一文了解多項式承諾協議Brakedown_AND

原文作者：FoxTechCEO康水躍，FoxTech首席科學家孟鉉濟

前言：如果密碼學家沒有發現張量積和多項式取值之間的聯系，那就很難出現多項式承諾協議Brakedown，也就不可能誕生基于Brakedown的Orion、以及FOAKS這類全新的快速算法。

在許多依賴多項式承諾的零知識證明系統當中，使用了不同的承諾協議。根據a16z的JustinThaler在2022年8月文章“MeasuringSNARKperformance:Frontends,backends,andthefuture”的評估，Brakedown雖然有較大的ProofSize，但是無疑是當下最快的多項式承諾協議。

FRI、KZG、Bulletproof是更為常見的多項式承諾協議，但速度是它們的瓶頸。zkSync采用的Plonky、PolygonzkEVM采用的Plonky?2、Scroll采用的Ultra-Plonk等算法都是基于KZG的多項式承諾。Prover涉及到大量的FFT計算和MSM運算生成多項式和承諾，這兩者都會帶來大量的計算負擔。雖然MSM有運行多線程加速的潛力，但需要大量內存，即使在高并行下也很慢，而大型FFT則嚴重依賴算法運行時數據的頻繁洗牌，難以通過分布式加速跨計算集群加載。

正是由于有了更為快速的多項式承諾協議Brakedown，才使這類運算的復雜度大幅降低。

FOAKS即FastObjectiveArgumentofKnowledges，是由FoxTech提出的一種基于Brakedown的零知識證明系統框架。FOAKS在Orion的基礎上進一步減少FFT運算，目標是最終消除FFT。此外，FOAKS還設計出一種全新的非常精妙的證明遞歸方式來減少證明大小。FOAKS框架的優勢在于在實現線性證明時間的基礎上有著較小的證明大小，非常適合應用于zkRollup場景當中。

數據：GMX單日費用于2月10日創下564萬美元歷史新高:2月12日消息，據DefiLlama數據顯示，由于Andrew Kang平倉ETH和BTC的多頭頭寸，導致GMX平臺單日費用創下歷史新高。在過去24小時內，GMX的用戶費用達到564萬美元，是之前歷史最高點的兩倍多。[2023/2/12 12:01:38]

下文我們將詳細介紹FOAKS所使用的多項式承諾協議Brakedown。

在密碼學當中，承諾協議由證明者對某一個秘密值進行承諾，生成一個公開的承諾值，這個承諾值具有綁定性和隱藏性，之后提交者需要打開此承諾并將消息發送到驗證者，以驗證承諾與消息之間的對應關系。這一點，使得承諾協議和哈希函數的作用有許多共通之處，但是承諾協議往往依賴于公鑰密碼學領域的數學結構。而多項式承諾是一類對于多項式的承諾方案，也就是說被承諾值是多項式。而同時多項式承諾協議當中還包含了在給定的點取值并給出證明的算法，這就使得多項式承諾協議本身成為一類重要的密碼學協議，是許多零知識證明系統的核心部分。

而在最新的密碼學領域的研究當中，由于發現了張量積和多項式取值之間的聯系，所以誕生了一系列與此相關的多項式承諾協議，Brakedown是其中的代表性協議。

在詳細介紹Brakedown的協議細節之前，需要先了解一些基礎知識。我們需要先了解線性碼、抗碰撞哈希函數、默克爾樹、張量積的運算以及多項式取值的張量積表示。

首先是線性碼。一個消息長度為k，碼字長度為n的線性碼是一個線性子空間

C∈Fn，使得存在一個從消息到碼字的單射，稱為編碼，記作EC：Fk→C。任意的對于碼字的線性組合仍然是一個碼字。兩個碼字u，v的距離即他們的漢明距離，記作△(u,?v)。

被Yuga Labs起訴的藝術家否認其侵權指控:金色財經報道，被Yuga Labs起訴的藝術家、Ryder Ripps和 NFT市場 Not Larva Labs 的創始人 Jeremy Cahen 否認了 Yuga Labs 有關其侵犯版權的指控。被告在提供給法院的文件中表示，這些 NFT 中的每一個都是去中心化數字賬本上的一個條目，并且在設計上完全獨一無二，這使得它們既不可替代，也無法復制。且其對 BAYC 系列 NFT 的使用并未侵犯 Yuga Labs 擁有的版權。[2022/12/28 22:12:45]

最短距離為d=minu,?v△(u,?v)。這樣的碼記作線性碼，用d/n表示碼的相對距離。

其次是抗碰撞哈希函數與默克爾樹。

使用H:{?0,?1?}2?λ→{?0,?1?}λ表示一個哈希函數。默克爾樹是一種特殊的數據結構，可以實現對于2?d個消息的承諾，生成一個哈希值h，在打開任何消息時候需要d?1個哈希值。

默克爾樹可以被表示為一個深度為d的二叉樹，其中L個消息元素m1?,?m2?,...,?ml分別對應樹的葉子。樹的每一個內部節點都由它的兩個子節點進行哈希計算得出。打開消息mi時，需要公開從mi到根節點的路徑。

用以下記號來表示：

h←Merkle.Commit(m1?,...,?ml)

(mi,πi)←Merkle.Open(m,?i)

{?0,?1?}←Merkle.Verify(πi,?mi,?h)

圖1?：默克爾樹

彭博社：受FTX事件影響，幣安11月份交易活動增長30%:12月6日消息，加密數據公司Kaiko指出，受FTX相關事件的推動，大型加密交易所11月份的交易量增長23%至7050億美元。此輪增長主要是由幣安推動的，其中幣安11月份交易活動增長30%，當時FTX的流動性緊縮最終導致其破產，并對加密貨幣市場造成嚴重破壞。

Kaiko表示：“幣安可能會受益，因為它在危機期間展示了強大的形象，在所有中心化交易所中擁有最好的流動性。FTX的衰落也會讓Coinbase和Kraken等受美國監管的交易所受益。他們的交易量也在上升，而較小交易所的交易量有所下降，原因是用戶和機構對離岸交易所持謹慎態度。”（彭博社）[2022/12/6 21:25:37]

我們還需要了解張量積的運算是怎么做的。數學上，張量是向量和矩陣向高維空間的擴展，是很重要的研究對象，詳細的討論張量超出本文的研究范疇，這里只介紹向量和矩陣的張量積運算。

圖2??：向量和矩陣的張量積運算

緊接著，我們需要知道多項式取值的張量積表示。

當中提到，多項式的取值可以被表示成張量積的形式。在這里我們考慮多線性多項式的承諾。

具體來講，給定一個多項式，他在向量x0?,?x1?,...,?xlogN-1?的取值可以寫成：

根據多線性的定義，每一個變量的次數是0或1?，因此，這里有N個單項式和系數，以及logN個變量。令

，其中i0?i1?...ilogN-1?是i的二進制表示。令w表示多項式系數，

同樣的，定義

香港理工大學開設區塊鏈技術理學碩士和元宇宙科技理學碩士學位:10月10日消息，香港理工大學官網顯示，香港理工大學開設區塊鏈技術理學碩士和元宇宙科技理學碩士學位。兩個學位的入學時間均為 2023 年 9 月。

區塊鏈技術理學碩士課程是香港首個區塊鏈技術理學碩士（MScBT）。它強調支持金融科技基礎設施和應用的基礎和最新技術，特別是全棧區塊鏈。其提供了一系列關于基于區塊鏈的金融應用程序的設計、開發和安全性的主題，符合區塊鏈技術的最新發展。

元宇宙技術理學碩士（MSc MT）課程將幫助學生了解元宇宙研究和元宇宙產業的本質，特別是它的跨學科性質。深入了解最新的元宇宙技術，包括 VR/AR、游戲開發、機器學習、去中心化基礎設施、加密屬性、計算機視覺和 AIoT（人工智能物聯網）。利用這些技術構建元宇宙應用程序，提供沉浸式體驗，彌合現實世界和虛擬世界之間的差距，并理解元宇宙的安全性、社會性和倫理性方面，能夠創造性地重塑或重新定義元宇宙。[2022/10/10 12:52:05]

令

。于是有X=r0??r1?。

從而，多項式取值可以被表示成張量積的形式：?(x0?,?x1?,...,?xlogN-1?)=0??r1?>。

最后，我們來看FOAKS、Orion當中使用的Brakedown的過程。

首先，PC.Commit將多項式系數w劃分成k×k的矩陣形式，并將其編碼，記作C2?。之后對于C2?的每一列C2?進行承諾建立一個默克爾樹，然后再對于每一個列形成的默克爾樹樹根建立另一個默克爾樹，作為最終的承諾。

Celsius在法律文件中提供平臺用戶姓名和交易歷史:金色財經報道，Celsius在其最新的法庭文件中提供了其平臺用戶的姓名和交易歷史。雖然一些個人數據是隱藏的，但這可能導致許多用戶的加密錢包被識別。其中包括該平臺首席執行官亞歷克斯·馬什斯基的交易細節，該網站將該文件上傳到了互聯網檔案館。

這些信息的泄露可能會使高價值加密貨幣所有者被識別。雖然家庭地址沒有被披露，但這些信息可以單獨找到——許多加密貨幣用戶的數據已經通過Ledger數據泄露公開泄露。（the block）[2022/10/7 18:41:43]

在取值證明的計算中，需要證明兩點，一是近似性，二是一致性。近似性保證了承諾的矩陣確實和編碼后的一個碼字足夠接近。一致性保證y=0??r1?>。

近似性檢驗：近似性檢驗由兩步組成。首先，驗證者發送一個隨機向量0給證明者，證明者計算Y0?與C1?的內積，也就是以Y0?的分量為系數對C1?的行計算線性組合。由于線性碼的性質，Cy?0?是Yy?0?的碼字。之后，證明者證明Cy?0?確實是從被承諾的碼字計算出的。為了證明這一點，驗證者隨機選取t列，證明者打開對應的列并提供默克爾樹證明。驗證者檢查這些列和Y0?的內積和Cy?0?當中對應位置相等。當中證明如果使用的線性碼有常數的相對距離，那么被承諾的矩陣就以壓倒性的概率與一個碼字接近。

一致性檢驗：一致性檢驗和近似性檢驗的流程完全類似。不同之處在于，不使用隨機向量Y0?而是直接使用r0?來完成線性組合的部分。類似的，c1?也是消息y1?的一個線性碼，并且有

?(x)=1?,?r1?>。當中證明，通過一致性檢驗，如果被承諾的矩陣與一個碼字接近，則以壓倒性概率成立y=?(x)。

以偽代碼形式，我們給出Brakedown協議的流程：

Publicinput：TheevaluationpointX，parsedasatensorproductX=r0??r1?;

Privateinput：Thepolynomial?，thecoefficientofisdenotedbyw.

LetCbethe-limearcode，EC：FkFnbetheencodingfunction，N=k×k.IfNisnotaperfectsquare，wecanpadittothenextperfectsquare.Weuseapythonstylenotationmattoselectthei-thcolumnofamatrixmat。

functionPC.Commit(?)：

Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1?，C2?，C1isak×nmatrix，C2isan×nmatrix.

fori∈do

ComputetheMerkletreerootRoott=Merkle.Commit(C2?)

ComputeaMerkletreerootR=Merkle.Commit(),?andoutputRasthecommitment.

functionPC.Prover(?,X,R)

TheproverreceivesarandomvectorY0?∈Fkfromtheverifier

Proximity?

Consistency?

ProversendsC1?,?y1?,?C0?,?y0?totheverifier.

Verifierrandomlysamplestasanarray?andsendittoprover

foridx∈?do

ProversendsC1?andtheMerkletreeproofofRootidxforC2?underRtoverifier

functionPC.VERIFY_EVAL(πX,?X,?y=?(X),?R)

Proximity:?idx∈?,?CY?0?==0?,?C1?>andEC(Yy?0?)==CY?0?

Consistency:?idx∈?,?C1?==0?,?C1?>andEC(Y1?)==C1?

y==1?,y1>

?idx∈?,EC(C1?)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

結語：多項式承諾是一類非常重要的密碼學協議，被廣泛的應用在許多密碼學系統當中，尤其是零知識證明系統。本文詳細介紹了多項式承諾Brakedown協議以及和其相關的數學知識，作為FOAKS很重要的底層組件，Brakedown對FOAKS的實例化性能的提升起到了重要作用。

參考文獻

:AlexanderGolovnev,JonathanLee,SrinathSetty,JustinThaler,andRiadS.Wahby.Brakedown:Linear-timeandpost-quantumsnarksforr?1?cs.CryptologyePrintArchive.https://ia.cr/2021/1043.

:XieT,ZhangY,SongD.Orion:Zeroknowledgeproofwithlinearprovertime//AdvancesinCryptology–CRYPTO2022:42?ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15?–?18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022:299-328.https://eprint.iacr.org/2022/1010?

:Bootle,Jonathan,AlessandroChiesa,andJensGroth."Linear-timeargumentswithsublinearverificationfromtensorcodes."TheoryofCryptography:18?thInternationalConference,TCC2020,Durham,NC,USA,November16?–?19,2020,Proceedings,PartII18.SpringerInternationalPublishing,2020.

JustinThalerfromA16z?crypto,MeasuringSNARKperformance:Frontends,backends,andthefuturehttps://a16z?crypto.com/measuring-snark-performance-frontends-backends-and-the-future/

張量積的介紹：https://blog.csdn.net/chenxy_bwave/article/details/127288938?

Tags：THEPROANDVERATHEN幣Paycer ProtocolCashHandAniverse

XLM