ION:一文了解多项式承诺协议Brakedown

原文作者：FoxTechCEO康水跃，FoxTech首席科学家孟铉济

前言：如果密码学家没有发现张量积和多项式取值之间的联系，那就很难出现多项式承诺协议Brakedown，也就不可能诞生基于Brakedown的Orion、以及FOAKS这类全新的快速算法。

在许多依赖多项式承诺的零知识证明系统当中，使用了不同的承诺协议。根据a16z的JustinThaler在2022年8月文章“MeasuringSNARKperformance:Frontends,backends,andthefuture”的评估，Brakedown虽然有较大的ProofSize，但是无疑是当下最快的多项式承诺协议。

FRI、KZG、Bulletproof是更为常见的多项式承诺协议，但速度是它们的瓶颈。zkSync采用的Plonky、PolygonzkEVM采用的Plonky?2、Scroll采用的Ultra-Plonk等算法都是基于KZG的多项式承诺。Prover涉及到大量的FFT计算和MSM运算生成多项式和承诺，这两者都会带来大量的计算负担。虽然MSM有运行多线程加速的潜力，但需要大量内存，即使在高并行下也很慢，而大型FFT则严重依赖算法运行时数据的频繁洗牌，难以通过分布式加速跨计算集群加载。

正是由于有了更为快速的多项式承诺协议Brakedown，才使这类运算的复杂度大幅降低。

FOAKS即FastObjectiveArgumentofKnowledges，是由FoxTech提出的一种基于Brakedown的零知识证明系统框架。FOAKS在Orion的基础上进一步减少FFT运算，目标是最终消除FFT。此外，FOAKS还设计出一种全新的非常精妙的证明递归方式来减少证明大小。FOAKS框架的优势在于在实现线性证明时间的基础上有着较小的证明大小，非常适合应用于zkRollup场景当中。

上海文旅局局长：将在文旅元宇宙新赛道打造一批龙头企业和独角兽企业:金色财经报道，6月1日上午，上海市文化和旅游局党组书记、局长方世忠率队赴上海机遇星球网络科技有限公司专题调研，实地察看《风起洛阳》VR全感剧场。方世忠说，上海市文化和旅游局会全力支持以“重现华夏文明想象力世界·打造数实融合超感元宇宙”为宗旨，坚持数实融合交互体验，专注打造“沉浸穿越·时空之旅”为特点的“多主题·全场景·真感知·强互动”系列化元宇宙文娱产品，依托“线上线下一体化运营体系+数实融合场景化产品体系”实现内容快速迭代和企业可持续发展的探索实践。

下一步，上海市文化旅游局将主动把握新沉浸引发的体验变革、新时空带来的场景变革和新技术推动的产业变革，从上海最有资源、最有优势的地方出发，全力推动文旅行业切入元宇宙新赛道，提升上海文旅业引领未来发展的核心竞争力。[2023/6/3 11:55:55]

下文我们将详细介绍FOAKS所使用的多项式承诺协议Brakedown。

在密码学当中，承诺协议由证明者对某一个秘密值进行承诺，生成一个公开的承诺值，这个承诺值具有绑定性和隐藏性，之后提交者需要打开此承诺并将消息发送到验证者，以验证承诺与消息之间的对应关系。这一点，使得承诺协议和哈希函数的作用有许多共通之处，但是承诺协议往往依赖于公钥密码学领域的数学结构。而多项式承诺是一类对于多项式的承诺方案，也就是说被承诺值是多项式。而同时多项式承诺协议当中还包含了在给定的点取值并给出证明的算法，这就使得多项式承诺协议本身成为一类重要的密码学协议，是许多零知识证明系统的核心部分。

而在最新的密码学领域的研究当中，由于发现了张量积和多项式取值之间的联系，所以诞生了一系列与此相关的多项式承诺协议，Brakedown是其中的代表性协议。

美国德克萨斯州新法案提议对加密市场进行监管以保护投资者:3月8日消息，美国德克萨斯州共和党州众议员 Giovanni Capriglione 向众议院提交第 166 号法案，将对德克萨斯州不受监管的加密货币市场进行一些监管，以保护投资者使用 Coinbase、Cash App 和 Kraken 等数字资产交易所。该法案将要求数字资产交易所验证他们有足够的储备金来支付客户；禁止交易所将消费者资金与公司资产混合；要求对提交给德州银行部的报告进行独立审计。

Capriglione 表示，类似的法案 SB 770 已提交给德克萨斯州参议院，如果其中一项法案获得通过，这将是该国首个此类法规。[2023/3/8 12:48:57]

在详细介绍Brakedown的协议细节之前，需要先了解一些基础知识。我们需要先了解线性码、抗碰撞哈希函数、默克尔树、张量积的运算以及多项式取值的张量积表示。

首先是线性码。一个消息长度为k，码字长度为n的线性码是一个线性子空间

C∈Fn，使得存在一个从消息到码字的单射，称为编码，记作EC：Fk→C。任意的对于码字的线性组合仍然是一个码字。两个码字u，v的距离即他们的汉明距离，记作△(u,?v)。

最短距离为d=minu,?v△(u,?v)。这样的码记作线性码，用d/n表示码的相对距离。

其次是抗碰撞哈希函数与默克尔树。

使用H:{?0,?1?}2?λ→{?0,?1?}λ表示一个哈希函数。默克尔树是一种特殊的数据结构，可以实现对于2?d个消息的承诺，生成一个哈希值h，在打开任何消息时候需要d?1个哈希值。

SEC主席：SEC在监管加密货币方面有两条路径:金色财经报道，美国证券交易委员会 (SEC) 主席Gary Gensler在接受采访时谈到了加密货币监管和加密货币交易所FTX的问题。Gary Gensler表示，当加密货币交易所将一堆客户资金混合在一起而没有披露并利用借贷来对抗它时，投资者会受到伤害。我认为投资者在这个领域需要更好的保护。但我想说的是，这是一个明显不合规的领域，但它有法规，这些法规通常非常明确，我们有多种途径。

一条路径是与那些加密货币交易所、加密货币借贷平台合作，并让他们适当注册，为什么这很重要，因为这样公众就会受到保护。另一条路径是执法，Gensler强调。\"在我的前任和现在美国证券交易委员会的团队之间，我们已经提起了至少100次诉讼，而且我们在这些不同的执法行动中一直非常明确。[2022/11/13 12:57:10]

默克尔树可以被表示为一个深度为d的二叉树，其中L个消息元素m1?,?m2?,...,?ml分别对应树的叶子。树的每一个内部节点都由它的两个子节点进行哈希计算得出。打开消息mi时，需要公开从mi到根节点的路径。

用以下记号来表示：

h←Merkle.Commit(m1?,...,?ml)

(mi,πi)←Merkle.Open(m,?i)

{?0,?1?}←Merkle.Verify(πi,?mi,?h)

图1?：默克尔树

我们还需要了解张量积的运算是怎么做的。数学上，张量是向量和矩阵向高维空间的扩展，是很重要的研究对象，详细的讨论张量超出本文的研究范畴，这里只介绍向量和矩阵的张量积运算。

G20金融稳定委员会将于10月推出全球性的加密货币监管规则:7月11日消息，由G20的监管机构、财政部官员和央行行长组成的金融稳定委员会（FSB）发表声明称，将于10月推出全球性的加密货币监管规则。该声明称，包括稳定币在内的加密资产正在快速发展，但需要在国内和国际层面受到与其构成的风险相称的有效监管和监督，且相关服务提供商必须始终确保遵守其运营所在司法管辖区的现有法律义务。该声明还表示，如果稳定币要被用作广泛使用的支付手??段或在金融体系中发挥重要作用，则应在强有力的监管和相关当局的监督下获取稳定币，FSB正在努力确保加密资产受到强有力的监管，并将于10月向G20财长和央行行长报告稳定币和其他加密资产的监管方法。[2022/7/11 2:05:31]

图2??：向量和矩阵的张量积运算

紧接着，我们需要知道多项式取值的张量积表示。

当中提到，多项式的取值可以被表示成张量积的形式。在这里我们考虑多线性多项式的承诺。

具体来讲，给定一个多项式，他在向量x0?,?x1?,...,?xlogN-1?的取值可以写成：

根据多线性的定义，每一个变量的次数是0或1?，因此，这里有N个单项式和系数，以及logN个变量。令

，其中i0?i1?...ilogN-1?是i的二进制表示。令w表示多项式系数，

同样的，定义

令

。于是有X=r0??r1?。

从而，多项式取值可以被表示成张量积的形式：?(x0?,?x1?,...,?xlogN-1?)=0??r1?>。

卡塔尔央行正处于发行CBDC的基础阶段:6月22日消息，卡塔尔央行（QCB）目前正处于发行CBDC的基础阶段，在金融领域大规模数字化转型的背景下，世界各地越来越多的国家正在考虑推出自己的CBDC。

昨天，在卡塔尔经济论坛的“通胀测试”会议上，QCB行长H E Sheikh Bandar bin Mohammed bin Saoud Al Thani表示，该行正在努力寻找合适的技术和平台来发行卡塔尔的CBDC。

QCB行长称：“许多央行现在都在考虑发行CBDC，我们也不例外。但我们仍处于基础阶段，目前正在评估发行CBDC的利弊，并寻找合适的技术和平台来发行我们的CBDC。”

谈到加密技术，他补充说：“目前，crypto是一项技术创新。它可能会带我们进入一个快速、廉价和更容易获得金融服务的新时代。然而，那些没有被货币当局肯定的加密资产可能不那么可信。”（The Peninsula Qatar）[2022/6/22 5:41:39]

最后，我们来看FOAKS、Orion当中使用的Brakedown的过程。

首先，PC.Commit将多项式系数w划分成k×k的矩阵形式，并将其编码，记作C2?。之后对于C2?的每一列C2?进行承诺建立一个默克尔树，然后再对于每一个列形成的默克尔树树根建立另一个默克尔树，作为最终的承诺。

在取值证明的计算中，需要证明两点，一是近似性，二是一致性。近似性保证了承诺的矩阵确实和编码后的一个码字足够接近。一致性保证y=0??r1?>。

近似性检验：近似性检验由两步组成。首先，验证者发送一个随机向量0给证明者，证明者计算Y0?与C1?的内积，也就是以Y0?的分量为系数对C1?的行计算线性组合。由于线性码的性质，Cy?0?是Yy?0?的码字。之后，证明者证明Cy?0?确实是从被承诺的码字计算出的。为了证明这一点，验证者随机选取t列，证明者打开对应的列并提供默克尔树证明。验证者检查这些列和Y0?的内积和Cy?0?当中对应位置相等。当中证明如果使用的线性码有常数的相对距离，那么被承诺的矩阵就以压倒性的概率与一个码字接近。

一致性检验：一致性检验和近似性检验的流程完全类似。不同之处在于，不使用随机向量Y0?而是直接使用r0?来完成线性组合的部分。类似的，c1?也是消息y1?的一个线性码，并且有

?(x)=1?,?r1?>。当中证明，通过一致性检验，如果被承诺的矩阵与一个码字接近，则以压倒性概率成立y=?(x)。

以伪代码形式，我们给出Brakedown协议的流程：

Publicinput：TheevaluationpointX，parsedasatensorproductX=r0??r1?;

Privateinput：Thepolynomial?，thecoefficientofisdenotedbyw.

LetCbethe-limearcode，EC：FkFnbetheencodingfunction，N=k×k.IfNisnotaperfectsquare，wecanpadittothenextperfectsquare.Weuseapythonstylenotationmattoselectthei-thcolumnofamatrixmat。

functionPC.Commit(?)：

Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1?，C2?，C1isak×nmatrix，C2isan×nmatrix.

fori∈do

ComputetheMerkletreerootRoott=Merkle.Commit(C2?)

ComputeaMerkletreerootR=Merkle.Commit(),?andoutputRasthecommitment.

functionPC.Prover(?,X,R)

TheproverreceivesarandomvectorY0?∈Fkfromtheverifier

Proximity?

Consistency?

ProversendsC1?,?y1?,?C0?,?y0?totheverifier.

Verifierrandomlysamplestasanarray?andsendittoprover

foridx∈?do

ProversendsC1?andtheMerkletreeproofofRootidxforC2?underRtoverifier

functionPC.VERIFY_EVAL(πX,?X,?y=?(X),?R)

Proximity:?idx∈?,?CY?0?==0?,?C1?>andEC(Yy?0?)==CY?0?

Consistency:?idx∈?,?C1?==0?,?C1?>andEC(Y1?)==C1?

y==1?,y1>

?idx∈?,EC(C1?)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

结语：多项式承诺是一类非常重要的密码学协议，被广泛的应用在许多密码学系统当中，尤其是零知识证明系统。本文详细介绍了多项式承诺Brakedown协议以及和其相关的数学知识，作为FOAKS很重要的底层组件，Brakedown对FOAKS的实例化性能的提升起到了重要作用。

参考文献

:AlexanderGolovnev,JonathanLee,SrinathSetty,JustinThaler,andRiadS.Wahby.Brakedown:Linear-timeandpost-quantumsnarksforr?1?cs.CryptologyePrintArchive.https://ia.cr/2021/1043.

:XieT,ZhangY,SongD.Orion:Zeroknowledgeproofwithlinearprovertime//AdvancesinCryptology–CRYPTO2022:42?ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15?–?18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022:299-328.https://eprint.iacr.org/2022/1010?

:Bootle,Jonathan,AlessandroChiesa,andJensGroth."Linear-timeargumentswithsublinearverificationfromtensorcodes."TheoryofCryptography:18?thInternationalConference,TCC2020,Durham,NC,USA,November16?–?19,2020,Proceedings,PartII18.SpringerInternationalPublishing,2020.

JustinThalerfromA16z?crypto,MeasuringSNARKperformance:Frontends,backends,andthefuturehttps://a16z?crypto.com/measuring-snark-performance-frontends-backends-and-the-future/

张量积的介绍：https://blog.csdn.net/chenxy_bwave/article/details/127288938?

标签：THEPROANDIONGalactic Arena: The NFTverseEndor Protocolcandylad币开盘价exchange-union

USDC热门资讯