學習筆記 | 零知識證明算法之PLONK——電路_區塊鏈:區塊鏈域名成交

最近研究了下零知識證明算法-PLONK。肚子里的墨水又增加了，記一下學習成果與新的體會，和大家共同學習---江小白。

現狀

近些年，各種新的零知識證明算法層出不出，各有各的特點，各有各的優勢。借用V神系列文章里的一張圖來簡單呈現下當前的零知識證明算法現狀。

從圖中可以簡單總結出以下幾點：

理論上安全性最高的是STARKs算法，不依賴數學難題假設，具有抗量子性；Proof大小上最小的是SNARKs算法，如Groth16;PLONK算法在安全性上和Proof大小上，位于上述兩者之間；其他的這里不做過多闡述，如想了解零知識證明更多信息，可參考鏈接；對于SNARKs算法，繞不開的一個點就是中心化的TrustSetup，也稱之為CRS(theCommonReferenceString)。而無論是PGHR13,Groth16,還是GM17算法，它們的CRS都是一次性的，不可更新的。即，不同的問題將對應著不同的CRS，這在某些場景下，會變得比較麻煩。這些存在的問題，變成了PLONK，SONIC這類算法的一個優勢，它們算法雖然也需要中心化的可信設置，但是它的CRS具有一定的普適性。即，只要電路的大小不超過CRS的上限閾值，一些證明問題就可以共用一個CRS，這種CRS稱之為SRS(universalStructuredReferenceString)，關于SRS的定義，詳細的可參考SONIC協議里的第3小節。PLONK算法繼用了SONIC算法的SRS的思想，但是在證明的效率上，做了很大的提升。接下來，讓我們詳細的介紹下PLONK算法的具體細節，主要從下面四個小節去分享：

動態 | 吉爾吉斯斯坦國家銀行或將學習蒙古創建加密貨幣的經驗:據AKIpress今日消息，吉爾吉斯斯坦國會議員Akylbek Japarov建議吉爾吉斯斯坦國家銀行學習蒙古在創建其加密貨幣方面的經驗，并提出有關在吉爾吉斯斯坦進行加密的可能性的報告。[2019/12/25]

電路的設計--描述PLONK算法的電路的描述思想；置換論證或者置換校驗--復制約束，證明電路中門之間的一致性；多項式承諾--高效的證明多項式等式的成立；PLONK協議--PLONK協議剖析；電路

PLONK算法電路的描述和SONIC算法一直，具體的過程可以參考李星大牛的分享，已經寫的比較詳細且易懂。在這個小篇幅里，我想主要分享下我自己的兩點想法：

無論是什么樣的電路描述方式，電路的滿足性問題都要歸結于2點，門的約束關系和門之間的約束關系成立；在SNARKs系列的算法里，電路的描述單元都是以電路中有效的線為基本單元，具體的原理可以參考我之前分享的文章，而在PLONK，SONIC以及HALO算法里，電路的描述單元都是以門為基本單元。這兩種電路的不同描述方式帶來了一定的思考。那就是，之前在研究SNARKs算法時，我們都已經相信一個事實，“多項式等式成立，就代表著每個門的約束成立”，然后推斷，整個電路邏輯都是成立；在這個過程中，并沒有額外的去證明門之間的一致性成立；但是在PLONK算法里，除了要證明多項式等式成立外，還要額外的用置換論證的數學方法去證明門之間的約束關系，即復制約束。為何會有這樣的區別？希望有心的讀者能一起在評論區探討這個問題？我個人理解是因為電路的描述方式的不同：

聲音 | 湛江市委理論學習中心組會議：要促進區塊鏈技術集成應用:12月18日，湛江市委理論學習中心組召開會議。會議強調，要認真學習貫徹習近平總書記重要講話精神，充分認識發展區塊鏈技術的重要戰略意義，深刻把握區塊鏈技術在新的技術革命和產業變革中的重要作用，明確主攻方向，超前規劃布局，積極推進區塊鏈技術在多領域多場景應用。要促進區塊鏈技術集成應用，加快區塊鏈技術在數字金融、物聯網、智能制造、供應鏈管理、數字資產交易等重點領域的集成創新和融合應用，將區塊鏈技術應用與“數字政府”改革建設緊密結合起來，推進區塊鏈和經濟社會融合發展。

會議強調，要加快推動區塊鏈產業政策落地實施。借鑒國內外先進的經驗和做法，加強政策支持，盡快制定區塊鏈產業發展規劃，推動我市區塊鏈創新應用發展；堅持引進與培育并舉，加強人才隊伍建設；推進試點建設，加快構建產業生態。同時，全市各級各有關部門要加強學習研究，提高運用和管理區塊鏈技術的能力，引導促進區塊鏈技術和產業健康發展。（人民網）[2019/12/19]

PLONK算法里，電路描述的單元是門，它為每個門定義了自己的L,R,O，因此需要證明門之間的一致性；SNARKs算法里，電路描述的單元是線，門與門之間的值用的是同一個witness，因此不用額外證明一致性；置換論證

動態 | Techtec聯合MakerDAO發布分布式金融（DeFi）學習課程:金色財經報道，12月10日，Techtec發布了與MakerDAO共同制作的分布式金融（DeFi）學習課程。通過對DeFi項目MakerDAO進行解說，免費提供在線學習，用戶可以通過課程了解DeFi /DAO機制。[2019/12/10]

前面我們說過，在PLONK算法里，需要去證明門之間的約束關系成立。在做具體的原理解釋之前，我們先簡單的過一下PLONK協議的過程，如下圖所示：

可描述為：

根據電路生成三個多項式，分別代表這電路的左輸入，右輸入，輸出；利用置換校驗協議，去證明復制約束關系成立；步驟3和4，校驗門的約束關系成立。其中第1點已經在電路小節里闡述過了，接下來，將詳細的講解多項式置換校驗的原理。先從簡單的場景去講解：

單個多項式的置換校驗

其實就是證明對于某個多項式f，存在不同的兩個點x,y，滿足f(x)=f(y)。下面來看具體的原理：

動態 | 四川省科技廳組織區塊鏈專題學習 推進區塊鏈技術與科技工作融合發展:11月20日，四川省科技廳黨組成員、副廳長、省外專局局長楊品華同志帶領廳人事處、科普與獎勵處、外專處、引智處全體人員舉行專題學習會，學習習近平總書記在中央局第十八次集體學習時重要講話精神和區塊鏈相關知識。

會上，全體人員深入學習了習近平總書記在中央局第十八次集體學習時重要講話，以及區塊鏈技術的定義、應用、發展前景和對相關產業的融合發展等內容。楊品華副廳長在學習總結講話時強調，各業務處（室）要深刻領會習近平總書記重要講話精神，認真貫徹黨中央、國務院和省委省政府的決策部署，一是要深入學習和了解區塊鏈的背景、含義、現狀、應用、風險和前景，深刻認識發展區塊鏈的重大戰略意義和價值，認真研究區塊鏈技術與科技工作的融合發展，特別是與四川省科技和產業結合，強化區塊鏈產學研用合作；二是要充分發揮各處（室）職能并學以致用，在區塊鏈國內外人才集聚、科技獎勵政策導向等方面積極有為，努力為全省深入實施創新驅動發展戰略，加快國家創新驅動發展先行省建設做出更大貢獻。

會上派發了區塊鏈拓展讀本——《區塊鏈領導干部讀本》電子書和相關資料，幫助參會人員會后深度學習有關知識。（中國科技部官網）[2019/11/29]

三星集團運營的電子學習中心MultiCampus已與韓國區塊鏈協會簽署協議: 近日，由三星集團運營的電子學習中心MultiCampus已與韓國區塊鏈協會簽署協議，他們將在努力改善韓國區塊鏈行業的基礎上進行合作，并共同開發和運營專業的在線培訓課程和資格。[2018/4/12]

上圖中加入了一個正例P，一個反例A，方便大家理解置換校驗的原理。有幾點需要解釋的是：

而經過仔細剖析Z的形式，不難發現，Z(n+1)其實就是兩個函數所有值的乘積的比值(不知是否等同于V神文章里的坐標累加器？)。理論上是等于1。因此，我們需要設計這樣的一個多項式Z，需滿足：deg(Z)<n

Z(n+1)=1

2.乘法循環群剛好可以滿足這個條件，如果設計一個階為n的一個乘法循環群H，根據群的性質可以知道Z(g)=Z(g^(n+1))。因此，在設計Z時，會保證Z(g)=1；上圖中的自變量的取值也將從{1...n}變成{g...g^n}。所以在上圖中驗證的部分，a其實已經換成了群H里的所有元素。

3.根據論文中的協議，多項式Z是會發給可信第三方I驗證方V會從I處獲取到多項式Z在所有a處的取值，然后依次校驗。

下面具體看一下論文中的定義：

從定義中可以看出：多項式f,g在范圍內具有相同的值的集合；下面看一下論文中具體的協議部分，結合上述解釋的3點：

說明：圖4中的f,g對應圖3中的f。即f,g是同一個多項式。其實只要是相同的值的集合，也可以不用于是同一個多項式。圖3是一個特例而已。

跨多項式的校驗

其實就是證明對于某個多項式f，g，存在兩個點x,y，滿足f(x)=g(y)。與存在兩處不同：

多個多項式；不強制x,y的關系，即也可以等，也可以不等；有了(1)小節的基礎，這次我們先看一下相關的定義：

從定義可以看到，這次是兩個多項式集合見的置換校驗算法。從標注的部分可以看出：

兩個多項式集合仍然具有相同的值的結合；為了區分集合里的多項式，自變量的索引得區分開來；因此，可以想象的到，如果存在兩個多項式f,g，想要證明f(x)=g(y)，那么根據以上描述可以判斷{f1,f2}={f,g}={g1,g2}。也保證了上述第1點的成立。

下面我們看一下具體的原理：

和(1)小節相比，證明方P增加了些工作量，驗證方V工作量不變。結合上述描述，也能很容易的理解其數學原理。

說明：至此，其實我們已經慢慢的接觸到PLONK算法的核心了，前面我們講到，電路的滿足性問題除了門的約束關系還有門之間的約束關系。

比如一個輸入x，它既是一個乘法門的左輸入，又是另外一個乘法門的右輸入，這就需要去證明L(m)=R(n)，這就是跨多項式的置換校驗。

下面再給出論文里的協議內容：

至此，本篇文章已經描述了，在PLONK算法里，電路的設計以及復制約束的成立驗證兩大部分，接下來，將會另起一片文章，去分享門約束的成立和整個協議的具體步驟。

以上都是作者小白的個人理解，還希望各位讀者多多指教，謝謝。

Tags：區塊鏈PLOLONCRS區塊鏈域名成交Plow FinanceBillion Elon BabyCRS幣

USDT