Halo2 学习笔记——背景资料之Fields（2）

1. Fields

很多密码学协议中的基础元素为名为fields的algebraic structure。

Fields为sets of objects (通常为numbers)，其具有two associated binary operators $+$和$\times$，使得各种field axioms(公理) 成立。
实数$\mathbb{R}$为具有无数元素的field。

Halo使用的是有限域，具有有限数量的元素。有限域可分为：

• 若$\mathbb{F}$为有限域，则其包含$|\mathbb{F}|=p^k$个元素，其中整数$k\ge 1$，$p$为素数。
• 任意两个具有相同数量元素的有限域都是isomorphic的。特别地，所有的arithmetic in a prime field ${\mathbb{F}}_p$ 是 isomorphic to addition and multiplication of integers modulo $p$，即in ${\mathbb{Z}}_p$。这就是为什么我们经常把$p$称为modulus。

定义field ${\mathbb{F}}_q$，其中$q=p^k$，其中prime $p$称为其characteristic。当$k>1$时，field ${\mathbb{F}}_q$为a $k$-degree extension of the filed ${\mathbb{F}}_p$。（类比于，复数$\mathbb{C}=\mathbb{R}(i)$为实数的extension。）

但是，在Halo中不使用extension fields。${\mathbb{F}}_p$是指a prime field，其具有prime $p$个元素，即$k=1$。

重点知识为：

• 在任意域中，都存在2个特殊的elements：$0$ 为additive identity；$1$ 为multiplicative identity。
• field element的最低位可用于表示其符号。如非零element $a$的最低位为$0$，则$-a=p-a$的最低位为$1$，反之亦然。同时，也可以借助最低位来判断该element是否大于$(p-1)/2$。

有限域对于后续构建多项式和椭圆曲线很有用。椭圆曲线为examples of groups。

2. Groups

Groups比fields更简单更受限。
Groups仅有一个binary operator，且具有更少的公理。
Groups的identity表示为$1$。

group中的任意非零元素具有倒数$b=a^{-1}$，即有唯一的元素$b$使得$a\cdot b=1$。

如，${\mathbb{F}}_p$的非零元素集形成a group，其中group operations为multiplication on the field。

可将group分别表示为加法或乘法形态：

• 乘法形态时，上面的$\cdot$对应为$\times$，identity为$1$，倒数为$a^{-1}$。
• 加法形态时，上面的$\cdot$对应为$+$，identity为$0$或$\mathcal{O}$，倒数为$-a$。

当采用加法形态时，非负数$k$，$[k]A=A+A+\cdots +A$ 称为“scalar multiplication”，采用的大写的字母来表示group elements变量。

当采用乘法形态时，$a^k=a\times a\times \cdots \times a$ 称为“exponentiation”。

将使得$[k]g=a$或$g^k=a$成立的scalar $k$值为the “discrete logarithm” of $a$ to base $g$。可将scalar值扩展至负数，即$[-k]A+[k]A=\mathcal{O}$ 或 $a^{-k}\times a^k=1$。

对于finite group内的元素$a$，使得$a^k=1$或$[k]a=\mathcal{O}$成立的最小正整数$k$值称为the order of an element $a$ of the group。the order of the group是指group内的元素数。

Groups通常有a generating set，即基于该generating set可生成group中的任意元素，以乘法形态表示的话，生成方式为基于该generating set元素的product of powers。因此，若该generating set为$g_{1\cdots k}$，基于${\prod }_{i=1}^k{g}_i^{a_i}$可生成该group中的任意元素。

若generating set中仅有一个元素——$g$（不要求generating set的唯一性），则可称该group为cyclic的。即基于$g$可生成该group，the order of $g$为the order of the group。

任意的finite cyclic group $\mathbb{G}$ of order $n$ 为 isomorphic to the integers modulo $n$ （表示为$\mathbb{Z}/n\mathbb{Z}$），使得：

• $\mathbb{G}$的operation $\cdot$ 对应为 addition modulo $n$。
• $\mathbb{G}$中的identity对应为$0$。
• generator $g\in \mathbb{G}$ 对应为$1$。

已知generator $g$，很容易根据$\mathbb{Z}/n\mathbb{Z}\to \mathbb{G}$计算isomorphism，即$a\to g^a$（加法形态表示为$a\to [a]g$），但是计算$\mathbb{G}\to \mathbb{Z}/n\mathbb{Z}$会很困难。

若finite group 的order $n$为prime的，则该group为cyclic，且每个non-identity element都是generator。

3. The multiplicative group of a finite field

采用${\mathbb{F}}_p^{\times }$来表示multiplicative group over the set F p − { 0 } \mathbb{F}_p-\{0\} Fp​−{0}。所谓multiplicative group是指${\mathbb{F}}_p$中的group operation为multiplication。

根据费马小定理，对于任意的$a$，有$a^p\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$ 。
因此${\mathbb{F}}_p^{\times }$中对于任意的非零$a$，其倒数运算为$a^{-1}=a^{p-2}$。

假设$\alpha$为${\mathbb{F}}_p^{\times }$的generator，其order为$p-1$ （${\mathbb{F}}_p^{\times }$中的元素个数为$p-1$个）。因此，对于任意的$a\in {\mathbb{F}}_p^{\times }$，存在唯一的整数 i ∈ { 0 , p − 2 } i\in\{0,p-2\} i∈{0,p−2}，使得$a={\alpha }^i$。

注意，对于$a,b\in {\mathbb{F}}_p^{\times }$，可将$a\times b$理解为${\alpha }^i\times {\alpha }^j$，其中$a={\alpha }^i,b={\alpha }^j$。而对于任意的$0\le i,j<p-1$，有${\alpha }^i\times {\alpha }^j={\alpha }^{i+j}$。因此，非零值的乘法可理解为指数上的加法。可认为具有加法同态属性。

也可以从另一个维度来看$a^{p-2}$：
$p-2\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p-1)$
因此$a^{p-2}=a^{-1}$。

4. Montgomery’s Trick

Montgomery’s trick，是以Peter Montgomery (RIP)命名的，用于同时计算多个group inversions。常用于计算${\mathbb{F}}_p^{\times }$中的inversions， which are quite computationally expensive compared to multiplication。

假设需要计算3个非零值$a,b,c\in {\mathbb{F}}_p^{\times }$的倒数$\frac{1}{a},\frac{1}{b},\frac{1}{c}$，可改为计算：

• 1）$x=ab$
• 2）$y=xc=abc$
• 3）$z=y^{p-2}=\frac{1}{abc}$
• 4）$\frac{1}{c}=xz$
• 5）$m=\frac{1}{ab}=zc$
• 6）$\frac{1}{b}=ma$
• 7）$\frac{1}{a}=mb$

以上技术可推广为借助一次倒数运算来实现计算任意个数的倒数。

5. Multiplicative subgroups

A subgroup of a group $\mathbb{G}$ with operation $\cdot$, is a subset of elements of $\mathbb{G}$ that also form a group under $\cdot$.

若 $\alpha$ 为a generator of the $(p-1)$-order multiplicative group ${\mathbb{F}}_p^{\times }$，则该group具有composite order，根据中国余数定理可知，该group具有strict subgroups。如$p=1$，则$p-1=5\cdot 2$，从而必然有a generator $\beta$ of the 5-order subgroup 以及 a generator $\gamma$ of the 2-order subgroup。而${\mathbb{F}}_p^{\times }$中的所有元素，都可以uniquely表示为${\beta }^i\cdot {\gamma }^j$ for some $i(\mathrm{m}\mathrm{o}\mathrm{d}5)$ and some $j(\mathrm{m}\mathrm{o}\mathrm{d}2)$。

若有$a={\beta }^i\cdot {\gamma }^j$，则有：
$a^5=({\beta }^i\cdot {\gamma }^j{)}^5={\beta }^{i\cdot 5}\cdot {\gamma }^{j\cdot 5}={\beta }^0\cdot {\gamma }^{j\cdot 5}={\gamma }^{j\cdot 5}$
从而可effectively “killed” the 5-order subgroup component, producing a value in the 2-order subgroup。

根据Lagrange’s theorem (group theory) 可知：the order of any subgroup $\mathbb{H}$ of a finite group $\mathbb{G}$ divides the order of $\mathbb{G}$。即，the order of any subgroup of ${\mathbb{F}}_p^{\times }$ must divide $p-1$。

像Halo2这样的PLONK-based proving system，更适于用fields that have a large number of multiplicative subgroups with a “smooth” distribution (which makes the performance cliffs smaller and more granular as circuit sizes increase)。

Halo2中采用的Pallas和Vesta curves，其prime order具有如下形式：
$T\cdot 2^S=p-1$
其中$S=32$，$T$为odd（即$p-1$具有32 lower zero-bits）。从而具有multiplicative subgroups of order $2^k$ for all $k\le 32$。2-adic subgroups对efficient FFTs 友好，同时也可启用a wide variety of circuit sizes。

6. Square roots

在field ${\mathbb{F}}_p$内，有刚好一半的非零元素是squares，剩下的另一半为non-squares或“quadratic non-residues”。原因在于：
假设$\alpha$为generator，用于生成the 2-order multiplicative subgroup of ${\mathbb{F}}_p^{\times }$ (因为$p$为大于2的素数，因此$p-1$可被2整除，有$p-1=2t$)。
假设$\beta$为generator，用于生成the t-order multiplicative subgroup of ${\mathbb{F}}_p^{\times }$。
则任意元素$a\in {\mathbb{F}}_p^{\times }$都可uniquely表示为${\alpha }^i\cdot {\beta }^j$ with $i\in {\mathbb{Z}}_2,j\in {\mathbb{Z}}_t$。从而有一半的元素对应$i=0$，另一半的元素对应$i=1$。

6.1 $k=1$场景

若有$p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$，则$t$为奇数（若$t$为偶数，则$p-1$应可被4整除，这将与$p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$自相矛盾。）。若$a\in {\mathbb{F}}_p^{\times }$为square的，则必须存在$b={\alpha }^i\cdot {\beta }^j$使得$b^2=a$，即意味着：
$a=({\alpha }^i\cdot {\beta }^j{)}^2={\alpha }^{2i}\cdot {\beta }^{2j}={\beta }^{2j}$
也就是说，该域中的所有squares都无法生成2-order multiplicative subgroup，另一半的元素可生成2-order subgroup。
也意味着所有的squares都可表示为${\beta }^m$ for some $m$，而将其exponentiating by $2^{-1}(\mathrm{m}\mathrm{o}\mathrm{d}t)$即可求其平方根。

6.2 $k\ge 2$场景

若有$p\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}4)$，则有$p-1=2^k\cdot t$，其中$t$为奇数，$k\ge 2$。
假设$\alpha$为generator，用于生成$2^k$-order multiplicative subgroup。
假设$\beta$为generator，用于生成 odd $t$-order multiplicative subgroup。
则任意元素$a\in {\mathbb{F}}_p^{\times }$都可uniquely表示为${\alpha }^i\cdot {\beta }^j$ with $i\in {\mathbb{Z}}_{2^k},j\in {\mathbb{Z}}_t$。
若$a$为a square，则存在$b=\sqrt{a}$，其中$b={\alpha }^{i^{\prime }}\cdot {\beta }^{j^{\prime }}$ with $i^{\prime }\in {\mathbb{Z}}_{2^k},j^{\prime }\in {\mathbb{Z}}_t$。
意味着$a=b^2={\alpha }^{2i^{\prime }}\cdot {\beta }^{2j^{\prime }}$，从而有$i\equiv 2i^{\prime }(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k),j\equiv 2j^{\prime }(\mathrm{m}\mathrm{o}\mathrm{d}t)$，则要求$i$必须为偶数。若$a$为non square，则要求$i$为奇数。从而有一般的元素为square。

为了求平方根，可：

• 1）先将$a={\alpha }^i\cdot {\beta }^j$ power $t$来“kill” the $t$-order component：
  $a^t={\alpha }^{it(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)}\cdot {\beta }^{jt(\mathrm{m}\mathrm{o}\mathrm{d}t)}={\alpha }^{it(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)}$
• 2）再power $t^{-1}(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$来消除1）中exponentiation on the $2^k$-order component的影响：
  $({\alpha }^{it(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)}{)}^{t^{-1}(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)}={\alpha }^i$
  （因为$t$为relative prime to $2^k$）。
• 3）根据${\alpha }^i$进行trivially handle 获得${\alpha }^{i\cdot 2^{-1}}$。
• 4）将$a={\alpha }^i\cdot {\beta }^j$ power $2^k$来“kill” the $2^k$-order component：
  $a^{2^k}={\alpha }^{i{2}^k(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)}\cdot {\beta }^{j{2}^k(\mathrm{m}\mathrm{o}\mathrm{d}t)}={\beta }^{j{2}^k(\mathrm{m}\mathrm{o}\mathrm{d}t)}$
• 5）power $2^{-k}(\mathrm{m}\mathrm{o}\mathrm{d}t)$来消除4）中exponentiation on the $t$-order component的影响：
  $({\beta }^{j{2}^k(\mathrm{m}\mathrm{o}\mathrm{d}t)}{)}^{2^{-k}(\mathrm{m}\mathrm{o}\mathrm{d}t)}={\beta }^j$
• 6）根据${\beta }^j$进行trivially handle 获得${\beta }^{j\cdot 2^{-1}}$。
• 7）${\alpha }^{i\cdot 2^{-1}}\cdot {\beta }^{j\cdot 2^{-1}}$即为$a$的平方根。

当$k=2,3$时，有更简单的算法来将以上exponentiations合在一起提升计算效率。
当$k$为其他值时，the only known way 为：manually extract $i$ by squaring until you obtain the identity for every single bit of $i$。这即为Tonelli-Shanks square root algorithm。还有另一种使用quadratic extension fields来求平方根的算法，但是，除非prime值非常大，否则效率上来说不值得采用。

8. Roots of unity

若有$p-1=2^k\cdot t$，其中$t$为奇数。
有generator $\alpha \in {\mathbb{F}}_p^{\times }$，可生成$2^k$-order subgroup。
令$n=2^k$，则elements { 1 , α , ⋯   , α n − 1 } \{1,\alpha, \cdots,\alpha^{n-1}\} {1,α,⋯,αn−1} 称为$n$-th root of unity。

primitive root of unity $w$，若$w^i\ne 1$ except when $i\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}n)$，则可称其为$n$-th root of unity。

root of unity的属性有：

• 1）若$\alpha$为$n$-th root of unity，则有${\alpha }^n-1=0$，若$\alpha \ne 1$，则有：
  $1+\alpha +{\alpha }^2+\cdots +{\alpha }^{n-1}=0$
• 2）等价为，root of unity为如下方程的解：
  $X^n-1=(X-1)(X-\alpha )(X-{\alpha }^2)\cdots (X-{\alpha }^{n-1})$
• 3）$w^{\frac{n}{2}+i}=-w^i$（“Negation lemma”）。证明过程为：
  $w^n=1\Rightarrow w^n-1=0\Rightarrow (w^{\frac{n}{2}}+1)(w^{\frac{n}{2}}-1)=0$
  由于$w$的order为$n$，因此$w^{n/2}\ne 1$，从而有$w^{n/2}=-1$。
• 4）$(w^{\frac{n}{2}+i}{)}^2=(w^i{)}^2$（“Halving lemma”）。证明过程为：
  $(w^{\frac{n}{2}+i}{)}^2=w^{n+2i}=w^n\cdot w^{2i}=(w^i{)}^2$
  换句话说，若对$n$-th roots of unity中的每个元素求平方，得到的结果仅有一半，即$n/2$个结果—— { ( w n i ) 2 } = { w n / 2 } \{(w_n^i)^2\}=\{w_{n/2}\} {(wni​)2}={wn/2​}（即，the $\frac{n}{2}$-th root of unity）。这是一个two-to-one mapping between the elements and their squares。

参考资料

[1] Halo2 背景资料之Fields
[2] 哥伦比亚大学数论课件