你的位置:beat365体育亚洲中文版在线登录-首页 > 官方资讯 > 学习条记 | 零常识解说算法之PLONK——左券 | BTC

学习条记 | 零常识解说算法之PLONK——左券 | BTC

时间:2022-07-09 01:30 点击:179 次

学习条记 | 零常识解说算法之PLONK——左券 | BTC

上一篇主要形色了PLONK左券里的一个中枢部分,用置换校验的步调去解说电路门之间的一致性;接下来,将不绝共享若何解说门的不停琢磨得开辟,以及举座的左券理会。

门不停

举个简略的例子,假如存在一个电路,电路中仅有3个乘决窍,对应的不停如下:

L1 * R1 - O1 = 0

L2 * R2 - O2 = 0

L3 * R3 - O3 = 0

进行多项式压缩:界说多项式函数L(X),R(X),O(X) 激昂:

L(1) = L1, R(1) = R1, O(1) = O1

L(2) = L2, R(2) = R2, O(2) = O2

L(3) = L3, R(3) = R3, O(3) = O3

此时,界说新的多项式函数F(X),令F(X) = L(X) * R(X) - O(X)

则有:

F(1) = L(1) * R(1) - O(1) = 0

F(2) = L(2) * R(2) - O(2) = 0

F(3) = L(3) * R(3) - O(3) = 0

也等于标明:如果多项式函数F(X)在X=1,2,3处有零点,则讲解门琢磨不停开辟。

多项式函数F(X)在X=1,2,3处有零点则标明多项式F(X)不错被(X - 1)(X - 2)(X - 3)整除,为了和论文一致,咱们把这个多项式函数培植成Z(X),即:

F(X) = T(X) * Z(X) ==> T(X) = F(X) / Z(X)

如果能解说T(X)是一个多项式,则讲解多项式F(X)与Z(X)有调换的零点,进而讲解门不停琢磨开辟。

一般经由应该如下:

1. P筹备F(X)并把F(X)发送给V;

2. V左证Z(X)告成校验F(X) / Z(X)

然则如斯经由存在两个问题,一个是复杂性问题,假如F(X)的阶为n,那通讯复杂度等于O(n);而是安全性问题,多项式F(X)十足浮现给V。

那应该若何科罚这两个问题呢?最好的谜底可能等于:多项式欢跃

多项式欢跃

什么是多项式欢跃?等于解说方P用一个很短的数据来代表一个多项式F,这些很短的数据不错被考证方V用来考证多项式F在某少许的值如实为解说方P宣称的值z。

具体看一下论文里的界说:

由图可知:

1. Setup: 启动化,生成筹备多项式欢跃需要的一些必备参数;

2. Commit: 筹备多项式欢跃,其效果是一个值;

3. Open: 复返与多项式欢跃对应的多项式函数;

4. VerifyPoly: 考证多项式欢跃是否和多项式函数一致;

5. CreateWitness: 解说多项式函数在某少许的值是否是解说方P宣称的值,具体的数学步调等于:判断多项式是否能被整除,即:

6. VerifyEval: 考证方V考证多项式函数在某少许的值是否是解说方P宣称的值,具体的数学步调是:愚弄双线性配对考证其数学乘法逻辑琢磨。

不绝回到咱们上头的问题:

解说方若何解说:T(X) = F(X) / Z(X),咱们再简化一下场景,就令Z(X) = X - 1,则:

T(X) = F(X) / (X - 1) ==> T(X) * (X - 1) = F(X) ==> T(X) * X = F(X) + T(X)

对应多项式欢跃的左券可知:解说方P其实是想解说多项式函数F(X)再X = 1处的值为0,因此左证协考证方只需要解说:

e(Commit(T(x)), x*G) =? e(Commit(F(x)) +Commit (T(x)), G) (双线性配对的性质)

不错看出,愚弄多项式欢跃的数学器具,既不错已矣复杂度的优化,又不错已矣隐讳保护。

左券

接下来分析一下竣工的PLONK左券:

Relation

上图示意了PLONK算法里,要解说的一种琢磨,需要讲解的是:

1. w 代表着电路里的输入、输出,总计3n个,n是电路里乘决窍的数目,每个门都有左输入,右输入和输出,因此w总计有3n个;

2. q* 代表着遴荐向量,它的取值对应这这个是乘决窍,也曾加决窍等一样的不停类型

3. σ 代表着置换多项式,其示意门之间的一致性不停索引

4. 倒数第一个公式代表 门之间的不停开辟

5. 倒数第二个公式代表 门的不停琢磨开辟

CRS & P_Input & V_Input

上图示意了PLONK算法里的CRS培植,以及解说方P和考证方V的一些输入,需要讲解的是:

1. 通盘左券都是基于多项式的,因此需要构建对应的多项式花式。

2. 多项式σ的阶是3n的,由于和多项式欢跃琢磨的CRS最高的阶位n+2,因此需要把σ拆分红3个多项式S,分别记载每个多项式的置换琢磨(L,R,O);

3. 为了减少通讯复杂度和保护隐讳,左券基于多项式欢跃构建,因此考证方V的输入都是欢跃值。

Prove

上图示意了PLONK算法里解说方的一些操作,需要讲解的是:

1. b1,...b9是当场数,从用法看是为了安全,然则我暂时也没昭彰,不加这个当场数,又会有什么安全问题?

2. a(X),b(X),c(X)分别是代表了电路里的左输入,右输入和输出

3. [a],[b],[c]示意多项式的欢跃值,参考多项式欢跃末节里的欢跃筹备步调

上图示意了PLONK算法里解说方的一些操作,主如果置换校验,参考第一篇的置换校验的左券经由,生成多项式z(X),需要讲解的是:

1. β和ϒ都是用来生成置换校验函数的参数,详见第一篇里f`(x)和g`(x)的生成经由;

2. z(X)的生成花式对应置换校验里跨多项式的生成经由,Li(X)为拉格朗日多项式基,性质激昂,尽在x=i的时辰为1,其他为0;

3. 选藏鉴别ω和w,ω是群H的生成元,是多项式的自变量的取值。w是电路的左输入,右输入和输出,是多项式L,R,O在在群H上的取值。

上图示意了PLONK算法里解说方P的一些操作,主如果把门不停和门之间的一致性不停组合到全部,通过α,需要讲解的是:

1. 左证前边的形色,门不停多项式和一致性不停多项式在群H上的扫数元素都是取值为0的,因此都会被多项式ZH(X)整除,等同于上头所述的T(X);

2. 因此,解说方唯一能解说整除的效果委果是多项式,那就能解说,门不停多项式和一致性多项式在群H扫数元素上取值为0,即扫数不停琢磨开辟,即电路逻辑开辟;

3. 不错流露的是t(X)的阶最高为3n,然则用于筹备欢跃的CRS只到了n的级别,因此需要把多项式t(X)拆分,然后单独筹备欢跃值。

上图示意了PLONK算法了解说方P的一些操作,主要左证多项式欢跃的左券,前边P算出了多个多项式在点x=z处的值是若干,现时要用多项式欢跃左券去解说,这些筹备是正确的,需要讲解的是:

1. 为了减少考证方V的操作复杂度,t(X)的分子部分r(X)在x=z处的值,P筹备好,然后考证方告成考证,其他的操作一样;

2. v的值看起来是为了更安全;

3. Wz(X)对应多项式左券里的CreateWitness操作,解说这些多项式r(X),a(X),b(X)等在x=z处的值如实等于r,a,b等,对Wzw(X)同理,并复返欢跃值。

Verify

至此,解说方P的扫数操作都完事了,接下来都是考证方V的操作。

上图示意了PLONK算法里考证方V的一些操作,主要从头生成琢磨的参数,确保解说方P莫得坐法。需要讲解的是:

1. 从输入看,比拟明晰,等于一些公开的输入息争说方P的解说输出;

2. 左证输入,生成置换校验经由中需要的一些参数

上图示意了PLONK算法里考证方V的一些操作,关于一些公开的,何况筹备复杂度很小的多项式,其在x=z处的值也曾需要我方筹备,更为便捷。需要讲解的是:

1. 左证解说方P的经由来看,考证方V的中枢责任等于考证两个多项式欢跃;

2. 两个多项式欢跃考证需要两个配对,不错通过一个参数组合成一个配对,即μ;

3. 在考证前,先筹备Wz(x), Wzw(x)的分母在x=z处的值,两部分,减数和被减数,分别对应[F],[E]。μ动作系数的,等于对应Wzw(X)多项式的。

4. 临了通过一个双线性配对操作完成两个多项式欢跃的考证。

畛域

至此,PLONK算法的左券旨趣已全部共享完成,公式很密集,然则细分下来,又很有档次感。能支撑看完,已实属不易。诸位读者有什么不同的简介,还请赐教,谢谢。

此前有音问称,阿森纳和纽卡斯尔一直在密切温暖里昂中场帕奎塔。里昂主席奥拉斯在采访时还夸耀,俱乐部还是收到了一些向帕奎塔提交的报价。但阿森纳跟队记者FreddiePaxton暗示,代言人指

查看更多->

上一篇主要形色了PLONK左券里的一个中枢部分,用置换校验的步调去解说电路门之间的一致性;接下来,将不绝共享若何解说门的不停琢磨得开辟,以及举座的左券理会。 门不停 举个简略的例

查看更多->

7月6日讯息当天下昼,公众号 廉明四川 发布讯息称,四川经准老师检测集团股份有限公司原党委委员、总工程师游元德涉嫌严重违法违法,当今正汲取秩序审查和监察探望。 公开府上深远,游

查看更多->

官网:www.bjgfgg.com

邮箱:2e26e7@www.bjgfgg.com

联系:41752790

地址:官方资讯电子工业园4075号

Powered by beat365体育亚洲中文版在线登录-首页 RSS地图 HTML地图


beat365体育亚洲中文版在线登录-首页-学习条记 | 零常识解说算法之PLONK——左券 | BTC