nil Foundation的Placeholder证明系统（1）

mutourend

已于 2023-02-15 12:15:03 修改

阅读量589

点赞数

分类专栏：零知识证明文章标签：零知识证明

于 2022-11-16 11:00:33 首次发布

本文链接：https://blog.csdn.net/mutourend/article/details/127881044

版权

零知识证明专栏收录该内容

329 篇文章 130 订阅

订阅专栏

1. 引言

=nil; Foundation团队2022年11月论文《Placeholder证明系统》。[2022年11月29日版本]

ZKP证明系统的发展为简短描述所执行计算提供了各种方法，这些方法在证明时间、证明大小、验证复杂性、是否存在零知识属性、递归友好性之间进行了不同的权衡，以不同的方式将所有相同的组件组合在一起。

nil Foundation的Placeholder证明系统，通过：

1）对arithmetization方法进行调整
2）对承诺方案方案进行调整
3）对承诺处理的验证流程进行调整
4）递归层证明子系统组件本身的切换

实现了：

1）最紧凑的电路表示
2）在不同环境下（基于寄存器的执行器、特定的基于栈的执行器），具有最便宜的验证开销。

本文要点：

在这里插入图片描述

Placeholder是对RedShift的改进：

1）将RedShift中的第4、5、6、8步抽象为Permutation Argument（见本文Algorithm 1），同时，将RedShift的Permutation Argument中的 $P, Q$ 两个多项式，优化为，仅需要一个多项式 $V_P$ ，在插值点，二者关系为： $V_P=P/Q$ 。【实际就是采用的ZCash Halo2 Permutation argument算法。】
2）引入了lookup argument。【实际就是采用的ZCash Halo2 Lookup argument算法。】
3）以selector为粒度，分类Gate，将所有 $\text{gate}_i(X)$ 合并为一个多项式 $F_8(X)$ 。
4）为实现zero-knowledge属性，借鉴了Mina和Halo中的方法，在PLONK-trace table的最后 $t$ 行，引入了随机值。同时额外引入了2个selector：【 $N_{usable}=N_{rows}-t-1$ ， $0\sim N_{usable}-1$ 为实际计算数据，第 $N_{usable}$ 行对应为分隔行（以 $q_{last}=1$ 来表示）， $N_{usable}+1\sim N_{rows}$ 为随机值。】
- $q_{blind}$ ：若 $N_{usable}<i\leq N_{rows}$ ，有 $q_{blind}(w^i)=1$ ；否则， $q_{blind}(w^i)=0$ ；
- $q_{last}$ ：表示分隔行（区分实际计算数据与随机值），有 $q_{last}(w^{N_{usable}})=1$ ，其它行 $q_{last}$ 值均为0，

Placeholder证明系统为：

PLONK Arithmetization + Custom Gates

待证明的computation sequence（计算序列）称为Circuit。
Circuit由：

1）Table
2）Basic Constraints
3）Copy Constraints
4）Lookup Constraints

定义。
注意：Circuit中并不包含witnesses、public input、以及intermediate values。

1.1 Table

Table为矩阵，代表了a structure of the computations。Table中的Rows、Columns、Cells与矩阵中的传统定义一致。
Table中有4种类型的Columns：

1）Witness Columns：包含了witness input和intermediate calculations。Witness Columns对Verifier是未知的。
不同的proof instances，Witness Columns会不相同（因其取决于input）。
2）Public Columns：包含了public input。Public Columns对Verifier是已知的。
不同的proof instances，Public Columns会不相同（因其取决于input）。
3）Fixed Columns：包含了circuit-depended data。Fixed Columns对Verifier是已知的。
不同的proof instances，Fixed Columns是相同的。
4）Selectors：为特殊的Fixed Columns。Selectors定义了在Table中的哪些行使用Basic Constraints。Selectors对Verifier是已知的。
Selectors中的value仅能为0或1。

在这里插入图片描述

1.2 Table values约束

在computation过程中，Table会依次存储values。Constraints定义了这些values之间的关系。
Table中的value有以下3种约束：

1）Basic Constraints：约束Table中各value之间的关系。Basic Constraints为基于Cells的（多变量多项式）表达。
2）Copy Constraints：表示Cells之间的equality约束。
3）Lookup Constraints：表示所选中的Cells tuples 等于 Lookup Table中的某（些）行。
注意，Lookup Constraints并不会定义tuple在Lookup Table中的准确位置，这是Lookup Constraints与Copy Constraints的主要区别。

在这里插入图片描述

Basic Constraints和Lookup Constraints可包含不同Rows的Cells。若Constraint references的values源自相邻的Rows，则称该reference为Offset Reference，Constraint Row与referenced Row之间的差值称为Offset。
在Copy Constraints中还可使用Absolute References。Absolute References指向具体的Row number，而不是Row之间的差值。
Selectors可用于指定是否向特定Row应用某Basic Constraint check（设置相应Selector Column的特定Row为1表示“是”，为0表示“否”）。使用相同Selector的Basic Constraints set称为Gate。
一个Gate中可包含一个或多个Constraints。
Each Row需satisfy Circuit中的所有Gates。

1.3 Public Input

注意：Circuit中并不包含witnesses、public input、以及intermediate values。
Public Input会占用Table中额外的一列或多列（比较罕见）。Public Input可通过Copy Constraints enforced到 Witness Columns中。

2. Placeholder协议

Placeholder协议中各标识基本含义为：

标识	含义
$N_{rows}$	Rows的数量
$N_{witness}$	Witness Columns的数量
$N_{perm}$	包含在Permutation Argument中的Witness Columns数量
$N_{sel}$	Circuit中所使用的Selectors数量
$N_{lookup}$	Lookup Constraints数量
$N_c$	Constraints Polynomials数量【根据RedShift论文，Constraint Polynomials：由Selector Polynomials $\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}$ 和 Permutation Polynomials $\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3$ 组成】
$N_{PI}$	Public input Columns数量
$w_i$	Witness Polynomials，其中 $0\leq i < N_{witness}$
$c_j^{(i)}$	Constraints Polynomials，其中 $0\leq i < N_{sel}$
$gate_i$	Gate Polynomials for Selector $q_i(X)$ and Constraints ${c_j^{(i)}\}_{j=0}^{n_i'-1}$
$PI_i$	Public input Polynomials，其中 $0\leq i < N_{PI}$
$\sigma(col:\ i, row:\ j)=(col:\ i', row:\ j')$	Permutation over the Table
$\mathbf{o}$	Set of all Offsets。

2.1 多项式承诺和多项式evluation方案

Placeholder中采用了RedShift论文多项式承诺（PCS）和多项式evaluation方案（PES），详情参看：

Kattis和Matter Labs团队Panarin等人2019年论文 RedShift: Transparent SNARKs from List Polynomial Commitments学习笔记

2.2 根据Constraints构建Gates

Gate中包含的为一组具有相同Selector的Constraints。

每个Constraint可包含不同的Columns和Offsets。
令Constraint Polynomial $c_j$ 中包含的Columns为 $w_{j,0},\cdots,w_{j,k-1}$ ，其中 $k\in\mathbb{N}$ ，相应的Offsets为 $d_{j,0},\cdots,d_{j,k-1}$ ，Constraint Polynomial $c_j$ 的形式为：
$c_j=a_{j,0}\cdot w_{j,0}(w^{d_{j,0}}X)+\cdots + a_{j,k-1}\cdot w_{j,k-1}(w^{d_{j,k-1}}X), a_{j,i}\in\mathbb{F}$ 【如为某Basic Constraint： $2\cdot T_{i,j}+T_{i+1,j}=0$ ，对应的Constraint Polynomial $c_j$ 表示为 $c_j=2\cdot T_j(X)+T_{j}(w\cdot X)$ 。】

令第 $i$ 个Gate的Constraints数量为 $k_i$ ， $v_i$ 为第 $i$ 个Gate的random challenge $\tau$ 的initial degree ，有：
$v_{i+1}=v_i+k_i$
$v_0=0$

则第 $i$ -th gate表示为：【其中 $q_{l_i}$ 为对应第 $i$ -th gate的selector。】
$\text{gate}_i(X)=q_{l_i}(X)\cdot (\tau^{k_i-1+v_i}c_{0_i}(X)+\cdots +\tau^{v_i}c_{k_i-1}(X))$

总结为：

1）每个Gate只对应一个selector。
2）每个包含 $k$ 个Constraints $c_j,j\in [0,k-1]$ ， $k$ 值可大于1。
3）每个Constraint可包含 $k_i$ 个Constraints， $i$ 表示第 $i$ 个Gate， $k_i$ 值可大于1。
4）总的Gate数由Selectors数量 $N_{sel}$ 决定。
5）所有的Gate，借助相同的random challenge $\tau$ ，利用linear combination，合并为同一多项式。

2.3 预处理

根据Table，对Polynomials进行预处理：

1）令 $\mathcal{L}'=(q_0,\cdots,q_{N_{sel}})$ ，对应所有的Selector Columns。
2）令 $w$ 为 $2^k=N_{rows}$ -th root of unity。
3）令 $\delta$ 为 $T$ -th root of unity，其中 $T\cdot 2^S+1=p，k\leq S$ ， $T$ 为奇数，且 $p$ 为field size。
4）计算 $N_{perm}$ Permutation Polynomials： $S_{\sigma_i}(X)$ ，使得 $S_{\sigma_i}(w^j)=\delta^{i'}\cdot w^{j'}$ 。【 $i$ 的取值为 $0\sim (N_{perm}-1)$ ，对于fan-in two电路来说，有 $N_{perm}=3$ 。 $j$ 表示第 $j$ 个gate。】
5）计算 $N_{perm}$ Identity Permutation Polynomials： $S_{id_i}(X)$ ，使得 $S_{id_i}(w^j)=\delta^{i}\cdot w^{j}$ 。【 $i$ 的取值为 $0\sim (N_{perm}-1)$ ，对于fan-in two电路来说，有 $N_{perm}=3$ 。 $j$ 表示第 $j$ 个gate。】
6）令 $H=\{w^0,\cdots,w^{N_{rows}-1}\}$ 为cyclic subgroup of $\mathbb{F}^*$ 。
7）令 $A_i$ 为用于Lookup中的某单个Witness Column， $S_i$ 为用于Lookup中的某一组Columns，其中 $i=0,\cdots,m$ 。
8）有 $Z(X)=\prod_{a\in H}(X-a)=X^{N_{rows}}-1$ 。

注，在RedShift论文中：

定义 $\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3$ 为degree不超过 $n$ 的Permutation Polynomials：【将fan-in two arithmetic circuits of unlimited fan-out with $n$ gates and $m$ wires 以constraint system的形式来表达。有 $n\leq m\leq 2n$ 。在Placeholder中，对应有 $N_{perm}=3$ 。】
- $S_{id_j}(X)=k_jX, j\in[3]$ ：【本质为：分别对所有gate的左侧输入wire、右侧输入wire和output wire 进行编号。如每个gate的左侧输入wire依次编号为 $(k_1,2\cdot k_1,\cdots,n\cdot k_1)$ ，每个gate的右侧输入wire依次编号为 $(k_2,2\cdot k_2,\cdots,n\cdot k_2)$ ，每个gate的output wire依次编号为 $(k_3,2\cdot k_3,\cdots,n\cdot k_3)$ 。】
- $S_{\sigma_j}(g^i)=\sigma'(k_jg^i),i\in[n],j\in[3]$ ： $i$ 的取值为0~n-1，对应为gate， $j$ 的取值对应为左、右、output wire。【本质为：表示的是gate之间的输入、输出连接关系，如某gate的output wire为另一gate的left input wire等。】

2.4 Placeholder协议中Prover端

将多项式承诺生成函数表示为 $Commit(\cdot)$ 。详细的多项式承诺方案和优化策略见第3和第8节。

Placeholder协议中Prover端的详细流程为：

1） $transcript.append(circuit_params) \text{transcript.append(circuit\_params)}$
2） $\text{transcript.append}(Commit(w_i(X)))$ ，其中 $0\leq i < N_{witness}$
3）将Permutation Argument中的Witness Polynomials和Public Input Polynomials定义为：
$f_0=w_0,f_1=w_1,\cdots,f_{N_{perm}+N_{PI}-1}=PI_{N_{PI}-1}$
4）有： $permutation_argument ( transcript , f 0 , ⋯ , f N p e r m + N P I − 1 , circuit_params ) F_0(X),F_1(X),F_2(X)=\text{permutation\_argument}(\text{transcript}, f_0,\cdots, f_{N_{perm}+N_{PI}-1},\text{circuit\_params})$
5）将Lookup Argument中的Witness Polynomials定义为：
$a_0=A_0,a_1=A_1,\cdots,a_{m-1}=A_{m-1}$
6）有： $lookup_argument ( transcript , a 0 , ⋯ , a m − 1 , circuit_params ) F_3(X),F_4(X),F_5(X),F_6(X),F_7(X)=\text{lookup\_argument}(\text{transcript}, a_0,\cdots, a_{m-1},\text{circuit\_params})$
7）Constraint-satisfiability处理流程为：
- 7.1） $transcript.get_challenge() \tau=\text{transcript.get\_challenge()}$
- 7.2）对于 $i=0,\cdots, N_{sel}-1$ ，有：
  $\text{gate}_i(X)=q_{l_i}(X)\cdot (\tau^{k_i-1+v_i}c_{0_i}(X)+\cdots +\tau^{v_i}c_{k_i-1}(X))$
- 7.3）Quotient Polynomial的constraints-related分子多项式为：
  $F_8(X)=\sum_{0\leq i<N_{sel}}(\text{gate}_i(X))$
8）Quotient Polynomial计算流程为：
- 8.1） $transcript.get_challenge() \alpha_0,\cdots,\alpha_8=\text{transcript.get\_challenge()}$
- 8.2）计算Quotient Polynomial $T (X)$ ：
  $F(X)=\sum_{i=0}^{8}\alpha_iF_i(X)$
  $T(X)=\frac{F(X)}{Z(X)}$
- 8.3） $N_T=\max(N_{perm}+N_{PI}, \deg_{gates}-1)$ ，其中 $deg_{gates}$ 为Gate Polynomials中的最高degree值。【RedShift中，默认 $N_T=3$ 。】
- 8.4）将 $T (X)$ 切分为不同的多项式 $T_0(X),\cdots, T_{N_{T}-1}(X)$ ，以满足多项式承诺中degree $\leq n$ 的要求。
- 8.5）对于 $0\leq i <N_T-1$ ，有： $\text{transcript.append}(Commit(T_i(X)))$
9）运行evaluation proof：
- 9.1） $transcript.get_challenge_from ( F / H ) , y ∈ F / H y=\text{transcript.get\_challenge\_from}(\mathbb{F}/H), y\in \mathbb{F}/H$ 。
- 9.2）对committed多项式运行evaluation scheme，相应的points源自 ${y,yw^{-1},yw,yw^d\}$ ，其中 $d\in\mathbf{o}$ ，即 $d$ 取 $\mathbf{o}$ 中所有值。【为 $w_i(y),w_i(yw^d),V_P(y),V_P(yw),T_0(y),\cdots,T_{N_T-1}(y),A_{perm}(y),A_{perm}(yw^{-1}),S_{perm}(y),V_L(y),V_L(yw)$ 生成evaluation proof $\pi_{eval}$ ，其中 $d$ 取 $\mathbf{o}$ 中所有值。】
- 9.3）最终proof为 $(\pi_{comm}, \pi_{eval})$ ，其中：
  - $\pi_{comm}=\{w_{0,comm},\cdots,w_{N_{witness}-1, comm},V_{P,comm},T_{0,comm},\cdots,T_{N_T-1,comm}, A_{perm,comm},S_{perm,comm},V_{L,comm}\}$
  - $\pi_{eval}$ 为evaluation proofs for $w_i(y),w_i(yw^d),V_P(y),V_P(yw),T_0(y),\cdots,T_{N_T-1}(y),A_{perm}(y),A_{perm}(yw^{-1}),S_{perm}(y),V_L(y),V_L(yw)$ ，其中 $d$ 取 $\mathbf{o}$ 中所有值。

2.4.1 Prover端Permutation Argument

此处的Permutation Argument对应的是电路中的Copy Constraints，详细见本文第6节“将Copy Constraints转换为Permutation Argument”。

Prover端生成证明时，会调用 $permutation_argument ( transcript , f 0 , ⋯ , f N p e r m + N P I − 1 , circuit_params ) F_0(X),F_1(X),F_2(X)=\text{permutation\_argument}(\text{transcript}, f_0,\cdots, f_{N_{perm}+N_{PI}-1},\text{circuit\_params})$ ，其中 $f_0=w_0,f_1=w_1,\cdots,f_{N_{perm}+N_{PI}-1}=PI_{N_{PI}-1}$ 。

本文的Permutation Argument与 ZCash Halo2 Permutation argument算法完全一致：
在这里插入图片描述

2.4.2 Prover端Lookup Argument

Prover端生成证明时，会调用 $lookup_argument ( transcript , a 0 , ⋯ , a m − 1 , circuit_params ) F_3(X),F_4(X),F_5(X),F_6(X),F_7(X)=\text{lookup\_argument}(\text{transcript}, a_0,\cdots, a_{m-1},\text{circuit\_params})$ 。其中将Lookup Argument中的Witness Polynomials定义为：
$a_0=A_0,a_1=A_1,\cdots,a_{m-1}=A_{m-1}$

本文的Lookup Argument与ZCash Halo2 Lookup argument算法完全一致：【根据"Algorithm 4 Lookup Argument Verification"来看，“9”应该在“6”之前，若不是在“6”之后】
在这里插入图片描述

2.5 Placeholder协议中Verifier端

Placeholder协议中Verifier端的详细流程为：

1）将proof $\pi$ 解析为 $(\pi_{comm}, \pi_{eval})$ ，其中：
* $\pi_{comm}=\{w_{0,comm},\cdots,w_{N_{witness}-1, comm},V_{P,comm},T_{0,comm},\cdots,T_{N_T-1,comm}, A_{perm,comm},S_{perm,comm},V_{L,comm}\}$
* $\pi_{eval}$ 为evaluation proofs for $w_i(y),w_i(yw^d),V_P(y),V_P(yw),T_0(y),\cdots,T_{N_T-1}(y),A_{perm}(y),A_{perm}(yw^{-1}),S_{perm}(y),V_L(y),V_L(yw)$ ，其中 $d$ 取 $\mathbf{o}$ 中所有值。
2） $transcript.append(circuit_params) \text{transcript.append(circuit\_params)}$
3） $\text{transcript.append}(w_{i,comm})$ ，其中 $0\leq i < N_{witness}$

2.5.1 Verifier端Permutation Argument

其中 $f_0=w_0,f_1=w_1,\cdots,f_{N_{perm}+N_{PI}-1}=PI_{N_{PI}-1}$ 。
在这里插入图片描述

2.5.2 Verifier端Lookup Argument

其中将Lookup Argument中的Witness Polynomials定义为：
$a_0=A_0,a_1=A_1,\cdots,a_{m-1}=A_{m-1}$

在这里插入图片描述

3. Placeholder的Commit Scheme和Evaluation Scheme

本节将定义proofs和params等数据的不同结构体。这些结构体仅定义了proof中的数据（commit scheme parameters）。

3.1 Witness Polynomials

Setup相关参数：
在这里插入图片描述
FRI commit为对 $D$ 域内所有点进行evaluation，基于该域所有evaluation值构建Merkle-tree，相应的root为承诺值：

FRI参数 $fri_params \text{fri\_params}$ 有：

$r$ ：表示total number of FRI-rounds in constructing FRI-proof。
Domains $D_0,\cdots,D_{r-1}$
$\lambda$ ：表示number of calls FRI-protocol are necessary for constructing LPC-proof
$m$ ：表示localization factor，默认值为 $m = 2$
$q (X)$ ：表示folding map， $q(X)=X^2$
$k$ ：表示number of points to open。

3.1.1 LPC proof $\mathcal{P}$ 证明生成算法

LPC proof $\mathcal{P}$ 有：【即构建LPC proof时，会调用 $\lambda$ 次FRI协议。】

1）Evaluation values： $z_0,\cdots, z_{k-1}$
2）Merkle proofs： $p_{z_0},\cdots,p_{z_{k-1}}$
3）FRI proofs： $fri_proof 0 , ⋯ , fri_proof fri_params . λ − 1 \text{fri\_proof}_0,\cdots,\text{fri\_proof}_{\text{fri\_params}.\lambda-1}$ 。
每个FRI proof $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ）中包含：
- 3.1） $round_proof i \text{round\_proof}_i$ ，其中 $fri_params . r − 1 0\leq i <\text{fri\_params}.r-1$ 。
  每个FRI $round_proof i \text{round\_proof}_i$ 中包含：
  - 3.1.1）每个round对应的polynomial values： $y_0,\cdots,y_m$ 。
  - 3.1.2）每个round对应的Merkle tree root（Commitment）： $T$ 。
  - 3.1.3）每个round对应的 $colinear_value,colinear_path \text{colinear\_value,colinear\_path}$ 。
- 3.2） $final_polynomial = { c 0 , ⋯ , c s } \text{final\_polynomial}=\{c_0,\cdots,c_s\}$ ，其中 $fri_params . r s=2^{\log d'-\text{fri\_params}.r}$ 【 $d^{'}$ 为quotient polynomial $Q (X)$ 的degree，详细可见下面的Proof Eval算法。】

LPC proof $\mathcal{P}$ 的“Proof Eval算法”中的输入有：

多项式 $g (X)$ 的承诺值，实际即为Merkle tree $T$ 的root。
transcript
open的 $k$ 个点： $\{\xi_j\}_{j=0}^{k-1}$

详细的LPC proof $\mathcal{P}$ 的“Proof Eval算法”流程为：
在这里插入图片描述
其中的FRI.Eval为生成每个FRI proof $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ）的算法，具体为：

3.1.2 LPC proof $\mathcal{P}$ 证明验证算法

LPC proof $\mathcal{P}$ 证明验证算法“Verify Eval”为：
在这里插入图片描述
构建LPC proof时，会调用 $\lambda$ 次FRI协议。每次调用FRI协议生成的证明为 $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ），其中 $fri_params . λ − 1 0\leq i <\text{fri\_params}.\lambda-1$ 。对每个 $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ）证明的验证算法“FRI.Verify”为：
在这里插入图片描述

3.2 Circuit Polynomials

之前的commit/opening scheme for a polynomial $f$ 描述了a $\delta$ -list of functions $f^{'}$ ，使得：
$\Delta(f,f')<\delta$
其中 $\Delta$ 为Hamming weight function。

根据RedShift论文可知：

Witness Polynomials不要求unique属性。可用 $\delta$ -list LPC来表示。
Setup Polynomials（本文称为Circuit Polynomials）应具有unique属性，确保待证明问题不可验证。需约束 $\delta$ -list LPC中的每个commit/opening对应为该list中的特定多项式（exactly one polynomial）。【 Setup Polynomials（本文称为Circuit Polynomials）定义了具体的circuit。】

为此，需引入Preprocessing setup：【所谓exactly one，是指Prover和Verifier需对list内能标识出特定多项式 $g_i(X)$ 的区分点 $u_i,v_i(=g_i(u_i)))$ 达成共识。】
在这里插入图片描述
此时，在对 $g_i(X)$ 进行“LPC proof生成证明 Proof Eval”算法以及 “LPC proof验证证明 Verify Eval”算法的过程中，在所evaluate的point list $(\xi_j,z_j)$ 中需额外引入 $u_i,v_i(=g_i(u_i)))$ 。

4. 优化的Placeholder Commit Scheme和Evaluation Scheme

nil团队对其Placeholder中的Commit Scheme和Evaluation Scheme进行了优化，定义了针对proofs和params的不同的数据结构类型。

4.1 Placeholder的Setup算法

Placeholder的Setup算法与之前的“Algorithm 5 Setup”算法类似：
在这里插入图片描述

4.2 Placeholder的Merkle tree算法

采用Merkle trees来commit polynomial values，具体的Merkle tree算法有：

$make_merkle_tree(leaves) \text{make\_merkle\_tree(leaves)}$ ：each leaf of Merkle tree commits values of polynomial $f$ on some coset $S\subset D_i$ 。Coset结构为： $S=\forall s_i,s_j\in S: q_r(s_i)=q_r(s_j)$ for some $r$ 。
$make_merkle_proof(tree, leaf) \text{make\_merkle\_proof(tree, leaf)}$ ：为 $\text{leaf}$ 生成Merkle proof。
$\text{validate(proof, leaf)}$ ：检查 $\text{proof}$ 是否对应 $\text{leaf}$ data。该函数应包含 $f(s_j),\forall s_j\in S$ 。

4.3 Placeholder数据结构

优化后的Placeholder，其FRI proof $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ）中不再包含所有 $r$ 个round proof $round_proof i \text{round\_proof}_i$ ，其中 $fri_params . r − 1 0\leq i <\text{fri\_params}.r-1$ 。
优化后的Placeholder，其FRI proof $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ）中仅包含round proofs的 $s t e p s$ ，为此，需引入：

算法A：执行 $r_i$ FRI-rounds on $i$ -th step来生成 $round_proof i \text{round\_proof}_i$ 。FRI-rounds总数为 $r$ 。
算法B：之前版本中有：当前轮round_proof中的 $y$ 值包含了前一轮 $colinear_value \text{colinear\_value}$ 值。这些值会存储在FRI proof $\pi$ 中的 $\text{values}$ 数据结构体内，有：

$\text{values}_i$ 中包含了polynomial values on coset $S$ of one of the domains。 $S$ 结构体仍与之前相同，Coset结构为： $S=\forall s_i,s_j\in S: q_r(s_i)=q_r(s_j)$ for some $r$ 。
基于相应的precommitment，调用 $make_merkle_proof(tree, leaf) \text{make\_merkle\_proof(tree, leaf)}$ 来为 $\text{values}_i$ 生成Merkle proof。

Placeholder的LPC参数 $lpc_params \text{lpc\_params}$ 有：

$r$ ：表示total number of FRI-rounds in constructing FRI-proof。
$\lambda$ ：表示number of calls FRI-protocol are necessary for constructing LPC-proof。
$m$ ：表示localization factor，默认值为 $m = 2$
$k$ ：表示number of points to open。

Placeholder的FRI参数 $fri_params \text{fri\_params}$ 有：。

Domains $D_0,\cdots,D_{r-1}$
$m$ ：表示localization factor，默认值为 $m = 2$
$q (X)$ ：表示folding map， $q(X)=X^2$
$max_degree = d \text{max\_degree}=d$
$s t e p s$ ：为FRI proof中的FRI round proofs数量。
$r_0,\cdots,r_{steps-1}$ ：表示每个step的rounds数，有 $\sum_{i=0}^{steps-1}r_i=r$ 。

LPC proof $\mathcal{P}$ 有：【即构建LPC proof时，会调用 $\lambda$ 次FRI协议。】

1）Evaluation values： $z_0,\cdots, z_{k-1}$
2）Merkle tree root： $T_root \text{T\_root}$ 【移除了Merkle proofs $p_{z_0},\cdots,p_{z_{k-1}}$ 。】
3）FRI proofs： $fri_proof 0 , ⋯ , fri_proof fri_params . λ − 1 \text{fri\_proof}_0,\cdots,\text{fri\_proof}_{\text{fri\_params}.\lambda-1}$ 。
每个FRI proof $fri_proof i \text{fri\_proof}_i$ （又名 $\pi$ ）中包含：
- 3.1） $round_proof i \text{round\_proof}_i$ ，其中 $fri_params . s t e p s 0\leq i <\text{fri\_params}.steps$ 。【引入 $s t e p s$ ，降低了round proof的总数。简化了round proof。】
  每个FRI $round_proof i \text{round\_proof}_i$ 中包含：
  - 3.1.1）每个round对应的Merkle tree path $p$ 。
  - 3.1.2）每个round对应的Merkle tree root： $T_root \text{T\_root}$ 。
  - 3.1.3）每个round对应的Merkle tree paths： $colinear_path \text{colinear\_path}$ 。
- 3.2） $final_polynomial = { c 0 , ⋯ , c s } \text{final\_polynomial}=\{c_0,\cdots,c_s\}$ ，其中 $fri_params . r s=2^{\log d'-\text{fri\_params}.r}$ 【 $d^{'}$ 为quotient polynomial $Q (X)$ 的degree，详细可见下面的Proof Eval算法。】
- 3.3）一组polynomial values： $fri_params . s t e p s \text{values}_0,\cdots,\text{values}_{\text{fri\_params}.steps}$ 。【增加了一组值】

4.4 Placeholder的commit

Merkle tree $T$ 的root值为commitment：
在这里插入图片描述

4.5 Placeholder中LPC proof生成算法

Placeholder中LPC proof生成算法为：
在这里插入图片描述
其中的FRI proof生成算法为：

4.6 Placeholder中LPC proof验证算法

Placeholder中LPC proof验证算法为：
在这里插入图片描述
其中的FRI proof验证算法为：

5. zero knowledge

5.1 Cosets

为实现zero-knowledge属性，RedShift论文中的策略之一是：

引入了a cosets of the sub-domains $D^{(i)}$ 。令 $h\in \mathbb{F}^*/D$ ，定义新domains $D^{(0)'}=hD^{(0)},\cdots,D^{(r)'}=hD^{(r)}$ 。FRI协议基于这组新domains构建。

5.2 Hiding Commitments

本文采用了 Ben-Sasson等人2016年论文《Interactive Oracle Proofs》的添加了隐私跳转的Merkle tree commitments：

每个Merkle tree leaf包含了：original leaf data + size为 $2\lambda$ 的random value，其中此处 $\lambda$ 表示security parameter。

5.3 Random Rows

本文采用Mina和Halo相同的方法。在本文之前章节中已引入了zero-knowledge调整。在本节，将提供a PLONK-trace table preprocessing。
基本思想为：

在table中的最后 $t$ 行填充uniformly distributed random values。此时，所构建的多项式值也是uniformly distributed random values。对于permutation polynomials和lookup polynomials的最后 $t$ 行也采取相同的方式，使得permutation argument和lookup argument也具有zero-knowledge属性。
同时额外引入了2个selector：【 $N_{usable}=N_{rows}-t-1$ ， $0\sim N_{usable}-1$ 为实际计算数据，第 $N_{usable}$ 行对应为分隔行（以 $q_{last}=1$ 来表示）， $N_{usable}+1\sim N_{rows}$ 为随机值。】
- $q_{blind}$ ：若 $N_{usable}<i\leq N_{rows}$ ，有 $q_{blind}(w^i)=1$ ；否则， $q_{blind}(w^i)=0$ ；
- $q_{last}$ ：表示分隔行（区分实际计算数据与随机值），有 $q_{last}(w^{N_{usable}})=1$ ，其它行 $q_{last}$ 值均为0，

6. 将Copy Constraints转换为Permutation Argument

由于：

Public Input可通过Copy Constraints enforced到 Witness Columns中。
电路内各wire之间的连接关系（即，PLONK-trace table中Cells之间的equality关系）也是以Copy Constraints表示。

接下来，需要将这些Copy Constraints转换为Permutation Argument。

6.1 Cells as Permutation Cycles

令 $c_{i,j},c_{i',j'}$ 为Plonk-trace table中的2个cell，在Plonk-trace table中，以 $\text{value}(c)$ 来表示cell $c$ 的值。
Copy constraint $\mathbf{Cp}(c_{i,j},c_{i',j'})$ 对应的断言为 $\text{value}(c_{i,j})=\text{value}(c_{i',j'})$ 。

使用Copy constraints，可定义table cells之间的permutation（组合）关系。与ZCash Halo2 Permutation argument中类似，可将permutation（组合）关系表示为a set of cycles。注意，不同的cycles之间是不相交的。对于每个equal cells set $\{c_i,\cdots,c_k\}$ ，定义cycle $C=(c_i,\cdots,c_k)$ 。
$C$ 具有‘sub-permutation’ $\delta_C$ ，使得：

$\delta_C(c_j)=c_{j+1}$ ，for $i\leq j < k$ ；
$\delta_C(c_k)=c_i$ 。

这样，可将所有的Copy Constraints切分为一堆cycles，使得同一cycle中的所有cells具有相同的trace value。电路的Permutation定义为这些cycles的组合。

6.2 Permutation Construction Algorithm

采用与ZCash Halo2 Permutation argument中相同的算法，将state表示为：

1）map $\mathbf{mapping}$ ：用于表示permutation自身。
2）map $\mathbf{aux}$ ：用于跟踪每个cycle的distinguished element。
3）map $\mathbf{sizes}$ ：用于跟踪每个cycle的size。

若 $x, y$ 属于相同的cycle，则 $\mathbf{aux}(x)=\mathbf{aux}(y)$ 。
$\mathbf{sizes}(\mathbf{aux}(x))$ 表示包含 $x$ 的cycle size。【注意，此处为简化表示，使用一个label来表示permutation中的元素，实际此时， $x = (i, j)$ ，其中 $i$ 表示cell column， $j$ 表示cell row。】

可将每个 $x$ 看成是one-element cycle，相应的Copy State初始化流程为：
在这里插入图片描述
Add Copy Constraint的流程为：

如有2个不相交cycle $(A, B, C, D)$ 和 $(E, F, G, H)$ ：

A +---> B
^       +
|       |
+       v
D <---+ C       E +---> F
                ^       +
                |       |
                +       v
                H <---+ G

当 Add Copy Constraint $B = E$ 时，最终的cycle为：

A +---> B +-------------+
^                       |
|                       |
+                       v
D <---+ C <---+ E       F
                ^       +
                |       |
                +       v
                H <---+ G

6.3 Permutation Polynomial

以上Add Copy Constraint（Algorithm 19）输出的最终copy state为permutation $\sigma$ ，需要将该permutation转换为Permutation Polynomials。

令 $\sigma(\text{col}:i,\text{row}:j)=(\text{col}:i',\text{row}:j')$ ，可使用 $\mathbf{mappring}(x=(i,j))=(i',j')$ 来表示。
令 $w$ 为 $2^k$ -th root of unity， $\delta$ 为 $T$ -th root of unity，其中 $T\cdot 2^S+1=p$ ，有 $k\leq S$ ， $T$ 为奇数， $p$ 为field size。
可将Permutation Polynomials插值表示为：

identity permutation polynomials： $S_{id_i}(w^j)=\delta^i\cdot w^j$ ，其中 $i=0,\cdots,N_{perm}-1$
permutation polynomials： $S_{\sigma_i}(w^j)=\delta^{i'}\cdot w^{j'}$ ，其中 $i=0,\cdots,N_{perm}-1$

6.4 Permutation Argument

与ZCash Halo2 Permutation argument中思路一致：
在这里插入图片描述
添加Zero-Knowledge属性为：

7. 将Lookup Constraints转换为Lookup Argument

需要将Lookup Constraints转换为Lookup Argument，使用ZCash Halo2 Lookup argument算法。
令 $T$ 为Plonk-trace table。
令 $\mathbf{S}=S_0,\cdots,S_{m-1}$ 为具有 $m$ 列 $N_{rows}$ 行的table。注意， $N_{rows}$ 等于 $T$ 中的usable rows数量。
对应lookup input cells $(T_{i_0,j_0},\cdots T_{i_{m-1},j_{m-1}})$ 的Lookup Constraints，是指：

断言 $\mathbf{S}$ 中存在某行lookup value等于lookup input cells中的值。

假设 $T$ 中参与Lookup Argument的列有 $\mathbf{A}=A_0,\cdots,A_{m-1}$ 。
将 $A_i$ 称为input columns， $S_i$ 为lookup columns。

$\mathbf{A}$ 和 $\mathbf{S}$ 中包含了相同的行数。 $\mathbf{A}$ 中的每个值均存在于 $\mathbf{S}$ 中。 $\mathbf{A}$ 和 $\mathbf{S}$ 可包含duplicate。若有需要，可扩展任一set，可扩展 $\mathbf{S}$ with duplicates，可扩展 $\mathbf{A}$ with dummy values know to be in $\mathbf{S}$ 。

利用random linear combination，引入Verifier challenge $\theta\in\mathbb{F}$ ，将 $A_i,B_i$ 压缩为2列：

$A_{compr}=\theta^{m-1}A_0+\cdots +\theta A_{m-2}+A_{m-1}$
$S_{compr}=\theta^{m-1}S_0+\cdots +\theta S_{m-2}+S_{m-1}$

Lookup Argument中有2处与原始PLONK argument类似的地方：

1）Permutation：Prover permutes $\mathbf{A}$ 和 $\mathbf{S}$ ，使得验证”inclusion lookup queries into $\mathbf{S}$ “ 相对简单。然后Prover为permuted columns提供Permutation Argument，证明 permuted $\mathbf{A}$ 中的值为 permuted $\mathbf{S}$ 的子集。
2）Assertion Check：

7.1 Permutation

首先，Prover需计算额外的2列 $A_{perm},S_{perm}$ ，分别对应permutations of $A_{compr}$ and $S_{compr}$ 。具体的permutation规则为：

1） $A_{perm}$ column中所有cells的布局方式为：垂直相邻celles以like-valued方式布局，具体的order（顺序）没有关系。
2）The first row in a sequence of like values in $A_{perm}$ 为 the row that has the corresponding value in $S_{perm}$ 。 $S_{perm}$ 中其他值的顺序可随意。

与上面第6节的Permutation Argument类似，借助grand product argument，证明：

$A_{perm},S_{perm}$ 为permutations of $A_{compr},S_{compr}$ 。

与上面6.4节“Permutation Argument”类似，引入random challenge $\beta_2,\gamma_2$ ，对 $A_{perm},S_{perm}$ 和 $A_{compr},S_{compr}$ 构建grand product argument：

1）计算 $V_L(X)$ ，使得：
$V_L(1)=V_L(w^{N_{rows}})=1$
$V_L(w^j)=\prod_{i=0}^{j-1}\frac{(A_{compr}(w^i)+\beta_2)(S_{compr}(w^i)+\gamma_2)}{(A_{perm}(w^i)+\beta_2)(S_{perm}(w^i)+\gamma_2)}$ for $0<j<N_{rows}$
2）计算 $g_L(X),h_L(X)$ ，使得：
$g_L(X)=(A_{compr}(X)+\beta_2)(S_{compr}(X)+\gamma_2)$
$h_L(X)=(A_{perm}(X)+\beta_2)(S_{perm}(X)+\gamma_2)$
3）计算lookup-related numerators of the quotient polynomial：
$F_3(X)=L_0(X)(1-V_L(X))$
$F_4(X)=(1-(q_{last}(X)+q_{blind}(X)))\cdot (V_L(wX)\cdot h_L(X)-V_L(X)\cdot g_L(X))$
$F_5(X)=q_{last}(X)\cdot (V_L(X)^2-V_L(X))$

7.2 Assertion Check

permuted columns的构建规则为：【 $A_{perm}$ 中所有元素均存在于 $S_{perm}$ 中】

1） $(A_{perm}(X)-S_{perm}(X))\cdot(A_{perm}(X)-A_{perm}(w^{-1}X))$ ，以确保：要么 $A_{perm}[j]=S_{perm}[j]$ ，要么 $A_{perm}[j]=A_{perm}[j-1]$ 。
2） $L_0(X)\cdot (A_{perm}(X)-S_{perm}(X))$ ：需要它是因为： $A_{perm}(X)-A_{perm}(w^{-1}X)$ is not a valid check on the first row。

结合以上规则，并附加zero-knowledge属性，lookup-related numerators of the quotient polynomial为：

1） $F_3(X)=L_0(X)(1-V_L(X))$
2） $F_4(X)=(1-(q_{last}(X)+q_{blind}(X)))\cdot (V_L(wX)\cdot h_L(X)-V_L(X)\cdot g_L(X))$
3） $F_5(X)=q_{last}(X)\cdot (V_L(X)^2-V_L(X))$
4） $F_6(X)=L_0(X)\cdot (A_{perm}(X)-S_{perm}(X))$
5） $F_7(X)=(1-(q_{last}(X)+q_{blind}(X)))\cdot(A_{perm}(X)-S_{perm}(X))\cdot(A_{perm}(X)-A_{perm}(w^{-1}X))$

7.3 通用化——将多个lookup constraints转换为1个Lookup Argument

每个 lookup input cells 可为任意polynomial expression，并在lookup constraint中使用relative references。这会影响 $A_{compr}$ 的计算方式。
为将多个lookup constraints转换为1个Lookup Argument，需要额外再引入一个random challenge $\theta$ 。

lookup中的相关约定有：

Lookup Table：为a table of values with columns $S_i$ 。
Lookup Input：为a set of cells of the PLONK table of the form $(a_0,\cdots,a_k)$ 。
Compressed Lookup Table：为a column that represents jointed columns of all Lookup Tables。
Compressed Lookup Input：为a column that represents jointed column of all lookup inputs。
Lookup Constraint： $(a_0,\cdots,a_{k_i-1})\in S$ for some lookup table $S$ 。
Lookup Expression：为Polynomial representation of the lookup constraint。

假设circuit $C$ 中包含了 $N_{tables}$ 个lookup tables和 $N_{lookup}$ 个lookup constraints。
每个lookup constraint中所包含的input width可能不同。以 $k_i$ 来表示第 $i$ -th个lookup constraint中lookup input的数量。
令 $d_{j_i}$ 为lookup constraint中每个元素的rotation（即，shift by $d_{j_i}$ 行）。
令 $v_i$ 为第 $i$ -th个lookup constraint random challenge的初始degree，有：
$v_{i+1}=v_i+k_i$
$v_0=0$

使得，lookup expression为：
$lookup_gate i ( X ) = ( θ k i − 1 + v i A 0 i ( X ) + ⋯ + θ v i A k i − 1 ( X ) ) \text{lookup\_gate}_i(X)=(\theta^{k_i-1+v_i}A_{0_i}(X)+\cdots +\theta^{v_i}A_{k_i-1}(X))$

压缩的lookup input为：
$lookup_gate i ( w j ) A_{compr}(w^j)=\sum_{0\leq i<N_{lookup}}\text{lookup\_gate}_i(w^j)$

注意，每个Column $A_{i,j}$ 对应table $T$ 中的某一列，Column $A_{i,j}$ 之间不要求是不同的，即可以是相同的。

与lookup inputs中定义类似，令 $v_i$ 为某table value。压缩的lookup table计算方式与压缩的lookup input 类似：
$table_value i ( w j ) = ( θ k i − 1 + v i S 0 i ( w j ) + ⋯ + θ v i S k i − 1 ( w j ) ) \text{table\_value}_i(w^j)=(\theta^{k_i-1+v_i}S_{0_i}(w^j)+\cdots +\theta^{v_i}S_{k_i-1}(w^j))$
$table_value i ( w j ) S_{compr}(w^j)=\sum_{0\leq i<N_{lookup}}\text{table\_value}_i(w^j)$

7.4 small lookup tables

借助tag column，可将多个table进行合并。
如， $\mathbf{S}_1=S_{1_0},S_{1_1}$ 和 $\mathbf{S}_2=S_{2_0},S_{2_1}$ 为2个具有4行的lookup tables，对应 $\mathbf{S}_1,\mathbf{S}_2$ 有2个lookup expression。可按如下方式合并：
在这里插入图片描述
但是，通常情况下， $N_{rows}>>4$ ，如按上述方式合并，prover需对所合并table列数之和的column进行commit，但借助tag column，可将多个table合并为：

这样，最多可节约 $max_columns − 1 (N_{con\_tables}-1)\cdot \text{max\_columns}-1$ 列，其中 $max_columns \text{max\_columns}$ 为 $N_{con\_tables}$ 个待合并table中的最大列数。