FRI 流程介绍

已于 2024-09-26 18:50:52 修改
阅读量963 收藏 27
点赞数 7
文章标签: 区块链
于 2024-09-26 18:47:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunguizhu/article/details/142551839
版权

概述

FRI (Fast Reed-Solomon IOPP)是零知识证明协议ZK-STARK的核心。ZK-STARK协议主要可以分为两部分内容:

  1. 算术化:将程序的执行过程转化为一个算术问题,这个算术问题被称为RPT (Reed-Solomon Proximity Testing)
  2. FRI协议:即针对RPT问题设计的零知识证明协议

所以,FRI只是零知识证明的一个部件,而不是零知识证明本身。其功能与KGZ10的功能类似。

KGZ10中,欲证明一个多项式f(1) = 2,则需要证明p(x) = \frac{f(x) - 2}{x-1}是一个多项式。

同理,FRI的过程就是证明p(x)是多项式且是一个次数不高于degree(f(x)) - 1的多项式。

Reed-Solomon编码

所谓的Reed Solomon编码,下文称RS码,就是利用多项式冗余进行纠错的编码。已知d个点值可以唯一确定一个阶数不大于d-1的多项式f(x),在编码时对f(x)的N个点值进行编码,接收方接收到的码字中只要包含足够多正确的点值,则可以恢复出正确的多项式,并纠正错误的点。

举例如下:

设编码大小为N。给定一个集合S = {s_{0}, s_{1} ... s_{N-1}}\subset \mathbb{F}.。待编码的内容为d个元素(a_{0}, a_{1} ... a_{d-1})\subset \mathbb{F},编码过程如下进行:设多项式f(x) = a_{0} + a_{1}x + ... + a_{d-1}x^{d-1},编码结果为(f(s_{0}), f(s_{1}), ..., f(s_{n-1})),即多项式f(x)在集合S指定的这N个点上的取值,简洁起见,将这个编码记为f(S)。

即将d个有效元素编码为长度为N的码字。我们记码率为\rho = \frac{d}{N}

对于两个不同的d-1次多项式,在这N个点中,最多有d−1个点上的取值相等,所以两个不同的编码,至少有N−d+1个位置不同。因此,这样的编码可以容纳N−d个随机的错误(即当码字的错误元素小于等于N-d时,可以通过正确的d个码元恢复出原始正确码字来)。显然,如果N=d,这个编码毫无容错性,即该编码没有检错功能。

一个RS码记为RS[\mathbb{F}, S, \rho ],其中\rho = \frac{d}{N}

RPT问题

简单来说,RPT (RS Proximity Testing)问题是给定一个长度为N的编码,判断它是否属于RS[\mathbb{F}, S, \rho ],即判断一个编码是否是一个合法的RS编码,即判断该编码恢复出的是不是一个degree < ρN 的一个多项式。

RPT问题还有另外一个限制条件:它的输入要么是一个合法的编码,要么和所有合法的编码都有至少δN个位置不同。这就是它的名称中Proximity这个词的意思。

RPT问题最简单直接的方法是对给定的编码进行解码,即多项式插值,恢复出多项式f(x)的各项系数。如果f(x)的次数不大于ρNρN,则输出1,否则输出0。实际上,作为一个纠错码,RS码最初设计来就是这么用的。

RPT是否存在更高效的解法?例如,能否不读取完整的编码,即完整的f(S),只读取其中一小部分(log⁡N级别),就能够以大概率作出准确的判断?FRI就是在做这样的事情。

注:

目前对于\delta的取值,认可度比较高的是Johnson bound,即\delta < 1-\sqrt{\rho }

FRI 

概述

FRI全称为Fast Reed-Solomon In­ter­ac­tive Or­a­cle Proofs of Prox­im­ity。

FRI的思想与FFT思想类似,即通过将多项式的奇偶项进行拆分(split),再将降次后的奇偶多项式进行线性组合(fold),可以将多项式的次数降低为原来的1/2,这样对degree<d的多项式,最多进行logd次拆分后便可得到一个常量。

假设原始多项式为CP_0(x)CP_0(x)的偶数次项多项式为g(x), 奇数次项多项式为h(x),则:

\left\{\begin{matrix}CP_0(x) = g(x^{2}) + xh(x^{2})\\ CP_0(-x) = g(x^{2}) - xh(x^{2}) \end{matrix}\right. \rightarrow \left\{\begin{matrix} g(x^{2}) = \frac{CP_0(x) + CP_0(-x)}{2}\\ h(x^{2}) = \frac{CP_0(x) - CP_0(-x)}{2x} \end{matrix}\right.           (1)

可以知道:

g(x) 和h(x)为次数不高于d/2的多项式,此时证明CP_0(x)的degree < d,转换为了证明g(x) 和h(x)的degree < d/2,可以将这两个多项式进行线性组合:

CP_1(x^{2}) = g(x^2) + \beta h(x^2) = \frac{(x + \beta ) q(x) - (x - \beta )q(-x)}{2x}              (2)

此时经过split-fold得到第一层CP_1(x),依次向下类推,最多进行logd次split-fold,变得到了一组常量。verifier需要给出各层fold的随机数,并发出query,prover则需要对各层进行进行commit和提供verifier query的数据和证明。

FRI 的commitment是每一层全部点值构成的merkle树的root

注:假设所有元素都是有限域F上的元素,CP_0(x)中的x的集合是H_0H_0为F的乘法子群,

CP_1(x)中的x的集合H_1H_0的乘法子群,且元素个数为H_0的1/2。

详细过程

FRI分为commit和query两个阶段。

commit阶段

1.FRI原始多项式为CP_0(x),prover提供CP_0(x)的commit,即该层点值构成的merkle树的root

2. prover提供随机数\beta _1, prover进行fold-split,根据上述公式(2)得到CP_1(x),并求该层所有点值,构造merkle tree,并将root发送给prover.

3. ....

4.以此类推,直至prover发送verifier一组常量

query阶段

用户指定CP_0(x)上的某个位置索引,prover提供各层路径上涉及到的值,以及merkle proof.

如下,如果prover指定要验证CP_0(x)在x处的值,在prover需要提供CP_0(x), CP_0(-x), CP_1(x^2), CP1(-x^2), CP_2(x^4), CP_2(-x^4),..和最后一层的常量,

verifier需要验证两个内容:

(1)相邻层之间的数据是否满足上述公式(2)

(2)每一层的merkle proof是否成立

可以发现,验证仅需要logd组数据,每层的proof大小为logd.

soundness

为了将错误放大,其实CP_0(x)中的点集是进行了RS code编码后的结果。

为什么说RS编码将错误放大了呢?如果prover不知道多项式或者想对多项式进行造假,则码字越长,其出错的位概率上越大,那我们采样验证时,暴露其错误的概率越大。

每次query,会得到log_2\frac{1}{\rho }比特的正确率,\rho为上面介绍的码率。需要的正确率越高,则需要的query次数越多。

参考文献:

深入zk-STARK原理和安全性分析 - 深入理解zk-STARK证明系统

FRI原理解析_牛客博客

https://trapdoor-tech.github.io/zkstark-book/chapter_3.html

STARK 101 | Write a STARK Prover from Scratch

STARK Low Degree Testing——FRI_fri 协议-CSDN博客

FRI信号重构算法(一):零化滤波器法(python版)
诚朴勇毅
04-09 1434
## FRI 信号重构 ## 信号模型为Dirac脉冲,采样核为sinc核,直接取傅里叶系数 ## import numpy as np import matplotlib.pyplot as plt import math fs = 1000 #采样率 dt = 1/fs #采样间隔 simuT = 1 #仿真时间 L = 5 #Dirac脉冲数,2*L即新息率 simuTime = np.arange(0,simuT,dt) #仿真时间向量,步长为dt,起点为0,终点为1,不包含终点 ak = np.
FRI信号重构算法(一):零化滤波器法
诚朴勇毅
04-07 1296
FRI重构算法中最经典的莫过于零化滤波器法 %% FRI信号重构,信号模型:Dirac脉冲流,采样核为sinc核 %% huasir @shenzhen 2022.4.7 %%------------------------------ clc;clear all;close all; %% FRI信号建模-Dirac脉冲函数 T = 1; dt = 0.0001; t = 0:dt:T; L = 6; %%自由度为2*L ak = [0.4, 0.6, 0.3, 0.9, 0.7, 0.3]; tk =
STARK Low Degree Testing——FRI
mutourend2010@gmail.com
09-12 1460
STARK中的低度测试方案——FRI
采用机器学习进行FRI信号重构-样本集的生成
诚朴勇毅
09-05 485
相对传统的重构算法,机器学习的优点在于抗噪性。 %%------------------------------------------------- %%FRI生成输入输出数据,样本集的大小为Total_sample %%该数据用于训练神经网络 %%Liuzhenhua HIT-ATCI-53 %%2021.09.05-16:30 %%------------------------------------------------- clc;clear all;close all; %% FRI信号-
什么是零知识证明,如何守护Web3隐私?
smartContractXH的博客
01-04 643
在不透露纳税ID或护照细节的情况下证明你的公民身份是零知识技术如何实现去中心化身份的一个很好的例子。一旦使用公共输入(例如,证明用户平台成员身份的数据)和私有输入(例如,用户的详细信息)生成了ZK-proof,用户就可以在需要访问服务时简单地提供它来验证自己的身份。使用 STARK 证明,证明者和验证者的时间只会随着见证的增长而略有增加(SNARK 证明者和验证者的时间随着见证的规模线性增加)。秘密信息是证明的“证人”,证明者对证人的假设知识建立了一组问题,这些问题只能由了解信息的一方回答。
Fast Reed-Solomon Interactive Oracle Proofs of Proximity学习笔记
mutourend2010@gmail.com
07-29 1549
Reed-Solomon(RS)码在: * 构建quasilinear probabilistically checkable proofs(PCPs) * 构建具有perfect zero knowledge和polylogarithmic verifiers的interactive oracle proofs(IOPs) 中承担重要角色。而证明RS码中的membership所需的巨大具体计算复杂度是在实践中部署此类PCP/IOP系统的最大障碍之一。...........................
stark101流程介绍
sunguizhu的博客
09-27 830
FRI的过程是:1.prover将多项式进行奇偶拆分,得到2个degree减半的多项式g,h2.verifier发送随机数3. prover使用将第一步中的得到的和进行线性组合得到4. 计算在其对应群上所有元素的值,并进行merkle承诺,将merkle root发送给verifier5.不断重复上述四个过程,最终得到一组常量。由于我们要证明degree(CP) < 1024,由于每次折叠,degree都会减半,所以最多进行log1024 - 1 = 9 次折叠。
Tell_A_Fri.zip_发邮件FRI是_转诊
09-19
这是页面,流程发送的邮件。”这句话说明`referral.asp`是实现这一功能的主要页面,用户在这个页面上填写信息并提交表单。当用户成功发送邮件后,他们可能会被重定向到`tell-a-friend-thanks.asp`,这是一个确认页面...
FRI
02-20
5. **框架与库**:JavaScript拥有丰富的生态系统,包括React、Vue、Angular等前端框架,jQuery等库,它们为开发者提供了更高层次的抽象,简化了开发流程,提高了开发效率。 6. **ES6及以后的版本**:ECMAScript(ES...
FRI-RG-Project:FRI RG 项目仓库
07-08
解压后,我们可以预期找到项目的基本结构,如`README.md`(项目介绍)、`src`(源代码)、`dist`(编译后的可部署代码)、`package.json`(项目依赖及配置)、`.gitignore`(忽略文件列表)等文件和目录。...
Draft Fri Jan 04 10:12:19 CST 2019-数据集
03-30
标题 "Draft Fri Jan 04 10:12:19 CST 2019-数据集" 暗示我们正在处理一个与数据分析相关的项目,具体来说,这可能是一个时间敏感的数据集,创建于2019年1月4日星期五的上午10点12分。这个数据集可能是为了某个竞赛...
Kotlin项目fri_norman_version版本介绍
- **Android应用开发** - Kotlin在Android Studio中得到了良好的支持,能够提供更加简洁和高效的开发流程。 - **Web开发** - Kotlin可以与Ktor、Spring Boot等框架结合,用于开发Web应用程序。 - **后端服务** - ...
有限新息率FRI信号模型
诚朴勇毅
04-06 2601
一、有限新息率(FRI)简介 有限新息率(Finite rate of innovation, FRI)采样理论是一种欠采样方案,所谓的欠采样就是指采样频率低于奈奎斯特采样频率,欠采样的方案有很多种,FRI属于其中的一种,它针对的信号是参数化信号,这一类信号可以用有限个参数去描述。有限新息率采样可以分为如下几个重要部分: 信号模型 采样结构及采样核 重构算法 对这三部分内容进行理解后便可以完全理解FRI采样。在对着几部分内容进行介绍之前,我们需要理解什么是模数转换,什么是奈奎斯特采样,什么是稀疏采样/欠采
马井堂-区块链技术:架构创新、产业变革与治理挑战(马井堂)
weixin_39501680的博客
04-29 1060
本文系统梳理区块链技术的核心技术架构,分析其在金融、供应链、政务等领域的实践应用,探讨共识算法优化、隐私保护、监管合规等关键挑战,并展望与AI、物联网融合的技术趋势。‌创新方向‌:Algorand的纯权益证明(PPoS)、Solana的历史证明(PoH)‌安全漏洞案例‌:DAO攻击(2016)、Poly Network跨链桥被黑(2021)‌反洗钱(AML)‌:Chainalysis链上追踪工具(识别混币器交易)‌央行数字货币(CBDC)‌:数字人民币(e-CNY)双层运营体系。
【经管数据】A股上市公司资产定价效率数据(2000-2023年)
最新发布
li514006030的博客
05-01 310
资产定价效率是衡量市场是否能够有效、准确地反映资产内在价值的重要指标。在理想的市场条件下,资产的市场价格应该与其内在价值保持一致,即市场定价效率达到最高。然而,在实际市场中,由于信息不对称、交易摩擦、投资者行为偏差等因素的存在,市场定价往往存在一定的偏差。在高效的市场中,资产价格能够充分、准确地反映市场信息,为投资者提供公平、公正的交易环境。:序号、年份、证券代码、板块、行业代码、交易状态、D1、D2。:原始数据、参考文献、do文件、最终结果。
红利底波是什么意思?
lianquant的博客
05-01 407
红利低波是一种结合了红利策略和低波策略的投资策略,主要选取股息率高且波动率低的股票进行投资,具有 “高收益低风险” 的特点,适合大多数投资者的权益资产配置。
Gas 优化不足、升级机制缺陷问题
战神/calmness的博客
04-30 950
Gas 问题需通过代码重构、工具分析和模式优化解决;升级机制需依赖标准化库、严格权限控制与存储隔离。开发者应在设计阶段遵循“最小化变更”原则,并通过第三方审计降低系统性风险。
构建网页版IPFS去中心化网盘
u011701632的博客
04-30 947
我把它命名为无限网盘 Unlimited network disks(ULND),可以实现简单的去中心化存储,其实实现起来并不难,还是依靠强大的IPFS,跟着我一步一步做就可以了。
第二章 信息技术发展(2.2 新一代信息技术及应用)
onebutterfly
04-28 847
物联网 (The Internet of Things) 是指通过信息传感设备,按约定的协议将任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的网络。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值