proof-carrying data from accumulation schemes学习笔记

1. 引言

B¨unz 等人2020年论文《proof-carrying data from accumulation schemes》，暂无收录信息。

代码实现：

• https://github.com/scipr-lab/poly-commit 中的ipa_pc

Recursive proof composition可用于incrementally-verifiable computation (IVC)以及proof-carrying data (PCD)。
现有的基于递归调用构造的SNARK，Verifier的验证时间是sublinear in the size of the statement。

Bowe等人2019年论文《Recursive Proof Composition without a Trusted Setup》中构建了特定的recursive composition用于SNARK，使得Verifier time不再是sub-linear了。但是他们在该论文中忽略了具体的细节同时也未能提供相应的security property证明。

在本文，定义了an accumulation scheme for a non-interactive argument，足以构建PCD以及SNARKs，且无需sublinear-time verifier。

---

要点：
相当于借助 “SNARK+accumulator” 来实现 PCD，对计算中的每个步骤进行验证。
要求accumulator 不随计算步骤的增加而增长，且允许batch延迟验证。
其中accumulator的实现有2种：
– 1）基于discrete logarithm的polynomial commitment $P{C}_{DL}$ 的accumulator设计，参见本博文第5节内容。
– 2）基于 knowledge assumption in bilinear groups 的 polynomial commitment $P{C}_{AGM}$ 的accumulator 设计，参见本博文第6节内容。

---

1.1 What is PCD?

proof-carrying data (PCD) 由Chiesa等人在2010年论文《Proof-Carrying Data and Hearsay Arguments from Signature Cards》中提出，可用于不信任的各方进行分布式无限计算，保证每个计算的中间状态都可以succinctly verified。
PCD支持基于（可能是无限的）有向无环图计算，with messages passed along directed edges。通过为每个message附加一个succinct proof以证明其correctness。
可将PCD看成是incrementally-verifiable computation (IVC) （参见Paul Valiant 2008年论文《Incrementally Verifiable Computation or Proofs of Knowledge Imply Time/Space Efficiency》）的generalization，IVC = PCD for the path graph。

PCD可广泛用于：

• enforcing language semantics [CTV13]，Chong等人2013年论文《Enforcing Language Semantics Using Proof-Carrying Data》。
• verifiable MapReduce computations [CTV15]，Chiesa等人2015年论文《Cluster Computing in Zero Knowledge》。
• image authentication [NT16]，Naveh等人2016年论文《PhotoProof: Cryptographic Image Authentication for Any Set of Permissible Transformations》。
• succinct blockchains [Co17;KB20;BMRS20]，Coda protocol、Kattis等人2020年论文《Proof of Necessary Work: Succinct State Verification with Fairness Guarantees》以及Bonneau等人2020年论文《Coda: Decentralized Cryptocurrency at Scale》。

现有的构建PCD的方式是基于recursive composition of succinct non-interactive arguments (SNARGs) [BCCT13;BCTV14;COS20]（Bitansky等人2013年论文《Recursive Composition and Bootstrapping for SNARKs and Proof-Carrying Data》、Ben-Sasson等人2014年论文《Scalable Zero Knowledge via Cycles of Elliptic Curves》以及Chiesa等人2020年论文《Fractal: Post-Quantum and Transparent Recursive Proofs from Holography》）。证明某个具有$t$ steps的计算被正确执行了，基本思路为：
the $t$-th step of the computation was executed correctly, and there exists a proof that the computation was executed correctly for $t-1$ steps。
现有的实现要求：the statement we are proving does not grow with the number of recursion steps $t$。

Bowe等人2019年论文《Recursive Proof Composition without a Trusted Setup》没有verify the previous proof ${\pi }_{t-1}$，而是将proof 添加仅accumulator，然后在最终进行verify。同时accumulator must not grow in size。该论文提供了一种特殊的SNARK构建思路，其证明了所构建的SNARK是secure的，但是并没有包含其recursive安全性的相关定义或证明。

借助recursion的SNARK相关研究有：

• Halo
• Marlin

1.2 本文主要贡献

本文的主要贡献：

• 引入了accumulation scheme for a predicate Φ : X → { 0 , 1 } \Phi: X\rightarrow \{0,1\} Φ:X→{0,1}。
  在Bowe等人2019年论文《Recursive Proof Composition without a Trusted Setup》的基础上进行了改进。
  accumulation scheme 可理解为：存在无限的stream $q_1,q_2,cdots$，其中每个$q_i\in X$。
  at time $i$，引入accumulators $ac{c}_i$，存在以下三种算法（均为stateless）：【accumulation prover、accumulation verifier和decider】
  – the accumulation prover receives $(q_i,ac{c}_{i-1})$ and computes $ac{c}_i$。
  – the accumulation verifier receives $(q_i,ac{c}_{i-1},ac{c}_i)$，然后验证$ac{c}_{i-1}$和$q_i$ were correctly accumulated into $ac{c}_i$，若验证不通过，则流程停止。
  – at any time $t$，decider可validate $ac{c}_t$, which establishes that, for all $i\in [t]$, $\Phi (q_i)=1$。
  以上三个算法都是无状态的，为避免trivial construction，要求：
  – 1）accumulation verifier的效率应高于$\Phi$；
  – 2）accumulator size以及以上三个算法的running time不会随时间而增长。
  any SNARK having an accumulation scheme where the accumulation verifier is sublinear can be used to build a proof-carrying data (PCD) scheme, even if the SNARK verifier is not itself sublinear。Chiesa等人2020年论文《Fractal: Post-Quantum and Transparent Recursive Proofs from Holography》中指出，若SNARK和accumulation scheme为量子安全的，则PCD scheme也为量子安全。而是否存在non-trivial accumulation schemes for post-quantum SNARKs仍是个公开的难题。

[MBKM19; GWC19; CHMMVW20] Maller等人2019年论文《Sonic: Zero-Knowledge SNARKs from Linear-Size Universal and Updateable Structured Reference Strings》、Gabizon等人2019年论文《PLONK: Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge》以及 Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with Universal and Updatable SRS》中构建的SNARKs，其Verifiers are succinct relative to a specific predicate: checking the opening of a polynomial commitment [KZG10]。

现有的具有accumulation scheme in random oracle model的polynomial commitment scheme主要有两大类：

• $P{C}_{DL}$：基于security of discrete logarithm的，相关的研究成果有：[BCCGP16; BBBPWM18; WTSTW18]
  – Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》，参见博客 Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting学习笔记。
  – B¨unz等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》，参见博客 Bulletproofs: Short Proofs for Confidential Transactions and More学习笔记。
  – Wahby等人2018年论文《Doubly-Efficient zkSNARKs Without Trusted Setup》，参见博客 Doubly-Efficient zkSNARKs Without Trusted Setup学习笔记。

• $P{C}_{AGM}$：基于knowledge assumption in bilinear groups，相关的研究成果有：[KZG10; CHMMVW20]
  – Kate等人2010年论文《Constant-Size Commitments to Polynomials and Their Applications》
  – Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with Universal and Updatable SRS》

对于这两种schemes，the cost of checking that an accumulation step was performed correctly is much less than the cost of checking an evaluation proof。
本文的 accumulation scheme for $P{C}_{DL}$ 是在Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》中的Polynomial commitment的基础上进行了改进。

构建PCD scheme的方式有两种：

• 通过$P{C}_{DL}$：PCD based on discrete logarithms，可构建PCD scheme in the uniform reference string model (如，without secret parameters) and small argument sizes。之前的PCD scheme要么需要structured reference strings [BCTV14]，要么需要larger argument sizes ([COS20])。本文的PCD scheme可基于任意的cycle of elliptic curves来实例化。而之前的具有small argument size的PCD scheme需要使用昂贵的cycles of pairing-friendly elliptic cuves [BCTV14; CCW19]。

• 通过$P{C}_{AGM}$：lightweight PCD based on bilinear groups。这种PCD scheme中的recursive statement不需要任何的pairing computation check，因为pairing验证推迟到了recursive statement之外。而之前基于pairing-based SNARK构建的PCD scheme则需要check pairing computations。
  本文构建的PCD具有启发意义：instantiate the random oracle of certain SNARK constructions with an appropriate hash function。

1.3 IVC/PCD的相关研究成果

1.3.1 PCD from SNARKs

Bitansky等人2013年论文《Recursive Composition and Bootstrapping for SNARKs and Proof-Carrying Data》中证明了recursive composition of SNARKs for machine computations implies PCD for constant-depth graphs，同时也暗示 IVC for polynomial-time machine computations。为达成recursive composition，从实际效率上考虑，使用preprocessing SNARKs for circuits要优于使用SNARKs for machines [BCTV14; COS20]。相关的实际应用有：Coda项目。[Co17; BMRS20]

当前基于SNARKs构建PCD的思路主要有以下2种：

• 基于pairing-based SNARKs构建PCD：
  Ben-Sasson等人2014年论文《Scalable Zero Knowledge via Cycles of Elliptic Curves》中使用pairing-based SNARKs with a special algebraic property实现了efficient recursive composition with very small argument sizes (linear in the security parameter $\lambda$)。
  使用pairing-based SNARKs具有2个主要缺陷：
  1）需要sampling a structured reference string involving secret values (“toxic waste”)，这些有毒垃圾如果泄露，则会影响安全性。
  2）Verifier performs operations over a finite field that is necessarily different from the field supported “natively” by the statement it is checking。为了避免expensive simulation of field arithmetic，构建过程中需要使用pairing-friendly cycles of elliptic curves，从而限制了实际应用时field的选型，为了保证security，往往需要a large base field。

• 基于IOP-based SNARKs构建PCD：
  Chiesa等人2020年论文《Fractal: Post-Quantum and Transparent Recursive Proofs from Holography》中使用holographic IOP构建了一种preprocessing SNARK，在(quantum) random oracle model下是无条件安全的，是一种post-quantum preprocessing SNARK in the uniform reference string model (i.e., without toxic waste)。在该论文中z横眉了任意的抗量子攻击SNARK可通过recursive composition产生抗量子攻击的PCD scheme。主要缺点在于：基于现有的holographic IOPs，其argument size很大，为$O({\lambda }^2{\log }^{2}N)$bits，其中$N$为circuit size。

1.3.2 IVC from homomorphic encryption

Naor等人2019年论文《Incrementally Verifiable Computation via Incremental PCPs》中将某种omomorphic encryption和incrmental PCP结合实现了IVC。其security基于falsifiable assumption。其IVC实现主要有2种缺陷：

• 待验证的computation必须为deterministic的（所有基于falsifiable assumption的构建都有此要求）。
• 更微妙的是，completeness仅在intermediate proofs were honestly generated场景下才成立。这就意味着可能存在以下攻击：an adversary provides an intermediate proof that verifies, but it is impossible for honest parties to generate new proofs for subsequent computations。即中途塞入无效的intermediate proof将影响后续的流程。

本文构建的PCD可避免以上这两种缺陷，实现nondeterministic computation和相应的completeness，避免被中间错误intermediate proof攻击。

1.4 Pedersen commitment定义及属性

• Pedersen commitment定义：
  
  

• Pedersen commitment的双线性属性：
  

1.5 基于discrete logarithm 构建的polynomial commitment

以下所有算法中的oracle access都是基于相同的random oracle ${\rho }_0$。
为了方便描述，假设$d+1$和$D+1$均为2的幂乘，即满足$d+1=2^k,D+1=2^m$。
对于向量$\vec{a}\in S^n$，二分法时，$l(\vec{a})=(a_1,\cdots ,a_{n/2})$和$r(\vec{a})=(a_{n/2+1},\cdots ,a_n)$分别表示$\vec{a}$的左半部分和右半部分。

基于discrete logarithm，对单变量多项式$p(X)=c_0+c_{1}X+\cdots +c_d{X}^d$的polynomial commitment算法实现细节为：

• $P{C}_{DL}.Setup$：
  

• $P{C}_{DL}.Trim$：（暂时只考虑所有polynomial degree均为$d$的情况）
  

• $P{C}_{DL}.Commit$：引入随机数$w$，对多项式系数进行commit $C=wS+{\sum }_{i=0}^d{c}_i{G}_i$。
  

• $P{C}_{DL}.Open$：借助[BCCGP16; BBBPWM18]中inner product argument的变种，计算evaluation proof $\pi$：（evaluation point为$z$）
  – 1. 计算evaluation $v=p(z)\in {\mathbb{F}}_q$。
  – 2. sample 随机多项式$\bar{p}\in {\mathbb{F}}_q^{\le d}[X]$，使得$\bar{p}(z)=0$。
  – 3. sample 相应的commitment randomness $\bar{w}\in {\mathbb{F}}_q$。
  – 4. 计算随机多项式$\bar{p}$的hiding commitment：$\bar{C}=CM.Commi{t}^{{\rho }_0}(\overrightarrow{ck},\bar{p};\bar{w})$。
  – 5. 计算challenge $\alpha =\rho (C,z,v,\bar{C})\in {\mathbb{F}}_q^{\ast }$。
  – 6. 计算多项式：$p^{\prime }=p+\alpha \bar{p}={\sum }_{i=0}^d{c}_i{X}^i\in {\mathbb{F}}_q[X]$。
  – 7. 计算commitment randomness：$w^{\prime }=w+\alpha \bar{w}\in {\mathbb{F}}_q$。
  – 8. 计算多项式$p^{\prime }$的non-hiding commitment：$C^{\prime }=C+\alpha \bar{C}-w^{\prime }S\in \mathbb{G}$。
  计算$0$-th challenge field element ${\xi }_0={\rho }_o(C^{\prime },z,v)\in {\mathbb{F}}_q$，用它来计算group element $H^{\prime }={\xi }_{0}H\in \mathbb{G}$。
  转为inner product 证明：
  a)public info：${\vec{z}}_0=(1,z,\cdots ,z^d)\in {\mathbb{F}}_q^{d+1}$ 和 ${\vec{G}}_0=(G_0,G_1,\cdots ,G_d)\in {\mathbb{G}}^{d+1}$，$v\in {\mathbb{F}}_q$，$C^{\prime }\in \mathbb{G}$。
  b)private info：${\vec{c}}_0=(c_0,c_1,\cdots ,c_d)\in {\mathbb{F}}_q^{d+1}$
  c)relation：$<{\vec{c}}_0,{\vec{z}}_0>=v$且$C^{\prime }={\sum }_{i=0}^d{c}_i{G}_i$
  借助[BCCGP16; BBBPWM18]中二分法递归调用思想，在每一轮 i ∈ { 1 , ⋯   , log ⁡ 2 ( d + 1 ) } i\in \{1,\cdots,\log_2(d+1)\} i∈{1,⋯,log2​(d+1)}，有：
  1）设置${\sum }_L=l({\vec{G}}_{i-1})||H^{\prime }$，计算left commitment $L_i=CM.Commi{t}_{{\sum }_L}(r({\vec{c}}_{i-1})||<r({\vec{c}}_{i-1}),l({\vec{z}}_{i-1})>)$。
  2）设置 ${\sum }_R=r({\vec{G}}_{i-1})||H^{\prime }$，计算right commitment $R_i=CM.Commi{t}_{{\sum }_R}(l({\vec{c}}_{i-1})||<l({\vec{c}}_{i-1}),r({\vec{z}}_{i-1})>)$。
  3）生成$i$-th challenge ${\xi }_i={\rho }_0({\xi }_{i-1},L_i,R_i)\in {\mathbb{F}}_q$。
  4）为下一轮构建新的commitment key： ${\vec{G}}_i=l({\vec{G}}_{i-1})+{\xi }_i\cdot r({\vec{G}}_{i-1})$。
  5）构建下一轮的输入：${\vec{c}}_i=l({\vec{c}}_{i-1})+{\xi }_i^{-1}\cdot r({\vec{c}}_{i-1})$和${\vec{z}}_i=l({\vec{z}}_{i-1})+{\xi }_i\cdot r({\vec{z}}_{i-1})$。
  最后一轮，设置$U=G_{{\log }_2(d+1)},c=c_{{\log }_2(d+1)}$。
  最终给receiver发送的evaluation proof 为：$\pi =(\vec{L},\vec{R},U,c,\bar{C},w^{\prime })$

• $P{C}_{DL}.Check$：receiver的输入为：receiver key ${\overrightarrow{rk}}_{PC}$、commitment $C$、degree bound $d$、evaluation point $z$、claimed evaluation $v$ 以及 evaluation proof $\pi$。$P{C}_{DL}.Check$ verifies the evaluation proof by invoking the verifier of the inner product argument：
  – 1. Parse $\overrightarrow{ck}$ as $(<group>,\overrightarrow{hk},S)$。
  – 2. 设置 $d^{\prime }=|\overrightarrow{hk}|-1$。
  – 3. 设置 $\overrightarrow{rk}=(<group>,S,H,d’)$。
  – 4. 验证 $P{C}_{DL}.SuccinctChec{k}^{{\rho }_0}(\overrightarrow{rk},C,d,z,v,\pi )$ 是否成立，输出为 $(h,U)$。
  – 5. 验证 $U=CM.Commit(ck,\vec{h})$，其中$\vec{h}$为多项式$h$的系数。

• $P{C}_{DL}.SuccinctCheck$：在$P{C}_{DL}.Check$和本文的accumulation scheme中均会调用。【$P{C}_{DL}.Open$中的inner product argument递归调用构建proof过程中，保证了每一轮的$C_i=CM.Commi{t}_{{\vec{G}}_i}(\overrightarrow{c_i})+<{\vec{c}}_i,{\vec{z}}_i>H^{\prime }$成立。在最后一轮的${\vec{c}}_{{\log }_2(d+1)}=c,{\vec{z}}_{{\log }_2(d+1)}=h(z)$。】
  – 1. Parse $\overrightarrow{rk}$ as $(<group>,S,H,d^{\prime })$，和 $\pi$ as $(\vec{L},\vec{R},U,c,\bar{C},w^{\prime })$。
  – 2. 验证 $d=d^{\prime }$。
  – 3. 计算challenge：$\alpha ={\rho }_0(C,z,v,\bar{C})\in {\mathbb{F}}_q^{\ast }$。
  – 4. 计算non-hiding commitment $C^{\prime }=C+\alpha \bar{C}-w^{\prime }S\in \mathbb{G}$。
  – 5. 计算 $0$-th challenge ${\xi }_0={\rho }_0(C^{\prime },z,v)$，设置$H^{\prime }={\xi }_{0}H\in \mathbb{G}$。
  – 6. 计算 group element $C_0=C^{\prime }+v{H}^{\prime }\in \mathbb{G}$。
  – 7. 在每一轮 i ∈ { 1 , ⋯   , log ⁡ 2 ( d + 1 ) } i\in \{1,\cdots,\log_2(d+1)\} i∈{1,⋯,log2​(d+1)}，有：
  （a）生成$i$-th challenge：${\xi }_i={\rho }_0({\xi }_{i-1},L_i,R_i)\in {\mathbb{F}}_q$。
  （b）计算the $i$-th commitment：$C_i={\xi }_i^{-1}{L}_i+C_{i-1}+{\xi }_i{R}_i\in \mathbb{G}$。
  – 8. 定义单变量多项式 $h(X)={\prod }_{i=0}^{{\log }_2(d+1)-1}(1+{\xi }_{{\log }_2(d+1)-i}{X}^{2^i})\in {\mathbb{F}}_q[X]$。
  – 9. 计算evaluation $v^{\prime }=c\cdot h(z)\in {\mathbb{F}}_q$。
  – 10. 验证$C_{{\log }_2(d+1)}=CM.Commi{t}_{\sum }(c||v^{\prime })$，其中$\sum =(U||H^{\prime })$。
  – 11. 输出 $(h,U)$。

以上整个$P{C}_{DL}$算法具有hiding和extractability属性。

---

注意：
借鉴了[BMMV19]中inner-product argument（参见博客 Proofs for Inner Pairing Products and Applications 学习笔记 5.2.1节内容。）中的思想，由于$\vec{z}=(1,z,z^2,\cdots ,z^d)$为public info，且为structured，Verifier中的递归调用计算${\vec{z}}_i$，可延迟计算最终以多项式$h(z)={\prod }_{i=0}^{{\log }_2(d+1)-1}(1+{\xi }_{{\log }_2(d+1)-i}{z}^{2^i})$表示。
甚至可以构建多项式$h(X)={\prod }_{i=0}^{{\log }_2(d+1)-1}(1+{\xi }_{{\log }_2(d+1)-i}{X}^{2^i})\in {\mathbb{F}}_q[X]$，如 博客 Proofs for Inner Pairing Products and Applications 学习笔记 5.2.1节内容 所示，为减少Verifier的计算压力，再引入一个对$h(X)$的polynomial commitment，将相应的计算压力转移给Prover。

---

1.6 基于knowledge assumption in bilinear groups 构建的polynomial commitment

已知maximum degree bound $D$，bilinear group $({\mathbb{G}}_1,{\mathbb{G}}_2,{\mathbb{G}}_T,q,G,H,e)$，有：

• committer key $ck$： c k = { G , β G , ⋯   , β D G } ∈ G 1 D + 1 ck=\{G,\beta G,\cdots, \beta^D G\}\in\mathbb{G}_1^{D+1} ck={G,βG,⋯,βDG}∈G1D+1​，其中$\beta$为random field element，为有毒垃圾；

• receiver key $rk$：$rk=(G,H,\beta H)\in {\mathbb{G}}_1\times {\mathbb{G}}_2$。

• Committer：对多项式$p\in {\mathbb{F}}_q^{\le D}[X]$的commitment为：
  $C=p(\beta )G$

• Committer：为证明$p$ evaluates to $v$ at a given point $z\in {\mathbb{F}}_q$，committer需构建一个witness polynomial $w(X)=(p(X)-v)/(X-z)$，输出的evaluation proof 为 $\pi =w(\beta )G\in {\mathbb{G}}_1$。

• Receiver：验证pairing方程式$e(C-vG,H)=e(\pi ,\beta H-zH)$是否成立。

基于knowledge assumption in bilinear groups，本文对单变量多项式$p(X)=c_0+c_{1}X+\cdots +c_d{X}^d$的polynomial commitment scheme $P{C}_{AGM}$的详细算法实现为：（与Marlin论文中的实现略有不同，Check算法中的opening challenge $\xi ={\rho }_0(rk,C,z,d,v)$ 由random oracle计算获得，而Marlin中的$\xi$是外部输入（explicit external input）。【实际算法实现与Marlin还是有差异的。】）

• $P{C}_{AGM}.Setup$：
  

• $P{C}_{AGM}.Trim$：生成commitment key $ck$ 和 receiver key $rk$。当匹配多个degree为$[d_i{]}_{i=1}^n$的多项式时，取degree最大值为$d$生成（$d=ma{x}_{i\in [n]}(d_1,\cdots ,d_n)$）。
  

• $P{C}_{AGM}.Commit$：输入为commitment key $ck$、单变量多项式$p$、degree bound $d$、commitment randomness $(w,w^{\ast })$。
  – 1. 从$ck$中获取所支持的degree bounds $[d_i{]}_{i=1}^n$。若$deg(p)>d$或者$d\notin [d_i{]}_{i=1}^n$，则abort；否则继续。
  – 2. 若随机数$w,w^{\ast }$不为空，则计算degree 为$deg(p)$的随机单变量多项式$\bar{p}$和${\bar{p}}^{\ast }$；否则，设置$\bar{p}$和${\bar{p}}^{\ast }$为zero polynomial。
  – 3. 计算unshifted commitment $U=p(\beta )G+\bar{p}(\beta )\gamma G$ 和 shifted commitment $S={\beta }^{D-d}p(\beta )G+{\bar{p}}^{\ast }\gamma G$。
  – 4. 输出为：$C=(U,S)$。注意其中$U,S$都是由$ck$中的元素线性计算获得。

• $P{C}_{AGM}.Open$：输入为commitment key $ck$、单变量多项式$p$、a commitment $C$ to $p$、degree bound $d$、evaluation point $z$、commitment randomness $(w,w^{\ast })$。
  – 1. 1. 从$ck$中获取所支持的degree bounds $[d_i{]}_{i=1}^n$。若$deg(p)>d$或者$d\notin [d_i{]}_{i=1}^n$，则abort；否则继续。
  – 2. 若随机数$w,w^{\ast }$不为空，则获取degree 为$deg(p)$的随机单变量多项式$\bar{p}$和${\bar{p}}^{\ast }$；否则，设置$\bar{p}$和${\bar{p}}^{\ast }$为zero polynomial。
  – 3. 计算evaluation $v=p(z)$ 和 opening challenge $\xi ={\rho }_0(rk,C,z,d,v)\in {\mathbb{F}}_q$。
  – 4. 定义多项式 $p^{\ast }(X)=X^{D-d}p(X)-X^{D-d}p(z)$，计算witness 多项式 $w(X)=\frac{p(X)-p(z)}{X-z}$ for $p$，计算witness polynomial $w^{\ast }(X)=X^{D-d}w(X)$ for $p^{\ast }$。将这两个witness结合为 $w^{\prime }=w+\xi w^{\ast }$。
  – 5. 计算witness 多项式 $\bar{w}(X)=\frac{\bar{p}(X)-\bar{p}(z)}{X-z}$ for $\bar{p}$，计算witness 多项式 ${\bar{w}}^{\ast }(X)=\frac{{\bar{p}}^{\ast }(X)-{\bar{p}}^{\ast }(z)}{X-z}$ for ${\bar{p}}^{\ast }$。将这两个witness结合为 ${\bar{w}}^{\prime }=\bar{w}+\xi {\bar{w}}^{\ast }$。
  – 6. 计算evaluation $\bar{v}=\bar{p}(z)+\xi {\bar{p}}^{\ast }(z)$。
  – 7. 计算 $W=w^{\prime }(\beta )G+{\bar{w}}^{\prime }(\beta )\gamma G$。
  – 8. 输出的evaluation proof 为：$\pi =(W,\bar{v})$。

• $P{C}_{AGM}.Check$：输入为commitment key $rk$、a commitment $C$ t、degree bound $d$、evaluation point $z$、a claimed evaluation $v$、a evaluation proof $\pi$。
  – 1. 若$d\notin rk$，则abort；否则继续。
  – 2. 解析commitment $C$ 为 $(U,S)\in {\mathbb{G}}_1^2$。
  – 3. 解析 proof $\pi$ 为 $(W,\bar{v})\in {\mathbb{G}}_1\times {\mathbb{F}}_q$。
  – 4. 计算opening challenge $\xi ={\rho }_0(rk,C,z,d,v)\in {\mathbb{F}}_q$。
  – 5. 计算combined commitment $C^{\prime }=U+\xi S$。
  – 6. 验证 $e(C^{\prime }-vG-v\xi {\beta }^{D-d}G-\bar{v}\gamma G,H)=e(W,\beta H-zH)$ 是否成立。

2 技术要点

2.1 PCD from arguments with accumulation schemes

[BCTV14; COS20] 在每一步 $i$，证明 “$z_i=F(z_{i-1})$，且存在proof ${\pi }_{i-1}$ 可证实$z_{i-1}$的正确性”。为了保证Verifier验证proof的复杂度低于直接进行相应计算，关注重点在于实现succinct verification。
succinct verification似乎是个矛盾的需求：Verifier没有时间来读取整个circuit $R$。解决该问题的办法之一是借助preprocessing：在recursion开始时，为$R$计算一个短的cryptographic digest，recursive Verifier可用该digest而不用直接读取整个circuit $R$。对于固定的circuit $R$，这种preprocessing 仅需offline 执行一次，对后续online phase中的each recursive step的性能影响可忽略。

仅有preprocessing还不够，[BGH19] Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》中引入了 post-processing 技术，基于以下发现：
if a SNARK is such that we can efficiently “defer” the verification of a claim in a way that does not grow in cost with the number of claims to be checked, then we can hope to achieve recursive composition by deferring the verification of all claims to the end。

本文构建的基于SNARKs的PCD算法具有post-processing属性。

本文的accumulation scheme在 [BGH19] Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》的基础上进行generalization，主要包括3组算法：

• accumulation prover。输入为：an instance-proof pair $(z,\pi )$和a previous accumulator $acc$；输出为：new accumulator $ac{c}^{\ast }$ that “includes” the new instance。
• accumulation verifier。输入为$((z,\pi ),acc,ac{c}^{\ast })$，然后验证$ac{c}^{\ast }$计算正确（i.e., that it accumulates $(z,\pi )$ into $acc$）。
• decider。输入为：a single accumulator $acc$，然后perform a single check that simultaneously ensures that every instance-proof pair accumulated in $acc$ verifies。

基于以上accumulation scheme，可构建IVC：

• IVC prover。输入为：previous instance $z_i$, proof ${\pi }_i$和accumulator $ac{c}_i$。IVC prover首先accumulate $(z_i,{\pi }_i)$ with $ac{c}_i$ to obtain a new accumulator $ac{c}_{i+1}$；生成 a SNARK proof ${\pi }_{i+1}$ of the claim: "$z_{i+1}=F(z_i)$, and there exist a proof ${\pi }_i$ and an accumulator $ac{c}_i$ such that the accmulation verifier accepts $((z_i,{\pi }_i),ac{c}_i,ac{c}_{i+1})$", expressed as a circuit $R$。
  最终的IVC proof包含$({\pi }_T,ac{c}_T)$。
• IVC verifier。通过running the SNARK verifier on ${\pi }_T$ and the accumulation scheme decider on $ac{c}_T$来验证IVC proof。

以上流程能实现IVC的原因在于：
若$ac{c}_i$ is a valid accumulator (according to the decider) 且 ${\pi }_i$ is a valid proof，则可说明computation is correct up to the $i$-th step。
若在time $T$都一直成立，则IVC verifier就成功check了整个计算。
注意到，若我们能通过一个an invariant 来证明 “$z_{i+1}=F(z_i)$, ${\pi }_i$ is a valid proof, and $ac{c}_i$ is a valid accumulator”，则可认为 the computation is correct up to step $i+1$。但是迄今为止我们无法直接实现相应的证明，原因有二：
1）证明${\pi }_i$是一个有效的proof需要证明a statement about the argument verifier, which may not be sublinear；
2）证明$ac{c}_i$是一个有效的accumulator需要证明 a statement about the decider, which may not be sublinear。

所以，与其直接进行证明，我们可以“defer”（推迟）：prover accumulate $(z_i,{\pi }_i)$ into $ac{c}_i$ to obtain a new accumulator $ac{c}_{i+1}$。
这种accumulation scheme的soundness可保证，若$ac{c}_{i+1}$是有效的且accumulation verfier accepts $((z_i,{\pi }_i),ac{c}_i,ac{c}_{i+1})$，则${\pi }_i$是一个有效的proof且$ac{c}_i$是一个有效的accumulator。剩下的就是要找到相应的invariant，使得prover能用于prove that the accumulation verifer accepts，同时可实现sublinear accumulation verifier。

PCD是IVC的generalization，与IVC每次计算步骤中只接收一个input $z_i$不同，PCD支持接收$m$个inputs from different nodes。
PCD中证明正确性，要求证明所有的inputs都被正确计算了。
本文构建的PCD支持check $m$ proofs and $m$ accumulators。因此，需要拓展上述accumulation scheme的定义，以允许 accmulate 多个 instance-proof pairs和多个 “old” accumulators。

本文构建的PCD具有如下属性：

• 满足效率要求。要求accumulation verifier run in time sublinear in the size of the circuit $R$，这就意味着 an accumulator must be of size sublinear in the size of $R$，不能随着每次accumulation step 增长。而 the SNARK verifier和decider algorithm均只需要有正常的运行效率即可（如，polynomial-time）。
• Soundness。若底层的SNARK is knowledge sound 和 accumulation scheme is sound，则本文的PCD scheme也是sound的。本文强调这两种情况都是secure in the standard (CRS) model without any random orcales (as in prior PCD constructions)。
• Zero knowledge。若底层的SNARK和accumulation scheme都是zero knowledge的，则相应的PCD scheme也是zero knowledge的。
• Post-quantum security。若底层的SNARK和accumulation scheme都是post-quantum secure的，则相应的PCD scheme也是post-quantum secure的。

2.2 Accumulation scheme

• accumulation scheme for a predicate 定义：
  
  而accumulation scheme for a SNARK 是 accumulation scheme for a predicate induced by the argument verifier，上图中的predicate input $q$ 包含 an instance-proof pair $(x,\pi )$。
  对于IVC/PCD，相当于有某个fixed circuit $R$，需要accumulate pairs $(x_i,{\pi }_i)$，其中${\pi }_i$是a SNARK proof，证明存在$w_i$使得$R(x_i,w_i)=1$。此时，predicate依赖的要素有：
  – pair $(x_i,{\pi }_i)$
  – circuit $R$
  – public parameters of the argument scheme $pp$
  – random oracle $\rho$
  circuit $R$ 不能是input $q$ 的一部分，因为其太大的，所以circuit $R$必须在一开始就fixed。
  需要同时定义：
  – a predicate Φ : U ( ∗ ) × ( { 0 , 1 } ∗ ) 3 → { 0 , 1 } \Phi:\mathcal{U}(*)\times(\{0,1\}^*)^3\rightarrow \{0,1\} Φ:U(∗)×({0,1}∗)3→{0,1}
  – a predicate-specification algorithm $\mathcal{H}$
  调整2.1定义中的predicate为$\Phi (\rho ,p{p}_{\Phi },i_{\Phi },\cdot )$，其中$\rho$为a random oracle，$p{p}_{\Phi }$为output by ${\mathcal{H}}^{\rho }$，$i_{\Phi }$为chosen adversarially。
  在本文的SNARK中，$\mathcal{H}$相当于the SNARK generator，$i_{\Phi }$为circuit $R$，且$\Phi (\rho ,pp,R,(x,\pi ))={\mathcal{V}}^{\rho }(pp,R,x,\pi )$。

• zero knowledge accumulation scheme：
  

Maller等人2019年论文《Sonic: Zero-Knowledge SNARKs from Linear-Size Universal and Updateable Structured Reference Strings》中提出了“helped verification”定义（即支持batch verification？），在具有helped verification 的SNARK中，an untrusted party known as the helper can, given $n$ proofs, produce an auxiliary proof that enables checking the $n$ proofs at lower cost than that of checking each proof individually。这种batching 能力可看成是accumulation的特例，as it applies to $n$ “fresh” proofs only; there is no notion of batching “old” accumulators。目前不清晰仅靠helped verification 是否足以构建IVC/PCD schemes。

2.3 构建arguments with accumulation schemes

• predicate-efficient SNARKs：
  
  近期的一些SNARK都可看成是predicate-efficient with respect to a “polynomial commitment” predicate：[MBKM19; GWC19; CHMMVW20]
  – Maller等人2019年论文《Sonic: Zero-Knowledge SNARKs from Linear-Size Universal and Updateable Structured Reference Strings》
  – Gabizon等人2019年论文《PLONK: Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge》
  – Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with Universal and Updatable SRS》

2.4 accumulation schemes for polynomial commitments

polynomial commitment scheme (PC scheme) 定义为：
one produce a commitment $C$ to a polynomial $p$，然后证明该committed polynomial evaluates to a claimed value $v$ at a desired point $z$。

相应的an accumulation scheme for a PC scheme为：
accmulates claims of the form "$C$ commits to $p$ such that $p(z)=v$" for arbitrary polynomials $p$ and evaluation points $z$。

基于当前流行的两种 (hiding） polynomial commitment scheme构建的 (zero knowledge) accumulation scheme为：

• $P{C}_{DL}$：基于security of discrete logarithm的，相关的研究成果有：[BCCGP16; BBBPWM18; WTSTW18] [BMMV19]
  – Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》，参见博客 Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting学习笔记。
  – B¨unz等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》，参见博客 Bulletproofs: Short Proofs for Confidential Transactions and More学习笔记。
  – Wahby等人2018年论文《Doubly-Efficient zkSNARKs Without Trusted Setup》，参见博客 Doubly-Efficient zkSNARKs Without Trusted Setup学习笔记。
  – Benedikt Bünz 等人（standford,ethereum,berkeley） 2019年论文《Proofs for Inner Pairing Products and Applications》。参见博客 Proofs for Inner Pairing Products and Applications 学习笔记。

• $P{C}_{AGM}$：基于knowledge assumption in bilinear groups，相关的研究成果有：[KZG10; CHMMVW20]
  – Kate等人2010年论文《Constant-Size Commitments to Polynomials and Their Applications》
  – Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with Universal and Updatable SRS》

无论是基于哪种 polynomial commitment scheme构建的accumulation scheme，accumulation verifier的running time都是sublinear in the degree of the polynomial，而accumulator本身并不会随着accumulation steps数量增加而增长。

2.4.1 基于$P{C}_{DL}$构建的accumulation scheme

对于degree小于$d$的单变量多项式，$P{C}_{DL}$的evaluation proof size 为 $O(\lambda \log d)$ in the random oracle model。$P{C}_{DL}$基于的安全假设为：the hardness of the discrete logarithm problem in a prime order group $\mathbb{G}$，这就使得$P{C}_{DL}$的参数中没有secret信息，即没有有毒垃圾。
但是$P{C}_{DL}$的verification complexity很高：验证an evaluation proof需要$\Omega (d)$个scalar multiplications in $\mathbb{G}$。[BGH19] Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》通过实现a batch of $n$ proofs的摊销相应的verification complexity。
接下来将介绍Halo中对$P{C}_{DL}$的accumulation scheme，其accumulation verifier仅需$O(n\log d)$个scalar multiplications而不是直接的$\Theta (n\cdot d)$，accumulator size为$O(\log d)$ elements in $\mathbb{G}$。

public parameter： { G 0 , G 1 , ⋯   , G d } ∈ G d + 1 \{G_0,G_1,\cdots,G_d\}\in\mathbb{G}^{d+1} {G0​,G1​,⋯,Gd​}∈Gd+1 in a group $\mathbb{G}$ of prime order $q$。
角色：committer和receiver。
committer：对polynomial $p(X)={\sum }_{i=0}^d{a}_i{X}^i\in {\mathbb{F}}_q^{\le d}[X]$进行commit，相应的commitment值为：$C={\sum }_{i=0}^d{a}_i{G}_i$

为了证明the committed polynomial $p$ evaluates to $v$ at a given point $z\in {\mathbb{F}}_q$，相当于证明$(C,z,v)$满足如下$NP$ statement：
$\exists a_0,\cdots ,a_d\in \mathbb{F}s.t.v={\sum }_{i=0}^d{a}_i{z}^{i}andC={\sum }_{i=0}^d{a}_i{G}_i$

以上可看成是一种特殊inner product argument (IPA)，receiver仅需verify the inner product argument to check the evaluation。[BCCGP16] Bootle等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》是prove the inner product of two committed vectors。不过此处与[BCCGP16]论文中的inner product argument实现略有不同，其中的向量$(1,z,\cdots ,z^d)$为public info，verifier也知道。所以相应的算法需做调整。

本文所实现的accumulation scheme依赖于一种特殊结构的IPA verifier，该IPA verifier具有如下特点：

• 使用random oracle生成$O(\log d)$个challenges；
• 运行仅需$O(\log d)$次field 和group operations的cheap checks ；
• 最终运行需要$\Omega d$次scalar multiplications的expensive check。该check可保证consistency between the challenges and a group element $U$ contained in the proof。

以上这种IPA verifier简明扼要地阻止了expensive check，因此为该IPA构建accumulation scheme reduce为了 为包含$U$的expensive check构建accumulation scheme。

本文基于[BGH19] Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》中的思路：（而Halo又是基于[BBBPWM18] B¨unz等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》）

• ${\xi }_1,\cdots ,{\xi }_{{\log }_{2}d}$为protocol challenges；
• $U$ 可看成是对polynomial $h(X)={\prod }_{i=0}^{{\log }_2(d)-1}(1+{\xi }_{{\log }_2(d)-i}{X}^{2^i})\in {\mathbb{F}}_q^{\le d}[X]$的commitment，该polynomial具有的特殊属性为：可evaluated at any point in just $O(\log d)$ field operations (exponentially smaller than its degree $d$)。从而就运行将expensive check on $U$ 转换为 a check that is amenable to bathching：不再直接验证$U$ is a commitment to $h$，改为验证 the polynomial committed inside $U$ agrees with $h$ at a challenge point $z$ sampled via the random oracle。

利用以上思路，转为实现：
有多个polynomials $p_1,\cdots ,p_n$，需要有$n$ checks of the form “check that the polynomial contained in $U_i$ evaluates to $h_i(z)$ at the point $z$”。由于此处针对的相同的evaluation point $z$，因此可以利用标准的同态属性进行accumulate。

需要accumulated的instance为：

• $(C,z,v,\pi )$，其中$\pi$为an evaluation proof for the claim “p(z)=v” and $p$ is the polynomial committed in $C$。

具体的accumulation scheme for $P{C}_{DL}$ $AS=(P,V,D)$实现方式为：

• Accumulation prover $P$：根据old accumulator $acc=(C_1,z_1,v_1,{\pi }_1)$和instance $(C_2,z_2,v_2,{\pi }_2)$ 计算 new accumulator $ac{c}^{\ast }=(C,z,v,\pi )$：
  – 分别从${\pi }_1,{\pi }_2$计算$U_1,U_2$，$U_1,U_2$可看成是commitment to polynomials $h_1,h_2$ defined by the challenges derived from ${\pi }_1,{\pi }_2$。
  – 使用random oracle $\rho$ 来计算random challenge：$\alpha =\rho ([h_1,U_1],[h_2,U_2])$。
  – 计算$C=U_1+\alpha U_2$，为commitment to polynomial $p(X)=h_1(X)+\alpha h_2(X)$。
  – 计算challenge point：$z=\rho (C,p)$，其中$p$为uniquely represented via the tuple $([h_1,h_2],\alpha )$。
  – 构建an evaluation proof $\pi$ for the claim “$p(z)=v$”。（该步骤是唯一expensive的一步）
  – 输出新的accumulator $ac{c}^{\ast }=(C,z,v,\pi )$。

• Accumulation verifier $V$：验证new accumulator $ac{c}^{\ast }=(C,z,v,\pi )$确实是由ld accumulator $acc=(C_1,z_1,v_1,{\pi }_1)$和instance $(C_2,z_2,v_2,{\pi }_2)$ 正确计算而来的。
  – 分别验证 $(C_1,z_1,v_1,{\pi }_1)$和$(C_2,z_2,v_2,{\pi }_2)$ pass the cheap checks of the IPA verifier。
  – 分别从${\pi }_1,{\pi }_2$计算$U_1,U_2$，$U_1,U_2$可看成是commitment to polynomials $h_1,h_2$ defined by the challenges derived from ${\pi }_1,{\pi }_2$。
  – 使用random oracle $\rho$ 来计算random challenge：$\alpha =\rho ([h_1,U_1],[h_2,U_2])$。
  – 验证 $C=U_1+\alpha U_2$ 成立。
  – 计算challenge point：$z=\rho (C,p)$，其中polynomial $p(X)=h_1(X)+\alpha h_2(X)$。
  – 验证 $h_1(z)+\alpha h_2(z)=v$成立。

• Decider $D$：输入为最终的accumulator $ac{c}^{\ast }=(C,z,v,\pi )$，验证$\pi$为a valid evaluation proof for the claim that the polynomial committed inside $C$ evaluates to $v$ at the point $z$。

为了在以上accumulation scheme for $P{C}_{DL}$中增加zero knowledge 属性，即需要引入hiding variant of $P{C}_{DL}$：在每一步，accumulation prover需要引入新的random polynomial $h_0$，从而保证the evaluation claim in $ac{c}^{\ast }$ is for a random polynomial，从而hiding all information about the original evaluation claims。而为了让accumulation verifier可验证通过，prover 需为$h_0$引入相应的辅助proof ${\pi }_V$。

2.4.2 基于$P{C}_{AGM}$构建的Accumulation scheme

$P{C}_{AGM}$：基于knowledge assumption in bilinear groups 构建的polynomial commitment scheme。
checking an evaluation proof in $P{C}_{AGM}$ 需要1个pairing计算，因此验证$n$个evaluation proof则需要$n$个pairing计算。
而accumulation scheme $AS=(P,V,D)$ for $P{C}_{AGM}$ 对此进行了改进：
验证accumulation of $n$个evaluation proofs时，accumulation verifier $V$ 仅需$O(n)$次scalar multiplications in ${\mathbb{G}}_1$ ，而decider $D$仅需要运行1次pairing计算来验证the resulting accumulator。

将pairing计算次数由$n$降为$1$，同时将single pairing计算推迟到了the end of the accumulation (the decider)。若将$P{C}_{AGM}$-based SNARK和accumulation scheme for $P{C}_{AGM}$结合，则可消除所有的pairings计算from the circuit being verified in the PCD construction。

[CHMMVW20] Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with Universal and Updatable SRS》中介绍了如何利用random linear combination来batching pairings，从而实现an accumulation scheme for $P{C}_{AGM}$。
借助1.6节的表示，即需要验证$n$个instance $[C_i,z_i,v_i,{\pi }_i{]}_{i=1}^n$，第$i$个instance的pairing check方程式表示为：
$e(C_i-v_{i}G,H)=e(\pi ,\beta )\iff e(C_i-v_{i}G+z_i{\pi }_i,H)=e({\pi }_i,\beta H)$ ……(1)
经过以上转换，pairing等式左右两侧的${\mathbb{G}}_2$ inputs ($H,\beta H$) 均于所声明的信息无关，从而允许引入random challenge $r=\rho ([C_i,z_i,v_i,{\pi }_i{]}_{i=1}^n)$ 进行random linear combination 来 实现batch pairing check，最终combined方程式为：
$e({\sum }_{i=1}^n{r}^i(C_i-v_{i}G+z_i{\pi }_i),H)=e({\sum }_{i=1}^n{r}^i{\pi }_i,\beta H)$ ……(2)
以上pairing方程式中包含了：

• accumulated commitment：$C^{\ast }={\sum }_{i=1}^n{r}^i(C_i-v_{i}G+z_i{\pi }_i)$
• accumulated proof：$\pi^*=\sum_{i=1}{n}r^i\pi_i $

从而引申出accumulation scheme $AS$ for $P{C}_{AGM}$的实现为：
$AS$ 中的accumulator包含a commitment-proof pair $(C^{\ast },{\pi }^{\ast })$，decider $D$仅需验证$e(C^{\ast },H)=e({\pi }^{\ast },\beta H)$是否成立。
观察公式（1）中，验证a claimed evaluation $(C,z,v,\pi )$ within $P{C}_{AGM}$ 的有效性 相当于 验证 the accumulator $(C-vG+z\pi ,\pi )$ is accepted by the decider $D$。

• accumulation prover $P$：输入为a list of old accumulators $[ac{c}_i{]}_{i=1}^n=[(C_i^{\ast },{\pi }_i^{\ast }){]}_{i=1}^n$，计算random challenge $r=\rho ([ac{c}_i{]}_{i=1}^n)$，构建$C^{\ast }={\sum }_{i=1}^n{r}^{i}C+i^{\ast },{\pi }^{\ast }={\sum }_{i=1}^n{r}^i{\pi }_i^{\ast }$，输出为$ac{c}^{\ast }=(C^{\ast },{\pi }^{\ast })\in {\mathbb{G}}_1^2$。
• accumulation verifier $V$：验证$ac{c}^{\ast }$ accumulates $[ac{c}_i{]}_{i=1}^n$，invoke $P$ and check that its output matches the claimed new accumulator $ac{c}^{\ast }$。

为了在以上accumulation scheme for $P{C}_{AGM}$中增加zero knowledge 属性，即需要在$ac{c}^{\ast }$中额外引入 对应为random polynomial 的 “old” accumulator，从而statistically hide the accumulated claims。而为了让accumulation verifier可验证通过，prover 需为“old” accumulator引入相应的辅助proof ${\pi }_V$。

3. 相关定义

• indexed relations：
  indexed relation $r$为a set of triples $(i,x,w)$，其中$i$为index，$x$为instance，$w$为witness。
  相应的indexed language $L(R)$为：对于$(i,x)$，存在witness $w$，使得$(i,x,w)\in R$。
  以satisfiable Boolean circuit的indexed relation为例：$i$表示the description of a boolean circuit，$x$为partial assignment to its input wires，$w$为assignment to the remaining wires that makes the circuit to output 0。

• Security parameter 和 random oracle：
  

• non-interactive arguments in the ROM：
  
  
  

• proof-carrying data PCD：（由于目前无法证实基于random oracle model构建的PCD是否安全，本文采用的standard (CRS) model。）
  
  
  

4. accumulation scheme

predicate Φ : U ( ∗ ) × ( { 0 , 1 } ∗ ) 3 → { 0 , 1 } \Phi: \mathcal{U}(*)\times (\{0,1\}^*)^3\rightarrow \{0,1\} Φ:U(∗)×({0,1}∗)3→{0,1}。
将$\Phi (\rho ,p{p}_{\Phi },i_{\Phi },q)$简化表示为${\Phi }^{\rho }(p{p}_{\Phi },i_{\Phi },q)$。
$\mathcal{H}$为randomized algorithm with access to a (random) oracle，输出为predicate参数$p{p}_{\Phi }$。

accumulation scheme for $(\Phi ,\mathcal{H})$ 包含的算法有 $AS=(G,I,P,V,D)$，均使用相同的random oracle $\rho$，各算法基本语义为：

• Generator：输入为security parameter $\lambda$，$G$ samples 然后输出public parameter $pp$。
• Indexer：输入为public parameter $pp$、predicate parameter $p{p}_{\Phi }$ (由$\mathcal{H}$生成)、predicate index $i_{\Phi }$，$I$ 确定性地计算输出triple $(apk,avk,dk)$，其中$apk$为accumulator proving key，$avk$ 为accumulator verification key，$dk$ 为decision key。
• Accumulation Prover：输入为accumulator proving key $apk$、$[q_i{]}_{i=1}^n$和old accumulators $[ac{c}_j{]}_{j=1}^m$，$P$ 输出new accumulator $acc$ 和proof ${\pi }_V$ 给accumulation verifier。
• Accumulation Verifier：输入为 accumulator verification key $avk$、$[q_i{]}_{i=1}^n$和accumulator instances $[ac{c}_j{]}_{j=1}^m$、new accumulator $acc$ 和proof ${\pi }_V$，$V$ 输出a bit indicating whether $acc$ correctly accumulates $[q_i{]}_{i=1}^n$和$[ac{c}_j{]}_{j=1}^m$。
• Decider：输入为decision key $dk$、accumulator $acc$，$D$ 输出a bit indicating whether $acc$ is a valid accumulator。

$AS=(G,I,P,V,D)$ 均应具有completeness和soundness属性。

• accumulation for non-interactive argument system ARG：
  

• accumulation for polynomial commitment scheme PC：
  

4.1 基于accumulation scheme构建的Proof-carrying data

本文构建的PCD在[COS20] Chiesa等人2020年论文《Fractal: Post-Quantum and Transparent Recursive Proofs from Holography》的基础上进行了改进：

• [COS20]中SNARK prover circuit包含了SNARK verifier circuit；而本文为了使verifier succinct，改为要求SNARK prover包含accumulation verifier circuit。
• PCD proof中包含了a SNARK proof $\pi$和an accumulator $acc$，验证计算需要running the SNARK verifier on $\pi$ and the accumulation scheme decider on $acc$。
• accumulation scheme的安全性与SNARK本身的安全性需结合考虑。要求SNARK remain secure with respect to the auxiliary input distribution induced by the public parameters of the accumulation scheme。

详细的PCD构建思路为：

4.2 为non-interactive arguments构建accumulation scheme

详细的构建思路为：

5. accumulation scheme for $P{C}_{DL}$

本文主要基于 [BGH19] Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》batch思想，将the expensive check 推迟给decider：

• accumulation verifier $V$仅需$O(\log d)$次scalar multiplications per accmulation；
• decider $D$需要$O(d)$次scalar multiplications。

因此，验证$n$个 evaluation proofs 总共需要 $O(n\log d+d)$次 scalar multiplications，而如果直接验证的话需要$\Theta (n\cdot d)$。
详细的accumulation scheme for $P{C}_{DL}$ 构建思路为：

6. accumulation scheme for $P{C}_{AGM}$

主要借鉴了[CHMMVW20] Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with Universal and Updatable SRS》中的batch思想。

直接验证$n$个$P{C}_{AGM}$ evaluation proofs需要$O(n)$个pairings，而若借助accumulation scheme，则：

• Verifier $V$仅需$O(n)$次scalar multiplications in ${\mathbb{G}}_1$；
• decider $D$需要运行一次pairing计算。

详细的accumulation scheme for $P{C}_{AGM}$构建思路为：