Fast amortized Kate proofs

1. 引言

具体见以太坊基金会Feist和khovratovich整理的Fast amortized Kate proofs 文档。

1.1 Setup

令 $g$ 为 a group $\mathbb{G}$ element。
$[a]=a\cdot g$ 为a group element，其中 $a$ 为integer。

令$s$ 为某秘密值，则 a universal setup of degree $m$ 包含了 $m$ 个 $\mathbb{G}$ elements:
$$[s],[s^2],\dots ,[s^m].$$

1.2 Commitment

令 $f(X)={\sum }_{0\le i\le m}{f}_i{X}^i$ 为 degree为$m$的多项式，则 commitment $C_f\in \mathbb{G}$ 定义为：
$$C_f=\sum _{0\le i\le m}{f}_i[s^i],$$
为 an evaluation of $f$ at point $s$。

1.3 Kate Proof

对于任意的$y$，都有$f(X)-f(y)$可整除$(X-y)$。因此，对 $f(y)=z$ 的proof定义为：
$$\pi [f(y)=z]=C_T,$$
其中 $T_y(X)=\frac{f(X)-z}{X-y}$ 为 degree为$(m-1)$的多项式。

该proof可由group内的$m$次scalar multiplication运算来获得。$T_y(X)={\sum }_{0\le i\le m-1}{t}_i{X}^i$多项式的系数可按如下方式计算，每步有一个scalar multiplication运算：
$$T_y(X)=\sum _{0\le i\le m-1}{t}_i{X}^i;\text{\hspace{1em}(1)}$$
$$t_{m-1}=f_m;\text{\hspace{1em}(2)}$$
$$t_j=f_{j+1}+y\cdot t_{j+1}\text{\hspace{1em}(3)}$$

将最后一个等式展开，有：
$$\begin{array}{r}{T}_y(X)=f_m{X}^{m-1}+(f_{m-1}+y{f}_m)X^{m-2}+(f_{m-2}+y{f}_{m-1}+y^2{f}_m)X^{m-3}+\\ +(f_{m-3}+y{f}_{m-2}+y^2{f}_{m-1}+y^3)X^{m-4}+\cdots +(f_1+y{f}_2+y^2{f}_3+\cdots +y^{m-1}{f}_m).\end{array}\text{\hspace{1em}(4)}$$

2. Multiple proofs

令$w$为$2^n$-th root of unity。接下来，将为$w,w^2,w^3,\dots ,w^{2^n}=1$构建Kate proof。

对$w^k$的Kate proof为：
$$\begin{array}{r}\pi [f(w^k)=z^k]=C_{T_{w^k}}=f_m[s^{m-1}]+(f_{m-1}+w^k{f}_m)[s^{m-2}]+(f_{m-2}+w^k{f}_{m-1}+w^{2k}{f}_m)[s^{m-3}]+\\ +(f_{m-3}+w^k{f}_{m-2}+w^{2k}{f}_{m-1}+w^{3k})[s^{m-4}]+\cdots +(f_1+w^k{f}_2+w^{2k}{f}_3+\cdots +w^{(m-1)k}{f}_m).\end{array}\text{\hspace{1em}(5)}$$

将以上等式右侧各项进行重组，对于$2^n\ge m$，有：
$$\begin{array}{rl}{C}_{T_{w^k}}=& \left(f_m[s^{m-1}]+f_{m-1}[s^{m-2}]+f_{m-2}[s^{m-3}]+\cdots +f_2[s]+f_1\right)+\\ & +\left(f_m[s^{m-2}]+f_{m-1}[s^{m-3}]+f_{m-2}[s^{m-4}]+\cdots +f_3[s]+f_2\right)w^k+\\ & +\left(f_m[s^{m-3}]+f_{m-1}[s^{m-4}]+f_{m-2}[s^{m-5}]+\cdots +f_4[s]+f_3\right)w^{2k}+\\ & +\left(f_m[s^{m-4}]+f_{m-1}[s^{m-5}]+f_{m-2}[s^{m-6}]+\cdots +f_5[s]+f_4\right)w^{3k}+\\ & \cdots \\ & +(f_m[s]+f_{m-1})w^{(m-2)k}+f_m{w}^{(m-1)k}.\end{array}\text{\hspace{1em}(6)}$$

对于$1\le i\le 2^n$，定义：
$h_i=\left(f_m[s^{m-i}]+f_{m-1}[s^{m-i-1}]+f_{m-2}[s^{m-i-2}]+\cdots +f_{i+1}[s]+f_i\right)$
当$i>m$时，有$h_i=0$。

此时，可将$C_{T_{w^k}}$表示为：
$$C_{T_{w^k}}=h_1+h_2{w}^k+h_3{w}^{2k}+\cdots +h_m{w}^{(m-1)k}.$$

回想下，对于系数$\mathbf{a}=[a_1,a_2,\dots ,a_{2^n}]$，经Discrete Fourier Transform转换为点值表示为：
$$\hat{\mathbf{a}}=[\widehat{a_1},\widehat{a_2},\dots ,\widehat{a_{2^n}}]$$
其中：
$$\widehat{a_k}=\sum _i{a}_i{w}^{ki}$$

因此，对于 $\mathbf{h}=[h_1,h_2,\dots ,h_{2^n}]$ 和 $C_{T_{w^k}}$，可将
$${\mathbf{C}}_T=[C_{T_{w^1}},C_{T_{w^2}},\dots ,C_{T_{w^{2^n}}}]$$
看成是对$\mathbf{h}$的点值表示，采用FFT算法，计算cost为$O(n{2}^n)$：【此时要求$m\le 2^n$，若$m>2^n$，向量$\mathbf{h}$可稍作调整——“wrapping around” the extra $\ne 0$ terms，然后也成立。】
$${\mathbf{C}}_T=\mathrm{D}\mathrm{F}\mathrm{T}(\mathbf{h})$$

2.1 计算 $\mathbf{h}$

假设$m=O(2^n)$。
以上等式$(6)$中，若直接计算$\mathbf{h}$，计算cost为$O(2^{2n})$。

可进一步优化，将$(h)$计算表示为：
$$\left[\begin{array}{c}{h}_1\\ h_2\\ h_3\\ ⋮\\ h_{m-1}\\ h_m\end{array}\right]=\left[\begin{array}{cccccc}{f}_m& f_{m-1}& f_{m-2}& f_{m-3}& \cdots & f_1\\ 0& f_m& f_{m-1}& f_{m-2}& \cdots & f_2\\ 0& 0& f_m& f_{m-1}& \cdots & f_3\\ & & \ddots & & & \\ 0& 0& 0& 0& \cdots & f_{m-1}\\ 0& 0& 0& 0& \cdots & f_m\end{array}\right]\cdot \left[\begin{array}{c}[s^{m-1}]\\ [s^{m-2}]\\ [s^{m-3}]\\ ⋮\\ [s]\\ 1\end{array}\right]$$

其中矩阵
$$A=\left[\begin{array}{cccccc}{f}_m& f_{m-1}& f_{m-2}& f_{m-3}& \cdots & f_1\\ 0& f_m& f_{m-1}& f_{m-2}& \cdots & f_2\\ 0& 0& f_m& f_{m-1}& \cdots & f_3\\ & & \cdots & & & \\ 0& 0& 0& 0& \cdots & f_{m-1}\\ 0& 0& 0& 0& \cdots & f_m\end{array}\right]$$
为Toeplitz矩阵。根据 http://www.netlib.org/utk/people/JackDongarra/etemplates/node384.html 中的FFT算法可知，向量 与 $m\times m$ Toeplitz矩阵 相乘 的cost为$O(m\log m)$。

因此，根据$SRS$来计算$\mathbf{h}$，然后计算所有$2^n$个Kate proof（即${\mathbf{C}}_T$），仅需要$O(n{2}^n)$次scalar multiplication。

3. Multi-reveal

令$\psi \in {\mathbb{F}}_p$为 $\ell$-th root of unity，有${\psi }^{\ell }=1$。

针对的场景为：
想reveal多个polynomial evaluations $f(y)=z_0$, $f(\psi y)=z_1$, $\dots$, $f({\psi }^{\ell -1}y)=z_{\ell -1}$

注意有：
$(x-y)\cdot (x-\psi y)\cdots (x-{\psi }^{\ell -1}y)=x^{\ell }-y^{\ell }$

因此，相应的proof为计算多项式：
$g(x)=f(x)//(x^{\ell }-y^{\ell })$
其中 $//$ 表示the truncated long division，然后计算proof：
$\pi [f(y)=z_0,\dots ,f({\psi }^{\ell -1}y)=z_{\ell -1}]=[g(s)]$

根据现有值 插值 可获得 checking polynomial $h(x)=f(x)\mathrm{m}\mathrm{o}\mathrm{d}(x^{\ell }-y^{\ell })$，然后验证如下方程式成立即可：
$e(C_f,\cdot )=e(\pi [f(y)=z_0,\dots ,f({\psi }^{\ell -1}y)=z_{\ell -1}],[s^{\ell }-y^{\ell }])e(h(s),\cdot )$

3.1 Multiple multi-reveals——奇数$\ell$

将第节的multiproof进一步归纳为multiple multi-reveals。

令$w$为$2^n$-th root of unity，需计算proofs：
$$\begin{array}{rlr}\pi [f(1),\dots ,f({\psi }^{\ell -1})]& =& C_{T_{w^0,\ell }}\\ \pi [f(w),\dots ,f(w{\psi }^{\ell -1})]& =& C_{T_{w^1,\ell }}\\ & ⋮& \\ \pi [f(w^{2^n-1}),\dots ,f(w^{2^n-1}{\psi }^{\ell -1})]& =& C_{T_{w^{2^n-1},\ell }}\end{array}$$

对$w^k$的proof为：
$$\begin{array}{r}\pi [f(w^k),\dots ,f(w^k{\psi }^{\ell -1})]=C_{T_{w^k,\ell }}=f_m[s^{m-\ell }]+f_{m-1}[s^{m-\ell -1}]+\cdots +f_{m-\ell +1}[s^{m-2\ell +1}]+\\ +(f_{m-\ell }+w^{k\ell }{f}_m)[s^{m-2\ell }]+(f_{m-\ell -1}+w^{k\ell }{f}_{m-1})[s^{m-2\ell -1}]+\cdots +(f_{m-2\ell +1}+w^{k\ell }{f}_{m-\ell +1})[s^{m-3\ell +1}]+\\ +(f_{m-2\ell }+w^{k\ell }{f}_{m-\ell }+w^{2k\ell }{f}_m)[s^{m-3\ell }]+(f_{m-2\ell -1}+w^{k\ell }{f}_{m-\ell -1}+w^{2k\ell }{f}_{m-1})[s^{m-3\ell -1}]+\\ \cdots +(f_{m-3\ell +1}+w^{k\ell }{f}_{m-2\ell +1}+w^{2k\ell }{f}_{m-\ell +1})[s^{m-4\ell +1}]+\\ ⋮\end{array}$$

令$2^n\ge m$，对以上等式右侧各项重组，有：
$$\begin{array}{rl}{C}_{T_{w^k,\ell }}=& \left(f_m[s^{m-\ell }]+f_{m-1}[s^{m-\ell -1}]+f_{m-2}[s^{m-\ell -2}]+\cdots +f_{\ell +1}[s]+f_{\ell }\right)+\\ & +\left(f_m[s^{m-2\ell }]+f_{m-1}[s^{m-2\ell -1}]+f_{m-2}[s^{m-2\ell -2}]+\cdots +f_{2\ell +1}[s]+f_{2\ell }\right)w^{k\ell }+\\ & +\left(f_m[s^{m-3\ell }]+f_{m-1}[s^{m-3\ell -1}]+f_{m-2}[s^{m-3\ell -2}]+\cdots +f_{3\ell +1}[s]+f_{3\ell }\right)w^{2k\ell }+\\ & +\left(f_m[s^{m-4\ell }]+f_{m-1}[s^{m-4\ell -1}]+f_{m-2}[s^{m-4\ell -2}]+\cdots +f_{4\ell +1}[s]+f_{4\ell }\right)w^{3k\ell }+\\ & ⋮\\ & (\cdots )w^{\lfloor m/\ell \rfloor k\ell }\end{array}$$
对于$i\ge 1$，有：【当$i>m$，有$h_i=0$。】
$$h_i=\left(f_m[s^{m-i}]+f_{m-1}[s^{m-i-1}]+f_{m-2}[s^{m-i-2}]+\cdots +f_{i+1}[s]+f_i\right).$$
从而有：
$$C_{T_{w^k,\ell }}=h_{\ell }+h_{2\ell }{w}^{k\ell }+h_{3\ell }{w}^{2k\ell }+\cdots +h_{m\ell }{w}^{(m-1)k\ell }\text{\hspace{1em}(28)}$$

令：
$${\mathbf{C}}_{T_{\ell }}=[C_{T_{w,\ell }},C_{T_{w^2,\ell }},\dots ,C_{T_{w^{2^n},\ell }}]$$
以及
$${\mathbf{h}}_{\mathbf{\ell }}=[h_{\ell },0h_{\ell +1},\dots ,0h_{2\ell -1},h_{2\ell },0h_{2\ell +1},\dots ,0h_{3\ell -1},h_{3\ell +1},0h_{3\ell +1},\dots ,0h_{2^n+\ell -1}].$$

根据${\mathbf{h}}_{\mathbf{\ell }}$，采用FFT算法，计算${\mathbf{C}}_{T_{\ell }}$的计算cost为$O(n{2}^n)$：
$${\mathbf{C}}_{T_{\ell }}=\mathrm{D}\mathrm{F}\mathrm{T}({\mathbf{h}}_{\mathbf{\ell }})$$

3.1.1 计算 ${\mathbf{h}}_{\mathbf{\ell }}$

对2.1节算法稍作调整，即可用于计算${\mathbf{h}}_{\mathbf{\ell }}$。

首先定义：
$$\begin{array}{r}{\mathbf{h}}_{\ell ,i\ell ,j}=f_{m-j}[s^{m-i\ell -j}]+f_{m-\ell -j}[s^{m-(i+1)\ell -j}]+f_{m-2\ell -j}[s^{m-(i+2)\ell -j}]+\cdots \\ +f_{(m-j)\%\ell +(i+1)\ell }[s^{(m-j)\%\ell +\ell }]+f_{(m-j)\%\ell +i\ell }[s^{(m-j)\%\ell }].\end{array}$$
有：
$${\mathbf{h}}_{i\ell }=\sum _{j=0}^{\ell -1}{\mathbf{h}}_{\ell ,i\ell ,j}$$

${\mathbf{h}}_{\ell ,i\ell ,j}$可根据$\ell$ Toeplitz matrix multiplication计算：
$$\left[\begin{array}{c}{h}_{\ell ,1\ell ,j}\\ h_{\ell ,2\ell ,j}\\ h_{\ell ,3\ell ,j}\\ ⋮\\ h_{\ell ,(\lfloor \frac{m-j}{\ell }\rfloor -1)\ell ,j}\\ h_{\ell ,\lfloor \frac{m-j}{\ell }\rfloor \ell ,j}\end{array}\right]=\left[\begin{array}{cccccc}{f}_{m-j}& f_{m-1\ell -j}& f_{m-2\ell -j}& f_{m-3\ell -j}& \cdots & f_{(m-j)\%\ell +\ell }\\ 0& f_{m-j}& f_{m-1\ell -j}& f_{m-2\ell -j}& \cdots & f_{(m-j)\%\ell +2\ell }\\ 0& 0& f_{m-j}& f_{m-1\ell -j}& \cdots & f_{(m-j)\%\ell +3\ell }\\ & & & & \ddots & \\ 0& 0& 0& 0& \cdots & f_{m-\ell -j}\\ 0& 0& 0& 0& \cdots & f_{m-j}\end{array}\right]\cdot \left[\begin{array}{c}[s^{m-1\ell -j}]\\ [s^{m-2\ell -j}]\\ [s^{m-3\ell -j}]\\ ⋮\\ [s^{(m-j)\%\ell +\ell }]\\ [s^{(m-j)\%\ell }]\end{array}\right]$$

与2.1节类似，可采用FFT算法来计算。向量 与 Toeplitz矩阵 乘法与多项式系数无关，因此该FFT可提前预计算，在预计算中处理$\ell$ Fourier transforms of size $2m/\ell$。但是，the output of the multiplication can be added before transforming back，因此仅需要一次IFT of size $2m/\ell$。

3.2 Multiple multi-reveals——$\ell$为power of two

令 $\ell =2^r<2^n$，定义 $\psi =w^{2^{n-r}}$。

针对的场景为，计算proofs：
$$\begin{array}{rlr}\pi [f(1),\dots ,f({\psi }^{\ell -1})]& =& C_{T_{w^0,\ell }}\\ \pi [f(w),\dots ,f(w{\psi }^{\ell -1})]& =& C_{T_{w^1,\ell }}\\ & ⋮& \\ \pi [f(w^{2^{n-r}-1}),\dots ,f(w^{2^{n-r}-1}{\psi }^{\ell -1})]& =& C_{T_{w^{2^{n-r}-1},\ell }}\text{.}\end{array}$$

因为已覆盖了，此时无需再证明 $w^{2^{n-r}}$ 到 $w^{2^n-1}$。

类似等式（28），此时有：
$$C_{T_{w^k,\ell }}=h_{\ell }+h_{2\ell }{w}^{k\ell }+h_{3\ell }{w}^{2k\ell }+\cdots +h_{m\ell }{w}^{(m-1)k\ell }$$

定义$\phi =w^{\ell }$ ，有：
$$C_{T_{w^k,\ell }}=h_{\ell }+h_{2\ell }{\phi }^k+h_{3\ell }{\phi }^{2k}+\cdots +h_{m\ell }{\phi }^{(m-1)k}$$

定义：
$${\mathbf{C}}_{T_{\ell }}=[C_{T_w},C_{T_{w^2}},\dots ,C_{T_{w^{2^{n-r}}}}]$$
以及
$${\mathbf{h}}_{\mathbf{\ell }}^{\prime }=[h_{\ell },h_{2\ell },\dots ,h_{(2^{n-r}-1)\ell }],$$

则，已知${\mathbf{h}}_{\mathbf{\ell }}^{\prime }$，采用FFT算法计算${\mathbf{C}}_{T_{\ell }}$的cost为$O((n-r)2^{n-r})$：【向量${\mathbf{h}}_{\mathbf{\ell }}^{\prime }$可采用类似3.1.1节的方法来计算】
$${\mathbf{C}}_{T_{\ell }}={\mathrm{D}\mathrm{F}\mathrm{T}}_{\phi }({\mathbf{h}}_{\mathbf{\ell }})$$