DEEP-FRI: Sampling Outside the Box Improves Soundness论文学习笔记

1. 引言

前序博客有：

• DEEP FRI协议
• A summary on the FRI low degree test前2页导读
• RISC Zero的手撕STARK
• Reed-Solomon Codes——RS纠错码
• Reed-Solomon Codes及其与RISC Zero zkVM的关系

Eli Ben-Sasson等人2019年论文《DEEP-FRI: Sampling Outside the Box Improves Soundness》。

为追求scalable and succinct zero knowledge arguments，重新审视了linear spaces中的worst-case-to-average-case reductions。

2018年《Worst-case to average case reductions for the distance to a code》论文中指出：

• worst-case是指：affine space $U$的某些元素，与linear code $V$的relative Hamming distance为 $\delta$-far 。
• average-case是指：affine space $U$的大多数元素，与linear code $V$的relative Hamming distance为 almost-$\delta$-far。

不过以上结论仅当$\delta <1-(1-{\delta }_V{)}^{1/4}$时成立，其中：

• ${\delta }_V$：为code $V$的relative distance。
• $\delta <1-(1-{\delta }_V{)}^{1/4}$为${\delta }_V$的“double Johnson”函数。

本文：

• 1）将以上soundness-bound增加为${\delta }_V$的“one-and-a-half Johnson”函数。并展示了：
  • 对于任意的worst-case distance $\delta <1-(1-{\delta }_V{)}^{1/3}$，$U$与$V$的average distance几乎为$\delta$。
  • 该bound是tight紧凑的，一定程度来说令人吃惊，因为one-and-a-half Johnson函数在error correcting codes文献中并不常见。
• 2）为进一步改进Reed Solomon codes，所采取的措施为：在该box之外进行采样。为此：
  • 引入了一种新技术——DEEP：
    • Verifier在box $D$之外采样单个点$z$，基于该点$z$来evaluate codewords。
    • Verifier要求Prover提供，$U$中某随机元素的插值多项式在点$z$的evaluation值。
    • 直接来说，这会“force” Prover在一组close to $U$的“pretenders”中选择一个codeword。
    • 称该技术为Domain Extending for Eliminating Pretenders（DEEP）。
  • DEEP方法将，对RS codes的worst-case-to-average-case reduction的soundness，改进到为其list decoding radius。该半径的边界由Johnson bound限定，即意味着对于所有$\delta <1-(1-{\delta }_V{)}^{1/2}$，average distance接近于$\delta$。在某个关于Reed-Solomon codes的list decoding radius的plausible conjecture下，对于所有的$\delta$，与$V$的 average distance 为$\delta$。
  • 该DEEP技术可推广用于所有的linear code，giving improved reductions for capacity-achieving list-decodable codes。
• 3）基于DEEP技术设计了2种新的协议：
  • DEEP-FRI协议：为Interactive Oracle Proof of Proximity (IOPP) for RS codes。DEEP-FRI协议 改进了FRI协议的soundness，同时保持了其线性化算术证明复杂度和对数化verifier算术复杂度。
  • DEEP-ALI协议：Interactive Oracle Proof (IOP) for the Algebraic Linking IOP (ALI) 。用于构建ZK-STARKs（zero knowledge scalable transparent arguments of knowledge）。将STARK中ALI的soundness，由small constant $<1/8$，改进为了任意接近$1$的constant。

算术化是一项了不起的技术，可用来reduce问题的计算复杂性，如，将，在不确定语言中验证membership，的问题，reduce为，Reed-Solomon（RS）codes 和Reed-Mull（RM）codes等代数码中向量的membership问题。
这种reduction最终对应的是RS Proximity Testing（RPT）问题。RPT问题既是固有的理论兴趣问题，也具有重要的实际意义，因为其最近被用于构建succinct zero knowledge arguments，包括但不限于：

• Ligero
• Aurora
• ZK-STARKs

在RPT问题中：

• 1）Verifier对函数$f:D\to \mathbb{F}$具有oracle access。称$D\subset \mathbb{F}$为evaluation domain。
• 2）RPT问题的任务在于：区分：
  • “good” case：$f$为degree最多为$d$的多项式
  • 和 “bad” case：$f$与所有degree-$d$多项式的relative Hamming distance为$\delta$-far。
• 3）为实现“poly-logarithmic in $d$”的succinct verification time，必须支持Verifier以某种形式与Prover交互。所谓Prover，是声称$\mathrm{deg}(f)\le d$的一方。
  • 3.1）早期，这种交互形式为：Prover提供的，除$f$之外的，对probabilistically checkable proof of proximity（PCPP）的oracle access。这种模式下，RPT问题，可由PCPPs “solved”，对应有：
    • quasilinear size $|D|poly\log |D|$
    • constant query complexity
    • constant soundness
    • 但是，即使考虑实际用到的适度小的实例size，相应的Prover time、Verifier time和communication复杂度都很大。
  • 3.2）为改进Prover time、Verifier time和communication，采用Interactive Oracle Proofs of Proximity (IOPP)模式更适合。IOPP可看成是multi-round PCPP。IOPP中，Prover无需像PCPP那样写下单个proof $\pi$。在IOPP设置中：
    • 可通过多轮交互来生成proof oracle，在交互期间，Verifier发送random bits，Prover响应额外的（long）messages，这些（long）messages支持Verifier进行oracle access。
    • 这些额外的交互轮，可大幅改进 “解决RPT问题”的近似复杂度和实际复杂度。
    • 特别地，Fast RS IOPP (FRI) 协议具有线性化Prover算术复杂度、对数化Verifier算术复杂度和constant soudness。

本文的目的是：

• 改进FRI协议的soundness，
• 在high-error机制（也称为“list decoding”机制）中，推荐在soundness方面更好的协议。

FRI soundness分析，reduce为，遵循关于linear space的自然“worst-case-to-average-case”问题，该问题在通用（non-RS）codes领域也非常有趣。

1.1 距离某linear code的maximum distance vs average distance

令：

• $U\subset {\mathbb{F}}^D$为“line”（即一维） affine space over $\mathbb{F}$。
• 以$u^{\ast }\in {\mathbb{F}}^D$来表示该line的起始点，$u$表示其斜率，从而有$U=\{u_x=u^{\ast }+xu|x\in \mathbb{F}\}$。

本文的worst-case assumption为：

• 对于某固定的linear space $V\subset {\mathbb{F}}^D$，从$U$中选择离$V$最远的一个元素$u^{\ast }$，$u^{\ast }$离$V$的relative Hamming distance表示为${\delta }_{max}$。

令：

• ${\delta }_x=\Delta (u_x,V)$，其中$\Delta$表示relative Hamming distance。
• $E_{x\in \mathbb{F}}[{\delta }_x]$表示$u_x$与$V$的expected distance。其演变历史为：
  • 2013年，[RVW13]展示对所有的$U,V$ space，有$E_x[{\delta }_x]\ge \frac{{\delta }_{max}}{2}-o(1)$，其中$o(1)$表示可忽略项，因随着$|\mathbb{F}|\to \infty$，该项值趋近于0。【严格限定了expected distance小于${\delta }_{max}$。】
  • 2018年，[BKS18a]中发现该average distance scales roughly like 关于${\delta }_{max}$的Johnson list-decoding函数，改进为$E_x[{\delta }_x]\ge 1-\sqrt{1-{\delta }_{max}}-o(1)$。其中Johnson list-decoding函数表示为$J(x):=1-\sqrt{1-x}$。【严格限定了expected distance小于${\delta }_{max}$。】
    • [BKS18a]中还发现，当$V$是具有large relative distance ${\delta }_V$的（linear）error correcting code，若${\delta }_{max}$小于 关于${\delta }_V$的“double Johnson”函数，则其average distance几乎不恶化，有：【其中“double Johnson”函数表示为$J^{(2)}(x):=J(J(x))$。】
      $$\begin{array}{c}E[{\delta }_x]\ge \min ({\delta }_{max},J^{(2)}({\delta }_V))-o(1)=\min ({\delta }_{max},1-\sqrt[4]{1-{\delta }_V})-o(1)\end{array}$$

本文：

• 1）改进了上面的方程式（1）为 “one-and-a-half-Johnson”函数——$J^{(1.5)}(x)=1-(1-x{)}^{1/3}$。即对于relative Hamming distance ${\delta }_V$的codes $V$，其expected distance为：
  $$\begin{array}{c}E[{\delta }_x]\ge \min ({\delta }_{max},J^{(1.5)}({\delta }_V))-o(1)=\min ({\delta }_{max},1-\sqrt[3]{1-{\delta }_V})-o(1)\end{array}$$

• 2）发现上面的方程式（2）是tight的——即使对$V$为RS code时也是tight的。同时发现，$J^{(1.5)}(x)$在现有任何coding理论中都是未知的。
  以下反例展示了对非常特殊的情况下，上面方程式（2）的tightness会增加：

  • 2.1）$\mathbb{F}$为（characteristic为$2$的）binary field
  • 2.2）rate $\rho$为$1/8=2^{-3}$
  • 2.3）evaluation domain $D$等于所有$\mathbb{F}$【最重要的一点】

  粗略来说，该反例使用函数$u^{\ast },u:{\mathbb{F}}_{2^n}\to {\mathbb{F}}_{2^n}$，与伪装为low-degree但实际degree为$\rho 2^n$的多项式距离为$3/4=1-{\rho }^{2/3}$-far，因为对于所有的$x\in {\mathbb{F}}_{2n}\setminus \{0\}$，函数$u^{\ast }+xu$与degree为$\rho 2^n$的多项式为$1/2=\sqrt[3]{\rho }$-close。

1.2 Domain Extension for Eliminating Pretenders（DEEP）

本文重点关注的是，$V$为RS code的场景。

rate为$\rho$、基于$D$ evaluate的RS code表示为：
$RS[\mathbb{F},D,\rho ]:=\{f:D\to \mathbb{F}|\mathrm{deg}(f)<\rho |D|\}$

RS codes为maximum distance separable（MDS），即意味着${\delta }_V=1-\rho$，因此上面的方程式（2）可简化为：
$$\begin{array}{c}E[{\delta }_x]\ge \min ({\delta }_{max},1-\sqrt[3]{\rho })-o(1)\end{array}$$

做一些额外工作，可将该improved bound转换为具有类似保证的FRI soundness分析。以上方程式（3）意味着：

• 对，距离$RS[\mathbb{F},D,\rho ]$为$\delta$-far的$f:D\to \mathbb{F}$，触发单次FRI QUERY test的soundness error最多为$\max \{1-\delta ,\sqrt[3]{\rho }\}$。其中"单次FRI QUERY test"中，包含了$\log |D|$次query。
  • 并可将其插入到ZK-STARKs和ZK-SNARGs（如Aurora）中。

粗略来说，若$\delta$-far words的拒绝概率为$\max (\delta ,{\delta }_0)$，则对于blocklength为$n$的codes：

• 其可达到的soundness error $<2^{-\lambda }$
• communication复杂度（和verifier复杂度）scale roughly like $\frac{\lambda }{\log {\delta }_0}\cdot c\cdot \log n$ for some constant $c$。

因此，从方程式（1）到方程式（2），verifier复杂度降低了$25\%$——由$\frac{4\lambda }{\log \rho }\cdot c\cdot \log n$降低为$\frac{3\lambda }{\log \rho }\cdot c\cdot \log n$。

为打破方程式（2）中的soundness bound，进一步降低verifier复杂度，引入了一种新方法：

• 若$u^{\ast },u:D\to \mathbb{F}$确实为2个degree $d$多项式（$P^{\ast }$和$P$）的evaluation，则verifier可：
  • 将domain $D$ 扩展到更大的$\bar{D}$。
  • 随机取样$z\in \bar{D}$，然后请求evaluation值$P^{\ast }(z)$和$P(z)$。
  • 根据prover回复的$P^{\ast }(z)$和$P(z)$，以local方式，修改每个$u^{\ast },u$，以反映该new knowledge，且与此同时，可削减$u^{\ast }$和$u$可能伪装的多项式large list。
  • 若诚实的prover返回的是正确的${\alpha }^{\ast }=P^{\ast }(z),{\alpha }_z=P(z)$值，则有$(X-z)|P^{\ast }(X)-{\alpha }_z^{\ast }$ 和 $(X-z)|P(X)-{\alpha }_z$。
    • 令${\alpha }_x={\alpha }^{\ast }+x\alpha$且$P_x(X)=P^{\ast }(X)+xP(X)$，有$(X-z)|P_x(X)-{\alpha }_x$。
    • 极端情况下，$u^{\ast }$具有以小组多项式，这小组多项式中的每一个，大概率在$z$点都有相同的值，即prover所提供的任意答案，都将与该小组中最多一个多项式 一致。【相应证明见Therorem 4.1。】

对于半径$\delta$，令$L_{\delta }^{\ast }={\max }_{u^{\ast }\in {\mathbb{F}}^D}|\{v\in V|\Delta (u^{\ast },v)<\delta \}|$，其中$\Delta$表示relative Hamming distance。令$V{|}_{u_x(z)={\alpha }_x}$限制$V$中codewords 为degree最多为$d$的多项式的evaluations——在$z$点的evaluation值为${\alpha }_x$。

本文Theorem 4.1中展示了，若$\Delta (u^{\ast },V)={\delta }_{max}$，则对应query点$z$所回复的${\alpha }_z^{\ast },{\alpha }_z$，有：
$$\begin{array}{c}{E}_{z,x}[\Delta (u_x,V{|}_{u_x(z)={\alpha }_x})]\ge {\delta }_{max}-L_{\delta }^{\ast }\cdot (\frac{\rho |D|}{|\bar{D}|}{)}^{1/3}-o(1)\end{array}$$

Theorem 2.2中的Johnson bound中指出，当$\delta <J(1-\rho )=1-\sqrt{\rho }$，有$L_{\delta }^{\ast }=O(1)$，并将方程式（2）中的worst-case-to-average-case bound，改进为匹配Johnson bound：
$$\begin{array}{c}{E}_{z,x}[\Delta (u_x,V{|}_{u_x(z)={\alpha }_x})]\ge \min ({\delta }_{max},J({\delta }_V))-o(1)=\min ({\delta }_{max},\sqrt{\rho })-o(1)\end{array}$$

超过Johnson bound之外的Reed-Solomon codes的list size的准确行为，是著名的开放难题。对于半径远大于Johnson bound的情况，其list size可能是small的——事实上，对大多数domain $D$其都是成立的[RW14]。若其成立，即意味着即使半径等于${\delta }_V=1-\rho$（即，若Reed-Solomon codes meet list-decoding capacity），其list size也是small的，则说明几乎对所有的distance参数，方程式（5）都有优化soundness。

将以上Reed-Solomon codes结论 推广到 任意linear codes：

• DEEP方法可用于改进通用linear codes的 worst-to-average-case。将$V$中的codewords看成是domain $D$中evaluations的线性组合，可请求对应该线性组合中的$u^{\ast },u$在随机点$z\in \bar{D}$的evaluation值，其中$|\bar{D}|\gg |D|$。Lemma 4.6概括了Theorem 4.1：
  • 若$V$具有（small list size的）near-capacity list-decoding半径，且$\bar{D}$对应（某generating矩阵各列的）good error correcting code，则有$E_x[{\delta }_x]\approx {\delta }_{max}$。
• 任意linear codes和RS code情况下的区别在于：
  • RS code场景下，verifier可使用，prover所回复的${\alpha }^{\ast }(x),\alpha (x)$，在本地修改$u_x$元素，以降低最终函数的degree。而对所有linear codes来说，其不具备该属性。

1.3 DEEP-FRI

将DEEP技术用于FRI协议，需要做相应修改。

FRI协议可描述为“随机folding” (inverse) Fast Fourier Transform（iFFT）计算的过程。在“经典”iFFT中：

• 初始函数$f^{(0)}:<w>\to \mathbb{F}$，其中$w$为generator，用于生成order为$2^k$的multiplicative group，$k$为整数。
• iFFT计算函数$f$的插值多项式$\tilde{f}(X)$，计算复杂度为$O(k{2}^k)$。
• 以线性时间计算一组函数$f_0,f_1:<w^2>\to \mathbb{F}$，注意有$|<w^2>|=\frac{1}{2}|<w>|$。相应的插值多项式${\tilde{f}}_0,{\tilde{f}}_1$可用于计算$f$的插值多项式$\tilde{f}$。

如《Fast Reed-Solomon Interactive Oracle Proofs of Proximity》中所述，以上FRI协议中：

• Prover首先对$f$进行commit
• Verifier采样随机值$x^{(0)}\in \mathbb{F}$
• 协议继续处理单个函数$f^{(1)}:<w^2>\to \mathbb{F}$，其满足$f^{(1)}:=f_0+x^{(0)}{f}_1$。
• 若$f$的degree确实小于$\rho |<w>|$，则对于所有的$x$，有$f^{(1)}$的degree小于$\rho |<w^2>|$。
• 其中棘手的部分在于：当$f$离$RS[\mathbb{F},<w>,\rho ]$为$\delta$-far，则大概率基于$x$的$f^{(1)}$也是${\delta }^{\prime }$-far，其中${\delta }^{\prime }$离$\delta$尽可能近。
• 方程式（2）和Lemma 3.1中的worst-case-to-average-case结论，可转换为类似对FRI的改进，即对于$\delta <1-\sqrt[3]{\rho }$，有${\delta }^{\prime }\approx \delta$。

DEEP-FRI协议：

• 为将方程式（4）和Theorem 4.1中的DEEP技术用于改进RS-IOPP soundness，而对FRI协议做了修改。
• 与FRI协议的不同之处在于：
  • 不直接构建$f^{(1)}$，而是verifier先发送随机采样点$z^{(0)}\in \mathbb{F}$，并向prover请求插值多项式$f^{(0)}$在$z^{(0)}$和$-z^{(0)}$点的evaluation值。
  • 在收到${\alpha }_{z^{(i)}},{\alpha }_{-z^{(i)}}$之后，继续采样$x^{(0)}$，并期待Prover所submit的$f^{(1)}$为$f_0^{\prime },f_1^{\prime }$的线性组合。其中$f_0^{\prime },f_1^{\prime }$派生自 $f$的$f^{\prime }$，而$f^{\prime }$中已包含了之前回复的${\alpha }_{z^{(i)}},{\alpha }_{-z^{(i)}}$。
  • 假设$\tilde{f}$为$f$的插值多项式，则诚实的Prover将设置$f^{\prime }(X):=(\tilde{f}(X)-U(X))/Z(X)$，其中：
    • $U(X)$为degree $\le 1$的多项式，其在$z^{(0)}$点的evaluation值为${\alpha }_{z^{(0)}}$，在$-z^{(0)}$点的evaluation值为${\alpha }_{-z^{(0)}}$。
    • $Z(X)$为首项系数为1且degree为2的多项式，其roots为$z^{(0)},z^{(0)}$。

详情见本论文Section 5，方程式（4）和Theorem 4.1的soundness bound适用于DEEP-FRI：

• list-size为“small”的情况下，对于任意小于最大半径的$\delta$，DEEP-FRI的soundness，即拒绝 距离$RS[\mathbb{F},D,\rho ]$为$\delta$-far 的words 的概率约为$\delta$。

1.4 DEEP Algebraic Linking IOP (DEEP-ALI)

1.3节中仅讨论了改进Reed-Solomon Proximity Testing（RPT）的结论。

本节将讨论：

• 如何使用RPT结论来改进基于IOP的证明系统的soundness？

为利用RPT改进的soundness优势：

• 需要某种reduction来生成RPT problem实例。当input instance是unsatisfiable时，对应所生成的RPT problem实例应 far from the relevant RS code。
  • 在2018年《Scalable, transparent, and post-quantum secure computational integrity》论文中，提出了Algebraic Linking IOP (ALI)协议。
    • 该RPT problem实例派生自ALI中的某unsatisfiable instance。并证明了其是far from low-degree的，但在该论文中所证明的distance bound为$<1/8$——即使RS code中所使用的rate $\rho$可忽略。【也在Aurora论文中有类似猜想。】
  • 本文Section 6中，与DEEP-FRI修改类似，也采用了DEEP技术来改进ALI协议。
    • 修改之后的DEEP-ALI协议，适用于方程式（4）中的soundness结论。且当提供unsatisfiable instances时，借助DEEP-ALI协议所生成的received words的distance至少为$1-\sqrt{\rho }-o(1)$。【也可能更大，详情见Conjecture 2.3。】

2. 预备知识

• 1）Functions函数：对于集合$D$，本文关注的函数 $u:D\to \mathbb{F}$ 空间，表示为${\mathbb{F}}^D$。

  • 对于$u\in {\mathbb{F}}^D$，$z\in D$，使用$u(z)$来表示$u$的第$z$个元素。
  • 对于$C\subset D$，使用$f{|}_C$来表示限定$f$到$C$。
  • 对于2个函数$f,g:D\to \mathbb{F}$，以$f=g$来表示对于${\mathbb{F}}^D$中的元素，这两个函数相等；以$f{|}_C=g{|}_C$来表示当限定元素为${\mathbb{F}}^C$时，二者是相等的。

• 2）Distance距离：以${\Delta }_D(u,v)={\mathrm{Pr}}_{z\in D}[u(z)\ne v(z)]$来表示relative Hamming distance，并在上下文清晰的情况下，可忽略$D$。

  • 对于集合$S\subset {\mathbb{F}}^D$，使用${\Delta }_D(v,S)={\min }_{s\in S}{\Delta }_D(v,s)$和${\Delta }_D(S)={\min }_{s\ne s^{\prime }\in S}{\Delta }_D(s,s^{\prime })$来表示$S$的minimal relative distance。
  • 对于$u\in {\mathbb{F}}^D$，将，以$u$为中心，归一化$\delta$为半径的${\mathbb{F}}^D$ Hamming ball，表示为$B(u,\delta )$，有：$B(u,\delta )=\{u^{\prime }\in {\mathbb{F}}^D|{\Delta }_D(u,u^{\prime })<\delta \}$。

• 3）Linear codes：$[n,k,d{]}_q$-linear error correcting code为基于${\mathbb{F}}_q$域的、dimension为$k$的、最小Hamming distance为$d$的线性空间$V\subset {\mathbb{F}}_q^n$。

  • $V$的generating矩阵表示为具有rank $k$的矩阵$G\in {\mathbb{F}}_q^{n\times k}$，其满足$V=\{Gx|x\in {\mathbb{F}}_q^k\}$。

• 4）Polynomials and RS codes：$f:D\to \mathbb{F}$的插值多项式是唯一的，该插值多项式的degree $<|D|$，且其在$D$ domain的evaluation值为$f$。

  • $\mathrm{deg}(f)$表示$f$的degree——即为其插值多项式的degree。
  • 基于domain $D\subset \mathbb{F}$所evaluate的RS码 以及 rate $\rho$ 表示为$RS[\mathbb{F},D,\rho ]=\{f:D\to \mathbb{F}|\mathrm{deg}(f)<\rho |D|\}$。
  • 有时，使用degree比使用rate来表达更合适，也可表示为$RS[\mathbb{F},D,d]=\{f:D\to \mathbb{F}|\mathrm{deg}(f)<d\}$。
  • 以大写字母，如$P,Q$来表示多项式。
  • $P\in RS[\mathbb{F},D,\rho ]$即意味着$\mathrm{deg}(P)<\rho |D|$。
  • $P$与某RS codeword关联，是指其为$D$的evaluation值。
  • $\tilde{f}$来表示对函数$f$的插值多项式。

2.1 List Decoding

Reed-Solomon Codes的list size定义为：

• 对于$u\in {\mathbb{F}}^D$，集合$V\subset {\mathbb{F}}^D$，以及distance参数$\delta \in [0,1]$。
• 令$List(u,V,\delta )$为$V$中某些元素的集合，这些元素离$u$的relative Hamming distance最多为$\delta$-far。
• 使用$B(u,\delta )$来表示，以$u$为中心，$\delta$为相对半径的Hamming ball。
• 有$List(u,V,\delta )=B(u,\delta )\cap V$。
• 若对于所有的$u\in {\mathbb{F}}_q^D$，有$|List(u,V,\delta )|\le L$，则称code $V$为$\delta ,L$-list-decodable。
• 对于$D\subseteq {\mathbb{F}}_q$，$V=RS[{\mathbb{F}}_q,D,\rho =d/|D|]$，从所有的$u\in {\mathbb{F}}_q^D$中取最大size的$List(u,V,\delta )$，表示为$\mathcal{L}({\mathbb{F}}_q,D,d,\delta )$。

Johnson bound基础为：

• 对于最小distance为large的集合，其具有nontrivial list-decodability。

根据[Gur07]论文的Theorem 3.3，设置$d=(1-\rho )|D|$且$e=(1-\sqrt{\rho }-\epsilon )|D|$，相应的Johnson bound具有如下定理：

• 令$V\subset {\mathbb{F}}^D$为最小相对距离为$1-\rho$的code，其中$\rho \in (0,1)$。则对于每个$\epsilon \in (0,1-\sqrt{\rho })$，$V$是$(1-\sqrt{\rho }-\epsilon ,1/(2\epsilon \sqrt{\rho }))$-list-decodable。

特别地，对于Reed-Solomon codes，其遵循如下list-decodability bound：
$\mathcal{L}({\mathbb{F}}_q,D,d=\rho |D|,1-\sqrt{\rho }-\epsilon )\le O(\frac{1}{\epsilon \sqrt{\rho }})$

本文非常乐观地希望对于具有中等list size的、distance最多为其Capacity的所有Reed-Solomon codes都是list-decodable的。为此，有如下勇敢地猜想——Conjecture 2.3（List decodability of Reed-Solomon Codes up to Capacity）：

• 对于每个$\rho >0$，存在某常量$C_p$，使得 每个长度为$n$的Reed-Solomon code 和 rate $\rho$，都是list-decodable from $1-\rho -\epsilon$ fraction errors with list size $(\frac{n}{\epsilon }{)}^{C_p}$。即：
  $\mathcal{L}({\mathbb{F}}_q,D,d=\rho |D|,1-\sqrt{\rho }-\epsilon )\le O(\frac{|D|}{\epsilon }{)}^{C_p}$

Theorem 4.1（DEEP method for RS codes）为：

5. DEEP-FRI

DEEP-FRI：

• 为一种新的fast RS IOPP。

5.1 FRI

初始函数为$f^{(0)}:L^{(0)}\to \mathbb{F}$，其中：

• $\mathbb{F}$为某有限域。
• evaluation domain $L^{(0)}\subset \mathbb{F}$为$\mathbb{F}$中某群的coset。若$\mathbb{F}$为binary field，则该群为加法群；否则为乘法群。
• $|L^{(0)}|=2^{k^{(0)}}$。

假设目标rate为$\rho =2^{-\mathcal{R}}$，其中$\mathcal{R}$为某正整数。

FRI协议用于让Verifier信服：

• $f^{(0)}$接近于该Reed-Solomon code $RS[\mathbb{F},L^{(0)},\rho ]$。

FRI协议中有2大阶段：

• COMMIT阶段：包含$r=k^{(0)}-\mathcal{R}$轮。
• QUERY阶段

在Prover和Verifier开始做任何通讯之前，二者需对一系列sub-groups $L^{(i)}$（的cosets）达成一致，其中$|L^{(i)}|=2^{k^{(0)}-i}$。以$R{S}^{(i)}$来表示Reed-Solomon code $RS[\mathbb{F},L^{(i)},\rho |L^{(i)}|]$。

FRI协议的主要要素为：

• 一种特殊的代数哈希函数$H_x$：
  • 其输入有：seed $x\in \mathbb{F}$，和，函数$f:L^{(i)}\to \mathbb{F}$。
  • 其输出为：长度为$f$一半的hash。

准确来说，函数$H_x[f]$为：【详情见附录B】

• $H_x[f]:L^{(i+1)}\to \mathbb{F}$

其具有如下属性：

• 1）locality：对于任意的$s\in L^{(i+1)}$，可仅query $f$在其domain上的2个点，就可计算出$H_x[f]$。（这2个点为$(q^{(i)}{)}^{-1}(s)$）
• 2）completeness：若$f\in R{S}^{(i)}$，则对于所有的$x\in \mathbb{F}$，有$H_x[f]\in R{S}^{(i+1)}$。
• 3）soundness：若$f$为far from $R{S}^{(i)}$，则大概率基于所选择的seed $x$，$H_x[f]$也会quite far from $R{S}^{(i+1)}$。

其中completeness和soundness这两个属性，粗略说明了，基于随机$x$，$H_x$将保持与Reed-Solomon codes的距离。

5.1.1 FRI COMMIT 阶段

FRI COMMIT 阶段流程为：

• 1）对于$i=0$到$i=r-1$：
  • 1.1）Verifier选择随机值$x^{(i)}\in \mathbb{F}$，并发送给Prover。
  • 1.2）Prover写下函数$f^{(i+1)}:L^{(i+1)}\to \mathbb{F}$。若Prover是诚实的，此时有$f^{(i+1)}=H_{x^{(i)}}[f^{(i)}]$。
  • 1.3）重复以上流程，直到$i=r-1$。
• 2）Prover写下value值$C\in {\mathbb{F}}_q$。若Prover是诚实的，$f^r$为值为$C$的常量函数。

5.1.2 FRI Query 阶段

FRI Query 阶段流程为：【由Verifier执行，因满足上面的属性1，Verifier可根据query值来做相应计算。】

• 1）重复以下步骤$l$次：【即Verifier对每一轮均做$l$次query】
  • 1.1）选择随机值$s^{(0)}\in L^{(0)}$
  • 1.2）对于$i=0$到$i=r-1$：【逐轮检查这些evaluation值的一致性】
    • 1.2.1）根据$s^{(i+1)}=q^{(i)}(s^{(i)})$定义$s^{(i+1)}\in L^{i+1}$。
    • 1.2.2）根据对$f^{(i)}$的2个query值，计算$H_{x^{(i)}}[f^{(i)}](s^{(i+1)})$。
    • 1.2.3）若$f^{(i+1)}(s^{(i+1)})\ne H_{x^{(i)}}[f^{(i)}](s^{(i+1)})$，则REJECT。
• 2）ACCEPT。

5.2 DEEP-FRI

DEEP-FRI为FRI的变种：

• 具有改进的soundness
• 代价是：增加了少量query复杂度。但不会增加proof length，也不会增加对committed proofs的query次数——实际应用中这很重要。

5.2.1 Quotienting

有集合$L\subseteq {\mathbb{F}}_q$和函数$f:L\to {\mathbb{F}}_q$。已知 point $z\in {\mathbb{F}}_q$ 和 value $b\in {\mathbb{F}}_q$。

令$Z(Y)\in {\mathbb{F}}_q[Y]$为多项式$Z(Y)=Y-z$。则定义$QUOTIENT(f,z,b)$为函数$g:L\to {\mathbb{F}}_q$，有：
$g(y)=\frac{f(y)-b}{Z(y)}$

也可简洁表示为：$g=QUOTIENT(f,z,b)=\frac{f-b}{Z}$。其具有如下特性：

5.2.2 DEEP-FRI协议

有：

• linear spaces：$L^{(0)},L^{(1)},\cdots ,L^{(r)}$，分别具有的dimension为$k,k-1,\cdots ,k-r$。
• 有subspaces：$L_0^{(0)},L_0^{(1)},\cdots ,L_0^{(r)}$，dimension均为1。且有$L_0^{(i)}\subseteq L^{(i)}$。
• 注意，domain $L^{(0)}$ 远小于 ${\mathbb{F}}_q$域——可能有$q=|L^{(0)}{|}^{\Theta (1)}$。

DEEP-FRI协议的输入为：

• 函数 $f^{(0)}:L^{(0)}\to {\mathbb{F}}_q$，其具有的degree $<d^{(0)}$。

DEEP-FRI协议的COMMIT阶段流程为：

• 1）对于每个$i\in [0,r-1]$，执行以下流程：
  • 1.1）Verifier选择随机值$z^{(i)}\in {\mathbb{F}}_q$。
  • 1.2）Prover写下degree $1$ 多项式 $B_{z^{(i)}}^{(i)}(X)\in {\mathbb{F}}_q[X]$，要求$B_{z^{(i)}}^{(i)}(x)$值 等于 低degree多项式$H_x[f^{(i)}]$在$z^{(i)}$点的evaluation值。
  • 1.3）Verifier选择随机值$x^{(i)}\in {\mathbb{F}}_q$。
  • 1.4）Prover写下函数 $f^{(i+1)}:L^{(i+1)}\to {\mathbb{F}}_q$。若输入为$y$，则其等于$QUOTIENT(H_{x^{(i)}}[f^{(i)}],z^{(i)},B_{z^{(i)}}^{(i)}(x))$。
  • 1.5）重复以上流程，直到$i=r-1$。
• 2）Prover写下value $C\in {\mathbb{F}}_q$。

DEEP-FRI Query 阶段流程为：【由Verifier执行，因满足上面的属性1，Verifier可根据query值来做相应计算。】

• 1）重复以下步骤$l$次：【即Verifier对每一轮均做$l$次query】
  • 1.1）选择随机值$s^{(0)}\in L^{(0)}$
  • 1.2）对于$i=0$到$i=r-1$：【逐轮检查这些evaluation值的一致性】
    • 1.2.1）根据$s^{(i+1)}=q^{(i)}(s^{(i)})$定义$s^{(i+1)}\in L^{i+1}$。
    • 1.2.2）根据对$f^{(i)}$的2个query值，计算$H_{x^{(i)}}[f^{(i)}](s^{(i+1)})$。
    • 1.2.3）若$H_{x^{(i)}}[f^{(i)}](s^{(i+1)})\ne f^{(i+1)}(s^{(i+1)})\cdot (s^{(i+1)}-z^{(i)})+B_{z^{(i)}}^{(i)}(x^{(i)})$，则REJECT。
• 2）ACCEPT。

DEEP-FRI协议分析：

6. DEEP-ALI

DEEP Algebraic Linking IOP (DEEP-ALI) 。
可将以上Theorem 4.1和第5章技术用于改进 interactive oracle proof (IOP) protocol 中其它部分的soundness。本文将这些技术用于获得，比2018年《Scalable, transparent, and post-quantum secure computational integrity》论文Theorem 3.4，具有更好soundness的Scalable
Transparent IOP of Knowledge (STIK)。

证明系统中通常会用少量步骤来，将，nondeterministic language $L$下的membership problem，reduce为，对某种algebraic code（如Reed-Solomon）的proximity函数的algebraic problem。这种reduction的目的是：

• 获取一个大的proximity gap $\gamma$，即意味着：
  • 对$L$中的实例，诚实的Prover将提供引导到codewords的信息；
  • 对非$L$中的实例，Prover所提供的任何oracle，经该reduction转换后的函数，大概率与相应code是$\delta$-far的。
  • 有大量研究致力于增加$\delta$值，因其实FRI和DEEP-FRI这些proximity协议的输入，且这些协议的soundness与$\delta$有关。

STIK协议是一种特例情况。STIK协议：

• 要求Prover提供对函数 $f:D\to \mathbb{F}$的oracle access，并假定函数 $f:D\to \mathbb{F}$ 是对$L$中输入实例的membership witness的RS编码。
• 对$f$应用一组$t$-local约束，以构建函数$g:D\to \mathbb{F}$，要求其具有如下gap-guarantee：
  • 若$f$确实为该实例某有效witness的编码，则所获得函数$g:D\to \mathbb{F}$也是某RS code成员。
• Verifier会在$f,g$之间做consistency test。
  • 在本文之前，都是直接对$f,g$做consistency test。这将导致非常小的$\gamma$——$\gamma \le \frac{1}{8}$。从而导致 后续对$f,g$应用RS Proximity Testing（RPT）协议提供small soundness。
  • 本文：通过应用DEEP技术：
    • 在提供完$f,g$之后，Verifier提供随机值$z\in {\mathbb{F}}_q$，并向Prover请求，检查 所有$t$个约束consistency test所需的$f,g$插值多项式值。
    • Verifier，使用从Prover中获得信息，对$f,g$做QUOTIENT操作，

本文证明了，对基于large domain $D^{\prime }\supset D$ 的单个consistency test，足以将proximity gap改进为$1-\sqrt{\rho }$，当$\rho$越接近于0时，该proximity gap约接近于1值。

本文基于Algebraic linking IOP protocol (ALI) 协议，获得改进了proximity gap的DEEP-ALI协议。

6.1 The Algebraic Placement and Routing (APR) Relation

接下来，以$\tilde{f}$来表示$\mathbb{F}[x]$中的某多项式。对$D\subseteq \mathbb{F}$的operator ${|}_D$，将多项式转变为函数：$\tilde{f}{|}_D:D\to \mathbb{F}$。

本文定义了简化版的 Algebraic placement and routing relation (APR)，并仅使用一个witness多项式。该APR将用作Protocol 6.4中的reduction的输入。

Definition 6.1：Instance-Witness pairs $(\mathbb{X},\mathbb{W})$集合的$R_{APR}$ relation满足：

• 1）Instance格式：instance $\mathbb{X}$为tuple $({\mathbb{F}}_q,d,\mathcal{C})$，其中：
  • ${\mathbb{F}}_q$：size为$q$的有限域。
  • $d$：整数，表示witness degree的上限。
  • $\mathcal{C}$：为表示约束的$|C|$个tuples $(M^i,P^i,Q^i)$集合：
    • $M^i$：为mask，对应为一组域元素$M^i=\{M_j^i\in {\mathbb{F}}_q{\}}_{j=1}^{|M^i|}$。
    • $P^i$：为约束条件，对应为具有$|M^i|$个变量的多项式。
    • $Q^i\in {\mathbb{F}}_q[x]$：为约束的domain多项式，其应在约束成立的位置vanish。
  • 此外，引入了如下标记符：
    • $\mathcal{M}=\{M_j^i|1\le i\le |\mathcal{C}|且1\le j\le |M^i|\}\subseteq {\mathbb{F}}_q$为full mask。
    • $d_{\mathcal{C}}={\max }_i\mathrm{deg}(P^i)$为$P^i$的maximal total degree。
    • $Q_{lcm}\in {\mathbb{F}}_q[x]$为$Q^i$的最大公倍数。
• 2）Witness格式：witness $\mathbb{W}$ 为某多项式 $\tilde{f}\in {\mathbb{F}}_q$。
  • 若$P(\tilde{f}(x\cdot M_1),\cdots ,\tilde{f}(x\cdot M_{|M|}))=0$，则称约束$(M,P,Q)$在位置$x\in {\mathbb{F}}_q$处成立。
  • 若在每个$x\in {\mathbb{F}}_q$成立，有$Q(x)=0$，则称$\tilde{f}$满足该约束。
  • 当且仅当 $\mathrm{deg}(\tilde{f})<d$ 且 $\tilde{f}$ 满足所有约束，则称Witness $\mathbb{W}$ 满足 Instance $\mathbb{X}$。

本文遵循《Scalable, transparent, and post-quantum secure computational integrity》论文中的思想，并展示了由Algebraic Intermediate Representation（AIR）到APR的reduction：

• 令$\mathbb{X}=({\mathbb{F}}_q,T,\mathbf{w},\mathcal{P},C,B)$为$R_{AIR}$ instance。
• 选择size为$T\cdot \mathbf{w}$的乘法子群$<\gamma >\subseteq {\mathbb{F}}_q^{\times }$，选择$\tilde{f}$，使得对于$t\in [T]和i\in [w]$，有$\tilde{f}({\gamma }^{tw+j})=w_j(t)$。此处$[n]=\{0,1,\cdots ,n-1\}$。
• 对于$\mathcal{P}$中所有约束：
  • 选择mask $M=\{1,\gamma ,\cdots ,{\gamma }^{2\mathbf{w}-1}\}$
  • 选择domain多项式，其在$\{{\gamma }^{t\mathbf{w}}{\}}_{t\in [T-1]}$处均为0值，即$Q(x)=(x^T-1)/(x-{\gamma }^{-w})$。
  • 将每个boundary约束$(i,j,\alpha )\in B$，替换为常规约束——$M=\{1\},P(x)=x-\alpha ,Q(x)=x-{\gamma }^{i\mathbf{w}+j}$。

6.2 DEEP-ALI协议

Protocol 6.4：DEEP-ALI协议流程为：

• 1）Prover发送$f:D\to \mathbb{F}$（实际应为$\tilde{f}{|}_D$）的oracle。
• 2）Verifier发送随机系数$\alpha =({\alpha }_1,\cdots ,{\alpha }_{\mathcal{C}})\in {\mathbb{F}}_q^{|\mathcal{C}|}$。
• 3）Prover发送$g_{\alpha }:D^{\prime }\to \mathbb{F}$（实际应为${\tilde{g}}_{\alpha }{|}_{D^{\prime }}$）的oracle，其中：
  $$\begin{array}{c}{\tilde{g}}_{\alpha }=\sum _{i=1}^{|\mathcal{C}|}{\alpha }_i\cdot \frac{P^i(\tilde{f}(x\cdot M_1^i),\cdots ,\tilde{f}(x\cdot M_{|M^i|}^i))}{Q^i(x)}\end{array}$$
  注意：$\mathrm{deg}({\tilde{g}}_{\alpha })<d\cdot d_{\mathcal{C}}$。
• 4）Verifier发送随机值$z\in {\mathbb{F}}_q$。
• 5）令$\mathcal{M}=\{z\cdot M_j^i|1\le i\le |\mathcal{C}|且1\le j\le |M^i|\}$。Prover发送$a_{\alpha ,z}:{\mathcal{M}}_z\to \mathbb{F}$（实际应为$\tilde{f}{|}_{{\mathcal{M}}_z}$）的oracle。Verifier根据上面方程式计算$b_{\alpha ,z}={\tilde{g}}_{\alpha }(z)$。
• 6）$U(x),Z(x)$ 对应上面5.2.1节$QUOTIENT(f,a_{\alpha ,z})$中定义，并令：
  $h^1(x)=h_{\alpha ,z}^1(x)=QUOTIENT(f,a_{\alpha ,z})=\frac{f(x)-U(x)}{Z(x)}$
  $h^2(x)=h_{\alpha ,z}^2(x)=QUOTIENT(g_{\alpha },\{z\mapsto b_{\alpha ,z})=\frac{g_{\alpha }(x)-b_{\alpha ,z}}{x-z}$
  • 注意，通过$f,g$的oracle，Verifier也对$h^1,h^2$具有oracle access。
• 7）Prover和Verifier使用$RP{T}_D,RP{T}_{D^{\prime }}$来：
  • 7.1）证明$h^1$离$RS[{\mathbb{F}}_q,D,(d-|\mathcal{M}|)/|D|]$最多为$\delta$-far。换句话说，即其接近于某degree $<d-|\mathcal{M}|$的多项式。
  • 7.2）证明$h^2$离$RS[{\mathbb{F}}_q,D^{\prime },(d\cdot d_{\mathcal{C}}-|\mathcal{M}|)/|D^{\prime }|]$最多为$\delta$-far。

6.3 DEEP-ALI vs. ALI

DEEP-ALI协议 相比于 ALI协议的优势有：

• 1）Soundness优势：
  • 即使$\rho$接近于0值，ALI协议的lower bound为$1/8$。
  • DEEP-ALI协议的lower bound为$1-\sqrt{\rho }$。
• 2）Query复杂度：
  • ALI中Verifier需query $|\mathcal{M}|\cdot Q$个域元素，因需要$|\mathcal{M}|$个元素来evaluate $P^i(\tilde{f}(x\cdot M_1^i),\cdots ,\tilde{f}(x\cdot M_{|M^i|}^i))$。
  • DEEP-ALI中Verifier需query $O(|\mathcal{M}|+Q)$个域元素，因为$P^i$的evaluation 之前已完成。
• 3）Verifier复杂度：
  • ALI中Verifier复杂度为$\Omega (Q\cdot T_{arith})$，其中$T_{arith}$为evaluate所有约束的运算复杂度。
  • DEEP-ALI中Verifier复杂度区间与$Q+T_{arith}$，因仅需对约束evaluate一次。
• 4）Prover复杂度：对于多个witness多项式$f_1,\cdots ,f_{\mathbf{w}}$：
  • ALI中 Prover复杂度为$(\mathbf{w}{d}_{\mathcal{C}}{\rho }^{-1}+T_{arith}{d}_{\mathcal{C}})\cdot d$
  • DEEP-ALI中 Prover复杂度为$(\mathbf{w}{\rho }^{-1}+d_{\mathcal{C}}{\rho }^{-1}+T_{arith}{d}_{\mathcal{C}})\cdot d$

附录B 代数哈希函数$H_x$

需固定特定subspaces来描述代数哈希函数$H_x$。对于每个$i\in [0,r]$，选择${\mathbb{F}}_2$-subspaces $L_0^{(i)},L^{(i)}$应满足如下属性：

• 1）$L_0^{(i)}\subseteq L^{(i)}$，其中$\dim (L_0^{(i)})=1$
• 2）$L^{(i+1)}=q^{(i)}(L^{(i)})$，其中$q^{(i)}(X)$为$L_0^{(i)}$的subspace多项式：
  $q^{(i)}(X)={\prod }_{\alpha \in L_0^{(i)}}(X-\alpha )$
  • $q^{(i)}(X)$为对kernel $L_0^{(i)}$的${\mathbb{F}}_2$-linear map
  • $\dim (L^{(i+1)})=\dim (L^{(i)})-1$

以${\mathcal{S}}^i$来表示包含在$L^{(i)}$中的$L_0^{(i)}$的cosets集合。

已知$x\in \mathbb{F}$和$f:L^{(i)}\to \mathbb{F}$，以seed $x$对$f$的哈希定义为函数$H_x[f]:L^{(i+1)}\to \mathbb{F}$。

对于$s\in L^{(i+1)}$，令$s_0,s_1\in L^{(i+1)}$为$q^{(i)}(X)-s$的2个roots。
令$P_{f,s}(X)\in \mathbb{F}[X]$为唯一的degree $\le 1$多项式，其若满足：
$P_{f,s}(s_0)=f(s_0)$
$P_{f,s}(s_1)=f(s_1)$
则可定义：
$$\begin{array}{c}{H}_x[f](s)=P_{f,s}(x)\end{array}$$

由此可知，$H_x[f](s)$是对$f$ query集合 $\{s_0,s_1\}$ 计算而来的。$\{s_0,s_1\}$ 为$L_0^{(i)}$的coset，并将其表示为${\mathcal{S}}_s^{(i)}$。

接下来，看$H_x$对$R{S}^{(i)}$的用途。
令$f\in R{S}^{(i)}$，则底层的$f(X)$的degree最多为$\rho |L^{(i)}|$。可将$f(X)$基于base $q^{(i)}(X)$表示为：
$$\begin{array}{c}f(X)=a_0(X)+a_1(X)\cdot q^{(i)}(X)+\cdots +a_t(X)\cdot (q^{(i)}(X){)}^t\end{array}$$

其中：

• 每个$a_i(X)$的degree最多为1。
• $t\le \rho |L^{(i)}|/2$

由于多项式$f(X)$和$P_{f,s}(X)$在$q(X)-s$的roots处相交，从而有$f(X)\equiv P_{f,s}(X)\mathrm{mod}(q^{(i)}(X)-s)$。根据上面方程式有：
$P_{f,s}=a_0(x)+$