DEEP FRI协议

1. 引言

前序博客有：

• A summary on the FRI low degree test前2页导读
• RISC Zero的手撕STARK
• Reed-Solomon Codes——RS纠错码
• Reed-Solomon Codes及其与RISC Zero zkVM的关系

StarkWare团队Eli Ben-Sasson等人2019年论文DEEP-FRI: Sampling Outside the Box Improves Soundness。

Reed-Solomon code为基于某有限域的linear code，其定义为：
$V:=RS[\mathbb{F},D,d]=\{f:D\to \mathbb{F}:\mathrm{deg}(f)<d\}$

其中：

• $\mathbb{F}$：为某有限域。
• $D\subseteq \mathbb{F}$：为对$f$做evaluate的的Expanded Domain，以获得相应的Reed-Solomon code。
• $d<|D|$：为$f$多项式的degree bound。
• $\rho =d/|D|$：为Reed-Solomon code的rate。

DEEP FRI协议，对应的难题为：

• 对于$V=RS[\mathbb{F},D,d]$，
• 若有与$V$为 ${\delta }^{\ast }$-far 的 $g:D\to \mathbb{F}$ 和 任意的 $h:D\to \mathbb{F}$，
• 如何计算${\delta }_{avg}:=E_{\alpha }[\Delta (g+\alpha h,V)]$，以 将${\delta }_{avg}$用作FRI 的soundness bound？【$\alpha \in \mathbb{F}$为随机采样点。】

其中：

• $\Delta$用于表示relative Hamming distance。
• $E_{\alpha }$表示$g+\alpha h$的expected distance。

2. FRI动机

已知对$f:D\to \mathbb{F}$的oracle access，FRI协议（以最小复杂度来）用于区分以下二者：

• $f$在该Reed-Solomon code内。
• $f$距离该Reed-Solomon code 至少$\delta$-far。

FRI协议，采用了 Prover（$\mathbf{P}$）- Verifier（$\mathbf{V}$）配置，其中$\mathbf{P}$试图让$\mathbf{V}$信服，$f$ is close to 该Reed-Solomon code。

FRI协议中还采用了一种特殊的模型：

• IOPP（IOP of Proximity）：为multi-round PCPP：【尽管其不切实际，但从数学角度来看很容易理解。】
  • 在每轮，$\mathbf{P}$提供对某函数的oracle access，然后$\mathbf{V}$发送随机值。
  • 最后，$\mathbf{V}$可能会query这些oracles。
    

本文重点关注FRI协议中的low degree testing。

对于$V=RS[\mathbb{F},D,\rho ]$，其中$D$为某FFT-friendly domain（size为$n=2^k$的subgroup），相应的FRI协议满足如下属性：

• Prover time $\le 6n$，proof length $\le n$。
• Verifier time $\le 21\log n$，query complexity $\le \log n$。
• Round complexity $=\log n$。
• Soundness：对于足够小的$\delta <{\delta }_0$，对$\delta$-far words拒绝的概率 $=\delta -o(1)$。【最难的部分。需考虑最坏情况下的soundness。】

问题来了，何为${\delta }_0$？${\delta }_0$值越大越好。不同论文的${\delta }_0$的取值各不相同：

• [BBHR17]：${\delta }_0\ge \frac{1-3\rho }{4}$
• [BKS18]：${\delta }_0\ge 1-\sqrt[4]{\rho }$
• [BGKS20]：${\delta }_0\ge 1-\sqrt[3]{\rho }$，tight for FRI。
• 本论文DEEP-FRI: Sampling Outside the Box Improves Soundness：${\delta }_0=1-\sqrt[2]{\rho }$。若基于list decoding猜想，甚至有${\delta }_0=1-\rho$，从而可匹配${\delta }_0$的upper bound。

2.1 FRI目标

FRI协议通过使用a factor of $2$来reduce the problem——即已知某多项式$f$在size为$n$的evaluation domain上的evaluation值，判断$f$是否为low-degree多项式。具体的reduce流程为：

• 1）Step 1：与FFT类似，Prover $\mathbf{P}$将$f$切分为2个具有一半degree的多项式：
  $f(x)=g(x^2)+x\cdot h(x^2)$
  • 具有locality属性：可根据$f(x)$和$f(-x)$来计算$g(x^2)$和$h(x^2)$。
  • 取$D$为 size为$F$的multiplicative group，从而是FFT-friendly domain。
  • $g,h$定义在具有相同rate，但更小的domain $D^{\prime }=\{x^2:x\in D\}$。
• 2）Step 2：使用Verifier $\mathbf{V}$提供的随机值将$g,h$线性组合合并为：$g(x)+\alpha \cdot h(x)$。

回到之前提及的难题：

• 对于$V=RS[\mathbb{F},D,d]$，
• 若有与$V$为 ${\delta }^{\ast }$-far 的 $g:D\to \mathbb{F}$ 和 任意的 $h:D\to \mathbb{F}$，
• 如何计算${\delta }_{avg}:=E_{\alpha }[\Delta (g+\alpha h,V)]$，以 将${\delta }_{avg}$用作FRI 的soundness bound？【$\alpha \in \mathbb{F}$为随机采样点。】

可认为：

• 若$g,h$中有一个是far的，则二者的线性组合也将是far的。

对average case distance限定边界：

• x轴为${\delta }^{\ast }$：为worst case distance。
• y轴为${\delta }_{avg}$：为average case distance。${\delta }_{avg}$为关于${\delta }^{\ast }$的函数，应让其尽可能高。
  

其中，${\delta }_{max}$为关于rate $\rho$的函数：

为何需关注$1-\sqrt[3]{\rho }$与$1-\rho$之间的实际区别呢？

当前有多个实际证明系统使用FRI：

• STARK
• Aurora
• Succinct Aurora等等

由 $1-\sqrt[3]{\rho }$（FRI） reduce为 $1-\rho$（conj. DEEP-FRI），可将LDT（low degree test）argument length 降低约3倍。

相关定义有：

• 若某code的 每个半径为$\delta$的球形内，包含最多$L$个codewords，则称该code为$(\delta ,L)$-list-decodable。
  • Unique decoding：$RS[\mathbb{F},D,d]$为$((1-\rho )/2,1)$-list-decodable。
  • Johnson bound：$RS[\mathbb{F},D,d]$为$((1-\sqrt{\rho }-\epsilon )/2,1/(2\epsilon \sqrt{\rho }))$-list-decodable。
  • Conjecture - list decodability of RS Codes up to Capacity：$RS[\mathbb{F},D,d]$为$(1-\rho -\epsilon ,(|D|/\epsilon {)}^{C_{\rho }})$-list-decodable。
    

3. DEEP：Domain Extending for Eliminating Pretenders

• 将$f_{\alpha }=g+\alpha h:D\to \mathbb{F}$用作某多项式的commitment。
• 若该code为$(\delta ,L)$-list-decodable，则其可能有$L$个候选者。
• 将这些候选者，称为pretenders。

DEEP的核心思想为：

• 在$D$ domain之外采样，可改进soundness。为此：
  • 要求Prover $\mathbf{P}$为任意的随机点$z\in \mathbb{F}$提供$f_{\alpha }(z)$。

针对FRI中：

• Verifier $\mathbf{V}$仅可在$D$ domain内query，但大概率$z\notin D$

的问题，DEEP的解决方案为：

• 构建${\tilde{f}}_{\alpha }(x):=\frac{f_{\alpha }(x)-v}{x-z}$
• 若${\tilde{f}}_{\alpha }(x)$为low degree，当且仅当：
  • $f_{\alpha }$为low degree，且，$f_{\alpha }(z)=v$。
• 该转换是$1$-local的：Verifier $\mathbf{V}$ 仅通过对$f_{\alpha }(x)$做单次query，就可计算出${\tilde{f}}_{\alpha }(x)$。后续Verifier $\mathbf{V}$可根据${\tilde{f}}_{\alpha }(x)$的query值，自行计算出$f_{\alpha }(x)$，因：
  • $\frac{f_{\alpha }(x)-v}{x-z}={\tilde{f}}_{\alpha }(x)\Rightarrow f_{\alpha }(x)=v+(x-z){\tilde{f}}_{\alpha }(x)$

DEEP FRI协议 相关结论为：

• 通过对$f(x)$请求在某随机点的evaluation值，可降低候选者数量。
• 即使Prover $\mathbf{P}$未对$f(x)$进行commit，仅使用$\frac{f(x)-v}{x-z}$就可检查$f(x)$的值是否正确。
• 在IOPP模型下，支持Prover $\mathbf{P}$响应 Verifier $\mathbf{V}$ 的多次query。
• 该DEEP技术可能可用于改进其它协议，如DEEP-ALI。

不过，见A summary on the FRI low degree test前2页导读，Eli Ben-Sasson等人2020年论文Proximity Gaps for Reed–Solomon Codes中展示了：

• FRI实际优于DEEP-FRI。
• 但DEEP-ALI性能 优于 ALI。

当前的State-of-the-art STARK协议为：

• DEEP-ALI ＋ FRI

参考资料

[1] 2020年11月Eli Ben-Sasson分享视频 Deep FRI protocols | Cybersecurity Seminars
[2] StarkWare团队Eli Ben-Sasson等人2019年论文DEEP-FRI: Sampling Outside the Box Improves Soundness