【译】SNARKs讲解「第四部分」：如何让多项式盲求值可验证

原文链接

<<< 第三部分

在本文中，我们在本系列文章第二和第三部分基础上开发出一套可证实的多项式盲求值协议。在第五部分，我们将开始看见这样的一个协议会如何被用来构造SNARKs。

如同第二部分中的情况，我们假定Alice有一个阶数为$d$的多项式$P$，Bob有一个随机选取的点 $s\in {\text{F}}_p$。在下面2个额外特性情况下，我们想构造一个协议让 Bob得到 $E(P(s))$。也就是，$P$ 在 $s$ 点求值的隐藏：

1. 盲性：Alice 不会知道 $s$，Bob也不会知道 $P$。
2. 可验证性：对于Alice已知的$d$次多项式$P$，Alice送一个有别于 $E(P(s))$ 的值给Bob，并且Bob接受该值。这件事发生的概率，可以忽略不计。

这就是我们称之为的多项式可验证盲求值。第二部分文章中的协议给了我们第一项特性。为了获得可验证性，我们需要第三部分文章中KCA的扩展版本。

可验证性和盲性这2个特性在一起会比较有用。这是因为它们可以让Alice在看不到$s$的情况下决定用哪个多项式 $P$。¹ 在本系列文章的下一部分，这个直觉会更加清晰。

一个扩展KCA

我们在第三部分定义的KCA基本上说了这些：如果Bob给Alice某个$\alpha$-对 $(a,b=\alpha \cdot a)$，于是Alice产生另一个 $\alpha$-对 $(a^{\prime },b^{\prime })$，然后她得到 $c$，使得 $a^{\prime }=c\cdot a$。换句话说，Alice知道 $a^{\prime }$ 和 $a$ 之间的关系。

现在假定Bob不止送一个$\alpha$-对 ，而是发送给Alice多个具有相同$\alpha$ 的 $\alpha$-对 $(a_1,b_1),...,(a_d,b_d)$；在接收到这些对子的挑战后，Alice生成一些其他的$\alpha$-对 $(a^{\prime },b^{\prime })$。注意这里的要点是Alice必须在不知道 $\alpha$ 的情况下做到这一切。

就像我们在第三部分看到的，Alice生成这样一个$\alpha$-对的自然的方法，就是从收自Bob的多个$\alpha$-对中挑选一个$(a_i,b_i)$，然后用某个$c\in {\text{F}}_p^{\ast }$来乘这2个元素。如果$(a_i,b_i)$是一个$\alpha$-对，那么 $(c\cdot a_i,c\cdot b_i)$也会是一个$\alpha$-对。但是Alice可以有更多的办法生来成$\alpha$-对么？毕竟她现在接收到了多个$\alpha$-对。也许可以同时使用多个接收到的$\alpha$-对来生成一个新的$\alpha$-对。

答案是肯定的：例如，Alice可以选择2个值 $c_1,c_2\in {\text{F}}_p$，然后计算一对 $(a^{\prime },b^{\prime })=(c_1\cdot a_1+c_2\cdot a_2,c_1\cdot b_1+c_2\cdot b_2)$。一个简单的计算可以表明，只要$a^{\prime }$非零，这个结果也是一个$\alpha$-对：

$b^{\prime }=c_1\cdot b_1+c_2\cdot b_2=c_1\alpha \cdot a_1+c_2\alpha \cdot a_2=\alpha (c_1\cdot a_1+c_2\cdot a_2)=\alpha \cdot a^{\prime }$

更一般地，Alice可以对给定的$d$个对做任意的线性组合。也就是选取任意的 $c_1,...,c_d\in {\text{F}}_p$ 然后定义 $(a^{\prime },b^{\prime })=({\Sigma }_{i=1}^d{c}_i{a}_i,{\Sigma }_{i=1}^d{c}_i{b}_i)$。

注意，当Alice采用这个策略来生成她的$\alpha$-对时，她将会知道一些 $a^{\prime }$ 与 $a_1,...,a_d$之间的线性关系。也就是，她知道 $c_1,...,c_d$ 使得 $a^{\prime }={\Sigma }_{i=1}^d{c}_i\cdot a_i$。

扩展KCA规定，基本上，这是Alice生成$\alpha$-对的唯一办法。也就是说，只要她成功了，她就会知道在 $a^{\prime }$ 和 $a_1,...,a_d$ 之间的这样一个线性关系。更正式地，假定$G$ 是$d$阶群，它有一个用加法写的生成器$g$，就像本系列文章中第三部分里面的一样。$G$的$d$阶系数知识假设(d-KCA)²如下所示：

d-KCA：假定Bob随机选择 $\alpha \in {\text{F}}_p^{\ast }$ 和 $s\in {\text{F}}_p$， 然后送给Alice这些 $\alpha$-对 $(g,\alpha \cdot g),(s\cdot g,\alpha s\cdot g),...,(s^d\cdot g,\alpha s^d\cdot g)$。假定Alice接下来输出了另一个 $\alpha$-对 $(a^{\prime },b^{\prime })$。于是，除非可忽略的可能性，Alice知道 $c_0,...,c_d\in {\text{F}}_p$，使得${\Sigma }_{i=0}^d{c}_i{s}^i\cdot g=a^{\prime }$。

注意，在d-KCA中Bob发送的不是一个任意的$\alpha$-对集合， 而是带有一定"多项式结构“的。这在下面的协议中会很有用。

可验证盲求值协议

假设我们的HH是一个映射 $E(x)=x\cdot g$，其中$g$是跟上面一样的$G$上的发生器。为了简单起见，我们为这个特定的$E$呈现协议如下：

1. Bob选择一个随机$\alpha \in {\text{F}}_p^{\ast }$，把 $1,s,...,s^d$ 的 隐藏 $g,s\cdot g,...,s^d\cdot g$ 和 $\alpha ,\alpha s,...,\alpha s^d$的隐藏 $\alpha \cdot g,\alpha s\cdot g,...,\alpha s^d\cdot g$ 发送给Alice。
2. Alice用第一步发来的元素计算 $a=P(s)\cdot g$ 和 $b=\alpha P(s)\cdot g$，并把这2个 结果发回给Bob。
3. Bob检查 $b=\alpha \cdot a$，如果等式成立则接受Alice的发送。

首先，注意在给定$P$的系数情况下，$P(s)\cdot g$是一个 $g,s\cdot g,...,s^d\cdot g$ 的线性组合；$\alpha P(s)\cdot g$是一个 $\alpha \cdot g,\alpha s\cdot g,...,\alpha s^d\cdot g$ 的线性组合。于是，跟第二部分中的协议相似，Alice实际上可以从Bob的消息中为她自己知道的一个多项式$P$ 计算出这些值。

其次，根据d-KCA，如果Alice发送$a,b$ 使得 $b=\alpha \cdot a$，然后最有可能她知道$c_0,...,c_d\in {\text{F}}_p$ 使得$a={\Sigma }_{i=0}^d{c}_i{s}^i\cdot g$。在这个情况，由于Alice知道 $P(X)={\Sigma }_{i=0}^d{c}_i\cdot X^i$ 这个多项式 ，于是 $a=P(s)\cdot g$。 换句话说，在上面第三步中Alice不知道这个 $P$ 的同时Bob还接受Alice的发送，这件事的概率很低。

总结下，利用d-KCA，我们已经开发出了一个协议给可验证多项式盲求值。在下一篇文章里，我们将看到这些模块会如何被用来构造SNARK。

>>> 第五部分

---

1. 在完整的正式证明里，事情会更微妙一些，那是因为Alice在决定她的$P$之前的确看到了些关于 $s$ 的信息。例如，$s,...,s^d$ 的隐藏。 ↩︎

2. d-KCA首次出现在Jens Groth的论文中。 ↩︎