Halo: Recursive Proof Composition without a Trusted Setup 学习笔记

1. 引言

Bowe等人2019年论文《Halo: Recursive Proof Composition without a Trusted Setup》。

代码实现参见：

• https://github.com/zcash/halo2
• https://github.com/mir-protocol/plonky
• https://github.com/ebfull/halo

---

要点：
1）基于inner product argument (其中$b=(1,x,x^2,\cdots ,x^{d-1})$) 来构建polynomial commitment scheme，其在最后一轮的proof size比Hyrax的实现少一个$\mathbb{G}$ group element。基于Bulletproofs的二分思路实现了without trusted setup。
2）指出Hyrax的方案中的“U”存在Prover作弊问题，应该类似Bulletproofs中那样基于verifier challenge来构建新的“U”值。
3）采用了一些摊销策略，减少了Verifier的计算压力。
如Verifier需计算的$b^{\prime }=<s,b>$可看成是对多项式$g(X,u_1,u_2,\cdots ,u_k)={\prod }_{i=1}^k(u_i^{-1}+u_i{X}^{2^{i-1}})$在$x$ point的evaluation值，也可由Prover来计算并提供相应证明。
如将Verifier需计算的$G^{\prime }=<s,G>$的计算看成是对多项式$g(X,u_1,u_2,\cdots ,u_k)={\prod }_{i=1}^k(u_i^{-1}+u_i{X}^{2^{i-1}})$的commitment，改由Prover来完成，使得Verifier只需验证该polynomial commitment是否正确即可。
4）借鉴了Sonic的helper模式，实现了双变量polynomial commitment的延迟验证，从而可将a stream of arguments的验证工作延迟到最后一个argument，将verification工作量降为几乎为logarithmic。
5）借鉴Sonic思路，将arithmetic circuit转换为证明Laurent polynomial $P(X)$的$X^0$ constant term的系数为0。
6）构建了Tweedledum和Tweedledee的非pairing-friendly的2-cycle curve，具有endomorphism属性，可用于优化verifier challenge值，提升计算效率。

---

Non-interactive arguments of knowledge可用于demonstrate the faithful execution of arbitrary computations with publicly verifiable proofs。
借助recursive proof composition，可对large computational effort进行incrementally verify。
之前实现的recursive proof composition 都需要trusted setup和cycles of expensive pairing-friendly elliptic curves。
本文实现的Halo算法：

• 是第一个实用的recursive proof composition without a trusted setup；
• 基于discrete log assumption over normal cycles of elliptic curves。

zk-SNARKs全称为：zero-knowledge succinct non-interactive arguments of knowledge。
当前效率最高的zk-SNARKs都需要pairing-friendly elliptic curves和trusted setup，但是具有small, constant-size proofs with constant-time verification。如Groth 2016年论文《On the size of pairing-based non-interactive arguments》。

• Gennaro 等人2010年论文《Non-interactive verifiable computing: Outsourcing computation to untrusted workers》中提出，将zk-SNARKs用于verifiable computation，将computation委托给不可信第三方，第三方在返回结果的同时提供cryptographic proof来证明结果是正确的。理论上，要求该proof要更小，且相比于直接计算更易于验证，即要求zk-SNARKs具有succinctness属性。
• Valiant 2008年论文《Incrementally verifiable computation or proofs of knowledge imply time/space efficiency》中引入了incrementally verifiable computation的概念，其proof不仅证明the correct execution of a computation，还保证the validity of a previous proof。这样，a large and virtually unbounded amount of computation can be verified with a single proof, and with this proof alone we may extend the computation with further proofs。

受incrementally verifiable computation启发，可将区块链看成是需要所有参与方下载区块链上的所有历史记录，仅仅是为了validate each individual state transition (transaction) merely in order to validate and process new state changes。SNARKs allow us to partially address this scalability problem by outsourcing some of these verification steps to a third party，但是参与方仍然需要下载并验证每一个proof。Incrementally verifiable computation可解决该问题，使用a single proof来证明the correctness of many previous proofs，参与方仅需要下载当前状态和证明该状态是正确的proof，further proofs of state changes can be constructed with the latest proof alone, allowing active participants to prune old state changes。

本文借助recursive proof composition来实现incremental verifiable computation。这些proofs可用于保证the satisfaction of compliance predicates between old and new states，从而可引出proof-carrying data 概念（参见 2010年Chiesa等人论文《Proof-Carrying Data and hearsay arguments from signature cards》）。proof-carrying data概念可用于实现verifiable distributed computations（参见Bitansky等人2013年论文《Recursive composition and bootstrapping for SNARKs and Proof-Carrying Data》）。

• Ben-Sasson等人2014年论文《Scalable Zero Knowledge via cycles of elliptic curve》中，第一次实现了实用的recursive proof composition，其依赖于SNARKs built over pairing-friendly elliptic curves。
  Elliptic curve groups通常instantiated over a base field ${\mathbb{F}}_p$，但是这些groups具有的prime order $q$通常不等于$p$，因此用于demonstrate satisfiability of an arithmetic circuit over the scalar field ${\mathbb{F}}_q$ 所构建的SNARK 无法efficiently encode the ${\mathbb{F}}_p$ arithmetic needed to verify its own proofs。
  在该论文中，Ben-Sasson等人通过构建2-cycle of pairing-friendly elliptic curves such that the base field of either curve is the scalar field of the other 来规避该问题。但是，Chiesa等人2018年论文《On cycles of pairing-friendly elliptic curves》中指出，目前仅有一个pairing-friendly curves family满足该要求，而该curves family的embedding degree很低，需要基于large (780-bit) field才能构建足够安全的curve，field太大会影响pairing计算性能。而且更重要的是，现有的所有pairing-based SNARKs，均需要trusted setup。

1.1 主要贡献

• 理论上，可用任意的zk-SNARK来实现recursive proof composition。Ben-Sasson等人在2018年论文《Scalable, transparent, and post-quantum secure computational integrity》中提出的STARKs算法，不需要trusted setup。目前暂无对recursive proof composition的实用实现，如STARKs对相对简单computation的proof size都在几百kB。
  本文提出的Halo算法，是第一个实用的recursive proof composition without a trusted setup。与Ben-Sasson等人2014年论文《Scalable Zero Knowledge via cycles of elliptic curve》中的思路类似，本文使用了cycle of elliptic curves，使得proofs constructed with one curve can efficiently verify proofs constructed over the other。但是，对任一曲线均不要求为pairing-friendly，包含了normal 255-bit prime-order curves的cycle，其具有的security level 接近128-bit。且Halo中的proof size和verification time并不会随着recursion depth的增加而增加。

• 提出了基于inner product argument具有amortized succinctness的polynomial commitment scheme。
  （参见博客 Hyrax: Doubly-efficient zkSNARKs without trusted setup学习笔记）
  受Wahby等人2018年论文《Doubly-efficient zkSNARKs without trusted setup》中的dot-product proof protocol启发，发现利用the smooth structure of vectors that the verifier must work with, we can amortize away (across many proofs) the linear-time verification operation for commitment openings with the assistance of an untrusted third party “helper”。特别地，与perform a linear-time operation for each commitment opening proof不同，“helper”会提供the claimed output of these linear-time operations for each proof，然后用 a new argument来demonstrate that every claimed output was correct。该new argument仍然需要Verifier做linear-time操作，但是此时，仅需要对整个proofs batch做一次linear-time operation即可。这种策略使得我们可以build proofs for arithmetic circuit satisfiability，其边界verification time为logarithmic in the size of the circuit——相比于Bulletproofs的linear verification time有了改进。“help”的作用类似于Maller等人2019年《Sonic: Zero-Knowledge SNARKs from linear-size universal and updatable Structured Reference Strings》中第8节的helped variant的作用，但是，本文的“helper”无需trusted setup。

• Nested Amortization嵌套摊销
  之前实现recursive proof composition的思路均为：
  – 首先build a fully succinct, non-interactive argument system；
  – 然后构建 a verification circuit for this system。
  由于succinctness属性的要求，at some threshold the verification circuit will be smaller than the size of the circuit being checked, allowing arbitrary-depth recursion to be achieved。
  基于elliptic curve groups构建的argument systems具有smallest communication complexity known in the literature，但是这些argument systems 要么需要trusted setup (如所有的pairing-based SNARKs)，要么需要linear-time verifiers且not fully succinct (如Bulletproofs)。
  本文主要贡献是通过采用amortization strategy来reduce verification circuit size。本文 verification circuit 从来不自己做linear-time operations，而仅take the input and (claimed) output of the linear-time operation to be public inputs to the circuit，i.e. they are encoded in the statement being proven。The circuit proceeds on the assumption that the claimed output is correct and so the circuit is sublinear in size. This effectively defers the full verification of the “inner” proof to the verifier, who must also perform a similar linear-time operation to check the “outer” proof. 借助“helper”，Verifier可将这2种计算压缩为一种。

• 2-cycle of elliptic curves：
  本文所使用的2-cycle elliptic curves分别称为Tweedledum和Tweedledee，具有attractive performance和security。其cyclic nature可高效express 类似 Ben-Sasson等人2014年论文《Scalable Zero Knowledge via cycles of elliptic curve》中的 verification circuits。本文所选择的这两种曲线支持特定的endomorphisms，可用于reduce the size of the verification circuit。

1.2 同期研究成果

• Chiesa等人2019年论文《Fractal: Post-quantum and transparent recursive proofs from holography》中基于高效的low-degree testing技术，构建了recursive zero-knowledge protocol，具有plausible post-quantum security和full succinctness。
  本文的Verifier’s work is linear in the circuit size，不具有fully succinct，但是128-bit security level 情况下，本文的fully-recursive proofs size为3.5KB，而Fractal的size 超过120KB。
  另外，Halo的recursion threshold为小于$2^{17}$个multiplication gates，比Fractal的小一个数量级，Halo has the potential for substantially reducing proving time/memory requirements。

• Bu¨nz等人2019年论文《Supersonic: Transparent SNARKs from DARK compilers》中基于unknown order groups 构建了zk-SNARK，无需trusted setup。不清楚与本文的竞争对比。

2. 基于的安全假设

• Discrete Log Relation Assumption：
  即已知$G\in {\mathbb{G}}^n$，查找$a$，其中至少有一个$a_i\ne 0$，使得$<a,G>=\mathcal{O}$。
  

3. Polynomial commitments

Kate等人2010年论文《Constant-size commitments to polynomials and their applications》中首次提出了Polynomial commitment scheme。
目前polynomial commitment被广泛用于现代知识证明算法中，如：

• Maller等人2019年论文《Sonic: Zero-Knowledge SNARKs from linear-size universal and updatable Structured Reference Strings》；
• Chiesa等人2020年论文《Marlin: Preprocessing zkSNARKs with universal and updatable SRS》；
• Gabizon等人2019年论文《PLONK: Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge》；
• Bu¨nz等人2019年论文《Supersonic: Transparent SNARKs from DARK compilers》

本文基于Wahby等人2018年论文《Hyrax: Doubly-efficient zkSNARKs without trusted setup》中的多变量polynomial commitment（其本质为基于Bulletproofs进行调整的inner product argument）提出了单变量polynomial commitment scheme，包含的算法有$(Setup,Commit,Open,VerifyOpen)$。

假设polynomial $p(X)$ 的degree bound为$d-1$，则：

• $Setup(1^{\lambda },d)$：输出为common reference string $\sigma =(\mathbb{G},{\mathbb{F}}_p,G,H)$ for group $\mathbb{G}$ of prime order $p$， with random $G\in {\mathbb{G}}^d$ and $H\in \mathbb{G}$。
• $Commit(\sigma ,p(X);r)=<a,G>+[r]H$，其中$r$为blinding factor，$a_i\in \mathbb{F}$为多项式$p(X)$的 $i$th degree term 系数，$p(X)\in {\mathbb{F}}_p[X]$为maximal degree $d-1$。可将其看成是对多项式系数的Pedersen vector commitment，具有很好的hiding和加法同态属性——对于$\forall a,b,r,s\in {\mathbb{F}}_p,p(X),q(X)\in {\mathbb{F}}_p[X]$，有：
  $[a]Commit(\sigma ,p(X);r)+[b]Commit(\sigma ,q(X);s)=Commit(\sigma ,a\cdot p(X)+b\cdot q(X);ar+bs)$
• $Open(p(X),x)$：输出为$v\in {\mathbb{F}}_p$。
• $VerifyOpen(P,x,v)$：判断the polynomial contained “inside” the commitment $P$ evaluates to $v$ at $x$。输出为1表示接受，0表示拒绝。

然后可将$(Setup,Open,VerifyOpen)$看成是a PSHVZK (perfect special honest-verifier zero knowledge) argument of knowledge for the relation：
$\{((P,x,v):(a,r)):P=<a,G>+[r]H\wedge v=<a,(1,x,x^2,\cdots ,x^{d-1})>\}$
以上relation 可用于证明 the polynomial contained “inside” the commitment $P$ evaluates to $v$ at $x$，甚至 the committed polynomial has maximum degree $d-1$。

基本信息展开为：

• public info：$P\in \mathbb{G},x,v\in {\mathbb{F}}_p$
• private info：$a\in {\mathbb{F}}_p^n,r\in {\mathbb{F}}_p$
• relation：$P=<a,G>+[r]H\wedge v=<a,(1,x,x^2,\cdots ,x^{d-1})>$

详细的思路为：

• Verifier：生成随机group element $U\in \mathbb{G}$，将$U\in \mathbb{G}$发送给Prover。
• Prover和Verifier：都计算$P^{\prime }=P+[v]U$。
• Prover：转为证明Prover知道$a\in {\mathbb{F}}_p^d,r,v^{\prime }\in {\mathbb{F}}_p$，使得$P^{\prime }=<a,G>+[r]H+[v^{\prime }]U$成立，其中$v^{\prime }=<a,(1,x,x^2,\cdots ,x^{d-1})>$。若Prover无法提前知道$U$，则$v=v^{\prime }$成立。【注意，本文的“U”由Verifier在收到commitment $P$之后才提供，Bulletproofs中的也类似，而Hyrax中的dot-product proof protocol中没有做相应约定，存在prover在$P$中包含$U$信息，进而伪造证明的情况——a prover with malicious control of $P$ would then be able to interfere with the argument by including terms involving $U$ in $P$。】（参见博客 Hyrax: Doubly-efficient zkSNARKs without trusted setup学习笔记 第4.2节“dot-product proof with Bulletproofs”）

Bulletproofs中实现的基本信息为：（此处的$U$由Verifier先知道$P=<a,G>+<b,H>$后，发送challenge $x\in \mathbb{F}$，然后Prover和Verifier重新计算的$U=xU\in \mathbb{G}$。）【非zero-knowledge的inner product argument】

• public info：commitment $P^{\prime }$，generators $G,H\in {\mathbb{G}}^d,U\in \mathbb{G}$。
• private info：$a,b\in {\mathbb{F}}^d$。
• relation：$P^{\prime }=<a,G>+<b,H>+[<a,b>]U$

本文针对的情况是，其中$b=(1,x,x^2,\cdots ,x^{n-1})$ 为public info，对Prover和Verifier均已知，所以，此时不再需要$H\in {\mathbb{G}}^d$。根据需要，可额外再引入generator $H\in \mathbb{G}$来实现blinding both prover messages and the commitment $P^{\prime }$。最终基本信息为：

• public info：commitment $P^{\prime }$，generators $G\in {\mathbb{G}}^d,H,U\in \mathbb{G}$ 和$b\in {\mathbb{F}}^d$。
• private info：$a\in {\mathbb{F}}^d$和blinding $r\in \mathbb{F}$。
• relation：$P^{\prime }=<a,G>+rH+[<a,b>]U$。

假设$d=2^k,k>0$，Prover初始化$G^{\prime }=G,a^{\prime }=a,b^{\prime }=b,P=P^{\prime }$，然后进行$k$轮交互，其中 in the $j$th round (starting with $j=k$ and finishing with $j=1$)：
1）若$d=1$，则：【目前有2种实现思路。】
1.1）Hyrax中的思路为：【此时有$P=a^{\prime }{G}^{\prime }+rH+a^{\prime }{b}^{\prime }U$，其中$a^{\prime },r\in \mathbb{F}$为private info，$b^{\prime }\in \mathbb{F},G^{\prime },H,U,P\in \mathbb{G}$均为public info。】

• Prover：引入Prover私有blinding随机数$d,r_{\delta },r_{\beta }\leftarrow \mathbb{F}$，计算$\delta =d{G}^{\prime }+r_{\delta }H,\beta =dU+r_{\delta }H$，将$\delta ,\beta \in \mathbb{G}$发送给Verifier。
• Verifier：发送challenge $c\leftarrow \mathbb{F}$ 给Prover。
• Prover：计算$z_1=d+c\cdot a^{\prime }{b}^{\prime },z_2=b^{\prime }(c\cdot r+r_{\beta })+r_{\delta }$，将$z_1,z_2\in \mathbb{F}$发送给Verifier。
• Verifier：验证$b^{\prime }(cP+\beta )+\delta =z_1(G^{\prime }+b^{\prime }U)+z_{2}H$是否成立即可。

1.2）本文的思路为（相比于Hyrax方案，proof size少了一个group element $\mathbb{G}$）：【此时有$P=[a^{\prime }]G^{\prime }+[r]H+[a^{\prime }{b}^{\prime }]U=[a^{\prime }](G+[b^{\prime }]U)+[r]H$，其中$a^{\prime },r\in \mathbb{F}$为private info，$b^{\prime }\in \mathbb{F},G^{\prime },H,U,P\in \mathbb{G}$均为public info。】（其中$(G+[b^{\prime }]U)$为public info，可直接用 博客 基于Sigma protocol实现的零知识证明protocol集锦 第2.4节 “2.4 Protocol 4. Knowledge of the opening of Pedersen commitment”来计算。）

• Prover：引入Prover私有blinding随机数$d,r_{\delta }\leftarrow \mathbb{F}$，计算$\delta =d(G^{\prime }+b^{\prime }U)+r_{\delta }H$，将$\delta \in \mathbb{G}$发送给Verifier。
• Verifier：发送challenge $c\leftarrow \mathbb{F}$ 给Prover。
• Prover：计算$z_1=d+a^{\prime }c,z_2=r_{\delta }+rc$，将$z_1,z_2\in \mathbb{F}$发送给Verifier。
• Verifier：验证$cP+\delta =z_1(G^{\prime }+b^{\prime }U)+z_{2}H$是否成立即可。

2）若$d>1$，则$j={\log }_{2}d,d^{\prime }=\frac{d}{2}$，有：

• Prover：计算：
  $d^{\prime }=d/2$。
  引入Prover私有blinding随机数$l_j,r_j\leftarrow \mathbb{F}$，计算$L_j=<a_{lo}^{\prime },G_{hi}^{\prime }>+[l_j]H+[<a_{lo}^{\prime },b_{hi}^{\prime }>]U$，$R_j=<a_{hi}^{\prime },G_{lo}^{\prime }>+[r_j]H+[<a_{hi}^{\prime },b_{lo}^{\prime }>]U$。
  将$L_j,R_j\in \mathbb{G}$发送给Verifier。

• Verifier：发送random challenge $u_j\in \mathbb{F}$ 给Prover。

• Prover：计算：
  $a^{\prime }=a_{hi}^{\prime }\cdot u_j^{-1}+a_{lo}^{\prime }\cdot u_j$
  $r^{\prime }=l_j{u}_j^2+r+r_j{u}_j^{-2}$

• Prover和Verifier：计算：
  $b^{\prime }=b_{lo}^{\prime }\cdot u_j^{-1}+b_{hi}^{\prime }\cdot u_j$
  $G^{\prime }=G_{lo}^{\prime }\cdot u_j^{-1}+G_{hi}^{\prime }\cdot u_j$
  $P^{\prime }=[u_j^2]L_j+P+[u_j^{-2}]R_j$

• 设置$d=d^{\prime },P=P^{\prime },r=r^{\prime }$，继续从步骤1）开始执行。

在以上证明过程中，关注Prover在每轮递归调用时计算的内容：
$a^{\prime }=a_{hi}^{\prime }\cdot u_j^{-1}+a_{lo}^{\prime }\cdot u_j$
$b^{\prime }=b_{lo}^{\prime }\cdot u_j^{-1}+b_{hi}^{\prime }\cdot u_j$
$G^{\prime }=G_{lo}^{\prime }\cdot u_j^{-1}+G_{hi}^{\prime }\cdot u_j$

• 与最后一轮$d=1$时的$G^{\prime }\in \mathbb{G},b^{\prime }\in \mathbb{F}$之间的关系为$G^{\prime }=<s,G>,b^{\prime }=<s,b>$，其中$s$为：
  $$\begin{gathered} s=(u_1^{-1}{u}_2^{-1}\cdots u_k^{-1}, \\ {u}_1{u}_2^{-1}\cdots u_k^{-1}, \\ {u}_1^{-1}{u}_2\cdots u_k^{-1}, \\ {u}_1{u}_2\cdots u_k^{-1}, \\ ⋮ \\ {u}_1{u}_2\cdots u_k) \end{gathered}$$
• Verifier在最后一轮收到的commitment $P^{\prime }$，满足以下公式：
  $P^{\prime }={\sum }_{j=1}^k([u_j^2]L_j)+P+{\sum }_{j=1}^k([u_j^{-2}]R_j)$
• Prover在最后一轮的blinding值$r^{\prime }$满足如下公式：
  $r^{\prime }={\sum }_{j=1}^k(l_j{u}_j^2)+r+{\sum }_{j=1}^k(r_j{u}_j^{-2})$

3.1 Amortization Strategy摊销策略

以上polynomial commitment，尽管其communication complexity为$O({\log }_2(d))$，其中$d-1$为多项式的degree bound，但是Verifier必须在验证时计算$G^{\prime }=<s,G>,b^{\prime }=<s,b>$，其中$$\begin{gathered} s=(u_1^{-1}{u}_2^{-1}\cdots u_k^{-1}, \\ {u}_1{u}_2^{-1}\cdots u_k^{-1}, \\ {u}_1^{-1}{u}_2\cdots u_k^{-1}, \\ {u}_1{u}_2\cdots u_k^{-1}, \\ ⋮ \\ {u}_1{u}_2\cdots u_k) \end{gathered}$$。

注意，本文针对的情况是$b=(1,x,x^2,\cdots ,x^{n-1})$为public info的情况，其中的$<s,b>$可看成对多项式：【注意，感觉论文的$g(X,u_1,u_2,\cdots ,u_k)$公式有点问题，但是作者说木问题。。。】
$g(X,u_1,u_2,\cdots ,u_k)={\prod }_{i=1}^k(u_i^{-1}+u_i{X}^{2^{i-1}})$
在point $x$的evaluation值，即$b^{\prime }=<s,b>=g(x,u_1,u_2,\cdots ,u_k)$。Verifier可计算该evaluation值in logarithmic time。
但是，对于$G^{\prime }=<s,G>$计算，仍然需要a linear-time multiscalar multiplication。但是仔细观察，可将$G’$看成是对多项式$g(X,u_1,u_2,\cdots ,u_k)$系数的commitment值：
$G^{\prime }=Commit(\sigma ,g(X,u_1,u_2,\cdots ,u_k))$
所以 与其让Verifier为$m$个（independent）arguments 自己计算$G_i^{\prime }$，不如将该计算外包给不可信的第三方“helper“ ，”helper”在提供$G_1^{\prime },G_2^{\prime },\cdots ,G_m^{\prime }$ (for $m$ separate arguments) 计算结果的同时提供相应的argument that each are correct by demonstrating that a random linear combination of the commitments opens at a random point to a value the verifier can compute in time $O(m\log (d))$。基于Schwartz-Zippel Lemma，”helper“可让Verifier信服其结果是正确计算的（其伪造成功的概率不高于$\frac{d-1}{p-1}$）。
也就是说，此时，Verifier需调用“helper“运行对$g(X,u_1,u_2,\cdots ,u_k)$的polynomial commitment opening protocol，最终Verifier仍需要进行一次linear-time operation，但是通过此操作，the verifier has traded $m$ linear-time operations for one, with a marginal cost that is logarithmic in the degree bound。

3.2 Nested Amortization嵌套摊销

通常，实现recursive proof composition需要：

• 首先获得a non-interactive argument of knowledge for arithmetic circuit satisfiability，如$C(x,w)=1$ for auxiliary input $w$ and public input $x$。
• 然后encode the verification algorithm for this argument into such an arithmetic circuit。

假设a proof的verification circuit is sublinear in the size of the circuit，则存在某个阈值，使得recursively verify proofs 成为可能。本文并未实现a protocol which can be fully verified in sublinear time，因此如果只是naively apply this strategy并不能yield results beyond fixed-depth composition。通过里利用论文第五章的sublinear marginal verification time and logarithmic proof size protocol，本文提出了一种可避免在每一层recursion中都需要fully verifying proofs的技术。

Arithmetic circuits通常可以constraint system形式表示：已知a satisfying assignment of variables (the prover’s witness), the satisfaction of the constraint system implies the satisfiability of the circuit。在该过程中，the inherent non-determinism是some expensive operations可由Prover来协助完成。举个例子：在circuits中，当需要对field variable $u$求倒数，直观的做法是利用$u^{p-1}\equiv 1modp$，求解其倒数$u^{-1}=u^{p-2}modp$需要$\log (p)$个multiplication constraints，改为：由Prover来提供witness $v=u^{-1}$，为证明其倒数关系只需引入一个multiplication constraint $uv=1$。
本文利用了该non-determinism进行优化：当circuit中包含了an expensive fixed operation $f$ that is invoked with some input $x$，就改为由Prover来witness $y=f(x)$，然后将$(x,y)$作为circuit的public inputs。在假设$y$是正确的情况下，circuit将继续运行，将验证$y$的正确性的责任转给Verifier的proof (delegating the responsibility of checking the correctness of $y$ to the verifier of the proof)。

本文的proof composition中，Verifier不执行任何linear-time (or otherwise expensive) operation $f$，而是将$x$和Prover所声称的$y=f(x)$作为public inputs 并入到verification circuit中。注意，当proofs are continually composed时，increasing instances of $(x,y)$ accumulate because the verification circuit will not check them but rather continually delegate these checks to its verifier。为了避免这种runaway cost，引入了如下摊销策略：
已知instances $(x,y)$和$(x^{\prime },y^{\prime })$，Prover将提供a non-interactive proof that $y=f(x)$ and $y^{\prime }=f^{\prime }(x^{\prime })$ as a witness to the verification circuit，and the verification circuit will check this proof。
为了fully check this amortization proof，the verification circuit可能需要perform a linear-time (or otherwise expensive) operation。但是，若该operation是类似inovking $f$，则Verifier相当于将2个instances $(x,y)$和$(x^{\prime },y^{\prime })$压缩为了1个新的instance $(x^{\prime \prime },y^{\prime \prime })$，从而允许随着proofs的生成，摊销掉invoking $f$的成本。$f$仅在circuit的“outside” 由 the ultimate verifier 仅invoke一次，从而可证明整个underlying tree of proofs的正确性。

在论文第五章介绍的PSHVZK argument就是利用了该嵌套摊销策略，利用本博文3.1节提到的polynomial commitment amortization技术。可描述为：

• $Prover\to Verifier$： a stream of arguments。
• Verifie：maintain logarithmic-size state 和 perform logarithmic-time operations to partially verify each proof in sequence。最终，at the end of a stream of proofs, the verifier will choose to accept or reject all of them simultaneously in linear time。

借助Fia-Shamir heuristic，可将以上argument转为non-interactive zero-knowledge argument of knowledge。最终实现的就是nested amortization嵌套摊销技术的雏形，其中由Verifier maintain的”state”都是the deferred values that are shepherded(带领/护送) through public inputs。从而可实现任意depth 的recursive proof，而the verifier outside the circuit 仅需对the verifier state验证一次即可，在circuit里面不存在任何linear-time operation。

4. Main Argument

本文是在Sonic main argument的基础上引入了polynomial commitment scheme进行改进。

首先考虑一种简单的场景，即：
对固定的circuit $C$，Prover重复多次与Verifier交互来生成multiple arguments in sequence。

而本文的目的是，Verifier仅需要perform logarithmic marginal work来决定accept or reject all of the arguments simultaneously。

接下来，假设$N,Q,k$为整数，且$d=4N=2^k,3Q<d$，common reference string $\sigma \leftarrow Setup(1^{\lambda },d)$ 是Prover和Verifier的共享信息。

Prover为了证明$C(x,w)=1$ without reveal $w$，其中$x$为 public input，$w$为witness，可将circuit $C$表示为arithmetic constraints system——包含$N$个multiplication constraints和$Q$个linear constraints，即转为Prover知道witness $a,b,c\in {\mathbb{F}}^N$，使得：
$a_i\cdot b_i=c_i$
以及$Q$个linear constraints，对其中的第$q$th constraint可表示为：（其中$k\in {\mathbb{F}}^Q$）
$({\sum }_{i=1}^N{a}_i\cdot (u_q{)}_i)+({\sum }_{i=1}^N{b}_i\cdot (v_q{)}_i)+({\sum }_{i=1}^N{c}_i\cdot (w_q{)}_i)=k_q$

接下来，采用与Maller等人2019年《Sonic: Zero-Knowledge SNARKs from linear-size universal and updatable Structured Reference Strings》论文第5章中类似的方法：（详情参见博客 Arithmetic circuit 中第3节“3. Arithmetic circuit的constraint system表示”）
1）引入变量$Y$将multiplication constraints和linear constraints合并为一个方程式：
${\sum }_{i=1}^N{a}_i\cdot Y^N{u}_i(Y)+{\sum }_{i=1}^N{b}_i\cdot Y^N{v}_i(Y)+{\sum }_{i=1}^N{c}_i\cdot (Y^N{w}_i(Y)-Y^i-Y^{-i})+{\sum }_{i=1}^N{a}_i{b}_i\cdot (Y^i+Y^{-i})-Y^{N}k(Y)=0$……（4）
其中：
$u_i(Y)={\sum }_{q=1}^Q{Y}^q(u_q{)}_i$
$v_i(Y)={\sum }_{q=1}^Q{Y}^q(v_q{)}_i$
$w_i(Y)={\sum }_{q=1}^Q{Y}^q(w_q{)}_i$
$k(Y)={\sum }_{q=1}^Q{Y}^q{k}_q$

所以，若given a choice of $a,b,c,k$使得方程式（4）都成立，则可认为该constraint system is satisfied。基于Schwartz-Zippel Lemma，若field足够大，则该方程式成立而不是正确解的概率不高于$\frac{Q+N}{p-1}$。

2）再引入变量$X$，构建Laurent polynomial $t(X,Y)$，使得其$X^0$ constant term 项的系数为方程式（4）的左侧值：【注意，除$r(X,Y)$外，$s(X,Y),s^{\prime }(X,Y)$均与witness $a,b,c$无关。】
$r(X,Y)={\sum }_{i=1}^N{a}_i{X}^i{Y}^i+{\sum }_{i=1}^N{b}_i{X}^{-i}{Y}^{-i}+{\sum }_{i=1}^N{c}_i{X}^{-i-N}{Y}^{-i-N}$
$s(X,Y)={\sum }_{i=1}^N{u}_i(Y)X^{-i}+{\sum }_{i=1}^N{v}_i(Y)X^i+{\sum }_{i=1}^N{w}_i(Y)X^{i+N}$
$s^{\prime }(X,Y)=Y^{N}s(X,Y)-{\sum }_{i=1}^N(Y^i+Y^{-i})X^{i+N}$
$t(X,Y)=r(X,1)(r(X,Y)+s^{\prime }(X,Y))-Y^{N}k(Y)$

注意观察，其中$r(X,Y)=r(XY,1)$，Prover可使用单变量polynomial commitment scheme 对$r(X,Y)$进行commit，如$Commit(\sigma ,r(X,1))$。
剩下的多项式$s(X,Y),s^{\prime }(X,Y)$均与witness $a,b,c$无关，为了使$t(X,Y)$的constant term系数为0，$s(X,Y)$和$s^{\prime }(X,Y)$会跟随$r(X,Y)$的选择不同而变动。

3）至此，总的策略就变为了：

• Prover发送对$r(X,Y)$的commitment，然后证明$t(X,Y)$的constant term为zero polynomial。
• Verifier发送random challenge $y\in \mathbb{I}$。
• Prover发送对$t(X,y)$的commitment。
• Verifier发送random challenge $x\in \mathbb{I}$。
• Prover 发送openings $a=r(x,1),b=r(x,y),t=t(x,y)$。
• Verifier 验证 $t=a(b+s’(x,y))-k(y)$是否成立，即可证明the commitment to $t(X,y)$ is correct with high probability。
• Prover 若能证明其commitment to $r(X,Y)$ is bounded at degree $N$，则可说明$t(X,Y)$的constant term is exactly the left-hand side of Equation 4；若$t(X,Y)$的commitment的constant term能证明为0值，则可证明the Prover has knowledge of a satisfying witness with high probability。

3.1）为了证明$r(X,Y)$的degree bound为$N$，Prover需要改为发送commitment $R=Commit(\sigma ,r(X,1)X^{3N-1};{\delta }_R)$，其中${\delta }_R$为blinding factor，commitment $R$对应的多项式的degree bound为$d-1=4N-1$。Verifier仅需rescale openings of this commitment by $X^{-3N+1}$ to obtain the desired value。
3.2）观察多项式$t(X,y)$中，基于$X$的幂乘范围为$X^{-4N}$至$X^{3N}$，其中constant term值为0。
设$t_{lo}(X,y),t_{hi}(X,y)$多项式的degree为$d-1$【此时$d=4N$】，使得$t(X,y)=t_{lo}(X,y)X^{-d}+t_{hi}(X,y)X$，与其直接对$t(X,y)$直接进行commit，可通过分别对$t_{lo}(X,y)$和$t_{hi}(X,y)$进行commit $T_{lo}=Commit(\sigma ,t_{lo}(X,y),{\delta }_{lo}),T_{hi}=Commit(\sigma ,t_{hi}(X,y),{\delta }_{hi})$，将$(T_{lo},T_{hi})$可看成是对 “constant term为0的Laurent polynomial” 的commitment，Verifier此时仍可rescale commitment openings as appropriate。
3.3）为了减轻Verifier的计算压力，Verifier不直接计算$k(y)$值，改为：由Prover计算$k(Y)$的commitment值 $K=Commit(\sigma ,k(Y))$，然后open 该commitment at $y$。
3.4）为了evaluate $s’(x,y)$，借助了Maller等人2019年《Sonic: Zero-Knowledge SNARKs from linear-size universal and updatable Structured Reference Strings》中的策略：

• Prover：发送commitment $S=Commit(\sigma ,s(X,y)X^N)$。
• Verifier：发送random challenge $x$。
• Prover：发送opening for commitment $S$ at $x$：$s_a$。
• Verifier：验证opening正确，然后计算$s(x,y)=s_a\cdot x^{-N}$。（注意此处验证opening正确需要linear work in $|C|$，而本论文的目标是Verifier仅在最后进行一次linear-time operation at the end of a sequence of arguments，且the marginal cost of checking an argument must be logarithmic in $|C|$）。

注意，别忘了此时针对的场景是：
对固定的circuit $C$，Prover重复多次与Verifier交互来生成multiple arguments in sequence。
也就是说，在每个argument中都包含了$y_{new}$值和commitment $S_{new}=Commit(\sigma ,s(X,y_{new})X^N)$。假设$(y_{old},S_{old})$为$(y_{new},S_{new})$前一个argument的值。则Prover可通过如下方式来验证$S_{new}$和$S_{old}$是否正确：
【看后续的完整协议实现，实际协议中是默认Verifier验证成立，从而减少communication cost和Verification work。借助了Sonic论文第8章的思路。即认为若：open $C=Commit(\sigma ,s(x,Y)X^N)$ at $y_{old}$的值等于open $S_{old}=Commit(\sigma ,s(X,y_{old}))$的值；且， open $C=Commit(\sigma ,s(x,Y)X^N)$ at $y$的值等于open $S=Commit(\sigma ,s(X,y))$的值，则可说明 “若$C$ is a commitment to the correct polynomial，则大概率$S_{old},S$ 每个commitment is to the correct polynomial”。
此时，Verifier不直接验证commitment $C$的正确性，而改为sample random $y_{new}\in \mathbb{I}$，要求Prover提供$S_{new}=Commit(\sigma ,s(X,y_{new})X^N)$，然后要求Prover证明$S_{new}$ open at $x$的值与$C$ open at $y_{new}$的值相同，这就说明 “大概率 the correctness of $S_{new}$ 可代表 the correctness of $C$”。Verifier take this $(y_{new},S_{new})$ for the next argument。
为了accept a sequence of arguments, Verifier仅需验证$S_{new}=Commit(\sigma ,s(X,y_{new})X^N)$ for the final argument，而不需要perform linear-time marginal work with respect to evaluating s(X,Y)。
】

• Verifier：发送random challenge $x$。
• Prover：发送Commitment $C=Commit(\sigma ,s(x,Y)x^N)$；发送openings for commitment $S_{old}$和$S_{new}$ at $x$：$s_{aold},s_{anew}$。
• Verifier：发送 random challenge $y_{old},y_{new}$。
• Prover：发送openings for commitment $C$ at $y_{old},y_{new}$：$c_{aold},c_{anew}$。
• Verifier：验证openings for commitment $S_{old}$和$S_{new}$ at $x$是否正确；验证openings for commitment $C$ at $y_{old},y_{new}$是否正确；最后验证$s_{aold}=c_{aold},s_{anew}=c_{anew}$是否成立即可。

至此，Verifier可认为自$(y_{new},S_{new})$之前的sequence arguments 都是正确的。In order to accept a sequence of arguments the verifier will need to check that $S_{new}=Commit(\sigma ,s(X,y_{new})X^N)$ for the final argument but otherwise does not perform linear-time marginal work with respect to evaluating $s(X,Y)$。

4.1 合并多个polynomial commitment opening arguments

至此，Prover和Verifier进行了多个单独的polynomial commitment opening arguments。
（1）以下为均需open at $x$的polynomial commitments：

• $R=Commit(\sigma ,r(X,1)X^{3N-1};{\delta }_R)$ 【即相当于计算$r(x,1)$】
• $S_{old}=Commit(\sigma ,s(X,y_{old})X^N)$
• $S=Commit(\sigma ,s(X,y)X^N)$
• $S_{new}=Commit(\sigma ,s(X,y_{new})X^N)$
• $T_{lo}=Commit(\sigma ,t_{lo}(X,y),{\delta }_{lo})$
• $T_{hi}=Commit(\sigma ,t_{hi}(X,y),{\delta }_{hi})$
  （在收到对相同的点$x$的openings之后，Verifier发送challenge $z_1$，借助 Kate等人2010年论文《Constant-size commitments to polynomials and their applications》中的batch opening 策略，构建$P=R+[z_1]S_{old}+[z_1^2]S+[z_1^3]S_{new}+[z_1^4]T_{lo}+[z_1^5]T_{hi}=Commit(\sigma ,p(Z))$，其中多项式 $p(Z)\in \mathbb{F}[Z]$。）

（2）以下为均需open at $y$的polynomial commitments：

• $K=Commit(\sigma ,k(Y))$ 【即相当于计算$k(y)$】
• $C=Commit(\sigma ,s(x,Y)x^N)$
  （在收到对相同的点$y$的openings之后，Verifier发送challenge $z_1$，借助 Kate等人2010年论文《Constant-size commitments to polynomials and their applications》中的batch opening 策略，构建$Q=K+[z_1]C=Commit(\sigma ,q(Z))$，其中多项式 $q(Z)\in \mathbb{F}[Z]$。）

（3）以下为需open at $xy$的polynomial commitments：

• $R=Commit(\sigma ,r(X,1)X^{3N-1};{\delta }_R)$ 【即相当于计算$r(xy,1)=r(x,y)$】

（4）以下为需open at $y_{old}$的polynomial commitments：

• $C=Commit(\sigma ,s(x,Y)x^N)$

（5）以下为需open at $y_{new}$的polynomial commitments：

• $C=Commit(\sigma ,s(x,Y)x^N)$

借鉴Boneh等人2020年论文《Efficient polynomial commitment schemes for multiple points and polynomials》中的思路，将以上（1）~（5）的5个separate opening arguments reduce为1个：
对于$m$个不同的evaluation points $x_0,x_1,\cdots ,x_{m-1}$，可定义多项式：
$h(X,Z)={\sum }_{i=0}^{m-1}{Z}^i\frac{e_i(X)-v_i}{X-x_i}$
其中，$m$个commitments $E_0,E_1,\cdots ,E_{m-1}$ 满足$E_i=Commit(\sigma ,e_i(X))$，在point $x_i$ 的evaluation 值为$v_i$。【针对本文情况，此时$E_0=P,E_1=Q,E_2=R,E_3=C,E_4=C$。】

• Prover：发送openings $v_i=e_i(x_i)$ for all $i$。
• Verifier：发送 random challenge $z_2$。
• Prover：发送commitment $H=Commit(\sigma ,h(X,z_2);{\delta }_H)$，其中${\delta }_H\in \mathbb{F}$为blinding factor。
  （为了证明$H$是正确构建的，需要再引入Verifier challenge $z_3$，Prover提供$P,Q,R,C$的openings，然后Verifier可计算$h(z_3,z_2)$值，并验证$h(z_3,z_2)$为commitment $H$ 在point $z_3$的opening值。）
• Verifier：发送random challenge $z_3$。
• Prover：发送$P,Q,R,C$的openings at $z_3$：$p(z_3),q(z_3),r(z_3,1),s(x,z_3)$。
• Verifier：根据$p(z_3),q(z_3),r(z_3,1),s(x,z_3)$计算$h(z_3,z_2)=\frac{p(z_3)-v_0}{z_3-x_0}+z_2\cdot \frac{q(z_3)-v_1}{z_3-x_1}+z_2^2\cdot$