KZG承诺(1)--预备知识

相信大家在接触ZK-SNARK过程中，频繁的看见KZG多项式承诺。这是一个多项式承诺方案，也称为Kate多项式承诺方案，允许验证者随机打开多项式上的任意点，具有较小的通信和验证开销，常用在ZK-SNARK中实现简洁性。

我们通过一个例子来了解多项式承诺的过程，假设Alice拥有一个多项式，Bob可以随意查询任意点的多项式值，但不想Bob知道多项式。首先，我们可以将多项式的承诺可以看成一个黑盒。

1）Alice向Bob公开这个黑盒

2）Bob可以随机选择一个点打开

3）Alice将这个点打开的结果发送给Bob

4）但是Alice可能发送错误的结果，为了证明结果的正确性，Alice可以记录下输入点$z$到黑盒到得到多项式值的过程作为证明。

Bob查看这个记录就知道$F(z)$的正确性。在多项式承诺方案中如采用不同的方法构造的黑盒（承诺）和记录（证明）。

简单来说，证明者公开多项式的承诺，验证者可以询问多项式的任意点的值，证明人必须提供多项式值和证明，确保提供正确的多项式值。

KZG多项式承诺方案是常用多项式方案之一，相较于其他常用多项式承诺方案，例如IPA多项式承诺和PRI多项式承诺，其具有高效的验证效率和简短的证明长度，因此被Plonk等零知识证明方案采用。

预备知识

在介绍具体承诺方案前，需了解以下知识。此外可以回忆一下上篇博客的随机线性化组合的介绍，这些都是构成KZG多项式承诺的基础。

零点证明

这节主要介绍多项式的零点证明方案（这里简称零点证明）。证明者证明拥有一个多项式$f(x)$在点$(z_1,z_2,\cdots ,z_n)$上为零等同于证明可计算多项式$h(x)=\frac{f(x)}{(x-z_1)(x-z_2)}$。零点证明通常结合LPCP定理运用在多项式承诺和zk-snark方案中。最简洁的KZG多项式承诺便使用零点证明。

举个例子，一个$n$阶多项式$f(x)$在点$z_1,z_2$为零，则可写成如下形式：

$$f(x)=(x-z_1)(x-z_2)h(x)$$

若存在一个$n-2$阶的多项式$h(x)$使上述等式成立，则$f(x)$一定在点$z_1,z_2$为零。即证明$z_1,z_2$是多项式的零点，可通过证明存在多项式$h(x)=\frac{f(x)}{(x-z_1)(x-z_2)}$，使等式(1)成立。

LPCP

LPCP（Linear Probabilistically Checkable Proof）是说任意一个$n$阶的多项式$f$，都可以通过随机验证多项式在几个点上取值来确定这个多项式的每一项系数是否满足特定的要求。简单来说，存在两个$n$阶多项式$f(x),g(x)$，随机检验一个点$r\in F$，若$f(r)=g(r)$，则证明多项式$f(x)=g(x)$。如果两个$n$阶多项式$f(x),g(x)$的系数不一样，那么如果我们随机验证一个点$r\in F$的取值$f(r),g(r)$，这两个值相等的几率最大为$\frac{n}{|F|}$，对于加密算法的域来说，这几乎是不可能的。

双线性配对（Bilinear Pairing）

$G_1,G_2,G_t$都是$p$阶循环群，假设$G_1,G_2$是加法循环群，定义一个映射$e:G_1\times G_2\to G_t$，对于任意的$P\in G_1,Q\in G_2,a,b\in Z_p$ ，满足双线性:

$$e(aP,bQ)=e(P,Q{)}^{ab}$$

同时满足非退化性，即存在$P\in G_1,Q\in G_2$，使得

$$e(P,Q)\ne 1$$

，且对任意的$P\in G_1,Q\in G_2$，存在一个高效的算法来计算$e(P,Q)$。

值得注意的是，双线性配对群下操作满足以下性质。通俗来说，就是可以实现密文下的加法和一次乘法，为了简单起见，我们在后续中采用符号$[{]}_1$表示在双线性配对群$G_1$下的加密操作，即$[a{]}_1=aP$；符号$[{]}_2$表示在双线性配对群$G_2$下的加密操作，即$[b{]}_2=aQ$。

• 加法同态：$[a{]}_1+[b{]}_1=[a+b{]}_1;[a{]}_2+[b{]}_2=[a+b{]}_2$
• 一次乘法同态：$e([a{]}_1,[b{]}_2)=e([ab{]}_1,[1{]}_2)=e([1{]}_1,[ab{]}_2)$

相信大家已经掌握了学习KZG承诺的必要知识，下一篇我们将从这些知识出发理解KZG承诺方案的原理。