算术化电路中如何使用定制gates？

1. 引言

现有ZKP证明系统中，除关注proof size和verification time之外，Prover Time是一个重要瓶颈。

当侧重Prover Time时，可考虑STARK方案。并借助recursive STARK+SNARK，来获得small proof。

Prover Time：

• 直接取决于计算size。

针对同一计算，不同的算术化策略，会影响证明时的计算size，进而影响Prover Time。如证明$y=x^{-1}\mathrm{mod}p$：

• 方案1：
  • 根据费马小定理有$x^{-1}=x^{p-2}\mathrm{mod}p$，
  • 然后采用double and add来计算$x^{p-2}$，
  • 检查$y=x^{p-2}$是否成立
  • 开销为$\log (p)$个约束
    
• 方案2：
  • 转为证明$1=x\times y\mathrm{mod}p$
  • 对应1个约束。

本文重点关注Plonkish算术化系统中的：

• addition and multiplication约束
• copy约束
• selector多项式
• custom约束
• lookup约束

如需证明$0\le c_3<4$：

• 1）若电路中仅有multiplication约束，则不可能实现该证明。
• 2）若电路中有addition and multiplication约束，则可做二进制分解，表示为：【缺少足够的结构，无法约束$c_3=a_1+2a_2$】
  
  
• 3）若电路中有addition and multiplication约束，以及，copy约束，则：【是否存在过度约束的问题？】
  
  
  
  
  
  
  
• 4）若电路中有addition and multiplication约束，以及，copy约束，以及，selector多项式，则：【其中selector多项式用于选择何时使用哪种gate。】
  

为乘法约束增加零知识属性的策略为：

2. copy constraints

即Copy Constraints enforcement分为3大步：

• 1）按顺序连接所有public和private inputs
• 2）展示permuted inputs之间的等价性
• 3）使用Neff Permutation argument来证明。详细见：
  https://github.com/asn-d6/curdleproofs（Rust）

3. selector多项式

selector多项式用于对约束进行开关。

4. custom约束

如MinRoot Verifiable Delay Function，其需求背景在于：

• 好的随机数真的很难获得
• 以太坊需要好的随机数来达成共识

所谓MinRoot Verifiable Delay Function，是指，每一轮都计算：
$(x_{i+1},y_{i+1})=((x_i+y_i{)}^{\frac{1}{3}},x_i+i)$

在约束电路中，转为计算：

• $x_{i+1}^3=x_i+y_i$，从而需要做大量三次方运算，而不是开三次方运算。

不过在custom约束（定制约束）中，需权衡：

• 每增加一列，可让定制约束更具表达性，但会增加额外的proof元素开销。
• 每增加一个乘法运算，可让定制约束更具表达性，但会增加额外的proof元素开销。
• 每种类型的custom约束会增加额外的proof元素开销。
• 实际就是在proof size/verifier time 与 prover time之间做权衡取舍。
  

参考资料

[1] 以太坊基金会Mary Maller 2023年2月在第13届 BIU Winter School on Cryptography上的分享视频 How Custom Gates Are Used During Arithmetization - Mary Maller