ZKSwap團隊解讀零知識證明PLONK協議_PLO

在上一篇?ZKSwap團隊解讀零知識證明PLONK電路?主要描述了PLONK協議里的一個核心部分，用置換校驗的方法去證明電路門之間的一致性；接下來，將繼續分享如何證明門的約束關系的成立，以及整體的協議剖析。

門約束

舉個簡單的例子，假如存在一個電路，電路中僅有3個乘法門，對應的約束如下：

L1*R1-O1=0

L2*R2-O2=0

L3*R3-O3=0

進行多項式壓縮：定義多項式函數L(X)、R(X)、O(X)滿足：

L(1)=L1,R(1)=R1,O(1)=O1

L(2)=L2,R(2)=R2,O(2)=O2

L(3)=L3,R(3)=R3,O(3)=O3

此時，定義新的多項式函數F(X)，令F(X)=L(X)*R(X)-O(X)

則有：

F(1)=L(1)*R(1)-O(1)=0

負責Binance亞太區的Leon Foong被任命為Gopax董事會主席:2月17日消息，負責Binance亞太區的Leon Foong被任命為近期被Binance收購多數股權的韓國加密交易平臺Gopax董事會主席，其他Gopax新任內部董事包括Binance前董事SteveYoung-Kim和JiYuZhao（Binance行業復蘇計劃負責人）。Gopax的董事會成員中大部分來自Binance。

本月初，據彭博社報道，Binance已收購韓國加密交易平臺Gopax多數股權。[2023/2/17 12:12:51]

F(2)=L(2)*R(2)-O(2)=0

F(3)=L(3)*R(3)-O(3)=0

也就是表明：如果多項式函數F(X)在X=1、2、3處有零點，則說明門關系約束成立。

多項式函數F(X)在X=1、2、3處有零點則表明多項式F(X)可以被(X-1)(X-2)(X-3)整除，為了和論文一致，我們把這個多項式函數設置成Z(X)，即：

網傳“李林創辦新交易所”系新火科技旗下合規交易平臺“新火香港” 面向機構和專業投資者:金色財經報道，網傳“李林創辦新加密交易平臺新火香港”，經金色財經查閱相關公開信息發現，新火香港為港交所上市公司新火科技控股有限公司的全資附屬公司。 新火香港于2020年8月獲得香港公司注冊處頒發的信託或公司服務提供者 (TCSP）牌照，是一個合規虛擬資產交易平臺，主要為機構和專業投資者提供服務。目前新火科技主要提供BTC/USD、ETH/USD和USDT/USD三個交易對，但該交易平臺暫無交易量。

金色財經此前報道，新火科技前身為火幣科技，在10月8日Huobi Global股份全部轉讓給About Capital的基金后，10月28日火幣科技更名為新火科技。李林為新火科技控股有限公司主席及控股股東。根據新火科技官方網站顯示，杜均和張麗分別擔任公司CEO與CFO。[2023/1/4 9:52:14]

F(X)=T(X)*Z(X)==>T(X)=F(X)/Z(X)

如果能證明T(X)是一個多項式，則說明多項式F(X)與Z(X)有相同的零點，進而說明門約束關系成立。

BTC最后活躍大于10年供應量達到歷史新高:金色財經報道，據Glassnode數據顯示，BTC最后活躍大于10年的供應量達到歷史新高，供應量為 2,549,327.057BTC。[2022/11/24 8:05:09]

一般過程應該如下：

P計算F(X)并把F(X)發送給V；V根據Z(X)直接校驗F(X)/Z(X)但是如此過程存在兩個問題，一個是復雜性問題，假如F(X)的階為n，那通信復雜度就是O(n)；而是安全性問題，多項式F(X)完全暴露給V。

那應該如何解決這兩個問題呢？最佳的答案可能就是：多項式承諾

多項式承諾

什么是多項式承諾？就是證明方P用一個很短的數據來代表一個多項式F，這些很短的數據可以被驗證方V用來驗證多項式F在某一點的值確實為證明方P聲稱的值z。

具體看一下論文里的定義：

由圖可知：

Setup：初始化，生成計算多項式承諾需要的一些必備參數；Commit：計算多項式承諾，其結果是一個值；Open：返回與多項式承諾對應的多項式函數；VerifyPoly：驗證多項式承諾是否和多項式函數一致；CreateWitness：證明多項式函數在某一點的值是否是證明方P聲稱的值，具體的數學方法就是：判斷多項式是否能被整除，即：VerifyEval：驗證方V驗證多項式函數在某一點的值是否是證明方P聲稱的值，具體的數學方法是：利用雙線性配對驗證其數學乘法邏輯關系。繼續回到我們上面的問題：

ReadON宣布完成3萬枚Soul Card鑄造:9月23日消息，ReadON推出的靈魂綁定代幣Soul Card累計鑄造總量突破3萬枚，分別在BNB Chain完成鑄造19,892枚，在Arbitrum完成鑄造14,488枚。[2022/9/23 7:16:15]

證明方如何證明：T(X)=F(X)/Z(X)，我們再簡化一下場景，就令Z(X)=X-1，則:

T(X)=F(X)/(X-1)==>T(X)*(X-1)=F(X)==>T(X)*X=F(X)+T(X)

對應多項式承諾的協議可知：證明方P其實是想證明多項式函數F(X)再X=1處的值為0，因此根據協驗證方只需要證明：

e(Commit(T(x)),x*G)=？e(Commit(F(x))+Commit(T(x)),G)(雙線性配對的性質)

可以看出，利用多項式承諾的數學工具，既可以實現復雜度的優化，又可以實現隱私保護。

協議

研究：美國的加密用戶對數字資產的忠誠度和信任度有所提高:金色財經報道，盡管熊市嚴重，美國的加密用戶對數字資產的忠誠度和信任度有所提高。Q2 Crypto Pulse 研究證實，加密價格波動性的增加未能抑制美國人對該資產類別的熱情。該研究涵蓋了來自 23 個國家/地區的 28,000 多名零售和機構交易員和投資者，并表明很大一部分投資者正在利用熊市，使其成為下一波大浪的跳板。大多數美國人仍然非常看好數字資產。事實上，唯一一個加密貨幣信任度下降 50% 的國家是加拿大。

其他其他國家對數字貨幣的力量表現出強烈的信心和信心，智利（69%）、巴西（77%）和墨西哥（70%）的信任度都在68%以上。僅在美國，大約 61% 的散戶投資者在第二季度投資了加密貨幣，比第一季度增長了 42%。同一組的信任評分增幅最大，從第一季度的 61% 躍升至第二季度的 73%。從機構的角度來看，近 70% 的美國投資者表示他們已向各自的客戶推薦使用加密貨幣。[2022/9/5 13:08:23]

接下來分析一下完整的PLONK協議：

Relation

上圖表示了PLONK算法里，要證明的一種關系，需要說明的是：

w代表著電路里的輸入、輸出，總共3n個，n是電路里乘法門的數量，每個門都有左輸入，右輸入和輸出，因此w總共有3n個；q*代表著選擇向量，它的取值對應這這個是乘法門，還是加法門等類似的約束類型σ代表著置換多項式，其表示門之間的一致性約束索引倒數第一個公式代表門之間的約束成立倒數第二個公式代表門的約束關系成立CRS&P_Input&V_Input

上圖表示了PLONK算法里的CRS設置，以及證明方P和驗證方V的一些輸入，需要說明的是：

整個協議都是基于多項式的，因此需要構建對應的多項式形式。多項式σ的階是3n的，由于和多項式承諾相關的CRS最高的階位n+2，因此需要把σ拆分成3個多項式S,分別記錄每個多項式的置換關系(L、R、O);為了減少通信復雜度和保護隱私，協議基于多項式承諾構建，因此驗證方V的輸入都是承諾值。Prove

上圖表示了PLONK算法里證明方的一些操作，需要說明的是：

b1...b9是隨機數，從用法看是為了安全，但是我暫時也沒明白，不加這個隨機數，又會有什么安全問題？a(X)、b(X)、c(X)分別是代表了電路里的左輸入，右輸入和輸出、、表示多項式的承諾值，參考多項式承諾小節里的承諾計算方法

上圖表示了PLONK算法里證明方的一些操作，主要是置換校驗，參考第一篇的置換校驗的協議過程，生成多項式z(X)，需要說明的是：

β和?都是用來生成置換校驗函數的參數，詳見第一篇里f(x)和g(x)的生成過程；z(X)的生成方式對應置換校驗里跨多項式的生成過程，Li(X)為拉格朗日多項式基，性質滿足，盡在x=i的時候為1，其他為0；注意區分ω和w，ω是群H的生成元，是多項式的自變量的取值。w是電路的左輸入，右輸入和輸出，是多項式L,R,O在在群H上的取值。

上圖表示了PLONK算法里證明方P的一些操作，主要是把門約束和門之間的一致性約束組合到一起，通過α，需要說明的是：

根據前面的描述，門約束多項式和一致性約束多項式在群H上的所有元素都是取值為0的，因此都會被多項式ZH(X)整除，等同于上面所述的T(X);因此，證明方只要能證明整除的結果的確是多項式，那就能證明，門約束多項式和一致性多項式在群H所有元素上取值為0，即所有約束關系成立，即電路邏輯成立；可以知道的是t(X)的階最高為3n，但是用于計算承諾的CRS只到了n的級別，因此需要把多項式t(X)拆分，然后單獨計算承諾值。

上圖表示了PLONK算法了證明方P的一些操作，主要根據多項式承諾的協議，前面P算出了多個多項式在點x=z處的值是多少，現在要用多項式承諾協議去證明，這些計算是正確的，需要說明的是：

為了減少驗證方V的操作復雜度，t(X)的分子部分r(X)在x=z處的值，P計算好，然后驗證方直接驗證，其他的操作類似；v的值看起來是為了更安全；Wz(X)對應多項式協議里的CreateWitness操作，證明這些多項式r(X),a(X),b(X)等在x=z處的值確實等于r,a,b等，對Wzw(X)同理，并返回承諾值。Verify

至此，證明方P的所有操作都完事了，接下來都是驗證方V的操作。

上圖表示了PLONK算法里驗證方V的一些操作，主要重新生成相關的參數，確保證明方P沒有作惡。需要說明的是：

從輸入看，比較清晰，就是一些公開的輸入和證明方P的證明輸出；根據輸入，生成置換校驗過程中需要的一些參數

上圖表示了PLONK算法里驗證方V的一些操作，對于一些公開的，并且計算復雜度很小的多項式，其在x=z處的值還是需要自己計算，更為方便。需要說明的是：

根據證明方P的過程來看，驗證方V的核心工作就是驗證兩個多項式承諾；兩個多項式承諾驗證需要兩個配對，可以通過一個參數組合成一個配對，即μ；在驗證前，先計算Wz(x)，Wzw(x)的分母在x=z處的值，兩部分，減數和被減數，分別對應、。μ作為系數的，就是對應Wzw(X)多項式的。最后通過一個雙線性配對操作完成兩個多項式承諾的驗證。結束

至此，PLONK算法的協議原理已全部分享完成，公式很密集，但是細分下來，又很有層次感。能堅持看完，已實屬不易。

Tags：PLOLONANCNCEPloutozpoloniex關聯公司ZonoSwap FinanceXfinance

Gate.io