R1CS和relaxed R1CS(一)

符号说明

• F ：有限域
• $\circ$ : 内积

1. R1CS

RlCS定义: $(A,B,C,m,n,l)$，其中$m、n、l$为正整数，且$m>l$, $A,B,C\in F^{m\times m}$ 且至多有n个non-zero entries，给定witness $W\in F^{m-l-1}$ , R1CS满足
$$(A\cdot Z)\circ (B\cdot Z)=C\cdot Z$$
其中$Z=(W,x,1),x\in F^l$ 包含公开输入和输出，也称为instance。

给定一个R1CS矩阵$(A,B,C)$，两个instance-witness对:$(x_1,W_1)$和$(x_2,W_2)$，按照传统方法，我们需要分别对$(x_1,W_1)$和$(x_2,W_2)$进行验证，即我们需要进行两次验证，才能确保$(x_1,W_1)$和$(x_2,W_2)$都是正确的instance-witness对。

问题🤔️：能不能将上述两个instance-witness对合并构造一种新的instance-witness对:$(x,W)$，通过对$(x,W)$的一次验证，即可证明$(x_1,W_1)$和$(x_2,W_2)$都是满足R1CS约束的（当然验证$(x,W)$的开销比比验证$(x_1,W_1)$和$(x_2,W_2)$的开销要小）？

（上述方案也称为folding scheme，可以用来构造Recursive Zero-Knowledge）

很不幸的是，R1CS本身是不支持folding scheme，R1CS的变种，即后面介绍的relexed R1CS是满足要求的

首次尝试：R1CS是一个代数系统，最先想到的是线性组合。假设prover首先发送$W_1$和$W_2$，verifier随机选择$r\in F$作为回复，这时prover和verifier进行如下计算：
$$\begin{gathered} x=x_1+r\cdot x_2 \\ W=W_1+r\cdot W_2 \end{gathered}$$
然后，设置新的instance-witness对为:$(x,W)$
这时对于$Z_1=(W_1,x_1,1)$、$Z_2=(W_2,x_2,1)$、$Z=(W,x,1)$有：
$$\begin{array}{rl}AZ\circ BZ& =A(Z_1+r\cdot Z_2)\circ B(Z_1+r\cdot Z_2)\\ & =A{Z}_1\circ B{Z}_1+r(A{Z}_1\circ B{Z}_2+A{Z}_2\circ B{Z}_1)+r^2(A{Z}_2\circ B{Z}_2)\\ & \ne CZ\end{array}$$

首次尝试失败，很显然$AZ\circ BZ\ne CZ$，这里主要存在三个问题：

• 多了一个额外的交叉项：$r(A{Z}_1\circ B{Z}_2+A{Z}_2\circ B{Z}_1)$

• 剔除交叉项后还是不等于$CZ$:

  $A{Z}_1\circ B{Z}_1+r^2(A{Z}_2\circ B{Z}_2)=C{Z}_1+r^{2}C{Z}_2\ne C{Z}_1+rC{Z}_2=CZ$

• 甚至不满足$Z=Z_1+r\cdot Z_2$ ，因为$Z_1+r\cdot Z_2=(W,x,1+r\cdot 1)$

第二次尝试：
为了解决问题1，通过引入了一个error vector $E\in F^m$ 用来抵消交叉项的影响
其次又引入了一个scalar u，用来抵消问题2和问题3中多余的$r$。

我们将这种变种的R1CS称为relaxed R1CS