基于circle group的Reed-Solomon codes

1. 引言

Polygon团队Ulrich Hab¨ock等人2023年论文 Reed-Solomon codes over the circle group。

前序博客有：

• Plonky3 Mersenne素数域的Reed-Solomon codes设计

STARKs支持任意size的域，而不要求是椭圆曲线。STARKs中在选择域size时，越小越好，原因在于：

• 更紧凑的trace表示。越紧凑，相应的FFT运算约cheap。
• 大多数prover not in the extension field：
  • commit：FFT运算和hash运算为commit的主要开销。Prover的大部分开销在于commit。
  • evaluating constraints：FFT运算为evaluate的主要开销。

STARKs需要更小的域，当前有：

• Plonky2（2021）：Goldilocks域：$p=2^{64}-2^{32}+1$【64bit素数域】
• RISC Zero（2021）：Babybear域：$p=2^{31}-2^{17}+1$【31bit素数域】
• Plonky3（2023）：约31bit素数域——Mersenne M31域：$p=2^{31}-1$【31bit素数域】

寻找Mersenne域的目的是：

• 相比于Babybear域，具有更快的运算（针对标准CPU架构，如：ARM，x86）
• STARK友好（即FFT友好）

2. Mersenne M31域

Mersenne M31域：$p=2^{31}-1$【31bit素数域】

• 其优点在于：具有非常快的运算。【乘法运算比Babybear快约30%到50%。】
  
• 其缺点在于：不是FFT友好的。因$p-1=2^{31}-2=2\cdot (2^{30}-1)$，其仅具有two-adic roots：$\pm 1$。

可能的应对策略有：

• 1）non-twoadic FFT：不够快。
  
• 2）像Brakedown中的Expander codes：huge proof sizes，not faster。
• 3）基于椭圆曲线的Algebraic Geometry（AG） codes，如ECFFT：advanced math。
• 4）基于M31域，可使用更简单的Mersenne FFT。

3. 何为Mersenne FFT？

M31域的complex extension表示为：
$M31_{\mathbb{C}}=M31[i]/(i^2+1)=\{x+i\cdot y:x,y\in M31\}$【有$i^2=-1$。】

M31的复数扩域具有如下属性：

• 1）FFT友好性：
  $|M31_{\mathbb{C}}^{\ast }|=p^2-1=(p+1)\cdot (p-1)=2^{31}\cdot (2^{31}-2)$
• 2）$(p+1)$-th roots of unity属于：【即$2^{31}$-th roots of unity属于】
  $S_1=\{x+i\cdot y\in M31_{\mathbb{C}}:x^2+y^2=1\}$【有$|S_1|=2^{31}$。】
  事实上：
  $x^2+y^2=z\cdot \bar{z}=z\cdot z^p=z^{p+1}$。

  其中$\bar{z}$为$z=x+i\cdot y$的共轭复数$\bar{z}=x-i\cdot y$。
  由于有共轭等价为Frobenius isomorphism，即$\bar{z}=z^p$。从而有$x^2+y^2=z\cdot \bar{z}=z^{p+1}$，同时有$(p+1)|(p^2-1)$，从而可得出结论：该circle group为$(p+1)$-th roots of unity subgroup，具有的order为$p+1$。

• 3）对有理数的（知名）FFT 要比 对复数的FFT快得多：【下图的$bb$是指Babybear域。】
  
  原因在于其具有很好的对称性和共轭性：
  

4. Extrapolation

$H$为$S_1$的subgroup，$t\cdot H$为a coset，$f:H\to M31$为某“real”函数。
如下图所示，黑点表示$H$ subgroup，红点表示$t\cdot H$ coset。

STARK处理流程中包括：

• FFT-interpolate插值，以获得$\hat{f}(z)$多项式。
• 基于$t\cdot H$对$\hat{f}(z)$多项式做 FFT-evaluate。【complex output！】

当$f$为real，且具有zero mean时，对应有如下定理：

5. 结论

可基于M31域获取“almost native” Reed-Solomon codes：

• 基于coset $t\cdot H$的values可弄成real（“compressed”）。
  • 基于M31域的承诺开销，与Babybear域的承诺开销基本相当，甚至会更快。具体取决于所采用的哈希函数。
• 编码开销与native Reed-Solomon相当：
  • 基于M31域的FFT开销，与Babybear域的FFT开销基本相当，且有希望能更快。即将完成相应代码实现。

参考资料

[1] Ulrich Hab¨ock等人2023年论文 Reed-Solomon codes over the circle group
[2] 2023年11月视频 “Reed Solomon codes over the circle group" - Ulrich