GKR协议示例

1. 引言

GKR协议相关博客有：

• Delegating Computation: Interactive Proofs for Muggles 学习笔记
• sum-check protocol in zkproof
• sum-check protocol深入研究
• GKR协议小记
• GKR+Groth16：更快的MiMC证明
• Lasso、Jolt 以及 Lookup Singularity——Part 2
• ZKP历史总览
• 当今SNARKs全景
• Virgo：Transparent Polynomial Delegation and Its Applications to Zero Knowledge Proof学习笔记
• sum-check protocol合集

交互式证明是两方（证明者 $\mathcal{P}$ 和验证者 $\mathcal{V}$ 之间的协议，其中证明者试图说服验证者某声明的有效性。通过利用随机性和交互性，验证者可以比自己做所有事情更有效地检查该声明。
总是有一种简单的方法可以验证计算：

• 重新执行。

这就是区块链实现可验证性的方式：

• 每个节点重新执行交易，然后达成共识。

然而，这是低效的，因为每个节点都必须重复相同的计算，从而导致瓶颈。简洁的证明使人们能够更快地检查计算，避免重新执行并解决区块链可扩展性问题。有关交互式证明系统的介绍，请参看 Justin Thaler 2023年书本：Proofs, Arguments, and Zero-Knowledge。其中一种协议是sum-check协议，由 Lund、Fortnow、Karloff 和 Nisan 于 1992 年提出，它是多个证明系统使用的基础模块之一。

GKR（Goldwasser-Kalai-Rothblum）协议（参见微软2008年论文 Delegating Computation: Interactive Proofs for Muggles 扩展了 sum-check协议 用于高效验证算术电路。GKR协议允许验证者检查计算（表示为具有low-degree门的对数深度电路）是否已正确执行。只需 $O(\log (n))$ 轮交互和总共 $O(\text{poly}\log (n))$ 次操作即可实现此目的。

GKR 协议的关键思想是：

• 它不评估整个电路，而是使用 sum-check 递归地验证代表计算值的部分和。
  • 这种方法使资源有限的验证者能够通过利用问题的底层代数结构来检查远远大于他们自己可以执行的计算量。

GKR 协议的优点是避免了必须承诺电路中的中间结果，这通常是许多证明系统中昂贵的部分。

本文将以示例的方式，展示GKR协议的工作原理。更多详情，可参看：

• 双效交互证明——MIT高级密码学课程之 Lecture 2: Doubly Efficient Interactive Proofs, Part 1 和 Lecture 2: Doubly Efficient Interactive Proofs, Part 2
  • 2024年3月课件 The GKR Protocol
• Justin Thaler 2023年书本：Proofs, Arguments, and Zero-Knowledge

GKR协议已用于改进 LogUp lookup argument。可在STARKWare的stwo中查看相应实现。

2. GKR协议

本文的目的是详细解释GKR协议，为此，使用了一个简单示例，并逐步遵循证明者 ($\mathcal{P}$) 和验证者 ($\mathcal{V}$) 所做的一切。

注意：本文将考虑GKR协议的交互式版本。
可通过Fiat-Shamir transformation将其转变成非交互式协议。

首先描述想要证明的计算。必须将计算表示为有限域 ${\mathbb{F}}_p$ 上fan-in 2 的对数空间统一算术电路 $\mathcal{C}$。这意味着：

• 该电路只有两种类型的门：加法和乘法。
• 它是分层的，以便每个门仅连接到前一层中的两个门（可能是同一门）。
• 每层$i$中，门的数量为$S_i=2^{k_i}$，其中$k_i\in \mathbb{N}$
• 所有值都是 ${\mathbb{F}}_p$ 的元素

构建一个满足这些条件的电路：

图 1：本GKR 协议示例中所使用的算术电路图。该电路模拟了一个具有 2 个输入和两个输出的程序，基于 ${\mathbb{F}}_{23}$ 域中运算。

该协议的最终目标是证明者向验证者提供程序的输出，并让验证者相信这些输出是根据公共输入正确计算出来的。

注意，电路和输入都是public公共的。

2.1 第一部分：分享结果

可以将其分为几个步骤：

• 1）输出声明：
  证明者 $\mathcal{P}$ 向验证者 $\mathcal{V}$ 发送声称是电路输出的值。 这些值以函数 D : { 0 , 1 } k 0 → F p D: \{0,1\}^{ k_0 } \to \mathbb{F_{p}} D:{0,1}k0​→Fp​ 的形式发送 。

  在本示例中：$k_0=1$，因此 $\mathcal{P}$ 发送满足以下条件的线性多项式 $D$：
  $$D(0)=18$$ $$D(1)=7$$

• 2）随机挑战：
  在GKR协议中经常使用的一个关键资源是让验证者选择一个随机点并将其发送给证明者。然后证明者必须将这一点纳入他们的计算中。这可以防止证明者预先计算结果并试图欺骗验证者。
  $\mathcal{V}$ 随机选择 $r_0\in {\mathbb{F}}_p$ 并将其发送给 $\mathcal{P}$。

  在本示例中，选择 $r_0=2$。

• 3）计算Multilinear Extension多线性扩展：
  $\mathcal{V}$ 和 $\mathcal{P}$ 都计算 $\tilde{D}(r_0)$，其中 $\tilde{D}(x)$ 是 $D$ 的多线性扩展。这是 ${\mathbb{F}}_p$ 上唯一的多线性多项式，满足：
  D ~ ( x ) = f ( x )   ∀ x ∈ { 0 , 1 } v \tilde D(x) = f(x) \ \forall x \in \{0, 1\}^v D~(x)=f(x) ∀x∈{0,1}v

  • 这是 ${\mathbb{F}}_p$ 上的 $v-$variate 多项式，其中 $\tilde{D}(x)$ 在所有布尔值（或给定长度的位串）输入结果与 $D(x)$ 一致。
  • $\tilde{D}(x)$ 充当 $D(x)$ 的距离放大编码，因为如果另一个函数 $D^{\prime }(x)$ 在单个输入上不一致，则扩展 $\tilde{D}(x)$ 将在原始域之外的几乎每个点与 ${\tilde{D}}^{\prime }(x)$ 不同。
    • 原因在于 Schwartz–Zippel lemma，其指出随机选择多项式结果为零的概率为 $v/|{\mathbb{F}}_p|$ （对于足够大的域来说可以忽略不计）。
  • 使用Lagrange拉格朗日插值，有：
    f ~ ( x 1 , … , x v ) = ∑ w ∈ { 0 , 1 } v f ( w ) ⋅ χ w ( x 1 , … , x v ) \tilde f (x_1, \ldots, x_v) = \sum_{w \in \{0, 1\}^v} f(w) \cdot \chi_w(x_1, \ldots, x_v) f~​(x1​,…,xv​)=w∈{0,1}v∑​f(w)⋅χw​(x1​,…,xv​)
    • 其中 ${\chi }_w$ 是（多线性）拉格朗日基多项式： $${\chi }_w(x_1,\dots ,x_v)=\prod _{i=1}^v(x_i\cdot w_i+(1-x_i)(1-w_i))$$

  在本例中（$k_0=1$）：
  $$\begin{array}{rl}\tilde{D}(x)& =D(0)\cdot (x\cdot 0+(1-x)(1-0))+D(1)\cdot (x\cdot 1+(1-x)(1-1))\\ & =D(0)\cdot (1-x)+D(1)\cdot x=18(1-x)+7x\end{array}$$
  因此：
  $$\tilde{D}(r_0)=\tilde{D}(2)=-4\equiv 19\text{ mod }(23)$$
  用以下方式表示该值：
  $$\tilde{D}(r_0)=19=m_0.$$

现在，可以看到验证程序的输出归结为检查：
$$m_0={\tilde{W}}_0(r_0)$$

---

在继续之前，先介绍一个附加符号。对于电路的每一层 $i$，以：
W i : { 0 , 1 } k i → F p W_i: \{0,1\}^{ k_i } \to \mathbb{F_{p}} Wi​:{0,1}ki​→Fp​
作为将节点位置映射到其实际值的函数，令 ${\tilde{W}}_i(x)$ 为其多线性扩展。

通过这种表示法，验证者的任务可以被视为检查：

$$D(x)=W_0(x)$$

因为 $D(x)$ 代表声明的输出，$W_0(x)$ 代表正确的值。因为多线性扩展是唯一的，所以这相当于验证：

$$\tilde{D}(x)={\tilde{W}}_0(x)$$

最后，通过 Schwartz-Zippel 引理，足以检查

$$\tilde{D}(r_0)={\tilde{W}}_0(r_0)$$

但是等等！验证者无法直接访问$W(x)$。这正是GKR协议的要点！

2.2 第二部分：电路建模

在此阶段，目标是验证many terms多项项（对应于节点的计算值）的总和是否等于 $m_0$。

为了有效地做到这一点，使用sum-check协议。

2.2.1 wiring函数介绍

定义了两个捕获电路接线的函数：

• 1）加法函数。
  该函数标记$i$层中的所有加法节点。以：
  x ∈ { 0 , 1 } k i + 2 k i + 1 x \in \{0,1\}^{k_i + 2k_{i + 1}} x∈{0,1}ki​+2ki+1​
  作为输入，其编码了当前层中位置 $a$ 的加法节点以及与其连接的下一层中的两个节点的位置 $b$ 和 $c$ 。

  • 当 $x=(a,b,c)$ 对应于具有正确输入的有效加法节点时，函数 ${\text{Add}}_i$ 定义为 1，否则定义为零。
  • 就像 $\tilde{D}(x)$ 一样，需要创建多线性扩展：${\widetilde{\text{Add}}}_i(x)$。

  在本示例电路中：
  

  • 输出加法节点位于位置：$$a:(1)$$
  • 并连接到节点：$$\begin{gathered} b:(1,0) \\ c:(1,1) \end{gathered}$$
  • 由于这是唯一的加法节点，定义函数：
    $${\text{Add}}_0(x)=\{\begin{array}{ll}1& \text{如果 }x=(1,1,0,1,1)\\ 0& \text{如果不是}。\end{array}$$
  • 然后将此函数扩展到多线性多项式，表示为 ${\widetilde{\text{Add}}}_i(x)$：
    $${\widetilde{\text{Add}}}_0(x_1,x_2,x_3,x_4,x_5)=x_1\cdot x_2\cdot (1-x_3)\cdot x_4\cdot x_5$$

• 2）乘法函数。
  类似地，为乘法节点及其多线性扩展定义函数 ${\text{Mult}}_i(x)$。

  对于本例中第一层中的乘法节点：
  $${\text{Mult}}_0(x)=\{\begin{array}{ll}1& \text{如果 }x=(0,0,0,0,1)\\ 0& \text{如果不是}。\end{array}$$

  • 其多线性扩展为：
    $$\widetilde{{\text{Mult}}_0}(x_1,x_2,x_3,x_4,x_5)=(1-x_1)\cdot (1-x_2)\cdot (1-x_3)\cdot (1-x_4)\cdot x_5$$

最后，需要连接这两个新函数。为此，可以定义一个函数，在给定下一层中的值的情况下“计算”层 $i$ 中节点的值：

$${\tilde{f}}^{(i)}(a,b,c):=\widetilde{{\text{Add}}_i}(a,b,c)\cdot ({\tilde{W}}_{i+1}(b)+{\tilde{W}}_{i+1}(c))+\widetilde{{\text{Mult}}_i}(a,b,c)\cdot {\tilde{W}}_{i+1}(b)\cdot {\tilde{W}}_{i+1}(c)$$

当此函数根据与 $i$ 层中的节点相对应的值 $(a,b,c)$ 求值时，它会生成该节点的值。

在本示例的第一层：
$${\tilde{f}}^{(0)}(0,0,0,0,1)=18$$ $${\tilde{f}}^{(0)}(1,1,0,1,1)=7$$

该函数很方便，但可以更进一步，固定 $a=r$ 并对 $b$ 和 $c$ 的所有可能的二进制赋值求和，得到：

∑ ( b , c ) ∈ { 0 , 1 } 2 k i + 1 f ~ ( i ) ( r , b , c ) = W ~ ( r ) \sum_{(b,c) \in \{0,1\}^{ 2k_{i+1} }} \tilde f^{(i)}(r,b,c) = \tilde W(r) (b,c)∈{0,1}2ki+1​∑​f~​(i)(r,b,c)=W~(r)

这个新函数现在是一个单变量多项式！

将 $a$ 固定在 $r$ 的函数表示为 ${\tilde{f}}_r(b,c{)}^{(i)}$。

---

至此，回到之前所要检查的目标：
$$\tilde{D}(r_0)=\tilde{W}(r_0)$$

或同等地，

$$\tilde{W}(r_0)=m_0$$

因此，使用新函数 $\tilde{f}$ 可以将其视为：

∑ ( b , c ) ∈ { 0 , 1 } 2 k i + 1 f ~ r 0 ( 0 ) ( b , c ) = m 0 \sum_{(b,c) \in \{0,1\}^{2k_{i+1}}} \tilde f_{r_0}^{(0)}(b,c) = m_0 (b,c)∈{0,1}2ki+1​∑​f~​r0​(0)​(b,c)=m0​

为了验证这种相等性，这意味着大量的加法（操作），将采用 Sum-Check 协议。

2.3 第三部分：sum-check

在此先逐步描述证明者和验证者在此阶段执行的所有操作，以更好地理解协议。

• 1）证明者 $\mathcal{P}$ 构建一个新函数 $g_1(z)$：
  $$g_1(z):{\mathbb{F}}_p\to {\mathbb{F}}_p$$
  g 1 ( z ) : = ∑ ( x 2 , x 3 , . . . , x 2 k 1 ) ∈ { 0 , 1 } 2 k 1 − 1 f ~ r 0 ( 0 ) ( z , x 2 , . . . , x 2 k 1 − 1 ) g_1(z) := \sum_{ (x_2, x_3, ... , x_{ 2k_1 }) \in \{0,1\}^{2k_1 - 1} } \tilde f_{r_0}^{(0)} (z, x_2, ..., x_{2k_1 - 1}) g1​(z):=(x2​,x3​,...,x2k1​​)∈{0,1}2k1​−1∑​f~​r0​(0)​(z,x2​,...,x2k1​−1​)
  换句话说，将 ${\tilde{f}}_{r_0}^{(0)}(x)$ 中 $x$ 的第一个坐标保留为自由变量 $z$，并对剩余坐标的所有可能分配求和。

  • 观察该函数满足：
    $$g_1(0)+g_1(1)=m_0$$
    因为 $g_1(0)$ 对第一个坐标设置为 0 的所有组合求和，并且 $g_1(1)$ 对第一个坐标等于 1 的情况进行求和。

  在本示例中，由于 $k_1=2$ （即第 2 层有 $2^2$ 个节点），有：
  g 1 ( z ) = ∑ ( x 2 , x 3 , x 4 ) ∈ { 0 , 1 } 3 f ~ r 0 ( 0 ) ( z , x 2 , x 3 , x 4 ) 。 g_1 (z) = \sum_{ (x_2, x_3, x_4) \in \{0, 1\}^3 } \tilde f_{r_0}^{(0)} (z, x_2, x_3, x_4)。 g1​(z)=(x2​,x3​,x4​)∈{0,1}3∑​f~​r0​(0)​(z,x2​,x3​,x4​)。
  $$\begin{array}{rl}{f}_{r_0}^{(0)}(b,c)=f^{(0)}(r_0,b_0,b_1,c_0,c_1)=& r_0\times b_1(1-b_2)c_1{c}_2[(3(1-b_1)(1-b_2)+6(1-b_1)b_2+4b_1(1-b_2)+3b_1{b}_2)\\ & +(3(1-c_1)(1-c_2)+6(1-c_1)c_2+4c_1(1-c_2)+3c_1{c}_2)]\\ & (1-r_0)\times (1-b_1)(1-b_2)(1-c_1)c_2\\ & [(3(1-b_1)(1-b_2)+6(1-b_1)b_2+4b_1(1-b_2)+3b_1{b}_2)\\ & \times (3(1-c_1)(1-c_2)+6(1-c_1)c_2+4c_1(1-c_2)+3c_1{c}_2)]\end{array}$$ 【使得满足 $f^{(0)}(0,0,0,0,1)=18，f^{(0)}(1,1,0,1,1)=7$ 成立。】
  本例中取 $r_0=2$ ，从而有：
  $$\begin{array}{rl}{f}_{r_0}^{(0)}(b,c)=& 2b_1(1-b_2)c_1{c}_2[(3(1-b_1)(1-b_2)+6(1-b_1)b_2+4b_1(1-b_2)+3b_1{b}_2)\\ & +(3(1-c_1)(1-c_2)+6(1-c_1)c_2+4c_1(1-c_2)+3c_1{c}_2)]\\ & -(1-b_1)(1-b_2)(1-c_1)c_2\\ & [(3(1-b_1)(1-b_2)+6(1-b_1)b_2+4b_1(1-b_2)+3b_1{b}_2)\\ & \times (3(1-c_1)(1-c_2)+6(1-c_1)c_2+4c_1(1-c_2)+3c_1{c}_2)]\end{array}$$
  现在必须保持 $b_1$ 固定并改变 $b_2,c_1,c_2$ ：

  $b_2$	$c_1$	$c_2$
  0	0	0
  0	0	1
  0	1	0
  0	1	1
  1	0	0
  1	0	1
  1	1	0
  1	1	1

  由于乘法因子，如
  $$2b_1(1-b_2)c_1{c}_2$$
  除非 $(c_1=c_2=1)$ ，否则其在第一项中消失，同理第二项中乘法因子 $-(1-b_1)(1-b_2)(1-c_1)c_2$ 中有类似情况，否则大多数组合的贡献为零。在本示例中，假设替换后，唯一的非零贡献来自：

  • Case 1 第一项乘法因子： 当 $(b_2,c_1,c_2)=(0,1,1)$
  • Case 2 第二项乘法因子： 当 $(b_2,c_1,c_2)=(0,0,1)$
    现在分别对2种情况进行进行分析。
  • 情况 1：$(b_2,c_1,c_2)=(0,1,1)$
    $$2b_1[3(1-b_1)+4b_1+3]\to 2z(z+6)\to 2z^2+12z$$
  • 情况 2：$(b_2,c_1,c_2)=(0,0,1)$
    $$-(1-b_1)[3(1-b_1)+4b_1]\ast 6\to -6(1-z)(3-zx+4z)\to (-6+6z)(z+3)\to 6z^2+12z-18$$
    总和为：
    $$g_1(z)=2z^2+12z+6z^2+12z-18=8z^2+24z-18\equiv 8z^2+z-18\mathrm{mod}23$$

  证明者将此多项式（其low degree允许直接发送其系数）发送给验证者。

  验证者检查两件事：

  • $g_1$ 确实是一个low-degree多项式。
  • 且：

  $$g_1(0)+g_1(1)=m_0.$$

  在本示例中： $$g_1(0)=-18$$ $$g_1(1)=14$$ $$g_1(0)+g_1(1)=-4\equiv 19=m_0.$$

• 2）验证者 $\mathcal{V}$ 选择一个随机值 $s_1\in {\mathbb{F}}_p$ 并将其发送给证明者 $\mathcal{P}$ 。验证者还计算：
  $$g_1(s_1)=C_1$$

  本示例中，可以采样 $s_1$ = 3： $$g_1(s_1)=g_1(3)=8\cdot 3^2+24\cdot 3-18=126\equiv 11.$$

• 3）收到 $s_1$ 后，证明者计算 $C_1$，然后重复类似的过程。证明者定义了一个新函数：
  $$g_2(z):{\mathbb{F}}_p\to {\mathbb{F}}_p$$
  g 2 ( z ) : = ∑ ( x 3 , . . . , x 2 k 1 ) ∈ { 0 , 1 } 2 k 1 − 2 f ~ r 0 ( 0 ) ( s 1 , z , x 3 . . . , x 2 k 1 − 2 ) g_2(z) := \sum_{(x_3, ... , x_{2k_1}) \in \{0,1\}^{2k_1 - 2}} \tilde f_{r_0}^{(0)} (s_1, z, x_3 ..., x_{ 2k_1 - 2}) g2​(z):=(x3​,...,x2k1​​)∈{0,1}2k1​−2∑​f~​r0​(0)​(s1​,z,x3​...,x2k1​−2​)

  在这里，证明者将第一个变量固定为 $s_1$ 并保留第二个变量（用 $z$ 表示），对剩余的二进制赋值求和。

  对应本示例，有：
  g 2 ( z ) = ∑ ( x 3 , x 4 ) ∈ { 0 , 1 } 2 f ~ r 0 ( 0 ) ( s 1 , z , x 3 , x 4 ) g_2(z) = \sum_{(x_3, x_4) \in \{0,1\}^{2}} \tilde f_{ r_0 }^{(0)} (s_1, z, x_3, x_4) g2​(z)=(x3​,x4​)∈{0,1}2∑​f~​r0​(0)​(s1​,z,x3​,x4​)
  $$g_2(z)=162z^2-288z+126\equiv z^2-12z+11。$$

• 4）证明者$\mathcal{P}$将$g_2(z)$的系数发送到$\mathcal{V}$。

• 5）验证者检查：
  $$g_2(0)+g_2(1)=C_1$$
  $$g_2(0)=0$$ 【根据 sum-check protocol in zkproof 以及 GKR协议小记，$g_2(0)=0$ 检查是多余且不正确的，不具备通用性。】

  本示例中，必须检查：$$g_2(0)+g_2(1)=11$$

• 6）重复此过程，直到验证者收到 $C_{2k+1}$ ：
  $$C_{2k+1}:={\tilde{f}}_{r_0}^{(0)}(s_1,s_2,s_3...,s_{2k_{i+1}})$$

这是 Sum-Check 协议的最后一步。 此时，验证者通常会查询预言机来直接计算该值；然而，在GKR协议中，验证者无法直接评估该函数。

验证者可以构建 $\widetilde{{\text{Add}}_i}$ 和 $\widetilde{{\text{Mult}}_i}$ 但不能构建 ${\tilde{W}}_{i+1}$，${\tilde{W}}_{i+1}$ 表示紧邻的前一层中节点的值。

实际上，截止目前，已经将验证电路输出的问题减少到验证下一层中的值。这种减少会逐层重复，直到到达最后一层——其对应于验证者已经知道的输入。这是GKR协议背后的整个思想。

在本示例中，将以上步骤6）的重复过程展开，有：

• $\mathcal{V}$ 采样 $s_2=2$ 并将其发送到 $\mathcal{P}$。
• $\mathcal{V}$ 和 $\mathcal{P}$ 计算 $C_2=g_2(s_2)$:$$g_2(s_2)=g_2(2)=2^2-12\cdot 2+11=-9\equiv 14.$$
• $\mathcal{P}$ 计算：$$g_3(z)=\sum _{x_4\in 0,1}{\tilde{f}}_{r_0}^{(0)}(s_1,s_2,z,x_4)$$ $$g_3(z)=90z^2-180z+144\equiv 21z^2-19z+6$$
• $\mathcal{V}$ 接收 $g_3(z)$ 并检查：$$g_3(0)=8$$ $$g_3(1)=6$$ $$g_3(0)+g_3(1)=14$$
• $\mathcal{V}$ 采样 $s_3=4$ 并将其发送到 $\mathcal{P}$。
• $\mathcal{V}$和$\mathcal{P}$计算$C_3=g_3(s_3)$： $$g_3(s_3)=21\cdot 4^2-19\cdot 4+6=266\equiv 13$$
• $\mathcal{P}$ 计算： $$g_4(z)={\tilde{f}}_{r_0}^{(0)}(s_1,s_2,s_3,z)$$ $$g_4(z)=-288z^2+1152z\equiv 11z^2+2z$$
• $\mathcal{V}$ 接收 $g_4(z)$ 并检查： $$g_4(0)=0$$ $$g_4(1)=13$$ $$g_4(0)+g_3(1)=13$$
• $\mathcal{V}$ 采样 $s_4=7$ 并将其发送到 $\mathcal{P}$。
• $\mathcal{V}$和$\mathcal{P}$计算$C_4=g_4(s_4)$： $$g_4(s_4)=553\equiv 1$$
• $\mathcal{P}$ 计算 $${\tilde{f}}_{r_0}^{(0)}(s_1,s_2,s_3,s_4)=c_4$$ $$\begin{array}{c}\begin{array}{rl}{\tilde{f}}^{(0)}(r_1,s_1,s_2,s_3,s_4):=& \\ {\widetilde{\text{Add}}}_1(r_1,s_1,s_2,s_3,s_4)\cdot ({\tilde{W}}_2(s_1,s_2)+{\tilde{W}}_2(s_3,s_4))& \\ & +{\widetilde{\text{Mult}}}_1(r_1,s_1,s_2,s_3,s_4)\cdot {\tilde{W}}_2(s_1,s_2)\cdot {\tilde{W}}_2(s_3,s_4)\end{array}\end{array}$$

2.4 第四部分：递归

已经到了验证者的目标是检查的阶段

$${\tilde{f}}_{r_0}^{(0)}(s_1,s_2,s_3,...,s_{2k_{i+1}})=C_1$$

然而，要做到这一点，验证者需要知道：

$${\tilde{W}}_2(s_1,s_2,...,s_{k+1})$$ $${\tilde{W}}_2(s_{k+1},...,s_{2k+1})$$

如果验证者要对这些值执行两次单独的求sum-check，则最终的工作量将过大。相反，证明者在某一时刻提出单一主张。如何？

双方计算唯一函数

$$\ell :\mathbb{F}\to {\mathbb{F}}^{2k}$$

使得：

$$\ell (0)=(s_1,s_2,...,s_{k+1})$$ $$\ell (1)=(s_{k+1},...,s_{2k+1})$$

然后 $\mathcal{P}$ 给验证者发送函数：
$$q={\tilde{W}}_2\circ \ell :\mathbb{F}\to \mathbb{F}.$$

注意：

$$q(0)={\tilde{W}}_2(s_1,s_2,...,s_{k+1})$$ $$q(1)={\tilde{W}}_2(s_{k+1},...,s_{2k+1})$$

因此，通过知道$q(x)$，验证者可以恢复必要的值$q(0)$和$q(1)$来完成Sum-Check协议中的最终评估。

因此，通过 $q(x)$，$\mathcal{V}$ 可以使用 $q(0)$ 和 $q(1)$ 来进行 sumcheck 协议中的最后一次评估。

但验证者如何知道 $q(x)$ 是正确的呢？再次，$\mathcal{V}$ 对随机元素 $r^{\ast }\in \mathbb{F}$ 进行采样并计算

$$r_1=\ell (r^{\ast })$$

然后，$\mathcal{P}$ 和 $\mathcal{V}$ 计算：

$$m_1=q(r_1)$$

现在，证明者的任务是让验证者相信：

$${\tilde{W}}_2(r_1)=m_1$$

该声明类似于之前的初始验证步骤：

$$\tilde{D}(r_0)=m_0$$

其中 $\tilde{D}(x)$ 对输出值进行编码，现在 ${\tilde{W}}_2(x)$ 对前一层中的节点值进行编码。

因此，剩下的任务是将相同的 Sum-Check 协议应用于这个新层。

对于本示例中电路：

• $\mathcal{P}$ 和 $\mathcal{V}$ 计算： $$\ell (0)=(s_1,s_2)=(3,2)$$ $$\ell (1)=(s_3,s_4)=(4,7)$$ $$\ell (x)=(s_1(1-x)+s_{3}x,s_2(1-x)+s_{4}x)=(3(1-x)+4x,2(1-x)+7x).$$
• $\mathcal{P}$ 发送 $q={\tilde{W}}_1\circ \ell :\mathbb{F}\to \mathbb{F}.$ $$q(x)=-20x^2-52x-12\equiv 3x^2+17x+11$$
• $\mathcal{V}$ 使用 $q(x)$ 检查 ${\tilde{f}}_{r_0}^{(0)}(s_1,s_2,s_3,s_4)=c_4$
• $\mathcal{V}$ 向 $\mathcal{P}$ 发送一个随机的 $r^{\ast }\in \mathbb{F}$ $$r^{\ast }=6$$
• $\mathcal{V}$ 和 $\mathcal{P}$ 计算： $$r_1=\ell (6)=(9,32)\equiv (9,9)$$ $$m_1=q(6)=14.$$
• 现在$\mathcal{P}$需要让$\mathcal{V}$知道： ∑ ( b , c ) : ∈ { 0 , 1 } 2 ⋅ 1 f r 1 ( 1 ) ( b , c ) = m 1 \sum_{(b, c) : \in \{0, 1\}^{2 \cdot 1}} f_{r_1}^{(1)} (b, c) = m_1 (b,c):∈{0,1}2⋅1∑​fr1​(1)​(b,c)=m1​
• $\mathcal{P}$ 计算 $g_1(z)$ 并将其发送到 $\mathcal{V}$ ： g 1 ( z ) = ∑ x 2 ∈ { 0 , 1 } f r 1 ( 1 ) ( z , x 2 ) g_1(z) = \sum_{x_2 \in \{0, 1\}} f_{r_1}^{(1)} (z, x_2) g1​(z)=x2​∈{0,1}∑​fr1​(1)​(z,x2​) $$g_1(z)=2z^2+7z+14$$
• $\mathcal{V}$ 检查 $g_1(0)+g_1(1)=m_1$: $$g_1(0)=14$$ $$g_1(1)=0$$ $$g_1(0)+g_1(1)=14$$
• $\mathcal{V}$ 采样 $s_1=12$ 并将其发送到 $\mathcal{P}$。
• $\mathcal{V}$ 和 $\mathcal{P}$ 计算 $C_1=g_1(s_1)$： $$g_1(12)=2\cdot 12^2+7\cdot 12+14=386\equiv 18$$
• $\mathcal{P}$计算$g_2(z)$并将其发送到$\mathcal{V}$： $$g_2(z)={\tilde{f}}_{r_1}^{(1)}(s_1,z)$$ $$g_2(z)=9z^2+z+4$$
• $\mathcal{V}$ 检查 $g_2(0)+g_2(1)=C_1$: $$g_2(0)=4$$ $$g_2(1)=14$$ $$g_2(0)+g_2(1)=18$$
• $\mathcal{V}$ 采样 $s_2=5$ 并将其发送到 $\mathcal{P}$。
• $\mathcal{V}$和$\mathcal{P}$计算$C_2=g_2(s_2)$： $$C_2=g_2(5)=4$$
• $\mathcal{P}$ 和 $\mathcal{V}$ 计算： $$\ell (0)=s_1=12$$ $$\ell (1)=s_2=5$$ $$\ell (x)=-7x+12$$
• $\mathcal{P}$ 发送 $q={\tilde{W}}_1\circ \ell :\mathbb{F}\to \mathbb{F}.$ $$q(x)=3(1-(-7x+12))+(-7x+12)$$
• $\mathcal{V}$ 使用 $q(x)$ 检查 $f_{r_1}^{(1)}(s_1,s_2)=c_2$
• $\mathcal{V}$ 向 $\mathcal{P}$ 发送一个随机的 $r^{\ast }\in \mathbb{F}$ $$r^{\ast }=17$$
• $\mathcal{V}$ 和 $\mathcal{P}$ 计算： $$r_2=\ell (17)=8$$ $$m_2=q(17)=10$$
• 最后，$\mathcal{V}$计算${\tilde{W}}_2(x)$并检查${\tilde{W}}_2(r_2)=m_2$ $$W_2(0)=3$$ $$W_2(1)=1$$ $${\tilde{W}}_2(x)=3(1-x)+x$$ $${\tilde{W}}_2(8)=10$$

2.5 最后一部分：重复

好了，一切都差不多准备好了！只需要每层重复一次这个过程。最后，$W_d(x)$ 是映射程序输入的函数，将用它来验证层 $d-1$ 的sum-check。如果这次检查是正确的，则意味着之前的所有检查也都是正确的，因此可以自信地说计算执行正确。

3. 结论

综上所述，GKR协议优雅地将验证复杂算术电路输出的问题简化为一系列更简单的验证，这些验证递归地从输出层移动到输入层。每个步骤都依赖于代数属性，尤其是多线性扩展的唯一性和 Schwartz-Zippel 引理，以确保资源有限的验证者能够有效地确认计算的正确性。 该协议展示了交互式证明的强大功能，并为更高级的密码学应用（如零知识证明）奠定了基础。

参考资料

[1] LambdaClass团队2025年3月5日博客 GKR protocol: a step-by-step example