eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（2）

前序博客有：

• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（1）

2.5 Arguments

本节引入“arguments”来扩展vanilla STARK。
此处的“argument”，是指多项式之间的关系无法直接通过identity来表示。从而将这些arguments称为non-identity constraint。本文重点关注3类arguments：

• Permutation argument $\doteq$：PIL关键字为 is。
• Connection argument $\propto$：PIL关键字为 connect。
• Lookup argument $\in$：PIL关键字为 in。

实例化这些arguments的协议，均基于相同的思想：

• 基于argument中2个（或多个）向量，计算相应的grand product多项式。
  • grand product多项式为第一个向量函数和第二个向量函数商的累积。
  • 然后提出一组identities，向该协议的Verifier保证，不仅Prover所计算的grand product是正确的，还保证该协议的特定意图也是满足的。
• 为确保该协议的soundness，在该计算中需使用Verifier均匀采样的随机值。

注意$G=<g>$为order为$n$的${\mathbb{F}}^{\ast }$ subgroup。

2.5.1 Permutation Argument（multiset equality argument）

已知2个向量 $f=(f_1,\cdots ,f_n)$ 和 $t=(t_1,\cdots ,t_n)$ in ${\mathbb{F}}^n$，permutation argument表示为$f\doteq t$，用于检查$f$ 和 $t$ 互为 permutation。

因此，permutation argument可实例化为计算如下grand product 多项式 $Z\in {\mathbb{K}}_{<n}[X]$：
$$Z(g^i)=\{\begin{array}{cc}1& \text{if }i=1\\ {\prod }_{j=1}^{i-1}\frac{(f_j+\gamma )}{(t_j+\gamma )}& \text{if }i=2,\cdots ,n\end{array}$$
其中 $\gamma \in \mathbb{K}$ 为Verifier发来的随机挑战值。

然后Verifier必须检查如下 identities for $x\in G$：
$$L_1(x)\cdot (Z(x)-1)=0,\text{\hspace{1em}(14)}$$
$$Z(x\cdot g)\cdot (t(x)+\gamma )=Z(x)\cdot (f(x)+\gamma ),\text{\hspace{1em}(15)}$$

其中：

• $f,t\in {\mathbb{F}}_{<n}[X]$：为基于$G$，分别对 { f i } i ∈ [ n ] \{f_i\}_{i\in [n]} {fi​}i∈[n]​ 和 { t i } i ∈ [ n ] \{t_i\}_{i\in [n]} {ti​}i∈[n]​插值而来的多项式。
• $L_1(X):=\frac{g(X^n-1)}{n(X-g)}$：为Lagrange多项式，有 $L_1(g)=1$ 且 $L_1(g^i)=0$ for $1<i\le n$。
• 注意$G=<g>$为order为$n$的${\mathbb{F}}^{\ast }$ subgroup，因此有 $g^n=1$。

permutation argument的可靠性：

• 基于某随机值 $\gamma \in \mathbb{K}$，若如下等式成立的概率大于${\epsilon }_{Perm}(n):=n/|\mathbb{K}|$：
  ${\prod }_{i=1}^n(f_i+\gamma )={\prod }_{i=1}^n(t_i+\gamma ),$
  则 $f\doteq t$。

2.5.2 Connection Argument

本协议中的connection argument改编自PLONK中的定义和结论。
已知向量$f_1,\cdots ,f_k\in {\mathbb{F}}^n$ 和 a partition T = { T 1 , ⋯   , T s } \mathcal{T}=\{T_1,\cdots,T_s\} T={T1​,⋯,Ts​} of the set $[kn]$，connection argument表示为 ( f 1 , ⋯   , f k ) ∝ { T 1 , ⋯   , T s } (f_1,\cdots,f_k)\propto \{T_1,\cdots,T_s\} (f1​,⋯,fk​)∝{T1​,⋯,Ts​}，用于检查 partition $\mathcal{T}$ divides the field elements { f i , j } i ∈ [ k ] , j ∈ [ n ] \{f_{i,j}\}_{i\in[k],j\in[n]} {fi,j​}i∈[k],j∈[n]​ into sets with the same value，更具体来说，对于每个$i\in [k],j\in [n]$，定义sequence $f_{(1)},\cdots ,f_{(kn)}\in \mathbb{F}$ 为：
$f_{((i-1)n+j)}:=f_{i,j}$
则有 $f_{(l_1)}=f_{(l_2)}$，当且仅当 $l_1,l_2$ belong to the same block $\mathcal{T}$。
为在grand product多项式中表示 partition $\mathcal{T}$，定义permutation $\sigma :[kn]\to [kn]$ 遵循：

• $\sigma$ 使得对于$\mathcal{T}$中的每个block $T_i$，$\sigma (\mathcal{T})$中包含了 a cycle going over all elements of $T_i$。

因此connection argument可实例化为计算如下grand product 多项式 $Z\in {\mathbb{K}}_{<n}[X]$:
$$Z(g^i)=\{\begin{array}{cc}1& \text{if }i=1\\ {\prod }_{l=1}^k{\prod }_{j=1}^n\frac{(f_{l,j}+\gamma \cdot ((l-1)\cdot n+j)+\delta )}{(f_{l,j}+\gamma \cdot \sigma ((l-1)\cdot n+j)+\delta )}& \text{if }i=2,\cdots ,n\end{array}$$
其中 $\gamma ,\delta \in \mathbb{K}$为由Verifier发送的随机挑战。
然后Verifier必须检查如下identities for $x\in G$：
$$\begin{gathered} L_1(x)\cdot (Z(x)-1)=0, \\ Z(x\cdot g)=Z(x)\cdot \frac{(f_1(x)+\gamma \cdot S_{I{D}_1}(x)+\delta )}{(f_1(x)+\gamma \cdot S_{{\sigma }_1}(x)+\delta )}\cdot \cdots \frac{(f_k(x)+\gamma \cdot S_{I{D}_k}(x)+\delta )}{(f_k(x)+\gamma \cdot S_{{\sigma }_k}(x)+\delta )},\text{\hspace{1em}(16)} \end{gathered}$$
其中：

• $S_{I{D}_i}=(i-1)\cdot n+j$ 为将 $G$-elements 映射到 $[kn]$中索引值的多项式。
• $S_{{\sigma }_i}=\sigma ((i-1)\cdot n+j)$ 由$\sigma$定义的多项式。
• 由于permutation $\sigma$ 完美关联了其所指向的 partition $\mathcal{T}$，自此，可将多项式$f_1,\cdots ,f_k\in \mathbb{F}[X]$ 和 partition $\mathcal{T}$之间的connect argument表示为 ( f 1 , ⋯   , f k ) ∝ { S σ 1 , ⋯   , S σ k } (f_1,\cdots,f_k)\propto \{S_{\sigma_1},\cdots,S_{\sigma_k}\} (f1​,⋯,fk​)∝{Sσ1​​,⋯,Sσk​​}。

connection argument的可靠性：

• 基于随机的$\gamma ,\delta \in \mathbb{K}$，若如下等式成立的概率大于 ${\epsilon }_{Con}(n):=kn/|\mathbb{K}|$：
  $$\prod _{l=1}^k\prod _{j=1}^n(f_{l,j}+\gamma \cdot ((l-1)\cdot n+j)+\delta )=\prod _{l=1}^k\prod _{j=1}^n(f_{l,j}+\gamma \cdot \sigma ((l-1)\cdot n+j)+\delta ),$$
  则 ( f 1 , ⋯   , f k ) ∝ { T 1 , ⋯   , T s } (f_1,\cdots,f_k)\propto \{T_1,\cdots,T_s\} (f1​,⋯,fk​)∝{T1​,⋯,Ts​}。

2.5.3 Lookup Argument（Inclusion argument）

本文的inclusion argument改编自著名的Plookup协议，并借鉴了PlonKup中的"alternating method"。
已知2个向量$f=(f_1,\cdots ,f_n)$ 和 $t=(t_1,\cdots ,t_n)$ in ${\mathbb{F}}^n$，lookup argument表示为 $f\in t$，用于检查由 { f i } i ∈ [ n ] \{f_i\}_{i\in[n]} {fi​}i∈[n]​值组成的集合$A$ 被包含在由 { t } i ∈ [ n ] \{t\}_{i\in[n]} {t}i∈[n]​值组成的集合$B$中。注意 $|A|,|B|\le n$。
在该协议中，Prover需构建辅助向量$s=(s_1,\cdots ,s_{2n})$，其包含$f$ 和 $t$中的每个元素，并按$t$中的元素顺序排序。该协议背后的核心思想为：

• 若$f\in t$，则$f$会向$s$贡献重复的元素。为此，可定义如下$\Delta s$向量：
  $$\Delta s=(s_1+\gamma s_2,s_2+\gamma s_3,\cdots ,s_{2n}+\gamma s_1).$$
  则该协议本质上是检查$\Delta s$与 $f,t$ 和 $s$的元素一致。为此，将向量$s$切分为2个向量$h_1,h_2\in {\mathbb{F}}^n$。在plookup协议中，$h_1$ 和 $h_2$分别包含$s$的前半部分和后半部分；而PlonKup协议中用$h_1$来存储奇数索引的元素，用 $h_2$来存储偶数索引的元素，即：
  $$\begin{gathered} h_1=(s_1,s_3,s_5,\cdots ,s_{2n-1}), \\ {h}_2=(s_2,s_4,s_6,\cdots ,s_{2n}),\text{\hspace{1em}(17)} \end{gathered}$$

  因此该lookup argument可实例化为计算如下grand product 多项式 $Z\in {\mathbb{K}}_{<n}[X]$：
  $$Z(g^i)=\{\begin{array}{cc}1& \text{if }i=1\\ (1+\gamma {)}^{i-1}{\prod }_{j=1}^{i-1}\frac{(\delta +f_j)(\delta (1+\gamma )+t_j+\gamma t_{j+1})}{(\delta (1+\gamma )+s_{2j-1}+\gamma s_{2j})(\delta (1+\gamma )+s_{2j}+\gamma s_{2j+1})}& \text{if }i=2,\cdots ,n\end{array}$$
  其中 $\gamma ,\delta \in \mathbb{K}$为Verifier发来的随机挑战值。

  然后Verifier必须检查如下identities for $x\in G$：
  $$\begin{gathered} L_1(x)\cdot (Z(x)-1)=0, \\ Z(x\cdot g)=Z(x)\cdot \frac{(1+\gamma )(\delta +f(x))(\delta (1+\gamma )+t(x)+\gamma t(gx))}{(\delta (1+\gamma )+h_1(x)+\gamma h_2(x))(\delta (1+\gamma )+h_2(x)+\gamma h_1(x\cdot g))},\text{\hspace{1em}(18)} \end{gathered}$$
  其中：

• $f,t\in {\mathbb{F}}_{<n}[X]$：为基于$G$分别对 { f i } i ∈ [ n ] \{f_i\}_{i\in [n]} {fi​}i∈[n]​ 和 { t i } i ∈ [ n ] \{t_i\}_{i\in [n]} {ti​}i∈[n]​插值后的多项式。

• $h_1,h_2\in {\mathbb{F}}_{<n}[X]$：为基于$G$对上面方程式（17）插值后的多项式。

lookup argument的可靠性：

• 基于随机值$\gamma ,\delta \in \mathbb{K}$，若如下等式成立的概率大于 ${\epsilon }_{lookup}(n):=(4n-2)/|\mathbb{K}|$：
  $$(1+\gamma {)}^n\prod _{i=1}^n(\delta +f_i)\prod _{i=1}^{n-1}(\delta (1+\gamma )+t_i+\gamma t_{i+1})=\prod _{i=1}^{2n-1}(\delta (1+\gamma )+s_i+\gamma s_{i+1}),$$
  则$f\in t$ 且 $s$为$f$和$t$的拼接然后按$t$排序。

3. Polygon zkEVM eSTARK中的关键技术

本章将重点解释：

• 2.4节中的vanilla STARK，与，Polygon zkEVM eSTARK，的各轮间所执行的多项式计算的，主要不同之处。
• 在AIR表示中控制约束degree，与，在eSTARK自身协议内控制约束degree，之间的取舍。

3.1 一次性对多个多项式进行承诺

在eSTARK协议中：

• Prover在每轮会发送，对多个多项式的Merkle tree承诺值。
  • 最直观的处理方式是，为每个多项式发送一个Merkle tree root。【直观版本】
  • 而eSTARK中实现了一种可靠的替代方案：每轮会为所有多项式计算单个Merkle tree。

eSTARK中一次性对多个多项式进行承诺 的策略：

• 不仅可减少$\mathcal{P}$发送给$\mathcal{V}$的Merkle root个数；
• 当$\mathcal{P}$被请求对多个多项式在同一点进行evaluate时，还可减少$\mathcal{P}$发送给$\mathcal{V}$的Merkle path个数。

3.1.1 符号

如2.4节所示，通过基于${\mathbb{F}}^{\ast }$的某cyclic subgroup的、order为$m$的nontrivial coset $H$，的多项式evaluations值所构建的Merkle trees，来计算出相应的承诺值。由于$H$的order为$m$，本节可将集合$H$表示为 H = { h 1 , h 2 , h 3 , ⋯   , h m } H=\{h_1,h_2,h_3,\cdots,h_m\} H={h1​,h2​,h3​,⋯,hm​}。

假设$f_1,\cdots ,f_N\in {\mathbb{K}}_{<n}[X]$为所要构建Merkle tree的多项式组。即，相当于基于如下$m\times N$矩阵的多项式evaluations值来计算Merkle tree：
$\left(\begin{array}{cccc}{f}_1(h_1)& f_2(h_1)& \cdots & f_N(h_1)\\ f_1(h_2)& f_2(h_2)& \cdots & f_N(h_2)\\ ⋮& ⋮& \cdots & ⋮\\ f_1(h_m)& f_2(h_m)& \cdots & f_N(h_m)\end{array}\right)$

eSTARK构建Merkle Tree的流程为：

• 将$f_1,\cdots ,f_N$按$H$中单个点的evaluation值进行分组：
  • 即，Merkle tree中第$i$个叶子节点，为前一矩阵中第$i$行元素值的哈希值。
  • 对于具有$m$行的矩阵，所构建的Merkle tree共有$m$个叶子节点。此处假设$m$为power of two值。
• 更准确来说，该Merkle tree的叶子节点，由相应的$H$点值来索引，即结构为：
  $\boxed{\begin{array}{ccc}\text{leaf }{h}_1& \Rightarrow & \mathcal{H}(f_1(h_1),f_2(h_1),\cdots ,f_N(h_1))\\ \text{leaf }{h}_2& \Rightarrow & \mathcal{H}(f_1(h_2),f_2(h_2),\cdots ,f_N(h_2))\\ ⋮& & ⋮\\ \text{leaf }{h}_m& \Rightarrow & \mathcal{H}(f_1(h_m),f_2(h_m),\cdots ,f_N(h_m))\end{array}}$
  其中$\mathcal{H}$为任意抗碰撞哈希函数。
• 一旦计算出了所有叶子节点，则剩余的就是将Merkle tree的2个子节点拼接依次递归哈希，直到获得Merkle tree root。从而对$f_1,\cdots ,f_N$的承诺值为单个Merkle root。

当$\mathcal{V}$请求 所有 $f_1,\cdots ,f_N$在 单个点$h_i$ 的evaluation的Merkle proof时：

• Prover可证明所有$f_1(h_i),\cdots ,f_N(h_i)$的evaluations值 与 该Merkle root的一致性：
  • 只需要简单发送 包含这些evaluations的叶子节点 对应的Merkle path即可。
  • 相比于直观版本，eSTARK的这个版本，将proof size由$O(N\log m)$个元素 降为了 $O(\log m)$个元素。
• 这将用于eSTARK协议中batched FRI执行，将在同一点进行evaluate的多项式进行分组，从而可简洁地应答每个batched consistency check。

实际上本方案中采用的哈希函数$H$为Poseidon哈希函数，选择原因为：

• Poseidon哈希函数的创建目的就是：在生成和验证ZKP时，使Prover的复杂度和Verifier的复杂度 最小化。

• 特别地，Poseidon哈希具有最好的哈希性能，所对应的参数为：

  • state size限制为12个域元素
  • state size中的4个用作Poseidon哈希函数的capacity。

  这也就意味着，为让Poseidon哈希函数性能最佳，需限定input size为8个域元素。

为此，叶子节点的哈希是“linearly（线性）”计算的。所谓“linearly（线性）”，是指：若Poseidon哈希函数的输入为$t_1(s{h}^i),t_2(s{h}^i),\cdots ,t_N(s{h}^i)$，则相应的处理流程为：

• 1）将该输入切分为由8个域元素组成的chunks，若$N$不能被8整除，则补0元素填充。
• 2）对第一个chunk做Poseidon哈希运算时，用到的capacity固定为$(0,0,0,0)$。
• 3）在对后续chunk进行Poseidon哈希运算时，所用的capacity为前一哈希运算的输出。
• 4）重复步骤3），直到没有chunk待处理。

即叶子节点哈希运算示例如下：

一旦所有叶子节点哈希计算完毕，则可通过对2个子节点做Poseidon哈希运算（相应的capacity固定为$(0,0,0,0)$），以该Poseidon哈希运算的输出作为父节点。这种定义是可以的，因为Poseidon的输出包含4个域元素，而其输入正好包含8个域元素。
具有4个叶子节点的Merkle tree构建流程示意如下：

整个构建Merkle tree的流程，可扩展为使用多个GPU来让哈希运算更快，具体流程为：

• 1）将所有多项式切分为4个chunks，其中每个chunk的size为：
  $\text{batchSize}=\lfloor \max (8,\frac{N+3}{4})\rfloor$
  当然，并不是所有chunks都正好有$\text{batchSize}$个元素。这种情况下，优先填充前3个chunks正好有$\text{batchSize}$个元素，而第4个chunk可以小一点，但不能小太多。具体思想为，当$N>32$时，（$N=32$时为首次4个chunks的size都正好为$\text{batchSize}$个元素，）借助上面的公式，若$N$增加4 则chunk size增加1。因此$N$如果足够大，则最后一个chunk的size将永远不会小于$\text{batchSize}-3$，从而使得多项式实现在4个chunks的基本均匀的分布。
  下图展示了各种$N$取值情况下，chunk的分布情况：
  
• 2）在将多项式切分为4个chunks（即$T_1,T_2,T_3,T_4$）之后，可并行地做之前定义的linear 哈希运算，最终会的最多16个域元素——对应4个输出，每个输出有4个域元素。
• 3）最后，需按之前的方式，对这16个元素做linear 哈希运算，输出最终4个域元素。即，若：
  L H ( T i ) = ( H i , 1 , H i , 2 , H i , 3 , H i , 4 ) , i ∈ { 1 , 2 , 3 , 4 } LH(T_i)=(H_{i,1},H_{i,2},H_{i,3},H_{i,4}), i\in\{1,2,3,4\} LH(Ti​)=(Hi,1​,Hi,2​,Hi,3​,Hi,4​),i∈{1,2,3,4}
  则最终的输出为：
  $LH(H_{1,1},H_{1,2},H_{1,3},H_{1,4},H_{2,1},H_{2,2},H_{2,3},H_{2,4},H_{3,1},H_{3,2},H_{3,3},H_{3,4},H_{4,1},H_{4,2},H_{4,3},H_{4,4})$
  其中：
  • $LH$：表示单个GPU版本的linear 哈希运算。

3.2 transcript生成 和 Verifier challenge计算

本文通过使用Fiat-Shamir heuristic来转换为非交互式协议。

为此，需明确如何从$\mathbb{K}$（或等价为3个$\mathbb{F}$域元素）中生成随机挑战值。

本节中所使用的Poseidon哈希函数实例，其：【而上一节中所使用的Poseidon哈希的输出size是4个，而不是12个域元素。】

• state size为12个域元素（其中有8个用于输入，4个用于capacity）；
• output size为12个域元素。

生成transcript的策略与之前的linear哈希策略类似。假设想加$c_1,\cdots ,c_r$元素到transcript中，本文的处理流程为：

• 1）将该输入切分为由8个域元素组成的chunks，若$r$不能被8整除，则补0元素填充。
• 2）对第一个chunk做Poseidon哈希运算时，用到的capacity固定为$(0,0,0,0)$。
• 3）在对后续chunk进行Poseidon哈希运算时，所用的capacity为前一哈希运算的输出的最后4个元素。
• 4）重复步骤3），直到没有chunk待处理。

注意，每个哈希输出中有8个剩余元素未被使用，直到结束以上步骤3）和4）之间的循环。对应如下图所示：

当停止向transcript中添加元素时，最终的输出中包含8个域元素$(t_1,\cdots ,t_8)$。对于指定的transcript state，可从$\mathbb{K}$中提取出所需数量的challenges：

• 挑战值中前2个域元素的获取方式为：
  $t_1+t_2\phi +t_3{\phi }^2,t_4+t_5\phi +t_6{\phi }^2$
  其中：
  • $\phi$：为从$\mathbb{F}$构建$\mathbb{K}$所用到的irreducible polynomial root值。
• 由于没有足够的元素来构建挑战值中（即扩域元素中）的第3个域元素，需按如下流程来处理：
  • 构建域元素$t_9$：具体计算方式为，对8个0值做Poseidon哈希运算，该Poseidon哈希运算中的capacity为 上面生成transcript时的最后一次哈希运算所输出的 最后4个域元素——即其为向该transcript中添加新元素的下一次哈希的capacity。
  • 由此构建$\mathbb{K}$中的第3个元素：
    $t_7+t_8\phi +t_9{\phi }^2$

接下来以 $transcript$ 来表示该transcript实例，并为其定义如下操作：

• Add操作：有元素$c_1,\cdots ,c_r\in \mathbb{F}$，以：
  ${\text{add}}_{transcript}(c_1,\cdots ,c_r)$
  来表示使用之前流程，将$c_1,\cdots ,c_r$添加到该$transcript$的操作。
• Extract操作：有某transcript state $T$，以：
  extract i ( t r a n s c r i p t ) ∈ K , i ∈ { 1 , 2 , 3 } \text{extract}_i(transcript)\in\mathbb{K},i\in\{1,2,3\} extracti​(transcript)∈K,i∈{1,2,3}
  来表示使用之前流程，根据$transcript$提取单个扩域$\mathbb{K}$元素的结果。有：
  ${\text{extract}}_1(transcript)=t_1+t_2\phi +t_3{\phi }^2$
  ${\text{extract}}_2(transcript)=t_4+t_5\phi +t_6{\phi }^2$
  ${\text{extract}}_3(transcript)=t_7+t_8\phi +t_9{\phi }^2$

通过以上策略应用Fiat-Shamir所获得的非交互式协议是knowledge sound的，详细证明见2021年Thomas Attema等人论文Fiat-shamir transformation of multi-round interactive proofs中的Theorem 4。

3.3 预处理多项式和公开值

在多项式集合中，有一部分多项式是用于表示problem’s statement约束系统的多项式，因此将多项式分为2大类：

• 1）committed polynomials 承诺多项式：
  • 为Verifier在query之前，由Prover（通过Merkle tree）已进行承诺的多项式。
  • Verifier仅可oracle access承诺多项式。
  • 原则上，承诺多项式的具体内容仅对协议中的Prover已知。
  • Verifier限制为仅知道这些承诺多项式的“一小部分”evaluation值。
    • 事实上，这部分值由Verifier随机选择，且与Verifier对特定多项式做的oracle query次数成比例。
    • 为让本协议具有可扩展性，对承诺多项式所做的query次数，最多为$\log (d)$，其中$d$为多项式的degree。
  • 如，之前提到的 trace column多项式${\text{tr}}_i$，就是承诺多项式。
• 2）preprocessed polynomials 预处理多项式：
  • 对Verifier来说，预处理多项式是完整已知的，甚至在协议执行之前，Verifier就知道相应的预处理多项式。
  • 一旦某多项式约束系统 $\mathcal{C}$ 固定，则Verifier可完整访问该预处理多项式集合——以系数形式 或 以evluation形式 来访问。
  • 与承诺多项式类似，Veirifer最终仅需要知道这些预处理多项式的一小部分evluation值。
  • 如，之前提到的Lagrange多项式$L_i$，就是预处理多项式。
  • 将在4.2节展示本协议是如何对待预处理多项式的。

所谓public values（公开值）的定义为：

• 用于证实某些约束的、承诺多项式的evaluation值集合。
• 对Prover和Verifier均已知。
• 某特定多项式可关联有多个公开值。

比如，某多项式约束系统中，使得对所有的$x\in G$，满足：
$$L_1(x)({\text{tr}}_1(x)-7)=0,L_n(x)({\text{tr}}_1(x)-3)=0,\text{\hspace{1em}(19)}$$
该约束系统中包含了：

• 1个承诺多项式${\text{tr}}_1$
• 2个预处理多项式$L_1,L_n$
• 对承诺多项式${\text{tr}}_1$ 在 $g和g^n$点的evaluation值，是公开值。因为等式（19）满足，当且仅当${\text{tr}}_1(g)=7且{\text{tr}}_1(g^n)=3$。

3.4 添加Selected Vector Arguments

本节中，将描述如何利用2.5节中提出的argument来增加可用约束的类型。回顾下将添加的3种新的argument类型有：

• Lookup argument（又名Inclusion argument） $\in$：PIL关键字为 in。
  基于某multiplicative subgroup $G$，多项式$f$的evaluation值所构建的集合，被包含在，另一多项式$t$的evaluation值集合内。
• Permutation argument（又名Multiset Equality argument） $\doteq$：PIL关键字为 is。
  基于某multiplicative subgroup $G$，多项式$f$的evaluation值所构建的集合，与，另一多项式$t$的evaluation值集合，等价。
• Connection argument $\propto$：PIL关键字为 connect。
  基于某multiplicative subgroup $G$，一组多项式$f_1,\cdots ,f_N$的evaluation值所构建的向量，通过对其做某特定permutation $\sigma$之后，这些向量无差别。

为在协议中包含non-identity约束，会将这些non-identity约束，通过一组identity约束来简洁表示。假设协议中有$M$个Lookup argument（又名Inclusion argument）实例、$M^{\prime }$个Permutation argument（又名Multiset Equality argument）实例、$M^{\prime \prime }$个Connection argument实例：

• 1）$M$个Lookup argument（又名Inclusion argument）实例：对于每个$j\in [M]$ inclusion（lookup）约束，在计算相应的grand product多项式之前，需要计算并commit相关联的多项式$h_{1,j},h_{2,j}$——即共有$2M$个承诺多项式。同时，还需对$f_j$多项式进行承诺，从而最终共有$3M$个承诺多项式。
  然后计算相关联的grand product多项式$Z_j$，对应的约束多项式$Z_j$共有$2M$个。【具体的grand product多项式$Z_j$会有所不同，其定义取决于所执行的是哪种argument，详情见2.5节。】
• 2）$M^{\prime }$个Permutation argument（又名Multiset Equality argument）实例：对于每个$j\in [M^{\prime }]$ Permutation（又名Multiset Equality）约束，需对$f_j$多项式进行承诺，从而最终共有$M^{\prime }$个承诺多项式。
  然后计算相关联的grand product多项式$Z_j$，对应的约束多项式$Z_j$共有$2M^{\prime }$个。
• 3）$M^{\prime \prime }$个Connection argument实例：对于每个$j\in [M^{\prime \prime }]$ Connection约束，需对$f_j$多项式进行承诺，从而最终共有$M^{\prime \prime }$个承诺多项式。
  然后计算相关联的grand product多项式$Z_j$，对应的约束多项式$Z_j$共有$2M^{\prime \prime }$个。

因此，添加$M$个Lookup argument（又名Inclusion argument）实例、$M^{\prime }$个Permutation argument（又名Multiset Equality argument）实例、$M^{\prime \prime }$个Connection argument实例后：

• 对应给STARK增加了$3M+M^{\prime }+M^{\prime \prime }$个承诺多项式。
• 对应给STARK增加了$2(M+M^{\prime }+M^{\prime \prime })$个约束多项式。

接下来，将解释将Lookup argument（又名Inclusion argument）和 Permutation argument（又名Multiset Equality argument）进行通用化，使得：

• 不仅包含多个多项式
• 还是a subset of the resulting vector

为此，某种程度来说，扩大这些arguments的可表达性，并可处理更通用的non-identity约束。

3.4.1 由Vector Arguments到Simple Arguments

本小节将首先解释如何将vector inclusions（即多个lookup argument）或 vector multiset equalities（即多个permutation argument），reduce为 “简单的” inclusions或multiset equalities。所谓“简单的”，是指每边都仅包含一个多项式。

Vector Arguments定义为：

• 对于$i\in [N]$，已知多项式$f_i,t_i\in {\mathbb{K}}_{<n}[X]$，
  • 以$(f_1,\cdots ,f_N)\in (t_1,\cdots ,t_N)$来表示vector inclusion，即对于所有的$x\in G$，存在某$y\in G$，使得：
    $$(f_1(x),\cdots ,f_N(x))=(t_1(y),\cdots ,t_N(y))\text{\hspace{1em}(20)}$$
  • 以$(f_1,\cdots ,f_N)\doteq (t_1,\cdots ,t_N)$来表示vector multiset equality，即对于所有的$y\in G$，存在有且仅有一个$x\in G$，使得如上等式（20）成立。即，（vector）multiset equalities定义了某双向映射。

为将之前的Vector Arguments，reduce为，“简单的”Arguments，需使用一个均匀采样元素$\alpha \in \mathbb{K}$，即不再试图为如上等式（20）中的vector relation生成an argument，而是定义如下多项式：
$$F^{\prime }(X):=\sum _{i=1}^N{\alpha }^{i-1}{f}_i(X),T^{\prime }(X):=\sum _{i=1}^N{\alpha }^{i-1}{t}_i(X),\text{\hspace{1em}(21)}$$
并继续证明relation $F^{\prime }\in T^{\prime }$或$F^{\prime }\doteq T^{\prime }$。

需注意的是，即使$f_i,t_i$中的每个系数都是基于基域$\mathbb{F}$的，但$F^{\prime }和T^{\prime }$为通用多项式，其系数都是基于扩域$\mathbb{K}$的。

基于随机选择的$\alpha \in \mathbb{K}$，通过等式（21）所实现的Vector Arguments reduction，其对应的soundness exception probability为：$n\cdot (N-1)/|\mathbb{K}|$。【Lemma 4】

经等式（21）reduction之后，可获得：【Lemma 5】

• 1）Inclusion（lookup）协议为：

  • 1.1）Prover在第一轮给Verifier发送oracle functions $[f_i],[t_i]$ for $i\in [N]$。
  • 1.2）Verifier回复均匀采样值$\alpha \in \mathbb{K}$。
  • 1.3）若接下来Prover和Verifier像2.5节的inclusion protocol那样基于输入$F^{\prime },T^{\prime }$进行交互，使得Verifier 认可的概率大于：
    $n\cdot (N-1)/|\mathbb{K}|+{\epsilon }_{lookup}(n)$
    则$(f_1,\cdots ,f_N)\in (t_1,\cdots ,t_N)$。

• 2）Multiset Equality（permutation）协议为：

  • 2.1）Prover在第一轮给Verifier发送oracle functions $[f_i],[t_i]$ for $i\in [N]$。
  • 2.2）Verifier回复均匀采样值$\alpha \in \mathbb{K}$。
  • 2.3）若接下来Prover和Verifier像2.5节的inclusion protocol那样基于输入$F^{\prime },T^{\prime }$进行交互，使得Verifier 认可的概率大于：
    $n\cdot (N-1)/|\mathbb{K}|+{\epsilon }_{Perm}(n)$
    则$(f_1,\cdots ,f_N)\doteq (t_1,\cdots ,t_N)$。

3.4.2 由Selected Vector Arguments到Simple Arguments

接下来介绍selectors。
非正式来说，selected inclusion (multiset equality)，不是2个特定多项式$f,t$之间的inclusion (multiset equality)，而是基于独立生成的selectors 分别与多项式$f,t$相乘之后的inclusion (multiset equality)。

具体Selected Vector Arguments定义为：

• 对于$i\in [N]$，已知多项式$f_i,t_i\in {\mathbb{K}}_{<n}[X]$，同时额外引入2个多项式$f^{sel},t^{sel}\in {\mathbb{K}}_{<n}[X]$——这2个多项式在domain $G$的取值为 { 0 , 1 } \{0,1\} {0,1}。即$f^{sel},t^{sel}$为selectors。
  • 以$f^{sel}\cdot (f_1,\cdots ,f_N)\in t^{sel}\cdot (t_1,\cdots ,t_N)$来表示selected vector inclusion，即对于所有的$x\in G$，存在某$y\in G$，使得：
    $$f^{sel}(x)\cdot (f_1(x),\cdots ,f_N(x))=t^{sel}(y)\cdot (t_1(y),\cdots ,t_N(y))\text{\hspace{1em}(22)}$$
    其中$f^{sel}(x)\cdot (f_1(x),\cdots ,f_N(x))$表示的是域元素$f^{sel}(x)$与向量$(f_1(x),\cdots ,f_N(x))$之间的component-wise scalar multiplication。
  • 以$f^{sel}\cdot (f_1,\cdots ,f_N)\doteq t^{sel}\cdot (t_1,\cdots ,t_N)$来表示selected vector multiset equality，即对于所有的$y\in G$，存在有且仅有一个$x\in G$，使得如上等式（22）成立。即，selected（vector）multiset equalities定义了某双向映射。

注意：

• 若$f^{sel}=t^{sel}=1$，则以上等式（22）可reduce为等式（20）。
• 若$f^{sel}=t^{sel}=0$，则相应的argument是trivial的，即始终成立的。
• 若$f^{sel}$为1，或$t^{sel}$为1，则可分别移除$f^{sel}$或$t^{sel}$。

为将selected vector inclusion，reduce为，selected simple inclusion，需分为2步：

• 1）参照上面等式（21）中的reduction策略，来将内部的多项式vector，reduce为单个多项式。即获得输出多项式$F^{\prime },T^{\prime }\in {\mathbb{K}}_{<n}[X]$。
• 2）使用另一个均匀采样值$\beta \in \mathbb{K}$，定义如下多项式：
  $$\begin{array}{c}T(X):=t^{sel}(X)[T^{\prime }(X)-\beta ]+\beta ,\\ F(X):=f^{sel}(X)[F^{\prime }(X)-T(X)]+T(X),\end{array}\text{\hspace{1em}(23)}$$
• 3）然后就是证明relation $F\in T$。

需注意的是，以上等式（23）中的“re-ordering”是相关的：

• 若转为在$F$定义中引入$\beta$，则可能存在如下场景：
  • 最终将$\beta$将作为某inclusion value，使得即使selectors正确，相应的inclusion argument也无法满足。

以上等式（23）中的“re-ordering”的相关性，示例见：

以上例为例，若定义$F(X):=f^{sel}(X)[F^{\prime }(X)-\beta ]+\beta ,T(X):=t^{sel}(X)[T^{\prime }(X)-F(X)]+F(X)$，将有$\beta$作为inclusion value，即意味着即使$f_1,t_1$和$f^{sel},t^{sel}$均正确，确有$F\notin T$。

与上面的selected vector inclusion reduction类似，为将selected vector multiset equalities，reduce为，selected simple multiset equalities，需分为2步：

• 1）参照上面等式（21）中的reduction策略，来将内部的多项式vector，reduce为单个多项式。即获得输出多项式$F^{\prime },T^{\prime }\in {\mathbb{K}}_{<n}[X]$。
• 2）使用另一个均匀采样值$\beta \in \mathbb{K}$，定义如下多项式：
  $$\begin{array}{c}F(X):=f^{sel}(X)[F^{\prime }(X)-\beta ]+\beta ,\\ T(X):=t^{sel}(X)[T^{\prime }(X)-\beta ]+\beta ,\end{array}\text{\hspace{1em}(24)}$$
• 3）然后就是证明relation $F\doteq T$。

Lemma 6：

• 针对上面的等式（23）和（24），可知，基于独立随机选择的$\alpha ,\beta$，reduce之后相应的selected simple inclusion 和 selected simple multiset equalities 的exception概率均为$n\cdot (N-1)/|\mathbb{K}|$。

Lemma 7：
对于$i\in [N]$，已知多项式$f_i,t_i\in {\mathbb{K}}_{<n}[X]$，和selectors $f^{sel},t^{sel}\in {\mathbb{K}}_{<n}[X]$，有：

• 1）inclusion协议：令$T\in {\mathbb{K}}_{<2n-1}[X],F\in {\mathbb{K}}_{<3n-1}[X]$为上面等式（23）中定义的多项式：
  • 1.1）第一轮，Prover给Verifier发送oracle functions $[f_i],[t_i],[f^{sel}],[t^{sel}]$ for $i\in [N]$。
  • 1.2）Verifier回复均匀采样值$\alpha ,\beta \in \mathbb{K}$。
  • 1.3）需在2.5节inclusion协议中Verifier所需检查的identity集合的基础之上，对所有$x\in G$，额外增加（enlarge）如下检查：
    $$\begin{gathered} f^{sel}(x)(f^{sel}(x)-1)=0, \\ {t}^{sel}(x)(t^{sel}(x)-1)=0, \end{gathered}$$
    即，Verifier需检查多项式$f^{sel},t^{sel}$为有效selectors。
  • 1.4）若在2.5节的（enlarged）inclusion协议中的Prover与Verifier交互，使得Verifier认可的概率大于：
    $n\frac{N-1}{|\mathbb{K}|}+{\epsilon }_{lookup}(3n-1)$
    则有$f^{sel}\cdot (f_1,\cdots ,f_N)\in t^{sel}\cdot (t_1,\cdots ,t_N)$。
• 2）multiset equality协议：令$F,T\in {\mathbb{K}}_{<2n-1}[X]$为上面等式（24）中定义的多项式：
  • 2.1）第一轮，Prover给Verifier发送oracle functions $[f_i],[t_i],[f^{sel}],[t^{sel}]$ for $i\in [N]$。
  • 2.2）Verifier回复均匀采样值$\alpha ,\beta \in \mathbb{K}$。
  • 2.3）需在2.5节multiset equality协议中Verifier所需检查的identity集合的基础之上，对所有$x\in G$，额外增加（enlarge）如下检查：
    $$\begin{gathered} f^{sel}(x)(f^{sel}(x)-1)=0, \\ {t}^{sel}(x)(t^{sel}(x)-1)=0, \end{gathered}$$
    即，Verifier需检查多项式$f^{sel},t^{sel}$为有效selectors。
  • 2.4）若在2.5节的（enlarged）multiset equality协议中的Prover与Verifier交互，使得Verifier认可的概率大于：
    $n\frac{N-1}{|\mathbb{K}|}+{\epsilon }_{Perm}(2n-1)$
    则有$f^{sel}\cdot (f_1,\cdots ,f_N)\doteq t^{sel}\cdot (t_1,\cdots ,t_N)$。

示例3：
如对于所有的$x\in G$，Prover想要证明其知道某些多项式${\text{tr}}_1,{\text{tr}}_2,{\text{tr}}_3,{\text{tr}}_4,{\text{tr}}_5\in {\mathbb{F}}_{<n}[X]$，使得：
$$\begin{array}{c}{\text{tr}}_1\in {\text{tr}}_3,\\ {\text{tr}}_3\doteq {\text{tr}}_4,\\ ({\text{tr}}_2,{\text{tr}}_1,{\text{tr}}_5)\propto (S_{{\sigma }_1},S_{{\sigma }_2},S_{{\sigma }_3})\end{array}\text{\hspace{1em}(25)}$$
其中$\doteq$表示${\text{tr}}_3和{\text{tr}}_4$ 互为permutation，但不指定具体的permutation规则。

根据之前章节，以及3.6节，对于所有的$x\in G$，可将等式（25）转换为如下多项式约束系统：
$L_1(x)(Z_1(x)-1)=0,$
$Z_1(gx)=Z_1(x)\frac{(1+\beta )(\gamma +{\text{tr}}_1(x))(\gamma (1+\beta )+{\text{tr}}_3(x)+\beta {\text{tr}}_3(gx))}{(\gamma (1+\beta )+h_{1,1}(x)+\beta h_{1,2}(x))(\gamma (1+\beta )+h_{1,2}(x)+\beta h_{1,1}(gx))},$
$L_1(x)(Z_2(x)-1)=0,$
$Z_2(gx)=Z_2(x)\frac{(\gamma +{\text{tr}}_3(x))}{(\gamma +{\text{tr}}_4(x))},$
$L_1(x)(Z_3(x)-1)=0,$
${\text{im}}_1(x)=({\text{tr}}_1(x)+\beta k_{1}x+\gamma )({\text{tr}}_5(x)+\beta k_{2}x+\gamma ),$
${\text{im}}_2(x)=({\text{tr}}_1(x)+S_{{\sigma }_2}(x)+\gamma )({\text{tr}}_5(x)+S_{{\sigma }_3}(x)+\gamma ),$
$Z_3(gx)=Z_3(x)\frac{({\text{tr}}_2(x)+\beta x+\gamma )\cdot {\text{im}}_1(x)}{({\text{tr}}_2(x)+S_{{\sigma }_1}(x)+\gamma )\cdot {\text{im}}_2(x)},$

注意，其中有时仅需调整connection argument类型。

3.4.2 arguments的并行执行

本节将解释如何将之前协议的multiple executions进行合并，所获得的Protocol 2协议定义为：

• 初始条件为：对于$i\in [N],j\in [M+M^{\prime }+M^{\prime \prime }]$，Prover知道一组多项式$f_{i,j},t_{i,j}\in {\mathbb{F}}_{<n}[X]$。
• 待证明的关系为：
  • 对于每个$j\in [M]$， { f i , j , t i , j } i \{f_{i,j},t_{i,j}\}_i {fi,j​,ti,j​}i​对应为$M$个inclusion argument中的每组多项式。【对inclusion argument，还可额外引入selectors $f_j^{sel},t_j^{sel}$。】
  • 对于每个$j\in [M+1,M+M^{\prime }]$， { f i , j , t i , j } i \{f_{i,j},t_{i,j}\}_i {fi,j​,ti,j​}i​对应为$M^{\prime }$个multiset equality argument中的每组多项式。【对multiset equality argument，还可额外引入selectors $f_j^{sel},t_j^{sel}$。】
  • 对于每个$j\in [M+M^{\prime }+1,M+M^{\prime }+M^{\prime \prime }]$， { f i , j , t i , j , S i , σ j } i \{f_{i,j},t_{i,j}, S_{i,\sigma_j}\}_i {fi,j​,ti,j​,Si,σj​​}i​对应为$M^{\prime \prime }$个connection argument中的每组多项式，其中$S_{i,{\sigma }_j}$为对应每个permutation ${\sigma }_j$的多项式。。

对应的Protocol 2协议执行流程为：

• 1）Execution trace oracles：对于$i\in [N],j\in [M+M^{\prime }+M^{\prime \prime }]$，Prover发送oracle functions $[f_{i,j}],[t_{i,j}],[f_j^{sel}],[t_j^{sel}]$给Verifier，Verifier回复均匀采样值$\alpha ,\beta \in \mathbb{K}$。
• 2）Inclusion oracles：对于每个$j\in [M]$的inclusion argument，Prover计算相应的inclusion多项式$h_{1,j},h_{2,j}$，然后发送这2组inclusion多项式的oracle functions给Verifier，Verifier回复均匀采样值$\gamma ,\delta \in \mathbb{K}$。
• 3）Grand product oracles：对于每个$j\in [M+M^{\prime }+M^{\prime \prime }]$，Prover计算相应的grand product多项式$Z_j$，然后发送这些grand product多项式的oracle functions给Verifier
• 4）Verification：对于所有的$x\in G$，Verifier会对不同的argument类型进行验证：
  • 对于每个$j\in [M]$，Verifier会检查等式（18）中的约束成立。【对inclusion argument】
  • 对于每个$j\in [M+1,M+M^{\prime }]$，Verifier会检查等式（14）（15）中的约束成立。【对multiset equality argument】
  • 对于每个$j\in [M+M^{\prime }+1,M+M^{\prime }+M^{\prime \prime }]$，Verifier会检查等式（16）中的约束成立。【对connection argument】
  • 对于每个$j\in [M+M^{\prime }]$，Verifier会确认如下约束成立，从而确认$f_j^{sel},t_j^{sel}$多项式为有效selectors：
    $$\begin{gathered} f^{sel}(x)(f^{sel}(x)-1)=0, \\ {t}^{sel}(x)(t^{sel}(x)-1)=0. \end{gathered}$$

对应完整的Protocol 2框架描述示意如下：

借助：

• Eli Ben-Sasson等人2016年论文Interactive Oracle Proofs的Theorem 7
• Oded Goldreich 2020年书本 Modern Cryptography, Probabilistic Proofs and Pseudorandomness的Parallel Repetition Theorem for polynomial IOP

同时对于Protocol 2中的inclusion argument以：

• $M_1$：来表示simple inclusion个数
• $M_2$：来表示vector inclusion个数
• $M_3$：来表示selected vector inclusion个数

有$M=M_1+M_2+M_3$。
同理对Protocol 2中的multiset equality argument以：

• $M_1^{\prime }$：来表示simple multiset equality个数
• $M_2^{\prime }$：来表示vector multiset equality个数
• $M_3^{\prime }$：来表示selected vector multiset equality个数

有$M^{\prime }=M_1^{\prime }+M_2^{\prime }+M_3^{\prime }$。

Lemma 8（Soundness bound for Protocol 2）：

• 以${\epsilon }_{Inc}$来表示单个inclusion argument的soundness
• 以${\epsilon }_{MulEq}$来表示单个multiset equality argument的soundness
• 以${\epsilon }_{Con}$来表示单个connection argument的soundness
• 整个Protocol 2中Prover与Verifier交互，让Verifier认可的概率大于：
  ${\epsilon }_{Args}:=(M_2+M_3+M_2^{\prime }+M_3^{\prime })\frac{n(N-1)}{|\mathbb{K}|}+{\epsilon }_{Inc}(n{)}^{M_1+M_2}{\epsilon }_{Inc}(2n-1{)}^{M_3}{\epsilon }_{MulEq}(n{)}^{M_1+M_2}{\epsilon }_{MulEq}(3n-1{)}^{M_3}{\epsilon }_{Con}(n{)}^{M^{\prime \prime }}$
  则，$M$个inclusion argument中的每个、$M^{\prime }$个multiset equality argument中的每个、$M^{\prime \prime }$个connection argument中的每个，均得到满足。

3.5 On the Quotient Polynomial

在vanilla STARK协议中，等式（8）中的quotient多项式$Q$是通过对如下有理函数调整degree计算而来的：
$q_i(X):=\frac{C_i({\text{tr}}_1(X),\cdots ,{\text{tr}}_N(X),{\text{tr}}_1(gX),\cdots ,{\text{tr}}_N(gX))}{Z_G(X)}$
通过借助2个随机值${\mathfrak{a}}_i,{\mathfrak{b}}_i$，将以上有理函数的degree调整到某足够大的power of two $D$值，将调整后的个多项式${\hat{q}}_i:=({\mathfrak{a}}_i{X}^{D-\mathrm{deg}(q_i)-1}+{\mathfrak{b}}_i)\cdot q_i(X)$求和之后，即得到相应的quotient多项式$Q$。

vanilla STARK协议等式（8）中的quotient多项式$Q$存在2个主要问题：

• 1）所引入的随机值${\mathfrak{a}}_i,{\mathfrak{b}}_i$的个数，与约束数成比例。
• 2）目前为止，ethSTARK及其它文档中，并未提供为何需要这种degree调整的证明。

为此，本文修改为引入单个随机值$\mathfrak{a}$，并将quotient多项式定义为有理函数$q_i$的随机线性组合：
$Q(X):={\sum }_{i=1}^l{\mathfrak{a}}^{i-1}{q}_i(X)$

这样：

• 1）不仅移除了对$q_i$的degree调整
• 2）还使用单个随机值$\mathfrak{a}$的powers，来代替，需对每个约束采样一个随机值 的情况。

本文对quotient多项式计算方式的这种修改，是足够可靠的，详细分析见：

• Ulrich Hab¨ock 2022年论文A summary on the FRI low degree test中的Theorem 7，其基于Eli Ben-Sasson等人2020年论文Proximity gaps for reed-solomon codes中的Theorem 7.2。

最重要的是，修改后的soundness上限，随约束数$l$线性增加，因此自此可假设$l$为sublinear in $|\mathbb{K}|$，以确保协议的安全性。

参考资料

[1] Polygon zkEVM技术文档 eSTARK: Extending the STARK Protocol with Arguments v.1.2

附录：Polygon Hermez 2.0 zkEVM系列博客

• ZK-Rollups工作原理
• Polygon zkEVM——Hermez 2.0简介
• Polygon zkEVM网络节点
• Polygon zkEVM 基本概念
• Polygon zkEVM Prover
• Polygon zkEVM工具——PIL和CIRCOM
• Polygon zkEVM节点代码解析
• Polygon zkEVM的pil-stark Fibonacci状态机初体验
• Polygon zkEVM的pil-stark Fibonacci状态机代码解析
• Polygon zkEVM PIL编译器——pilcom 代码解析
• Polygon zkEVM Arithmetic状态机
• Polygon zkEVM中的常量多项式
• Polygon zkEVM Binary状态机
• Polygon zkEVM Memory状态机
• Polygon zkEVM Memory Align状态机
• Polygon zkEVM zkASM编译器——zkasmcom
• Polygon zkEVM哈希状态机——Keccak-256和Poseidon
• Polygon zkEVM zkASM语法
• Polygon zkEVM可验证计算简单状态机示例
• Polygon zkEVM zkASM 与 以太坊虚拟机opcode 对应集合
• Polygon zkEVM zkROM代码解析（1）
• Polygon zkEVM zkASM中的函数集合
• Polygon zkEVM zkROM代码解析（2）
• Polygon zkEVM zkROM代码解析（3）
• Polygon zkEVM公式梳理
• Polygon zkEVM中的Merkle tree
• Polygon zkEVM中Goldilocks域元素circom约束
• Polygon zkEVM Merkle tree的circom约束
• Polygon zkEVM FFT和多项式evaluate计算的circom约束
• Polygon zkEVM R1CS与Plonk电路转换
• Polygon zkEVM中的子约束系统
• Polygon zkEVM交易解析
• Polygon zkEVM 审计及递归证明
• Polygon zkEVM发布公开测试网2.0
• Polygon zkEVM测试集——创建合约交易
• Polygon zkEVM中的Recursive STARKs
• Polygon zkEVM的gas定价
• Polygon zkEVM zkProver基本设计原则 以及 Storage状态机
• Polygon zkEVM bridge技术文档
• Polygon zkEVM Trustless L2 State Management 技术文档
• Polygon zkEVM中的自定义errors
• Polygon zkEVM RPC服务
• Polygon zkEVM Prover的 RPC功能
• Polygon zkEVM PIL技术文档
• Polygon zkEVM递归证明技术文档（1）【主要描述了相关工具 和 证明的组合、递归以及聚合】
• Polygon zkEVM递归证明技术文档（2）—— Polygon zkEVM架构设计
• Polygon zkEVM递归证明技术文档（3）——代码编译及运行
• Polygon zkEVM递归证明技术文档（4）—— C12 PIL Description
• Polygon zkEVM递归证明技术文档（5）——附录：借助SNARKjs和PIL-STARK实现proof composition
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（1）