Marlin:Preprocessing zkSNARKs with Universal and Updatable SRS学习笔记

1. 引言

Chiesa等人2019年论文《Marlin:Preprocessing zkSNARKs with Universal and Updatable SRS》。

相关代码实现有：

• https://github.com/arkworks-rs/marlin
• https://github.com/AleoHQ/snarkVM/tree/testnet2/marlin【Aleo 2020/12/30拷贝了arkworks-rs的代码，并在此基础上进行了相应的优化和扩展】

前序博客有：

• Zcash halo2 背后技术衍化介绍

Marlin论文中，构建了预处理zkSNARKs，其structured reference string (SRS)为universal 和 updatable的。SRS具有linear size，生成的argument为constant size。

Marlin比Sonic改进了：

• prove速度快了10倍；
• verify速度快了3倍；
• 具有更小的SRS size和argument size。

Marlin中主要有2大成果：

• 1）AHP（an algebraic holographic proof (AHP) for rank-1 constraint satisfiability (R1CS)）——为information-theoretic primitive：具有linear proof length和constant query complexity。待验证的statement以encoded form存在，可实现fast verification。
• 2）a polynomial commitment scheme——为cryptographic primitive：相关实现可参看：https://github.com/arkworks-rs/poly-commit/tree/master/src/marlin。

1.1 fast verification

通常，要求Verifier验证proof的时间 应远小于 自身进行相应计算所需时间。理想情况下，验证时间 应与 read the SNARG 或 read the description of the computation 的时间相当。

为了实现fast verification，可将verification过程分为2个阶段：

• 1）offline phase：生成a short summary for a given circuit。
• 2）online phase：使用offline phase中生成的short summary来verify SNARGs（Succinct non-interactive arguments） that attest to the satisfiability of the circuit with different partial assignments to its input wires。

fast verification可要求online phase与read the SNARG (and the partial assignment)的速度相当，即可认为其是fast的。

可借助preprocessing SNARGs来实现online fast verification。

1.2 universal (and updatable) SRS

在preprocessing SNARGs中，其offline phase包含了与待预处理circuit相关的structured reference string (SRS)。这就意味着，生成/验证 不同circuit的proof 需要 不同的SRS。SRS应为无需任何可信一方参与的，可通过如ZCash的trusted setup仪式来构建。但是，对circuit的任何修改，需要再举行一次trusted setup 仪式，当应用很多时这种方式是不可持续的。

因此，要求SRS为universal的，即该SRS可支持 any circuit up to a given size bound by enabling anyone, in an offline phase after the SRS is sampled, to publicly derive a cricuit-specific SRS。

1.3 性能对比

2. 主要成果

2.1 一种生成Preprocessing SNARK with universal SRS的方法论

在offline phase对circuit进行预处理的方法 类似于构建 “holographic proofs”，即意味着：

• Verifier 无法将circuit description作为input接收，而是，make a small number of queries to an encoding of the circuit description。
• Verifier 会make a small number of queries to the proof sent by the Prover。

在本文中，假设circuit description都是low-degree polynomials，proofs也是low-degree polynomials，同时honest Prover和malicious Prover都是“algebraic”，从而成为algebraic holographic proof (AHP)。

通过合适的extractable polynomial commitment，可将任意public-coin AHP 编译转换为 相应的具有universal (and updatable) SRS的preprocessing argument。

2.2 AHP for R1CS

本文中专门为R1CS设计AHP可实现：

• linear proof length
• constant query complexity

R1CS中的circuit description为coefficient matrices。将Verifier端的输入分为：

• offline phase：称为index，包含了coefficient matrices。offline phase中encode index (coefficient matrices)的算法称为indexer。
• online phase：称为instance：包含了a partial assignment to the variables。

[Bab+91]和[GKR15]等之前的holographic算法无法实现constant query complexity。这些算法依赖multivariate sumcheck protocol applied to certain multivariate polynomials，即因以下原因会引入大量的communication cost：

• 1）the many rounds of the sumcheck protocol。
• 2）需要多变量polynomial commitment scheme，使得相应的communication cost与变量数呈线性关系。

而Marlin中的AHP：

• 1）依赖的是单变量多项式
• 2）并实现了constant query complexity
• 3）具有small communication costs

Marlin中的AHP可看成是Aurora [Ben+19c] 中R1CS algebraic protocol的“holographic 变种”。相比于Aurora，其verification time 实现了指数级改进：

2.3 Extractable polynomial commitment

[KZG10]为单变量polynomial commitment scheme。本文在此基础上进行了扩展，使其具有足够的安全性。

Papamanthou等人2013年论文 PST13——Signatures of Correct Computation 中包含多变量polynomial commitment scheme。本文算法也可扩展为基于多变量polynomial commitment scheme实现，详细可参见：

• https://github.com/arkworks-rs/poly-commit/tree/master/src/marlin/marlin_pst13_pc

3. AHP

Interactive oracle proofs (IOPs)为multi-round protocol，在每一轮中，Verifier发送a challenge，Prover会发送an oracle (which the verifier can query)。
IOP结合了 interactive proof 和 probabilistically checkable proof 的特征。

AHP在以下两方面对IOP进行了修改：

• 1）Holographic：Verifier does not receive its input explicitly，但是，具有oracle access to a prescribed encoding of it。使得Verifier可run in time that is much faster than the time to read its input in full。（基于此，可实现fast verification。）
• 2）Algebraic：honest Prover必须produce oracles that are low-degree polynomials（可保证完备性）。malicious Prover必须produce oracles that are low-degree polynomials（可保证soundness）。同时the encoded input to the verifier也必须为a low-degree polynomial。

relation表示以triple $(\mathbb{I},\mathbb{X},\mathbb{W})$，其中$\mathbb{I}$为index，$\mathbb{X}$为instance，$w$为witness。$\mathbb{I}$代表Verifier offline phase进行预处理的输入（如circuit description）。$\mathbb{X}$代表Verifier offline phase的输入（如a partial assignment to the circuit’s input wires）。

对应an indexed relation $\mathcal{R}$的indexed language 表示为$\mathcal{L}(\mathcal{R})$，为对于set of pairs $(\mathbb{I},\mathbb{X})$，存在witness $\mathbb{W}$使得$(\mathbb{I},\mathbb{X},\mathbb{W})\in \mathcal{R}$。

AHP中包含3种角色：

• 1）Indexer $\mathbf{I}$
• 2）Prover $\mathbf{P}$
• 3）Verifier $\mathbf{V}$

a (public-coin) AHP over a field $\mathbb{F}$ for an indexed relation $\mathcal{R}$ 中相应的流程为：

• 1）offline phase：Indexer $\mathbf{I}$ 收到待预处理的输入 index $\mathbb{I}$，输出为一个或多个单变量多项式over $\mathbb{F}$ encoding $\mathbb{I}$。
• 2）online phase：Prover的输入为$(\mathbb{I},\mathbb{X},\mathbb{W})$，Verifier的输入为$\mathbb{X}$。Prover和Verifier进行constant round交互。在每一轮中，Verifier发送a challenge，Prover发送一个或多个多项式。交互完成后，$\mathbf{V}(\mathbb{X})$ probabilistically queries the polynomials output by the indexer and the polynomials output by the prover，然后accept或reject。最重要的是，线上阶段，Verifier $\mathbf{V}$的输入不包含$\mathbb{I}$，而是query the polynomials output by Indexer $\mathbf{I}$ that encode $\mathbb{I}$。从而使所构建的Verifier $\mathbf{V}$ 可run in time that is sublinear in $|\mathbb{I}|$。

4. (Extractable) polynomial commitment

[KZG10] polynomial commitment scheme中的流程为：

• 1）Prover：为单变量多项式$p\in \mathbb{F}[X]$生成commitment $c$
• 2）Prover：open $p(X)$ at any point $z\in \mathbb{F}$，open的值为$p(z)$
• 3）Prover：生成evaluation proof $\pi$ 来证明the opened value $p(z)$ is consistent with the polynomial “inside” $c$ at $z$。

polynomial commitment scheme应满足如下要求：

• 1）commitment $c$ 要远小于 多项式$p$（如$c$中包含a constant number of group elements）。【efficiency属性】
• 2）proof $\pi$必须可快速验证（如in a constant number of cryptographic operations）。【efficiency属性】
• 3）应满足binding属性，即an efficient adversary无法open the same commitment to two different values。【binding属性】
• 4）可保证the degree of the committed function。即若某adversary可open values of some function $f:\mathbb{F}\to \mathbb{F}$，则该函数$f$的degree 应高于 所声明的多项式的degree。【extractability属性】

此外，很多polynomial commitment应用场景中，包含了多个多项式的多个commitment，也可能包含open多个point values。此时，需要考虑：

• 1）仅基于一组public parameter来commit to 多项式，这些多项式可具有不同的degree。可将[KZG10]修改为commit both to the polynomial and its shift to the maximum degree，类似于Aurora中bundle multiple low-degree tests into a single one的技术。【Enforcing multiple degree bounds：即若不同多项式$p_i$的degree $d_i$小于setup时的degree bound $D$，则由对$p_i$的commit 改为 对“shifted polynomials” $p_i^{\prime }=X^{D-d_i}{p}_i(X)$ 进行commit。proof evaluation时，若$p_i$ evaluate to $v_i$ at $z$，则$p_i^{\prime }$ evaluate to $z^{D-d_i}{v}_i$。Aurora中基于此派生了low-degree tests for specific degree bounds。
  为了进一步减少scalar multiplications（由$\Omega (D)$ reduce为 $O(d_i)$），Marlin中构建的多项式为$p_i^{\star }(X)=p_i^{\prime }(x)-p_i(z)X^{D-d_i}$，该多项式evaluate to $0$ at $z$。 】
• 2）需要可batch evaluation proofs across different polynomials for the same location。【Committing to multiple polynomials at once：针对的场景为open multiple polynomials $[p_i{]}_{i=1}^n$ at the same point $z$。由Verifier提供challenge $\xi$，Prover构建多项式$p={\sum }_{i=1}^n{\xi }^i{p}_i$，然后改为对$p$进行commit和open。利用了commitment的加法同态属性。有$c={\sum }_{i=1}^n{\xi }^i{c}_i$，$v={\sum }_{i=1}^n{\xi }^i{v}_i$。】
• 3）Evaluate at a query set instead of a single point。多项式$[p_i{]}_{i=1}^n$ evaluate at a set of points $Q=[z_i{]}_{i=1}^k$，Prover将多项式根据所需evaluate的point进行分组，即partition the polynomials $[p_i{]}_{i=1}^n$ into different groups such that every polynomial in a group is to be evaluated at the same point $z_i$。Prover为每个group运行$PC.Open$，然后输出the resulting list of evaluation proofs。

polynomial commitment scheme $PC$中的算法$PC=(Setup,Trim,Commit,Open,Check)$：

• $PC.Setup$：输入为security parameter 和 maximum supported degree bound $D$，输出为public parameters $pp$——包含the description of a finite field $\mathbb{F}$。
• $PC.Trim$：deterministically specialize these parameters for a given set of degree bounds，输出为a committer key $ck$ 和 a receiver key $rk$。
• $PC.Commit$：输入为committer key $ck$、a list of polynomials $p$ with respective degree bounds $d$，输出为a set of commitments $c$。
• $PC.Open$：输入为degree bounds为$d$ 的 polynomials $p$、具有任意evaluation points for each polynomial的query set $Q$，输出为claimed evaluation set values $v$ 和 proof $\pi$。
• $PC.Check$：输入为commitment $c$、query set $Q$、evaluation set values $v$ 和 proof $\pi$，输出为accept或reject。

4.1 [KZG10]的$PolyCommi{t}_{DL}$ polynomial commitment scheme

[KZG10]中：

• setup phase $PC.Setup$的输出有：

  • bilinear group $({\mathbb{G}}_1,{\mathbb{G}}_2,{\mathbb{G}}_T,q,G,H,E)$
  • Committer key $ck$ 和 receiver key $rk$ for a given degree bound $D$
    committer key中包含了group elements encoding powers of a random field element $\beta$，即 c k = { G , β G , ⋯   , β D G } ∈ G 1 D + 1 ck=\{G,\beta G,\cdots, \beta^DG\}\in\mathbb{G}_1^{D+1} ck={G,βG,⋯,βDG}∈G1D+1​。
    receiver key中包含group elements $rk=(G,H,\beta H)\in {\mathbb{G}}_1\times {\mathbb{G}}_2^2$。
    注意，SRS中包含了$ck$和$rk$，SRS为updatable是因为SRS中的group element的系数都是monomials。

• $PC.Commit$：对于多项式$p\in {\mathbb{F}}_q[X]$，Prover计算commitment $c=p(\beta )G$。

• $PC.Open$：Prover计算$v=p(z)$，计算witness polynomial $w(X)=(p(X)-p(z))/(X-z)$，对$w(X)$进行commit，将该commitment值作为proof：$\pi =w(\beta )G$。当且仅当$p(z)=v$时，witness function $w$为a polynomial。若$w$为a rational function，则无法使用$ck$进行commit。

• $PC.Check$：可通过判断$e(c-vG,H)=e(\pi ,\beta H-zH)$是否成立，来check that the proof commits to a polynomial of the form $(p(X)-p(z))/(X-z)$。

为了实现extractability，目前有2种方式：

• 1）[Gro10] Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的knowledge commitment方案，但是该方案需要依赖concrete knowledge assumption。同时，该方案的一个主要缺点是，每个commitment doubles in size。详细也可看 Short Pairing-based Non-interactive Zero-Knowledge Arguments。
• 2）[FKL18] Fuchsbauer等人2018年论文《The Algebraic Group Model and its Applications》中的commitment仍为a single group element，其安全性依赖于algebraic group model (AGM)。

4.2 基于[Gro10]的knowledge assumption构建的extractable PC【single degree bound】

基于[Gro10]的knowledge assumption构建的extractable polynomial commitment scheme为：
【其中蓝色字体通过引入randomness实现的PC具有hiding属性。】

4.3 基于[FKL18]的algebraic group model构建的extractable PC【single degree bound】

基于[FKL18]的algebraic group model构建的extractable polynomial commitment scheme为：
【其中蓝色字体通过引入randomness实现的PC具有hiding属性】

4.4 基于[FKL18]的algebraic group model构建的extractable PC【multiple degree bounds】

下图中，相比于 “4.3 基于[FKL18]的algebraic group model构建的extractable PC【single degree bound】"的不同之处以红色字体表示了：

5. Compiler：将AHP 转换为 preprocessing arguments with universal SRS

compiler的主要作用为“commit to oracles and then open query answers”。

基本流程为：

• 1）argument Index 触发 AHP Indexer生成多项式，然后使用PC Scheme来deterministically commit这些多项式。
• 2）argument Prover 和 argument Verifier交互，分别模拟AHP Prover和AHP Verifier。在每一轮中，argument Prover将AHP Prover输出的succinct polynomial commitments发出。
• 3）交互完成后，argument Verifier声明其queries to the polynomials (of the Prover and of the Indexer)。
• 4）argument Prover返回the evaluations along with an evaluation proof来证明their correctness relative to the commitments。

6. AHP for R1CS

Marlin中的AHP可看成是Aurora [Ben+19c] 中non-holographic algebraic proof for R1CS的“holographic 变种”。为了实现holography，需设计一个新的sub-protocol，来允许Verifier evaluate low-degree extensions of the coefficient matrices at a random location。而在Auora中，Verifier自身运行该计算所需时间为$poly(|\mathbb{I}|)$；而在Marlin中，通过借助Prover的帮助 和 oracle access to the polynomials produced by Indexer，Verifier的性能实现了指数级提升，所需时间为$O(\log |\mathbb{I}|)$。

• Index $\mathbb{I}=(\mathbb{F},n,m,A,B,C)$表示coefficient matrices。【$m$表示矩阵$A,B,C$中具有的最多非零entry数量。$n$表示公有和私有输入变量数之和。】
• Instance $\mathbb{X}=x\in {\mathbb{F}}^{\ast }$ 表示公有输入变量。
• Witness $\mathbb{W}=w\in {\mathbb{F}}^{\ast }$ 表示私有输入变量。

当且仅当 $Az\circ Bz=Cz$ for $z=(x,w)\in {\mathbb{F}}^n$时，R1CS方程式成立。

令：【set $S$的vanishing polynomial为：monic polynomial of degree $|S|$ that vanishes on $S$，即为 ${\prod }_{\gamma \in S}(X-\gamma )$。】

• $H$：表示size为$n$的subset of $\mathbb{F}$。$v_H(X)$为相应的vanishing polynomial。【所有变量】
• $K$：表示size为$m$的subset of $\mathbb{F}$。$v_K(X)$为相应的vanishing polynomial。【矩阵中的非零entry。】

假设$H$和$K$为smooth multiplicative subgroups【即为FFT friendly subgroup】，从而支持：

• interpolation/evaluation over $H$ in $O(n\log n)$ operations；
• make $v_H(X)$ computable in $O(\log n)$ operations。
• interpolation/evaluation over $K$ in $O(m\log m)$ operations；
• make $v_K(X)$ computable in $O(\log m)$ operations。

令：

• $M$：为$n\times n$矩阵，其rows/columns indexed by elements of $H$。
• $\hat{M}(X,Y)$：为low-degree extension of $M$，即the polynomial of individual degree less than $n$，使得对于任意的$\kappa ,\iota \in H$，$\hat{M}(\kappa ,\iota )$为$M$矩阵中的第$(\kappa ,\iota )$-th entry。

6.1 Aurora中的non-holographic protocol for R1CS

Aurora中的non-holographic protocol for R1CS具有：

• linear proof length
• constant query complexity

在non-holographic protocol中，Prover的输入为$(\mathbb{I},\mathbb{X},\mathbb{W})$，Verifier的输入为$(\mathbb{I},\mathbb{X})$（Verifier需要读取non-encoded index $\mathbb{I}$）。【而在holographic protocol中，Verifier的输入为$(\mathbb{X})$。】

基本流程为：

• 1）Prover $\mathbf{P}$：发送单变量多项式$\hat{z}(X)$，其degree小于$n$，且agrees with the variable assignment $z$ on $H$；发送单变量多项式${\hat{z}}_A(X),{\hat{z}}_B(X),{\hat{z}}_C(X)$，相应的degree小于$n$，且aggress with the linear combinations $z_A=Az,z_B=Bz,z_C=Cz$ on $H$。

• 2）Prover $\mathbf{P}$：此时Prover仅需convince Verifier以下两个条件成立：

  • （1）Entry-wise product：$\forall \kappa \in H,{\hat{z}}_A(\kappa ){\hat{z}}_B(\kappa )-{\hat{z}}_C(\kappa )=0$
  • （2）Linear relation： ∀ M ∈ { A , B , C } , ∀ κ ∈ H , z ^ M ( κ ) = ∑ ι ∈ H M [ κ , ι ] z ^ ( ι ) \forall M\in \{A,B,C\},\forall \kappa\in H,\hat{z}_M(\kappa)=\sum_{\iota\in H}M[\kappa,\iota]\hat{z}(\iota) ∀M∈{A,B,C},∀κ∈H,z^M​(κ)=∑ι∈H​M[κ,ι]z^(ι)
    （此外，prover还需convince Verifier that $\hat{z}(X)$ encodes a full assignment $z$ that is consistent with the partial assignment $x$。为了简化，在此处故意先不讨论此条件。）

• 3）为了证明第一个条件（Entry-wise product），

  • Prover $\mathbf{P}$：发送满足${\hat{z}}_A(X){\hat{z}}_B(X)-{\hat{z}}_C(X)=h_0(X)v_H(X)$的多项式$h_0(X)$。【该等式左侧equals zero everywhere on $H$ if and only if it is a multiple of $H$'s vanishing polynomial。】
  • Verifier $\mathbf{V}$： 选择random point $\beta \in \mathbb{F}$。query ${\hat{z}}_A(X),{\hat{z}}_B(X),{\hat{z}}_C(X),h_0(X)$ at $\beta$，然后自身evaluate $v_H(X)$ at $\beta$，最后check ${\hat{z}}_A(\beta ){\hat{z}}_B(\beta )-{\hat{z}}_C(\beta )=h_0(\beta )v_H(\beta )$。
    相应的soundness error为the maximum degree over the field size，此处不高于$2n/|\mathbb{F}|$。

• 4）为了证明第二个条件（Linear relation），Prover首先受到Verifier发来的random challenge $\alpha \in \mathbb{F}$，然后回复第二条消息：

  • 对于每个 M ∈ { A , B , C } M\in\{A,B,C\} M∈{A,B,C}，Prover $\mathbf{P}$：发送多项式$h_M(X),g_M(X)$，使得对于$r_M(Z,X)={\sum }_{\kappa \in H}r(Z,\kappa )\hat{M}(\kappa ,X)$，满足 $r(\alpha ,X){\hat{z}}_M(X)-r_M(\alpha ,X)\hat{z}(X)=h_M(X)v_H(X)+X{g}_M(X)$成立。其中$r_{Z,X}$为a prescribed polynomial of individual degree less than $n$ such that $(r(Z,\kappa ){)}_{\kappa \in H}$ are $n$ linearly independent polynomials。
    Aurora中通过univariate sumcheck来验证linear relation，相应的soundness error为$n/|\mathbb{F}|$ over $\alpha$。【在Aurora中支持，已知a multiplicative subgroup $S$ of $\mathbb{F}$，多项式$f(X)$ sums to $\sigma$，当且仅当$f(X)$可表示为$h(X)v_S(X)+Xg(X)+\sigma /|S|$ for some $h(X)$ and $g(X)$ with $\mathrm{deg}(g)<|S|-1$。】
  • Verifier $\mathbf{V}$： 选择random point $\beta \in \mathbb{F}$。query $\hat{z}(X),{\hat{z}}_A(X),{\hat{z}}_B(X),{\hat{z}}_C(X),h_M(X),g_M(X)$ at $\beta$，然后自身evaluate $v_H(X)$ at $\beta$，再然后自身evaluate $r_M(Z,X)$ at $(\alpha ,\beta )$，最后check $r(\alpha ,\beta ){\hat{z}}_M(\beta )-r_M(\alpha ,\beta )\hat{z}(\beta )=h_M(\beta )v_H(\beta )+\beta g_M(\beta )$。此处额外有soundness error$2n/|\mathbb{F}|$。总的soundness error为$3n/|\mathbb{F}|$。
    【条件一和条件二一起，相应的soundness error为 m a x { 2 n / ∣ F ∣ , 3 n / ∣ F ∣ } = 3 n / ∣ F max\{2n/|\mathbb{F}|, 3n/|\mathbb{F}|\}=3n/|\mathbb{F} max{2n/∣F∣,3n/∣F∣}=3n/∣F。】

以上协议中，Verifier的运行时间为$\Omega (|\mathbb{I}|)=\Omega (n+m)$。这是non-holographic setting的内在属性，因为Verifier必须read $\mathbb{I}$。原因在于：

• 1）Verifier验证entry-wise product ${\hat{z}}_A(\beta ){\hat{z}}_B(\beta )-{\hat{z}}_C(\beta )=h_0(\beta )v_H(\beta )$，可忽略index $\mathbb{I}$中的coefficient matrices，在$O(\log n)$ operations中完成。也就是，这个check是efficient的。
• 2）Verifier验证linear relation $r(\alpha ,\beta ){\hat{z}}_M(\beta )-r_M(\alpha ,\beta )\hat{z}(\beta )=h_M(\beta )v_H(\beta )+\beta g_M(\beta )$ 的cost为linear。evaluate polynomial $r_M(Z,X)$ at $(\alpha ,\beta )$ 需要 $\Omega (n+m)$ operations。
  在holographic setting中，reduce该cost的一种直观方法是：允许Verifier oracle access to the low-degree extension $\hat{M}$ for M ∈ { A , B , C } M\in\{A,B,C\} M∈{A,B,C}。但是，这种方法存在2个问题：
  • （1）Verifier 仍然需要$\Omega (n)$ operations来evaluate $r_M(Z,X)$ at $(\alpha ,\beta )$。
  • （2）但是，$\hat{M}$的size为quadratic in $n$，即encoding index $\mathbb{I}$需要$\Omega (n^2)$。即使在offline预处理阶段，也无法承受如此昂贵的encoding操作。

6.2 实现holography

为了克服以上问题，仍然需要依赖univariate sumchecck protocol。
Marlin中额外引入了2轮交互，每一轮中Verifier learns that their verification equation holds provided the sumcheck from the next round holds。The last sumcheck将依赖Indexer输出的多项式，which the verifier knows are correct。

为解决第一个问题：

• （1）Verifier 仍然需要$\Omega (n)$ operations来evaluate $r_M(Z,X)$ at $(\alpha ,\beta )$。
  相应的解决方案为：
  Prover和Verifier之间增加一轮交互，额外依赖一个univariate sumcheck来将 evaluate $r_M(Z,X)$ at $(\alpha ,\beta )$的问题 reduce为 evaluate $\hat{M}$ at $({\beta }_2,\beta )$ for a random ${\beta }_2\in \mathbb{F}$。
  • Verifier：发送random $\beta$给Prover。
  • Prover：计算${\sigma }_2=r_M(\alpha ,\beta )={\sum }_{\kappa \in H}r(\alpha ,\kappa )\hat{M}(\kappa ,\beta )$。Prover将${\sigma }_2$ 和 多项式$h_2(X),g_2(X)$发送给Verifier。其中$h_2(X),g_2(X)$满足$r(\alpha ,X)\hat{M}(X,\beta )=h_2(X)v_H(X)+X{g}_2(X)+{\sigma }_2/n$。【Aurora中的univariate sumcheck告诉我们，该等式等价为 多项式$r(\alpha ,X)\hat{M}(X,\beta )$ summing to ${\sigma }_2$ on $H$。】
  • Verifier：选择random ${\beta }_2\in \mathbb{F}$，check $r(\alpha ,{\beta }_2)\hat{M}({\beta }_2,\beta )=h_2({\beta }_2)v_H({\beta }_2)+{\beta }_2{g}_2({\beta }_2)+{\sigma }_2/n$。在该等式中，唯一昂贵的部分是计算$\hat{M}({\beta }_2,\beta )$。由于该多项式为quadratic的，因此无法简单的让Verifier have oracle access to $\hat{M}$。

为解决第二个问题：

• （2）但是，$\hat{M}$的size为quadratic in $n$，即encoding index $\mathbb{I}$需要$\Omega (n^2)$。即使在offline预处理阶段，也无法承受如此昂贵的encoding操作。
  相应解决方案为：
  令$u_H(X,Y)=\frac{v_H(X)-v_H(Y)}{X-Y}$，可知$u_H(X,Y)$ vanish on the square $H\times H$ except for on the diagonal，非对角线的值均为0，对角线上的值为$(u_H(a,a){)}_{a\in H}$。$u_H(X,Y)$ 可evaluate at any point in $\mathbb{F}\times \mathbb{F}$ in $O(\log n)$ operations。借助该多项式，可将$M$表示为$m=|K|$个term之和，而不是$n^2=|H{|}^2$个term之和：
  $\hat{M}(X,Y)={\sum }_{\kappa \in K}{u}_H(X,{\widehat{row}}_M(\kappa ))\cdot u_H(Y,{\widehat{col}}_M(\kappa ))\cdot {\widehat{val}}_M(\kappa )$
  其中${\widehat{row}}_M,{\widehat{col}}_M,{\widehat{val}}_M$为low-degree extensions of the row, column and value of the non-zero entries in $M$ according to some canonical order over $K$。【实际，$\widehat{val}(\kappa )$等于 the value divided by $u_H({\widehat{row}}_M(\kappa ),{\widehat{row}}_M(\kappa ))u_H({\widehat{col}}_M(\kappa ),{\widehat{col}}_M(\kappa ))$。】
  将$M$以low-degree extension表示，引出了一个想法：令Verifier具有oracle access to 多项式${\widehat{row}}_M,{\widehat{col}}_M,{\widehat{val}}_M$，再引入一个univariate sumcheck over set $K$。
  • Verifier：发送random ${\beta }_2$给Prover。
  • Prover：计算 ${\sigma }_3=\hat{M}({\beta }_2,\beta )={\sum }_{\kappa \in K}{u}_H({\beta }_2,{\widehat{row}}_M(\kappa ))\cdot u_H(\beta ,{\widehat{col}}_M(\kappa ))\cdot {\widehat{val}}_M(\kappa )$。Prover将${\sigma }_3$和多项式$h_3(X),g_3(X)$发送给Verifier。其中$h_3(X),g_3(X)$满足：$u_H({\beta }_2,{\widehat{row}}_M(X))\cdot u_H(\beta ,{\widehat{col}}_M(X))\cdot {\widehat{val}}_M(X)=h_3(X)v_K(X)+X{g}_3(X)+{\sigma }_3/m$。
  • Verifier：选择random ${\beta }_3\in \mathbb{F}$，验证该等式成立仅需$O(\log m)$ operations。
    剩下的问题是，$h_3(x)$的degree为$\Omega (nm)$，对于quasilinear-time Prover来说太昂贵了。解决办法为：让Prover运行univariate sumcheck protocol on the unique low degree extension $\hat{f}(x)$ of the function $f:K\to \mathbb{F}$ ，其中$f(\kappa )=u_H(X,{\widehat{row}}_M(\kappa ))\cdot u_H(Y,{\widehat{col}}_M(\kappa ))\cdot {\widehat{val}}_M(\kappa )$。$\hat{f}(X)$的degree小于$m$。Verifier可check that $\hat{f}(X)$ and $u_H(X,{\widehat{row}}_M(X))\cdot u_H(Y,{\widehat{col}}_M(X))\cdot {\widehat{val}}_M(X)$ agree on $K$。

参考资料