Plonk方案

Plonk全称为Permutations(排列) over Lagarange-bases(拉格朗日基) for Oecumenical(普世的) Noninteractive arguments of Knowledge。

准备阶段

准备双线性映射的两个群

这里建议先再看看之前的KZG承诺

定义有限域

这里使用 $y^{2} = x^{3} + 3$ ,既bls12_381曲线
$x, y \in F_{p}$

以下以 $x, y \in F_{101}$ 为例

寻找 $G_{1}$ 的循环子群

下面的具体计算可以参考这里

扩展域

为了完成双线性映射需要找到扩展域 $F_{101}$ ，这里的 $k$ 被称为嵌入度，需要找到最小的 $k$ 使得 $r | p^{k} - 1$ ，在这里 $r$ 是子群 $G_{1}$ 的阶。~~要求 r | p^k − 1 是为了让 r 次单位根包含在 F_{p^k}^× 中，从而配对 e: G1 × G2 → GT（|GT|=r）可以定义。~~

在这里假设 $k - 2$

$p^{k} - 1 = 101^{2} - 1 \equiv 0 m o d 17$
扩展域 $F_{101^{2}}$
寻找一个不可约多项式 $x^{2} + 2$
- 为什么不能用 $x^{2} + 1$ , $∵ (x - 10) (x + 10) \equiv x^{2} - 100 \equiv x^{2} + 1 m o d 101$
$u$ 为该式的解，既 $u^{2} = - 2$
则在该扩展域上所有元素可写作$ a + bu $

找到第二个子群

可信设置

生成私钥 $s, α \in F_{p}$
构造结构引用字符串SRS：
- $1 \cdot G_{1}, s \cdot G_{1}, s^{2} \cdot G_{1}, \dots, s^{n + 2} \cdot G_{1}$
- $1 \cdot G_{2}, s \cdot G_{2}$

将问题转化为电路

这里将问题假设为： $α^{2} + β^{2} = γ^{2}$

我们要证明我们有 $α = 3, β = 4, γ = 5$ 满足上述等式。

R1CS:

$x_{1} \cdot x_{1} = x_{2}$
$x_{3} \cdot x_{3} = x_{4}$
$x_{5} \cdot x_{5} = x_{6}$
$x_{2} + x_{4} = x_{6}$

Plonk基本多项式

q_{l} a + q_{r} b + q_{o} c + q_{m} a b + q_{c} = 0

$q_{l}$ ：左输入
$q_{r}$ ：右输入
$q_{o}$ ：输出
$q_{m}$ ：乘法
$q_{c}$ ：常数

$q_{*}$ 表示为当前功能是否启用，启用为1，禁用为0，具体如下图：

转化为向量：

拉格朗日插值，把向量转为多项式

这里对 $a = (3_{0}, 4_{1}, 5_{2}, 9_{3})$ 进行插值，转换为坐标则为 $(0, 3), (1, 4), (2, 5), (3, 9)$ ，最终得到多项式 $\frac{1}{2} x^{3} - \frac{3}{2} x^{2} + 2 x + 3$ ，

具体参照之前的介绍

单位根

定义：对 $x^{n} = 1$ ，在复数意义的解下是 $n$ 次复根，这样的解有 $n$ 个，则称为 $n$ 次单位根或单位复根， $n$ 要大于等于约束向量的长度。

在当前的例子中向量长度为4。

寻找单位根

在上面这里提到 $i n d (G_{1}) = 17$ ，则显然 $F_{17} \in F_{101}$ ，可以在 $F_{17}$ 中寻找单位根:

计算陪集

对于上面的单位根 $H$ 在 $F_{17}$ 中，有如下元素不重复的陪集：

k_{1} = 2, k_{1} H = {2, 8, 15, 9}

k_{2} = 3, k_{2} H = {3, 12, 14, 5}

拷贝约束

由于需要构建 $x_{*} 到 a_{*}, b_{*}, c_{*}$ 的映射关系，这里需要添加拷贝约束:

还需要嵌入到多项式中：

具体看Code

承诺

为了简化表示，以下用 $[a]_{1}$ 表示 $a G_{1}$ ，角标省略默认为 $G_{1}$ ，对于双线性配对容易得到分配率：

([a]_{1} + [b]_{1}) \cdot [c]_{2} = [a]_{1} \cdot [c]_{2} + [b]_{1} \cdot [c]_{2}

Stage 1 ：承诺a，b，c

对于在单位根中的群 $Z_{H} (x) = x^{4} - 1$ ，我们有：

$\begin{array}{r} a (x) = (b_{1} x + b_{2}) \cdot Z_{H} (x) + f_{a} (x) \\ b (x) = (b_{3} x + b_{4}) \cdot Z_{H} (x) + f_{b} (x) \\ c (x) = (b_{5} x + b_{6}) \cdot Z_{H} (x) + f_{c} (x) \end{array}$

在 $F_{1} 7$ 上产生随机数：

(b_{1}, b_{2}, b_{3}, b_{4}, b_{5}, b_{6}) = (7, 4, 11, 12, 16, 2)

易得：

$\begin{aligned} a (x) = 14 + 6 x + 3 x^{2} + 3 x^{3} + 4 x^{4} + 7 x^{5} \\ b (x) = 12 + 9 x + 14 x^{2} + 13 x^{3} + 12 x^{4} + 11 x^{5} \\ c (x) = 4 + 6 x + 11 x^{2} + 4 x^{3} + 2 x^{4} + 16 x^{5} \end{aligned}$

然后使用SRS进行承诺：

取 $x = s$

[a (x)] = [a (x)] \cdot (1, 2) = (91, 66)

[b (x)] = (26, 45)

[c (x)] = (91, 35)

这里是和基点 $G_{1} = (1, 2)$ 相乘

Sage 2 : 承诺 $z (x)$

产生随机数： $(b_{7}, b_{8}, b_{9}) = (14, 11, 7) \in F_{17}$

获得挑战： $(β, γ) = (12, 13) \in F_{17}$

计算 $z (x)$ ：

z (x) = (b_{7} x^{2} + b_{8} x + b_{9}) \cdot Z_{H} (x) + a c c (x)

a c c_{0} = 1

a c c_{i} = a c c_{i - 1} \frac{(a_{i} + β ω^{i - 1} + γ) (b_{i} + β k_{1} ω^{i - 1} + γ) (c_{i} + β k_{2} ω^{i - 1} + γ)}{(a_{i} + β S_{σ_{1}} (ω^{i - 1}) + γ) (b_{i} + β S_{σ_{2}} (ω^{i - 1}) + γ) (c_{i} + β S_{σ_{3}} (ω^{i - 1}) + γ)}

a c c_{1} = 1 \cdot \frac{(3 + 12 * 1 + 13) (3 + 12 * 2 * 1 + 13) (9 + 12 * 3 * 1 + 13)}{(3 + 12 * 2 + 13) (3 + 12 * 1 + 13) (9 + 12 * 13 + 13)} = \frac{11 \cdot 6 \cdot 7}{6 \cdot 11 \cdot 8} = 3

a c c_{2} = 3 \cdot \frac{(4 + 12 * 4 + 13) (4 + 12 * 2 * 4 + 13) (16 + 12 * 3 * 4 + 13)}{(4 + 12 * 8 + 13) (4 + 12 * 4 + 13) (16 + 12 * 9 + 13)} = 3 \cdot \frac{14 \cdot 11 \cdot 3}{11 \cdot 14 \cdot 1} = 9

a c c_{2} = 9 \frac{(5 + 12 * 16 + 13) (5 + 12 * 2 * 16 + 13) (25 + 12 * 3 * 16 + 13)}{(5 + 12 * 15 + 13) (5 + 12 * 16 + 13) (25 + 12 * 5 + 13)} = 9 \cdot \frac{6 \cdot 11 \cdot 2}{11 \cdot 6 \cdot 13} = 4

a c c (x) = 16 x + 5 x^{2} + 14 x^{3}

z (x) = (14 x^{2} + 11 x + 7) (x^{4} - 1) + 16 x + 5 x^{2} + 14 x^{3} = 10 + 5 x + 8 x^{2} + 14 x^{3} + 7 x^{4} + 11 x^{5} + 14 x^{6}

[z (x)]_{1} = [z (x)] * (1, 2) = (32, 59)

Stage 3 : 计算商多项式 $q (α)$ 与承诺 $t$

$α = 15 \in F_{17}$

$t (x) = (a (x) b (x) q_{M} (x) + a (x) q_{L} (x) + b (x) q_{R} (x) + c (x) q_{O} (x) + P I (x) + q_{C} (x)) \frac{1}{Z_{H} (x)}$ $+ (a (x) + β x + γ) (b (x) + β k_{1} x + γ) (c (x) + β k_{2} x + γ) z (x) \frac{α}{Z_{H} (x)}$ $- (a (x) + β S_{σ_{1}} (x) + γ) (b (x) + β S_{σ_{2}} (x) + γ) (c (x) + β S_{σ_{2}} (x) + γ) z (ω x) \frac{α}{Z_{H} (x)}$ $+ (z (x) - 1) L_{1} (x) \frac{α^{2}}{Z_{H} (x)}$

然后将多项式分割为 $d e g r e e < n + 2$ 的多项式 $t_{l o} (x), t_{m i d} (x), t_{h i} (x)$ ， $n$ 是指电路门数量，或者说向量长度，在这里 $n = 4$ 其中：

t (x) = t_{l o} (x) + t_{m i d} (x) + t_{h i} (x)

然后输出 $[t_{l o} (x)], [t_{m i d} (x)], [t_{h i} (x)]$ ，既将 $x = s$ 代入并承诺到 $G_{1}$ 上

我们有：

$t (x) = 11 x^{17} + 7 x^{16} + 2 x^{15} + 16 x^{14} + 6 * x^{13} +$ $15 x^{12} + x^{11} + 10 x^{10} + 2 x^{9} + x^{8} + 8 x^{7} + 13 x^{6} + 13 x^{5} + 9 x^{3} + 13 x^{2} + 16 x + 11$

$t_{l o} = 11 + 16 x + 13 x^{2} + 9 x^{3} + 13 x^{5}$

$t_{m i d} = 13 + 8 x + x^{2} + 2 x^{3} + 10 x^{4} + x^{5}$

$t_{h i} = 15 + 6 x + 16 x^{2} + 2 x^{3} + 7 x^{4} + 11 x^{5}$

然后得到 Commit:

[t_{l o}]_{1} = (12, 32)

[t_{m i d}]_{1} = (26, 45)

[t_{h i}]_{1} = (91, 66)

Stage 4 : 线性化，计算评估点 $ζ$

$ζ = 5 \in F_{19}$

计算：

$\bar{a} = a (ζ), \bar{b} = b (ζ), \bar{c} = c (ζ)$ $\bar{S_{σ_{1}}} = S_{σ_{1}} (ζ), \bar{S_{σ_{2}}} = S_{σ_{2}} (ζ)$ $\bar{t} = t (ζ)$ $\bar{z_{ω}} = z (ω ζ)$

计算 $r (x)$ :

$r (x) = \bar{a} \bar{b} q_{M} (x) + \bar{a} q_{L} (x) + \bar{b} q_{R} (x) + \bar{c} q_{O} (x) + q_{C} (x)$ $+ α (\bar{a} + β ζ + γ) (\bar{b} + β k_{1} ζ + γ) (\bar{c} + β k_{2} ζ + γ) z (x)$ $- α (\bar{a} + β \bar{S_{σ_{1}}} + γ) (\bar{b} + β \bar{S_{σ_{2}}} + γ) β \bar{z_{ω}} S_{σ_{3}} (x)$ $+ α^{2} z (x) L_{1} (ζ)$

然后计算 $[r (s)]_{1}$ :

The definition of $r (x)$ here is not same as in plonk paper, where we removed all the constant terms when we do linearization. This can save one verifier scalar multiplication.

最后计算线性评估点： $\bar{r} = r (ζ)$ ，输出

\bar{a}, \bar{b}, \bar{c}, \bar{S_{σ_{1}}}, \bar{S_{σ_{2}}}, \bar{z_{ω}}, \bar{t}, \bar{r}

$\bar{a} = a (5) = 15, \bar{b} = 13, \bar{c} = 5, \bar{S_{σ_{1}}} = 1,$ $\bar{S_{σ_{2}}} = 12, \bar{t} = 1, \bar{z_{ω}} = 15$ $r (x) = 16 x + 9 x^{2} + 13 x^{3} + 8 x^{4} + 15 x^{5} + 16 x^{6},$ $\bar{r} = 15$

Stage 5 : 计算公开多项式承诺

W_{ζ} (x) = \begin{matrix} \frac{1}{x - ζ} \end{matrix} \cdot [\begin{matrix} t_{l o} (x) + ζ^{n + 2} t_{m i d} (x) + ζ^{2 n + 4} t_{h i} (x) - \bar{t} \\ + v (r (x) - \bar{r}) \\ + v^{2} (a (x) - \bar{a}) \\ + v^{3} (b (x) - \bar{b}) \\ + v^{4} (c (x) - \bar{c}) \\ + v^{5} (S_{σ_{1}} (x) - \bar{S_{σ_{1}}}) \\ + v^{6} (S_{σ_{2}} (x) - \bar{S_{σ_{2}}}) \end{matrix}]

W_{ζ ω} (x) = \frac{z (x) - \bar{z_{ω}}}{x - ζ ω}

输出： $[W_{ζ} (x)]_{1}, [W_{ζ ω} (x)]_{1}$

给定 $ζ = 5$ ，有： $[W_{ζ} (x)]_{1} = (91, 35), [W_{ζ ω} (x)]_{1} = (65, 98)$

证据输出

$π = ([a], [b], [c], [z], [t_{l o}], [t_{m i d}], [t_{h i}], [W_{ζ}], [W_{ζ ω}]$ $\bar{a}, \bar{b}, \bar{c}, \bar{S_{σ_{1}}}, \bar{S_{σ_{2}}}, \bar{z_{ω}}, \bar{r})$

$π = ((91, 66), (26, 45), (91, 35), (32, 59), (12, 32), (26, 45), (91, 66),$ $(91, 35), (65, 98), 15, 13, 5, 1, 12, 15, 15)$

总共16个元素，9个 $G_{1}$ 上的点，7个 $F_{p}$ 上的标量

验证

SRS预处理

$\begin{aligned} [q_{M}] = (12, 69) \\ [q_{L}] = (32, 42) \\ [q_{R}] = (32, 42) \\ [q_{O}] = (1, 99) \\ [q_{C}] = \infty \\ [s_{σ_{1}}] = (68, 74) \\ [s_{σ_{2}}] = (65, 3) \\ [s_{σ_{3}}] = (18, 49) \end{aligned}$

证明步骤

检查： $[a], [b], [c], [z], [t_{l o}], [t_{m i d}], [t_{h i}], [W_{ζ}], [W_{ζ ω}] \in G_{1}$
检查： $\bar{a}, \bar{b}, \bar{c}, \bar{S_{σ_{1}}}, \bar{S_{σ_{2}}}, \bar{z_{ω}}, \bar{r} \in F_{17}$
检查： $w_{i \in [l]} \in F_{17}$
计算零多项式评估： $Z_{H} (ζ) = ζ^{n} - 1$
计算： $L_{1} (ζ) = \frac{ζ^{n} - 1}{n (ζ - 1)}$
计算： $P I (ζ) = \sum_{i \in [l]} w_{i} L_{i} (ζ)$
计算商多项式评估： $\bar{t} = \frac{\bar{r} + P I (ζ) - (\bar{a} + β \bar{S_{σ_{1}}} + γ) (\bar{b} + β \bar{S_{σ_{2}}} + γ) (\bar{c} + γ) α - L_{1} (ζ) α^{2}}{Z_{H} (ζ)}$
计算第一部分多项式承诺，先定义： $[D] = v [r (x)] + u [z]$ ，计算： $[D] = \bar{a} \bar{b} v [q_{M}] + \bar{a} v [q_{L}] + \bar{b} v [q_{R}] + \bar{c} v [q_{O}] + v [q_{C}]$ $+ ((\bar{a} + β ζ + γ) (\bar{b} + β k_{1} ζ + γ) (\bar{c} + β k_{2} ζ + γ) α v + L_{1} (ζ) α^{2} v + u) [z]$ $- (\bar{a} + β \bar{S_{σ_{1}}} + γ) (\bar{b} + β S_{σ_{2}} + γ) α v β \bar{z_{ω}} [S_{σ_{3}}]$
计算完整批多项式承诺

[F] = [t_{l o}] + ζ^{n + 2} [t_{m i d}] + ζ^{2 n + 4} [t_{h i}] + [D] + v^{2} [a] + v^{3} [b] + v^{4} [c] + v^{5} [S_{σ_{1}}] + v^{6} [S_{σ_{2}}]

计算群编码的批量评估 $[E]$ ：

[E] = (\bar{t} + v \bar{r} + v^{2} \bar{a} + v^{3} \bar{b} + v^{4} \bar{c} + v^{5} \bar{S_{σ_{1}}} + v^{6} \bar{S_{σ_{2}}} + u \bar{z_{ω}}) \cdot [1]

验证所有的等式：

e ([W_{ζ}] + u [W_{ζ ω}], [s]_{2}) = e (ζ [W_{ζ}] + u ζ ω [W_{ζ ω}] + [F] - [E], [1]_{2})

Let's check steps 9 − 11 for each of the polynomials. For example the terms with 𝑢.

$e (u \cdot s \cdot [W_{ζ ω}], 1) ≐ e (u ζ ω [W_{ζ ω}] + u [z] - u z (ω ζ), 1)$

$e (u \cdot (s - ζ ω) [W_{ζ ω}], 1) ≐ e (u (z (s) - z (ω ζ), 1)$ $(s - ζ ω) \frac{z (s) - z (ζ ω)}{s - ζ ω} ≐ z (s) - z (ω ζ)$

Let's check $r (x)$ ,here we define $[W_{ζ}] = \frac{v (r (s) - r (ζ))}{s - ζ}$ for simplicity:

$e (s \cdot [W_{ζ}], 1) ≐ e (ζ [W_{ζ}] + v \cdot r (s) - v \bar{r}, 1)$ $e ((s - ζ) \cdot \frac{v (r (s) - r (ζ))}{s - ζ}, 1) ≐ e (v (r (s) - r (ζ)), 1)$

Let's check $t (x)$ ,here we define $[W_{ζ}] = \frac{t_{l o} (s) + ζ^{n + 2} t_{m i d} (s) + ζ^{2 n + 4} t_{h i} (s) - t (ζ)}{s - ζ}$ for simplicity:

$e ((s - ζ) [W_{ζ}], 1) ≐ e ([t_{l o}] + ζ^{n + 2} [t_{m i d}] + ζ^{2 n + 4} [t_{h i}] - \bar{t}, 1)$ $e (t_{l o} (s) + ζ^{n + 2} t_{m i d} (s) + ζ^{2 n + 4} t_{h i} (s) - t (ζ), 1) ≐ e (t_{l o} (s) + ζ^{n + 2} t_{m i d} (s) + ζ^{2 n + 4} t_{h i} (s) - t (ζ), 1)$

The other terms are easy to check as well.

Code

Plonk-by-Hand

Plonk方案 ​

准备阶段 ​

准备双线性映射的两个群 ​

定义有限域 ​

寻找G1的循环子群 ​

扩展域 ​

找到第二个子群 ​

可信设置 ​

将问题转化为电路 ​

Plonk基本多项式 ​

拉格朗日插值，把向量转为多项式 ​

单位根 ​

寻找单位根 ​

计算陪集 ​

拷贝约束 ​

承诺 ​

Stage 1 ：承诺a，b，c ​

Sage 2 : 承诺 z(x) ​

Stage 3 : 计算商多项式 q(α) 与承诺 t ​

Stage 4 : 线性化，计算评估点 ζ ​

Stage 5 : 计算公开多项式承诺 ​

证据输出 ​

验证 ​

SRS预处理 ​

证明步骤 ​

Code ​