PlonK Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge学习笔记-1

PLONK 课程笔记

最近在看plonk，直接看论文有些吃力，在哔哩哔哩上观看课程讲解，很细致https://www.bilibili.com/video/BV1XZ4y1A7bU?share_source=copy_web

1. plonk的基本原理

1.将数学运算化为多项式，之后再化为电路。

2.多项式承诺（手上的一堆多项式，满足一定的关系：证明方发送给验证者，承诺发出后，多项式不可以再改变）。

零知识证明基本原理：
证明R(x,w) = 1. x :是数学问题，w是问题的解。证明方P找到了解w,向验证方V证明拥有w。

电路中门的分类：加法门、乘法门和常数门。

2. plonk 处理门的方案：

​$Q_L\ast a+Q_R\ast b+Q_O\ast c+Q_M\ast a\ast b+Q_C=0$
通过限制$Q_L，Q_R，Q_O，Q_M，Q_C，$ 可以得到任意a,b,c 的关系：

​ $a+b=c(Q_L=1,Q_R=1,Q_O=-1),a\ast b=c,a=5$

电路中有两个约束：门约束和复制约束。

​ plonk将这两种约束变成某种多项式的额关系，并加以证明。

i=1,2,…,n个门，电路中的门可以统一为如下的形式(将i想象成变量)：

$q_{L_i}{a}_i+q_{R_i}{b}_i+q_{O_i}{c}_i+q_{M_i}{a}_i{b}_i+Q_{c_i}=0$

根据拉格朗日差值，在{1,2，…,n}个门中，x轴对应n个点，每个对应一个y值，n个点可以确定n-1个多项式。

n个点的$q_L(X)$对应于一个多项式，$q_L(i)=q_{Li}$，代表了所有的做系数。

一共是5n个q,3n个门（a,b,c).

n个方程压缩为$q_L(X)a(X)+q_R(X)b(X)+q_O(X)c(X)+q_M(X)a(X)b(X)+Q_c(X)=0$

复制约束：

将相等的关系放做成置换，$\sigma$ = （1 3 5）（2 6 8 9），相等的关系放在一堆， 如图：

定义多项式:

$a(x),b(x),c(x),a^{\prime }(x),b^{\prime }(x),c^{\prime }(x)$使得$\sigma (a^{\prime }(x),b^{\prime }(x),c^{\prime }(x))=(a(x),b(x),c(x))$。复制约束也就此转化为多项式方程。

**承诺：**将多项式写成$f(x)=a_0+a_{1}x+a_2{x}^2+,...,q_k{x}^k$

证明方要算$f(x)->c$发给验证方，一旦将$f(x)$发给验证方就不能修改。 相当于A给B一个信，使用信封封起来之后就不能修改。

opening：包括单个点上的打开和整个的打开。可以在某些点上打开（局部打开）如下图：z点为例，V可以向P要求某点的值，并没有暴露整个多项式，多项式的信息V是不知道的。（打开的意思是可以算完值给你，而不泄露多项式）。

P将$f^{}$