基于cycle of curves的Nova证明系统（2）

主要见斯坦福大学Wilson Nguyen、Dan Boneh和微软研究中心Srinath Setty 2023年论文《Revisiting the Nova Proof System on a Cycle of Curves》。

前序博客见：

• 基于cycle of curves的Nova证明系统（1）

本文重点关注：

• 1）Nova IVC proof压缩
• 2）Nova IVC proof延展性问题 以及 应对措施

5. IVC Proof进一步压缩

本文提出了两种压缩IVC proof的方案：

• 1）compression without SNARKs
• 2）compression with SNARKs

https://github.com/Microsoft/Nova代码中的CompressedSNARK采用了这两种压缩方式。

5.1）compression without SNARKs

已知某convincing proof：
${\pi }_i=(($𝕦${}_i^{(2)},$𝕨${}_i^{(2)}),({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)}),({\mathbb{U}}_i^{(2)},{\mathbb{W}}_i^{(2)}))$

Prover $\mathcal{P}$端执行如下步骤，获得压缩proof ${\pi }_i^{\prime }$：

• 1）为${\text{R1CS}}^{(2)}$ fold pairs：将${\text{R1CS}}^{(2)}$的committed pairs $($𝕦${}_i^{(2)},$𝕨${}_i^{(2)}),({\mathbb{U}}_i^{(2)},{\mathbb{W}}_i^{(2)})$ 进行fold：
  ${\text{Fold}}_{\mathcal{P}}(\text{pk},($𝕦${}_i^{(2)},$𝕨${}_i^{(2)}),({\mathbb{U}}_i^{(2)},{\mathbb{W}}_i^{(2)}))\to ({\bar{T}}_i^{(2)},(\cdot ,{\mathbb{W}}_{i+1}^{(2)}))$
• 2）输出压缩proof：
  ${\pi }_i^{\prime }=($𝕦${}_i^{(2)},{\mathbb{U}}_i^{(2)},({\bar{T}}_i^{(2)},{\mathbb{W}}_{i+1}^{(2)}),({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)}))$

Verifier $\mathcal{V}$端执行如下步骤，来验证 压缩proof ${\pi }_i^{\prime }$：

• 1）执行初始folding流程：${\mathbb{U}}_{i+1}^{(2)}:={\text{Fold}}_{\mathcal{V}}(\text{vk},$𝕦${}_i^{(2)},{\mathbb{U}}_i^{(2)},{\bar{T}}_i^{(2)})$
• 2）若满足以下6个条件，则验证通过：
  • 2.1）索引值$i$必须大于0；
  • 2.2）𝕦${}_i^{(2)}.x_0=H_1(\text{vk},i^{(1)},z_0^{(1)},z_i^{(1)},{\mathbb{U}}_i^{(2)})$
  • 2.3）𝕦${}_i^{(2)}.x_1=H_2(\text{vk},i^{(2)},z_0^{(2)},z_i^{(2)},{\mathbb{U}}_i^{(1)})$
  • 2.4）$({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)})$ pair 满足${\text{R1CS}}^{(1)}$
  • 2.5）$({\mathbb{U}}_{i+1}^{(2)},{\mathbb{W}}_{i+1}^{(2)})$ pair 满足${\text{R1CS}}^{(2)}$
  • 2.6）“$($𝕦${}_i^{(2)},$𝕨${}_i^{(2)})$ pair 严格 满足${\text{R1CS}}^{(2)}$ ” 改为 ”𝕦${}_i^{(2)}.\bar{E}={\bar{0}}^{(2)}$ 且 𝕦${}_i^{(2)}.s={\bar{1}}^{(2)}$“

压缩proof的递归运算：

• 压缩proof ${\pi }_i^{\prime }$ 和 新的evaluation值：$z_{i+1}^{(1)}:=F_1(z_i^{(1)},{\text{aux}}_i^{(1)})$ 以及 $z_{i+1}^{(2)}:=F_2(z_i^{(2)},{\text{aux}}_i^{(2)})$，足以供Nova prover执行another step for Iteration $i+1$。【注意，压缩proof ${\pi }_i^{\prime }$是readily incremental的。】
• 为便于理解，本论文中基于未压缩proof ${\pi }_i$构建了IVC方案，也可基于压缩proof ${\pi }_i^{\prime }$来构建IVC方案。Nova论文，在”compression without SNARKs“之后，使用了某SNARK来将proof ${\pi }_i^{\prime }$进一步压缩为${\pi }_i^{{}^{\prime \prime }}$。

5.2）compression with SNARKs

针对relation ${\mathcal{R}}_{sat}$的通用SNARK可用于进一步压缩IVC proof。Nova论文中采用Spartan SNARK来压缩IVC proof。

已知”compression without SNARKs“的压缩proof：
${\pi }_i^{\prime }=($𝕦${}_i^{(2)},{\mathbb{U}}_i^{(2)},({\bar{T}}_i^{(2)},{\mathbb{W}}_{i+1}^{(2)}),({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)}))$

Prover $\mathcal{P}$端执行如下步骤，获得压缩proof ${\pi }_i^{{}^{\prime \prime }}$：

Verifier $\mathcal{V}$端执行如下步骤，来验证 压缩proof ${\pi }_i^{{}^{\prime \prime }}$：

• 1）执行初始folding流程：${\mathbb{U}}_{i+1}^{(2)}:={\text{Fold}}_{\mathcal{V}}(\text{vk},$𝕦${}_i^{(2)},{\mathbb{U}}_i^{(2)},{\bar{T}}_i^{(2)})$
• 2）若满足以下5个条件，则验证通过：
  • 2.1）索引值$i$必须大于0；
  • 2.2）𝕦${}_i^{(2)}.x_0=H_1(\text{vk},i^{(1)},z_0^{(1)},z_i^{(1)},{\mathbb{U}}_i^{(2)})$
  • 2.3）𝕦${}_i^{(2)}.x_1=H_2(\text{vk},i^{(2)},z_0^{(2)},z_i^{(2)},{\mathbb{U}}_i^{(1)})$
  • 2.4）$({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)})$ pair 满足${\text{R1CS}}^{(1)}$
  • 2.5）$({\mathbb{U}}_i^{(2)},{\mathbb{W}}_i^{(2)})$ pair 满足${\text{R1CS}}^{(2)}$
  • 2.4）${\pi }_{sat}$为 relation ${\mathcal{R}}_{sat}$ with instance $({\mathbb{U}}_{i+1}^{(2)},{\mathbb{U}}_i^{(2)})$ 的convincing SNARK proof。
  • 2.5）2.6）“$($𝕦${}_i^{(2)},$𝕨${}_i^{(2)})$ pair 严格 满足${\text{R1CS}}^{(2)}$ ” 改为 ”𝕦${}_i^{(2)}.\bar{E}={\bar{0}}^{(2)}$ 且 𝕦${}_i^{(2)}.s={\bar{1}}^{(2)}$“

6. Nova IVC proof的延展性 及 应对措施

Nova的IVC proof具有延展性问题。

假设某adversary知道某valid Nova IVC proof ${\pi }_i$ 以及相应的参数：

• IVC公共参数$pp$
• 函数描述：$F_1:{\mathbb{F}}_1^{a_1}\times {\mathbb{F}}_1^{b_1}\to {\mathbb{F}}_1^{a_1}$ 和 $F_2:{\mathbb{F}}_2^{a_2}\times {\mathbb{F}}_2^{b_2}\to {\mathbb{F}}_2^{a_2}$。
• 索引号 $i\in \mathbb{N}$。
• 起始值$z_0^{(1)}\in {\mathbb{F}}_1^{a_1}$和$z_0^{(2)}\in {\mathbb{F}}_2^{a_2}$
• claimed evaluations值$z_i^{(1)}\in {\mathbb{F}}_1^{a_1}$和$z_i^{(2)}\in {\mathbb{F}}_2^{a_2}$

针对相同的iteration $i$，该adversary可对不同于$z_i^{(2)}$的$z_{prime}^{(2)}$构建proof ${\pi }_{prime}$，而IVC Verifier的参数为：
$(pp,(F_1,F_2),i,(z_0^{(1)},z_0^{(2)}),(z_i^{(1)},z_{prime}^{(2)}),{\pi }_{prime})$
为让IVC Verifier验证通过。

需强调：

• 为计算$z_i^{(2)}$，adversary无需知道所有的辅助值$({\text{aux}}_0^{(2)},{\text{aux}}_1^{(2)},\cdots ,{\text{aux}}_{i-1}^{(2)})$。在不知道前$i-1$个辅助的情况下，修改替换最后一个辅助值${\text{aux}}_{prime}^{(2)}\ne {\text{aux}}_{i-1}^{(2)}$，可为iteration $i$的替换值$z_{prime}^{(2)}$构建proof ${\pi }_{prime}$。

延展性会带来现实世界漏洞。假设：

• Alice使用其秘密辅助值来计算$z_i^{(2)}$，且$z_i^{(2)}$中编码了其payment地址。
• Alice将$z_i^{(2)}$和相应的proof发送给某payment合约。
• 攻击者可拦截Alice的消息，将$z_i^{(2)}$替换为 编码了攻击者payment地址的$z_{prime}^{(2)}$，以及有效的proof ${\pi }_{prime}$ 发送个payment合约。payment合约会将资金发送给攻击者，而不是给Alice。
  事实上，若Tornado Cash中使用statement可延展的证明系统，则可能盗取资金。

若函数$F$为确定性函数——即输入中不包含辅助参数，则不存在延展性问题。因为此时，函数$F$的第$i$次迭代的结果$z_i$ 由初始值$z_0$完全确定。

而对具有辅助输入的Nova IVC，为解决其延展性问题，可采用如下3种策略：

• 1）压缩（Compression）：基于cycle of curves的Nova证明系统（1）的”4.3 修订版Nova Prover算法“中，Prover在输出final folded instance的同时会输出a satisfying witness。可替换为，Prover在输出final folded instance的同时输出 a zkSNARK proof that it has a valid witness for this folded instance。若该zkSNARK方案是simulation extractable，则该final proof是非延展性的。事实上，Nova的当前实现就是采用这种方案，在解决延展性问题的同时，对final proof进行了压缩。但是，这与IVC概念不兼容：压缩之后，另一方无法通过folding进一步继续迭代了。这样的结果就是，整个IVC chain的计算仅能由单一方完成。
• 2）上下文（context）：将verification key $\text{vk}$扩展为包含一个额外的context元素$\text{ctx}$。这样可确保非延展性，但是与IVC不兼容。额外的context元素包含了该计算的最后一步，且阻止了其它方使用folding进一步延长IVC chain。
• 3）递增上下文（Incremental context）：为确保非延展性的同时，支持IVC的incremental aspect，每次一方与另一方交互时更新verification key $\text{vk}$，从而各方都可延长IVC chain。

6.1 延展性攻击

本节展示对IVC chain最后一步的延展性攻击。

已知：
${\pi }_i=(($𝕦${}_i^{(2)},$𝕨${}_i^{(2)}),({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)}),({\mathbb{U}}_i^{(2)},{\mathbb{W}}_i^{(2)}))$

延展性攻击操作如下：

• 1）根据论文《Revisiting the Nova Proof System on a Cycle of Curves》第6章”Proof of Security“可知，可解析𝕨${}_i^{(2)}$ 来获取relational witness：
  ${\hat{w}}_i^{(2)}=(\text{vk},(i-1{)}^{(2)},z_0^{(2)},z_{i-1}^{(2)},{\text{aux}}_{i-1}^{(2)},{\mathbb{U}}_{i-1}^{(1)},$𝕦${}_{i-1}^{(1)},{\bar{T}}_{i-1}^{(1)})$
  其中$z_i^{(2)}=F_2(z_0^{(2)},{\text{aux}}_0^{(2)})$，${\mathbb{U}}_i^{(1)}={\text{Fold}}_{\mathcal{V}}(\text{vk},{\mathbb{U}}_{i-1}^{(1)},$𝕦${}_i^{(1)},{\bar{T}}_{i-1}^{(1)})$
  从而可根据𝕨${}_i^{(2)}$ 来解析获取${\hat{w}}_i^{(2)}$。

• 2）找到一个不同的辅助值：使用$z_{i-1}^{(2)}$，（假设对于$F_2$很容易）找到某${\text{aux}}_{prime}^{(2)}$，使得：
  $z_{prime}^{(2)}:=F_2(z_{i-1}^{(2)},{\text{aux}}_{prime}^{(2)})\ne F_2(z_{i-1}^{(2)},{\text{aux}}_{i-1}^{(2)})=z_i^{(2)}$

• 3）为${\text{R1CS}}^{(2)}$计算新pair $($𝕦${}_{prime}^{(2)},$𝕨${}_{prime}^{(2)})$：

  • 3.1）定义${\hat{w}}_{prime}^{(2)}=(\text{vk},(i-1{)}^{(2)},z_0^{(2)},z_{i-1}^{(2)},{\text{aux}}_{prime}^{(2)},{\mathbb{U}}_{i-1}^{(1)},$𝕦${}_{i-1}^{(1)},{\bar{T}}_{i-1}^{(1)})$为relation ${\mathcal{R}}_2$的witness。然后基于${\hat{w}}_{prime}^{(2)}$，计算满足${\text{R1CS}}^{(2)}$约束系统所需的extended witness $w_{prime}^{(2)}$。
  • 3.2）对extended witness $w_{prime}^{(2)}$进行commit，有：${\bar{w}}_{prime}^{(2)}\leftarrow \text{Commit}(p{p}_W^{(2)},w_{prime}^{(2)})$。
  • 3.3）定义$x_0:=$𝕦${}_i^{(1)}.x_1$，并计算$x_1:=H_2(\text{vk},1^{(2)},z_0^{(2)},z_{prime}^{(2)}:=F_2(z_{i-1}^{(2)},{\text{aux}}_{prime}^{(2)}),{\mathbb{U}}_i^{(1)})$。
  • 3.4）设置 𝕦${}_{prime}^{(2)}:=({\bar{0}}^{(2)},1^{(2)},{\bar{w}}_{prime}^{(2)},x:=(x_0,x_1))$，𝕨${}_{prime}^{(2)}:=({\vec{0}}^{(2)},w_{prime}^{(2)})$。

• 4）输出新的攻击proof：${\pi }_{prime}=(($𝕦${}_{prime}^{(2)},$𝕨${}_{prime}^{(2)}),({\mathbb{U}}_i^{(1)},{\mathbb{W}}_i^{(1)}),({\mathbb{U}}_i^{(2)},{\mathbb{W}}_i^{(2)}))$

新的攻击proof ${\pi }_{prime}$可验证通过。

所谓延展攻击，是指IVC证明系统中：

• 对$z_i$有效性的final proof中包含了足够的信息来重构出$z_i$的preimage $z_{i-1}$
• 且 知道对应$z_{i-1}$有效性的IVC proof

则在不知道前$i-1$个辅助输入值的情况下，攻击者可重新执行IVC Prover的最后一个step：

• 选择不同的最后一个辅助输入值${\text{aux}}_{i-1}$，获得的结果$z_i^{\prime }\ne z_i$
• 为$z_i^{\prime }$生成有效的攻击proof。

由此可知Nova论文中的IVC proofs也是可延展的。

6.2 延展攻击应对措施

而对具有辅助输入的Nova IVC，为解决其延展性问题，可采用如下3种策略：

• 1）压缩（Compression）
• 2）上下文（context）
• 3）递增上下文（Incremental context）

6.2.1 压缩（Compression）

压缩（Compression）：基于cycle of curves的Nova证明系统（1）的”4.3 修订版Nova Prover算法“中，Prover在输出final folded instance的同时会输出a satisfying witness。可替换为，Prover在输出final folded instance的同时输出 a zkSNARK proof that it has a valid witness for this folded instance。若该zkSNARK方案是simulation extractable，则该final proof是非延展性的。事实上，Nova的当前实现就是采用这种方案，在解决延展性问题的同时，对final proof进行了压缩。但是，这与IVC概念不兼容：压缩之后，另一方无法通过folding进一步继续迭代了。

即不允许第一个Prover（Fiona）将计算传递给第二个Prover（Sam）来继续该folding流程。Sam看不到Fiona计算的最后一个folding instance的witness，使得Sam无法进一步迭代$F$到该instance中。而Fiona必须压缩其proof，否则Sam可在开始其计算之前做延展攻击。

这样的结果就是，整个IVC chain的计算仅能由单一方完成，与efficiently incremental IVC不兼容。

压缩IVC proof ${\pi }_i^{{}^{\prime \prime }}$定义为：
${\pi }_i^{{}^{\prime \prime }}=($𝕦${}_i^{(2)},{\mathbb{U}}_i^{(2)},{\mathbb{U}}_i^{(1)},{\bar{T}}_i^{(2)},{\pi }_{sat})$

要求：

• 1.1）此处的zkSNARK方案必须具有zero knowledge属性，使得${\pi }_{sat}$中不包含任何底层witnesses信息。
• 1.2）𝕦${}_i^{(2)}$中的witness 承诺值${\bar{w}}_i^{(2)}$必须具有hiding属性。
• 1.3）该zkSNARK方案需simulation extractable。

6.2.2 上下文（context）

上下文（context）：将verification key $\text{vk}$扩展为包含一个额外的context元素$\text{ctx}$。这样可确保非延展性，但是与IVC不兼容。额外的context元素包含了该计算的最后一步，且阻止了其它方使用folding进一步延长IVC chain。
即verification key $\text{vk}$定义为：
$(\cdot ,\text{vk})\leftarrow {\text{Fold}}_{\mathcal{K}}(pp,({\text{R1CS}}^{(1)},{\text{R1CS}}^{(2)}),\text{ctx})$，其中$\text{ctx}\leftarrow (i,z_i^{(1)},z_i^{(2)})$
这样就将该proof 绑定了 特定的choice $(i,z_i^{(1)},z_i^{(2)})$。但是也会破坏incremental属性，因prover无法将该proof传递给另一prover继续迭代$j>i$。注意仅有第一个IVC Prover在构建IVC proof之前必须计算出最终的$(z_i^{(1)},z_i^{(2)})$。

6.2.3 递增上下文（Incremental context）

递增上下文（Incremental context）：为确保非延展性的同时，支持IVC的incremental aspect，每次一方与另一方交互时更新verification key $\text{vk}$，从而各方都可延长IVC chain。

假设有2个Prover：${\mathcal{P}}_{prior},{\mathcal{P}}_{curr}$。Prover ${\mathcal{P}}_{prior}$在IVC chain的位置$a$收到一个proof，并继续计算到位置$b>a$。Prover ${\mathcal{P}}_{curr}$收到${\mathcal{P}}_{prior}$生成的proof，并继续计算到位置$c>b$。
这2个prover会将私有辅助数据包含在各自的计算部分。Prover ${\mathcal{P}}_{curr}$向生成$F$执行$c$次的IVC proof ${\pi }_c$，其中的辅助值 与 之前Prover在前$b$次迭代中所使用 辅助值 一样，并使用Prover ${\mathcal{P}}_{curr}$自身的辅助值做剩下的$c-b$次迭代。

引入一个范围参数$\text{range}$，并将其包含在verification key $\text{vk}$中。范围参数$\text{range}$使得Prover ${\mathcal{P}}_{curr}$可指定合适需切换新的在verification key $\text{vk}$。

定义新的摘要参数$\text{dig}$，其等于老的verification key $\text{vk}$：
$\text{dig}:=H(pp,({\text{R1CS}}^{(1)},{\text{R1CS}}^{(2)}))$

对于$a<b<c$，有：
${\text{range}}_{prior}:=((a,z_a^{(1)},z_a^{(2)}),(b,z_b^{(1)},z_b^{(2)})),{\text{vk}}_{prior}:=H(\text{dig},{\text{range}}_{prior})(50)$
以及
${\text{range}}_{curr}:=((b,z_b^{(1)},z_b^{(2)}),(c,z_c^{(1)},z_c^{(2)})),{\text{vk}}_{curr}:=H(\text{dig},{\text{range}}_{curr})(51)$
其中$(a,z_a^{(1)},z_a^{(2)})$为迭代$F$共$a$次的claimed evaluation，同理$b,c$。

为验证迭代$c$次的计算，IVC Verifier需明确知道evaluations $(b,z_b^{(1)},z_b^{(2)})$ 和 $(c,z_c^{(1)},z_c^{(2)})$。其验证$b<c$，并计算参数$\text{dig}$和${\text{vk}}_{curr}$。

此外论文《Revisiting the Nova Proof System on a Cycle of Curves》图1a和图1b中需额外引入witness输入$\text{dig}$、$(a,z_a^{(1)},z_a^{(2)})$、$(b,z_b^{(1)},z_b^{(2)})$，并额外包含以下约束：

• 输入的迭代索引$i$需满足$i>b>a$
• 若输入迭代索引$i\ne b$，则正常处理。input committed 𝕦${}_i$ 与 𝕦${}_{i+1}$中的verification key是完全相同的。
• 若输入迭代索引$i=b$，则relation需交换verification key。
  • 检查input instance 𝕦${}_b$中包含了按上面公式（50）计算的verification key ${\text{vk}}_{prior}$。
  • 按公式（51）计算verification key ${\text{vk}}_{curr}$。
  • 在folding运算中使用${\text{vk}}_{curr}$，且在instance 𝕦${}_{b+1}$的输出哈希中包含${\text{vk}}_{curr}$。

如上所示，可在保留incremental属性的同时，阻止延展性攻击。代价是需要稍微更大的IVC proof，除最后的evaluations $(c,z_c^{(1)},z_c^{(2)})$之外，还需要上一次做Prover转移的evaluations $(b,z_b^{(1)},z_b^{(2)})$。

IVC chain的最终Prover仍可以使用zkSNARK来压缩final proof。

Nova系列博客

• Nova: Recursive Zero-Knowledge Arguments from Folding Schemes学习笔记
• Nova 和 SuperNova：无需通用电路的通用机器执行证明系统
• Sangria：类似Nova folding scheme的relaxed PLONK for PLONK
• 基于Nova/SuperNova的zkVM
• SuperNova：为多指令虚拟机执行提供递归证明
• Lurk——Recursive zk-SNARKs编程语言
• Research Day 2023：Succinct ZKP最新进展
• 2023年 ZK Hack以及ZK Summit 亮点记
• 基于cycle of curves的Nova证明系统（1）