元宇宙:ZKSwap团队解读零知识证明PLONK电路

最近研究了下零知识证明算法-PLONK。肚子里的墨水又增加了，借此记录学习成果与心得体会---ZkSwap小白。

现状

近些年，各种新的零知识证明算法层出不出，各有各的特点，各有各的优势。借用V神系列文章里的一张图来简单呈现下当前的零知识证明算法现状。

从图中可以简单总结出以下几点：

理论上安全性最高的是STARKs算法，不依赖数学难题假设，具有抗量子性；Proof大小上最小的是SNARKs算法，如Groth16;PLONK算法在安全性上和Proof大小上，位于上述两者之间；其他的这里不做过多阐述，如想了解零知识证明更多信息，可参考链接；对于SNARKs算法，绕不开的一个点就是中心化的TrustSetup，也称之为CRS(theCommonReferenceString)。而无论是PGHR13,Groth16,还是GM17算法，它们的CRS都是一次性的，不可更新的。即：不同的问题将对应着不同的CRS，这在某些场景下，会变得比较麻烦。这些存在的问题，变了PLONK，SONIC这类算法的一个优势，它们算法虽然也需要中心化的可信设置，但是它的CRS具有一定的普适性。即：只要电路的大小不超过CRS的上限阈值，一些证明问题就可以共用一个CRS，这种CRS称之为SRS(universalStructuredReferenceString)，关于SRS的定义，详细的可参考SONIC协议里的第3小节。PLONK算法继用了SONIC算法的SRS的思想，但是在证明的效率上，做了很大的提升。接下来，让我们详细的介绍下PLONK算法的具体细节，主要从下面四个小节去分享：

过去7天大约九家加密货币初创公司筹集了大约1.26亿美元:金色财经报道，过去7天大约九家加密货币初创公司筹集了大约 1.26 亿美元，其中一家公司明显脱颖而出。 钱包即服务提供商 Magic Labs 在由 PayPal Ventures 领投的战略轮融资中获得 5200 万美元。根据一份新闻稿， 其他投资者包括 Cherubic、Synchrony、KX、Northzone 和 Volt Capital 。据《财富》杂志报道，在最新一轮融资中，这家总部位于旧金山的公司已筹集了超过 8000 万美元的资金，估值升至略低于 5 亿美元。[2023/6/5 21:15:43]

电路的设计--描述PLONK算法的电路的描述思想；置换论证或者置换校验--复制约束，证明电路中门之间的一致性；多项式承诺--高效的证明多项式等式的成立；PLONK协议--PLONK协议剖析；电路

ETHW第一个测试网“冰山”发布:金色财经报道，以太坊分叉项目EthereumPoW（ETHW）发推称，ETHW第一个测试网“冰山”发布。随之而来的是区块链浏览器和RPC服务器。我们欢迎社区中所有潜在的合作伙伴（交易所、资金池、钱包供应商、桥梁、建设者等）加入我们，共同构建一个真正的PoW驱动的以太坊生态系统。[2022/8/26 12:50:51]

PLONK算法电路的描述和SONIC算法一直，具体的过程可以参考李星大牛的分享，已经写的比较详细且易懂。在这个小篇幅里，我想主要分享下我自己的两点想法：

无论是什么样的电路描述方式，电路的满足性问题都要归结于2点，门的约束关系和门之间的约束关系成立；在SNARKs系列的算法里，电路的描述单元都是以电路中有效的线为基本单元，具体的原理可以参考我之前分享的文章，而在PLONK，SONIC以及HALO算法里，电路的描述单元都是以门为基本单元。这两种电路的不同描述方式带来了一定的思考。那就是，之前在研究SNARKs算法时，我们都已经相信一个事实，“多项式等式成立，就代表着每个门的约束成立”，然后推断，整个电路逻辑都是成立；在这个过程中，并没有额外的去证明门之间的一致性成立；但是在PLONK算法里，除了要证明多项式等式成立外，还要额外的用置换论证的数学方法去证明门之间的约束关系，即复制约束。为何会有这样的区别？希望有心的读者能一起在评论区探讨这个问题？我个人理解是因为电路的描述方式的不同：

北京市委书记蔡奇：元宇宙是一片“新蓝海” 推动元宇宙产业聚集发展:8月10日消息，8月9日，北京市委书记蔡奇到通州区张家湾设计小镇调查研究。据北京日报消息，蔡奇在调研时来到元宇宙应用创新中心，了解产业发展情况。他强调，元宇宙是一片新蓝海，要发挥头部企业带动作用，加强核心技术攻关，投放更多应用场景，推动元宇宙产业聚集发展。蔡奇表示，未来五年是城市副中心立长远、强功能、全面上台阶的关键时期，设计小镇作为城市副中心高质量发展重要支点，要更加积极主动作为，着力打造展现城市副中心科技与文化魅力的新名片。

目前，元宇宙的发展已经成为各地的重点。据统计，截至2022年7月，国内至少7省17市地方政府已经发布元宇宙产业相关建设规划，包括北京、上海、南京、无锡等。其中北京比较明确提出“加快推进元宇宙应用创新中心建设”的区域是通州区。（21世纪经济报道）[2022/8/10 12:15:57]

PLONK算法里，电路描述的单元是门，它为每个门定义了自己的L,R,O，因此需要证明门之间的一致性；SNARKs算法里，电路描述的单元是线，门与门之间的值用的是同一个witness，因此不用额外证明一致性；置换论证

ETH跌破1600美元，24小时跌幅4.26%:金色财经消息，行情显示，ETH跌破1600美元，现报价1592.1美元，24小时跌幅4.25%。行情波动较大，请做好风险控制。[2022/8/5 12:03:11]

前面我们说过，在PLONK算法里，需要去证明门之间的约束关系成立。在做具体的原理解释之前，我们先简单的过一下PLONK协议的过程，如下图所示：

可描述为：

根据电路生成三个多项式，分别代表这电路的左输入，右输入，输出；利用置换校验协议，去证明复制约束关系成立；步骤3和4，校验门的约束关系成立。其中第1点已经在电路小节里阐述过了，接下来，将详细的讲解多项式置换校验的原理。先从简单的场景去讲解：

单个多项式的置换校验

其实就是证明对于某个多项式f，存在不同的两个点x,y，满足f(x)=f(y)。下面来看具体的原理：

Paradigm 聘请 Brex 的顶级律师担任其首席法律官:金色财经报道，加密投资公司 Paradigm 聘请了加密和金融科技法律资深人士 Katie Biber 作为其首席法律官。Biber 曾被信用卡初创公司 Brex 的 Paradigm 聘用，此前曾担任 Mitt Romney 2012 年总统竞选活动的总法律顾问，后者现在担任犹他州的美国初级参议员。（theblockcrypto）[2022/6/7 4:06:41]

上图中加入了一个正例P，一个反例A，方便大家理解置换校验的原理。有几点需要解释的是：

而经过仔细剖析Z的形式，不难发现，Z(n+1)其实就是两个函数所有值的乘积的比值(不知是否等同于V神文章里的坐标累加器？)。理论上是等于1。因此，我们需要设计这样的一个多项式Z，需满足：deg(Z)<nZ(n+1)=1

乘法循环群刚好可以满足这个条件，如果设计一个阶为n的一个乘法循环群H，根据群的性质可以知道Z(g)=Z(g^(n+1))。因此，在设计Z时，会保证Z(g)=1；上图中的自变量的取值也将从{1...n}变成{g...g^n}。所以在上图中验证的部分，a其实已经换成了群H里的所有元素。根据论文中的协议，多项式Z是会发给可信第三方I验证方V会从I处获取到多项式Z在所有a处的取值，然后依次校验。下面具体看一下论文中的定义：

从定义中可以看出：多项式f,g在范围内具有相同的值的集合；下面看一下论文中具体的协议部分，结合上述解释的3点：

说明：图4中的f,g对应图3中的f。即f,g是同一个多项式。其实只要是相同的值的集合，也可以不用于是同一个多项式。图3是一个特例而已。

跨多项式的校验

其实就是证明对于某个多项式f，g，存在两个点x,y，满足f(x)=g(y)。与存在两处不同：

多个多项式；不强制x,y的关系，即也可以等，也可以不等；有了(1)小节的基础，这次我们先看一下相关的定义：

从定义可以看到，这次是两个多项式集合见的置换校验算法。从标注的部分可以看出：

两个多项式集合仍然具有相同的值的结合；为了区分集合里的多项式，自变量的索引得区分开来；因此，可以想象的到，如果存在两个多项式f,g，想要证明f(x)=g(y)，那么根据以上描述可以判断{f1,f2}={f,g}={g1,g2}。也保证了上述第1点的成立。

下面我们看一下具体的原理：

和(1)小节相比，证明方P增加了些工作量，验证方V工作量不变。结合上述描述，也能很容易的理解其数学原理。

说明：至此，其实我们已经慢慢的接触到PLONK算法的核心了，前面我们讲到，电路的满足性问题除了门的约束关系还有门之间的约束关系。

比如一个输入x，它既是一个乘法门的左输入，又是另外一个乘法门的右输入，这就需要去证明L(m)=R(n)，这就是跨多项式的置换校验。

下面再给出论文里的协议内容：

至此，本篇文章已经描述了，在PLONK算法里，电路的设计以及复制约束的成立验证两大部分，接下来，将会另起一片文章，去分享门约束的成立和整个协议的具体步骤。

标签：PLOLON元宇宙CRSPLO价格3X Long Dogecoin Token元宇宙下载CRS价格

莱特币价格热门资讯