ION:一文了解 FOAKS 當中的多項式承諾協議 Brakedown_PRO

撰文：FoxTechCEO康水躍，FoxTech首席科學家孟鉉濟前言：如果密碼學家沒有發現張量積和多項式取值之間的聯系，那就很難出現多項式承諾協議Brakedown，也就不可能誕生基于Brakedown的Orion、以及FOAKS這類全新的快速算法。

在許多依賴多項式承諾的零知識證明系統當中，使用了不同的承諾協議。根據a16z的JustinThaler在2022年8月文章“MeasuringSNARKperformance:Frontends,backends,andthefuture”的評估，Brakedown雖然有較大的ProofSize，但是無疑是當下最快的多項式承諾協議。

FRI、KZG、Bulletproof是更為常見的多項式承諾協議，但速度是它們的瓶頸。zkSync采用的Plonky、PolygonzkEVM采用的Plonky2、Scroll采用的Ultra-Plonk等算法都是基于KZG的多項式承諾。Prover涉及到大量的FFT計算和MSM運算生成多項式和承諾，這兩者都會帶來大量的計算負擔。雖然MSM有運行多線程加速的潛力，但需要大量內存，即使在高并行下也很慢，而大型FFT則嚴重依賴算法運行時數據的頻繁洗牌，難以通過分布式加速跨計算集群加載。

正是由于有了更為快速的多項式承諾協議Brakedown，才使這類運算的復雜度大幅降低。

FOAKS即FastObjectiveArgumentofKnowledges，是由FoxTech提出的一種基于Brakedown的零知識證明系統框架。FOAKS在Orion的基礎上進一步減少FFT運算，目標是最終消除FFT。此外，FOAKS還設計出一種全新的非常精妙的證明遞歸方式來減少證明大小。FOAKS框架的優勢在于在實現線性證明時間的基礎上有著較小的證明大小，非常適合應用于zkRollup場景當中。

Celsius前CEO保釋金為4000萬美元:金色財經報道，Celsius前CEO Alex Mashinsky在周四因欺詐指控被捕后，美國地區法官確定其保釋金為4000萬美元。

此前今日凌晨報道，Celsius前CEO Alex Mashinsky被捕，Mashinsky否認美國政府對其的指控，律師稱相關指控毫無根據。[2023/7/14 10:55:05]

下文我們將詳細介紹FOAKS所使用的多項式承諾協議Brakedown。

在密碼學當中，承諾協議由證明者對某一個秘密值進行承諾，生成一個公開的承諾值，這個承諾值具有綁定性和隱藏性，之后提交者需要打開此承諾并將消息發送到驗證者，以驗證承諾與消息之間的對應關系。這一點，使得承諾協議和哈希函數的作用有許多共通之處，但是承諾協議往往依賴于公鑰密碼學領域的數學結構。而多項式承諾是一類對于多項式的承諾方案，也就是說被承諾值是多項式。而同時多項式承諾協議當中還包含了在給定的點取值并給出證明的算法，這就使得多項式承諾協議本身成為一類重要的密碼學協議，是許多零知識證明系統的核心部分。

而在最新的密碼學領域的研究當中，由于發現了張量積和多項式取值之間的聯系，所以誕生了一系列與此相關的多項式承諾協議，Brakedown是其中的代表性協議。

在詳細介紹Brakedown的協議細節之前，需要先了解一些基礎知識。我們需要先了解線性碼、抗碰撞哈希函數、默克爾樹、張量積的運算以及多項式取值的張量積表示。

首先是線性碼。一個消息長度為k，碼字長度為n的線性碼是一個線性子空間CFn，使得存在一個從消息到碼字的單射，稱為編碼，記作EC：FkC。任意的對于碼字的線性組合仍然是一個碼字。兩個碼字u，v的距離即他們的漢明距離，記作(u,v)。最短距離為d=minu,v(u,v)。這樣的碼記作線性碼，用dn表示碼的相對距離。

微軟與 Space and Time 合作為 Azure Cloud 添加實時區塊鏈數據:金色財經報道，微軟與去中心化數據平臺 Space and Time 合作，通過 Microsoft Azure Marketplace 向開發人員提供實時區塊鏈數據。通過 Azure 市場的一鍵式部署，開發人員能夠訪問、管理和分析區塊鏈數據。企業可以在不改造現有技術架構的情況下開發區塊鏈。[2023/4/20 14:14:41]

其次是抗碰撞哈希函數與默克爾樹。

使用H:{0,1}2{0,1}表示一個哈希函數。默克爾樹是一種特殊的數據結構，可以實現對于2d個消息的承諾，生成一個哈希值h，在打開任何消息時候需要d+1個哈希值。

默克爾樹可以被表示為一個深度為d的二叉樹，其中L個消息元素m1,m2,...,ml分別對應樹的葉子。樹的每一個內部節點都由它的兩個子節點進行哈希計算得出。打開消息mi時，需要公開從mi到根節點的路徑。

用以下記號來表示：

hMerkle.Commit(m1,...,ml)

(mi,i)Merkle.Open(m,i)

{0,1}Merkle.Verify(i,mi,h)

圖1：默克爾樹

我們還需要了解張量積的運算是怎么做的。數學上，張量是向量和矩陣向高維空間的擴展，是很重要的研究對象，詳細的討論張量超出本文的研究范疇，這里只介紹向量和矩陣的張量積運算。

圖2：向量和矩陣的張量積運算

緊接著，我們需要知道多項式取值的張量積表示。當中提到，多項式的取值可以被表示成張量積的形式。在這里我們考慮多線性多項式的承諾。

債權人向法院申請限制Genesis進行公司間交易:金色財經報道，根據2月20日流出的一份法庭文件顯示，Genesis無擔保債權人對該公司要求繼續進行公司間交易的請求提出異議。他們認為Genesis的這個請求引起了債權人委員會的擔憂，因為此前Genesis的公司間交易已經遭到調查，而且至今仍未提供加密錢包地址等相關信息，因此希望法院禁止該公司進行所有公司間交易，并要求其“提供必要的報告和信息，以跟蹤現金流出和債務人數字資產的流動，包括加密貨幣錢包地址”。（cryptoslate）[2023/2/21 12:20:00]

具體來講，給定一個多項式，他在向量x0,x1,...,xlogN-1的取值可以寫成：

(x0,x1,...,xlogN-1)=i0=01i1=01...ilogN-1=01wi0i1...ilogN-1x0i0x1i1...xlogN-1ilogN-1

根據多線性的定義，每一個變量的次數是0或1，因此，這里有N個單項式和系數，以及logN個變量。令i=j=0logN-12jij，其中i0i1...ilogN-1是i的二進制表示。令w表示多項式系數，w=wi0i1...ilogN-1。同樣的，定義Xi=x0i0x1i1...xlogN-1ilogN-1。令k=N,r0={X0,X1,...,Xk-1},r1={X0k,X1k,...,Xk-1k}。于是有X=r0r1。

從而，多項式取值可以被表示成張量積的形式：(x0,x1,...,xlogN-1)=<w,r0r1>。

最后，我們來看FOAKS、Orion當中使用的Brakedown的過程。

STEPN的DEX DOOAR成為以太坊GAS 24h消耗最高應用:7月19日消息，據Etherscan數據，過去24小時，STEPN的DEX DOOAR成為以太坊鏈上GAS消耗最高的應用，達110.14 ETH，超過Opensea與Uniswap V3。

此前消息，基于Solana的借貸平臺Solend創始人發推表示，STEPN的去中心化交易平臺DOOAR已超越Orca成為Solana上最大的DEX。[2022/7/19 2:21:27]

首先，PC.Commit將多項式系數w劃分成kk的矩陣形式，并將其編碼，記作C2。之后對于C2的每一列C2進行承諾建立一個默克爾樹，然后再對于每一個列形成的默克爾樹樹根建立另一個默克爾樹，作為最終的承諾。

在取值證明的計算中，需要證明兩點，一是近似性，二是一致性。近似性保證了承諾的矩陣確實和編碼后的一個碼字足夠接近。一致性保證y=<w,r0r1>。

近似性檢驗：近似性檢驗由兩步組成。首先，驗證者發送一個隨機向量0給證明者，證明者計算0與C1的內積，也就是以0的分量為系數對C1的行計算線性組合。由于線性碼的性質，C0是y0的碼字。之后，證明者證明C0確實是從被承諾的碼字計算出的。為了證明這一點，驗證者隨機選取t列，證明者打開對應的列并提供默克爾樹證明。驗證者檢查這些列和0的內積和C0當中對應位置相等。當中證明如果使用的線性碼有常數的相對距離，那么被承諾的矩陣就以壓倒性的概率與一個碼字接近。

一致性檢驗：一致性檢驗和近似性檢驗的流程完全類似。不同之處在于，不使用隨機向量0而是直接使用r0來完成線性組合的部分。類似的，c1也是消息y1的一個線性碼，并且有(x)=<y1,r1>。當中證明，通過一致性檢驗，如果被承諾的矩陣與一個碼字接近，則以壓倒性概率成立y=(x)。

BIS、IOSCO以及CPMI聯合發布穩定幣監管指南:金色財經報道，國際清算銀行（BIS?）和市場基礎設施委員會（CPMI）以及國際證券委員會組織（IOSCO）周三發布了關于監管穩定幣的最終指南。國際清算銀行在一份聲明中表示，如果穩定幣執行轉移功能并且監管機構認為它對金融系統很重要，它應該遵守金融市場基礎設施原則（PFMI），就像執行該功能的不同工具必須遵守的那樣。這些原則是金融市場基礎設施的國際標準。各國將自行決定是否要將它們落實到位。

CPMI 是國際清算銀行的國際支付和結算論壇。IOSCO是世界證券監管機構的組織。他們表示，CPMI和IOSCO將繼續審查與穩定幣安排相關的監管問題，并與其他標準制定機構進行協調。（Coindesk）[2022/7/13 2:10:48]

以偽代碼形式，我們給出Brakedown協議的流程：

Publicinput：TheevaluationpointX，parsedasatensorproductX=r0r1;

Privateinput：Thepolynomial，thecoefficientofisdenotedbyw.

LetCbethe-limearcode，EC：FkFnbetheencodingfunction，N=kk.IfNisnotaperfectsquare，wecanpadittothenextperfectsquare.Weuseapythonstylenotationmattoselectthei-thcolumnofamatrixmat。

functionPC.Commit()：

????????Parsewasakkmatrix.TheproverlocallycomputesthetensorcodeencodingC1，C2，C1isaknmatrix，C2isannmatrix.

????????forido

??????????????ComputetheMerkletreerootRoott=Merkle.Commit(C2)

????????ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.

functionPC.Prover(,X,R)

????????Theproverreceivesarandomvector0Fkfromtheverifier

????????Proximity:C0=i=0k-10C1,y0=i=0k-10w

????????Consistency:C1=i=0k-1r0C1,y1=i=0k-1r0w

????????ProversendsC1,y1,C0,y0totheverifier.

????????VerifierrandomlysamplestasanarrayIandsendittoprover

????????foridxIdo

??????????????ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier

functionPC.VERIFY_EVAL(X,X,y=(X),R)

????????Proximity:idxI,C0==<0,C1>andEC(y0)==C0

????????Consistency:idxI,C1==<r0,C1>andEC(y1)==C1

????????y==<r1,y1>

????????idxI,EC(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

????????Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

結語：多項式承諾是一類非常重要的密碼學協議，被廣泛的應用在許多密碼學系統當中，尤其是零知識證明系統。本文詳細介紹了多項式承諾Brakedown協議以及和其相關的數學知識，作為FOAKS很重要的底層組件，Brakedown對FOAKS的實例化性能的提升起到了重要作用。

參考文獻

:AlexanderGolovnev,JonathanLee,SrinathSetty,JustinThaler,andRiadS.Wahby.Brakedown:Linear-timeandpost-quantumsnarksforr1cs.CryptologyePrintArchive.https://ia.cr/2021/1043.

:XieT,ZhangY,SongD.Orion:Zeroknowledgeproofwithlinearprovertime//AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022:299-328.https://eprint.iacr.org/2022/1010

:Bootle,Jonathan,AlessandroChiesa,andJensGroth."Linear-timeargumentswithsublinearverificationfromtensorcodes."TheoryofCryptography:18thInternationalConference,TCC2020,Durham,NC,USA,November16–19,2020,Proceedings,PartII18.SpringerInternationalPublishing,2020.

JustinThalerfromA16zcrypto,MeasuringSNARKperformance:Frontends,backends,andthefuturehttps://a16zcrypto.com/measuring-snark-performance-frontends-backends-and-the-future/

張量積的介紹：https://blog.csdn.net/chenxy_bwave/article/details/127288938

Tags：THEANDPROIONEthereal詞匯Land of FantasyPRO幣valuerightzillion

中幣