}$ 子协议即可。

整个 $LMPA_{batch}$ 协议为 $5$ -move HVZK-AoK。

3.3 借助递归调用来 batch the witness

借助 Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》和 Bünz 等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》中的递归方法，使得communication cost 为 $O(\log(n))$ 。（此处 $n$ 为witness size。）

首先构建相应的argument，然后再添加zero-knowledge。

在3.2节的基础上，可压缩为 $m = 1$ 。

$k\in\mathbb{N},k|n$ ，即 $n/k\in\mathbb{N}$ 。
将 $[\mathbf{A}]\vec{w}=[\vec{t}]$ reduce为 $[\hat{\mathbf{A}}]\hat{\vec{w}}=[\hat{\vec{t}}]$ ，其中 $[\hat{\mathbf{A}}]\in\mathbb{G}^{m\times n/k}, \hat{\vec{w}}\in\mathbb{F}_p^{n/k},[\hat{\vec{t}}]\in\mathbb{G}^m$ 。
将 $[\mathbf{A}]$ 和 $\vec{w}$ 切分为 $k$ 个equal blocks，有：
$[\mathbf{A}]=[\mathbf{A}_1|\cdots|\mathbf{A}_k]\in(\mathbb{G}^{m\times n/k})^{1\times k}$ ，其中 $[\mathbf{A}_i]\in\mathbb{G}^{m\times n/k}$ ，同理 $\vec{w}=\begin{pmatrix} w_1\\ \cdots \\ w_k \end{pmatrix}\in(\mathbb{G}^{n/k})^k$ 。
转换为需证明：
$\sum_{i=1}^{k}[\mathbf{A}_i]\vec{w}_i=[\vec{t}]$

采用Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》中的思路，直接将其展开为：
在这里插入图片描述

其中右侧矩阵中主对角线上所有元素即为待证明的内容 $\sum_{i=1}^{k}[\mathbf{A}_i]\vec{w_i}=[\vec{t}]$
有两种证明思路：

方法一：
– Prover：将矩阵中的所有元素 $[\mathbf{A}_i]\vec{w}_j$ 发送给Verifier；
– Verifier：为矩阵左侧构建challenge vector $\vec{x}\in\mathbb{F}_p^k=(1,x,\cdots,x^{k-1})$ ，为矩阵右侧构建challenge vector $\vec{y}\in\mathbb{F}_p^k=(1,y,\cdots,y^{k-1})$ 。将 $\vec{x},\vec{y}$ 发送给Prover；
– Prover：利用矩阵运算结合律有：

此时Prover可发送 $[\vec{u}_{i,j}]=[\mathbf{A}_i]\vec{w}_j$ ，以及shrunk witness $\hat{\vec{w}}$ 。【注意此时不具有zero-knowledge。】
– Verifier：验证 $\sum_{i}[\vec{u}_{i,i}]=[\vec{t}]$ 和 $[\hat{\mathbf{A}}]\hat{\vec{w}}=[hat{\vec{t}}]=\sum_{i,j}x_iy_j[\vec{u}_{i,j}]$ 是否成立？
若每个 $[\mathbf{A}_i]$ 都满足hard kernel assumption，则the prover is committed to $\vec{w}_1,\cdots,\vec{w}_k$ 。不难发现若有足够多的challenges，则可extract $\vec{w}$ （or find non-trivial kernel elements）。以上方法，可将statement $([\mathbf{A}],[\vec{t}])$ reduce 为 $([\hat{\mathbf{A}}],[\hat{\vec{t}}])$ ，减小了 $k$ 倍。可递归调用再次reduce。

方法二：（借助了Bootle 2016论文中的思路）
– Prover：与方法一不同，Prover不再发送矩阵中的所有元素，而只让Verifier知道各个对角线元素之和 $[\vec{u}_l]=\sum_{j-i=l}[\mathbf{A}_i]\vec{w}_j$ ，其中 $l=\pm 1,\cdots,\pm k$ ，且 $[\vec{u}_0]=[\vec{t}]$ 。
– Verifier：为了让 $\sum_{i,j}x_iy_j[\mathbf{A}_i]\vec{w}_j=z_l\sum_{j-i=l}[\mathbf{A}_i]\vec{w}_j$ ，则相应的 challenge vectors需调整为 $\vec{x}\in\mathbb{F}_p^k=(1,x,\cdots,x^{k-1})$ ， $\vec{y}\in\mathbb{F}_p^k=(1,x^{-1},\cdots,x^{-k+1})$ ，此时 $z_l=x^{-l}$ 【或者更高效的方式是，构建 $\vec{y}\in\mathbb{F}_p^k=(x^{k-1},x^{k-2},\cdots,x,1)$ ，此时 $z_l=x^{k-1-l}$ 】。将 $\vec{x},\vec{y}$ 发送给Prover；
详细的 $LMPA_{noZK}$ 协议为：

$LMPA_{noZK}$ 协议具有recursive extraction特性：
在这里插入图片描述

4. Matrix-vector multiplication argument + Zero-Knowledge

3.2节和3.3节的Matrix-vector multiplication argument均不具有zero-knowledge，而3.1节中的communication cost为 $O (m + n)$ ，为实现Matrix-vector multiplication argument + Zero-Knowledge 的基本思路有：

方法一： $\sum_{std}$ 协议+ $LMPA_{noZK}$ 协议= $LMPA_{simpleZK}$ 协议
借助3.1节中的 $\sum_{std}$ 协议，不再直接发送 $\vec{z}\in\mathbb{F}_p^n$ 使得 $\exists \vec{z}:[\mathbf{A}]\vec{z}=\beta[\vec{t}]+[\vec{a}]$ ，而转为调用 $LMPA_{noZK}$ 协议来证明。
$LMPA_{simpleZK}$ 协议具有communication efficiency，但是对于random $\vec{r}$ ，计算 $[\mathbf{A}]\vec{r}$ 是expensive的。与Bootle 2016和Bünz 2018方案类似， $LMPA_{noZK}$ 协议仅用于save communication。
方法二：
方法一是对所有的witness进行了blinding，实际是仅对Prover’s response进行blind就足够了，这样 a logarithmic amount of randomness 就足够了，从而可以提高Prover的计算效率。

4.1 zero knowledge of opening of a commitment.

假设 $[\mathbf{A}]=[\vec{g}]\in\mathbb{G}^{1\times n}$ ，其中 $[\vec{g}]$ 为commitment key， $k = 2$ 。 $[\mathbf{A}]$ 满足hard kernel assumption by construction。
转为构建zero-knowledge argument for $\exists\vec{w}:[\vec{g}]\vec{w}=[t]$ 。
与 $\sum_{std}$ 协议中的实现不同，通过明智地选择randomness $\vec{r}$ 来构建masked version of $LMPA_{noZK}$ 。不再是随机选择 $\vec{r}\leftarrow\mathbb{F}_p^n$ ，而是只选择logarithmically个非零的 $r_i$ 值，其它的均为零值，从而使得计算 $[\vec{g}]\vec{r}=[a]$ 非常cheap。
在这里插入图片描述

从而借助Masking sets来构建challenge $\vec{r}\leftarrow \mathbb{M}_n$ ，可实现计算压力更小的zero-knowledge argument：
在这里插入图片描述

4.2 zero knowledge of Matrix-vector multiplication argument

对于更general的 $[\mathbf{A}]\in\mathbb{G}^{m\times n}$ ，相对于4.1节，难点主要在：

对 $m > 1$ 的情况构建masking sets不再直观可实现，由于 $\vec{u}_l\in\mathbb{G}^m$ ，Prover需要communicate $m k$ elements，从而需要 $mk\log(n)$ 个random entries来randomise all of $[\vec{u}_l]$ 。而直观的 $\sum_{std}$ 协议仅需要 $n$ 个random entries。
making the definition of $\mathbb{M}_n$ dynamic and depend on $[\mathbf{A}]$ is inconvenient and hard。需借助commitment-extension方法，如Bootle 2016方案中是通过引入随机数行来实现computationally injective，而本文是通过引入随机数列来实现surjective。由证明 $[\vec{t}]=[\mathbf{A}]\vec{w}$ 改为证明 $[\vec{B}]=[\mathbf{A}|\mathbf{H}]\begin{pmatrix} \vec{w}\\ \vec{r} \end{pmatrix}$ 。

详细的 $LMPA_{almSnd}$ 实现为：
在这里插入图片描述

对以上协议中的matrix $[\mathbf{h}]$ 进一步优化，使其基于common reference string来生成，not adversarial，最终的 $LMPA_{ZK}$ 协议为：
在这里插入图片描述

5. 基于quadratic equations来构建arithmetic circuit satisfiability

5.1 quadratic gate表示

本文针对的场景为：（commit-and-prove system）

witness： $\vec{w}\in\mathbb{F}_p^n$ ；
public info：matrix $\mathbf{\Gamma}\in\mathbb{F}_p^{n\times n}$ ；
relation： $\vec{w}^T\mathbf{\Gamma}\vec{w}=0$

与Groth等人2008年论文《Efficient Non-interactive Proof Systems for Bilinear Groups》和 Escala等人2014年论文《Fine-Tuning Groth-Sahai Proofs》中的定义类似，约定 $w_1=1$ 。

对于更general的quadratic equation $\vec{x}^T\mathbf{\Gamma}\vec{x}+\vec{a}^T\vec{x}=t$ ，其中 $\vec{a},\vec{x}\in\mathbb{F}_p^n,\mathbf{\Gamma}\in\mathbb{F}_p^{n\times n},t\in\mathbb{F}_p$ ，public info为 $KaTeX parse error: Expected 'EOF', got '}' at position 25: …\mathbf{\Gamma}}̲,t)$ ，也可转换为如上quadratic gate表示：
设置 $\vec{w}=\begin{pmatrix} 1\\ \vec{x} \end{pmatrix}$ ，从而有 $\vec{w}^T\begin{pmatrix} -t & 0\\ \vec{a} & \mathbf{\Gamma} \end{pmatrix}\vec{w}=0$ 。

5.2 R1CS转quadratic equation

参见博客 rank-1 constraint system R1CS

R1CS的表示为： $(\vec{w}^T\vec{a})(\vec{b}^T\vec{w})-\vec{c}^T\vec{w}=0$ ，其中 $\vec{a},\vec{b},\vec{c}\in\mathbb{F}_p^n$
设置 $\mathbf{\Gamma}=\vec{a}\vec{b}^T-\vec{e}_1\vec{c}^T$ ，其中 $\vec{e}_1=(1,0,0,\cdots,0)$
可将上述R1CS表示转为quadratic equation表示：
$\vec{w}^T\mathbf{\Gamma}\vec{w}=0$

5.3 quadratic equation to inner product argument

由待证明的relation $\vec{w}^T\mathbf{\Gamma}\vec{w}=0$ 观察可知，可看作 $\vec{w}^T\mathbf{\Gamma}\vec{w}=<\vec{w},\mathbf{\Gamma}\vec{w}>$ 为an inner product，从而接下来的任务转为需要构建zero-knowledge inner-product argument。
若已知 $\mathbf{\Gamma}$ ，目前技术无法generate a commitment to $\mathbf{\Gamma}\vec{w}$ efficiently。

Prover：首先commit to $\vec{w}$ 为 $[c_x]=Com_{ck_1}(\vec{w})$ ，然后根据 $\mathbf{\Gamma}$ commit to $\mathbf{\Gamma}\vec{w}$ 为 $[c_y]=Com_{ck_2}(\mathbf{Gamma}\vec{w})$ 。最后Prover执行the inner product argument。
Prover必须证明 $c_x]$ open to $\vec{x}=\vec{w}$ and $c_y]$ open to $\vec{y}=\mathbf{\Gamma}\vec{x}$ 。
采用（linear）batching技术可进一步转为证明 $\vec{y}=\mathbf{\Gamma}\vec{x}$ ，为了验证 $\vec{y}=\mathbf{\Gamma}\vec{x}$ 成立，Verifier可提供challenge $\vec{s}\leftarrow\mathbb{F}_p^n$ ，Prover证明 $0=<\mathbf{\Gamma}\vec{x}-\vec{y},\vec{s}>$ 。

从而为了证明 $\vec{w}^T\mathbf{\Gamma}\vec{w}=0$ ，可拆分为两个子inner product 证明：（其中 $\vec{x}=\vec{w},\vec{y}=\mathbf{\Gamma}\vec{w}$ ）

$<\vec{x},\vec{y}>=0$
$<\mathbf{\Gamma}\vec{x}-\vec{y},\vec{s}>=0$

可将以上两个inner product 证明batch为一个inner product，由Verifier提供challenge $\alpha$ ，构建witness 为 $\vec{x},\vec{y}$ 的待证明relation为：
在这里插入图片描述

接下来的重点是构建zero-knowledge inner product argument。

5.4 zero-knowledge inner product argument

Bootle 2016和Bünz 2018方案中的inner product argument不具有zero-knowledge。
$IPA_{noZK}$ 将Bootle 2016和Bünz 2018方案进行了整合：
在这里插入图片描述

有多种方式来为inner product argument添加zero-knowledge属性：

$LMPA_{ZK}$ 是通过采用linear combination (with “extended randomness”) 来attain zero-knowledge。
直接对witness进行mask，如构建 $<\vec{w}’+\vec{r}’,\vec{w}’’+\vec{r}‘’>$ ，由于具有非线性特性，仅给Verifier发送 $t_r=<\vec{r}’,\vec{r}’’>$ 是不够的。若再发送 $<\vec{w}’,\vec{r}’’>$ 和 $<\vec{w}’’,\vec{r}’>$ 则不符合zero-knowledge要求。
若选择随机数 $\vec{r}’,\vec{r}’’$ 采用 kernel guidline来选取：

$IPA_{almZK}$ 协议的详细实现为：
在这里插入图片描述

5.5 quadratic equation satisfiability

对一系列的quadratic equations进行证明， $QESA_{ZK}$ 协议为：
在这里插入图片描述

5.6 combine $QESA_{ZK}$ with other proof systems

在这里插入图片描述

如基于 $QESA_{Copy}$ 协议构建的range proof与Bulletproofs中构建的range proofs对比为：
在这里插入图片描述

6. 引申至add arithmetic circuit relations to the witness

若 $[\mathbf{A}]$ 的第一行为Pedersen commitment key $[\vec{g}]$ ，则很容易 make other (zero-knowledge) statements about $\vec{w}$ by composition of zero-knowledge protocols。
如用于shuffle证明。
在这里插入图片描述