fflonK: a Fast-Fourier inspired verifier efficient version of PlonK

原创已于 2024-07-12 21:13:47 修改 · 892 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#零知识证明

于 2022-12-03 21:53:55 首次发布

零知识证明专栏收录该内容

363 篇文章

订阅专栏

1. 引言

前序博客有：

[KZG10] Kate commitments入门
[GWC19]论文 PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge 学习笔记
[BDFG20]论文 Efficient polynomial commitment schemes for multiple points and polynomials学习笔记
SHPLONK

为Aztec团队2021年11月论文《fflonK: a Fast-Fourier inspired verifier efficient version of PlonK》，视频分享见：fflonk: a Fast-Fourier inspired verifier efficient version of PlonK [Ariel Gabizon, Aztec]，slide见：fflonk：cheaply opening many polynomials using the fast-fourier equation。

根据Polygon zkEVM创始人Jordi 2023年2月twitterFFLONK已在snarkJS中实现，开源代码见：

https://github.com/iden3/snarkjs/tree/master/src（JavaScript）

FFLONK为类似Groth16或PLONK的zkSNARK协议，主要优势在：

1）无需specific trusted setup（仅需universal setup）。
2）链上验证proof的开销比Groth16要便宜一点点，比常规的PLONK便宜30%。【以Polygon zkEVM为例，采用fflonk的链上验证开销为20.3万Gas，而Groth16为23万Gas，PLONK为30万Gas。】

Polygon zkEVM仅在proof的最后recursive阶段使用SNARK来聚合多个batch proofs，相应的电路将相对small，且链上验证开销可分摊在多个batch proofs中。Polygon zkEVM的当前最后证明时间约为2分钟，目标是优化后达到少于1分钟。当审计完成后，将在Polygon zkEVM主网中使用fflonk。

fflonk为KZG多项式承诺（[KZG10]）的变种，其设计初衷为节约以太坊上的gas费。当对 $d$ 个多项式open point为 $d$ ’th power （即 $x=z^d,z\in\mathbb{F}$ ）时，Verifier所需的group运算与 $d$ 无关。fflonk将 “open multiple polynomials at a single point $x$ ” 通过 “类似FFT identity的方法” reduce为 “opening a single polynomial at many points”。本文展示了某Plonk应用，大幅改进了Verifier性能，代价是将Prover time提高为约3倍。除2次pairing运算之外，fflonk的Verifier仅需要执行5次scalar multiplication运算，而不是Plonk论文中的16或18次scalar multiplication运算。
fflonk:

为KZG多项式承诺的变种，用于open多个多项式 at a single point；【将“open many polynomials at a single point” reduce为 “open a single polynomial at multiple points”，然后借助Boneh等人2020年论文BDFG20算法。】
Verifier：仅需2次pairing + 5次scalar multiplication运算，
Prover：代价为：Prover time为Plonk的3倍。

多项式承诺方案（PCS）已成为近期构建的succinct arguments（SNARKs）的核心组件，根据某具有上限degree的固定多项式，“force” Prover 答复 Verifier 查询请求。

对于以太坊上的类似zk-rollups应用来说，精确评估验证zk-SNARK proof的gas开销将直观重要。链上验证proof的开销可进一步简化为，PCS “open”流程的验证开销。在“open”流程中，Verifier在已知直接Prover给的多项式承诺值的前提下，可验证Prover给的evaluations的正确性。本文，在open多个多项式承诺的情况下，可降低Verifier开销。

1.1 同类技术对比

原始的KZG多项式承诺，当open a polynomial $f$ at a point $x\in \mathbb{F}$ 时，Verifier需做2次pairing运算。当open多个多项式 $f_0,f_1,\cdots ,f_{t-1}$ at同一point $x$ 时，直接使用KZG的话，Verifier需要做 $2 t$ 次运算。为改进Verifier性能，Sonic等论文的通用做法为：

引入随机值 $\gamma\in \mathbb{F}$ ，改为验证多项式 $f(x)=\sum_{i=0}^{t-1}\gamma^if_i(x)$ 的值。

与open单个多项式类似，Verifier仅需要做2次pairing运算。但是，Verifier需：

根据 ${f_i\}$ 的承诺值构建 $f$ 的承诺值，这需要 $t - 1$ 次scalar multiplication运算来计算scalar $\{\gamma^i\}_{i\in\{0,\cdots,t-1\}}$ 与 ${f_i\}$ 承诺值的乘积。

Verifier的性能能否与 $t$ 无关呢？
Boneh等人2020年论文[BDFG20]《Efficient polynomial commitment schemes for multiple points and polynomials》中提供了一条路径：（详细参看博客 Efficient polynomial commitment schemes for multiple points and polynomials学习笔记）

在Boneh论文中提供了一个开放的协议，当open多个points时，Verifier的group运算次数仅与多项式个数有关，而与points个数无关。（Verifier所需的field运算次数仍然与points个数相关，但field运算要比scalar multiplication运算便宜3个数量级。）

本文在此基础上，将“open many polynomials at a single point” reduce为 “open a single polynomial at multiple points”，然后使用上面Boneh论文算法即可实现所需目标。

示例：
假设有2个多项式 $f_0,f_1$ open at同一point $x$ ，为避免scalar multiplication的直观做法是：
open $f_0+f_1$ at point $x$ 。
令 $a=f_0(x),b=f_1(x)$ ，有 $f_0+f_1)(x)=c=a+b$ 成立。但是这并未对 $a, b$ 单独约束：对于任意 $a'\in\mathbb{F}$ ，选择 $b^{'}$ 使得 $a^{'} + b^{'} = c$ ，则Verifier仍将接受 $(a^{'}, b^{'})$ 。
因此，需要某种方法来给 $(a, b)$ 引入线性约束，但不需要使用2个多项式。

著名的“FFT equation”即可满足要求。在FFT设置中，可将多项式 $f$ 表示为2个分别派生自其奇偶项的half degree多项式：
$f(X)=f_0(X^2)+X\cdot f_1(X^2)$
不过，在本文，将其反着用，即已知 $f_0,f_1$ ，派生出 $f$ ：
假设 $x=z^2$ 为某square值， $f$ 将派生出对 $a, b$ 所需的第二个约束。即open $f$ at ${z,-z\}$ ，有：
$b_0=f(z)=f_0(x)+zf_1(x)=a+zb$
$b_1=f(-z)=f_0(x)-zf_1(x)=a-zb$

这样open $f$ at ${z,-z\}$ ，可获得基于 $a, b$ 的2个独立约束。
将其推广到 $t$ 个多项式时，即open at $t$ 个 $t$ -th root of unity。

1.2 本文成果

对 $t$ 个degree小于 $n$ 的多项式 open at单个point $x$ ，其中 $x$ 为 $t$ ’th power，且 $t$ 可被 $(|\mathbb{F}|-1)$ 整除，即满足 $x=z^t,z\in\mathbb{F}$ ， $t|(|\mathbb{F}|-1)$ 。借助本文算法，Verifier的group运算次数与 $t$ 无关，但相应Prover的group运算次数将依赖于这些多项式中的最大degree：
在这里插入图片描述
将Plonk论文中的KZG多项式承诺方案替换为本文的fflonk方案，在增加Prover计算量的情况下，节约了Verifier的工作：

什么场景下值得这么做呢？
zk-rollup场景下，会做如上Verifier-Prover权衡。
通常情况下，“client proofs”由weak machines计算，这些proof不会提交上链，但通常由另一SNARK递归验证。为此，这些情况下，需牺牲Verifier优化Prover性能。
但是，提交上链的final proof通常由powerful machine计算，此时，可借助本文的方案。

2. 相关约定

$\mathbb{F}$ ：为素数域。
$\mathbb{F}_{<d}[X]$ ：为基于 $\mathbb{F}$ 域的，一组degree小于 $d$ 的单变量多项式。
$\lambda$ ：安全参数。
“efficient”：是指算法运行时为 $\text{poly}(\lambda)$ 。
$\mathcal{O}$ ：为“object generator”，输入为 $\lambda$ 。本协议中有 $\mathcal{O}(\lambda)=(\mathbb{F},\mathbb{G}_1,\mathbb{G}_2,\mathbb{G}_t,e,g_1,g_2,g_t)$ ，其中：
- $\mathbb{F}$ ：为具有super-polynomial size $p=\lambda^{w(1)}$ 的素数域。
- $\mathbb{G}_1,\mathbb{G}_2,\mathbb{G}_t$ ：为加法群，group size为 $p$ ， $e$ 为高效可计算的non-degenerate pairing运算： $e:\mathbb{G}_1\times\mathbb{G}_2\rightarrow \mathbb{G}_t$ 。
- $g_1,g_2$ ：为uniformly选择的generators，使得 $e(g_1,g_2)=g_t$ 。
$[x]_1=x\cdot g_1,[x]_2=x\cdot g_2$
$[n]$ ：表示整数集 $\{1,2,\cdots,n\}$ 。
e.w.p：等价为“except with probability”。即“e.w.p $\gamma$ ” 等价为 “概率至少为 $1-\gamma$ ”。
Universal SRS-based public-coin protocols：借助Fiat-Shamir transform或random oracle，可将interactive protocol 转换为 non-interactive protocol。
向量表示：令 $D$ 为某域，基于 $D$ 的向量集表示为 $D^{(1)}$ ，向量的向量集表示为 $D^{(2)}=(D^{(1)})^{(1)}$ ，向量的向量的向量集表示为 $D^{(3)}=(D^{(2)})^{(1)}$ 。这些向量集的元素以字母上的横杠数来对应相应的数字：如 $\bar{S}\in\mathbb{F}^{(1)},\bar{\bar{S}}\in\mathbb{F}^{(2)},\bar{\bar{\bar{S}}}\in\mathbb{F}^{(3)}$ 。
对于某向量 $\bar{f}\in D^t$ ，其元素表示为 $f_i,0\leq i < t$ 。
类似的，对于 $\bar{\bar{f}}\in D^{(2)}$ ，其元素表示为 $\bar{f}_i,0\leq i < |\bar{\bar{f}}|$ ，而每个 $\{\bar{f}_i\}$ 元素表示为 $\{f_{i,j}\}_{i<|\bar{\bar{f}}|,j<|\bar{f}_i|}$
多项式表示：对于某多项式向量 $\bar{f}\in\mathbb{F}[X]^t$ ，且 $x\in \mathbb{F}$ ， $\bar{f}(x)$ 表示vector in $\mathbb{F}^t$ ，有 $\bar{f}(x)=\{f_0(x),\cdots, f_{t-1}(x)\}$ 。
对于 $\bar{f}\in\mathbb{F}[X]^t$ 以及points向量 $\bar{Z}\in\mathbb{F}^l$ ，定义 $\bar{f}(\bar{Z})=(\bar{f}(Z_j))_{j<l}$ 表示 $\bar{f}(\bar{Z})\in\mathbb{F}^{(2)}$ the element of $(\mathbb{F}^t)^l$ 。
对于多项式向量的向量 $\bar{\bar{f}}\in\mathbb{F}[X]^{(2)}$ 以及points向量的向量 $\bar{\bar{Z}}\in\mathbb{F}^{(2)}$ ，有 $|\bar{\bar{f}}|=|\bar{\bar{Z}}|$ ，定义 $\bar{\bar{f}}(\bar{\bar{Z}})=(\bar{f}_i(\bar{Z}_i))_{i<|\bar{\bar{f}}|}$ 表示 $\bar{\bar{f}}(\bar{\bar{Z}})\in\mathbb{F}^{(3)}$ 。

3. 多项式承诺方案

本文的多项式承诺方案在Plonk论文和[BDFG20]论文基础之上，做了如下2处调整：

1）在commit阶段，输入为多项式向量，而不是仅仅是单个多项式。尽管缺少通用性，为简化起见，所open的points set仅依赖于所commit的多项式向量。
2）支持对方案引入subset $\mathbf{S}\subset \mathbb{F}$ 参数，使得相应的opening procedure仅需要succeed on points from $\mathbf{S}$ 。

本文的多项式承诺方案定义为：
在这里插入图片描述

3.1 shplonk

[BDFG20]论文中的多项式承诺方案因历史原因，也称为shplonk——其commit流程与KZG承诺一样，shplonk的核心优势在于：Verifier的group运算数不会随着evaluation points的数量而增长。
在这里插入图片描述

注意，上面最后一个方程式中， $cm_1$ 的系数为1，从而比[BDFG20]，Verifier可少做一次scalar multiplication运算。同时，很容易延续[BDFG20]中的knowledge soundness proof，因其只更改了常量 $Z_{T\setminus S_1}(z)$ 。

4. 新的多项式承诺方案

4.1 基于向量和多项式的类FFT运算

定义了运算符combine()和decomose()，来表示与FFT形式类似的多项式组合和分解运算：【这2个运算符为单射且可逆的，即对于任意的 $\bar{f}\in \mathbb{F}[X]^t$ ，有 $\text{decompose}_t(\text{combine}_t(\bar{f}))=\bar{f}$ 。】
在这里插入图片描述