ZKSwap团队解读零知识证明PLONK电路

作者：

时间：1900/1/1 0:00:00

最近研究了下零知识证明算法-PLONK。肚子里的墨水又增加了，借此记录学习成果与心得体会---ZkSwap小白。

现状

近些年，各种新的零知识证明算法层出不出，各有各的特点，各有各的优势。借用V神系列文章里的一张图来简单呈现下当前的零知识证明算法现状。

从图中可以简单总结出以下几点：

理论上安全性最高的是STARKs算法，不依赖数学难题假设，具有抗量子性；Proof大小上最小的是SNARKs算法，如Groth16;PLONK算法在安全性上和Proof大小上，位于上述两者之间；其他的这里不做过多阐述，如想了解零知识证明更多信息，可参考链接；对于SNARKs算法，绕不开的一个点就是中心化的TrustSetup，也称之为CRS(theCommonReferenceString)。而无论是PGHR13,Groth16,还是GM17算法，它们的CRS都是一次性的，不可更新的。即：不同的问题将对应着不同的CRS，这在某些场景下，会变得比较麻烦。这些存在的问题，变了PLONK，SONIC这类算法的一个优势，它们算法虽然也需要中心化的可信设置，但是它的CRS具有一定的普适性。即：只要电路的大小不超过CRS的上限阈值，一些证明问题就可以共用一个CRS，这种CRS称之为SRS(universalStructuredReferenceString)，关于SRS的定义，详细的可参考SONIC协议里的第3小节。PLONK算法继用了SONIC算法的SRS的思想，但是在证明的效率上，做了很大的提升。接下来，让我们详细的介绍下PLONK算法的具体细节，主要从下面四个小节去分享：

一聪明钱鲸鱼在过去3个月内购买stETH赚取了600万美元:金色财经报道，据Lookonchain监测，一聪明钱鲸鱼在过去3个月内购买stETH赚取了600万美元,他在3月13日至3月15日以1,629美元的价格买入27,606枚stETH。4月21日以1,937美元的价格售出12,746枚stETH。6月15日以1,671美元的价格买入15,701枚stETH。6月19日以1,724美元的价格售出15,125枚stETH。[2023/6/20 21:48:55]

电路的设计--描述PLONK算法的电路的描述思想；置换论证或者置换校验--复制约束，证明电路中门之间的一致性；多项式承诺--高效的证明多项式等式的成立；PLONK协议--PLONK协议剖析；电路

PLONK算法电路的描述和SONIC算法一直，具体的过程可以参考李星大牛的分享，已经写的比较详细且易懂。在这个小篇幅里，我想主要分享下我自己的两点想法：

币安已修复ARB存款问题，此前执行过DelegateVotesChanged事件的存款显示为未记入:金色财经报道，据官方推特消息，币安于今日凌晨发现ARB存款存在问题，导致那些执行过DelegateVotesChanged事件的存款显示为未记入，并表示团队正在解决此问题。

大约2小时之后，币安宣布已修复ARB存款问题，所有受影响的存款现在都已记入相关用户账户。[2023/3/24 13:23:25]

无论是什么样的电路描述方式，电路的满足性问题都要归结于2点，门的约束关系和门之间的约束关系成立；在SNARKs系列的算法里，电路的描述单元都是以电路中有效的线为基本单元，具体的原理可以参考我之前分享的文章，而在PLONK，SONIC以及HALO算法里，电路的描述单元都是以门为基本单元。这两种电路的不同描述方式带来了一定的思考。那就是，之前在研究SNARKs算法时，我们都已经相信一个事实，“多项式等式成立，就代表着每个门的约束成立”，然后推断，整个电路逻辑都是成立；在这个过程中，并没有额外的去证明门之间的一致性成立；但是在PLONK算法里，除了要证明多项式等式成立外，还要额外的用置换论证的数学方法去证明门之间的约束关系，即复制约束。为何会有这样的区别？希望有心的读者能一起在评论区探讨这个问题？我个人理解是因为电路的描述方式的不同：

Coinbase：苹果新支付政策用户无法在iOS版本的Coinbase钱包中转移NFT:12月2日消息，Coinbase在推特上表示，苹果阻止了其应用程序的更新发布，导致用户无法使用Coinbase Wallet iOS发送NFT。该公司表示：“Apple的说法是，发送NFT所需的Gas费需要通过他们的In-App Purchase系统支付，这样他们就可以收取30%的Gas费。对于任何了解NFT和区块链如何工作的人来说，这显然是不可能的。 Apple专有的应用内购买系统不支持加密，因此即使我们尝试了也无法遵守。这类似于Apple试图对通过开放互联网协议发送的每封电子邮件收取费用。”[2022/12/2 21:16:57]

PLONK算法里，电路描述的单元是门，它为每个门定义了自己的L,R,O，因此需要证明门之间的一致性；SNARKs算法里，电路描述的单元是线，门与门之间的值用的是同一个witness，因此不用额外证明一致性；置换论证

芝商所将于9月12日推出以太坊期权:金色财经报道，芝加哥商品交易所集团(CME Group)今天宣布，它计划在9月12日推出以太坊期货期权，等待监管部门的审查。

这些新合约交付一个以太坊期货，每份合约的规模为50个以太坊，以CME CF以太坊-美元参考汇率为基础，该汇率作为以太坊美元价格的每日参考汇率。这些新合约还将扩大CME集团现有的加密货币期权合约套件，其中包括比特币期权，以及微型比特币和以太坊期权。（prnewswire）[2022/8/18 12:34:44]

前面我们说过，在PLONK算法里，需要去证明门之间的约束关系成立。在做具体的原理解释之前，我们先简单的过一下PLONK协议的过程，如下图所示：

可描述为：

根据电路生成三个多项式，分别代表这电路的左输入，右输入，输出；利用置换校验协议，去证明复制约束关系成立；步骤3和4，校验门的约束关系成立。其中第1点已经在电路小节里阐述过了，接下来，将详细的讲解多项式置换校验的原理。先从简单的场景去讲解：

近期做空者对Coinbase、MicroStrategy的做空兴趣持续增涨:7月6日消息，越来越多卖空者开始关注MicroStrategy、Coinbase、以及Marathon和RiotBlockchain等大量比特币矿业股。根据相关空头兴趣数据显示，自5月31日以来，卖空者对Coinbase的空头兴趣增加了15%、Marathon增加21%、Block为8%、特斯拉为3%。

另据数据公司quantX数显示，拥有最大比特币储备的上市公司MicroStrategy空头兴趣增长近7%，其中超过43%的流通股被做空，但该公司创始人Maher表示，做空MicroStrategy在某个时候会变得有风险，目前做空加密股票已经很危险，因为回补时间（平仓所需的天数）似乎已经显着增加。（Blockworks）[2022/7/6 1:53:33]

单个多项式的置换校验

其实就是证明对于某个多项式f，存在不同的两个点x,y，满足f(x)=f(y)。下面来看具体的原理：

上图中加入了一个正例P，一个反例A，方便大家理解置换校验的原理。有几点需要解释的是：

而经过仔细剖析Z的形式，不难发现，Z(n+1)其实就是两个函数所有值的乘积的比值(不知是否等同于V神文章里的坐标累加器？)。理论上是等于1。因此，我们需要设计这样的一个多项式Z，需满足：deg(Z)<nZ(n+1)=1

乘法循环群刚好可以满足这个条件，如果设计一个阶为n的一个乘法循环群H，根据群的性质可以知道Z(g)=Z(g^(n+1))。因此，在设计Z时，会保证Z(g)=1；上图中的自变量的取值也将从{1...n}变成{g...g^n}。所以在上图中验证的部分，a其实已经换成了群H里的所有元素。根据论文中的协议，多项式Z是会发给可信第三方I验证方V会从I处获取到多项式Z在所有a处的取值，然后依次校验。下面具体看一下论文中的定义：

从定义中可以看出：多项式f,g在范围内具有相同的值的集合；下面看一下论文中具体的协议部分，结合上述解释的3点：

说明：图4中的f,g对应图3中的f。即f,g是同一个多项式。其实只要是相同的值的集合，也可以不用于是同一个多项式。图3是一个特例而已。

跨多项式的校验

其实就是证明对于某个多项式f，g，存在两个点x,y，满足f(x)=g(y)。与存在两处不同：

多个多项式；不强制x,y的关系，即也可以等，也可以不等；有了(1)小节的基础，这次我们先看一下相关的定义：

从定义可以看到，这次是两个多项式集合见的置换校验算法。从标注的部分可以看出：

两个多项式集合仍然具有相同的值的结合；为了区分集合里的多项式，自变量的索引得区分开来；因此，可以想象的到，如果存在两个多项式f,g，想要证明f(x)=g(y)，那么根据以上描述可以判断{f1,f2}={f,g}={g1,g2}。也保证了上述第1点的成立。

下面我们看一下具体的原理：

和(1)小节相比，证明方P增加了些工作量，验证方V工作量不变。结合上述描述，也能很容易的理解其数学原理。

说明：至此，其实我们已经慢慢的接触到PLONK算法的核心了，前面我们讲到，电路的满足性问题除了门的约束关系还有门之间的约束关系。

比如一个输入x，它既是一个乘法门的左输入，又是另外一个乘法门的右输入，这就需要去证明L(m)=R(n)，这就是跨多项式的置换校验。

下面再给出论文里的协议内容：