可验证延迟函数（VDF）

可验证延迟函数（Verifiable Delay Function, VDF）：
VDF 这个概念最初由斯坦福大学密码学教授 Dan Boneh 等人在2018年论文《Verifiable Delay Functions》中给出。该篇文章于 2018 年发表在密码学顶级会议之一的 CRYPTO 上。

目前的VDF算法复杂度较高，离实用仍有差距。

https://github.com/Chia-Network/vdf-competition/中有对VDF的实现进行了竞赛。

[研究]可验证延迟函数（VDF）（一）一文搞懂VDF中有很详细的介绍。

https://github.com/cambrian/accumulator/blob/master/src/group/class.rs中有对https://github.com/Chia-Network/vdf-competition/blob/master/classgroups.pdf的class group 做实现。

VDF是串行运算算法，执行时间可预知，且无法通过并行来加速。通过VDF生成的证明可被快速verify。
目前知名的不可并行的串行运算为：对未知order的group进行repeated squaring。
The unknown order requirement is due to the divisibility of the order of a finite group by the order of any element in the group; if the group order is known then the repeated squaring operation could be reduced modulo the order of the group, shortcutting the computation.

在VDF中：

• 若使用RSA group，则需要trusted setup，并保证生成后的有毒垃圾被即时清理，否则VDF的sequentiality requirement将broken。
• 若使用class group of binary quadratic form将不需要trusted setup。因为其order为一个负素数判别式$d$，当$|d|\equiv 3mod4$时，is believed to be difficult to compute when $d$ is sufficiently large, making the order of the class group effectively unknown. Therefore, a suitable discriminant ——and its associated class group —— can be chosen without the need for a trusted setup, which is a major advantage for using class groups in applications requiring groups of unknown order.

1. Binary quadratic form

$f(x,y)=a{x}^2+bxy+c{y}^2$, where $a,b,c\in R$ and $a!=0,b!=0,c!=0$。
$f=(a,b,c)$可称为a form。
若$f=(a,b,c)$, where $a,b,c\in Z$ and $a!=0,b!=0,c!=0$，则 f 称为integral form。
$conf(f)=gcd(a,b,c)$称为content of a form。
若$conf(f)=1$，则form f称为primitive。
discriminant of form f为：$\Delta (f)=b^2-4ac$。
若$-a<b\le a$，则form $f=(a,b,c)$称为normal。

1.1 Normalization操作

Normalization操作（当$-a<b\le a$时，需要进行此操作， Normalization操作不会影响discriminant值，即$b^2-4ac$保持不变。）：
$\eta (f)=\eta (a,b,c)=(a,b+2ra,a{r}^2+br+c)$，其中$r=\lfloor \frac{a-b}{2a}\rfloor$。
若$f_{norm}=(a^{\prime },b^{\prime },c^{\prime })=\eta (a,b,c)$， $f=(a,b,c)$，则$f_{norm}\sim f$两者等价：
$U=\left(\begin{array}{cc}1& r\\ 0& 1\end{array}\right)$，$(fU)(x,y)=f_{norm}$。

1.2 Reduced form

在Chia VDF中频繁地reduce $f(a,b,c)$非常重要，可保证在做平方运算时，a,b,c的值不会增长过大。
若$f=(a,b,c)$已为normal，且$a<c$或者当$a=c时，b\ge 0$，则称 f 为Reduced form。

1.3 Reduction操作

在reduction操作之前应先进行normalization操作。
Reduction操作为（当$a>c$时或$a=candb<0$，需要进行此操作， Reduction操作不会影响discriminant值，即$b^2-4ac$保持不变。）：
对于$f=(a,b,c)$，有reduction操作$\rho (f)=\rho (a,b,c)=(c,-b+2sc,c{s}^2-bs+a)$，其中$r=\lfloor \frac{c+b}{2c}\rfloor$

$\rho (a,b,c)\sim \eta (c,-b,a)$两者等价。
若$f_{red}=(a^{\prime },b^{\prime },c^{\prime })=\rho (a,b,c)$，则$f=(a,b,c)\sim f_{red}$两者等价，其中的$U=\left(\begin{array}{cc}0& -1\\ 1& r\end{array}\right)$，$(fU)(x,y)=f_{red}$。

如上图所示，reduction算法会循环执行步骤2，以保证最终获得reduced form。执行步骤2的次数为：

1.4 composition计算

1.4.1 squaring算法

1.4.2 linear congruence算法

2. Matrix表示a form

$M(f)=\left(\begin{array}{cc}a& b/2\\ b/2& c\end{array}\right)$，其中$det(M(f))=ac-\frac{b^2}{4}$
若$X=\left(\begin{array}{cc}x& y\end{array}\right)$，则有：
$f(x,y)=a{x}^2+bxy+c{y}^2=XM(f)X^T=\left(\begin{array}{cc}x& y\end{array}\right)\left(\begin{array}{cc}a& b/2\\ b/2& c\end{array}\right)\left(\begin{array}{c}x\\ y\end{array}\right)$

如上有：
$\Delta (f)=-4\ast det(M(f))=b^2-4ac$

参考资料：
[1] [研究]可验证延迟函数（VDF）（一）一文搞懂VDF
[2] https://github.com/Chia-Network/vdf-competition/
[3] 2018年论文《Verifiable Delay Functions》
[4] class group论文《Binary quadratic forms》