1. 引言
现有ZKP证明系统中,除关注proof size和verification time之外,Prover Time是一个重要瓶颈。
当侧重Prover Time时,可考虑STARK方案。并借助recursive STARK+SNARK,来获得small proof。
Prover Time:
- 直接取决于计算size。
针对同一计算,不同的算术化策略,会影响证明时的计算size,进而影响Prover Time。如证明 y = x − 1 m o d p y=x^{-1}\mod p y=x−1modp:
- 方案1:
- 根据费马小定理有 x − 1 = x p − 2 m o d p x^{-1}=x^{p-2}\mod p x−1=xp−2modp,
- 然后采用double and add来计算 x p − 2 x^{p-2} xp−2,
- 检查 y = x p − 2 y=x^{p-2} y=xp−2是否成立
- 开销为
log
(
p
)
\log(p)
log(p)个约束
- 方案2:
- 转为证明 1 = x × y m o d p 1=x\times y \mod p 1=x×ymodp
- 对应1个约束。
本文重点关注Plonkish算术化系统中的:
- addition and multiplication约束
- copy约束
- selector多项式
- custom约束
- lookup约束
如需证明 0 ≤ c 3 < 4 0\leq c_3<4 0≤c3<4:
- 1)若电路中仅有multiplication约束,则不可能实现该证明。
- 2)若电路中有addition and multiplication约束,则可做二进制分解,表示为:【缺少足够的结构,无法约束
c
3
=
a
1
+
2
a
2
c_3=a_1+2a_2
c3=a1+2a2】
- 3)若电路中有addition and multiplication约束,以及,copy约束,则:【是否存在过度约束的问题?】
- 4)若电路中有addition and multiplication约束,以及,copy约束,以及,selector多项式,则:【其中selector多项式用于选择何时使用哪种gate。】
为乘法约束增加零知识属性的策略为:
2. copy constraints
即Copy Constraints enforcement分为3大步:
- 1)按顺序连接所有public和private inputs
- 2)展示permuted inputs之间的等价性
- 3)使用Neff Permutation argument来证明。详细见:
https://github.com/asn-d6/curdleproofs(Rust)
3. selector多项式
selector多项式用于对约束进行开关。
4. custom约束
如MinRoot Verifiable Delay Function,其需求背景在于:
- 好的随机数真的很难获得
- 以太坊需要好的随机数来达成共识
所谓MinRoot Verifiable Delay Function,是指,每一轮都计算:
(
x
i
+
1
,
y
i
+
1
)
=
(
(
x
i
+
y
i
)
1
3
,
x
i
+
i
)
(x_{i+1},y_{i+1})=((x_i+y_i)^{\frac{1}{3}},x_i+i)
(xi+1,yi+1)=((xi+yi)31,xi+i)
在约束电路中,转为计算:
- x i + 1 3 = x i + y i x_{i+1}^3=x_i+y_i xi+13=xi+yi,从而需要做大量三次方运算,而不是开三次方运算。
不过在custom约束(定制约束)中,需权衡:
- 每增加一列,可让定制约束更具表达性,但会增加额外的proof元素开销。
- 每增加一个乘法运算,可让定制约束更具表达性,但会增加额外的proof元素开销。
- 每种类型的custom约束会增加额外的proof元素开销。
- 实际就是在proof size/verifier time 与 prover time之间做权衡取舍。
参考资料
[1] 以太坊基金会Mary Maller 2023年2月在第13届 BIU Winter School on Cryptography上的分享视频 How Custom Gates Are Used During Arithmetization - Mary Maller
