观前提醒
这篇论文符号比较多,而且每个字母的含义经常换来换去的,某种意义上来说需要断章取义的看
Abstract
本文提出了一种用于检查大小为$n$的乘法子群$H\subset \mathbb F$上多项式$f\in F_{<n}[X]$的承诺,包含一个大小为$t\in \mathbb F^d$的表
本文的协议可以被视为Bootle等人$[BCG+18]$针对类似问题的协议的简化,当我们的协议在$d\leq n$时可能会提高效率
$[BCG+18]$的协议要求对若干个度为$d\log n$的辅助多项式进行承诺,而本文的方案只需要对三个度为$n$的多项式进行承诺
zk-SNARK设置中此原语的一个常见用例是“批量范围证明”,可以用于证明所有的群$H$上的$f$都在某个范围$[0,...,M]$内
本文针对这种特殊情况提出了一个稍微优化的协议,并将其作为一个开放问题进行了改进
1 Introduction
当想要使用zk-SNARK来证明涉及AES-128或SHA-256等标准原语的语句时,会遇到这样一个问题,即这些原语中涉及的操作是“SNARK不友好的”
因为这些算法中会涉及到大量的位运算,比如按位与,按位异或,循环移位等操作,zk-SNARK不方便处理此类位操作
因此学界提出了一种新的方法,称为lookup,也即查表的方法来完成
在lookup中,通过预先计算一些合法的(输入-输出)组合来建立查找表(可以简单地理解为一个键值对表),之后再通过引入随机性的方式,将查找的大小由向量降低至单个域元素,这一过程可以用多项式表达,反映到多项式中就是两个多项式相等
举个例子,假设查找表中的值为$\{t_i\}_{i\in [d]}$,witness中的值是$\{f_i\}_{i\in[d]}$,可以证明下列多项式具有相同的根(忽略乘数)
$$ F(X)=\prod_{i\in[n]}(X-f_i)\\G(X)=\prod_{i\in[d]}(X-t_i) $$
比如对于非负整数$\{e_i\}_{i\in [d]}$,有$F(X)=\prod_{i\in[d]}(X-t_i)^{e_i}$
Bootle等人$[BCG+18]$给出了一个解决算法,但是他们的方案需要对一个较长的向量承诺,Plookup提出了一个更简单的协议用以证明上述问题
下文中记$f\subset t$,以表示$\{f_i\}_{i\in [n]} \subset \{t_i\}_{i\in [d]}$($t$为$f$的子集)
先从一个简单的问题开始,记集合$f$排序的结果为集合$s$,然后考察一个$s$的子集$t$,并分别计算$s$和$t$中相邻元素的非零差分,若$f\sub t$,则$t$中元素在$f$中至少出现一次,因此集合$s$和$t$中的非零差分一定相等
但是反之,这个结论不成立,因此这是个必要条件,举个例子,假设有下面三个集合
$$ t=\{1,4,8\}\\ s=\{1,1,4,8,8,8\}\\ s'=\{1,5,5,5,8,8\} $$
简单计算一下,这三个集合的非零差分集均为$\{3,4\}$,但是$t$是$s$的子集,并不是$s'$的子集,也即子集关系可以推出差分集相等,但是差分集相等不能推出子集关系
因此我们需要引入一个方式来有效检查两个集合的子集关系,plookup的方式是引入随机性的思想来完成,选择域上的一个随机值$\beta \in \mathbb F$,然后比较两个集合$\{t_i+\beta \cdot t_{i+1}\}_{i\in [d-1]}$和$\{s_i+\beta \cdot s_{i+1}\}_{i\in [d-1]}$
考虑到集合中可能会出现相邻元素相等的情况,也即$s_i=s_{i+1}$,此时加入随机性后,得到了$s_i+\beta \cdot s_{i+1}=(1+\beta)\cdot s_i$,这意味着集合中重复的元素都是$1+\beta$的倍数,因此我们可以通过检查其是否能被$1+\beta$整除来验证,而不是直接在表中比较(具体而言,采用类似于$[GWC19]$的grand-product argument可以有效的完成检查)
不过这个方法有一个大前提,就是集合$t$中的值都至少在$f$中出现了一次,接下来介绍一种不需要这个前提的方法
2 Perliminaries
在介绍之前,先介绍一些符号与前置知识
- 记$\mathbb F_{<d}[X]$表示域上度小于$d$的一元多项式
此外还需要一个$[GWC19]$中的多项式协议,该协议中Prover需要向一个理想参与方$I$证明一个度小于$d$的多项式,协议结束后,Verifier可以查询协议期间发送的多项式、输入多项式和预定义集合$H$上的预处理多项式,并检查这些多项式是否存在某些特定的关系
协议具体如下
给定正整数$d,D<t,l$,给定集合$H\sub \mathbb F$,一个$H$范围的$(d,D,t,l)$多项式协议为一个Prvoer、Verifier与可信第三方$I$的多轮协议,如下
- 协议包含一个预处理的多项式集合$g_1,...,g_l\in \mathbb F_{<d}[X]$
- Prover向$I$发送一个多项式$f\in \mathbb F_{<d}[X]$,若Prover发送的多项式不在该范围内,则协议终止
- Verifier向Prover返回一个随机数(公共掷币生成)
- 协议结束后,假设$f_1,...,f_t$为Prover发送给$I$的多项式,Verifier可能会请检查$\{f_1,...,f_t,g_1,...,g_l\}$中的某些多项式在$H$上恒等,也即
$$ F(X)=G(X,h_1(v_1(X)),...,h_M(v_M(X)))\equiv 0 $$
其中$h_i\in \{f_1,...,f_t,g_1,...,g_l\},G\in \mathbb F[X,X_1,...,X_M],v_1,...,v_M\in \mathbb F_{<d}[X]$,满足对于Prover选择的多项式$f_1,...,f_t$,有$F\in \mathbb F_{<D}[X]$
- Verifier收到$I$的关于多项式的身份后,若所有身份都成立,则Verifier输出接受,否则拒绝
$[GWC19]$的第4节显示了如何使用$[KZG10]$的多项式承诺方案将这样的协议编译为代数群模型中的协议
3 The main scheme
记正整数$n,d$,分别表示向量$f\in \mathbb F^n,t\in \mathbb F^d$的长度,令$H=\{g,...,g^{n+1}=1\}$为$\mathbb F$上阶为$n+1$的乘法子群
对于多项式$f\in \mathbb F[X],i\in [n+1]$,记$f_i=f(gi)$,对于向量$f\in \mathbb F^n$,将其用$\mathbb F_{<d}[X]$中的多项式表示,也即$f(g^i)=f_i$
若$f\sub t$,且$f$中的元素的顺序与$t$中一致,则称$f$以$t$排序,具体而言,对于任意的$i<i'\in [n]$,且$f_i\neq f_{i'}$,若有$j,j'\in [d]$,满足$t_j=f_i,t_{j'}=f_{i'}$,则有$j<j'$
接下来定义两个二元多项式$F,G$如下
$$ F(\beta,\gamma)=(1+\beta)^n\cdot \prod_{i\in [n]}(\gamma+f_i)\cdot \prod_{i\in [d-1]}(\gamma\cdot (1+\beta)+t_i+\beta t_{i+1}) \\ G(\beta,\gamma)=\prod_{i\in [n+d-1]}(\gamma(1+\beta)+s_i+\beta s_i) $$
接下来有个Claim,$F\equiv G$,当且仅当下列两个条件成立
- $f\sub t$
- $s=(f,t)$,且$s$以$t$排序
这里$s=(f,t)\in \mathbb F^{n+d}$表示$s=f+t$,是两个集合相加,而不是取并集
下面证明一下这个Claim
首先将$F,G$中的随机性系数$(1+\beta)$提到前面来,得到下面这样
$$ F(\beta,\gamma)=(1+\beta)^{n+d-1}\cdot \prod_{i\in [n]} (\gamma+f_i)\cdot \prod_{i\in [d-1]}\gamma+\frac{(t_i+\beta t_{i+1})}{(1+\beta)}\\ G(\beta,\gamma)(1+\beta)^{n+d-1}\cdot \prod_{i\in [n+d-1]}\gamma+\frac{(s_i+\beta s_{i+1})}{(1+\beta)} $$
对于必要性,若有上述两个条件成立,则对于所有的$j\in [d-1]$,均存在一个唯一的$i\in [n+d-1]$,满足$(t_j,t_{j+1})=(s_i,s_{i+1})$,在$F,G$中就表现为下面这个式子恒成立
$$ \gamma+\frac{(t_i+\beta t_{i+1})}{(1+\beta)}\equiv \gamma+\frac{(s_i+\beta s_{i+1})}{(1+\beta)} \tag 1 $$
接下来这样,我们把集合$[n+d-1]$划分成两个集合,$P$和$P'$,令$P'\sub [n+d-1]$,$P'$包含了上述的$d-1$个下标$i$,然后再令$P=[n+d-1]/P'$,这样一来我们就得到了一个一对一映射,也即$P\rarr [n]$,且对于任意$i\in P$,均有$s_i=f_{j(i)}$,对于任意$i\in P$,多项式$G$中的各个项为
$$ \gamma+\frac{(s_i+\beta s_{i+1})}{(1+\beta)}=\gamma +s_i=\gamma+f_{j(i)} \tag 2 $$
也即$G$中的这些项与$F$中的$\gamma +f_{j(i)}$相等,也即有$F\equiv G$
对于充分性,若两个多项式恒等,$F\equiv G$,则对于任意的$\beta,\gamma$,对这两个二元多项式赋值,得到的域元素也相等
由于$\mathbb F(\beta)[\gamma]$是唯一的因子分解域(unique factorization domain),两个多项式恒等意味着上述式(1)中的各个线性因子必然相等,因此对于任意的$i\in [d-1]$,$G$必然存在一个因子与$(\gamma+(t_i+\beta t_{i+1})/(1+\beta))$相等,也即必然存在某个$j\in [n+d-1]$,有
$$ \gamma+\frac{(t_i+\beta t_{i+1})}{(1+\beta)}\equiv \gamma+\frac{(s_i+\beta s_{i+1})}{(1+\beta)} $$
因此必然有$t_i+\beta t_{i+1}\equiv s_i+\beta s_{i+1}$,也即$t_i=s_i,t_{i+1}=s_{i+1}$
同样的,令$P'\sub [n+d-1]$表示这$d-1$个下标构成的集合,对于任意的$j\in [n+d-1]/P'$,$F$中必然有一个来自$f$因子与$G$中的因子相同,也即对于这些$j$,均有$i\in [n]$,满足
$$ \gamma+f_i=\gamma+\frac{(s_i+\beta s_{i+1})}{(1+\beta)} $$
也即有$f_i+\beta f_i=s_j+\beta s_{j+1}$,也即$f_i=s_j=s_{j+1}$
综上,当$s$中的连续值不同时,其正好等于$t$中的两个连续值,且所有的$f$中的值都是$t$中的值,证毕
这个Claim有一个点需要注意,不失一般性,假设$d=n+1$(若$d\leq n$,则重复$t$中的最后一个元素,直至满足体条件)
这个过程用公式描述可能不太好理解,画一个图就好理解了(图例参考$[2]$)
这里把公式和例子放在一起
注意$f,t$的非零差分集均为$\{3,4\}$
$F\equiv G$,考虑之前与式(1)相关的划分$P'$的情况,有橙色框框的那两个等式成立,然后考虑与式(2)相关的划分$P$的情况,有蓝色那个框框的三个等式成立,因此有前面提到的两个条件成立,反之亦然
若我们改一下数据,把$f_3$由4改成5,则$f$的非零差分仍然为$\{3,4\}$,但是看一下此时情况如何
此时考虑式(1),$t_1+\beta t_2$可以找到与之对应的$s_3+\beta s_4$,但是对于$t_2+\beta t_3=4+8\beta$,找不到与之对应的$s_i+\beta s_{i+1}$,因为$s_4+\beta s_5=4+5\beta$,$s_5+\beta s_6=5+8\beta$,都与之不相等,因此$t$不是$f$的子集
综上,当且仅当两个条件成立时,有$F\equiv G$,反之亦然
接下来基于这个Claim,看一下协议
协议预处理阶段,有一个预处理的多项式$t\in \mathbb F_{<n+1}[X]$描述查找表,协议输入为多项式$f\in \mathbb F_{<n}[X]$,接下来具体的协议如下
- 令向量$s\in \mathbb F^{2n+1}$表示$(f,t)$,以$t$排序,将$s$表示为两个度小于$n+1$的多项式$h_1,h_2\in \mathbb F_{<n+1}[X]$,其中对于$i\in [n+1]$,有$h_1(g^i)=s_i,h_2(g^i)=s_{n+i}$
- Prover计算$h_1,h_2$并发送给$I$
- Verifier选择两个随机值$\beta,\gamma \in \mathbb F$发送给Prover
Prover计算一个多项式$Z\in \mathbb F_{<n+1}[X]$,用以聚合$F(\beta,\gamma)/G(\beta,\gamma)$的值,计算过程具体如下
- 令$Z(g)=1$
- 对于$2\leq i\leq n$,计算
$$ Z(g^i)=\frac{(1+\beta )^{i-1}\prod_{j<i}(\gamma +f_i)\cdot \prod_{1\leq j< i}(\gamma(1+\beta)+t_j+\beta t_{j+1})}{\prod_{1\leq j< i}(\gamma(1+\beta)+s_j+\beta s_{j+1})(\gamma(1+\beta)+s_{n+j}+\beta s_{n+j+1})} $$
- 令$Z(g^{n+1})=1$
- Prover将$Z$发送给$I$
- Verifier检查$Z$确实具有正确的形式,且$Z(g^{n+1})=1$,具体而言,Verifier检查下列四项
$$ \begin{aligned} &L_1(x)(Z(x)-1)=0\\ &(x-g^{n+1})Z(x)(1+\beta)\cdot (\gamma+f(x))(\gamma(1+\beta)+t(x)+\beta t(g\cdot x))=(x-g^{n+1})Z(g\cdot x)(\gamma(1+\beta)+h_1(x)+\beta h_1(g\cdot x))(\gamma(1+\beta)+h_2(x)+\beta h_2(g\cdot x))\\ &L_{n+1}(x)(h_1(x)-h_2(g\cdot x))=0\\ &L_{n+1}(x)(Z(x)-1)=0 \end{aligned} $$
验证通过则Verifier输出接受
这里步骤4的方式和Plonk类似,都是通过递归的方式定义多项式$Z$,然后令$Z(g^{n+1})=1$,相当于构成了一个循环,这里的原理和验证流程Plonk的类似,不再展开
4 Generalizing to vector lookups and multiple tables
向量查找的一种自然方式是查找键值对表,比如一个有$w-1$个输入的函数,我们可以令查找向量$(x_1,...,x_{w-1},f(x_1,...,x_{w-1}))$来验证
假设有多个证据多项式$f_1,...,f_w\in \mathbb F_{<n}[X]$,以及一个查找表$t^*\in (\mathbb F^w)^d$(一个$w$行$d$列的查找表)
我们希望检查对于所有的$j\in [n]$,都有$(f_1(g^j),...,f_w(g^j))\in t^*$,可以利用随机化的方式来优化上一节中介绍的情况,优化后可以让我们再一个等式中同时验证这$w$个多项式,接下来看看怎么做
对于任意的$i\in [w]$,令预处理多项式中包括$t_i\in \mathbb F_{<d}[X]$,其中对于任意$j\in [d]$,有$t_i(g^j)=t^*_{i,j}$
然后Verifier选择一个随机值$\alpha \in \mathbb F$,从而根据该随机值,可以定义下列两个多项式
$$ t=\sum_{i\in [w]}\alpha^i t_i\\ f=\sum_{i\in [w]}\alpha^i f_i $$
假设存在$j\in [n]$,有$(f_1(g^j),...,f_w(g^j))\notin t^*$,则$f(g^j)\notin t$概率至少为$d\cdot w/|\mathbb F|$
4.1 Multiple tables
假设我们有多个表$t^*_1,...,t^*_l$,对于任意的$i\in [n]$,我们希望检查一些预定义的值$j=j(i)\in [l]$,是否有$(f_1(g^i),...,f_w(g^i))\in t^*_j$
为了进一步优化上述提到的方案,可以构建一个以$t^*_1,...,t^*_l$为子表的预处理的表,并添加指定表索引的列
假设对于$j\in [l]$,有$t^*_j\in (\mathbb F^w)^{d/l}$,我们可以构建$t^*\in (\mathbb F^{w+1})^d$,其中包含元素$(j,(t^*_j)_i),j\in [l].i\in [d/l]$
构建一个预处理多项式$q\in \mathbb F_{<n}[X]$,满足$q_i=j(i)$,因为$j(i)$为我们期望的第$i$个值所在的子表
然后我们利用上述协议来检查所有的$i\in [n]$,有$(f_1(g^j),...,f_w(g^j))\in t^*$
还是画个图来讲比较直观
假设取$\alpha=2$,我们可以分别计算多项式$f$和$t$,如下
$$ \begin{aligned} f(1)&=\sum_i \alpha^i \cdot f_i(1)\\ &=2\cdot 1+4\cdot 2+8\cdot 1+16\cdot 1\\ &=34\\ f(2)&=\sum_i \alpha^i \cdot f_i(2)\\ &=2\cdot 4+4\cdot 4+8\cdot 3+16\cdot 6\\ &=144\\ f(3)&=\sum_i \alpha^i \cdot f_i(3)\\ &=2\cdot 8+4\cdot 5+8\cdot 8+16\cdot 8\\ &=244\\ \end{aligned} $$
$t$的计算同理
这样一来,我们用随机值$\alpha$将四个多项式$f_1\sim f_4$压缩至了一个多项式$f$,同时也将查找表$t^*$由原来的四行压缩至了一行,相当于此时可以用一个等式批量验证四个多项式
接下来扩展到多个表的情况,也即多个多项式映射到多个表的情况
定义一个索引多项式$q$,用以表示当前列在哪一个表中可以查到,具体就是下面这个图
其中$q(1)=1$表示当前列的(所有的$f_i(1)$)在Table 1中,而$q(3)=2$表示当前列(所有的$f_i(3)$)在Table 2中
最后还需要在多项式$f$和$t$中加上索引$q$,就得到了上面这个结果,同样的也只需要验证一个等式即可
5 An optimized solution for continuous ranges
对于$d<n$,假设我们希望检查$f\sub \{0,...,d-1\}$,我们可以利用上述协议,对于$i\in [d]$,令$t_i=i-1$
不过本节给出一个具有相同复杂度的替代协议,该协议可以检查$f\sub \{0,...,2n-2\}$
事实上该协议可以推广至$\{0,...,c(n-1)\}$,代价仅为增加Verifier的约束程度,具体思路可以看原文
References
$[1]$ Ariel Gabizon, Zachary J. Williamson:plookup: A simplified polynomial protocol for lookup tables. IACR Cryptol. ePrint Arch. 2020: 315 (2020)