【译】SNARKs讲解「第二部分」：多项式的盲求值

原文链接 https://electriccoin.co/blog/snark-explain2/

<<< 第一部分

在这篇文章里，我们将回顾多项式的概念，解释多项式“盲求值”的概念，以及如何用同态隐藏(HH)来实现它。在以后的文章里，我们将看到盲求值会是构造SNARK的核心工具。

我们用${\text{F}}_p$来表示阶数为$p$的域。也就是说，${\text{F}}_p$的元素集合是 { 0 , . . . , p − 1 } \{0,...,p-1\} {0,...,p−1}。如同本系列文章第一部分里面讲到的一样，这个域的加法和乘法都包含 $modp$ 操作。

多项式和线性组合

我们回顾一下，在域${\text{F}}_p$上的阶数为$d$的多项式$P$，有如下的表达形式

$P(X)=a_0+a_1\cdot X+a_2\cdot X^2+\dots +a_d\cdot X^d$

其中 $a_0,...,a_d\in {\text{F}}_p$

我们在点$s\in {\text{F}}_p$上对$P$求值，可以把$s$代入$X$中，来计算这个结果：

$P(s)=a_0+a_1\cdot s+a_2\cdot s^2+\dots +a_d\cdot s^d$

对于知道$P$的人来说，值$P(s)$是值$1,s,...,s^d$的线性组合。线性组合的意思是“带权重的合”，这里“权重”是$a_0,...,a_d$。

在上一篇文章里，我们看到HH被定义成 $E(x)=g^x$, 其中 $g$ 是一个具有困难离散对数问题的群的发生器。我们提到过这个HH“支持加法”，这样说的原因是 $E(x+y)$ 可以从 $E(x)$ 和 $E(y)$ 中计算而来。这里我们也注意一下，HH同样也“支持线性组合“，意思是给定$a,b,E(x),E(y)$，我们可以计算出 $E(ax+by)$ 。这是因为

$E(ax+by)=g^{ax+by}=g^{ax}\cdot g^{by}=(g^x{)}^a\cdot (g^y{)}^b=E(x{)}^a\cdot E(y{)}^b.$

多项式的盲求值

假定Alice有一个阶数为$d$的多项式$P$，Bob有一个他自己随机挑选的点$s\in {\text{F}}_p$。Bob希望能得到$E(P(s))$，也就是$P$在$s$点的HH。

如下有2种可以实现的方法：

• Alice把$P$发送给Bob，然后他自己计算$E(P(s))$。
• Bob把$s$发送给Alice，然后她计算 $E(P(s))$，完成后，把结果发送
  给Bob。

然而在盲求值问题里，我们希望Bob在不知道 $P$ 的情况下算出 $E(P(s))$。这样的话，上面第一个选项就被排除了。更重要的是，我们不希望Alice知道 $s$，这样第二个选项也被排除了。¹

利用HH，我们可以像如下这样执行盲求值：

1. Bob把隐藏$E(1),E(s),...,E(s^d)$发送给Alice。
2. Alice利用第一步中发送来的元素计算出$E(P(s))$，然后把结果发送给Bob 。（Alice可以做到这一点的原因是，$E$支持线性组合，并且$P(s)$是$1,s,...,s^d$的线性组合）。

注意，由于只有隐藏被发送，Alice不知道$s$ ²，Bob也不知道$P$。

为何多项式盲求值很有用

后续的文章会更详细地谈到盲求值是被如何用于SNARKs中的。粗略的直觉就是验证者在脑子里有一个“正确”的多项式，他希望去检查是否证明者知道它。在证明者的多项式是错误的情况下，让证明者在一个他事先不知道的一个随机点上对他自己的多项式盲求值，可以确保证明者将以极高的概率给出一个错误的答案。这是因为 Schwartz-Zippel 辅助定理规定了“不同的多项式在大多数点上的值不相同"。

>>> 第三部分

---

1. 我们不想发送$P$给Bob的主意原因是它太大了，有$d+1$个元素。例如，在目前的Zcash协议中$d$可以大到$2000000$。这最终跟 SNARKs中的“Succinct(简洁)"有关。上面Bob发送给Alice的隐藏序列也是一样的长，但是这个序列可以被“硬编码"到系统参数里，注意，在每个SNARK证明里Alice的消息都不相同。 ↩︎

2. 实际上，隐藏属性仅仅保证了$s$不能被从$E(s)$中恢复。我们在这里也申明一下$s$同样也不能从序列$E(s),...,E(s^d)$中恢复出来，尽管这个序列包含更多关于$s$的信息。这跟$d$次Diffie-Hellman假设一致，该假设会在好几个SNARK安全证明中被用到。 ↩︎