ZKSwap團隊解讀零知識證明算法之Zk-stark——Arithmetization_BOB

前言

本系列的第一篇文章，以Zk-snark做對照，分別從概念和算法流程上，做了概括性的介紹。建議在閱讀本篇文章之前，先閱讀下第一篇文章的內容。本篇文章，讓我們由淺入深，一起踏上探索Zk-stark算法奧秘的旅途。

回顧

在第一篇的文章中講到，Zk-stark算法大體可以分為兩個部分：Arithmetization和LowDegreeTesting。本篇我們先詳細介紹算法的第一階段Arithmetization。Arithmetization的整體步驟如下圖所示：

那什么是Arithmetization？具體過程又是什么呢？帶著這些疑問，讓我們仔細的品味文章后面的內容。

首先，什么是Arithmetization？

Arithmetization就是把CIstatement轉化成正式的Algebraiclanguage的過程，此步驟有兩個目的：第一，把CIstatement以簡潔清晰的方式呈現出來；第二，把CIstatement嵌入到代數域，為后面多項式的轉換做鋪墊。Arithmetizationrepresentation主要由兩部分組成：第一，執行軌跡；第二，多項式約束。執行軌跡是一個表，表的每一行代表一個單步的運算；多項式約束的構造是和執行軌跡相輔相成的，即當前僅當執行軌跡是正確的，多項式約束會滿足執行軌跡的每一行計算。最后把執行軌跡和多項式約束結合組成一個確定的多項式，然后對多項式進行LDT驗證。至此，驗證CIstatement的問題轉換成了驗證確定性多項式LDT的問題。

Gemini終止其加密收益產品，要求Genesis歸還所有未償資產:金色財經報道，加密貨幣交易所 Gemini 在周二的一封電子郵件中表示已終止了其客戶與 Genesis 之間的主貸款協議 (MLA)，該交易所表示：“這正式終止了Gemini Earn 計劃，并要求 Genesis 歸還該計劃中的所有未償資產。現有的贖回請求不受影響，并繼續等待 Genesis 的實現”。周二，Gemini 創始人 Winklevoss 寫了另一封公開信，要求罷免 DCG CEO Barry Silbert，并指責 DCG 和 Genesis 進行會計欺詐。Genesis 的一位發言人在一份聲明中表示，該公司“并不同意 Gemini 所說的一切”，并且“對 Gemini 進行公共媒體宣傳感到失望，盡管雙方正在進行富有成效的私下對話。” 它補充說：“這是一個非常復雜的過程，需要一些額外的時間，但我們致力于盡快采取行動。”

Gemini Earn 于 2021 年 2 月推出，作為加密貨幣存款的生息賬戶銷售，Genesis 提供 Gemini Earn 投資者收到的收益。[2023/1/11 11:05:31]

Arithmetization

南寧防城港獲批開展數字人民幣試點:1月2日消息，廣西省南寧市、防城港市數字人民幣試點日前已獲得國務院批準通過，為廣西建設面向東盟的金融開放門戶注入新內容。截至目前，全國已有17個省區市的26個地區開展數字人民幣試點。數字人民幣是由中國人民銀行發行的數字形式的法定貨幣，與紙鈔硬幣等價。[2023/1/2 22:20:26]

知道了Arithmetization的整體流程，接下來，我們討論下具體的過程。為了便于理解，我們用一個簡單的例子，來貫穿整個Arithmetization的過程。每個人都去過超市，一般超市的收據的內容如下：

現在，好萊塢人氣演員Bob聲稱："thetotalsumweshouldpayatthesupermarketwascomputedcorrectly"。那怎么驗證呢？其實很簡單，這時另一個氣人演員Alice只要對著收據，每一項累加求和就可以完成驗證。那么，這只是一個很簡單的例子，事實上，Alice只需要5步，就可以完成驗證過程。試想這樣一個場景：畢竟Bob很有錢，在超市買了1000000樣東西，同樣，他又聲稱："thetotalsumweshouldpayatthesupermarketwascomputedcorrectly"，這時候，Alice真的生氣了，這怎么驗證，按照之前的辦法，得大約要算1000000步，鬧呢？誰愛干誰干。Bob心里也心疼Alice，畢竟那么多年了。心想，有沒有什么牛掰的辦法能讓Alice用很少的步驟，就能確信我說的是對的呢？于是，Bob開動了最強大腦模式。下面，讓我們用上面簡單的例子，跟隨Bob去尋找這個牛掰的辦法。

Helio Protocol：已開始回購和銷毀HAY以恢復錨定:12月5日消息，穩定幣協議Helio Protocol發推更新有關HAY錨定恢復計劃的最新進展，表示團隊已啟動了錨定恢復的流程，預計該計劃將在12月6日前完成。官方團隊將回購市場上多余的HAY，并將其發送到銷毀地址以恢復HAY錨定。

此外，Helio Protocol承諾將使用其當前和未來的收入來承擔任何剩余的壞賬。Coinmarketcap數據顯示，HAY價格已回升至0.8928美元。

此前12月2日消息，在Ankr的aBNBc代幣攻擊事件發生后，某地址借助Ankr漏洞用10枚BNB換得1550萬枚BUSD，導致Hay一度脫錨至0.2084美元。Helio Protocol隔日表示，或將由Ankr承擔黑客攻擊導致的壞賬。[2022/12/5 21:22:54]

Bob心想，你不就是驗證最終的總和對不對么？那我就把總和的計算過程列出來，我保證每次的累加都對，那么我最終的結果一定也是對的。于是Bob在收據上新增了一列，用來保存計算總和過程中的中間值，這就是執行軌跡。新增的一列值需要滿足，初始化的值為0、最終的值和要付的總和相等、中間的每一個值都要等于上一個值加上上一行物品的單價，這構成了多項式約束。從圖2可以看出：

Telegram的Wallet Bot背后開發人員推出P2P加密貨幣交易所:金色財經報道，Telegram的Wallet Bot背后開發人員推出P2P加密貨幣交易所，它允許Telegram 用戶使用銀行卡購買加密貨幣、兌換并轉移到其他錢包。Wallet Bot于 4 月推出，允許 Telegram 用戶購買 toncoin (TON) 并在聊天消息中發送。最新的更新將允許用戶通過 Telegram 應用程序在用戶之間銷售加密貨幣，交易所服務充當每筆交易的擔保人。在買賣雙方發生任何分歧的情況下，服務將進行爭議解決程序。該服務被宣傳為提供“匿名 P2P 交易”，但是，用戶必須與機器人共享他們的手機號碼才能存入、交換或購買加密貨幣。

根據@Wallet機器人開發商的一份聲明，希望出售加密貨幣的用戶將支付 0.9% 的傭金，而買家則無需支付任何費用。[2022/10/5 18:39:41]

多項式約束總共有3個，兩個是邊界約束，一個是循環約束；多項式的大小和執行軌跡的答案小沒有關系，即表格的長度即使擴大到1000000，最終的多項式約束仍是這三個，唯一變化的是變量x的取值范圍而已。在這里，借用V神的話來描述一下Zk-stark：Zk-Stark不是一個確定性的算法，它是一大類密碼??數學結構，對于不同的應用，具有不同的最優設置。可以理解為，對于不同的問題，具有不同的算術化的方案，因此要做到具體問題具體分析。但是有一個共同目標就是，無論是什么問題，得到的執行軌跡最好是用一個LOOP就可以表示，這樣得到的多項式約束也就最為簡潔。多項式約束的個數和形式直接影響到了proof的大小和Zk-stark算法的性能，因此，尋找一個最優的設置對于Zk-stark算法顯得尤為重要。回歸到主題，現在Bob已經得到了多項式約束和執行軌跡，那么如何把它們轉換成一個確定的多項式呢？請看下圖：

SBF：保障用戶的資產永遠應該是頭等大事:6月28日消息，SBF在社交媒體發文表示，保障用戶的資產應該永遠是頭等大事。其他一切都是次要的。[2022/6/28 1:35:37]

Bob首先把關注點切到執行軌跡，可以看到執行軌跡有2列，一列是單項價格，一列是價格總和，我們分別對兩列的元素進行拉格朗日插值，得到兩個函數f(x),w(x)，0≤x≤5。分別對兩個函數進行域擴展，得到了在更多的點上的評估，即f(x)，w(x)，0≤x≤10000。

然后，Bob把f(x)，w(x)和多項式約束等式結合，得到一組確切的多項式約束(圖中紅色圈2所示)，以循環約束多項式為例：

1≤x≤5w(x)-f(x-1)-w(x-1)=0(1)

令Q(x)=w(x)-f(x-1)-w(x-1)，則有Q(1)=0、Q(2)=0、Q(3)=0、Q(4)=0、Q(5)=0。

根據已知事實，度為d的多項式H(x)在x=n處為0，則存在一個度為d-1的多項式H(x),滿足d(H(x))=d(H(x))-1&&H(x)=H`(x)*(x-n)

因此對于Q(x)，度為5，存在一個多項式Ψ(x)，度為0，即常量，滿足Q(x)=Ψ(x)*(x-1)(x-2)(x-3)(x-4)(x-5)，令目標多項式T(x)=(x-1)(x-2)(x-3)(x-4)(x-5)，度為5，則有：

Q(x)=Ψ(x)*T(x)(2)

驗證者Alice從0≤x≤10000隨機選擇一點a，發送給證明者Bob，要求Bob返回相應的值，以公式(2)為例，Bob需要返回w(a)、w(a-1)、f(a-1)、Ψ(a)，然后Alice判斷等式是否成立，即：

w(a)-f(a-1)-w(a-1)=Ψ(a)*T(a)(3)

如果等式成立，則Alice大概率相信執行軌跡是正確的，那么原始計算成立。假如驗證者Bob作惡，講表格中的4.98改成5.98把，那么Q(1)=w(1)-w(0)-f(0)=5.98-0-4.98=1，不等于0。在這種情況下，觀察公式(2)，等式右邊為Q(x)，度為5，x=1不是零點；等式右側Ψ(x)*T(x)，令G(x)=Ψ(x)*T(x)，度為5，因為T(x)在x=1處是零點，所以G(x)在x=1處也是0點，因此，等式兩邊實際上是度相等的不同多項式，其交點最多為5個，因此在0≤x≤10000范圍內，只有5個值相等，9995值是不等的，因此隨機的從0≤x≤10000中選擇一個值，驗證不通過的概率是99.95%，如果域擴展的范圍更大，則驗證不通過的概率將會更接近于1。按照同樣的邏輯，分別處理邊界約束多項式，得到的結果如圖所示。

下面，我們講討論如何增加零知識屬性。

對于證明者Bob來講，執行軌跡是不希望被驗證者Alice看到的，因為它會包含一些重要的信息，因此，限定驗證者Alice只能從6≤x≤10000范圍內隨機選擇一個值，進行驗證，當然這種限定，雙方都是同意的。

存在這樣一類問題。當驗證者Alice收到證明者Bob反饋的值時，如何保證這些值是合法的，確實是通過多項式的形式計算，并且這些多項式是小于某個度的，而不是證明者Bob僅僅為了驗證通過，而生成的隨機值？比如如何確保w(a)、w(a-1)、f(a-1)、Ψ(a)是多項式w(x)、f(x)、Ψ(x)分別在x=a&&x=a-1上的取值呢，且多項式w(x)、f(x)、Ψ(x)的度小于某個固定值的呢？這些問題將在下一篇文章中給出答案，在此之前，不如先討論一下，為何多項式的度小于某個固定值就能證明原始執行軌跡式正確的呢？

從以上的例子中，可以看出，當且僅當執行軌跡是正確的時候，Q(x)才會在x取值為1、2、3、4、5時，等于0。那么Q(x)才可以被目標多項式T(x)整除，即：Ψ(x)=Q(x)/T(x)，d(Ψ(x))=d(Q(x))-5。

從圖3可以看出，需要驗證的多項式的個數時5個(紅色圈4所示)，如果對每一個多項式都進行LDT，那么消耗是很巨大的，因此，可以通過將這些多項式進行線性組合(紅色圈5所示)，當且僅當每個多項式都滿足小于某個度時，其線性組合后的多項式也是小于某個度的，這個條件時充分的，具體的細節見后續的系列章節。

Tags：BOBALICEICEALIbobt幣最新價格alice幣還有長期價值嗎justice幣值得投資嗎alien幣怎么樣

Uniswap