Practical Zero-Knowledge Protocols Based on the Discrete Logarithm Assumption 学习笔记 2

1. 引言

Stephanie Bayer 2013年博士论文 《Practical Zero-Knowledge Protocols Based on the Discrete Logarithm Assumption》。

前序博客为 Practical Zero-Knowledge Protocols Based on the Discrete Logarithm Assumption 学习笔记 1，在该博客中主要关注论文前5章的内容。

本博客主要关注论文第6章内容——polynomial evaluation argument （单变量、多变量以及batch）。

---

要点：

• 1）Polynomial evaluation argument，证明$p(u)=v$，其中多项式的系数为public info，$u,v$为secret info。相应的各项研究对比为：
  
  与 Brands等人[BDD07] 2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》中隐含的polynomial evaluation argument 对比为：
  
• 2）多变量Polynomial evaluation argument，证明$p(u_{1}m\cdots ,u_N)=v$，其中多项式的系数为public info，$u_1,\cdots ,u_N,v$为secret info。相应的各项研究对比为：
  
• 3）batch polynomial argument，同时证明$L$个不同的单变量多项式的 batch polynomial evaluation argument 对比为：
  

---

2. Zero-Knowledge Polynomial Arguments

2.1 相关的zero-knowledge polynomial arguments介绍

在很多密码学应用中，a party wants to prove possession of a secret value $u$ that fulfills a certain property，因此可将该问题转为：given a polynomial $P(X)$ and a value $v$ whether the secret $u$ satifies $P(u)=v$ in prime order field ${\mathbb{Z}}_q$。实际的应用可为：

• non-membership proof 或 membership proof
• possession of a digital signature
• electronic cash protocols

本文的polynomial evaluation argument 考虑的场景为：

• public info：commitment $c_u,c_v$，以及多项式$P(X)={\sum }_{i=0}^D{a}_i{X}^i$的系数$a_0,\cdots ,a_D$
• witness：$u,v$
• relation：$c_u=Com(u)$且$c_v=Com(v)$且$P(u)={\sum }_{i=0}^D{a}_i{u}^i=v$

本文构建的polynomial evaluation argument，相应的：

• communication complexity为$O(\log D)$ group and field elements，之前[BDD07,Gro09] 论文中基于discrete logarithm logarithm assumption实现的为$O(\sqrt{D})$。
• Prover computation complexity为：$O(\log D)$ exponentiations 和 $O(D\log D)$ multiplications in ${\mathbb{Z}}_q$。
• Verifier computation complexity为：$O(\log D)$ exponentiations 和 $O(D)$ multiplications in ${\mathbb{Z}}_q$。

可扩展至多变量多项式 $P(X_1,\cdots ,X_n)$，相应的多变量polynomial evaluation argument 具有：

• communication 仅为$O((\log D{)}^n)$ elements，其中$D$为the maximum degree of each variable $X_i$，少于the statement size of $D^n$ field elements。
• Prover和Verifier的computation complexity为：$O((\log D{)}^n)$ exponentiations。

本文实现了prove correctness of evaluation of $L$ polynomials $P_i(X)$ at the same time。[FO97, Bra97, CS97, BDD07, CD98, Gro09, Gro11, KZG10] 等论文需要 $L$ times the original cost，as the argument has to be repeated $L$ times in parallel。
Repeating our new polynomial arument in parallel would lead to $O(L\log D)$ cost，但是本文可reduce为$O(\sqrt{L}\log D)$。Verifier的computation complexity可由 $O(L\log D)$ exponentiations reduce为 $O(\sqrt{L}\log D)$ exponentiations，而round complexity仍然为3。

本文将 Brands等人[BDD07] 2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》的polynomial argument和本文的polynomial argument进行了实现对比：

• 对于big degree polynomials，[BDD07] 的communication cost为MB级，而本文的为KB级。
• 本文的Verifier 运行效率优于 [BDD07]。
• 本文的Prover 运行效率优于 [BDD07] for reasonable degree $D$。

因此对于big size $D$，本文的算法效率更高。

2.1.1 相关技术

在很多multi-exponentiation 技术中，the exponentes $a_i$ 以二进制表示，将有助于提升运算性能。本文借助该思路，将communication cost reduce 为logarithmic cost，即将$X^i$ 表示为：
$X^i={\prod }_{j=0}^d(X^{2^j}{)}^{i_j}$
其中$i$以二进制形式表示为$i=i_0\cdots i_d$。

从而可仅commit to $\log D=d$ values $u,u^2,u^4,\cdots ,u^D$，利用commitment的同态属性，可获得任意 u i , i ∈ { 1 , 2 , 3 , 4 , ⋯   , D } u^i,i\in\{1,2,3,4,\cdots,D\} ui,i∈{1,2,3,4,⋯,D} 对应的commitment值，从而可获得相应的argument for $P(u)=v$，相应的communication cost为$O(\log (D))$ group elements。
但是该reduction会带来high computation complexity。主要瓶颈在于计算a new polynomial $Q(X)$ is expensive。不过，calculation the polynomial in a binary tree fashion 将reduce the computation complexity，且相应的performance 将efficient for medium range parameters。

为了prove correctness of many polynomial $P^{(1)}(X),\cdots ,P^{(L)}(X)$ at the same time，将使用batch verification来reduce the communication cost。将这些polynomials排布为 a $m\times n$ matrix，$L=mn$，然后 show the correctness of $n$ polynomials at the same time using Lagrange interpolation polynomials [GGPR13] and the length property of the general Pedersen commitment。

2.1.2 相关的研究成果

本文关注的是：
Given two committed values $u,v$，实现a zero-knowledge argument that $P(u)=v$ for a public polynomial $P(X)$ of degree $D$。

即相应的polynomial evaluation argument 考虑的场景为：

• public info：commitment $c_u,c_v$，以及多项式$P(X)={\sum }_{i=0}^D{a}_i{X}^i$的系数$a_0,\cdots ,a_D$
• witness：$u,v$
• relation：$c_u=Com(u)$且$c_v=Com(v)$且$P(u)={\sum }_{i=0}^D{a}_i{u}^i=v$

相关的研究成果有：

• [Kil92] 不是基于discrete logarithm assumption的，需要costly NP-reduction。
• [FO97] 基于RSA-based context，但是具有 linear complexity in the degree of the polynomial and both parties have to perform a linear number of exponenetiations。
• [Bra97,CS97]是基于discrete logartihm的，但是也需要linear complexity for the communication and the computation。
• [BDD07] 是基于discrete logarithm的，其中的non-membership proof是当前效率最高的polynomial evaluation argument。其communication complexity为$O(\sqrt{D})$，$D$为the number of elements in the set，Prover和Verifier均需要perform in $O(\sqrt{D})$ time。
• [KZG10]基于pairings构建了新的polynomial commitment，在该论文中阐述的是prove evaluation of secret polynomials in a public know value $x$，但是可以将其转换为a general polynomial evaluation argument。这种基于pairing构建的polynomial argument，其communication cost非常轻量级，但是 the computation complexity is $O(D)$ exponentiations for both parties。
• [CD98]基于prime order group setting，具有linear communication complexity 和 linear computation。
• [Gro09] 基于prime order group setting，communication complexity为$O(\sqrt{D})$ group elements，Verifier仅需$O(\sqrt{D})$ number of exponentiations，Prover需commit themselves to all gates which cost a linear number of exponenetiations。
• [Gro11] （Groth 2011年论文《Efficient zero-knowledge arguments from two-tiered homomorphic commitments》）中基于stronger assumption和pairing assumption，将communication cost reduce 为$O(D^{\frac{1}{3}})$ group elements。Verifier仅需计算$O(D^{\frac{1}{3}})$ exponentiations，但是Prover仍然需要commit themselves to the values in each gate, which cost $O(D)$ commitment operations for the prover。These operations are either exponentiations or calculation of a pairing。

这些研究成果要么需要 high computation complexity for the prover, high computation for the verifier，要么需要 high communication complexity， 要么两者都需要。
[KZG10] 具有迄今为止最小的communication complexity，同时[Gro11] （Groth 2011年论文《Efficient zero-knowledge arguments from two-tiered homomorphic commitments》）也具有low communication cost，但是这两个方案都需要high computation，且都基于 stronger assumption，which are not as well studied as the discrete logarithm assumption。
[BDD07] 基于discret logarithm assumption，实现了the best asymptotic computation cost for both parties的同时还具有a low communication of $O(\sqrt{D})$ elements。

2.2 具有logarithmic cost的polynomial evaluation argument

相关成果已发表在 Eurocrypt 2013年论文《Zero-knowledge argument for polynomial evaluation with application to blacklists》，具体也可参见博客 Zero-Knowledge Argument for Polynomial Evaluation with Application to Blacklists 学习笔记。

polynomial evaluation argument 考虑的场景为：

• public info：commitment $c_u,c_v$，以及多项式$P(X)={\sum }_{i=0}^D{a}_i{X}^i$的系数$a_0,\cdots ,a_D$
• witness：$u,v$
• relation：$c_u=Com(u)$且$c_v=Com(v)$且$P(u)={\sum }_{i=0}^D{a}_i{u}^i=v$

By padding with zero-coefficients we can without loss of genrality，假设$D=2^{d+1}-1$。以二进制形式表示为$i=i_0\cdots i_d$，其中 i j ∈ { 0 , 1 } i_j\in\{0,1\} ij​∈{0,1}。
从而可以将term $X^i$表示为：
$X^i=X^{{\sum }_{j=0}^d{i}_j{2}^j}={\prod }_{j=0}^d(X^{2^j}{)}^{i_j}$

替换进$P(X)$中有：
$P(X)={\sum }_{i=0}^D{a}_i{X}^i={\sum }_{i_0,\cdots ,i_d=0}^1{a}_{i_0\cdots i_d}{\prod }_{j=0}^d(X^{2^j}{)}^{i_j}$

待证明的问题变为：
${\sum }_{i_0,\cdots ,i_d=0}^1{a}_{i_0\cdots i_d}{\prod }_{j=0}^d(u^{2^j}{)}^{i_j}=v$

相应的场景可变为：

• public info：commitment $c_{u_0},c_{u_1},\cdots ,c_{u_d},c_v$，以及多项式$P(X)={\sum }_{i=0}^D{a}_i{X}^i$的系数$a_0,\cdots ,a_D$
• witness：$u,v$
• relation：$c_{u_0}=Com(u^{2^0}),c_{u_1}=Com(u^{2^1}),\cdots ,c_{u_d}=Com(u^{2^d})$且$c_v=Com(v)$且$P(u)={\sum }_{i_0\cdots i_d=0}^1{a}_{i_0\cdots i_d}{\prod }_{j=0}^d(u^{2^j}{)}^{i_j}=v$

由于$d=\lfloor \log D\rfloor$，Prover仅需make a logarithmic number of commitments，将有助于keep the communication cost low。
同时可借助标准技术来证明 the commitments $c_{u_1},\cdots ,c_{u_d}$ to $u^{2^1},\cdots ,u^{2^d}$ are well-formed and indeed contain the correct powers of $u$。

为了证明 the committed powers of $u$ in $c_0,c_1,\cdots ,c_d$ evaluate to the committed $v$，Prover选择随机值$f_0,\cdots ,f_d\leftarrow {\mathbb{Z}}_p$，构建新的多项式：
$Q(X)={\sum }_{i_0\cdots i_d=0}^1{a}_{i_0,\cdots ,i_d}{\prod }_{j=0}^d(X{u}^{2^j}+f_j{)}^{i_j}{X}^{1-i_j}=X^{d+1}P(u)+X^d{\delta }_d+\cdots +X{\delta }_1+{\delta }_0$

构建该新多项式$Q(X)$的核心思想为：
for each $i_j$ either an $X{u}^{2^j}$ factor is included or an $X$ factor is included，因此$P(u)$为$X^{d+1}$的系数。每个$f_j$仅影响 the lower degree coefficients ${\delta }_0,\cdots ,{\delta }_d$ of $Q(X)$。

接下来Prover需要证明 the coefficient of $X^{d+1}$ in the secret Q(X) is the same as $v$， in a way that cancels out the ${\delta }_0,\cdots ,{\delta }_d$ coefficients。Prover将给Verifier发送 commitements $c_{f_0},\cdots ,c_{f_d}$ to $f_0,\cdots ,f_d$ 和 commitments $c_{{\delta }_0},\cdots ,c_{{\delta }_d}$ to ${\delta }_0,\cdots ,{\delta }_d$。
Prover收到Verifier发送的challenge $x\leftarrow {\mathbb{Z}}_q^{\ast }$ 之后，将open suitable products of the commitments in a way such that the verifier can check that the committed values $u,v$ 满足：
$Q(x)=x^{d+1}v+x^d{\delta }_d+\cdots +{\delta }_0$

准确地，Prover将：

• open each product $c_j^x{c}_{f_j}$ to ${\bar{f}}_j=x{u}^{2^j}+f_j$
• open $c_v^{x^{d+1}}{\prod }_{j=0}^d{c}_{{\delta }_j}^{x^j}$ to $\bar{\delta }={\sum }_{i_0\cdots i_d=0}^1{a}_{i_0\cdots i_d}{\prod }_{j=0}^d({\bar{f}}_j^{i_j}{)}^{i_j}{x}^{1-i_j}$

注意其中$\bar{\delta }$可由Verifier自己计算，因此以上两个条件都验证通过，则$P(u)=v$成立。

借助标准技术来证明 the commitments $c_{u_1},\cdots ,c_{u_d}$ to $u^{2^1},\cdots ,u^{2^d}$ are well-formed and indeed contain the correct powers of $u$ 的方法为：
Prover 发送commitments $c_{f{u}_j}$ to $f_j{u}^{2^j}$ 给Verifier，然后open the commitments $c_{u_{j+1}}^x{c}_{u_j}^{-{\bar{f}}_j}{c}_{f{u}_j}$ to
$x{u}^{2^{j+1}}-(x{u}^{2^j}+f_j)u^{2^j}+f_j{u}^{2^j}=0$。

完整的证明过程为：


整个证明算法的效率分析为：


实际实现的性能分析为：

2.3 多变量polynomial argument

关注的多变量多项式为：
$P(X_1,\cdots ,X_N)={\sum }_{i_1,\cdots ,i_N=0}^D{a}_{i_1\cdots i_N}{X}_1^{i_1}\cdots X_N^{i_N}$

多变量polynomial evaluation argument 考虑的场景为：

• public info：commitment $c_{u_1},\cdots ,c_{u_N},c_v$，以及多项式$P(X_1,\cdots ,X_N)={\sum }_{i_1,\cdots ,i_N=0}^D{a}_{i_1\cdots i_N}{X}_1^{i_1}\cdots X_N^{i_N}$的系数$a_{0\cdots 0},\cdots ,a_{D\cdots D}$
• witness：$u_1,\cdots ,u_N,v$
• relation：$c_{u_1}=Com(u_1),\cdots ,c_{u_N}=Com(u_N)$且$c_v=Com(v)$且$P(u_1,\cdots ,u_N)={\sum }_{i_1,\cdots ,i_N=0}^D{a}_{i_1\cdots i_N}{u}_1^{i_1}\cdots u_N^{i_N}=v$

By padding with zero-coefficients we can without loss of genrality，假设$D=2^{d+1}-1$。以二进制形式表示为$i_j=i_{j0}\cdots i_{jd}$，其中 i j k ∈ { 0 , 1 } i_{jk}\in\{0,1\} ijk​∈{0,1}。
从而可以将term $X_j^{i_j}$表示为：
$X_j^{i_j}=X_j^{{\sum }_{k=0}^d{i}_{jk}{2}^k}={\prod }_{k=0}^d(X_j^{2^k}{)}^{i_{jk}}$

替换进$P(X)$中有：
$P(X_1,\cdots ,X_N)={\sum }_{i_1,\cdots ,i_N=0}^D{a}_{i_1\cdots i_N}{\prod }_{k=0}^d(X_1^{2^k}{)}^{i_{1k}}\cdots {\prod }_{k=0}^d(X_N^{2^k}{)}^{i_{Nk}}={\sum }_{i_{10},\cdots ,i_{Nd}=0}^1{a}_{i_{10}\cdots i_{Nd}}{\prod }_{j=1}^N{\prod }_{k=0}^d(X_j^{2^k}{)}^{i_{jk}}$

待证明的问题变为：
${\sum }_{i_{10},\cdots ,i_{Nd}=0}^1{a}_{i_{10}\cdots i_{Nd}}{\prod }_{j=1}^N{\prod }_{k=0}^d(u_j^{2^k}{)}^{i_{jk}}=v$

Prover选择随机数 $f_{jk}\leftarrow {\mathbb{Z}}_q$ for $j=1,\cdots ,N$ and $k=0,\cdots ,d$，构建新的多项式：
Q ( X 1 , ⋯   , X N ) = ∑ i 10 , ⋯   , i N d = 0 1 a i 10 ⋯ i N d ∏ j = 1 N ∏ k = 0 d ( X j 2 k + f j k ) i j k X j 1 − i j k = X 1 d + 1 ⋯ X N d + 1 v + X 1 d X 2 d + 1 ⋯ X N d + 1 δ ν + ⋯ + X N δ 1 + δ 0 = X 1 d + 1 ⋯ X N d + 1 v + ∑ k 1 , ⋯   , k N = 0 ∖ { k 1 = ⋯ = k N = d + 1 } ∧ l = ∑ i = 1 d + 1 k i ( d + 1 ) i d + 1 X 1 k 1 ⋯ X N k N δ l Q(X_1,\cdots,X_N)=\sum_{i_{10},\cdots,i_{Nd}=0}^{1}a_{i_{10}\cdots i_{Nd}}\prod_{j=1}^{N}\prod_{k=0}^{d}(X_j^{2^k}+f_{jk})^{i_{jk}}X_j^{1-i_{jk}}=X_1^{d+1}\cdots X_N^{d+1}v+X_1^dX_2^{d+1}\cdots X_N^{d+1}\delta_{\nu}+\cdots+X_N\delta_1+\delta_0=X_1^{d+1}\cdots X_N^{d+1}v+\sum_{k_1,\cdots,k_N=0\setminus \{k_1=\cdots=k_N=d+1\}\wedge l=\sum_{i=1}^{d+1}k_i(d+1)^i}^{d+1}X_1^{k_1}\cdots X_N^{k_N}\delta_l Q(X1​,⋯,XN​)=∑i10​,⋯,iNd​=01​ai10​⋯iNd​​∏j=1N​∏k=0d​(Xj2k​+fjk​)ijk​Xj1−ijk​​=X1d+1​⋯XNd+1​v+X1d​X2d+1​⋯XNd+1​δν​+⋯+XN​δ1​+δ0​=X1d+1​⋯XNd+1​v+∑k1​,⋯,kN​=0∖{k1​=⋯=kN​=d+1}∧l=∑i=1d+1​ki​(d+1)id+1​X1k1​​⋯XNkN​​δl​

其中 $\nu =(d+1{)}^N-1$。

具体的证明思路与2.2节的单变量polynomial evaluation argument 类似。


整个多变量polynomial evaluation argument的运行效率分析如下：

2.4 Batch Polynomial Argument

针对的场景为：
有a batch of polynomials $P^{(1)}(X),\cdots ,P^{(L)}(X)$ of the form
$P^{(l)}(X)={\sum }_{i=0}^D{a}_i^{(l)}{X}^i={\sum }_{i_0,\cdots ,i_d=0}^1{a}_{i_0\cdots i_d}^{(l)}{\prod }_{j=0}^d(X^{2^j}{)}^{i_j}$
commitments to evaluations $v_1=P^{(1)}(u_1),\cdots ,v_L=P^{(L)}(u_L)$ in committed values $u_1,\cdots ,u_L$，满足$v_i=P^{(i)}(u_i)$ for all $i$。

若并行执行2.2节的polynomial argument的花，则communication complexity为$O(L\log D)$ group and field elements。
而借助博客 Practical Zero-Knowledge Protocols Based on the Discrete Logarithm Assumption 学习笔记 1 5.4节的Hadamard product argument算法，可将communication cost reduce为$O(\sqrt{L}\log D)$ when $L=mn$ and $m\approx n\approx \sqrt{L}$。

在Hadamard product argument中，有针对a set of values Ω = { w 1 , ⋯   , w m } ⊂ Z q \Omega=\{w_1,\cdots,w_m\}\subset\mathbb{Z}_q Ω={w1​,⋯,wm​}⊂Zq​，相应的Langrange interpolation polynomials为：
$$l_i(X)=\frac{{\prod }_{j\ne i}(X-w_j)}{{\prod }_{j\ne i}(w_i-w_j)}\text{for}i=1,\cdots ,m$$

可定义$l(X)={\prod }_{j=1}^m(X-w_j)$。本文只要求$w_1,\cdots ,w_m$为不同的，不过为了效率，通常选择为$n$-th root of unity值。当为$n$-th root of unity时，可借助FFT来加速相关计算。

Lagrange polynomials具有如下关键特性：
$$l_i(X)=\{\begin{array}{cc}1& \mathrm{m}\mathrm{o}\mathrm{d}X-w_i\\ 0& \mathrm{m}\mathrm{o}\mathrm{d}\frac{l(X)}{X-w_i}\end{array}\text{for}i=1,\cdots ,m$$

还有：

• $l_i(X)\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}X-w_i$
• $l_i(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_k\text{for}i\ne k$
• $l(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_k\text{for}\forall k$
• $l_i(X)(X-w_i)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}l(X)\text{for}\forall i$

该思路也可用于batch-verify many polynomials simultaneously to reduce the communication cost。具体为：
将 the polynomials 和 the committed values 以 $m\times n$ 矩阵表示，其中$L=mn$。

转为证明：
已知 polynomials $P^{(i,k)}$ 和 the committed values $u_{i,k},v_{i,k}$ for $i=1,\cdots ,m$ and $k=1,\cdots ,n$。

然后 for each $k$ verify the $m$ polynomial evaluations $P^{(i,k)}(u_{i,k})=v_{i,k}$ simultaneously。

类似地，选择随机值 ${\vec{f}}_j\leftarrow {\mathbb{Z}}_q^n$，构建：
${\overline{\stackrel{⃗}{u}}}_{2^j}=l(X){\vec{f}}_j+{\sum }_{i=1}^m{l}_i(X){\vec{u}}_i^{2^j}$

此时对于 the $k$-th entries ${\bar{u}}_{2^j,k}$ of these vectors，for each $i=1,\cdots ,m$有：
${\bar{u}}_{2^j,k}\equiv u_{i,k}^{2^j}\mathrm{m}\mathrm{o}\mathrm{d}X-w_i$。
将其替换进polynomial $P^{(i,k)}$ 有：
${\sum }_{i_0,\cdots ,i_d=0}^1{a}_{i_0\cdots i_d}^{(i,k)}{\prod }_{j=0}^d({\bar{u}}_{2^j,k}{)}^{i_j}\equiv P^{(i,k)}(u_{i,k})\equiv v_{i,k}\mathrm{m}\mathrm{o}\mathrm{d}X-w_i$

为了verify many polynomials at once, Prover仅需向Verifier证明：【注意 $l_i(X)(X-w_i)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}l(X)$】
${\sum }_{i=1}^m{l}_i(X){\sum }_{i_0,\cdots ,i_d=0}^1{a}_{i_0\cdots i_d}^{(i,k)}{\prod }_{j=0}^d({\bar{u}}_{2^j,k}{)}^{i_j}\equiv {\sum }_{i=1}^m{l}_i(X)v_{i,k}\mathrm{m}\mathrm{o}\mathrm{d}l(X)$

详细的证明过程为：


其中第4步验证内容为2.2节的 “借助标准技术来证明 the commitments $c_{u_{i,2^1}},\cdots ,c_{u_{i,2^d}}$ to $u_i^{2^1},\cdots ,u_i^{2^d}$ are well-formed and indeed contain the correct powers of $u_i$” 的并行证明，for $i=1,\cdots ,m$。

整个Batch Polynomial Argument 算法的性能分析为：

2.5 具有sqaure root cost的polynomial evaluation argument

Brands等人[BDD07] 2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》中构建了具有sqaure root complexity的polynomial argument，来源于其中的non-membership proof，可以很容易转换为a polynomial argument。
在该论文中：
为了证明non-membership of a $u\in {\mathbb{Z}}_q$ to a list L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={λ1​,⋯,λD​}，where without loss of generality $D={\sigma }^2$。
Brandsg构建了$\sigma =\sqrt{D}$ 个polynomials：
$P_j(X)={\prod }_{i=1}^{\sigma }(X-{\lambda }_{(j-1)\sigma +i})$
并证明 for each $j=1,\cdots ,\sigma$ 有 $P_j(X)$ evaluated in $u$ is not equal to 0。
整个证明过程包含了：

• 证明$P_j(u)=v_j$ 确实是the polynomial evaluated on $u$。
• Prover commit themselves to the values $u,u^2,u^3,\cdots ,u^{\sigma }$，然后证明这些commitments 包含了the successive powers of $u$。

利用以上两个证明算法，可构建相应的polynomial argument：
Prover和Verifier都知道多项式$P(X)=a_D{X}^D+\cdots +a_{1}X+a_0$，Prover需证明the committed values $u,v$ 使得$P(u)=v$。
为了实现square root complexity，将多项式$P(X)$ 拆分为$\sigma$个多项式$P_j(X)$：
$P(X)=P_{\sigma }(X)X^{D-\sigma }+\cdots +P_2(X)X^{\sigma }+P_1(X)$
其中每个多项式$P_j(X)$的degree为$\sigma =\sqrt{D}$。

证明算法中需包含的核心要点有：

• 1）采用标准技术证明 the commitments $c_{u_1},\cdots ,c_{u_{\sigma }}$ to $u^1,u^2,\cdots ,u^{\sigma }$ are well-formed and indeed contain the correct powers of $u$，思路为：【$c_{u_i}=Co{m}_{ck}(u^i;r_i)$ for $i=1,\cdots ,\sigma ,r_i\leftarrow {\mathbb{Z}}_q$】
  – Prover commit to 随机数 $r_u,t_1,t_2,\cdots ,t_{\sigma }$，发送给 Verifier $f_1=Co{m}_{ck}(r_u;t_1)$ 和 $f_i=c_{u^{i-1}}^{r_u}co{m}_{ck}(0;t_i)$ for $i=2,\cdots ,\sigma$。
  – Verifier 发送challenge $x$。
  – Prover 回复 $\bar{u}=xu+r_u$，以及${\bar{r}}_1=x{r}_1+t_1,{\bar{r}}_i=x(r_i-u{r}_{i-1})+t_i\text{for}i=2,\cdots ,\sigma$。
  – Verifier 验证 $Co{m}_{ck}(\bar{u};{\bar{r}}_1)=f_1{c}_{u_1}^x$ 以及 $c_{u_{i-1}}^{\bar{u}}Co{m}_{ck}(0;{\bar{r}}_i)=f_i{c}_{u_i}^x$ for $i=2,\cdots ,\sigma$。

• 2）采用标准技术证明 the commitments $c_{u_{\sigma }},c_{u_{2\sigma }}\cdots ,c_{u_{(\sigma -1)\sigma }}$ to $u^{\sigma },u^{2\sigma },\cdots ,u^{(\sigma -1)\sigma }$ are well-formed and indeed contain the correct powers of $u$，思路与1）类似为：【$c_{u_{i\sigma }}=Co{m}_{ck}(u^{i\sigma };r_{i\sigma })$ for $i=1,\cdots ,\sigma -1,r_{i\sigma }\leftarrow {\mathbb{Z}}_q$】
  – Prover 发送给Verifier $f_{i\sigma }=c_{u_{(i-1)\sigma }}^{r_{u_{\sigma }}}Co{m}_{ck}(0;t_{i\sigma })$，其中 $r_{u_{\sigma }},t_{i\sigma }\leftarrow {\mathbb{Z}}_q,i=2,\cdots ,\sigma -1$。
  – Verifier发送challenge $x$。
  – Prover回复 ${\bar{u}}_{\sigma }=x{u}^{\sigma }+r_{u_{\sigma }}$，以及${\bar{r}}_{i\sigma }=x(r_{i\sigma }-u^{\sigma }{r}_{(i-1)\sigma })+t_i\text{for}i=2,\cdots ,\sigma -1$。
  – Verifier 验证 $c_{u_{(i-1)\sigma }}^{{\bar{u}}_{\sigma }}Co{m}_{ck}(0;{\bar{r}}_{i\sigma })=f_{i\sigma }{c}_{u_{i\sigma }}^x$ for $i=2,\cdots ,\sigma -1$。

• 3）对拆分后的$\sigma$个多项式$P_j(X)$：【需证明$v=v_{\sigma }{u}^{(\sigma -1)\sigma }+\cdots +v_2{u}^{\sigma }+v_1=v_1+{\sum }_{i=2}^{\sigma }{v}_i{u}^{(i-1)\sigma }$ 以及 $P_j(u)=v_j$，其中 $v,u,v_i$ 均为secret info。$c_v=Co{m}_{ck}(v;s)$。】
  – Prover：计算 $v_j=P_j(u)$ 和 $w_j=a_{j,\sigma }{r}_{\sigma }+\cdots +a_{j,2}{r}_2+a_{j,1}{r}_1$，for $j=1,\cdots ,\sigma$。
  计算$c_{v_i}=Co{m}_{ck}(v_i;w_i)$，$i=1,\cdots ,\sigma$。
  计算$c_{v_i^{\ast }}=Co{m}_{ck}(v_i{u}^{(i-1)\sigma };s_i)$，$i=2,\cdots ,\sigma$，其中 $s_i\leftarrow {\mathbb{Z}}_q,s_{\sigma }=s-{\sum }_{i=2}^{\sigma -1}{s}_i-w_1$。
  3.1）为了证明$c_{v_i^{\ast }}=Co{m}_{ck}(v_i{u}^{(i-1)\sigma };s_i)$、$c_{v_i}=Co{m}_{ck}(v_i;w_i)$ 及两者之间的关系：
  Prover：选择随机数 $d_i,{\rho }_i$ for $i=1,\cdots ,\sigma$，计算$c_{d_i}=Co{m}_{ck}(d_i;{\rho }_i)$；选择随机数 $e_i,{\sigma }_i$ for $i=2,\cdots ,\sigma$，计算$c_{e_i}=Co{m}_{ck}(e_i;{\sigma }_i)$；for $i=2,\cdots ,\sigma$，计算$c_{f_i}=c_{u_{(i-1)\sigma }}^{d_i}Co{m}_{ck}(0;{\rho }_i)$。
  Verifier：发送challenge $x$。
  Prover：for $i=1,\cdots ,\sigma$，计算${\bar{a}}_i=d_i+x{v}_i,{\bar{r}}_i={\rho }_i+x{w}_i$；for $i=2,\cdots ,\sigma$，计算${\bar{b}}_i=e_i+x{u}^{(i-1)\sigma },{\bar{s}}_i={\sigma }_i+x{r}_{i\sigma }$；for $i=2,\cdots ,\sigma$，计算 ${\bar{t}}_i={\rho }_i-x(r_{(i-1)\sigma }{v}_i-s_i)$。
  Verifier：for $i=1,\cdots ,\sigma$，验证$c_{v_i}^x{c}_{d_i}=Co{m}_{ck}({\bar{a}}_i;{\bar{r}}_i)$；for $i=2,\cdots ,\sigma$，验证 $c_{u_{(i-1)\sigma }}^x{c}_{e_i}=Co{m}_{ck}({\bar{b}}_i;{\bar{s}}_i)$ 和 $c_{v_i^{\ast }}^x{c}_{f_i}=c_{u_{(i-1)\sigma }}^{{\bar{a}}_i}Co{m}_{ck}(0;{\bar{t}}_i)$。
  3.2）为了证明$v=v_{\sigma }{u}^{(\sigma -1)\sigma }+\cdots +v_2{u}^{\sigma }+v_1=v_1+{\sum }_{i=2}^{\sigma }{v}_i{u}^{(i-1)\sigma }$：
  在3.1）的基础上，Verifier仅需额外验证 $c_{v_1}{\prod }_{i=2}^{\sigma }{c}_{v_i^{\ast }}=c_v$ 即可。
  3.3）为了证明 $P_j(u)=v_j=a_{j,0}+a_{j,1}u+a_{j,2}{u}^2+\cdots +a_{j,\sigma }{u}^{\sigma }$：【batch验证】
  Verifier引入了$\sigma$个随机数${\sigma }_j$ for $j=1,\cdots ,\sigma$，实现了batch验证：
  ${\prod }_{j=1}^{\sigma }{c}_{v_j}^{{\sigma }_j}=G^{{\sum }_{j=1}^{\sigma }{a}_{j,0}{\sigma }_j}{\prod }_{i=1}^{\sigma }{c}_{u_i}^{{\sum }_{i=1}^{\sigma }{a}_{j,i}{\sigma }_j}$

整个证明过程为：【论文中有多处typo，具体看上面分析。】

相应的算法效率分析为：

基于不同的modular subgroups的不同security level 进行了实现：