Testudo：Spartan + Groth16 的R1CS ZKP证明系统

1. 引言

前序博客有：

• Spartan: zkSNARKS without trusted setup学习笔记
• Spartan: zkSNARKS without trusted setup 源代码解析
• Signatures of Correct Computation 学习笔记（本文称为PST承诺方案）
• Groth16 学习笔记
• ZCash bellman版本 Groth16代码解析

Testudo为Cryptonet团队开源的R1CS ZKP系统，其开源代码见：

• https://github.com/cryptonetlab/testudo（Rust）

Testudo借助Spartan+Groth16，定位为实现具有更小setup的高效SNARK（其Prover为near linear-time）方案，实际代码实现时的3个核心组件为：

• 1）sumcheck-based方案：在微软https://github.com/microsoft/Spartan的基础上，使用arkworks进行了修改，使用Groth16来验证sumchecks。
• 2）改进版的PST承诺方案：为 Signatures of Correct Computation 学习笔记 中pairing-based多变量承诺方案（即multilinear多项式承诺方案）的快速版本，具有square-root trusted setup。
• 3）Groth16层：使用Groth16来验证sumchecks。
  其中：https://github.com/nikkolasg/ark-blst 中封装了支持GPU版本的快速arkworks blst库。

Testudo的主要特点为：

• 为near linear-time prover SNARK，Prover会运行：
  • $\sqrt{N}$次size为$\sqrt{N}$的multi-exps运算，对应约为$O(N\ast \lambda /\log (N))$次group运算，其中$\lambda >>\log (N)$ for security。
• Small & Universal setup：其trusted setup具有square-root size，即：对于size为$N$的某R1CS，其trusted setup size为$O(\sqrt{N})$。对于大电路来说，可将trusted setup size由GB级压缩为MB级。
• Very fast prover：以data-parallel computations为例，比现有最快的Groth16实现（即Bellperson）还要快，快约5倍。
• Small Proofs & Fast Verifier：具有constant size proofs和constant size verification time。
• Use R1CS：当前最流行的电路表达方式，从而具有如下优势：
  • 使得Testudo可复用已有的R1CS代码
  • 无需以不同的算术化方式重写电路

以size为$2^{25}$的多项式为例，Testudo中所实现的multilinear多项式承诺方案要比现有的arkworks实现 快：

以size为$2^{20}$的subcircuit重复$128=2^7$次，对应size为$2^{27}$电路约束，与size为$2^{27}$的Bellperson R1CS约束电路性能对比为：

参考资料

[1] Protocol Labs 2023年4月5日 twitter Testudo
[2] 2023年3月博客Testudo: Efficient SNARKs with Smaller Setups