學習筆記 | 零知識證明算法之PLONK——協議_PLO

上一篇主要描述了PLONK協議里的一個核心部分，用置換校驗的方法去證明電路門之間的一致性；接下來，將繼續分享如何證明門的約束關系得成立，以及整體的協議剖析。

門約束

舉個簡單的例子，假如存在一個電路，電路中僅有3個乘法門，對應的約束如下：

L1*R1-O1=0

L2*R2-O2=0

L3*R3-O3=0

進行多項式壓縮：定義多項式函數L(X),R(X),O(X)滿足：

L(1)=L1,R(1)=R1,O(1)=O1

L(2)=L2,R(2)=R2,O(2)=O2

L(3)=L3,R(3)=R3,O(3)=O3

此時，定義新的多項式函數F(X)，令F(X)=L(X)*R(X)-O(X)

則有：

F(1)=L(1)*R(1)-O(1)=0

F(2)=L(2)*R(2)-O(2)=0

F(3)=L(3)*R(3)-O(3)=0

也就是表明：如果多項式函數F(X)在X=1,2,3處有零點，則說明門關系約束成立。

多項式函數F(X)在X=1,2,3處有零點則表明多項式F(X)可以被(X-1)(X-2)(X-3)整除，為了和論文一致，我們把這個多項式函數設置成Z(X)，即：

江標：通過學習虧損的錢是未來路上為你帶來變革的財富:金色財經現場報道，2020年8月11日14:00，由DAP總冠名、大德資本、金色財經、PBank主辦的2020第一屆新經濟資產數字化高峰論壇在深圳福田香格里拉大酒店拉開帷幕。在以《數字資產的估值與落地》為題的圓桌論壇中，中國區塊鏈沙盒研究中心專家委員江標指出：我們目前身處的行業還不是行業，只能算是領域，因為尚且不具備行業的監管性、系統性、規范性。如果要進行估值，應該考慮項目是否解決了社會問題、滿足了客戶需求。他還談及風險投資問題：資產可以分為主流資產和非主流資產，在這個情況下，我們一定要想清楚的是我們所處的角色，如果是大資本，要求穩妥；如果是小資本，要更多的去學習。本質的邏輯是，通過學習去虧損的錢，都是未來的路上能夠為你帶來變革的財富。

?[2020/8/11]

F(X)=T(X)*Z(X)==>T(X)=F(X)/Z(X)

如果能證明T(X)是一個多項式，則說明多項式F(X)與Z(X)有相同的零點，進而說明門約束關系成立。

一般過程應該如下：

1.P計算F(X)并把F(X)發送給V；

2.V根據Z(X)直接校驗F(X)/Z(X)

但是如此過程存在兩個問題，一個是復雜性問題，假如F(X)的階為n，那通信復雜度就是O(n)；而是安全性問題，多項式F(X)完全暴露給V。

聲音 | 學習時報：區塊鏈等技術快速發展，數字科技與普惠金融融合程度不斷加深:學習時報今日發表文章《數字科技助力普惠金融》。文章指出，近年來，隨著大數據、云計算、人工智能、區塊鏈等信息技術的快速發展，數字科技與普惠金融的融合程度不斷加深，數字科技日益成為我國破解普惠金融落地難點、實現普惠金融可持續發展的重要手段。文章中表示，數字科技有助于提升小微企業金融服務可得性，破解小微企業融資難融資貴難題；有助于提高金融服務的覆蓋面，解決金融服務“最后一公里”問題；有助于打通各參與方之間的數據通道，打造多元化普惠金融生態系統。[2020/2/14]

那應該如何解決這兩個問題呢？最佳的答案可能就是：多項式承諾

多項式承諾

什么是多項式承諾？就是證明方P用一個很短的數據來代表一個多項式F，這些很短的數據可以被驗證方V用來驗證多項式F在某一點的值確實為證明方P聲稱的值z。

具體看一下論文里的定義：

由圖可知：

1.Setup:初始化，生成計算多項式承諾需要的一些必備參數；

2.Commit:計算多項式承諾，其結果是一個值；

動態 | 杭州市委理論學習中心組專題學習會：聚焦人大工作與區塊鏈技術:今日下午，杭州市委舉行理論學習中心組（擴大）專題學習會，邀請全國人大常委會委員、中國法學會副會長鄭淑娜作“推進新時代人大工作和建設”的輔導報告，浙江大學教授、中國工程院院士陳純作“區塊鏈技術發展現狀和趨勢”的輔導報告。陳純深入淺出地分析了當前區塊鏈技術的發展現狀、規律與特點，以及區塊鏈技術在建設網絡強國、發展數字經濟、助力經濟社會發展等方面的重要作用，對杭州如何落實好習總書記關于區塊鏈技術的應用，尤其是提高運用和管理區塊鏈技術能力方面的意見提出了對策建議。[2019/11/22]

3.Open:返回與多項式承諾對應的多項式函數；

4.VerifyPoly:驗證多項式承諾是否和多項式函數一致；

5.CreateWitness:證明多項式函數在某一點的值是否是證明方P聲稱的值，具體的數學方法就是：判斷多項式是否能被整除，即：

6.VerifyEval:驗證方V驗證多項式函數在某一點的值是否是證明方P聲稱的值，具體的數學方法是：利用雙線性配對驗證其數學乘法邏輯關系。

繼續回到我們上面的問題：

證明方如何證明：T(X)=F(X)/Z(X)，我們再簡化一下場景，就令Z(X)=X-1，則:

T(X)=F(X)/(X-1)==>T(X)*(X-1)=F(X)==>T(X)*X=F(X)+T(X)

聲音 | 同濟大學許濤：可通過區塊鏈技術平臺進行學習和認證:據光明網消息，同濟大學創新創業學院副教授許濤表示，對那些因工作或其他原因而無法完成傳統學校教育的個人學習者來說，通過區塊鏈技術平臺，可以把從不同教育機構修來的學分或學習結果綁定、組合在一起，申請認可此學習模式的教育機構的認證，獲得相應畢業或學位證書。當前，英國開放大學已積極實踐這一基于區塊鏈技術的新型學習模式。此外，英國開放大學的“知識與媒體研究中心”已開發出組合“微認證”，即徽章的創新技術，以適應基于區塊鏈技術平臺的學習和認證。[2018/11/12]

對應多項式承諾的協議可知：證明方P其實是想證明多項式函數F(X)再X=1處的值為0，因此根據協驗證方只需要證明：

e(Commit(T(x)),x*G)=？e(Commit(F(x))+Commit(T(x)),G)(雙線性配對的性質)

可以看出，利用多項式承諾的數學工具，既可以實現復雜度的優化，又可以實現隱私保護。

協議

接下來分析一下完整的PLONK協議：

Relation

上圖表示了PLONK算法里，要證明的一種關系，需要說明的是：

現場 | 鮑帥：機器學習技術能極大提升智能合約安全檢測引擎效率:金色財經現場報道，今日，2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上，西安好碼安全信息科技有限公司CEO鮑帥分析了智能合約與機器學習的相互影響。他指出，當前智能合約發展迅速，如何有效處理海量智能合約的安全成為行業普遍關注的問題，機器學習技術的引入能極大地提升智能合約安全檢測引擎效率，在大規模 、易擴展、半監督學習、高價值、高效率、通用方案等方面發揮較大的優勢。[2018/10/10]

1.w代表著電路里的輸入、輸出，總共3n個，n是電路里乘法門的數量，每個門都有左輸入，右輸入和輸出，因此w總共有3n個；

2.q*代表著選擇向量，它的取值對應這這個是乘法門，還是加法門等類似的約束類型

3.σ代表著置換多項式，其表示門之間的一致性約束索引

4.倒數第一個公式代表門之間的約束成立

5.倒數第二個公式代表門的約束關系成立

CRS&P_Input&V_Input

上圖表示了PLONK算法里的CRS設置，以及證明方P和驗證方V的一些輸入，需要說明的是：

1.整個協議都是基于多項式的，因此需要構建對應的多項式形式。

2.多項式σ的階是3n的，由于和多項式承諾相關的CRS最高的階位n+2，因此需要把σ拆分成3個多項式S,分別記錄每個多項式的置換關系(L,R,O);

3.為了減少通信復雜度和保護隱私，協議基于多項式承諾構建，因此驗證方V的輸入都是承諾值。

Prove

上圖表示了PLONK算法里證明方的一些操作，需要說明的是：

1.b1,...b9是隨機數，從用法看是為了安全，但是我暫時也沒明白，不加這個隨機數，又會有什么安全問題？

2.a(X),b(X),c(X)分別是代表了電路里的左輸入，右輸入和輸出

3.,,表示多項式的承諾值，參考多項式承諾小節里的承諾計算方法

上圖表示了PLONK算法里證明方的一些操作，主要是置換校驗，參考第一篇的置換校驗的協議過程，生成多項式z(X)，需要說明的是：

1.β和?都是用來生成置換校驗函數的參數，詳見第一篇里f`(x)和g`(x)的生成過程；

2.z(X)的生成方式對應置換校驗里跨多項式的生成過程，Li(X)為拉格朗日多項式基，性質滿足，盡在x=i的時候為1，其他為0；

3.注意區分ω和w，ω是群H的生成元，是多項式的自變量的取值。w是電路的左輸入，右輸入和輸出，是多項式L,R,O在在群H上的取值。

上圖表示了PLONK算法里證明方P的一些操作，主要是把門約束和門之間的一致性約束組合到一起，通過α，需要說明的是：

1.根據前面的描述，門約束多項式和一致性約束多項式在群H上的所有元素都是取值為0的，因此都會被多項式ZH(X)整除，等同于上面所述的T(X);

2.因此，證明方只要能證明整除的結果的確是多項式，那就能證明，門約束多項式和一致性多項式在群H所有元素上取值為0，即所有約束關系成立，即電路邏輯成立；

3.可以知道的是t(X)的階最高為3n，但是用于計算承諾的CRS只到了n的級別，因此需要把多項式t(X)拆分，然后單獨計算承諾值。

上圖表示了PLONK算法了證明方P的一些操作，主要根據多項式承諾的協議，前面P算出了多個多項式在點x=z處的值是多少，現在要用多項式承諾協議去證明，這些計算是正確的，需要說明的是：

1.為了減少驗證方V的操作復雜度，t(X)的分子部分r(X)在x=z處的值，P計算好，然后驗證方直接驗證，其他的操作類似；

2.v的值看起來是為了更安全；

3.Wz(X)對應多項式協議里的CreateWitness操作，證明這些多項式r(X),a(X),b(X)等在x=z處的值確實等于r,a,b等，對Wzw(X)同理，并返回承諾值。

Verify

至此，證明方P的所有操作都完事了，接下來都是驗證方V的操作。

上圖表示了PLONK算法里驗證方V的一些操作，主要重新生成相關的參數，確保證明方P沒有作惡。需要說明的是：

1.從輸入看，比較清晰，就是一些公開的輸入和證明方P的證明輸出；

2.根據輸入，生成置換校驗過程中需要的一些參數

上圖表示了PLONK算法里驗證方V的一些操作，對于一些公開的，并且計算復雜度很小的多項式，其在x=z處的值還是需要自己計算，更為方便。需要說明的是：

1.根據證明方P的過程來看，驗證方V的核心工作就是驗證兩個多項式承諾；

2.兩個多項式承諾驗證需要兩個配對，可以通過一個參數組合成一個配對，即μ；

3.在驗證前，先計算Wz(x),Wzw(x)的分母在x=z處的值，兩部分，減數和被減數，分別對應,。μ作為系數的，就是對應Wzw(X)多項式的。

4.最后通過一個雙線性配對操作完成兩個多項式承諾的驗證。

結束

至此，PLONK算法的協議原理已全部分享完成，公式很密集，但是細分下來，又很有層次感。能堅持看完，已實屬不易。各位讀者有什么不同的簡介，還請指教，謝謝。

Tags：區塊鏈LONPLOMMIT區塊鏈存證平臺ELONCAT價格PLOWMMIT幣

FIL幣