Halo2、Caulk+、Baloo、Cq Lookup argument细览

1. 引言

本文主要参考2023年2月以太坊基金会Mary Maller在第13届 BIU Winter School on Cryptography上的视频分享 A Close Look at a Lookup Argument - Mary Maller。

以证明$0\le x<4$为例，相比于使用算术化电路中如何使用定制gates？中的定制约束，使用lookup约束会更简单——即只需要1个lookup约束就足以：

实际不只有一个witness $x$，而是有很多witnesses，可扩展多个range check：

或者借助selector多项式做部分lookup约束：

2. Halo2的lookup argument策略

详细见：

• ZCash Halo2 book之lookup argument

需证明：

• $a(i)\in \{t(1),t(2),t(3),t(4)\}$ for $i\in \{0,1,2,3\}$

本文将展示：

• 尝试用copy argument来证明而失败
• 尝试用permutation argument来证明而失败
• Halo2的解决方案

2.1 尝试用copy argument来证明而失败

2.2 尝试用permutation argument来证明而失败

2.3 Halo2的解决方案

但是，以上策略的lookup argument，需对$t(X)$做运行一次permutation argument，相应Prover Time与$t(X)$呈线性关系，对big table场景来说太慢了，为此：

2.4 Caulk+ lookup argument：fast for big tables

上面2.3节中指出，Halo2 lookup argument需对$t(X)$做运行一次permutation argument，相应Prover Time与$t(X)$呈线性关系。
当对于类似$\{t_1,\cdots ,t_{2^{27}}\}$这样的large table来说，Halo2 lookup argument速度会很慢，为此，需要构建与$t(x)$ size 无关 的Temporary Table C——可能可借助预处理来实现。

Caulk+ 中采用的预处理策略为：【见以太坊基金会Dankrad Feist 和 Dmitry Khovratovich 2023年论文 Fast amortized KZG proofs】

2.5 Baloo lookup argument：Prove lookup over hidden domain

Baloo lookup argument的核心思想为基于2019年Aurora论文中的Lincheck Argument思想：
${\sum }_{j\in I}{e}_{i,j}c(j)=a_i$
Lincheck Argument可check a matrix equation。

2.6 Cq lookup argument：Cached Quotients

3. Lookup Constraints in Plonkish：Function Tables

4. 思考

• 所有sublinear time lookup argument都使用pairings。
• pairings不具备post-quantum安全性，且需要特殊的，非标准化的椭圆曲线。
• 开放问题：能否不使用pairings，设计出一种实用的，具有（与table size）sublinear time的lookup argument方案？

参考资料

[1] 2023年2月以太坊基金会Mary Maller在第13届 BIU Winter School on Cryptography上的视频分享 A Close Look at a Lookup Argument - Mary Maller

lookup系列博客

• PLOOKUP
• PLOOKUP代码解析
• Efficient polynomial commitment schemes for multiple points and polynomials学习笔记
• PLONK + PLOOKUP
• PlonKup: Reconciling PlonK with plookup
• PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge 学习笔记
• Plonk代码解析
• RapidUp: Multi-Domain Permutation Protocol for Lookup Tables学习笔记
• Lookup argument总览
• Halo2 学习笔记——设计之Proving system之Lookup argument（1）
• logUp-Multivariate lookups based on logarithmic derivatives
• cq：fast lookup argument
• Lookup Argument性能优化——Caulk
• 2023年 ZK Hack以及ZK Summit 亮点记
• Research Day 2023：Succinct ZKP最新进展
• Lasso、Jolt 以及 Lookup Singularity——Part 1
• Lasso、Jolt 以及 Lookup Singularity——Part 2
• 深入了解Lasso+Jolt