多项式知识的 zkSNARK

参考文献：

1. Petkus M. Why and how zk-snark works: Definitive explanation[J]. arXiv preprint arXiv:1906.07221, 2019.
2. Kilian J. A note on efficient zero-knowledge proofs and arguments[C]//Proceedings of the twenty-fourth annual ACM symposium on Theory of computing. 1992: 723-732.
3. Reitwiessner C. zkSNARKs in a nutshell[J]. Ethereum blog, 2016, 6: 1-15.
4. Nitulescu A. zk-SNARKs: A Gentle Introduction[R]. Technical report, 2020.

zkSNARKs

SNARK 是 succinct non-interactive arguments of knowledge 的简写。它是一个知识的证明系统，除了完备性（completeness）和可靠性（soundness），额外拥有：

• 简洁性（Succinct）：相较于证明的内容，消息的长度很小
• 非交互性（Non-interactive）：消息的发送方只有 Prover
• 论证（ARguments）：Verifier 仅可以抵御多项式有界敌手，又称 “computational soundness”
• 关于知识的（of Knowledge）：如果 Prover 不知道 witness，那么它不能构造出 proof / argument

而 zkSNARK，它额外再拥有零知识性（zero-knowledge）。事实上，零知识很容易达成（加入随机偏移即可），最重要的特性其实是 “简洁、无交互”。

Schwartz-Zippel lemma

描述

对于$n$个变元，定义项的总度数（total degree）为
$$\mathrm{deg}(\prod _{i=1}^n{x}_i^{s_i})=\sum _{i=1}^n{s}_i$$

（有限 / 无限）域$\mathbb{F}$上的$n$元$d$次多项式，
$$P(x_1,\cdots ,x_n)\in \mathbb{F}[x_1,\cdots ,x_n]$$

令$S\subseteq \mathbb{F}$是有限子集，那么独立均匀地选取随机点$(r_1,\cdots ,r_n)\in S^n$，有
$$Pr[P(r_1,\cdots ,r_n)=0]\le \frac{d}{|S|}$$

等价地，令$Z(f)$是$f$的零点集，那么有
$$|Z(f)\cap S^n|\le d\cdot |S{|}^{n-1}$$

应用

我们可以高效地检查若干（大规模）多项式之间的等式关系。例如：
$$f(x)=g(x)h(x)⟺f(x)-g(x)h(x)=0$$

已知$f,g,h$的度数最高为$d$，那么我们圈定一个范围$S$，满足$d\ll |S|$，那么我们随机选取$r\in S$，检查下述等式是否成立：
$$f(r)-g(r)h(r)=0$$

1. 如果$f(x)-g(x)h(x)=0$，那么对于任意的$r$，有
   $$Pr[f(r)-g(r)h(r)=0]=1$$

2. 如果$f(x)-g(x)h(x)\ne 0$，那么对于任意的$r$，上述检查通过的概率为
   $$Pr[f(r)-g(r)h(r)=0]\le \frac{d}{|S|}$$

无论每个多项式有多大，我们仅仅检查一个随机点上的等式即可！没必要计算多项式乘法，然后再检查每个系数是否相等。

多项式知识的证明

可以证明的多项式的性质有很多，我们关注对多项式因子的知识证明。确切地说：

1. Prover（简记$P$）宣称自己拥有的多项式$p(x)$，它有一个因子$t(x)$
2. Verifier（简记$V$）要求 Prover 证明存在一个$h(x)$，满足$p(x)=t(x)h(x)$

简洁的证明

我们利用 Schwartz-Zippel lemma 来设计简洁的证明：

1. $V$随机采样$r$，发送$r$给$P$
2. $P$计算$h(x)=p(x)/t(x)$，再计算$p=p(r),h=h(r)$，然后发送$p,h$给$V$
3. $V$本地计算$t=t(r)$，验证$p=t\cdot h$

上述协议的问题：

• $P$如果持有$p(x)=t(x)h(x)+s(x)$，其中$r(x)\ne 0$，它可以计算$h^{\prime }(r)=h(r)+s(r)/t(r)$，$V$检查$p=t\cdot h’$成立
• $P$即使完全不知道$p(x)$，它依然可以随机选取$h$，然后设置$p=t\cdot h$，但$V$完全无法发现$P$并没持有$p(x)$
• $P$知道了$r$，因此它可以任意构造多项式$p^{\prime }(x)$，使它满足$p^{\prime }(r)=t(r)\cdot h(r)$，于是$V$获得了$t(x)|p^{\prime }(x)$的证明，而不是$t(x)|p(x)$的证明
• $P$知道$t(x)$的次数，因此它可以找一个次数特别高的多项式$p(x)$，使得它满足$t(x)|p(x)$

同态承诺

我们应当让$P$无法获得$r,t(r)$，从而避免它伪造$p(r)$或者$p(x)$，于是同态加密登场了。我们实际上不关心解密问题，因此我们只需要一个承诺算法。

选取合适的循环群（后续技术中要求它是存在双线性映射的椭圆曲线群），它的生成元为$g$，其上的 CDH 是困难的：
$$E(s)=g^s$$

明显有同态加法：
$$E(s_1)\cdot E(s_2)=g^{s_1+s_2}=E(s_1+s_2)$$

以及标量乘法：
$$E(s{)}^c=g^{c\cdot s}=E(c\cdot s)$$

它不支持同态乘法（太笨重，也没必要）。利用同态加法和标量乘法，我们完全可以对一个多项式$\varphi (x)$做承诺：随机点$s\in \mathbb{F}$的函数值$\varphi (s)$对应的单个群元素$g^{\varphi (s)}$（Kate Commitment）

协议修改为：

1. $V$随机采样$s$，发送承诺
   $$E(s^0),E(s^1),\cdots ,E(s^d)$$

2. $P$拥有
   $$p(x)=\sum _{i=0}^d{p}_i{x}^i$$

   然后计算
   $$E(p(s))=\prod _{i=0}^d(g^{s^i}{)}^{p_i}=\prod _{i=0}^{d}E(s^i{)}^{p_i}=g^p$$

   类似的计算$h(x)=p(x)/t(x)$对应的$E(h(s))$，然后发送$g^p,g^h$给$V$

3. $V$本地计算$t=t(s)$，然后验证$g^p=(g^h{)}^t$

上述协议的问题：

• $P$完全可以使用任意策略，来计算两个任意的值$z_p,z_h$，只要满足$z_p=z_h^{t(s)}$：先计算出$E(t(s))=g^{t(s)}$，然后随机选取$r$，设置$z_h=g^r$，$z_p=(g^{t(s)}{)}^r$

限制多项式

我们应当限制$P$正确地使用这些承诺$E(s^i)$的幂次，来计算$p(s)$的承诺。这里，我们让$V$对承诺$E(s)$做随机偏移$E(s{)}^{\alpha }$，要求$P$返回的一对值$a,a^{\prime }$满足限制$a^{\alpha }=a^{\prime }$

那么由于 CDH 限制了$P$不知道$\alpha$，于是它只能选取某个整数$c$，并计算
$$a=(E(s){)}^c,a^{\prime }=(E(s{)}^{\alpha }{)}^c$$

这是除了穷举外，唯一的使得$a^{\alpha }=a^{\prime }$的计算方法。$V$虽然不知道$c$的值（也不应知道），但它可以确定$a$确实是$E(s)$的某个幂次。

协议修改为：

1. $V$随机采样$s,\alpha$，发送承诺
   $$E(s^0),E(s^1),\cdots ,E(s^d)$$

   以及偏移的承诺
   $$E(s^0{)}^{\alpha },E(s^1{)}^{\alpha },\cdots ,E(s^d{)}^{\alpha }$$

2. $P$拥有
   $$p(x)=\sum _{i=0}^d{p}_i{x}^i$$

   然后计算
   $$E(p(s))=\prod _{i=0}^d(g^{s^i}{)}^{p_i}=\prod _{i=0}^{d}E(s^i{)}^{p_i}=g^p$$

   以及对应的偏移
   $$E(p(s){)}^{\alpha }=(\prod _{i=0}^d(g^{s^i}{)}^{p_i}{)}^{\alpha }=\prod _{i=0}^d(E(s^i{)}^{\alpha }{)}^{p_i}=g^{\alpha \cdot p}=g^{p^{\prime }}$$

   类似的计算$h(x)=p(x)/t(x)$对应的$E(h(s))$，然后发送$g^p,g^{p’},g^h$给$V$

3. $V$本地计算$t=t(s)$，先检查约束$(g^p{)}^{\alpha }=g^{p^{\prime }}$，然后再验证$g^p=(g^h{)}^t$

上述协议的问题：

• 理论上$h(x)$的系数$h_i$的范围是整个域$\mathbb{F}$，但是实际工程里的系数是有限的取值，因此$V$完全可以根据$E(h(s))$的信息获得$h(x)$的一些特性信息。$p(x)=t(x)h(x)$也一样。

添加零知识

由于$V$只能根据$P$发送的承诺值$g^p,g^{p^{\prime }},g^h,g^{h^{\prime }}$，来确定$p(x)$的信息。因此，我们让$P$也对这些承诺值做随机偏移$\delta$

协议修改为：

1. $V$随机采样$s,\alpha$，发送承诺
   $$E(s^0),E(s^1),\cdots ,E(s^d)$$

   以及偏移的承诺
   $$E(s^0{)}^{\alpha },E(s^1{)}^{\alpha },\cdots ,E(s^d{)}^{\alpha }$$

2. $P$拥有
   $$p(x)=\sum _{i=0}^d{p}_i{x}^i$$

   然后计算
   $$E(p(s))=\prod _{i=0}^d(g^{s^i}{)}^{p_i}=\prod _{i=0}^{d}E(s^i{)}^{p_i}=g^p$$

   以及对应的偏移
   $$E(p(s){)}^{\alpha }=(\prod _{i=0}^d(g^{s^i}{)}^{p_i}{)}^{\alpha }=\prod _{i=0}^d(E(s^i{)}^{\alpha }{)}^{p_i}=g^{\alpha \cdot p}=g^{p^{\prime }}$$

   类似的计算$h(x)=p(x)/t(x)$对应的$E(h(s))$

   然后选取随机偏移$\delta$，计算并发送
   $$(g^p{)}^{\delta },(g^{p’}{)}^{\delta },(g^h{)}^{\delta }$$

3. $V$本地计算$t=t(s)$，先检查约束$((g^p{)}^{\delta }{)}^{\alpha }=(g^{p^{\prime }}{)}^{\delta }$，然后再验证
   $$(g^p{)}^{\delta }=E(\delta \cdot p(s))=((g^h{)}^{\delta }{)}^t=E(\delta \cdot t(s)h(s))$$

上述协议的问题：

• 由于上述协议是$P$,$V$交互式进行的，因此第三者$V^{\prime }$总是可以质疑上述 proof 的正确性。

实现非交互性

观察协议，发现只要让 step 1 的随机点和随机偏移$s,\alpha$成为证明系统的 secret parameters 即可。这个秘密参数应当满足以下性质： to be reusable, public, trustworthy and infeasible to abuse。它叫做 common reference string（CRS），就是天上掉馅饼 !!!∑(ﾟДﾟノ)ノ

我们让可信方生成$s,\alpha$，然后计算 E ( t ( s ) ) , { E ( s i ) , E ( s i ) α } i = 1 d E(t(s)),\{E(s^i),E(s^i)^\alpha\}_{i=1}^d E(t(s)),{E(si),E(si)α}i=1d​，公开后立刻销毁$s,\alpha$，防止$P$伪造信息。任意的人都可以作为$P,V$在任意的一次证明中使用它，且他们都不知道$s,\alpha$的值。

由于$V$不知道$t(s)$，那么怎么验证$E(p(s))=E(t(s)\cdot h(s))$是个问题，因为承诺算法$E(\cdot )$不支持同态乘法。于是我们引入双线性对（可在椭圆曲线群上实例化），它可以计算密文下的单次乘法。

椭圆曲线群$G,\text{G}$，令$g,\text{g}$是它们各自的生成元，存在双线性映射$e:G\times G\to \text{G}$，使得$e(g,g)=\text{g}$，满足
$$e(g^a,g^b)=g(g^{ab},g)=e(g,g^{ab})=e(g,g{)}^{ab}={\text{g}}^{ab}$$

易知，
$$e(g^a,g^b)\cdot e(g^c,g^d)={\text{g}}^{ab+cd}$$

协议修改为：

1. Setup：可信方随机采样$s,\alpha$，计算承诺
   $$E(s^0),E(s^1),\cdots ,E(s^d)$$

   以及偏移的承诺
   $$E(s^0{)}^{\alpha },E(s^1{)}^{\alpha },\cdots ,E(s^d{)}^{\alpha }$$

   设置 Proving key（公开的）：
   ( g α ,   { g s i } i = 1 d ,   { g α s i } i = 1 d ) \left( g^\alpha,\, \{g^{s^i}\}_{i=1}^d,\, \{g^{\alpha s^i}\}_{i=1}^d \right) (gα,{gsi}i=1d​,{gαsi}i=1d​)

   设置 Verification key（公开的）：
   $$\left(g^{\alpha },g^{t(s)}\right)$$

   上述两者就构成了 CRS

2. Proving：$P$拥有
   $$p(x)=\sum _{i=0}^d{p}_i{x}^i$$

   然后计算
   $$E(p(s))=\prod _{i=0}^d(g^{s^i}{)}^{p_i}=\prod _{i=0}^{d}E(s^i{)}^{p_i}=g^p$$

   以及对应的偏移
   $$E(p(s){)}^{\alpha }=(\prod _{i=0}^d(g^{s^i}{)}^{p_i}{)}^{\alpha }=\prod _{i=0}^d(E(s^i{)}^{\alpha }{)}^{p_i}=g^{\alpha \cdot p}=g^{p^{\prime }}$$

   类似的计算$h(x)=p(x)/t(x)$对应的$E(h(s)),E(\alpha \cdot p(s))$

   然后选取随机偏移$\delta$，计算并发送
   $$\pi =\{(g^p{)}^{\delta },(g^{p’}{)}^{\delta },(g^h{)}^{\delta }\}$$

3. Verification：利用双线性对（计算乘法），$V$先检查约束，
   $$e((g^p{)}^{\delta },g^{\alpha })=e((g^{p^{\prime }}{)}^{\delta },g)$$
   然后再验证因子
   $$e((g^p{)}^{\delta },g)=e((g^h{)}^{\delta },g^{t(s)})$$

注意，应当让$G\ne \text{G}$，使得$e(\cdot ,\cdot )$类似一个Hash函数。如果$G=\text{G}$，那么恶意的$P$可以设置$g^{p^{\prime }}=e(g^p,g^{\alpha })$，于是也可以通过检查
$$e(e(g^p,g^{\alpha }),g)=e(g^p,g^{\alpha })$$

上述协议的问题：

• $s,\alpha$是由一个可信方选取的，计算了承诺后立即销毁它们。这在现实中不切实际：没有人会相信其他人确实销毁了$s,\alpha$，持有它们的$P$拥有伪造 proof 的能力。

CRS

为了避免诚实方的问题，我们生成 composite CRS。假设存在$n$个参与者 { P j } j = 1 n \{P_j\}_{j=1}^n {Pj​}j=1n​，我们选取$P_1$作为链表开头：

1. $P_1$随机选取$s_1,{\alpha }_1$，公布它的 CRS
   ( g A 1 , { g S 1 i } i , { g A S 1 i } i ) : = ( g α 1 ,   { g s 1 i } i ,   { g α 1 s 1 i } i ) \left( g^{A_1}, \{g^{S_1^i}\}_i, \{g^{AS_1^i}\}_i \right) := \left( g^{\alpha_1},\, \{g^{s_1^i}\}_i,\, \{g^{\alpha_1 s_1^i}\}_i \right) (gA1​,{gS1i​}i​,{gAS1i​}i​):=(gα1​,{gs1i​}i​,{gα1​s1i​}i​)

2. $P_j$接收到$P_{j-1}$的 CRS 后，随机选取$s_j,{\alpha }_j$，利用加法同态，计算新的 CRS
   ( g A j , { g S j i } i , { g A j S j i } i ) : = ( g A j − 1 ⋅ α j ,   { g S j − 1 i ⋅ s j i } i ,   { g A j − 1 S j − 1 i ⋅ α j s j i } i ) \left( g^{A_j}, \{g^{S_j^i}\}_i, \{g^{A_jS_j^i}\}_i \right) := \left( g^{A_{j-1} \cdot \alpha_j},\, \{g^{S_{j-1}^i \cdot s_j^i}\}_i,\, \{g^{A_{j-1}S_{j-1}^i \cdot \alpha_j s_j^i}\}_i \right) (gAj​,{gSji​}i​,{gAj​Sji​}i​):=(gAj−1​⋅αj​,{gSj−1i​⋅sji​}i​,{gAj−1​Sj−1i​⋅αj​sji​}i​)

3. 最后，$P_n$发布最终的 CRS
   ( g A n , { g S n i } i , { g A n S n i } i ) \left( g^{\Alpha_n}, \{g^{S_n^i}\}_i, \{g^{A_nS_n^i}\}_i \right) (gAn​,{gSni​}i​,{gAn​Sni​}i​)

为了防止第$j\in [n]$个参与者对不同的幂次$i$使用不同的$s$，从而破坏 CRS 令它不可用，我们需要做一致性检查（consistency check）：

1. 以$i=1$的承诺$E(S^1)$为标准值（canonical value），依次检查其他的$i=2,\cdots ,d$的幂次的承诺，
   $$e(E(S^i),g)=e(g^S,g^{S^{i-1}})=e(E(S^1),g^{S^{i-1}})$$

2. 然后，还要检查每个$i=1,2,\cdots ,d$的偏移的承诺，
   $$e(E(A{S}^i),g)=e(g^{S^i},g^A)=e(E(A^i),g^A)$$

另外，为了防止第$j\ge 2$个参与者不使用前$j-1$个人的 CRS，从而移除它们的随机性，我们还需要验证它们确实是在 ( g A j − 1 , { g S j − 1 i } i , { g A j − 1 S j − 1 i } i ) \left( g^{A_{j-1}}, \{g^{S_{j-1}^i}\}_i, \{g^{A_{j-1}S_{j-1}^i}\}_i \right) (gAj−1​,{gSj−1i​}i​,{gAj−1​Sj−1i​}i​)的基础上计算了幂次，利用双线性对判断密文下乘积是否相等，

1. 要求$j\ge 2$的参与者都公布额外的关于$s_j,{\alpha }_j$的承诺
   ( g α j , { g s j i } i , { g α j s j i } i ) \left( g^{\alpha_j}, \{g^{s_j^i}\}_i, \{g^{\alpha_j s_j^i}\}_i \right) (gαj​,{gsji​}i​,{gαj​sji​}i​)

2. 每个参与者都可以检查
   $$e(E(A_j^i),g)=e(E(A_{j-1}^i),g^{{\alpha }_j})$$

   $$e(E(S_j^i),g)=e(E(S_{j-1}^i),g^{s_j^i})$$

   $$e(E(A_j{S}_j^i),g)=e(E(A_{j-1}{S}_{j-1}^i),g^{{\alpha }_j{s}_j^i})$$

总结

在 CRS model 下，我们实现了对于多项式知识 $t(x)|p(x)$ 的非交互简洁零知识证明，Prover 只需发送一个消息
$$\pi =\{(g^p{)}^{\delta },(g^{p’}{)}^{\delta },(g^h{)}^{\delta }\}$$
给 Verifier 验证。这个 proof 仅仅包含$3$个承诺，无论$p(x),t(x)$的规模有多大。