sum-check protocol in zkproof

1. 引言

sum-check protocol首次由Lund等人在1992年论文《Algebraic Methods for Interactive Proof Systems》中提出。
sum-check protocol的价值在当前的ZKProofs community是被低估了的，被低估的原因主要有：

• sum-check protocol 的proof size至少为logarithmic length，对于区块链等对存储敏感的应用，关注的是能提供super short proofs的算法（如 Gennaro等人2012年论文《Quadratic Span Programs and Succinct NIZKs without PCPs》基于pairing的zkSNARKs算法可提供constant proof length）。
• sum-check protocol本身并既不具有zero-knowledge属性，也不具有“succinct for NP statements”。即对于NP statements，通过sum-check protocol实现的proof length is not sublinear in the size of the NP witness。
  当前有强证据表明，对于NP statements，不存在succinct interactive proof。这不同于argument system，对于argument system，仅具有computationally sound。

---

要点：

• 借助sum-check protocol可实现super-efficient IP for matrix-powering。如已知任意的$n\times n$矩阵$A$ over field $\mathbb{F}$，该IP可计算any desired entry of the powered matrix $A^k$。整个IP的round和communication cost为$O(\log (k)\cdot \log n)$，而verifier的runtime为$O(n^2+\log (k)\cdot \log n)$。
• Goldwasser, Kalai和Rothblum (GKR) 2008年论文《Delegating Computation: Interactive Proofs for Muggles》中正是利用了matrix-powering protocol 实现了arithmetic circuit证明。

---

近几年的研究中指出，将sum-check protocol与cryptographic commitments结合，可实现arguments——同时具有zero-knowledge属性和succinct for NP statements。实现的相关zk-SNARKs具有state of the art performance，如Hyrax, zk-VSQL, Libra, Virgo, Spartan。
若对zk-SNARKs感兴趣且对具有logarithmic length的proof size满意，可对sum-check protocol进行深入学习。

本文主要关注的是interactive proofs (IPs)，关注的场景为：
Verifier $V$ 将 expensive computation 外包给 an untrusted prover $P$，从而节约verifier的工作量。
要求：

• verifier $V$的验证工作量为run in time linear in the input size。
• proof size 为short的（logarithmic size）。
• prover $P$ 为efficient的。

1.1 多项式及其low-degree extension

• polynomial $\mathcal{G}$ over $\mathbb{F}$ 表示的是：
  monomials（单项式）之和
  其中每个单项式是 the product of a constant (from $\mathbb{F}$) and powers of one or more variables (which take values from $\mathbb{F}$)。所有的计算都performed over $\mathbb{F}$。
• 单项式的degree为：the sum of the exponents of variables in the monomial。
• 多项式的degree为：the maximum degree of any monomial in $\mathcal{G}$。
• 多项式的degree in a particular variable $x_i$为：the maximum exponent that $x_i$ takes in any of the monomials in $\mathcal{G}$。
• 多变量多项式是指：具有不只一个变量的多项式。只有一个变量的多项式称为univariate polynomial单变量多项式。
• multilinear polynomial是指：多变量多项式的任一变量的degree均不大于1.
• low-degree polynomial是指：多变量多项式$\mathcal{G}$ over a finite field $\mathbb{F}$ 的degree in each variable is exponentially smaller than $|\mathbb{F}|$。
• Low-degree extensions (LDEs)是指：假设 g : { 0 , 1 } m → F g:\{0,1\}^m\rightarrow \mathbb{F} g:{0,1}m→F为a function that maps $m$-bit elements into an element of $\mathbb{F}$。 A polynomial extension of $g$ is a low-degree $m$-variate polynomial $\tilde{g}(\cdot )$ 使得 $\tilde{g}(x)=g(x)$ for all x ∈ { 0 , 1 } m x\in\{0,1\}^m x∈{0,1}m。
  【若$\tilde{g}(x)$为multilinear polynomial (degree at most 1 in each variable)，则low-degree extension也可成为multilinear polynomial extension。】
• multilinear polynomial extension (简称为MLE) 是指：Given a function Z : { 0 , 1 } m → F Z:\{0,1\}^m\rightarrow \mathbb{F} Z:{0,1}m→F，the multilinear extension of $Z(\cdot )$ is the unique multilinear polynomial $\tilde{Z}:{\mathbb{F}}^m\to \mathbb{F}$。计算方式为：
  Z ~ ( x 1 , ⋯   , x m ) = ∑ e ∈ { 0 , 1 } m Z ( e ) ⋅ ∏ i = 1 m ( x i ⋅ e i + ( 1 − x i ) ⋅ ( 1 − e i ) ) = ∑ e ∈ { 0 , 1 } m Z ( e ) ⋅ e q ~ ( x , e ) = < ( Z ( 0 ) , ⋯   , Z ( 2 m − 1 ) ) , ( e q ~ ( x , 0 ) , ⋯   , e q ~ ( x , 2 m − 1 ) ) > \tilde{Z}(x_1,\cdots,x_m)=\sum_{e\in\{0,1\}^m}Z(e)\cdot \prod_{i=1}^{m}(x_i\cdot e_i+(1-x_i)\cdot (1-e_i))=\sum_{e\in\{0,1\}^m}Z(e)\cdot \tilde{eq}(x,e)=<(Z(0),\cdots,Z(2^m-1)), (\tilde{eq}(x,0),\cdots, \tilde{eq}(x,2^m-1))> Z~(x1​,⋯,xm​)=∑e∈{0,1}m​Z(e)⋅∏i=1m​(xi​⋅ei​+(1−xi​)⋅(1−ei​))=∑e∈{0,1}m​Z(e)⋅eq~​(x,e)=<(Z(0),⋯,Z(2m−1)),(eq~​(x,0),⋯,eq~​(x,2m−1))>
  其中$\widetilde{eq}(x,e)={\prod }_{i=1}^m(e_i\cdot x_i+(1-e_i)\cdot (1-x_i))$，$\widetilde{eq}(x,e)$ is the MLE of the following function：
  $eq(x,e)=\{\begin{array}{cc}1& \text{if x=e}\\ 0& \text{otherwise}\end{array}$
  对于任一的$r\in {\mathbb{F}}^m$，可在$O(2^m)$次operations in $\mathbb{F}$ 之内计算出$\tilde{Z}(r)$的值。

由于a function的MLE是唯一的，因此MLE可用于represent 任意的multilinear polynomial。对于a multilinear polynomial $\mathcal{G}(\cdot ):{\mathbb{F}}^m\to \mathbb{F}$，可唯一表示为 the list of evaluations of $\mathcal{G}(\cdot )$ over the Boolean hypercube { 0 , 1 } m \{0,1\}^m {0,1}m (如a function that maps { 0 , 1 } m → F \{0,1\}^m\rightarrow \mathbb{F} {0,1}m→F)。

其中关键的技术点——multilinear extension lemma（follow from Lagrange interpolation）：【引入multilinear extension可ensure fast computation for the prover。】
设 f : { 0 , 1 } n → F f:\{0,1\}^n\rightarrow \mathbb{F} f:{0,1}n→F，则存在唯一的multilinear polynomial $\tilde{f}$ over $\mathbb{F}$ 使得 $\tilde{f}(x)=f(x)$ for all x ∈ { 0 , 1 } n x\in\{0,1\}^n x∈{0,1}n。
$\tilde{f}$称为the multilinear extension (MLE) of $f$。

若已知a list of all $2^n$ evaluations of $f$ 和 an arbitrary point $\vec{r}\in {\mathbb{F}}^n$，则存在an algorithm that can evaluate $\tilde{f}(\vec{r})$ in $O(2^n)$ time。

2. the sum-check protocol

有：
$v$-variate polynomial $g$ defined over a finite field $\mathbb{F}$。

此处约定$g$具有degree at most 2 in each variable。【而对于multilinear polynomial，则要求degree at most $1$ in each variable。】

sum-check protocol的主要目标是求和：
H : = ∑ b 1 ∈ { 0 , 1 } ∑ b 2 ∈ { 0 , 1 } ⋯ ∑ b v ∈ { 0 , 1 } g ( b 1 , ⋯   , b v ) H:=\sum_{b_1\in\{0,1\}}\sum_{b_2\in\{0,1\}}\cdots\sum_{b_v\in\{0,1\}}g(b_1,\cdots,b_v) H:=∑b1​∈{0,1}​∑b2​∈{0,1}​⋯∑bv​∈{0,1}​g(b1​,⋯,bv​) ……（1）

以上（1）方程式本质是 sum up the evaluations of a polynomial over all Boolean inputs，初看该求和似乎并不实用，但是后续介绍中会指出many natural problems可转化为an inatance of Equation (1)。
【借助sum-check protocol，Verifier不需要evaluate the entire boolean hypercube to verify the claim。相反的，Verifier仅需选择random points $(r_1,r_2,r_v)$。】

为了便于理解，可假设Verifier具有oracle access to $g$，即 $V$可evaluate $g(r_1,\cdots ,r_v)$ for a randomly chosen vector $(r_1,\cdots ,r_v)\in {\mathbb{F}}^v$ with a single query to an oracle，尽管在实际应用中该假设不成立。实际应用中，$V$可自己efficiently evaluate $g(r_1,\cdots ,r_v)$，或者要求Prover告诉它$g(r_1,\cdots ,r_v)$的结果值的同时，$P$提供该结果值正确的证明（借助the sum-checkprotocol）。

整个sum-check protocol包含$v$轮，每一轮对应$g$中的一个变量。
第1轮：

• Prover：发送polynomial $g_1(X_1)$，同时声明 g 1 ( X 1 ) = ∑ x 2 , ⋯   , x v ∈ { 0 , 1 } v − 1 g ( X 1 , x 2 , ⋯   , x v ) g_1(X_1)=\sum_{x_2,\cdots,x_v\in\{0,1\}^{v-1}}g(X_1,x_2,\cdots,x_v) g1​(X1​)=∑x2​,⋯,xv​∈{0,1}v−1​g(X1​,x2​,⋯,xv​)。
  若$g_1$是正确的，则有$H=g_1(0)+g_1(1)$。
  【本文约定了该单变量多项式degree为不高于$2$，$g_j(X_j)=c_{0,j}+c_{1,j}{X}_j+c_{2,j}{X}_j^2$，可以系数$(c_{0,j},c_{1,j},c_{2,j})$来表示多项式$g_j$，或者以$[(b_1,g_j(b_1)),(b_2,g_j(b_2)),(b_3,g_j(b_3))]$ 这样的3组eavaluations值 来表示。】【即每轮Prover将发送3个field elements。】【Hyrax以及Spartan论文中引入了extension $\widetilde{eq}(t,x)$，因此$g_j(X_j)=c_{0,j}+c_{1,j}{X}_j+c_{2,j}{X}_j^2+c_{3,j}{X}_j^3$ 的degree 为3，但是不影响总体理解。所以本博文后续都是以degree为2举例的。】
• Verifier：
  验证$H=g_1(0)+g_1(1)$是否成立，若成立，则发送random challenege $r_1\leftarrow \mathbb{F}$。

第2轮：

• Prover：发送polynomial $g_2(X_2)$，同时声明$g_2(X_2)={\sum }_{(x_3,\cdots ,x_v{)}^{v-2}}g(r_1,X_2,x_3,\cdots ,x_v)$。
  若$g_2$是正确的，则有$g_2(0)+g_2(1)=g_1(r_1)$。
• Verifier：
  验证$g_2(0)+g_2(1)=g_1(r_1)$是否成立，若成立，则发送random challenege $r_2\leftarrow \mathbb{F}$。

$⋮$

第$j>1$轮：

• Prover：发送polynomial $g_j(X_j)$，同时声明$g_j(X_j)={\sum }_{(x_{j+1},\cdots ,x_v{)}^{v-j}}g(r_1,\cdots ,r_{j-1},X_j,x_{j+1},\cdots ,x_v)$。
  若$g_j$是正确的，则有$g_j(0)+g_j(1)=g_{j-1}(r_{j-1})$。
• Verifier：验证$g_j(0)+g_j(1)=g_{j-1}(r_{j-1})$是否成立，若成立，则发送random challenege $r_j\leftarrow \mathbb{F}$。

$⋮$

最后一轮：

• Prover：发送polynomial $g_v(X_v)$，同时声明$g(r_1,\cdots ,r_{v-1},X_v)$。
  若$g_v$是正确的，则有$g_v(0)+g_v(1)=g_{v-1}(r_{v-1})$。
• Verifier：验证$g_v(0)+g_v(1)=g_{v-1}(r_{v-1})$是否成立，若成立，则Verifier选择random challenge $r_v\leftarrow \mathbb{F}$并evaluates $g(r_1,\cdots ,r_v)$ with a single oracle query to $g$，Verifier验证$g_v(r_v)=g(r_1,\cdots ,r_v)$是否成立，若成立，则Verifier可信任$H=g_1(0)+g_1(1)$。

以上整个sum-check protocol的描述可表示为：

整个sum-check protocol的开销为：

微软研究中心2020年论文《Spartan: Efficient and general-purpose zkSNARKs without trusted setup》中，则从Verifier的角度描述了整个sum-check protocol：

The verifier可process each message sent by the prover in $O(1)$ time，at the very end of the sum-check protocol，verifier仍然需要evaluate $g$ at signle point。

在此约定，在$\mathbb{F}$域内的任意的加法或乘法运算均take $O(1)$ time。

3. verifier的角度看sum-check protocol

Verifier若自己直接计算方程式（1）中的$H$值，则需要evaluate $g$ at $2^v$ inputs（即，all inputs in { 0 , 1 } v \{0,1\}^v {0,1}v）。当$2^v$为unacceptably large runtime for the verifier时，则需要借助sum-check protocol。
借助sum-check protocol，verifier的runtime为：
$O(v+[\text{the cost to evaluate }g\text{ at a single input in }{\mathbb{F}}^v])$

该runtime远远优于 直接计算 $2^v$ evaluations of $g$。

sum-check protocol中的prover可计算all of its prescribed messages by evaluating $g$ at $O(2^v)$ inputs in ${\mathbb{F}}^v$。This is only a constant factor more than what is required simply to compute $H$ without proving correctness。

sum-check protocol 的soundness error为$O(v/|\mathbb{F}|)$。只要$g$ is defined over a field of size significantly greater than $v$，则该soundness error可忽略。

4. sum-check protocol 的应用

应用场景之一为：
Verifier有input $x$，需要Prover计算$F(x)$。

为了使用sum-check protocol，需将 $F(x)$ 表示为类似方程式（1）的形式，即需要 identify some $v$-variate polynomial $g$ of degree 2 in each variable，使得$F(x)$ can be inferred from the some of $g$'s values over all inputs in { 0 , 1 } v \{0,1\}^v {0,1}v。同时要求Verifier可evaluate $g(\vec{r})$ at any desired input $\vec{r}\in {\mathbb{F}}^v$ in linear time。

举例：
input $x$为the adjacency matrix of a graph, $F(x)$ 为the number of triangles in that graph。
即，假设$G$为 具有$n$个顶点的无向图，其edge set为$E$。假设 A ∈ { 0 , 1 } n × n A\in\{0,1\}^{n\times n} A∈{0,1}n×n为相应的adjacency matrix，即$A_{i,j}=1$当且仅当$(i,j)\in E$。（对于无向图，其邻接矩阵是对称的，且主对角线一定为0，存储空间实际仅需$n(n-1)/2$即可。）
而在counting triangles问题中，输入为邻接矩阵$A$，输出要求为the number of vertex triples $(i,j,k)$ that are all connected to each other by edges。

不将邻接矩阵$A$看成是矩阵，而将其看成是a function $f_A$ mapping { 0 , 1 } log ⁡ n × { 0 , 1 } log ⁡ n \{0,1\}^{\log n}\times \{0,1\}^{\log n} {0,1}logn×{0,1}logn to { 0 , 1 } \{0,1\} {0,1}，则可定义$f_A(\vec{x},\vec{y})$，其中$\vec{x},\vec{y}$为整数$i,j\in [1,n]$的二进制表示，输出结果为$A_{i,j}$。

相应的，the number of triangels in $G$可简单表示为：
Δ = 1 6 ∑ x ⃗ , y ⃗ , z ⃗ ∈ { 0 , 1 } log ⁡ n f A ( x ⃗ , y ⃗ ) ⋅ f A ( y ⃗ , z ⃗ ) ⋅ f A ( x ⃗ , z ⃗ ) \Delta=\frac{1}{6}\sum_{\vec{x},\vec{y},\vec{z}\in\{0,1\}^{\log n}}f_A(\vec{x},\vec{y})\cdot f_A(\vec{y},\vec{z})\cdot f_A(\vec{x},\vec{z}) Δ=61​∑x ,y ​,z ∈{0,1}logn​fA​(x ,y ​)⋅fA​(y ​,z )⋅fA​(x ,z ) ……（2）

以上方程式（2）中的$\frac{1}{6}$ 是因为针对的是无向图。
6 Δ = ∑ x ⃗ , y ⃗ , z ⃗ ∈ { 0 , 1 } log ⁡ n f A ( x ⃗ , y ⃗ ) ⋅ f A ( y ⃗ , z ⃗ ) ⋅ f A ( x ⃗ , z ⃗ ) 6\Delta=\sum_{\vec{x},\vec{y},\vec{z}\in\{0,1\}^{\log n}}f_A(\vec{x},\vec{y})\cdot f_A(\vec{y},\vec{z})\cdot f_A(\vec{x},\vec{z}) 6Δ=∑x ,y ​,z ∈{0,1}logn​fA​(x ,y ​)⋅fA​(y ​,z )⋅fA​(x ,z )

设$\mathbb{F}$为a finite field，其field size $p\ge n^3$且$p$为prime，同时将矩阵$A$中的所有元素都看成是$\mathbb{F}$域内的元素，则选择足够大的$p$值以保证$6\Delta$ 在$[0,p-1]$范围内。

假设${\tilde{f}}_A$为the MLE of $f_A$ over $\mathbb{F}$，则可定义$(3\log n)$-variate polynomial $g$为：
$g(X,Y,Z)={\tilde{f}}_A(X,Y)\cdot {\tilde{f}}_A(Y,Z)\cdot {\tilde{f}}_A(X,Z)$

从而满足 6 Δ = ∑ x , y , z ∈ { 0 , 1 } log ⁡ n g ( x , y , z ) 6\Delta=\sum_{x,y,z\in\{0,1\}^{\log n}}g(x,y,z) 6Δ=∑x,y,z∈{0,1}logn​g(x,y,z)。
整个IP(interactive proof) 过程需要$3\log n$轮，每轮Prover将发送3个field elements。
而Verifier的runtime主要在于：
evaluate $g$ at single input $(r_1,r_2,r_3)\in {\mathbb{F}}^{3\log n}$，即相当于evaluate ${\tilde{f}}_A$ at three inputs $(r_1,r_2),(r_2,r_3),(r_1,r_3)$。借助Multilinear Extension Lemma 仅需$O(n^2)$ time。
Prover的runtime为：【该runtime matches the naive algorithm for counting triangles that iterates over all triples of vertices in $G$ and checks if they are all connected to each other。】【Prover端可直接运行the best-known algorithm to solve the triangles problem，然后仅需做额外多一点点工作来证明the answer is correct。当前不存在有任何其它IPs或argument systems可实现super-efficiency for the prover的同时，keep the proof length sublinear in the input size。】
compute all of its prescribed messages in $O(n^3)$ time。

当前已知的最快的count triangles算法，其需要matrix multiplication time (superlinear in the input size)，而借助sum-check protocol的速度更优。

此外，借助sum-check protocol可实现super-efficient IP for matrix-powering。如已知任意的$n\times n$矩阵$A$ over field $\mathbb{F}$，该IP可计算any desired entry of the powered matrix $A^k$。整个IP的round和communication cost为$O(\log (k)\cdot \log n)$，而verifier的runtime为$O(n^2+\log (k)\cdot \log n)$。

Goldwasser, Kalai和Rothblum (GKR) 2008年论文《Delegating Computation: Interactive Proofs for Muggles》中正是利用了matrix-powering protocol证明了：
all problems solvable in logarithmic space have an IP with a quasilinear-time verifier, polynomial time prover, and polylogarithmic proof length。
该proof的核心思想为：
excute any Turing Machine $M$ that uses $s$ bits of space可reduce 为 the problem of computing a single entry of $A^{2^s}$ for a certain matrix $A$ ($A$ is in fact the configuration graph of $M$)。
因此，one can just apply the matrix-powering IP to $A$ to determine the output of $M$。当$A$为huge matrix时（至少有$2^s$行和$2^s$列），则configuration graph具有a ton of structure，借助matrix-powering IP，使得Verifier evaluate ${\tilde{f}}_A$ at a single input的时间为$O(s\cdot n)$，当$s$为logarithmic in the input size时，即意味着Verifier in the IP的runtime为$O(n\log n)$。
在GKR论文中，构建了an arithmetic circuit for computing $A^{2^s}$ and then apply a sophisticated IP for arithmetic circuit evaluation to that circuit。

5. sum-check protocol + zero-knowledge

sum-check protocol 本身不具备zero-knowledge属性，而在 Wahby等人2018年论文《Hyrax Doubly-efficient zkSNARKs without trusted setup》中，实现了a zero-knowledge variant for the sum-check protocol：
借助“commit-and-prove”技术，在第2节的每一轮，Prover不再直接给Verifier 发送 多项式$g_j(X_j)$，而是利用commitment的同态属性，对该多项式进行commit。

在讨论具体的zero-knowledge sum-check protocol实现细节之前，先介绍3个基于commitment的sub-protocol：

• proof-of-opening：
  

• proof-of-equality：（proof of commitment to the same value）
  

• proof-of-product：
  

5.1 直观版 zero-knowledge sum-check protocol

整个sum-check protocol包含$v$轮，每一轮对应$g$中的一个变量。【利用“commit-and-prove”，添加zero-knowledge属性。】
第1轮：

• Prover：计算polynomial $g_1(X_1)$，同时声明 g 1 ( X 1 ) = ∑ x 2 , ⋯   , x v ∈ { 0 , 1 } v − 1 g ( X 1 , x 2 , ⋯   , x v ) = c 0 , 1 + c 1 , 1 X 1 + c 2 , 1 X 1 2 g_1(X_1)=\sum_{x_2,\cdots,x_v\in\{0,1\}^{v-1}}g(X_1,x_2,\cdots,x_v)=c_{0,1}+c_{1,1}X_1+c_{2,1}X_1^2 g1​(X1​)=∑x2​,⋯,xv​∈{0,1}v−1​g(X1​,x2​,⋯,xv​)=c0,1​+c1,1​X1​+c2,1​X12​。
  若$g_1$是正确的，则有$H=g_1(0)+g_1(1)$。
  Prover对多项式的系数进行commit，${\delta }_{c_{0,1}}=Com(c_{0,1}),{\delta }_{c_{1,1}}=Com(c_{1,1}),{\delta }_{c_{2,1}}=Com(c_{2,1})$，将这些commitment值发送给Verifier。
• Prover & Verifier：对 ${\delta }_{c_{0,1}}、{\delta }_{c_{1,1}}、{\delta }_{c_{2,1}}$运行 proof-of-opening。
• Verifier：
  【由于$g_1(0)+g_1(1)=2c_{0,1}+c_{1,1}+c_{2,1}$，利用Pedersen commitment的加法同态属性，对于$H=g_1(0)+g_1(1)$有：】
  验证$Com(H;0)={\delta }_{c_{0,1}}^2\cdot {\delta }_{c_{1,1}}\cdot {\delta }_{c_{2,1}}$是否成立，若成立，则发送random challenege $r_1\leftarrow \mathbb{F}$。

第2轮：

• Prover：计算polynomial $g_2(X_2)$，同时声明$g_2(X_2)={\sum }_{(x_3,\cdots ,x_v{)}^{v-2}}g(r_1,X_2,x_3,\cdots ,x_v)=c_{0,2}+c_{1,2}{X}_2+c_{2,2}{X}_2^2$。
  若$g_2$是正确的，则有$g_2(0)+g_2(1)=g_1(r_1)$。
  Prover对多项式的系数进行commit，${\delta }_{c_{0,2}}=Com(c_{0,2}),{\delta }_{c_{1,2}}=Com(c_{1,2}),{\delta }_{c_{2,2}}=Com(c_{2,2})$，将这些commitment值发送给Verifier。
• Prover & Verifier：对 ${\delta }_{c_{0,2}}、{\delta }_{c_{1,2}}、{\delta }_{c_{2,2}}$运行 proof-of-opening。
• Verifier：
  【由于$g_1(r_1)=c_{0,1}+c_{1,1}\cdot r_1+c_{2,1}\cdot r_1^2$ 及 $g_2(0)+g_2(1)=2c_{0,2}+c_{1,2}+c_{2,2}$，利用Pedersen commitment的加法同态属性，对于$g_2(0)+g_2(1)=g_1(r_1)$有：】
  验证${\delta }_{c_{0,2}}^2\cdot {\delta }_{c_{1,2}}\cdot {\delta }_{c_{2,2}}={\delta }_{c_{0,1}}\cdot {\delta }_{c_{1,1}}^{r_1}\cdot {\delta }_{c_{2,1}}^{r_1^2}$是否成立，若成立，则发送random challenege $r_2\leftarrow \mathbb{F}$。

$⋮$

第$j>1$轮：

• Prover：计算polynomial $g_j(X_j)$，同时声明$g_j(X_j)={\sum }_{(x_{j+1},\cdots ,x_v{)}^{v-j}}g(r_1,\cdots ,r_{j-1},X_j,x_{j+1},\cdots ,x_v)=c_{0,j}+c_{1,j}{X}_j+c_{2,j}{X}_j^2$。
  若$g_j$是正确的，则有$g_j(0)+g_j(1)=g_{j-1}(r_{j-1})$。
  Prover对多项式的系数进行commit，${\delta }_{c_{0,j}}=Com(c_{0,j}),{\delta }_{c_{1,j}}=Com(c_{1,j}),{\delta }_{c_{2,j}}=Com(c_{2,j})$，将这些commitment值发送给Verifier。
• Prover & Verifier：对 ${\delta }_{c_{0,j}}、{\delta }_{c_{1,j}}、{\delta }_{c_{2,j}}$运行 proof-of-opening。
• Verifier：
  【由于$g_{j-1}(r_{j-1})=c_{0,j-1}+c_{1,j-1}\cdot r_{j-1}+c_{2,j-1}\cdot r_{j-1}^2$ 及 $g_j(0)+g_j(1)=2c_{0,j}+c_{1,j}+c_{2,j}$，利用Pedersen commitment的加法同态属性，对于$g_j(0)+g_j(1)=g_{j-1}(r_{j-1})$有：】
  验证${\delta }_{c_{0,j}}^2\cdot {\delta }_{c_{1,j}}\cdot {\delta }_{c_{2,j}}={\delta }_{c_{0,j-1}}\cdot {\delta }_{c_{1,j-1}}^{r_{j-1}}\cdot {\delta }_{c_{2,j-1}}^{r_{j-1}^2}$是否成立，若成立，则发送random challenege $r_j\leftarrow \mathbb{F}$。

$⋮$

最后一轮：

• Prover：计算polynomial $g_v(X_v)$，同时声明$g(r_1,\cdots ,r_{v-1},X_v)=c_{0,v}+c_{1,v}{X}_v+c_{2,v}{X}_v^2$。
  若$g_v$是正确的，则有$g_v(0)+g_v(1)=g_{v-1}(r_{v-1})$。
  Prover对多项式的系数进行commit，${\delta }_{c_{0,v}}=Com(c_{0,v}),{\delta }_{c_{1,v}}=Com(c_{1,v}),{\delta }_{c_{2,v}}=Com(c_{2,v})$，将这些commitment值发送给Verifier。
• Prover & Verifier：对 ${\delta }_{c_{0,v}}、{\delta }_{c_{1,v}}、{\delta }_{c_{2,v}}$运行 proof-of-opening。
• Verifier：
  【由于$g_{v-1}(r_{v-1})=c_{0,v-1}+c_{1,v-1}\cdot r_{v-1}+c_{2,v-1}\cdot r_{v-1}^2$ 及 $g_v(0)+g_v(1)=2c_{0,v}+c_{1,v}+c_{2,v}$，利用Pedersen commitment的加法同态属性，对于$g_v(0)+g_v(1)=g_{v-1}(r_{v-1})$有：】
  验证${\delta }_{c_{0,v}}^2\cdot {\delta }_{c_{1,v}}\cdot {\delta }_{c_{2,v}}={\delta }_{c_{0,v-1}}\cdot {\delta }_{c_{1,v-1}}^{r_{v-1}}\cdot {\delta }_{c_{2,v-1}}^{r_{v-1}^2}$是否成立，若成立，则Verifier选择random challenge $r_v\leftarrow \mathbb{F}$并evaluates $g(r_1,\cdots ,r_v)$ with a single oracle query to $g$。
  【由于$g_v(r_v)=c_{0,v}+c_{1,v}\cdot r_v+c_{2,v}\cdot r_v^2$ ，利用Pedersen commitment的加法同态属性，对于$g_v(r_v)=g(r_1,\cdots ,r_v)$有：】
  Verifier验证$Com(g(r_1,\cdots ,r_v);0)={\delta }_{c_{0,v}}\cdot {\delta }_{c_{1,v}}^{r_v}\cdot {\delta }_{c_{2,v}}^{r_v^2}$是否成立，若成立，则Verifier可信任$H=g_1(0)+g_1(1)$。

5.2 reduce cost版 zero-knowledge sum-check protocol

【具体参考Hyrax论文第4和第5章内容。】
在以上“5.1 直观版”中，Prover为每一轮的每个多项式系数都单独生成发送相应的commitment，同时需在每一轮为每个commitment都运行proof-of-opening，存在的问题是：

• proof size会很长；
• Verifier需运行expensive crytographic operations。

可记住multi-commitment scheme（即Pedersen vector commitment）来reduce the communication and number of cryptographic operations for the verifier。

以$v=3$为例，可将“5.1 直观版”中Verifier在每一轮验证的关系表示为$2c_{0,j}+c_{1,j}+c_{2,j}-c_{0,j-1}-c_{1,j-1}\cdot r_{j-1}-c_{2,j-1}\cdot r_{j-1}^2=0$，在最后一轮额外增加了$g_v(r_v)=c_{0,v}+c_{1,v}\cdot r_v+c_{2,v}\cdot r_v^2$关系判断，可将该关系以matrix-vector product表示为：
$\left[\begin{array}{ccccccccc}2& 1& 1& 0& 0& 0& 0& 0& 0\\ -1& -r_1& -r_1^2& 2& 1& 1& 0& 0& 0\\ 0& 0& 0& -1& -r_2& -r_2^2& 2& 1& 1\\ 0& 0& 0& 0& 0& 0& 1& r_3& r_3^2\end{array}\right]\cdot \left[\begin{array}{c}{c}_{0,1}\\ c_{1,1}\\ c_{2,1}\\ c_{0,2}\\ c_{1,2}\\ c_{2,2}\\ c_{0,3}\\ c_{1,3}\\ c_{2,3}\end{array}\right]=\mathbf{M}\cdot \vec{\pi }=\left[\begin{array}{c}{\vec{M}}_1\\ {\vec{M}}_2\\ {\vec{M}}_3\\ {\vec{M}}_4\end{array}\right]\cdot \vec{\pi }=\left[\begin{array}{c}H\\ 0\\ 0\\ g_3(r_3)\end{array}\right]$ ……（5）

其中$\vec{\pi }=[c_{0,1},c_{1,1},c_{2,1},c_{0,2},c_{1,2},c_{2,2},c_{0,3},c_{1,3},c_{2,3}]$ 为Prover witness。

将矩阵$\mathbf{M}$的每一行$k$引入随机系数${\rho }_k$，然后行加，可将$v+1$个验证压缩为1个验证：【根据Schwartz-Zippel lemma，该soundness error不高于$1/|\mathbb{F}|$。】
$[2\ast {\rho }_1-1\ast {\rho }_2,1\ast {\rho }_1-r_1\ast {\rho }_2,1\ast {\rho }_1-r_1^2\ast {\rho }_2,2\ast {\rho }_2-1\ast {\rho }_3,1\ast {\rho }_2-r_2\ast {\rho }_3,1\ast {\rho }_2-r_2^2\ast {\rho }_3,2\ast {\rho }_3+1\ast {\rho }_4,1\ast {\rho }_3+r_3\ast {\rho }_4,1\ast {\rho }_3+r_3^2\ast {\rho }_4]\cdot \left[\begin{array}{c}{c}_{0,1}\\ c_{1,1}\\ c_{2,1}\\ c_{0,2}\\ c_{1,2}\\ c_{2,2}\\ c_{0,3}\\ c_{1,3}\\ c_{2,3}\end{array}\right]=<\sum {\rho }_k\cdot {\vec{M}}_k,\vec{\pi }>=<\vec{M},\vec{\pi }>=\left[\begin{array}{c}H\ast {\rho }_1+g_3(r_3)\ast {\rho }_4\end{array}\right]$

以上可转为 dot product(inner product) 证明，但是，sum-check protocol中要求Prover必须先commit $c_{0,j},c_{1,j},c_{2,j}$ 然后Verifier在发送$r_j$，因此Prover不能 直接对$\vec{\pi }$ 所有内容进行commit。
Prover需commit to $\vec{\pi }$ incrmentally，using one group element per round of the sum-check。即在sum-check protocol的每一轮：

• Prover commit to a vector encoding the coefficients of that round’s polynomial，即有commitment ${\alpha }_j=Com((c_{0,j},c_{1,j},c_{2,j});r_{{\alpha }_j})$；
• Verifier responds with random challenge $r_j$。

直到最后Prover has committed to all of its messages for the sum-check，运行如下sum-check protocol：
第1轮：

• Prover：计算polynomial $g_1(X_1)$，同时声明 g 1 ( X 1 ) = ∑ x 2 , ⋯   , x v ∈ { 0 , 1 } v − 1 g ( X 1 , x 2 , ⋯   , x v ) = c 0 , 1 + c 1 , 1 X 1 + c 2 , 1 X 1 2 g_1(X_1)=\sum_{x_2,\cdots,x_v\in\{0,1\}^{v-1}}g(X_1,x_2,\cdots,x_v)=c_{0,1}+c_{1,1}X_1+c_{2,1}X_1^2 g1​(X1​)=∑x2​,⋯,xv​∈{0,1}v−1​g(X1​,x2​,⋯,xv​)=c0,1​+c1,1​X1​+c2,1​X12​。
  若$g_1$是正确的，则有$H=g_1(0)+g_1(1)$。
  Prover对多项式的系数进行vector commit，${\alpha }_1=Com((c_{0,1},c_{1,1},c_{2,1});r_{{\alpha }_1})$，将该commitment值发送给Verifier。

• Verifier：
  发送random challenege $r_1\leftarrow \mathbb{F}$。

第2轮：

• Prover：计算polynomial $g_2(X_2)$，同时声明$g_2(X_2)={\sum }_{(x_3,\cdots ,x_v{)}^{v-2}}g(r_1,X_2,x_3,\cdots ,x_v)=c_{0,2}+c_{1,2}{X}_2+c_{2,2}{X}_2^2$。
  若$g_2$是正确的，则有$g_2(0)+g_2(1)=g_1(r_1)$。
  Prover对多项式的系数进行 vector commit，${\alpha }_2=Com((c_{0,2},c_{1,2},c_{2,2});r_{{\alpha }_2})$，将该commitment值发送给Verifier。

• Verifier：
  【由于$g_1(r_1)=c_{0,1}+c_{1,1}\cdot r_1+c_{2,1}\cdot r_1^2$ 及 $g_2(0)+g_2(1)=2c_{0,2}+c_{1,2}+c_{2,2}$，利用Pedersen commitment的加法同态属性，对于$g_2(0)+g_2(1)=g_1(r_1)$有：】
  发送random challenege $r_2\leftarrow \mathbb{F}$。

$⋮$

第$j>1$轮：

• Prover：计算polynomial $g_j(X_j)$，同时声明$g_j(X_j)={\sum }_{(x_{j+1},\cdots ,x_v{)}^{v-j}}g(r_1,\cdots ,r_{j-1},X_j,x_{j+1},\cdots ,x_v)=c_{0,j}+c_{1,j}{X}_j+c_{2,j}{X}_j^2$。
  若$g_j$是正确的，则有$g_j(0)+g_j(1)=g_{j-1}(r_{j-1})$。
  Prover对多项式的系数进行vector commit，${\alpha }_j=Com((c_{0,j},c_{1,j},c_{2,j});r_{{\alpha }_j})$，将该commitment值发送给Verifier。
• Verifier：
  【由于$g_{j-1}(r_{j-1})=c_{0,j-1}+c_{1,j-1}\cdot r_{j-1}+c_{2,j-1}\cdot r_{j-1}^2$ 及 $g_j(0)+g_j(1)=2c_{0,j}+c_{1,j}+c_{2,j}$，利用Pedersen commitment的加法同态属性，对于$g_j(0)+g_j(1)=g_{j-1}(r_{j-1})$有：】
  发送random challenege $r_j\leftarrow \mathbb{F}$。

$⋮$

最后一轮：

• Prover：计算polynomial $g_v(X_v)$，同时声明$g(r_1,\cdots ,r_{v-1},X_v)=c_{0,v}+c_{1,v}{X}_v+c_{2,v}{X}_v^2$。
  若$g_v$是正确的，则有$g_v(0)+g_v(1)=g_{v-1}(r_{v-1})$。
  Prover对多项式的系数进行vector commit，${\alpha }_v=Com((c_{0,v},c_{1,v},c_{2,v});r_{{\alpha }_v})$，将这些commitment值发送给Verifier。

• Verifier：
  【由于$g_{v-1}(r_{v-1})=c_{0,v-1}+c_{1,v-1}\cdot r_{v-1}+c_{2,v-1}\cdot r_{v-1}^2$ 及 $g_v(0)+g_v(1)=2c_{0,v}+c_{1,v}+c_{2,v}$，利用Pedersen commitment的加法同态属性，对于$g_v(0)+g_v(1)=g_{v-1}(r_{v-1})$有：】
  Verifier选择random challenge $r_v\leftarrow \mathbb{F}$并evaluates $g(r_1,\cdots ,r_v)$ with a single oracle query to $g$。
  【由于$g_v(r_v)=c_{0,v}+c_{1,v}\cdot r_v+c_{2,v}\cdot r_v^2$ ，利用Pedersen commitment的加法同态属性，对于$g_v(r_v)=g(r_1,\cdots ,r_v)$有：】

• Prover：选择$r_{{\delta }_1},\cdots ,r_{{\delta }_n}{\in }_R\mathbb{F}$ 以及$\vec{d}{\in }_R\mathbb{F}=(d_{c_{0,1}},d_{c_{1,1}},d_{c_{2,1}},\cdots ,d_{c_{0,v}},d_{c_{1,v}},d_{c_{2,v}})$，Prover计算并发送：
  δ j = C o m ( ( d c 0 , j , d c 1 , j , d c 2 , j ) ; r δ j ) , j ∈ { 1 , ⋯   , v } \delta_j=Com((d_{c_{0,j}},d_{c_{1,j}},d_{c_{2,j}});r_{\delta_j}),j\in\{1,\cdots,v\} δj​=Com((dc0,j​​,dc1,j​​,dc2,j​​);rδj​​),j∈{1,⋯,v}

• Verifier：发送随机数 ${\rho }_1,\cdots ,{\rho }_{v+1}{\in }_R\mathbb{F}$

• Prover和Verifier：均计算$\vec{J}=\sum {\rho }_k\cdot {\vec{M}}_k$。

• Prover：选择随机数$r_C{\in }_R\mathbb{F}$，计算并发送：
  $C=Com(<\vec{J},\vec{d}>;r_C)$

• Verifier：发送random challenge $c{\in }_R\mathbb{F}$。

• Prover：
  计算并发送：
  $\vec{z}=c\cdot \vec{\pi }+\vec{d}$
  z δ j = c ⋅ r α j + r δ j , j ∈ { 1 , ⋯   , v } z_{\delta_j}=c\cdot r_{\alpha_j}+r_{\delta_j},j\in\{1,\cdots,v\} zδj​​=c⋅rαj​​+rδj​​,j∈{1,⋯,v}

• Verifier：
  – 解析$\vec{z}=(z_{c_{0,1}},z_{c_{1,1}},z_{c_{2,1}},\cdots ,z_{c_{0,v}},z_{c_{1,v}},z_{c_{2,v}})$
  验证 C o m ( ( z c 0 , j , z c 1 , j , z c 2 , j ) ; z δ j ) = C o m ( c ( c 0 , j , c 1 , j , c 2 , j ) + ( d c 0 , j , d c 1 , j , d c 2 , j ) ; c ⋅ r α j + r δ j ) = α j c ⋅ δ j , j ∈ { 1 , ⋯   , v } Com((z_{c_{0,j}},z_{c_{1,j}},z_{c_{2,j}});z_{\delta_j})=Com(c(c_{0,j},c_{1,j},c_{2,j})+(d_{c_{0,j}},d_{c_{1,j}},d_{c_{2,j}});c\cdot r_{\alpha_j}+r_{\delta_j})=\alpha_j^c\cdot \delta_j,j\in\{1,\cdots,v\} Com((zc0,j​​,zc1,j​​,zc2,j​​);zδj​​)=Com(c(c0,j​,c1,j​,c2,j​)+(dc0,j​​,dc1,j​​,dc2,j​​);c⋅rαj​​+rδj​​)=αjc​⋅δj​,j∈{1,⋯,v} 是否成立。
  – 验证 $Com({\rho }_1\cdot H+{\rho }_v\cdot g_v(r_v);0{)}^c\cdot C=Com(<\vec{J},\vec{z}>;r_c)$ 是否成立。

6. zero-knowledge sum-check protocol + succinct evaluation proof

以实现sub-linear verification cost 和 sub-linear communication cost。
在 “5. sum-check protocol + zero-knowledge” 中，添加了zero-knowledge 属性后，需要由Prover来计算$g(r_1,\cdots ,r_v)$的值，其中$g$为multilinear polynomial，可借助Hyrax论文 “6.1 A commitment scheme for multilinear polynomials” 中的算法来实现：



在此基础上，在借助Bulletproofs思路进一步压缩，有：

【具体可参见博客 Spartan: zkSNARKS without trusted setup 源代码解析
中的：

    // 拆分为 <(\vec{L}\cdot \mathbf{Z}), \vec{R}> 进行evaluation计算。
    let eval_with_LR = evaluate_with_LR(&Z, &r);

】

参考资料

[1] Justin Thaler博客 The Unreasonable Power of the Sum-Check Protocol
[2] utexas大学课件 Lecture 3: The Sum Check Protocol
[3] Justin Thaler 在georgetown大学的课件 The Sum-Check Protocol
[4] adjacency matrix 邻接矩阵
[5] Gorka Irazoqui Apecechea medium博客 Spartan: zkSNARKS without trusted setup