一文了解多项式承诺协议Brakedown-ODAILY

原文作者：FoxTechCEO康水跃，FoxTech首席科学家孟铉济

前言：如果密码学家没有发现张量积和多项式取值之间的联系，那就很难出现多项式承诺协议Brakedown，也就不可能诞生基于Brakedown的Orion、以及FOAKS这类全新的快速算法。

在许多依赖多项式承诺的零知识证明系统当中，使用了不同的承诺协议。根据a16z的JustinThaler在2022年8月文章“MeasuringSNARKperformance:Frontends,backends,andthefuture”的评估，Brakedown虽然有较大的ProofSize，但是无疑是当下最快的多项式承诺协议。

FRI、KZG、Bulletproof是更为常见的多项式承诺协议，但速度是它们的瓶颈。zkSync采用的Plonky、PolygonzkEVM采用的Plonky2、Scroll采用的Ultra-Plonk等算法都是基于KZG的多项式承诺。Prover涉及到大量的FFT计算和MSM运算生成多项式和承诺，这两者都会带来大量的计算负担。虽然MSM有运行多线程加速的潜力，但需要大量内存，即使在高并行下也很慢，而大型FFT则严重依赖算法运行时数据的频繁洗牌，难以通过分布式加速跨计算集群加载。

正是由于有了更为快速的多项式承诺协议Brakedown，才使这类运算的复杂度大幅降低。

FOAKS即FastObjectiveArgumentofKnowledges，是由FoxTech提出的一种基于Brakedown的零知识证明系统框架。FOAKS在Orion的基础上进一步减少FFT运算，目标是最终消除FFT。此外，FOAKS还设计出一种全新的非常精妙的证明递归方式来减少证明大小。FOAKS框架的优势在于在实现线性证明时间的基础上有着较小的证明大小，非常适合应用于zkRollup场景当中。

Glassnode：BTC HODLer净头寸指标数值达到3个月低点:4月12日消息，据 Glassnode 数据显示，BTC HODLer 净头寸指标数值达到 3 个月低点，截止发稿时为 14,596.304[2023/4/12 13:59:47]

下文我们将详细介绍FOAKS所使用的多项式承诺协议Brakedown。

在密码学当中，承诺协议由证明者对某一个秘密值进行承诺，生成一个公开的承诺值，这个承诺值具有绑定性和隐藏性，之后提交者需要打开此承诺并将消息发送到验证者，以验证承诺与消息之间的对应关系。这一点，使得承诺协议和哈希函数的作用有许多共通之处，但是承诺协议往往依赖于公钥密码学领域的数学结构。而多项式承诺是一类对于多项式的承诺方案，也就是说被承诺值是多项式。而同时多项式承诺协议当中还包含了在给定的点取值并给出证明的算法，这就使得多项式承诺协议本身成为一类重要的密码学协议，是许多零知识证明系统的核心部分。

而在最新的密码学领域的研究当中，由于发现了张量积和多项式取值之间的联系，所以诞生了一系列与此相关的多项式承诺协议，Brakedown是其中的代表性协议。

在详细介绍Brakedown的协议细节之前，需要先了解一些基础知识。我们需要先了解线性码、抗碰撞哈希函数、默克尔树、张量积的运算以及多项式取值的张量积表示。

首先是线性码。一个消息长度为k，码字长度为n的线性码是一个线性子空间

C∈Fn，使得存在一个从消息到码字的单射，称为编码，记作EC：Fk→C。任意的对于码字的线性组合仍然是一个码字。两个码字u，v的距离即他们的汉明距离，记作△(u,v)。

最短距离为d=minu,v△(u,v)。这样的码记作线性码，用d/n表示码的相对距离。

其次是抗碰撞哈希函数与默克尔树。

Cosmos生态公链Canto日活地址和交易量在2月份均下降了89%:2月23日消息，区块链分析公司Artemis的数据显示，Cosmos生态公链Canto每日活跃地址和交易数量在年初都显示出高度波动。截至2月3日，发送至少一笔链上交易的唯一钱包地址数量约27,000个，较1月1日的244个增长10,965%。同一时期，在链上注册的日交易总数为119,000笔，较1月1日的2,400笔增长4858%。

不过，Artemis的最新数据显示，Canto的每日活跃地址和交易量在2月份分别下降了89%，分别约为2,400和22,700。虽然每日活跃地址和交易量仍同比增长，但两个月的下降表明这个Canto网络的活动已经降温。

此外DeFiLlama的数据显示，Canto的总价值锁定 (TVL) 稳定在1.89亿美元左右，其中65.82%的TVL来自Canto链上最大的DEX。Canto的TVL自2月初以来增长了约28%，自1月1日以来增长了182%，这突显出即使在活动减少的时候，用户仍然有兴趣将他们的资产存入layer 1区块链。[2023/2/23 12:24:46]

使用H:{0,1}2λ→{0,1}λ表示一个哈希函数。默克尔树是一种特殊的数据结构，可以实现对于2d个消息的承诺，生成一个哈希值h，在打开任何消息时候需要d+1个哈希值。

默克尔树可以被表示为一个深度为d的二叉树，其中L个消息元素m1,m2,...,ml分别对应树的叶子。树的每一个内部节点都由它的两个子节点进行哈希计算得出。打开消息mi时，需要公开从mi到根节点的路径。

用以下记号来表示：

h←Merkle.Commit(m1,...,ml)

(mi,πi)←Merkle.Open(m,i)

{0,1}←Merkle.Verify(πi,mi,h)

Optimism Governance将3200万OP转移至Coinbase托管账户:10月27日消息，Optimism Governance宣布，今天将把大约3200万投资者拥有的OP从多重签名托管钱包转移到他们各自的Coinbase托管账户。这不是解锁，代币归属时间表没有改变。[2022/10/27 11:46:09]

图1：默克尔树

我们还需要了解张量积的运算是怎么做的。数学上，张量是向量和矩阵向高维空间的扩展，是很重要的研究对象，详细的讨论张量超出本文的研究范畴，这里只介绍向量和矩阵的张量积运算。

图2：向量和矩阵的张量积运算

紧接着，我们需要知道多项式取值的张量积表示。

当中提到，多项式的取值可以被表示成张量积的形式。在这里我们考虑多线性多项式的承诺。

具体来讲，给定一个多项式，他在向量x0,x1,...,xlogN-1的取值可以写成：

根据多线性的定义，每一个变量的次数是0或1，因此，这里有N个单项式和系数，以及logN个变量。令

加密总市值上涨至1万亿美元上方:金色财经报道，据CoinGecko数据，当前加密总市值约为1,028,362,620,948亿美元，过去24小时上涨5.6%。24小时交易量约为97,368,371,705亿美元，当前BTC占比为38%，ETH占比17.8%。[2022/10/26 16:39:42]

，其中i0i1...ilogN-1是i的二进制表示。令w表示多项式系数，

同样的，定义

令

。于是有X=r0?r1。

从而，多项式取值可以被表示成张量积的形式：?(x0,x1,...,xlogN-1)=<w,r0?r1>。

最后，我们来看FOAKS、Orion当中使用的Brakedown的过程。

分析：CryptoPunk #4156售价以美元计算亏损约700万美元，或出于减税目的:7月16日消息，CryptoPunk #4156以2691 ETH的价格售出，约合330万美元。鉴于ETH当前交易价格约为1200美元，卖家实际亏损700万美元。该NFT于2021年12月以2500 ETH的价格买入，当时价值1026万美元。这意味着卖家按照ETH价值计算赚取了较小的利润，但以美元价值计算则遭受严重损失。

但此举可能出于减税目的。这种账面上的故意亏损是交易者用来减少资本利得的一种常见做法。如果将资本利得收入减少700万美元，甚至可能会降低卖方的税率，从而带来进一步的税收优惠。（Decrypt）

此前消息，CryptoPunk #4156以2691ETH成交。[2022/7/16 2:17:40]

首先，PC.Commit将多项式系数w划分成k×k的矩阵形式，并将其编码，记作C2。之后对于C2的每一列C2进行承诺建立一个默克尔树，然后再对于每一个列形成的默克尔树树根建立另一个默克尔树，作为最终的承诺。

在取值证明的计算中，需要证明两点，一是近似性，二是一致性。近似性保证了承诺的矩阵确实和编码后的一个码字足够接近。一致性保证y=<w,r0?r1>。

近似性检验：近似性检验由两步组成。首先，验证者发送一个随机向量0给证明者，证明者计算Y0与C1的内积，也就是以Y0的分量为系数对C1的行计算线性组合。由于线性码的性质，Cy0是Yy0的码字。之后，证明者证明Cy0确实是从被承诺的码字计算出的。为了证明这一点，验证者随机选取t列，证明者打开对应的列并提供默克尔树证明。验证者检查这些列和Y0的内积和Cy0当中对应位置相等。当中证明如果使用的线性码有常数的相对距离，那么被承诺的矩阵就以压倒性的概率与一个码字接近。

一致性检验：一致性检验和近似性检验的流程完全类似。不同之处在于，不使用随机向量Y0而是直接使用r0来完成线性组合的部分。类似的，c1也是消息y1的一个线性码，并且有

?(x)=<y1,r1>。当中证明，通过一致性检验，如果被承诺的矩阵与一个码字接近，则以压倒性概率成立y=?(x)。

以伪代码形式，我们给出Brakedown协议的流程：

Publicinput：TheevaluationpointX，parsedasatensorproductX=r0?r1;

Privateinput：Thepolynomial?，thecoefficientofisdenotedbyw.

LetCbethe-limearcode，EC：FkFnbetheencodingfunction，N=k×k.IfNisnotaperfectsquare，wecanpadittothenextperfectsquare.Weuseapythonstylenotationmattoselectthei-thcolumnofamatrixmat。

functionPC.Commit(?)：

Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1，C2，C1isak×nmatrix，C2isan×nmatrix.

fori∈do

ComputetheMerkletreerootRoott=Merkle.Commit(C2)

ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.

functionPC.Prover(?,X,R)

TheproverreceivesarandomvectorY0∈Fkfromtheverifier

Proximity

Consistency

ProversendsC1,y1,C0,y0totheverifier.

Verifierrandomlysamplestasanarray?andsendittoprover

foridx∈?do

ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier

functionPC.VERIFY_EVAL(πX,X,y=?(X),R)

Proximity:?idx∈?,CY0==<Y0,C1>andEC(Yy0)==CY0

Consistency:?idx∈?,C1==<Y0,C1>andEC(Y1)==C1

y==<r1,y1>

?idx∈?,EC(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

结语：多项式承诺是一类非常重要的密码学协议，被广泛的应用在许多密码学系统当中，尤其是零知识证明系统。本文详细介绍了多项式承诺Brakedown协议以及和其相关的数学知识，作为FOAKS很重要的底层组件，Brakedown对FOAKS的实例化性能的提升起到了重要作用。

参考文献

:AlexanderGolovnev,JonathanLee,SrinathSetty,JustinThaler,andRiadS.Wahby.Brakedown:Linear-timeandpost-quantumsnarksforr1cs.CryptologyePrintArchive.https://ia.cr/2021/1043.

:XieT,ZhangY,SongD.Orion:Zeroknowledgeproofwithlinearprovertime//AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022:299-328.https://eprint.iacr.org/2022/1010

:Bootle,Jonathan,AlessandroChiesa,andJensGroth."Linear-timeargumentswithsublinearverificationfromtensorcodes."TheoryofCryptography:18thInternationalConference,TCC2020,Durham,NC,USA,November16–19,2020,Proceedings,PartII18.SpringerInternationalPublishing,2020.

JustinThalerfromA16zcrypto,MeasuringSNARKperformance:Frontends,backends,andthefuturehttps://a16zcrypto.com/measuring-snark-performance-frontends-backends-and-the-future/

张量积的介绍：https://blog.csdn.net/chenxy_bwave/article/details/127288938

标签：THEPROVERANDTHE价格Project WITHxverse钱包去中心化吗CANDY

莱特币最新价格热门资讯