一文了解 FOAKS 当中的多项式承诺协议 Brakedown

撰文：FoxTechCEO康水跃，FoxTech首席科学家孟铉济前言：如果密码学家没有发现张量积和多项式取值之间的联系，那就很难出现多项式承诺协议Brakedown，也就不可能诞生基于Brakedown的Orion、以及FOAKS这类全新的快速算法。

在许多依赖多项式承诺的零知识证明系统当中，使用了不同的承诺协议。根据a16z的JustinThaler在2022年8月文章“MeasuringSNARKperformance:Frontends,backends,andthefuture”的评估，Brakedown虽然有较大的ProofSize，但是无疑是当下最快的多项式承诺协议。

FRI、KZG、Bulletproof是更为常见的多项式承诺协议，但速度是它们的瓶颈。zkSync采用的Plonky、PolygonzkEVM采用的Plonky2、Scroll采用的Ultra-Plonk等算法都是基于KZG的多项式承诺。Prover涉及到大量的FFT计算和MSM运算生成多项式和承诺，这两者都会带来大量的计算负担。虽然MSM有运行多线程加速的潜力，但需要大量内存，即使在高并行下也很慢，而大型FFT则严重依赖算法运行时数据的频繁洗牌，难以通过分布式加速跨计算集群加载。

正是由于有了更为快速的多项式承诺协议Brakedown，才使这类运算的复杂度大幅降低。

FOAKS即FastObjectiveArgumentofKnowledges，是由FoxTech提出的一种基于Brakedown的零知识证明系统框架。FOAKS在Orion的基础上进一步减少FFT运算，目标是最终消除FFT。此外，FOAKS还设计出一种全新的非常精妙的证明递归方式来减少证明大小。FOAKS框架的优势在于在实现线性证明时间的基础上有着较小的证明大小，非常适合应用于zkRollup场景当中。

数据：某地址在苹果大会开始后将约70万枚RNDR转入Coinbase:6月6日消息，据推特用户余烬监测，某地址在苹果大会开始后将702,347枚RNDR（165万美元）转入Coinbase，该地址在RNDR上的两次投资都略亏损一点。其中4月26日至5月2日，该地址花费130万U买入59万枚RNDR，5月3日以122万U卖出，亏损8万U；5月19日和5月25日，花费170万U买入70万枚RNDR，6月6日在2.3美元时转入Coinbase，预计亏损10万U。[2023/6/6 21:18:34]

下文我们将详细介绍FOAKS所使用的多项式承诺协议Brakedown。

在密码学当中，承诺协议由证明者对某一个秘密值进行承诺，生成一个公开的承诺值，这个承诺值具有绑定性和隐藏性，之后提交者需要打开此承诺并将消息发送到验证者，以验证承诺与消息之间的对应关系。这一点，使得承诺协议和哈希函数的作用有许多共通之处，但是承诺协议往往依赖于公钥密码学领域的数学结构。而多项式承诺是一类对于多项式的承诺方案，也就是说被承诺值是多项式。而同时多项式承诺协议当中还包含了在给定的点取值并给出证明的算法，这就使得多项式承诺协议本身成为一类重要的密码学协议，是许多零知识证明系统的核心部分。

而在最新的密码学领域的研究当中，由于发现了张量积和多项式取值之间的联系，所以诞生了一系列与此相关的多项式承诺协议，Brakedown是其中的代表性协议。

在详细介绍Brakedown的协议细节之前，需要先了解一些基础知识。我们需要先了解线性码、抗碰撞哈希函数、默克尔树、张量积的运算以及多项式取值的张量积表示。

FTX倒闭后市场首现反弹迹象，过去24小时加密行业总市值增长超120亿美元:金色财经报道，FTX 倒闭后市场首现反弹迹象，过去 24 小时加密行业总市值从 8570 亿美元升长至 8710 亿美元上方，增长超 120 亿美元，其中比特币涨幅约 1.5%，价格略高于 16,600 美元，以太坊在感恩节当天也升至 1,200 美元上方，上涨 4%。另据 DeFiLlama 数据显示，Solana 锁仓量也大幅上涨，过去 24 小时涨幅达到 10%，涨幅最大的来自于 Solana 链上流动质押平台，包括上Lido、Marinade Finance 和 JPool 等。（decrypt）[2022/11/25 8:24:50]

首先是线性码。一个消息长度为k，码字长度为n的线性码是一个线性子空间CFn，使得存在一个从消息到码字的单射，称为编码，记作EC：FkC。任意的对于码字的线性组合仍然是一个码字。两个码字u，v的距离即他们的汉明距离，记作(u,v)。最短距离为d=minu,v(u,v)。这样的码记作线性码，用dn表示码的相对距离。

其次是抗碰撞哈希函数与默克尔树。

使用H:{0,1}2{0,1}表示一个哈希函数。默克尔树是一种特殊的数据结构，可以实现对于2d个消息的承诺，生成一个哈希值h，在打开任何消息时候需要d+1个哈希值。

默克尔树可以被表示为一个深度为d的二叉树，其中L个消息元素m1,m2,...,ml分别对应树的叶子。树的每一个内部节点都由它的两个子节点进行哈希计算得出。打开消息mi时，需要公开从mi到根节点的路径。

用以下记号来表示：

以太坊JavaScript库Ethers.js推出Shanghai升级前的测试网Shandong:10月16日消息，以太坊JavaScript库Ethers.js推出Shanghai升级前的测试网Shandong。这是与EF DevOps合作运行的实验性测试网，其激活了一组选定为 Shanghai 升级的 EIP（包括激活信标链取款功能的 EIP-4895），可用于早期的客户端测试。[2022/10/16 14:29:21]

hMerkle.Commit(m1,...,ml)

(mi,i)Merkle.Open(m,i)

{0,1}Merkle.Verify(i,mi,h)

图1：默克尔树

我们还需要了解张量积的运算是怎么做的。数学上，张量是向量和矩阵向高维空间的扩展，是很重要的研究对象，详细的讨论张量超出本文的研究范畴，这里只介绍向量和矩阵的张量积运算。

图2：向量和矩阵的张量积运算

紧接着，我们需要知道多项式取值的张量积表示。当中提到，多项式的取值可以被表示成张量积的形式。在这里我们考虑多线性多项式的承诺。

具体来讲，给定一个多项式，他在向量x0,x1,...,xlogN-1的取值可以写成：

(x0,x1,...,xlogN-1)=i0=01i1=01...ilogN-1=01wi0i1...ilogN-1x0i0x1i1...xlogN-1ilogN-1

根据多线性的定义，每一个变量的次数是0或1，因此，这里有N个单项式和系数，以及logN个变量。令i=j=0logN-12jij，其中i0i1...ilogN-1是i的二进制表示。令w表示多项式系数，w=wi0i1...ilogN-1。同样的，定义Xi=x0i0x1i1...xlogN-1ilogN-1。令k=N,r0={X0,X1,...,Xk-1},r1={X0k,X1k,...,Xk-1k}。于是有X=r0r1。

拉丁美洲电子商务巨头Mercado Libre在巴西推出加密货币:金色财经报道，拉丁美洲市值最大的电子商务公司Mercado Libre(MELI)宣布开始在巴西推出自己的加密货币Mercado Coin，Mercado Coin可用于在Mercado Libre上进行购买，并将其作为返现奖励。Mercado Libre预计，该加密货币将在8月底之前向其在巴西的8000万用户提供，并表示计划“很快”将其引入其他国家，但未提供更多细节。Mercado Coin基于以太坊区块链的ERC-20代币标准开发，在第一阶段用户将无法将其转移到外部钱包。（CoinDesk）[2022/8/19 12:35:24]

从而，多项式取值可以被表示成张量积的形式：(x0,x1,...,xlogN-1)=<w,r0r1>。

最后，我们来看FOAKS、Orion当中使用的Brakedown的过程。

首先，PC.Commit将多项式系数w划分成kk的矩阵形式，并将其编码，记作C2。之后对于C2的每一列C2进行承诺建立一个默克尔树，然后再对于每一个列形成的默克尔树树根建立另一个默克尔树，作为最终的承诺。

在取值证明的计算中，需要证明两点，一是近似性，二是一致性。近似性保证了承诺的矩阵确实和编码后的一个码字足够接近。一致性保证y=<w,r0r1>。

近似性检验：近似性检验由两步组成。首先，验证者发送一个随机向量0给证明者，证明者计算0与C1的内积，也就是以0的分量为系数对C1的行计算线性组合。由于线性码的性质，C0是y0的码字。之后，证明者证明C0确实是从被承诺的码字计算出的。为了证明这一点，验证者随机选取t列，证明者打开对应的列并提供默克尔树证明。验证者检查这些列和0的内积和C0当中对应位置相等。当中证明如果使用的线性码有常数的相对距离，那么被承诺的矩阵就以压倒性的概率与一个码字接近。

Bitfarm高管：比特币矿业短期内面临的最大挑战是币价下跌:6月6日消息，比特币矿企开始感受到加密市场中比特币价格下跌的影响。比特币矿企Bitfarms宣称，比特币价格下跌是矿工们目前面临的最重要的问题。这直接影响了该公司的持仓量，使其估值从独角兽地位下降至目前不到5亿美元。

Bitfarm Latam总经理Damian Polla在接受当地媒体采访时表示：“在阿根廷和全球范围内，该行业短期内面临的最大挑战是比特币价格的下跌，这减少了收入，增加了运营成本。”

Polla还认为，这次价格下跌证明了加密货币市场的发展，由于与其他传统股票指数的相关性，他认为加密货币市场是全球市场的“主流”。（News.Bitcoin）[2022/6/6 4:05:16]

一致性检验：一致性检验和近似性检验的流程完全类似。不同之处在于，不使用随机向量0而是直接使用r0来完成线性组合的部分。类似的，c1也是消息y1的一个线性码，并且有(x)=<y1,r1>。当中证明，通过一致性检验，如果被承诺的矩阵与一个码字接近，则以压倒性概率成立y=(x)。

以伪代码形式，我们给出Brakedown协议的流程：

Publicinput：TheevaluationpointX，parsedasatensorproductX=r0r1;

Privateinput：Thepolynomial，thecoefficientofisdenotedbyw.

LetCbethe-limearcode，EC：FkFnbetheencodingfunction，N=kk.IfNisnotaperfectsquare，wecanpadittothenextperfectsquare.Weuseapythonstylenotationmattoselectthei-thcolumnofamatrixmat。

functionPC.Commit()：

????????Parsewasakkmatrix.TheproverlocallycomputesthetensorcodeencodingC1，C2，C1isaknmatrix，C2isannmatrix.

????????forido

??????????????ComputetheMerkletreerootRoott=Merkle.Commit(C2)

????????ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.

functionPC.Prover(,X,R)

????????Theproverreceivesarandomvector0Fkfromtheverifier

????????Proximity:C0=i=0k-10C1,y0=i=0k-10w

????????Consistency:C1=i=0k-1r0C1,y1=i=0k-1r0w

????????ProversendsC1,y1,C0,y0totheverifier.

????????VerifierrandomlysamplestasanarrayIandsendittoprover

????????foridxIdo

??????????????ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier

functionPC.VERIFY_EVAL(X,X,y=(X),R)

????????Proximity:idxI,C0==<0,C1>andEC(y0)==C0

????????Consistency:idxI,C1==<r0,C1>andEC(y1)==C1

????????y==<r1,y1>

????????idxI,EC(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

????????Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

结语：多项式承诺是一类非常重要的密码学协议，被广泛的应用在许多密码学系统当中，尤其是零知识证明系统。本文详细介绍了多项式承诺Brakedown协议以及和其相关的数学知识，作为FOAKS很重要的底层组件，Brakedown对FOAKS的实例化性能的提升起到了重要作用。

参考文献

:AlexanderGolovnev,JonathanLee,SrinathSetty,JustinThaler,andRiadS.Wahby.Brakedown:Linear-timeandpost-quantumsnarksforr1cs.CryptologyePrintArchive.https://ia.cr/2021/1043.

:XieT,ZhangY,SongD.Orion:Zeroknowledgeproofwithlinearprovertime//AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022:299-328.https://eprint.iacr.org/2022/1010

:Bootle,Jonathan,AlessandroChiesa,andJensGroth."Linear-timeargumentswithsublinearverificationfromtensorcodes."TheoryofCryptography:18thInternationalConference,TCC2020,Durham,NC,USA,November16–19,2020,Proceedings,PartII18.SpringerInternationalPublishing,2020.

JustinThalerfromA16zcrypto,MeasuringSNARKperformance:Frontends,backends,andthefuturehttps://a16zcrypto.com/measuring-snark-performance-frontends-backends-and-the-future/

张量积的介绍：https://blog.csdn.net/chenxy_bwave/article/details/127288938

标签：THEANDPROMERtogetherbnb按不了tMEGALANDArbitrove ProtocolDon’t Know Your Customer

聚币热门资讯