SHA-256 的 16位表芯片（chip）

该芯片是基于一个16位查找表实现的，电路需要最小 $2^{16}$ 行，适于整合进一些大的电路中。

我们的目标是使约束的度数最大为9。这让我们能够在同一行内处理进位的约束，以及对一些 ${0..7}$ 的小片约束。

Compression 轮次

总共有64个 compression 轮次。每轮使用8个32位数 $A, B, C, D, E, F, G, H$ 作为输入，然后执行如下操作：

$C h (E, F, G) M aj (A, B, C) Σ_{0} (A) Σ_{1} (E) H^{'} E_{n e w} A_{n e w} = = = = = = = = (E \land F) \oplus (\neg E \land G) (A \land B) \oplus (A \land C) \oplus (B \land C) co u n t (A, B, C) \geq 2 (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22) (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25) H + C h (E, F, G) + Σ_{1} (E) + K_{t} + W_{t} re d u c e_{6} (H^{'} + D) re d u c e_{7} (H^{'} + M aj (A, B, C) + Σ_{0} (A))$

$re d u c e_{i}$ 需要处理进位 $0 \leq carry < i$ 的情况。

The SHA-256 compression function

定义 $spread$ 为一个16位的输入-输出映射表。我们不需要另外定义映射表来进行范围约束，可以通过复用 $spread$ 实现该功能。

模加操作

我们注意到模 $2^{32}$ 的加法，和先在有限域上做加法，然后通过掩码取出低32位的操作是等价的。例如，有两个操作数 $a$ 和 $b$ ：

$a ⊞ b = c,$

我们将操作数分解为16位一个的 chunks ：

$(a_{L} : Z_{2^{16}}, a_{H} : Z_{2^{16}}) ⊞ (b_{L} : Z_{2^{16}}, b_{H} : Z_{2^{16}}) = (c_{L} : Z_{2^{16}}, c_{H} : Z_{2^{16}}),$

然后使用有限域的加法重新定义约束：

$carry \cdot 2^{32} + c_{H} \cdot 2^{16} + c_{L} = (a_{H} + b_{H}) \cdot 2^{16} + a_{L} + b_{L} .$

更一般化的，输出可以被分解为任意的比特位组合，而不仅仅是16位一组的 chunks 。注意上述等式已经正确处理了从 $a_{L} + b_{L}$ 的进位。

约束要求每个 chunk 都是在正确范围内的，否则之后的赋值可能会导致有限域上的溢出。

操作数和结果的 chunk 可以通过 $spread$ 约束，具体方法是在表格的某个子集中的 "dense" 列中查找其 chunk 是否存在。我们通过这种方式还能获得输出结果的 "spread" 形式。特别是对于右下角的 $⊞$ 其输出将变为 $A_{n e w}$ ，左下角的 $⊞$ 其输出将变为 $E_{n e w}$ 。我们在后面对 $M aj$ 和 $C h$ 的优化中将用到它。
$carry$ 必须被约束为操作数数量所允许的进位值的一个精确范围。我们通过 small range constraint 来进行约束。

Maj 函数

$M aj$ 可以通过 $4$ 次查找完成: $2 spread * 2$ chunks

正如之前提到的，在第一轮之后我们已经有了了 $A$ 的 spread 形式 $A^{'}$ 。类似的， $B$ 和 $C$ 相当于上一轮次中的 $A$ 和 $B$ ，因此在稳态中我们也已有了它们的 spread 形式 $B^{'}$ 和 $C^{'}$ 。实际上，我们也可以假设我们在第一轮就有了它们的 spread 形式，要么从 fixed IV 或者从上一个块对 $spread$ 的使用中获取。
在域中添加 spread 形式： $M^{'} = A^{'} + B^{'} + C^{'}$
- 我们可以以 32位计算机字的形式或者以片（piece）的形式添加，两者是等价的
对于 $i = {0..1}$ ，分别计算偶数位 $M_{i}^{e v e n}$ 和奇数位 $M_{i}^{o dd}$ 。
将 $M^{'}$ 约束为 $M^{'} = spread (M_{0}^{e v e n}) + 2 \cdot spread (M_{0}^{o dd}) + 2^{32} \cdot spread (M_{1}^{e v e n}) + 2^{33} \cdot spread (M_{1}^{o dd})$ ，其中 $M_{i}^{o dd}$ 为 $M aj$ 函数的输出output。

注意：“偶数位”指的是 $2$ 的偶数次方的权重，同理，“奇数位”我们指 $2$ 的奇数次方的权重

Ch 函数

TODO: can probably be optimized to $4$ or $5$ lookups using an additional table.

$C h$ 可以通过 $8$ 次查找完成： $4 spread * 2$ chunks

如之前所提到的，在第一轮之后我们已经有了 $E$ 的 spread 形式 $E^{'}$ 。类似的，我们有 $F$ 和 $G$ 和上一轮中的 $E$ 和 $F$ 相等，因此在稳态中我们已经有了 $F^{'}$ 和 $G^{'}$ 的 spread 形式。实际上，我们也可以假设我们在第一轮中已经有了它们的 spread 形式，要么从 fixed IV 或者从上一个块对 $spread$ 的使用中获取。
计算 $P^{'} = E^{'} + F^{'}$ 和 $Q^{'} = (e v e n s - E^{'}) + G^{'}$ ，其中 $e v e n s = spread (2^{32} - 1)$ 。
- 我们可以以 32位计算机字的形式或者以片（piece）的形式添加，两者是等价的
- $e v e n s - E^{'}$ 用于计算 $\neg E$ 的 spread ，尽管取反操作和 $spread$ 一般不满足交换律。可以这样计算是因为 $E^{'}$ 中的每个 spread 位都减去了 $1$ ，因此没有借位。
计算 $P_{i}^{e v e n}, P_{i}^{o dd}, Q_{i}^{e v e n}, Q_{i}^{o dd}$ 使得 $P^{'} = spread (P_{0}^{e v e n}) + 2 \cdot spread (P_{0}^{o dd}) + 2^{32} \cdot spread (P_{1}^{e v e n}) + 2^{33} \cdot spread (P_{1}^{o dd})$ ，对 $Q^{'}$ 也有类似的计算。
${P_{i}^{o dd} + Q_{i}^{o dd}}_{i = 0..1}$ 即为 $C h$ 函数的输出。

Σ_0 函数

$Σ_{0} (A)$ 可以通过 $6$ 次查找完成。

我们首先将 $A$ 分成长度为 $(2, 11, 9, 10)$ 的片 $(a, b, c, d)$ ，以小数端为例。同时我们也取出这些片的 spread 形式。这可以在 PLONK 电路中的两行内完成，因为10位的片和11位的片可以使用 $spread$ 的查找获得，而9位的片可以被进一步分为3个3位的子片。后者和剩下的2位的片可以通过多项式约束来限制它们的取值范围，每行两个片。这些小的片的 spread 形式可以由插值构成。

注意到将 chunk 划分为片可以和 $A_{n e w}$ 的规约一起做，即后者不需要额外的查找了。在最后一轮，我们将 $A_{n e w}$ 在前馈加法（需要最多处理7次进位）做完后进行规约。

$(A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22)$ 等价于 $(A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋘ 10)$ :

然后，使用 $4$ 个额外的 $spread$ 查找，我们可以得到结果 $R^{'}$ ，其二进制偶数位是上面片的一个线性组合。

$R^{'} = (a (b (c 4^{30} a 4^{21} b 4^{23} c ∣∣ ∣∣ ∣∣ + + + d a b 4^{20} d 4^{19} a 4^{12} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{11} c 4^{9} d 4^{10} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

即，我们计算出压缩后的偶数位 $R_{i}^{e v e n}$ 和压缩后的奇数位 $R_{i}^{o dd}$ ，并约束

$R^{'} = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$

其中 ${R_{i}^{e v e n}}_{i = 0..1}$ 就是 $Σ_{0}$ 函数的输出。

Σ_1 函数

$Σ_{1} (E)$ 可以通过 $6$ 次查找完成。

我们首先将 $E$ 分成长度为 $(6, 5, 14, 7)$ 的片 $(a, b, c, d)$ ，以小数端为例。同时我们也取出这些片的 spread 形式。这可以在 PLONK 电路中的两行内完成，因为7位的片和14位的片可以使用 $spread$ 的查找获得，5位的片可以被进一步分为3位3位的子片，6位的片可以被分解为2个3位的片。这4个小的片可以通过多项式约束来限制它们的取值范围，每行两个片。这些小片的 spread 形式可以由插值构成。

注意到将 chunk 划分为片可以和 $E_{n e w}$ 的规约一起做，即后者不需要额外的查找了。在最后一轮，我们将 $E_{n e w}$ 在前馈加法（需要最多处理7次进位）做完后进行规约。

$(E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25)$ 等价于 $(E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋘ 7)$ .

然后，使用 $4$ 个额外的 $spread$ 查找，我们可以得到结果 $R^{'}$ ，其二进制偶数位是上面片的一个线性组合。

$R^{'} = (a (b (c 4^{26} a 4^{27} b 4^{18} c ∣∣ ∣∣ ∣∣ + + + d a b 4^{19} d 4^{21} a 4^{13} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{5} c 4^{14} d 4^{7} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

即，我们计算出压缩后的偶数位 $R_{i}^{e v e n}$ 和压缩后的奇数位 $R_{i}^{o dd}$ ，并约束

$R^{'} = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$

其中 ${R_{i}^{e v e n}}_{i = 0..1}$ 就是 $Σ_{1}$ 函数的输出。

块分解

对于消息中每一个512位的块 $M \in {0, 1}^{512}$ 来说，其 $64$ 个 $32$ 位的计算机字可以通过以下方式构造：

前 $16$ 个字可以通过将 $M$ 分解为32位的块来获得 $M = W_{0} ∣∣ W_{1} ∣∣ \dots ∣∣ W_{14} ∣∣ W_{15};$
剩下的 $48$ 个字通过如下公式构造： $W_{i} = σ_{1} (W_{i - 2}) ⊞ W_{i - 7} ⊞ σ_{0} (W_{i - 15}) ⊞ W_{i - 16},$ for $16 \leq i < 64$ .

Note: $W$ 的下标从 $0$ 开始

$σ_{0} (X) σ_{1} (X) = = (X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3) (X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$

Note: $≫$ 是右移位运算，不是循环，和 $⋙$ 区分

σ_0 函数

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

和之前类似，也用小数端表示，但 $(a, b, c, d)$ 的长度分别为 $(3, 4, 11, 14)$ 。将 $b$ 分解为两个2位的子片。

$R^{'} = (0^{[3]} (b (c 4^{28} b 4^{21} c ∣∣ ∣∣ ∣∣ + + d a b 4^{15} d 4^{25} a 4^{17} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{4} c 4^{11} d 4^{14} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

σ_1 函数

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ is equivalent to $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ .

TODO: this diagram doesn't match the expression on the right. This is just for consistency with the other diagrams.

和之前一样用小数端表示， $(a, b, c, d)$ 的长度分别为 $(10, 7, 2, 13)$ 。将 $b$ 分解为 $(3, 2, 2)$ 位的子片。

$R^{'} = (0^{[10]} (b (c 4^{25} b 4^{30} c ∣∣ ∣∣ ∣∣ + + d a b 4^{9} d 4^{15} a 4^{23} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{7} c 4^{2} d 4^{13} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

消息调度

我们将 $σ_{0}$ 应用于 $W_{1..48}$ ，将 $σ_{1}$ 应用于 $W_{14..61}$ 。为避免重复的应用 $spread$ ，我们可以将 $W_{14..48}$ 的分解进行合并。合并长度为 $(3, 4, 11, 14)$ 和 $(10, 7, 2, 13)$ 的片会得到长度分别为 $(3, 4, 3, 7, 1, 1, 13)$ 的片。

如果我们可以将合并后的分解在3行中完成（单独分解 $σ_{0}$ 和 $σ_{1}$ 需要4行），我们就能节省下35行。

These might even be doable in $2$ rows; not sure. —Daira

我们可以将 $W_{16..61}$ 模 $2^{32}$ 的规约合并至它们在后续计算中的分解时，类似于我们对 $A$ 和 $E$ 做过的操作。

我们仍然需要对 $W_{62..63}$ 进行规约，因为它们没有被分解。（技术上，我们可以暂时不对它们做规约，在后面计算 $A_{n e w}$ 和 $E_{n e w}$ 的时候会做规约，但是这会导致我们需要处理多达10次进位，而不是现在的6次，因此还是值得的）。

优化后的调度结果为：

$2$ 行用来约束 $W_{0}$ 至 $32$ 比特位
- 技术上这不是必须的，这里进行约束是保持鲁棒性，因为输入部分的约束是免费的
$13 * 2$ 行用来拆分 $W_{1..13}$ 为4个 $(3, 4, 11, 14)$ 比特位的 pieces
$35 * 3$ 行用来拆分 $W_{14..48}$ 为 $(3, 4, 3, 7, 1, 1, 13)$ 比特位的 pieces （和 $W_{14..48}$ 的规约进行合并）
$13 * 2$ 行用来拆分 $W_{49..61}$ 为 $(10, 7, 2, 13)$ 比特位的 pieces （和规约进行合并）
$4 * 48$ 行用来提取 $W_{1..48}$ 的 $σ_{0}$ 计算结果
$4 * 48$ 行用来提取 $W_{14..61}$ 的 $σ_{1}$ 计算结果
$2 * 2$ 行用来规约 $W_{62..63}$
$= 547$ rows.

总开销

对每一轮次：

$8$ 行 $C h$
$4$ 行 $M aj$
$6$ 行 $Σ_{0}$
$6$ 行 $Σ_{1}$
$re d u c e_{6}$ 和 $re d u c e_{7}$ 是无开销的
$= 24$ 每轮行数

这里第三步总计 $24 * 64 = 1792$ 行，再加上：

$547$ 行（进行消息调度之后）
$2 * 8$ 行给第4步中进行的8次模 $2^{3} 2$ 的规约

总共是 $2099$ 行。

表格

我们只需要一个有 $2^{16}$ 行 $3$ 列的 $spread$ 表。我们需要一个标签列，用以将 $Σ_{0..1}$ and $σ_{0..1}$ 表格的 $(7, 10, 11, 13, 14)$ 比特位子集挑选出来。

`spread` 表格

行	标签	表格 (16位)	spread (32位)
$0$	0	0000000000000000	00000000000000000000000000000000
$1$	0	0000000000000001	00000000000000000000000000000001
$2$	0	0000000000000010	00000000000000000000000000000100
$3$	0	0000000000000011	00000000000000000000000000000101
...	0	...	...
$2^{7} - 1$	0	0000000001111111	00000000000000000001010101010101
$2^{7}$	1	0000000010000000	00000000000000000100000000000000
...	1	...	...
$2^{10} - 1$	1	0000001111111111	00000000000001010101010101010101
...	2	...	...
$2^{11} - 1$	2	0000011111111111	00000000010101010101010101010101
...	3	...	...
$2^{13} - 1$	3	0001111111111111	00000001010101010101010101010101
...	4	...	...
$2^{14} - 1$	4	0011111111111111	00000101010101010101010101010101
...	5	...	...
$2^{16} - 1$	5	1111111111111111	01010101010101010101010101010101

例如，如果要做一次 $11$ 个比特位的 $spread$ 查表，我们先对标签进行多项式约束使其必须为 $0, 1, 2$ 。在最常用的 $16$ 位查表中，我们不需要约束标签列。注意我们可以在没有用到的行中（即超过 $2^{1} 6$ 的行数）填充任意重复值，例如都填充为全零行。

门

Ch 门

从之前操作来的输入：

$E^{'}, F^{'}, G^{'},$ 是 32位字 $E, F, G$ 的 $64$ 位 spread 形式，假设服从之前的约束
- 实际中，我们在分解 $E, F, G$ 为 $16$ 位子片后能得到 $E^{'}, F^{'}, G^{'}$ 的 spread 形式
$e v e n s$ 定义为 $spread (2^{32} - 1)$
- $e v e n s_{0} = e v e n s_{1} = spread (2^{16} - 1)$

E ∧ F

s_ch	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$
0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$
1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$
0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$
0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$

¬E ∧ G

s_ch_neg	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$
0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$
1	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$

约束：

s_ch (choice): $L H S - R H S = 0$
- $L H S = a_{3} ω^{- 1} + a_{3} ω + 2^{32} (a_{4} ω^{- 1} + a_{4} ω)$
- $R H S = a_{2} ω^{- 1} + 2 * a_{2} + 2^{32} (a_{2} ω + 2 * a_{3})$
s_ch_neg (negation): 检查 s_ch 是否为负数
在 $(a_{0}, a_{1}, a_{2})$ 中查找 $spread$
$(a_{2}, a_{3})$ 之间的置换

输出： $C h (E, F, G) = P^{o dd} + Q^{o dd} = (P_{0}^{o dd} + Q_{0}^{o dd}) + 2^{16} (P_{1}^{o dd} + Q_{1}^{o dd})$

Maj 门

从之前操作来的输入：

32位字的 $A, B, C$ 的 $64$ 位 spread 形式 $A^{'}, B^{'}, C^{'},$ ，假设服从之前的约束
- 实际中，我们在分解 $A, B, C$ 为 $16$ 位子片后能得到 $A^{'}, B^{'}, C^{'}$ 的 spread 形式

s_maj	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$
0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$		$spread (A^{l o})$	$spread (A^{hi})$
1	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B^{l o})$	$spread (B^{hi})$
0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C^{l o})$	$spread (C^{hi})$
0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

约束：

s_maj (majority): $L H S - R H S = 0$
- $L H S = spread (M_{0}^{e v e n}) + 2 \cdot spread (M_{0}^{o dd}) + 2^{32} \cdot spread (M_{1}^{e v e n}) + 2^{33} \cdot spread (M_{1}^{o dd})$
- $R H S = A^{'} + B^{'} + C^{'}$
在 $(a_{0}, a_{1}, a_{2})$ 中查找 $spread$
$(a_{2}, a_{3})$ 之间的置换

输出： $M aj (A, B, C) = M^{o dd} = M_{0}^{o dd} + 2^{16} M_{1}^{o dd}$

Σ_0 门

$A$ 是一个 32位字，分解为 $(2, 11, 9, 10)$ 位 chunks，从小数端开始。我们将这些 chunks 分别称为 $(a (2), b (11), c (9), d (10))$ ，并且进一步将 $c (9)$ 分解为3位的 chunks $c (9)^{l o}, c (9)^{mi d}, c (9)^{hi}$ 。我们将小 chunks 的 spread 形式写成 witness ：

$Σ_{0} (A) = = (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22) (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋘ 10)$

s_upp_sigma_0	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$c (9)^{l o}$	$spread (c (9)^{l o})$	$c (9)^{mi d}$	$spread (c (9)^{mi d})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$	$c (9)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (2)$	$spread (a (2))$	$c (9)^{hi}$	$spread (c (9)^{hi})$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_upp_sigma_0 ( $Σ_{0}$ 约束): $L H S - R H S + t a g + d eco m p ose = 0$

$t a g d eco m p ose L H S = = = co n s t r ai n_{1} (a_{0} ω^{- 1}) + co n s t r ai n_{2} (a_{0} ω) a (2) + 2^{2} b (11) + 2^{13} c (9)^{l o} + 2^{16} c (9)^{mi d} + 2^{19} c (9)^{hi} + 2^{22} d (10) - A spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} spread (a (2)) 4^{21} spread (b (11)) 4^{29} spread (c (9)^{hi}) + + + 4^{20} spread (d (10)) 4^{19} spread (a (2)) 4^{26} spread (c (9)^{mi d}) + + + 4^{17} spread (c (9)^{hi}) 4^{9} spread (d (10)) 4^{23} spread (c (9)^{l o}) + + + 4^{14} spread (c (9)^{mi d}) 4^{6} spread (c (9)^{hi}) 4^{12} spread (b (11)) + + + 4^{11} spread (c (9)^{l o}) 4^{3} spread (c (9)^{mi d}) 4^{10} spread (a (2)) + + + spread (b (11)) spread (c (9)^{l o}) spread (d (10)) + +$

在 $a_{0}, a_{1}, a_{2}$ 中查找 $spread$
$a (2)$ 中的 2比特位范围检查及2比特位 spread 检查
$c (9)^{l o}, c (9)^{mi d}, c (9)^{hi}$ 上的 3比特位范围检查和3比特位 spread 检查

（见辅助门）

输出： $Σ_{0} (A) = R^{e v e n} = R_{0}^{e v e n} + 2^{16} R_{1}^{e v e n}$

Σ_1 门

$E$ 是一个 32位字，分解为 $(6, 5, 14, 7)$ 位 chunks，从小数端开始。我们将这些 chunks 分别称为 $(a (6), b (5), c (14), d (7))$ ，并且进一步将 $a (6)$ 分解为两个3位的 chunks $a (6)^{l o}, a (6)^{hi}$ ，并更进一步将两个3比特位的chunk $a (6)^{l o}, a (6)^{hi}$ 和 $b$ 分解为 (2,3)比特位的 chunks $b (5)^{l o}, b (5)^{hi}$ 。我们将小 chunks 的 spread 形式写成 witness ：

$Σ_{1} (E) = = (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25) (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋘ 7)$

s_upp_sigma_1	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (5)^{l o}$	$spread (b (5)^{l o})$	$b (5)^{hi}$	$spread (b (5)^{hi})$	$b (5)$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (c (14))$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (6)^{l o}$	$spread (a (6)^{l o})$	$a (6)^{hi}$	$spread (a (6)^{hi})$	$a (6)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_upp_sigma_1 ( $Σ_{1}$ constraint): $L H S - R H S + t a g + d eco m p ose = 0$

$t a g d eco m p ose L H S = = = a_{0} ω^{- 1} + co n s t r ai n_{4} (a_{0} ω) a (6)^{l o} + 2^{3} a (6)^{hi} + 2^{6} b (5)^{l o} + 2^{8} b (5)^{hi} + 2^{11} c (14) + 2^{25} d (7) - E spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{29} spread (a (6)^{hi}) 4^{29} spread (b (5)^{hi}) 4^{18} spread (c (14)) + + + 4^{26} spread (a (6)^{l o}) 4^{27} spread (b (5)^{l o}) 4^{15} spread (b (5)^{hi}) + + + 4^{19} spread (d (7)) 4^{24} spread (a (6)^{hi}) 4^{13} spread (b (5)^{l o}) + + + 4^{5} spread (c (14)) 4^{21} spread (a (6)^{l o}) 4^{10} spread (a (6)^{hi}) + + + 4^{2} spread (b (5)^{hi}) 4^{14} spread (d (7)) 4^{7} spread (a (6)^{l o}) + + + spread (b (5)^{l o}) spread (c (14)) spread (d (7)) + +$

在 $a_{0}, a_{1}, a_{2}$ 中查找 $spread$
$b (5)^{l o}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (6)^{l o}, a (6)^{hi}, b (4)^{hi}$ 上的 3比特位范围检查和3比特位 spread 检查

（见辅助门）

输出： $Σ_{1} (E) = R^{e v e n} = R_{0}^{e v e n} + 2^{16} R_{1}^{e v e n}$

σ_0 门

v1

$σ_{0}$ 门的v1占一个字，可以分解为 $(3, 4, 11, 14)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (3), b (4), c (11), d (14)) .$ $b (4)$ 被进一步分解为两个2比特位的 chunks $b (4)^{l o}, b (4)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。我们从消息调度中已经获得了 $spread (c (11))$ 和 $spread (d (14))$ 。

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

s_low_sigma_0	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (c)$	$spread (d)$	$b (4)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$0$	$0$	$a$	$spread (a)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_0 ( $σ_{0}$ v1 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} b (4)^{hi} 4^{21} c (11) + + 4^{15} d (14) 4^{28} b (4)^{l o} 4^{19} b (4)^{hi} + + + 4^{4} c (11) 4^{25} a (3) 4^{17} b (4)^{l o} + + + 4^{2} b (4)^{hi} 4^{11} d (14) 4^{14} a (3) + + + b (4)^{l o} c (11) d (14) + +$

检查 b 是否被正确的分解为4比特位的一些片
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
$b (4)^{l o}, b (4)^{hi}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (3)$ 上的 3比特位范围检查和3比特位 spread 检查

v2

$σ_{0}$ 门的v2占一个字，可以分解为 $(3, 4, 3, 7, 1, 1, 13)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (3), b (4), c (3), d (7), e (1), f (1), g (13)) .$ 我们从消息调度中已经获得了 $spread (d (7))$ 和 $spread (g (13))$ 。1比特位的 $e (1), f (1)$ 在 spread 操作中不做更改，可以直接使用。另外 $b (4)$ 被进一步分解为两个2比特位的 chunks $b (4)^{l o}, b (4)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

s_low_sigma_0_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (g (13))$	$b (4)$	$e (1)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (3)$	$spread (a (3))$	$c (3)$	$spread (c (3))$	$f (1)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_0_v2 ( $σ_{0}$ v2 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} b (4)^{hi} 4^{31} e (1) + + 4^{16} g (13) 4^{28} b (4)^{l o} 4^{24} d (7) + + + 4^{15} f (1) 4^{25} a (3) 4^{21} c (3) + + + 4^{14} e (1) 4^{12} g (13) 4^{19} b (4)^{hi} + + + 4^{7} d (7) 4^{11} f (1) 4^{17} b (4)^{l o} + + + 4^{4} c (3) 4^{10} e (1) 4^{14} a (3) + + + 4^{2} b (4)^{hi} 4^{3} d (7) 4^{1} g (13) + + + b (4)^{l o} c (3) f (1) + +$

检查 b 是否被正确的分解为4比特位的片
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
$b (4)^{l o}, b (4)^{hi}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (3), c (3)$ 上的 3比特位范围检查和3比特位 spread 检查

σ_1 门

v1

$σ_{1}$ 门的v1占一个字，可以分解为 $(10, 7, 2, 13)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (10), b (7), c (2), d (13)) .$ $b (7)$ 被进一步分解为 $(2, 2, 3)$ 比特位的 chunks $b (7)^{l o}, b (7)^{mi d}, b (7)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。我们从消息调度中已经获得了 $spread (a (10))$ 和 $spread (d (13))$ 。

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ .

s_low_sigma_1	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (7)^{l o}$	$spread (b (7)^{l o})$	$b (7)^{mi d}$	$spread (b (7)^{mi d})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (a (10))$	$spread (d (13))$	$b (7)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$c (2)$	$spread (c (2))$	$b (7)^{hi}$	$spread (b (7)^{hi})$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_1 ( $σ_{1}$ v1 约束): $L H S - R H S = 0$ $L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{29} b (7)^{hi} 4^{30} c (2) + + 4^{9} d (13) 4^{27} b (7)^{mi d} 4^{27} b (7)^{hi} + + + 4^{7} c (2) 4^{25} b (7)^{l o} 4^{25} b (7)^{mi d} + + + 4^{4} b (7)^{hi} 4^{15} a (10) 4^{23} b (7)^{l o} + + + 4^{2} b (7)^{mi d} 4^{2} d (13) 4^{13} a (10) + + + b (7)^{l o} c (2) d (13) + +$
检查 b 是否被正确的分解为7比特位的片。
- $W^{b (7) l o} + 2^{2} W^{b (7) mi d} + 2^{4} W^{b (7) hi} - W = 0$
$b (7)^{l o}, b (7)^{mi d}, c (2)$ 中的 2比特位范围检查及2比特位 spread 检查
$b (7)^{hi}$ 上的 3比特位范围检查和3比特位 spread 检查

v2

$σ_{1}$ 门的v2占一个字，可以分解为 $(3, 4, 3, 7, 1, 1, 13)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (3), b (4), c (3), d (7), e (1), f (1), g (13)) .$ 我们从消息调度中已经获得了 $spread (d (7))$ 和 $spread (g (13))$ 。1比特位的 $e (1), f (1)$ 在 spread 操作中不做更改，可以直接使用。另外 $b (4)$ 被进一步分解为两个2比特位的 chunks $b (4)^{l o}, b (4)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ 。

s_low_sigma_1_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (g (13))$	$b (4)$	$e (1)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (3)$	$spread (a (3))$	$c (3)$	$spread (c (3))$	$f (1)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_1_v2 ( $σ_{1}$ v2 constraint): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{25} d (7) 4^{31} f (1) + + 4^{22} c (3) 4^{30} e (1) + + 4^{20} b (4)^{hi} 4^{23} d (7) + + 4^{9} g (13) 4^{18} b (4)^{l o} 4^{20} c (3) + + + 4^{8} f (1) 4^{15} a 4^{18} b (4)^{hi} + + + 4^{7} e (1) 4^{2} g (13) 4^{16} b (4)^{l o} + + + d (7) 4^{1} f (1) 4^{13} a + + + e (1) g (13) +$

检查 b 是否被正确的分解为4比特位的子片。
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
$b (4)^{l o}, b (4)^{hi}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (3), c (3)$ 上的 3比特位范围检查和3比特位 spread 检查

sr2	$a_{0}$
1	a

2比特位 spread

$l_{1} (a) + 4 * l_{2} (a) + 5 * l_{3} (a) - a^{'} = 0$

ss2	$a_{0}$	$a_{1}$
1	a	a'

插值多项式：

$l_{0} (a) = \frac{( a - 3 ) ( a - 2 ) ( a - 1 )}{( - 3 ) ( - 2 ) ( - 1 )}$ ( $spread (00) = 0000$ )
$l_{1} (a) = \frac{( a - 3 ) ( a - 2 ) ( a )}{( - 2 ) ( - 1 ) ( 1 )}$ ( $spread (01) = 0001$ )
$l_{2} (a) = \frac{( a - 3 ) ( a - 1 ) ( a )}{( - 1 ) ( 1 ) ( 2 )}$ ( $spread (10) = 0100$ )
$l_{3} (a) = \frac{( a - 2 ) ( a - 1 ) ( a )}{( 1 ) ( 2 ) ( 3 )}$ ( $spread (11) = 0101$ )

3比特位范围检查

$(a - 7) (a - 6) (a - 5) (a - 4) (a - 3) (a - 2) (a - 1) (a) = 0$

sr3	$a_{0}$
1	a

3比特位 spread

$l_{1} (a) + 4 * l_{2} (a) + 5 * l_{3} (a) + 16 * l_{4} (a) + 17 * l_{5} (a) + 20 * l_{6} (a) + 21 * l_{7} (a) - a^{'} = 0$

ss3	$a_{0}$	$a_{1}$
1	a	a'

插值多项式：

$l_{0} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 )}{( - 7 ) ( - 6 ) ( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 )}$ ( $spread (000) = 000000$ )
$l_{1} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a )}{( - 6 ) ( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 )}$ ( $spread (001) = 000001$ )
$l_{2} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 1 ) ( a )}{( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 )}$ ( $spread (010) = 000100$ )
$l_{3} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 )}$ ( $spread (011) = 000101$ )
$l_{4} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 )}$ ( $spread (100) = 010000$ )
$l_{5} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )}$ ( $spread (101) = 010001$ )
$l_{6} (a) = \frac{( a - 7 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 )}$ ( $spread (110) = 010100$ )
$l_{7} (a) = \frac{( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 )}$ ( $spread (111) = 010101$ )

reduce_6 门

6元素的 $(mod 2^{32})$ 加法

输入：

$E$
${e_{i}^{l o}, e_{i}^{hi}}_{i = 0}^{5}$
$c a rry$

检查： $E = e_{0} + e_{1} + e_{2} + e_{3} + e_{4} + e_{5} (mod 32)$

假设输入被约束为16个比特位

加法门 (sa):
- $a_{0} + a_{1} + a_{2} + a_{3} + a_{4} + a_{5} + a_{6} - a_{7} = 0$
进位门 (sc):
- $2^{16} a_{6} ω^{- 1} + a_{6} + [(a_{6} - 5) (a_{6} - 4) (a_{6} - 3) (a_{6} - 2) (a_{6} - 1) (a_{6})] = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
1	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$- c a rry * 2^{16}$	$E^{l o}$
1	1	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$c a rry$	$E^{hi}$

假设输入被约束为16个比特位

加法门 (sa):
- $a_{0} ω^{- 1} + a_{1} ω^{- 1} + a_{2} ω^{- 1} + a_{0} + a_{1} + a_{2} + a_{3} ω^{- 1} - a_{3} = 0$
进位门 (sc):
- $2^{16} a_{3} ω + a_{3} ω^{- 1} = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$
0	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$- c a rry * 2^{16}$
1	1	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$E^{l o}$
0	0	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$c a rry$
1	0	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$E^{hi}$

reduce_7 门

7元素的 $(mod 2^{32})$ 加法

输入：

$E$
${e_{i}^{l o}, e_{i}^{hi}}_{i = 0}^{6}$
$c a rry$

检查： $E = e_{0} + e_{1} + e_{2} + e_{3} + e_{4} + e_{5} + e_{6} (mod 32)$

假设输入被约束为16个比特位

加法门 (sa):
- $a_{0} + a_{1} + a_{2} + a_{3} + a_{4} + a_{5} + a_{6} + a_{7} - a_{8} = 0$
进位门 (sc):
- $2^{16} a_{7} ω^{- 1} + a_{7} + [(a_{7} - 6) (a_{7} - 5) (a_{7} - 4) (a_{7} - 3) (a_{7} - 2) (a_{7} - 1) (a_{7})] = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$
1	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$e_{6}^{l o}$	$- c a rry * 2^{16}$	$E^{l o}$
1	1	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$e_{6}^{hi}$	$c a rry$	$E^{hi}$

消息调度区域

对于消息 $M \in {0, 1}^{512}$ 中的每一个 block ，其64个32位字以如下方式构造：

通过将 $M$ 以每32个比特进行划分，得到前16个 $M = W_{0} ∣∣ W_{1} ∣∣ \dots ∣∣ W_{14} ∣∣ W_{15};$
剩下的48个字使用如下的方式构造：

$W_{i} = σ_{1} (W_{i - 2}) ⊞ W_{i - 7} ⊞ σ_{0} (W_{i - 15}) ⊞ W_{i - 16},$ for $16 \leq i < 64$ .

sw	sd0	sd1	sd2	sd3	ss0	ss0_v2	ss1	ss1_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{0}^{l o}$	$spread (W_{0}^{l o})$	$W_{0}^{l o}$	$W_{0}^{hi}$	$W_{0}$	$σ_{0} (W_{1})^{l o}$	$σ_{1} (W_{14})^{l o}$	$W_{9}^{l o}$
1	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{0}^{hi}$	$spread (W_{0}^{hi})$			$W_{16}$	$σ_{0} (W_{1})^{hi}$	$σ_{1} (W_{14})^{hi}$	$W_{9}^{hi}$	$c a rr y_{16}$
0	1	1	0	0	0	0	0	0	{0,1,2,3,4}	$W_{1}^{d (14)}$	$spread (W_{1}^{d (14)})$	$W_{1}^{l o}$	$W_{1}^{hi}$	$W_{1}$	$σ_{0} (W_{2})^{l o}$	$σ_{1} (W_{15})^{l o}$	$W_{10}^{l o}$
1	0	0	0	0	0	0	0	0	{0,1,2}	$W_{1}^{c (11)}$	$spread (W_{1}^{c (11)})$	$W_{1}^{a (3)}$	$W_{1}^{b (4)}$	$W_{17}$	$σ_{0} (W_{2})^{hi}$	$σ_{1} (W_{15})^{hi}$	$W_{10}^{hi}$	$c a rr y_{17}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{1}^{b (4) l o}$	$spread (W_{1}^{b (4) l o})$	$W_{1}^{b (4) hi}$	$spread (W_{1}^{b (4) hi})$
0	0	0	0	0	1	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (W_{1}^{c (11)})$	$spread (W_{1}^{d (14)})$	$W_{1}^{b (4)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{1}^{e v e n})$	$0$	$0$	$W_{1}^{a (3)}$	$spread (W_{1}^{a (3)})$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{o dd})$	$σ_{0} v 1 R_{0}$	$σ_{0} v 1 R_{1}$	$σ_{0} v 1 R_{0}^{e v e n}$	$σ_{0} v 1 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	0	0	0	0	0	0	0	0	{0,1,2,3}	$W_{14}^{g (13)}$	$spread (W_{14}^{g (13)})$	$W_{14}^{a (3)}$	$W_{14}^{c (3)}$
0	1	0	1	0	0	0	0	0	0	$W_{14}^{d (7)}$	$spread (W_{14}^{d (7)})$	$W_{14}^{l o}$	$W_{14}^{hi}$	$W_{14}$	$σ_{0} (W_{15})^{l o}$	$σ_{1} (W_{28})^{l o}$	$W_{23}^{l o}$
1	0	0	0	0	0	0	0	0	0	$W_{14}^{b (4)}$	$spread (W_{14}^{b (4)})$	$W_{14}^{e (1)}$	$W_{14}^{f (1)}$	$W_{30}$	$σ_{0} (W_{15})^{hi}$	$σ_{1} (W_{28})^{hi}$	$W_{23}^{hi}$
$c a rr y_{30}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{14}^{b (4) l o}$	$spread (W_{14}^{b (4) l o})$	$W_{14}^{b (4) hi}$	$spread (W_{14}^{b (4) hi})$
0	0	0	0	0	0	1	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (W_{14}^{d (7)})$	$spread (W_{14}^{g (13)})$	$W_{1}^{b (14)}$	$W_{14}^{e (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{14}^{a (3)}$	$spread (W_{14}^{a (3)})$	$W_{14}^{c (3)}$	$spread (W_{14}^{c (3)})$	$W_{14}^{f (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{0} v 2 R_{0}$	$σ_{0} v 2 R_{1}$	$σ_{0} v 2 R_{0}^{e v e n}$	$σ_{0} v 2 R_{0}^{o dd}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{14}^{b (4) l o}$	$spread (W_{14}^{b (4) l o})$	$W_{14}^{b (4) hi}$	$spread (W_{14}^{b (4) hi})$
0	0	0	0	0	0	0	0	1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d)$	$spread (g)$		$W_{14}^{e (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{14}^{a (3)}$	$spread (W_{14}^{a (3)})$	$W_{14}^{c (3)}$	$spread (W_{14}^{c (3)})$	$W_{14}^{f (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{1} v 2 R_{0}$	$σ_{1} v 2 R_{1}$	$σ_{1} v 2 R_{0}^{e v e n}$	$σ_{1} v 2 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	1	0	0	1	0	0	0	0	{0,1,2,3}	$W_{49}^{d (13)}$	$spread (W_{49}^{d (13)})$	$W_{49}^{l o}$	$W_{49}^{hi}$	$W_{49}$
0	0	0	0	0	0	0	0	0	{0,1}	$W_{49}^{a (10)}$	$spread (W_{49}^{a (10)})$	$W_{49}^{c (2)}$	$W_{49}^{b (7)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{49}^{b (7) l o}$	$spread (W_{49}^{b (7) l o})$	$W_{49}^{b (7) mi d}$	$spread (W_{49}^{b (7) mi d})$
0	0	0	0	0	0	0	0	1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (a)$	$spread (d)$	$W_{1}^{b (49)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{49}^{c (2)}$	$spread (W_{49}^{c (2)})$	$W_{49}^{b (7) hi}$	$spread (W_{49}^{b (7) hi})$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{1} v 1 R_{0}$	$σ_{1} v 1 R_{1}$	$σ_{1} v 1 R_{0}^{e v e n}$	$σ_{1} v 1 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{62}^{l o}$	$spread (W_{62}^{l o})$	$W_{62}^{l o}$	$W_{62}^{hi}$	$W_{62}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{62}^{hi}$	$spread (W_{62}^{hi})$
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{63}^{l o}$	$spread (W_{63}^{l o})$	$W_{63}^{l o}$	$W_{63}^{hi}$	$W_{63}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{63}^{hi}$	$spread (W_{63}^{hi})$

约束：

sw: 使用 $re d u c e_{4}$ 构造字
sd0: $W_{0}, W_{62}, W_{63}$ 对应的分解门
- $W^{l o} + 2^{16} W^{hi} - W = 0$
sd1: $W_{1..13}$ 的分解门 (分解为 $(3, 4, 11, 14)$ 位的片)
- $W^{a (3)} + 2^{3} W^{b (4) l o} + 2^{5} W^{b (4) hi} + 2^{7} W^{c (11)} + 2^{18} W^{d (14)} - W = 0$
sd2: $W_{14..48}$ 的分解门 (分解为 $(3, 4, 3, 7, 1, 1, 13)$ 位的片)
- $W^{a (3)} + 2^{3} W^{b (4) l o} + 2^{5} W^{b (4) hi} + 2^{7} W^{c (11)} + 2^{10} W^{d (14)} + 2^{17} W^{e (1)} + 2^{18} W^{f (1)} + 2^{19} W^{g (13)} - W = 0$
sd3: $W_{49..61}$ 的分解门 (分解为 $(10, 7, 2, 13)$ 位的片)
- $W^{a (10)} + 2^{10} W^{b (7) l o} + 2^{12} W^{b (7) mi d} + 2^{15} W^{b (7) hi} + 2^{17} W^{c (2)} + 2^{19} W^{d (13)} - W = 0$

Compression 区域

+----------------------------------------------------------+
|                                                          |
|          分解 E,										   |
|          Σ_1(E)                                          |
|                                                          |
|                  +---------------------------------------+
|                  |                                       |
|                  |        reduce_5() 以获得  H'		   |
|                  |                                       |
+----------------------------------------------------------+
|          分解 F, 分解 G								   |
|                                                          |
|                        Ch(E,F,G)                         |
|                                                          |
+----------------------------------------------------------+
|                                                          |
|          分解 A,										   |
|          Σ_0(A)                                          |
|                                                          |
|                                                          |
|                  +---------------------------------------+
|                  |                                       |
|                  |        使用 H' 和 reduce_7(),		   |
|				   |		以获得 A_new				       |
|                  |                                       |
+------------------+---------------------------------------+
|          分解 B, 分解 C								   |
|                                                          |
|          Maj(A,B,C)                                      |
|                                                          |
|                  +---------------------------------------+
|                  |        使用 H' 和 reduce_6(),		   | 
|				   |		以获得 E_new					   |
|                  |									   |
+------------------+---------------------------------------+

初始轮：

sd_abcd	sd_efgh	ss0	ss1	s_maj	s_ch_neg	s_ch	s_a_new	s_e_new	s_h_prime	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (E_{0} d (7))$	$E_{0} b (5)^{l o}$	$spread (E_{0} b (5)^{l o})$	$E_{0} b (5)^{hi}$	$spread (E_{0} b (5)^{hi})$	$E_{0}^{l o}$	$spread (E_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$E_{0} c (14)$	$spread (E_{0} c (14))$	$E_{0} a (6)^{l o}$	$spread (E_{0} a (6)^{l o})$	$E_{0} a (6)^{hi}$	$spread (E_{0} a (6)^{hi})$	$E_{0}^{hi}$	$spread (E_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (E_{0} b (5)^{l o})$	$spread (E_{0} b (5)^{hi})$
0	0	0	1	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (E_{0} d (7))$	$spread (E_{0} c (14))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (E_{0} a (6)^{l o})$	$spread (E_{0} a (6)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (F_{0} d (7))$	$F_{0} b (5)^{l o}$	$spread (F_{0} b (5)^{l o})$	$F_{0} b (5)^{hi}$	$spread (F_{0} b (5)^{hi})$	$F_{0}^{l o}$	$spread (F_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$F_{0} c (14)$	$spread (F_{0} c (14))$	$F_{0} a (6)^{l o}$	$spread (F_{0} a (6)^{l o})$	$F_{0} a (6)^{hi}$	$spread (F_{0} a (6)^{hi})$	$F_{0}^{hi}$	$spread (F_{0}^{hi})$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$G_{0} d (7)$	$spread (G_{0} d (7))$	$G_{0} b (5)^{l o}$	$spread (G_{0} b (5)^{l o})$	$G_{0} b (5)^{hi}$	$spread (G_{0} b (5)^{hi})$	$G_{0}^{l o}$	$spread (G_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$G_{0} c (14)$	$spread (G_{0} c (14))$	$G_{0} a (6)^{l o}$	$spread (G_{0} a (6)^{l o})$	$G_{0} a (6)^{hi}$	$spread (G_{0} a (6)^{hi})$	$G_{0}^{hi}$	$spread (G_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$	$Q_{0}^{o dd}$	$K_{0}^{l o}$	$H_{0}^{l o}$	$W_{0}^{l o}$
0	0	0	0	0	0	1	0	0	1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$	$Σ_{1} (E_{0})^{l o}$	$Σ_{1} (E_{0})^{hi}$	$K_{0}^{hi}$	$H_{0}^{hi}$	$W_{0}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$	$Q_{1}^{o dd}$	$P_{1}^{o dd}$	$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$	$H p r im e_{0} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$					$D_{0}^{l o}$	$E_{1}^{l o}$
0	0	0	0	0	0	0	0	1	0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$		$D_{0}^{hi}$	$E_{1}^{hi}$	$E_{1} c a rry$
0	0	0	0	0	1	0	0	0	0	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$A_{0} b (11)$	$spread (A_{0} b (11))$	$A_{0} c (9)^{l o}$	$spread (A_{0} c (9)^{l o})$	$A_{0} c (9)^{mi d}$	$spread (A_{0} c (9)^{mi d})$	$A_{0}^{l o}$	$spread (A_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$A_{0} d (10)$	$spread (A_{0} d (10))$	$A_{0} a (2)$	$spread (A_{0} a (2))$	$A_{0} c (9)^{hi}$	$spread (A_{0} c (9)^{hi})$	$A_{0}^{hi}$	$spread (A_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (c (9)^{l o})$	$spread (c (9)^{mi d})$
0	0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (a (2))$	$spread (c (9)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$B_{0} b (11)$	$spread (B_{0} b (11))$	$B_{0} c (9)^{l o}$	$spread (B_{0} c (9)^{l o})$	$B_{0} c (9)^{mi d}$	$spread (B_{0} c (9)^{mi d})$	$B_{0}^{l o}$	$spread (B_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$B_{0} d (10)$	$spread (B_{0} d (10))$	$B_{0} a (2)$	$spread (B_{0} a (2))$	$B_{0} c (9)^{hi}$	$spread (B_{0} c (9)^{hi})$	$B_{0}^{hi}$	$spread (B_{0}^{hi})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$C_{0} b (11)$	$spread (C_{0} b (11))$	$C_{0} c (9)^{l o}$	$spread (C_{0} c (9)^{l o})$	$C_{0} c (9)^{mi d}$	$spread (C_{0} c (9)^{mi d})$	$C_{0}^{l o}$	$spread (C_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$C_{0} d (10)$	$spread (C_{0} d (10))$	$C_{0} a (2)$	$spread (C_{0} a (2))$	$C_{0} c (9)^{hi}$	$spread (C_{0} c (9)^{hi})$	$C_{0}^{hi}$	$spread (C_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$	$M_{1}^{o dd}$	$spread (A_{0}^{l o})$	$spread (A_{0}^{hi})$		$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$
0	0	0	0	1	0	0	1	0	0	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B_{0}^{l o})$	$spread (B_{0}^{hi})$	$Σ_{0} (A_{0})^{l o}$		$A_{1}^{l o}$	$A_{1} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C_{0}^{l o})$	$spread (C_{0}^{hi})$	$Σ_{0} (A_{0})^{hi}$		$A_{1}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

稳态

sd_abcd	sd_efgh	ss0	ss1	s_maj	s_ch_neg	s_ch	s_a_new	s_e_new	s_h_prime	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (E_{0} d (7))$	$E_{0} b (5)^{l o}$	$spread (E_{0} b (5)^{l o})$	$E_{0} b (5)^{hi}$	$spread (E_{0} b (5)^{hi})$	$E_{0}^{l o}$	$spread (E_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$E_{0} c (14)$	$spread (E_{0} c (14))$	$E_{0} a (6)^{l o}$	$spread (E_{0} a (6)^{l o})$	$E_{0} a (6)^{hi}$	$spread (E_{0} a (6)^{hi})$	$E_{0}^{hi}$	$spread (E_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (E_{0} b (5)^{l o})$	$spread (E_{0} b (5)^{hi})$
0	0	0	1	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (E_{0} d (7))$	$spread (E_{0} c (14))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (E_{0} a (6)^{l o})$	$spread (E_{0} a (6)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$	$Q_{0}^{o dd}$	$K_{0}^{l o}$	$H_{0}^{l o}$	$W_{0}^{l o}$
0	0	0	0	0	0	1	0	0	1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$	$Σ_{1} (E_{0})^{l o}$	$Σ_{1} (E_{0})^{hi}$	$K_{0}^{hi}$	$H_{0}^{hi}$	$W_{0}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$	$Q_{1}^{o dd}$	$P_{1}^{o dd}$	$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$	$H p r im e_{0} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$					$D_{0}^{l o}$	$E_{1}^{l o}$
0	0	0	0	0	0	0	0	1	0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$		$D_{0}^{hi}$	$E_{1}^{hi}$	$E_{1} c a rry$
0	0	0	0	0	1	0	0	0	0	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$A_{0} b (11)$	$spread (A_{0} b (11))$	$A_{0} c (9)^{l o}$	$spread (A_{0} c (9)^{l o})$	$A_{0} c (9)^{mi d}$	$spread (A_{0} c (9)^{mi d})$	$A_{0}^{l o}$	$spread (A_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$A_{0} d (10)$	$spread (A_{0} d (10))$	$A_{0} a (2)$	$spread (A_{0} a (2))$	$A_{0} c (9)^{hi}$	$spread (A_{0} c (9)^{hi})$	$A_{0}^{hi}$	$spread (A_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (c (9)^{l o})$	$spread (c (9)^{mi d})$
0	0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (a (2))$	$spread (c (9)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$	$M_{1}^{o dd}$	$spread (A_{0}^{l o})$	$spread (A_{0}^{hi})$		$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$
0	0	0	0	1	0	0	1	0	0	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B_{0}^{l o})$	$spread (B_{0}^{hi})$	$Σ_{0} (A_{0})^{l o}$		$A_{1}^{l o}$	$A_{1} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C_{0}^{l o})$	$spread (C_{0}^{hi})$	$Σ_{0} (A_{0})^{hi}$		$A_{1}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

最后的摘要输出：

s_digest	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$
1	$A_{63}^{l o}$	$A_{63}^{hi}$	$A_{63}$	$B_{63}^{l o}$	$B_{63}^{hi}$	$B_{63}$
0	$C_{63}^{l o}$	$C_{63}^{hi}$	$C_{63}$	$C_{63}^{l o}$	$C_{63}^{hi}$	$C_{63}$
1	$E_{63}^{l o}$	$E_{63}^{hi}$	$E_{63}$	$G_{63}^{l o}$	$G_{63}^{hi}$	$G_{63}$
0	$F_{63}^{l o}$	$F_{63}^{hi}$	$F_{63}$	$H_{63}^{l o}$	$H_{63}^{hi}$	$H_{63}$

The halo2 Book