Halo2 学习笔记——设计之Proving system之Lookup argument（1）

1. 引言

Halo2中使用了lookup技术，支持lookups in arbitrary sets，且比Plookup更简单。

Halo2中，采用不同语言来描述PLONK概念：

• 1）将类似PLONK argument都想象成table，每一列对应a “wire”，将table中的entries称为“cells”。
• 2）将“selector polynomials”称为“fixed columns”，当a cell in a fixed column is being used to control whether a particular constraint is enable in that row时，则使用a “selector constraint”。
• 3）将仅由Prover掌握的其他polynomials统称为“advice columns”。
• 4）将“gate”称为rule，如：
  $A(X)\cdot q_A(X)+B(X)\cdot q_B(X)+A(X)\cdot B(X)\cdot q_M(X)+C(X)\cdot q_C(X)=0$
• 5）将$Z(X)$多项式（the grand product argument polynomial for the permutation argument）称为"permutation product" column。

lookup argument又可称为subset argument，或multiset argument等。

2. 不具有zero knowledge属性的subset argument

为了便于解释，接下来将介绍已忽略zero knowledge的简化版argument。

将lookups称为a “subset argument” over a table with $2^k$ rows（从$0$开始编号），具有columns $A$ 和 $S$。
subset argument的目的是：

• enforce $A$中的每个cell 等于 $S$中的某个cell。即意味着，允许$A$中的多个cell 等于 $S$中的同一cell，而$S$中的某个cell 可不等于 $A$中的任意cell。

注意：

• $S$可以是fixed，也可以不是。支持look up values in fixed tables 或 variable tables。若为variable tables，其中包含advice columns。
• $A$和$S$中可以具有重复的元素，即$A$中的sets size 和（或）$S$中的sets size 可不为$2^k$，可将$S$以重复值扩展，将$A$以$S$中具有的dummy值扩展。
  • 可增加“lookup selector”来控制$A$ column中的哪些元素将参与lookups。若a lookup is not selected，将需要修改下面permutation rule中的$A(X)$，将其中的$A$替换为$S_0$。

令${\ell }_i$为Lagrange basis polynomial，其evaluates to $1$ at row $i$，and $0$ otherwise。

总体流程为：

• 1）Prover已知$A$和$S$的permutation columns：$A^{\prime },S^{\prime }$。【参看 PLOOKUP代码解析 中第2节的“multiset 证明”，此处的permutation其实对应的就是分别对$A,S$进行sort排序，生成$A^{\prime },S^{\prime }$。】
  相应的permutation argument rule with product column $Z$为：
  $Z(\omega X)\cdot (A^{\prime }(X)+\beta )\cdot (S^{\prime }(X)+\gamma )-Z(X)\cdot (A(X)+\beta )\cdot (S(X)+\gamma )=0$
  ${\ell }_0(X)\cdot (1-Z(X))=0$
  即，假设分子不为零，对于所有的$i\in [0,2^k)$有：
  $Z_{i+1}=Z_i\cdot \frac{(A_i+\beta )\cdot (S_i+\gamma )}{(A_i^{\prime }+\beta )\cdot (S_i^{\prime }+\gamma )}$
  $Z_{2^k}=Z_0=1$
  以上，即为a version of the permutation argument，可证明$A^{\prime },S^{\prime }$为permutation of $A,S$，但是无法确定准确的permutations。$\beta ,\gamma$为独立的challenges，可将2个permutation argument合并为1个，而不用担心会相互干扰。

这些permutations的主要目的是允许Prover对$A^{\prime },S^{\prime }$进行排列：

• 1）将$A^{\prime }$ column中的所有cells 排列为 like-valued cells为vertically adjacent to each other。可借助某种sorting排序算法来实现，最终要求like-valued cells在$A^{\prime }$ column的consecutive rows，且$A^{\prime }$为a permutation of $A$。
• 2）The first row in a sequence of like values in $A^{\prime }$ is the row that has the
  corresponding value in $S^{\prime }.$ Apart from this constraint, $S^{\prime }$ is any arbitrary
  permutation of $S.$

可使用如下rule来enforce 要么$A_i^{\prime }=S_i^{\prime }$ 要么 $A_i^{\prime }=A_{i-1}^{\prime }$：
$(A^{\prime }(X)-S^{\prime }(X))\cdot (A^{\prime }(X)-A^{\prime }({\omega }^{-1}X))=0$
此外，约束$A_0^{\prime }=S_0^{\prime }$的rule为：
${\ell }_0(X)\cdot (A^{\prime }(X)-S^{\prime }(X))=0$

即，第一条rule $A^{\prime }(X)-A^{\prime }({\omega }^{-1}X)$无法约束到row $0$，尽管${\omega }^{-1}X$ “wraps”，需借助第二条rule来约束row $0$。
这两条rule一起，可有效约束$A^{\prime }$（以及$A$）中的每个元素 至少等于 $S^{\prime }$（以及$S$）中的一个元素。

3. 具有zero knowledge属性的subset argument

为了给PLONK-based proof system增加zero knowledge属性，需在每一列的最后$t$行填充随机值，为了让随机值也满足如上constraints，需对lookup argument进行调整。

假设每列中有用的行数为$u=2^k-t-1$个，增加2个selector：

• 1）$q_{blind}$ is set to $1$ on the last $t$ rows, and $0$ elsewhere；
• 2）$q_{last}$ is set to $1$ only on row $u$, and $0$ elsewhere（即，设置usable rows和blinding rows之间的过渡row）。

对于usable rows的约束为：
$(1-(q_{last}(X)+q_{blind}(X)))\cdot (Z(\omega X)\cdot (A^{\prime }(X)+\beta )\cdot (S^{\prime }(X)+\gamma )-Z(X)\cdot (A(X)+\beta )\cdot (S(X)+\gamma ))=0$
$(1-(q_{last}(X)+q_{blind}(X)))\cdot (A^{\prime }(X)-S^{\prime }(X))\cdot (A^{\prime }(X)-A^{\prime }({\omega }^{-1}X))=0$
同理，对于row $0$的约束为：
${\ell }_0(X)\cdot (A^{\prime }(X)-S^{\prime }(X))=0$
${\ell }_0(X)\cdot (1-Z(X))=0$

由于此处不再依赖wraparound来保证the product $Z({\omega }^{2^k})=1$，因此，可替换为constrain $Z({\omega }^u)=1$，但是这存在潜在的难点：
若存在某$i\in [0,u)$使得$A_i+\beta$或$S_i+\gamma$为$0$，则可能就没法满足permutation argument。
这种情况发生的概率相对于$\beta ,\gamma$可忽略，但是这将是实现 perfect zero knowledge 和 perfect completeness 的一个障碍——因为adversary可rule out witnesses that would cause this situation。

为了保证perfect completeness和perfect zero knowledge，可约束$Z({\omega }^u)$要么为$0$要么为$1$：
$q_{last}(X)\cdot (Z(X{)}^2-Z(X))=0$
此时，若存在某个$i$使得$A_i+\beta =0$或者$S_i+\gamma =0$，则可设置$Z_j=0$ for $i<j\le u$，从而满足constraint system。

注意，challenges $\beta ,\gamma$是在$A,S,A^{\prime },S^{\prime }$ commit之后才发送的，因此，Prover无法强制使$A_i+\beta =0$或$S_i+\gamma =0$。由于这种情况发生的概率可忽略，不会影响soundness。

4. Cost

整个lookup argument中有：

• original column $A$ 和 fixed column $S$。
• permutation product column $Z$。
• two permutations $A^{\prime },S^{\prime }$。
• 所有的gates都为low degree。

5. Generalizations

Halo2的lookup argument将以上技术概括为：

• 1）$A$和$S$可扩展为多列，借助a random challenge来combine。$A^{\prime }$和$S^{\prime }$仍然保持为单列。【具体见 Halo2实际lookup实现 中的$\theta$。】
  • 对$S$各列的commitments值可预计算，然后借助Pedersen commitment的同态属性，一旦知道challenge，可直接将各列的commitment值很便宜的组合在一起。
  • $A$中各列可使用relative references以任意多项式表示，这将替换到product column constraint中，受maximum degree bound限制。这种处理可能可节约1个或多个advice columns。
• 2）对任意width relation的lookup argument，可以subset argument的方式来实现，即约束每一行的$\mathcal{R}(x,y,...)$，将$\mathcal{R}$看成是a set of tuples $S$，并check that $(x,y,...)\in \mathcal{R}$。
  • 此时，$\mathcal{R}$代表的是a function，同时隐形地也check that the inputs are in the domain。这正是所期待的效果，通常可节约额外的range check。
• 3）在同一circuit中支持多个tables，可通过引入一个tag column 来identify the original table的方式来将这多个table合并为一个table。
  • 该tag column可结合之前提到的“lookup selector”来实现。

以上概括类似于 Plookup 论文 第4和第5节的内容。与Plookup不同之处在于subset argument。subset argument 可替代 Plookup论文第5节的optimized range check 技术。

参考资料

[1] Halo2之Lookup argument