Plonk-证明系统

Plonk 证明系统：电路+多项式承诺

1. 将电路变成多项式，多项式的一些方程。

2. 多项式承诺，发送多项式承诺，保证我的多项式不会再变。（通过承诺能够证明我的多项式满足这些关系）。

门约束

电路中的门分为三种类型：加法门、乘法门和常数门。

我们将门的关系转化为 1 个方程来表示：
$$q_{L_i}{a}_i+q_{R_i}{b}_i+q_{O_i}{c}_i+q_{M_i}{a}_i{b}_i+q_{C_i}=0$$

• 表示 $a_i\times b_i=c_i$；只需要将 $q_{M_i}=1,q_{O_i}=-1$;

• 表示 $a_i+b_i=c_i$；只需要将 $q_{L_i}=1,q_{R_i}=1,q_{O_i}=-1$;

• 表示 $a_i=5$；只需要 $q_{L_i}=1,q_{C_i}=-5$;

但用这种序号 $i$ 的形式后面不太好处理，我们想要进一步将其转化成多项式的问题，因为每 1 个 $i$ 都对应一个方程（之前是横着看这个方程，现在是竖着看）。那么可以通过拉格朗日插值法将其都转化为多项式的形式。

也就是：$q_{L_i},q_{R_i},q_{O_i},q_{m_i},q_{C_i}\to 5$ 个多项式，$a_i,b_i,c_i\to 3$ 个多项式。

上述方程化简为多项式形式：

$$q_L(x)a(x)+q_R(x)b(x)+q_O(x)c(x)+q_M(x)a(x)b(x)+q_C(x)=0$$

这个多项式成立的条件是 $x\in (x_1,...,x_n)$，在这些坐标点上成立。而且整个电路有 $3n$ 个数：$a_1,a_2,...,a_n$, $b_1,b_2,...b_n$, $c_1,c_2,...,c_n$。

复制约束

电路中的这些 3n 个数：$a_1,a_2,...,a_n$, $b_1,b_2,...b_n$, $c_1,c_2,...,c_n$，我们发现其实他们还是有一定的关联，因为上一个门的输出可能就构成了下一个门的输入。比如上图就有 $c_1=a_2$ 和 $c_2=a_3$，这样的关系。那么我们怎么来表示这个相等关系呢？

答案是通过置换，将电路中所有具有相等关系的元素划分为 $(F_1,...,F_k)$ 个子集：

那么 $(a,b,c)$ 的相等关系就将其表示为 ：

那就将整个电路的相等关系给固定住了。这里还要进行一下转换，将：

• 下标 $(1-N)\to (S_1-S_N)$，$(S_1-S_N)$ 为 $F_p$ 中取的随机数；
• 元素 $(a,b,c)\to (U_1-U_N)$ ，$(U_1-U_N)$ 为 $(S_1-S_N)$ 对应的具体的值。

一个具体的例子

比如：

$(U_1-U_n)$ 取值为： ( U 1 − U n ) : { 2 , 3 , 2 , 4 , 1 } (U_1-U_n) :\{2,3,2,4,1\} (U1​−Un​):{2,3,2,4,1}；

对应的下标（编号）为： ( S 1 − S n ) : { S 1 , S 2 , S 3 , S 4 , S 5 } (S_1-S_n):\{S_1,S_2,S_3,S_4,S_5\} (S1​−Sn​):{S1​,S2​,S3​,S4​,S5​}。

置换过程为： { U 1 + S 1 , U 2 + S 2 , . . . , U n + S n } → { U 1 + S 1 σ , U 2 + S 2 σ , . . . , U n + S n σ } \{U_1+S_1,U_2+S_2,...,U_n+S_n\} \rightarrow \{U_1+S_1^{\sigma},U_2+S_2^{\sigma},...,U_n+S_n^{\sigma}\} {U1​+S1​,U2​+S2​,...,Un​+Sn​}→{U1​+S1σ​,U2​+S2σ​,...,Un​+Snσ​}

我们将其代入得到两个集合：

{ 2 + s 1 , 3 + s 2 , 2 + s 3 , 4 + s 4 , 1 + s 5 } \{2+s_1,3+s_2,2+s_3,4+s_4,1+s_5\} {2+s1​,3+s2​,2+s3​,4+s4​,1+s5​}， { 2 + s 3 , 3 + s 2 , 2 + s 1 , 4 + s 4 , 1 + s 5 } \{2+s_3,3+s_2,2+s_1,4+s_4,1+s_5\} {2+s3​,3+s2​,2+s1​,4+s4​,1+s5​}

即可说明，如果置换的两个元素的值相等，那么这两个集合也是相等的（集合不论顺序）。

我们将这两个集合（抽象化）：
{ x 1 − x n } = { y 1 − y n } ⇔ ∏ x i = ∏ y i ⇔ ∏ ( x + x i ) = ∏ ( y + y i ) \{x_1-x_n\} = \{y_1-y_n\} \Leftrightarrow \prod x_i = \prod y_i \Leftrightarrow \prod (x+x_i) =\prod(y+y_i) {x1​−xn​}={y1​−yn​}⇔∏xi​=∏yi​⇔∏(x+xi​)=∏(y+yi​)

如果两个多项式相等，那么对应的解，构成的集合也相等（充要条件）。

加入随机数 $\beta$：

σ ( U 1 − U n ) = ( U 1 − U n ) σ ( S 1 − S n ) = ( s 1 σ − s n σ ) { U 1 + β S 1 , U 2 + β S 2 , . . . , U n + β S n } = { U 1 + β S 1 σ , U 2 + β S 2 σ , . . . , U n + β S n σ } \begin{matrix} \sigma(U_1-U_n)=(U_1-U_n) \\ \\ \sigma(S_1-S_n)=(s_1^\sigma-s_n^\sigma) \\ \\ \{U_1+\beta S_1,U_2+\beta S_2,...,U_n+\beta S_n\}=\{U_1+\beta S_1^\sigma,U_2+\beta S_2^\sigma,...,U_n+\beta S_n^\sigma\} \end{matrix} σ(U1​−Un​)=(U1​−Un​)σ(S1​−Sn​)=(s1σ​−snσ​){U1​+βS1​,U2​+βS2​,...,Un​+βSn​}={U1​+βS1σ​,U2​+βS2σ​,...,Un​+βSnσ​}​

将其变为多项式：
$$\prod (U_i+\beta S_i+x)=\prod (U_i+\beta S_i^{\sigma }+x)$$

加入随机常量 $\gamma$：
$$\prod (U_i+\beta S_i+\gamma )=\prod (U_i+\beta S_i^{\sigma }+\gamma )$$

移项：
$$\frac{\prod (U_i+\beta S_i+\gamma )}{\prod (U_i+\beta S_i^{\sigma }+\gamma )}=1$$

更为抽象：
$$P_i={\prod }_i^{i<n}\frac{\gamma +(U_i+\beta S_i)}{\gamma +(U_i+\beta S_i^{\sigma })}=1$$

是我还是不想使用这种连乘的形式，由 $i$ 来控制；我们还是回归最初的问题将其转化为多项式。我们引入一个中间向量 $\vec{Z}$，连乘规则为：

$\{\begin{array}{l}{Z}_i=1,i=0\\ Z_{i+1}=Z_i\ast P_i,i\ne 0\end{array}$

那么如果 $x$ 取值为 { ω 1 , ω 2 , . . . , ω N = 1 } \{\omega^1,\omega^2,...,\omega^{N}=1\} {ω1,ω2,...,ωN=1}，那么就可以转化为以下多项式：
$$Z(\omega x)=P(x)Z(x)$$

多项式承诺

那么此时我们之前的工作是将电路的门约束和复制约束都转化成为了多项式问题，根据 KZG 多项式承诺方案，那么说明这两个方程成立，就说明了 Prover 的确是拥有电路的秘密输入。

$$\{\begin{array}{l}{q}_L(x)a(x)+q_R(x)b(x)+q_O(x)c(x)+q_M(x)a(x)b(x)+q_C(x)=t_g(x)+Z_H(x)\\ \\ Z(\omega x)-P(x)Z(x)=t_c(x)Z_H(x)\end{array}$$

其实我们把 $P(x)$ 展开为

$$P(x)=\frac{(a(x)+\beta S(x)+\gamma )\cdot (b(x)+\beta S(x)+\gamma )\cdot (c(x)+\beta S(x)+\gamma )}{(a(x)+\beta S(x{)}^{\sigma }+\gamma )\cdot (b(x)+\beta S(x{)}^{\sigma }+\gamma )\cdot (c(x)+\beta S(x{)}^{\sigma }+\gamma )}$$

那么 Prover 有以下的几个秘密多项式：$a(x),b(x),c(x),Z(x),t_g(x),t_c(x)$，这6个多项式只有 Prover 自己知道，Prover 只需要根据公共参数计算相应多项式的承诺 $com(a),com(b),com(c),com(z),com(t_g),com(t_c)$ 发送给 Verifier ，然后 Verfier 验证承诺就确信了 Prover 是的确有这个电路的秘密输入。