通用 zkSNARK

算术电路的约束

任意一个程序都可以表示为算术电路，因为 { + , × } \{+,\times\} {+,×}是完备的。将电路“拍平”，也就是添加中间变量，表示为如下形式的若干操作：
$$\text{left operand }\text{ operator }\text{ right operand = output}$$
其中运算符 operator ∈ { + , − , × , ÷ } \textbf{operator} \in \{+,-,\times,\div\} operator∈{+,−,×,÷}，左操作数$\text{left operand}$、右操作数$\text{right operand}$、运算结果$\text{output}$，它们都是$\mathbb{F}$上的变量（variable）

单个乘法操作

单个乘法操作的等式写作
$$a\times b=c$$

由于我们已经构建了多项式知识的 zkSNARK，因此我们希望把上述乘法操作转化为 operand polynomial，
$$l(x)\text{ operator }r(x)=o(x)$$

我们希望对于某个点$x=1$（随便取），它们满足
$$\begin{gathered} l(1)=a \\ r(1)=b \\ o(1)=c \end{gathered}$$

多项式可以取做：$l(x)=ax,r(x)=b(x),o(x)=cx$，当然其他的多项式也都可以，满足上述点值关系即可。

那么就有下式成立：
$$l(1)\times r(1)-o(1)=0$$

这意味着$x=1$是多项式$p(x)=l(x)r(x)-o(x)$的根。令$t(x)=x-1$，那么
$$l(x)r(x)-o(x)=t(x)h(x)$$

让 Prover 证明这个关于多项式知识的声明：多项式$p(x)=l(x)r(x)-o(x)$有一个因式$t(x)$

注意，因为$p(x)$是从三个多项式$l(x),r(x),o(x)$运算出来的，因此如果证明这个声明：多项式$p(x)$有一个因式$t(x)$，那么恶意的 Prover 可以伪造$p(x{)}^{\prime }$，只要它满足$p^{\prime }(1)=0$，就可以欺骗 Verifier

为了抵御$P$的上述操作，$P$应当分别发送$l(x),r(x),o(x)$的相关承诺。选取随机点$s$，因为承诺的减法需要计算逆元$g^{-o(s)}$，这过于昂贵。我们让$V$验证：$l(s)r(s)=t(s)h(s)+o(s)$

协议如下：

1. Setup：所有参与者协同生成 composite CRS，与多项式知识的 SNARK 完全一样，略。

2. Proving：$P$根据变量的取值$a,b,c$，设置$l(x),r(x),o(x)$，然后计算出
   $$h(x)=\frac{l(x)r(x)-o(x)}{t(x)}$$

   根据 Proving key，计算它们的承诺
   $$g^{l(s)},g^{r(s)},g^{o(s)},g^{h(s)}$$

   以及$p(x)$对应的偏移多项式的承诺
   $$g^{\alpha l(s)},g^{\alpha r(s)},g^{\alpha o(s)}$$

   发送如下形式的 proof
   $$\pi =\left(g^{l(s)},g^{r(s)},g^{o(s)},g^{h(s)},g^{\alpha l(s)},g^{\alpha r(s)},g^{\alpha o(s)}\right)$$

3. Verification：$V$收到了$\left(g^l,g^r,g^o,g^h,g^{l^{\prime }},g^{r^{\prime }},g^{o^{\prime }}\right)$，然后做如下的检查，

   polynomials restriction check：
   $$\begin{array}{rl}e(g^{l^{\prime }},g)& =e(g^l,g^{\alpha })\\ e(g^{r^{\prime }},g)& =e(g^r,g^{\alpha })\\ e(g^{o^{\prime }},g)& =e(g^o,g^{\alpha })\end{array}$$

   valid operation check：
   $$e(g^l,g^r)=e(g^t,g^h)\cdot e(g^o,g)⟺l(s)r(s)=t(s)h(s)+o(s)$$

在上述协议中，我们移除了零知识的部分。它不是重点，在本节的最后我们会重新补上它。

多个乘法操作

多个乘法操作的等式可以写作：
$$\begin{array}{rl}a\times b& =d\\ d\times c& =e\\ a\times c& =f\end{array}$$

我们依然把它描述为如下形式
$$L(x)\text{ operator }R(x)=O(x)$$

并且根据$a,b,c,r_1,r_2,r_3$出现在第几个操作上，令
$$\begin{array}{rl}& L(1)=a,L(2)=d,L(3)=a\\ & R(1)=b,R(2)=c,R(3)=c\\ & O(1)=d,O(2)=e,O(3)=f\end{array}$$

一旦确定了$a,b,c,d,e,f$的具体取值，就可以使用插值法（解线性方程组、牛顿插值法、拉格朗日插值公式、快速傅里叶变换）计算出$L(x),R(x),O(x)$

有$3$个乘法操作，因此$t(x)=(x-1)(x-2)(x-3)$，使得
$$t(x)\mid P(x)=L(x)R(x)-O(x)$$

我们证明这个 statement 即可。

但是，这有问题：变量$a$多次出现在左操作数上，恶意的$P$可以选取$L(1)\ne L(3)$，从而改变证明的多项式$P^{\prime }(x)\ne P(x)$。我们应当强制相同的变量在不同的位置都有相同的值。

把 left operand polynomial $L(x)$，拆分为多个 unassigned variable polynomial $l_a(x),l_d(x)$，依据相应的变量出没出现在第$i$个乘法的做操作数上，使得它们满足：
$$\begin{array}{rl}& l_a(1)=1,l_a(2)=0,l_a(3)=1\\ & l_d(1)=0,l_d(2)=1,l_d(3)=0\end{array}$$

其他变量$b,c,e,f$没出现在左操作符里，因此都是零多项式，可以忽略。分别乘以对应变量的取值，再相加：
$$L(x)=a\cdot l_a(x)+d\cdot l_d(x)$$

它满足
$$L(1)=a,L(2)=d,L(3)=a$$

符合左操作数的取值，并且强制了$L(1)=L(3)$

类似的，强制约束 right operand polynomial 和 output polynomial 的取值：
$$\begin{array}{rl}R(x)& =b\cdot r_b(x)+c\cdot r_c(x)\\ O(x)& =d\cdot o_d(x)+e\cdot o_e(x)+f\cdot o_f(x)\end{array}$$

除了 Prover 的程序输入值和输出值是保密的，程序本身是公开的，自然这些 operator 上的左右变量和输出变量的关系是公开的。因此上述的$l_a(a),l_d(x)$, $r_b(x),r_c(x)$, $o_d(x),o_e(x),o_f(x)$都可以在 Setup 阶段确定，以强制$P$保持变量取值的一致性。

协议被扩展为：

1. Setup：把程序写成$d$个乘法操作，那么
   $$t(x)=\prod _{i=1}^d(x-i)$$

   其中出现的所有变量为 { v i } i = 1 n \{v_i\}_{i=1}^n {vi​}i=1n​，利用插值法，写出每个变量$v_i$的variable polynomials，$l_i(x),r_i(x),o_i(x)$

   所有参与者协同生成 composite CRS，
   ( g α , { g s i } i = 1 d , { g α s i } i = 1 d ) \left( g^{\alpha}, \{g^{s^i}\}_{i=1}^d, \{g^{\alpha s^i}\}_{i=1}^d \right) (gα,{gsi}i=1d​,{gαsi}i=1d​)

   设置 Proving key：
   ( g α ,   { g s i } i = 1 d ,   { g l i ( s ) ,   g r i ( s ) ,   g o i ( s ) } i = 1 n ,   { g α l i ( s ) ,   g α r i ( s ) ,   g α o i ( s ) } i = 1 n ) \begin{aligned} \left( g^\alpha,\, \{g^{s^i}\}_{i=1}^d,\, \\ \{ g^{l_{i}(s)},\, g^{r_{i}(s)},\, g^{o_{i}(s)}\}_{i=1}^n,\, \{ g^{\alpha l_{i}(s)},\, g^{\alpha r_{i}(s)},\, g^{\alpha o_{i}(s)}\}_{i=1}^n \right) \end{aligned} (gα,{gsi}i=1d​,{gli​(s),gri​(s),goi​(s)}i=1n​,{gαli​(s),gαri​(s),gαoi​(s)}i=1n​)​

   设置 Verification key：
   $$\begin{array}{r}\left(g^{\alpha },g^{t(s)}\right)\end{array}$$

2. Proving：$P$根据变量 { v i } i = 1 n \{v_i\}_{i=1}^n {vi​}i=1n​的取值，设置$L(x),R(x),O(x)$，然后计算出
   $$h(x)=\frac{L(x)R(x)-O(x)}{t(x)}$$

   根据 Proving key，计算它们的承诺
   $$g^{L(s)},g^{R(s)},g^{O(s)},g^{h(s)}$$

   以及$P(x)$对应的偏移多项式的承诺
   $$g^{\alpha L(s)},g^{\alpha R(s)},g^{\alpha O(s)}$$

   发送如下形式的 proof
   $$\pi =\left(g^{L(s)},g^{R(s)},g^{O(s)},g^{h(s)},g^{\alpha L(s)},g^{\alpha R(s)},g^{\alpha O(s)}\right)$$

3. Verification：$V$收到了$\left(g^L,g^R,g^O,g^h,g^{L^{\prime }},g^{R^{\prime }},g^{O^{\prime }}\right)$，然后做如下的检查，

   variable polynomial restrictions check：
   $$\begin{array}{rl}e(g^{L^{\prime }},g)& =e(g^L,g^{\alpha })\\ e(g^{R^{\prime }},g)& =e(g^R,g^{\alpha })\\ e(g^{O^{\prime }},g)& =e(g^O,g^{\alpha })\end{array}$$

   valid operation check：
   $$e(g^l,g^r)=e(g^t,g^h)\cdot e(g^o,g)⟺l(s)r(s)=t(s)h(s)+o(s)$$

上述协议的缺陷为：

1. 由于各个$L(x),R(x),O(x)$的 restrictions check 中使用了相同的偏移$\alpha$，因此恶意的$P$能够：
   1. 混用：$L^{\prime }(x)=v_1\cdot o_1(x)+v_2\cdot l_2(x)+\cdots$
   2. 交换：$O(s)\times R(s)=L(s)$
   3. 重用：$L(s)\times L(s)=O(s)$
2. 因为$L(x),R(x),O(x)$的 restrictions check 是分别执行的，$P$完全可以在不同的位置中，对变量$v_i$赋予不同的值。例如在第$1$个乘法里的左操作数里赋值为$3$，但在第$3$个乘法里的右操作数里赋值为$6$，而$V$检查不出来。
3. 因为$P$获得了$g^{\alpha }$，那么对于任意的$v’$，它可以计算$g^{L(s)}\cdot g^{v^{\prime }}=g^{L(s)+v^{\prime }}$以及对应的偏移$g^{\alpha L(s)}\cdot (g^{\alpha }{)}^{v^{\prime }}=g^{\alpha (L(s)+v^{\prime })}$，但$L^{\prime }(x)=L(x)+v^{\prime }$并不是$V$所预期的那个 statement。换句话说，$P$可以任意修改$L(x)$的常数项。

其他操作

Constant Coefficients

在上述的每个变量$v_i$的 unassigned variable polynomial $l_i(x)$里：

1. 如果$v_i$出现在了第$j$个乘法运算里，我们设置$l_i(j)=1$
2. 如果$v_i$没有出现在第$j$个乘法运算里，那么我们设置$l_i(j)=0$

实际上，我们可以设置任意的常数$c_j$，那么就构建了如下形式的公式：
$$(c_a\cdot a)\times (c_b\cdot b)=c_r\cdot r$$

$r_i(x)$和$o_i(x)$也都类似。

Addition for Free

在之前，我们设置的不同变量$v_i$的$l_i(x)$，在任意一个点$x=j$的位置上，$\exists k,l_k(j)=c_k\ne 0$，并且$\forall i\ne k,l_i(j)=0$。也就是说，把程序写成了如下形式，
$$\begin{array}{rl}a\times d& =r\\ b\times e& =s\\ c\times f& =t\end{array}$$

每个操作数中仅仅包含一个变量。对应的图像为：

但我们可以把任意多个变量的$l_i(j),i\in I$，同时置为非零值。例如，可以把程序写成如下形式，
$$\begin{array}{rl}(a+c)\times d& =r\\ b\times e& =s\\ c\times f& =t\end{array}$$

它对应的$L(x)$如图所示：

进一步的，我们把程序转化为$d$个乘法运算：
$$\sum _{i=1}^n{c}_{l,i,j}{v}_i\times \sum _{i=1}^n{c}_{r,i,j}{v}_i=\sum _{i=1}^n{c}_{o,i,j}{v}_i$$

其中$j=1,\cdots ,d$是乘法运算的索引，$3$个$d$长向量 { c l , i , c r , i , c o , i } \{c_{l,i},c_{r,i},c_{o,i}\} {cl,i​,cr,i​,co,i​}是变量$v_i$的在不同乘法运算中的常系数。

Addition

但如果我们仅仅是计算加法$a+b=r$，而不计算乘法，那么上述的算法就不可用了。可以把它写作
$$(a+b)\times 1=r$$

这里的$1=c_{one}\cdot v_{one}$，其中$c_{one}=1$是 Setup 阶段就可以确定的（不受$P$的控制），而$v_{one}$是被$P$控制的变量（可以任意赋值，而不被$V$发现）。

为了强制$v_{one}=1$，我们可以让这个变量对应的多项式$l_0(x),r_0(x),o_0(x)$被$V$控制。同时，程序的公开输入输出变量$v_i,i=1,\cdots ,m$，也都可以交由$V$来控制：
$$L_V(x)=l_0(x)+\sum _{i=1}^m{v}_i\cdot l_i(x)$$

另外的$n-m$个与$P$的私有输入有关的变量$v_i,i=m+1,\cdots ,n$，它们对应的多项式被$P$控制：
$$L_P(x)=\sum _{i=m+1}^n{v}_i\cdot l_i(x)$$

因为承诺的加法同态性质，所以可以重构$L(x)$的承诺：
$$E(L(s))=E(L_V(s)+L_P(x))=E(L_V(x))\cdot E(L_P(x))$$

类似地，构建$R_V(x),R_P(x)$和$O_V(x),O_P(x)$

Subtraction and Division

减法$a-b=r$可以表示为：
$$(a+(-1)\cdot b)\times 1=r$$

除法$a/b=r$可以表示为：
$$b\times r=a$$

两者都可以复用之前的技术。

其他的约束和检查

Non-Interchangeability of Operands and Output

为了防止恶意的$P$混用和交换$l_i(x),r_i(x),o_i(x)$，我们应当在不同的位置，使用不同的随机偏移${\alpha }_l,{\alpha }_r,{\alpha }_o$

那么在 Setup 阶段，计算的 CRS 修改为

• proving key：
  ( { g s i } i = 1 d ,   { g l i ( s ) ,   g α l l i ( s ) } i = 1 n ,   { g r i ( s ) ,   g α r r i ( s ) } i = 1 n ,   { g o i ( s ) ,   g α o o i ( s ) } i = 1 n ) \begin{aligned} \left( \{g^{s^i}\}_{i=1}^d,\, \\ \{ g^{l_{i}(s)},\, g^{\alpha_l l_{i}(s)}\}_{i=1}^n,\, \\ \{ g^{r_{i}(s)},\, g^{\alpha_r r_{i}(s)}\}_{i=1}^n,\, \\ \{ g^{o_{i}(s)},\, g^{\alpha_o o_{i}(s)}\}_{i=1}^n \right) \end{aligned} ({gsi}i=1d​,{gli​(s),gαl​li​(s)}i=1n​,{gri​(s),gαr​ri​(s)}i=1n​,{goi​(s),gαo​oi​(s)}i=1n​)​

• verification key：
  $$\left(g^{t(s)},g^{{\alpha }_l},g^{{\alpha }_r},g^{{\alpha }_o}\right)$$

然后在 Proving 和 Verification 步骤里，可以自然地修改，略。

Variable Consistency Across Operands

为了强制让不同的位置（$l,r,o$）的同一个变量$v_i$的值都相等，我们可以：将它的多项式都加起来，
$$g^{l_i(s)+r_i(s)+o_i(s)}$$

然后再做偏移$\beta$
$$g^{\beta \cdot (l_i(s)+r_i(s)+o_i(s))}$$

这强制$P$对于$v_{L,i}=v_{R,i}=v_{O,i}=v_{\beta ,i}$计算：
$$(g^{l_i(s)}{)}^{v_{L,i}},(g^{r_i(s)}{)}^{v_{R,i}},(g^{o_i(s)}{)}^{v_{O,i}},(g^{\beta \cdot (l_i(s)+r_i(s)+o_i(s))}{)}^{v_{\beta ,i}}$$

然而，这个检查是有问题的：$l(s),r(s),o(s)$都是$\mathbb{F}$上的数值，有不可忽略的概率，使得它们之间存在整除关系。假如$l(s)=r(s)=w,o(s)=y$，那么恶意的$P$可以选取$v_{\beta }=v_O,v_L=2v_O-v_R$，那么校验也会通过：
$$\beta (v_{L}w+v_{R}w+v_{O}y)=v_O\cdot \beta (2w+y)=v_{\beta }\cdot \beta (w+w+y)$$

因此，我们应当在 Setup 阶段为每个 operand 选取不同的${\beta }_l,{\beta }_r,{\beta }_o$，然后添加一些新的 CRS：

• proving key：
  ( { g s i } i = 1 d ,   { g l i ( s ) ,   g α l l i ( s ) } i = 1 n ,   { g r i ( s ) ,   g α r r i ( s ) } i = 1 n ,   { g o i ( s ) ,   g α o o i ( s ) } i = 1 n ,   { g β l l i ( s ) + β r r i ( s ) + β o o i ( s ) } i = 1 n ) \begin{aligned} \left( \{g^{s^i}\}_{i=1}^d,\, \\ \{ g^{l_{i}(s)},\, g^{\alpha_l l_{i}(s)}\}_{i=1}^n,\, \\ \{ g^{r_{i}(s)},\, g^{\alpha_r r_{i}(s)}\}_{i=1}^n,\, \\ \{ g^{o_{i}(s)},\, g^{\alpha_o o_{i}(s)}\}_{i=1}^n,\,\\ \{g^{\beta_l l_i(s) + \beta_r r_i(s) + \beta_o o_i(s)}\}_{i=1}^n \right) \end{aligned} ({gsi}i=1d​,{gli​(s),gαl​li​(s)}i=1n​,{gri​(s),gαr​ri​(s)}i=1n​,{goi​(s),gαo​oi​(s)}i=1n​,{gβl​li​(s)+βr​ri​(s)+βo​oi​(s)}i=1n​)​

• verification key：
  $$\left(g^{t(s)},g^{{\alpha }_l},g^{{\alpha }_r},g^{{\alpha }_o},g^{{\beta }_l},g^{{\beta }_r},g^{{\beta }_o}\right)$$

然后在 Proving 和 Verification 步骤里，可以添加对应的 variable consistency polynomials check，

1. Proving：对于每个变量$v_i$，计算
   $$g^{z_i(s)}=(g^{{\beta }_l{l}_i(s)+{\beta }_r{r}_i(s)+{\beta }_o{o}_i(s)}{)}^{v_i}$$

   然后得到
   $$g^{Z(s)}=\prod _{i=1}^n{g}^{z_i(s)}$$

2. Verification：检查下式，
   $$e(g^L,g^{{\beta }_l})\cdot e(g^R,g^{{\beta }_r})\cdot e(g^O,g^{{\beta }_o})=e(g^Z,g)⟺{\beta }_{l}L+{\beta }_{r}R+{\beta }_{o}O=Z$$

Non-malleability of Variable Consistency Polynomials

因为$P$持有$g^{{\beta }_l},g^{{\beta }_r},g^{{\beta }_o}$，它拥有了任意修改$L(x),R(x),O(x)$的常数项的能力。我们应当禁止$P$修改的常数项。

我们在 Setup 阶段再添加一个秘密的随机偏移$\gamma$，在$V$检查变量的一致性时，改变为：
$$e(g^L,g^{{\beta }_l\gamma })\cdot e(g^R,g^{{\beta }_r\gamma })\cdot e(g^O,g^{{\beta }_o\gamma })=e(g^Z,g^{\gamma })⟺\gamma ({\beta }_{l}L+{\beta }_{r}R+{\beta }_{o}O)=\gamma Z$$

Pinocchio protocol

然而，上述的$3$个约束和检查，添加了$4$个新的承诺值和$4$个双线性映射检查，这是昂贵的。2013年的匹诺曹协议，使用了一种更高效的方案：Setup 阶段，随机采样$\beta ,\gamma ,{\rho }_l,{\rho }_r$，然后设置${\rho }_0={\rho }_l\cdot {\rho }_r$，再令
$$g_l=g^{{\rho }_l},g_r=g^{{\rho }_r},g_o=g^{{\rho }_o}$$
让$P$，$V$获得自己的 key，

• proving key：
  ( { g s i } i = 1 d ,   { g l l i ( s ) ,   g l α l l i ( s ) } i = 1 n ,   { g r r i ( s ) ,   g r α r r i ( s ) } i = 1 n ,   { g o o i ( s ) ,   g o α o o i ( s ) } i = 1 n ,   { g l β l i ( s ) ⋅ g r β r i ( s ) ⋅ g o β o i ( s ) } i = 1 n ) \begin{aligned} (&\{g^{s^i}\}_{i=1}^d,\, \\ &\{ g_l^{l_{i}(s)},\, g_l^{\alpha_l l_{i}(s)}\}_{i=1}^n,\, \\ &\{ g_r^{r_{i}(s)},\, g_r^{\alpha_r r_{i}(s)}\}_{i=1}^n,\, \\ &\{ g_o^{o_{i}(s)},\, g_o^{\alpha_o o_{i}(s)}\}_{i=1}^n,\,\\ &\{g_l^{\beta l_i(s)} \cdot g_r^{\beta r_i(s)} \cdot g_o^{\beta o_i(s)}\}_{i=1}^n) \end{aligned} (​{gsi}i=1d​,{glli​(s)​,glαl​li​(s)​}i=1n​,{grri​(s)​,grαr​ri​(s)​}i=1n​,{gooi​(s)​,goαo​oi​(s)​}i=1n​,{glβli​(s)​⋅grβri​(s)​⋅goβoi​(s)​}i=1n​)​

• verification key：
  $$\left(g_o^{t(s)},g^{{\alpha }_l},g^{{\alpha }_r},g^{{\alpha }_o},g^{\beta \gamma },g^{\gamma }\right)$$

证明和验证的过程为，

1. Proving：对于每个变量$v_i$，计算
   $$g^{z_i(s)}=(g_l^{\beta l_i(s)}\cdot g_r^{\beta r_i(s)}\cdot g_o^{\beta o_i(s)}{)}^{v_i}$$

   然后得到
   $$g^{Z(s)}=\prod _{i=1}^n{g}^{z_i(s)}$$

2. Verification：做如下的检查，

   variable polynomials restriction check：
   $$e(g_l^{L^{\prime }},g)=e(g_l^L,g^{{\alpha }_l}),e(g_r^{R^{\prime }},g)=e(g_r^R,g^{{\alpha }_r}),e(g_o^{O^{\prime }},g)=e(g_o^O,g^{{\alpha }_o})$$

   variable values consistency check：
   $$e(g_l^L\cdot g_r^R\cdot g_o^O,g^{\beta \gamma })=e(g^Z,g^{\gamma })$$

   valid operations check：
   $$e(g_l^L\cdot g_r^R)=e(g_o^{t(s)},g^h)\cdot e(g_o^O,g)⟺{\rho }_{l}L(s)\cdot {\rho }_{r}R(s)={\rho }_{o}t(s)h(s)+{\rho }_{o}O(s)$$

约束电路

将电路拍平后，转化为若干个乘法运算，但这忽略了变量的取值范围。我们对它们添加约束。

1. 变量$a$是布尔值，那么约束为：
   $$a\times (a-1)=0⟺a\times a=a$$

   其中的常数$0$，每个变量$v$对应的系数在 Setup 阶段都被强制设为$c=0$，而无论$P$怎么设置$v$都无济于事。

2. 变量$a$是常数$7$，那么约束为：
   $$(a-7\cdot v_{one})\times 1=0$$

   这里的$1=1\cdot v_{one}$和$0=0\cdot v$都被强制设置了，不受$P$的控制。

3. 变量$a$是一个$4$比特数，将它拆解为$4$个比特$b_0,b_1,b_2,b_3$，约束为：
   $$\begin{array}{rl}(2^3\cdot b_3+2^2\cdot b_2+2^1\cdot b_1+2^0\cdot b_0)\times 1& =a\\ b_0\times b_0& =b_0\\ b_1\times b_1& =b_1\\ b_2\times b_2& =b_2\\ b_3\times b_3& =b_3\end{array}$$

类似的，可以构造出其他更复杂的约束。

添加零知识性

仿照多项式知识的 zkSNARK，我们让$P$对 proof 添加随机偏移$\delta$，但如果$L,R,O$都使用相同的偏移，那么它破坏了协议的安全性。因此，应当使用不同的偏移${\delta }_l,{\delta }_r,{\delta }_o$，并做平衡：
$$({\delta }_l+L(s))\cdot ({\delta }_r+R(s))=t(s)\cdot (\Delta +h(s))+({\delta }_o+O(s))$$

可以推出：
$$\Delta =\frac{{\delta }_{l}L(s)\cdot {\delta }_{r}R(s)+{\delta }_l{\delta }_r-{\delta }_o}{t(s)}$$

为了高效的计算，将每个偏移都设置为$t(s)$的倍数，转化为：
$$\begin{array}{rl}({\delta }_{l}t(s)+L(s))\cdot ({\delta }_{r}t(s)+R(s))& =t(s)\cdot (\Delta +h(s))+({\delta }_{o}t(s)+O(s))\\ \Delta & ={\delta }_{r}L(s)\cdot {\delta }_{l}R(s)+{\delta }_l{\delta }_{r}t(s)-{\delta }_o\end{array}$$

令$g_l=g^{{\rho }_l},g_r=g^{{\rho }_r},g_o=g^{{\rho }_o}$，需要在 Proving key 中添加一些 CRS，
{ g l t ( s ) ,   g l α l t ( s ) ,   g l β t ( s ) } , { g r t ( s ) ,   g r α r t ( s ) ,   g r β t ( s ) } , { g o t ( s ) ,   g o α o t ( s ) ,   g o β t ( s ) } . \begin{aligned} \{ g_l^{t(s)},\, g_l^{\alpha_l t(s)},\, g_l^{\beta t(s)} \},\\ \{ g_r^{t(s)},\, g_r^{\alpha_r t(s)},\, g_r^{\beta t(s)} \},\\ \{ g_o^{t(s)},\, g_o^{\alpha_o t(s)},\, g_o^{\beta t(s)} \}.\\ \end{aligned} {glt(s)​,glαl​t(s)​,glβt(s)​},{grt(s)​,grαr​t(s)​,grβt(s)​},{got(s)​,goαo​t(s)​,goβt(s)​}.​

General-Purpose zk-SNARK Protocol

Setup

把程序写成$d$个乘法操作，
$$\sum _{i=1}^n{c}_{l,i,j}{v}_i\times \sum _{i=1}^n{c}_{r,i,j}{v}_i=\sum _{i=1}^n{c}_{o,i,j}{v}_i$$

其中出现的所有变量为 { v i } i = 0 n \{v_i\}_{i=0}^n {vi​}i=0n​，这里$v_0=v_{one}$是$1$对应的变量。而$c_l,c_r,c_o$可以写作$(n+1)\times d$的$\mathbb{F}$上矩阵（所谓的R1CS矩阵程序）。利用插值法，写出每个变量$v_i$的 variable polynomials，$3$个$d$次的多项式$l_i(x),r_i(x),o_i(x)$

对应的，
$$t(x)=\prod _{i=1}^d(x-i)$$

所有参与者协同生成 { s , ρ l , ( ρ r , ρ o = ρ l ρ r ) , ( α l , α r , α o ) , β , γ } \{s,\rho_l,(\rho_r,\rho_o=\rho_l \rho_r),(\alpha_l,\alpha_r,\alpha_o),\beta,\gamma\} {s,ρl​,(ρr​,ρo​=ρl​ρr​),(αl​,αr​,αo​),β,γ}对应的 composite CRS：令$g_l=g^{{\rho }_l},g_r=g^{{\rho }_r},g_o=g^{{\rho }_o}$

设置 Proving key，
( { g s i } i = 0 d ,   { g l l i ( s ) ,   g r r i ( s ) ,   g o o i ( s ) } i = 0 n ,   { g l α l l i ( s ) ,   g r α r r i ( s ) ,   g o α o o i ( s ) } i = m + 1 n ,   { g l β l i ( s ) ⋅ g r β r i ( s ) ⋅ g o β o i ( s ) } i = m + 1 n ,   { g l t ( s ) ,   g l α l t ( s ) ,   g l β t ( s ) } ,   { g r t ( s ) ,   g r α r t ( s ) ,   g r β t ( s ) } ,   { g o t ( s ) ,   g o α o t ( s ) ,   g o β t ( s ) } ) \begin{aligned} (&\{g^{s^i}\}_{i=0}^d,\, \{ g_l^{l_{i}(s)},\, g_r^{r_{i}(s)},\, g_o^{o_{i}(s)}\}_{i=0}^n,\, \\ &\{ g_l^{\alpha_l l_{i}(s)},\, g_r^{\alpha_r r_{i}(s)},\, g_o^{\alpha_o o_{i}(s)} \}_{i=m+1}^n,\, \{g_l^{\beta l_i(s)} \cdot g_r^{\beta r_i(s)} \cdot g_o^{\beta o_i(s)}\}_{i=m+1}^n,\, \\ &\{ g_l^{t(s)},\, g_l^{\alpha_l t(s)},\, g_l^{\beta t(s)} \},\, \{ g_r^{t(s)},\, g_r^{\alpha_r t(s)},\, g_r^{\beta t(s)} \},\, \{ g_o^{t(s)},\, g_o^{\alpha_o t(s)},\, g_o^{\beta t(s)} \}) \end{aligned} (​{gsi}i=0d​,{glli​(s)​,grri​(s)​,gooi​(s)​}i=0n​,{glαl​li​(s)​,grαr​ri​(s)​,goαo​oi​(s)​}i=m+1n​,{glβli​(s)​⋅grβri​(s)​⋅goβoi​(s)​}i=m+1n​,{glt(s)​,glαl​t(s)​,glβt(s)​},{grt(s)​,grαr​t(s)​,grβt(s)​},{got(s)​,goαo​t(s)​,goβt(s)​})​

设置 Verification key，
( g 1 ,   g α l ,   g α r ,   g α o ,   g β γ ,   g γ ,   g o t ( s ) ,   { g l l i ( s ) ,   g r r i ( s ) ,   g o o i ( s ) } i = 0 m ) \begin{aligned} (&g^1,\, g^{\alpha_l},\, g^{\alpha_r},\, g^{\alpha_o},\, g^{\beta \gamma},\, g^{\gamma},\, \\ &g_o^{t(s)},\, \{ g_l^{l_i(s)},\, g_r^{r_i(s)},\, g_o^{o_i(s)} \}_{i=0}^m) \end{aligned} (​g1,gαl​,gαr​,gαo​,gβγ,gγ,got(s)​,{glli​(s)​,grri​(s)​,gooi​(s)​}i=0m​)​

Proving

$P$根据公共输入输出 { v i } i = 1 m \{v_i\}_{i=1}^m {vi​}i=1m​的值，确定其他的变量 { v i } i = m + 1 n \{v_i\}_{i=m+1}^n {vi​}i=m+1n​的取值，计算左操作数的多项式$L(x)$，
$$L(x)=l_0(x)+\sum _{i=1}^n{v}_i\cdot l_i(x)$$

其中$l_0(x)$对应的是$v_{one}$变量。类似的，计算出$R(x),O(x)$

$P$随机采样${\delta }_l,{\delta }_r,{\delta }_o$，然后计算平衡后的$h(x)$，
$$h(x)=\frac{L(x)R(x)-O(x)}{t(x)}+({\delta }_{r}L(x)+{\delta }_{l}R(x)+{\delta }_l{\delta }_{r}t(x)-{\delta }_o)$$

根据 Proving key，计算它的承诺
$$g^{h(s)}=\prod _{i=0}^d(g^{s^i}{)}^{h_i}$$

计算变量 { v i } i = m + 1 n \{v_i\}_{i=m+1}^n {vi​}i=m+1n​的$L_P(x)$的零知识的承诺，
$$g_l^{L_P(s)}=(g_l^{t(s)}{)}^{{\delta }_l}\cdot \prod _{i=m+1}^n(g_l^{l_i(s)}{)}^{v_i}$$

以及它对应的偏移多项式的承诺
$$g_l^{L_P^{\prime }(s)}=(g_l^{{\alpha }_{l}t(s)}{)}^{{\delta }_l}\cdot \prod _{i=m+1}^n(g_l^{{\alpha }_l{l}_i(s)}{)}^{v_i}$$

类似的，计算$g^{R_P(s)},g^{O_P(s)}$和对应的$g^{R_P^{\prime }(s)},g^{O_P^{\prime }(s)}$

然后计算零知识的变量一致性多项式，
$$g^{Z(s)}=(g_l^{\beta t(s)}{)}^{{\delta }_l}\cdot (g_r^{\beta t(s)}{)}^{{\delta }_r}\cdot (g_o^{\beta t(s)}{)}^{{\delta }_o}\cdot \prod _{i=1}^n(g_l^{\beta l_i(s)}\cdot g_r^{\beta r_i(s)}\cdot g_o^{\beta o_i(s)}{)}^{v_i}$$

发送如下形式的 proof：
$$\pi =\left(g_l^{L_P(s)},g_r^{R_P(s)},g_o^{O_P(s)},g_l^{L_P^{\prime }(s)},g_r^{R_P^{\prime }(s)},g_o^{O_P^{\prime }(s)},g^{Z(s)},g^{h(s)}\right)$$

Verification

$V$收到了$\left(g_l^L,g_r^R,g_o^O,g_l^{L^{\prime }},g_r^{R^{\prime }},g_o^{O^{\prime }},g^Z,g^h\right)$，先计算公开的输入输出变量 { v i } i = 1 m \{v_i\}_{i=1}^m {vi​}i=1m​对应的$L_V(s)$的承诺：
$$g_l^{L_V(s)}=g_l^{l_0(s)}\cdot \prod _{i=1}^m(g_l^{l_i(s)}{)}^{v_i}$$

类似地，计算$g_r^{R_V(s)},g_o^{O_V(s)}$，然后做如下的检查：

variable polynomials restriction check：
$$\begin{array}{rl}e(g_l^{L_P^{\prime }},g)& =e(g_l^{L_P},g^{{\alpha }_l})⟺{\rho }_l{L}_P^{\prime }(s)={\alpha }_l{\rho }_l{L}_P(s)\\ e(g_r^{R_P^{\prime }},g)& =e(g_r^{R_P},g^{{\alpha }_r})⟺{\rho }_r{R}_P^{\prime }(s)={\alpha }_r{\rho }_r{R}_P(s)\\ e(g_o^{O_P^{\prime }},g)& =e(g_o^{O_P},g^{{\alpha }_o})⟺{\rho }_o{O}_P^{\prime }(s)={\alpha }_o{\rho }_o{O}_P(s)\end{array}$$

variable values consistency check：
$$e(g_l^{L_P}\cdot g_r^{R_P}\cdot g_o^{O_P},g^{\beta \gamma })=e(g^Z,g^{\gamma })⟺\beta \gamma ({\rho }_l{L}_P+{\rho }_r{R}_P+{\rho }_o{O}_P)=\gamma Z$$

valid operation check：
$$\begin{array}{rl}e(g_l^{L_P}\cdot g_l^{L_V},g_r^{R_P}\cdot g_r^{R_V})& =e(g_o^{t(s)},g^h)\cdot e(g_o^{O_P}\cdot g_o^{O_V},g)\\ ⟺{\rho }_l(L_P+L_V)\cdot {\rho }_r(R_P+R_V)& ={\rho }_{o}t(s)h(s)+{\rho }_o(O_P+O_P)\end{array}$$

总结

zkSNARK 的关注点是：给定一个程序，它的输入输出是否满足约束（ constraint）：Prover 利用私有的输入$x$计算了函数$f(x)$，得到私有的结果$y$。Prover 声明：$y=f(x)$，向 Verifier 证明之。

比如 Prover 做声明$y$，拥有证据$w$，满足$(w,y)\in \mathcal{R}$。给定公开的验证电路$C(y,w)$，Prover 向 Verifier 证明它的$w$满足约束 $C(y,w)=0$，且不泄露$w$的任何信息。

zkSNARK 的最重要特性就是“简洁、非交互”：无论电路$C$有多大，无论$y,w$有多长，Prover 公布的 proof 仅仅包含$8$个承诺值，并且任何的 Verifier 都可以随时随地的验证这个 proof 的正确性。

本文介绍的 zkSNARK 是基于 Linear Probabilistically Checkable Proof 的。第一个 zkSNARK 是基于 Merkle Tree 的 Kilien 协议，但 PCP 理论并不是为密码学应用专门设计的。基于布尔电路上 QSP（Quadratic Span Programs）效率高得多。QSP 问题是 NPC，任何 NP 都可有效地转化到 QSP 上。算术电路上 QAP（Quadratic Arithmetic Program）更具有普适性，本文的 $L,R,O$ 以及 $t$ 就是 QAP 程序。