Halo2 协议

预备工作

我们定义 $\lambda$ 作为一个安全参数，且除明确标注外，文档中所有的算法和敌手(adversaries)都是在该安全参数下运行时间为多项式的概率型图灵机。我们使用 $\text{negl}(\lambda )$ 表示一个在 $\lambda$ 下可忽略的函数。

密码学群

我们令 $\mathbb{G}$ 表示一个阶为素数 $p$ 的循环群，群的单位元记作 $\mathcal{O}$ 。将 $\mathbb{G}$ 中元素的标量表示为阶为 $p$ 的标量域 $\mathbb{F}$ 中的元素。群元素用大写字母表示，标量则用小写字母或希腊字母表示。群元素或标量所组成的向量用粗体字表示，例如 $\mathbf{a}\in {\mathbb{F}}^n$ 以及 $\mathbf{G}\in {\mathbb{G}}^n$ 。群上的运算记作加法，群元素 $G$ 和标量 $a$ 的乘法记作 $[a]G$ 。

我们会经常使用 $⟨\mathbf{a},\mathbf{b}⟩$ 表示长度相等的， ${\mathbb{F}}^n$ 上 $\mathbf{a},\mathbf{b}$ 两个向量的内积。同样地也用这种表示法描述群元素的一个线性组合 $⟨\mathbf{a},\mathbf{G}⟩$ ，其中 $\mathbf{a}\in {\mathbb{F}}^n,\mathbf{G}\in {\mathbb{G}}^n$ ，该内积的计算是通过群中的标量乘法和加法实现的。

我们使用 $0^n$ 描述域 $\mathbb{F}$ 中长度为 $n$ 的，只包含零元的向量。

离散对数关系问题 攻击者优势（advantage）的度量（metric）为： $${\mathsf{Adv}}_{\mathbb{G},n}^{\mathsf{dl}-\mathsf{rel}}(\mathcal{A},\lambda )=\text{Pr}\left[{\mathsf{G}}_{\mathbb{G},n}^{\mathsf{dl}-\mathsf{rel}}(\mathcal{A},\lambda )\right]$$ 其定义为赢得以下游戏的概率。 $$\begin{array}{ll}& \underline{\mathbf{Game}{\mathsf{G}}_{\mathbb{G},n}^{\mathsf{dl}-\mathsf{rel}}(\mathcal{A},\lambda ):}\\ & \mathbf{G}\leftarrow {\mathbb{G}}_{\lambda }^n\\ & \mathbf{a}\leftarrow \mathcal{A}(\mathbf{G})\\ & \text{Return}\left(⟨\mathbf{a},\mathbf{G}⟩=\mathcal{O}\wedge \mathbf{a}\ne 0^n\right)\end{array}$$ 即：如果攻击者能够给出一个 $\mathbf{a}$ 使得 $⟨\mathbf{a},\mathbf{G}⟩=\mathcal{O}\wedge \mathbf{a}\ne 0^n$ ，则它赢得这次游戏

给定一个长度为 $n$ 的向量 $\mathbf{G}\in {\mathbb{G}}^n$ ， 离散对数关系问题 指寻找一个 $\mathbf{g}\in {\mathbb{F}}^n$ 使得 $\mathbf{g}\ne 0^n$ 且 $⟨\mathbf{g},\mathbf{G}⟩=\mathcal{O}$ （我们称为 非平凡 离散对数关系）。该问题的难度和群中的离散对数问题紧密相连（[JT20] 引理3）。我们使用上面定义的游戏 ${\mathsf{G}}_{\mathbb{G},n}^{\mathsf{dl}-\mathsf{rel}}$ 描述该问题。

交互式证明

交互式证明是一个算法三元组 $\text{IP}=(\text{Setup},\mathcal{P},\mathcal{V})$ 。 $\text{Setup}(1^{\lambda })$ 算法用于生成某些被 $\mathsf{pp}$ 引用的 公开参数 。证明者 $\mathcal{P}$ 和验证者 $\mathcal{V}$ 是能够访问 $\mathsf{pp}$ 的交互式机器，我们用 $⟨\mathcal{P}(x),\mathcal{V}(y)⟩$ 表示在 $\mathcal{P}$ 和 $\mathcal{V}$ 之间执行的两方协议，其输入为 $x$ 和 $y$ 。协议的输出是一个 transcript ，包含了所有 $\mathcal{P}$ 和 $\mathcal{V}$ 之间交互的消息。在协议的最后，验证者输出一个决策位，表示它是否接受证明者的证明。

关于知识的零知识证明

知识证明是一种交互式证明，指证明者试图向验证者证明它知道一个 witness $w$ 使得 $(x,w)\in \mathcal{R}$ ，其中 $x$ 为一个 statement ， $\mathcal{R}$ 为多项式时间内可决定的 relation。我们假设证明者的计算能力是有限的，在这个假设下研究知识证明。

我们将从四个角度分析知识证明的安全程度：

• 完备性: 如果证明者有一个有效的 witness ，它是否 总是 能够向验证者证明这一点？完备性做出了一些假设，理解完备性将有助于理解其他的安全性
• 可靠性: 一个试图作弊的证明者能否向验证者成功证明一个错误的 statement ? 我们将发生这种情况的可能性称为 可靠性错误 。
• 知识可靠性: 当验证者确信 statement 是正确的时候，证明者是否实际拥有（“知道”）一个有效的 witness ？我们将验证者确信，但证明者并不拥有有效 witness 的可能性称为 知识错误 。
• 零知识性: 除了 statement 的正确性和证明者实际拥有该有效 witness 之外，验证者是否还获得了额外的知识？

首先，我们考察完备性的一个简单定义：

完美完备性： 一个交互式证明 $(\text{Setup},\mathcal{P},\mathcal{V})$ 是 完美完备的 当对于所有的多项式时间内可决定的关系 $\mathcal{R}$ 和所有非均匀的多项式时间攻击者 $\mathcal{A}$ 都有 $$Pr\left[(x,w)\notin \mathcal{R}\vee ⟨\mathcal{P}(\mathsf{pp},x,w),\mathcal{V}(\mathsf{pp},x)⟩\text{accepts}|\begin{array}{ll}& \mathsf{pp}\leftarrow \text{Setup}(1^{\lambda })\\ & (x,w)\leftarrow \mathcal{A}(\mathsf{pp})\end{array}\right]=1$$

可靠性

我们分析过程的复杂性在于：我们的协议被描述为交互式证明，但实际上通过 Fiat-Shamir 变换，它被实现为 非交互式 的。

Public coin： 我们将那种验证者发送的每个消息都来自新的随机性采样的交互式证明称为 public coin 式。

Fiat-Shamir 变换： 将验证者发送的消息替换为密码学上健壮的哈希函数以产生足够的随机性，即可将交互的 public coin 式证明在 随机预言机模型 中转换为 非交互式 的。

这种形式变换意味着在实际的协议中，一个试图作弊的证明者可以通过对 transcript 进行分叉，修改某个时刻自己应该发送给验证者的消息，从而轻易的达成状态“回卷”。因此，研究我们的协议在 Fiat-Shamir 变换之后的安全性是非常重要的。幸运的是我们可以依照 Ghoshal 和 Tessaro 提出的框架 ([GT20]) 来进行分析。

我们通过 状态恢复可靠性 的概念分析我们的协议。在该模型中，（作弊的）证明者可以“回卷”验证者至之前任意的状态。如果证明者能通过这种方式使验证者接受证明，则是对我们协议一次成功的攻击。

状态恢复可靠性： 令 $\text{IP}$ 是一个交互式的 argument ，包含有 $r>=r(\lambda )$ 个验证者挑战。令第 $i$th 个挑战是从 ${\mathsf{Ch}}_i$ 中采样获得，则一个具备状态恢复能力的证明者 $\mathcal{P}$ 的优势度量（advantage metric）为 $${\mathsf{Adv}}_{\text{IP}}^{\text{SRS}}(\mathcal{P},\lambda )=\text{Pr}\left[{\text{SRS}}_{\mathcal{P}}^{\text{IP}}(\lambda )\right]$$ 通过以下攻防游戏定义： $$\begin{array}{ll}\begin{array}{ll}& \underline{\mathbf{Game}{\text{SRS}}_{\text{IP}}^{\mathcal{P}}(\lambda ):}\\ & \text{win}\leftarrow \mathtt{false};\\ & \text{tr}\leftarrow ϵ\\ & \mathsf{pp}\leftarrow \text{IP}.\text{Setup}(1^{\lambda })\\ & (x,{\text{st}}_{\mathcal{P}})\leftarrow {\mathcal{P}}_{\lambda }(\mathsf{pp})\\ & \text{Run}{\mathcal{P}}_{\lambda }^{{\mathcal{O}}_{\text{SRS}}}({\text{st}}_{\mathcal{P}})\\ & \text{Return win}\end{array}& \begin{array}{ll}& \underline{\mathbf{Oracle}{\mathcal{O}}_{\text{SRS}}(\tau =(a_1,c_1,...,a_{i-1},c_{i-1}),a_i):}\\ & \text{If}\tau \in \text{tr}\text{then}\\ & \text{If}i\le r\text{then}\\ & c_i\leftarrow {\mathsf{Ch}}_i;\text{tr}\leftarrow \text{tr}||(\tau ,a_i,c_i);\text{Return}{c}_i\\ & \text{Else if}i=r+1\text{then}\\ & d\leftarrow \text{IP}.\mathcal{V}(\mathsf{pp},x,(\tau ,a_i));\text{tr}\leftarrow (\tau ,a_i)\\ & \text{If}d=1\text{then win}\leftarrow \mathtt{true}\\ & \text{Return}d\\ & \text{Return}\perp \end{array}\end{array}$$

如 [GT20] （定理1）所示，状态恢复可靠性和 Fiat-Shamir 变换后的可靠性紧密相关。

知识可靠性

我们将会展示我们的协议满足一种强知识可靠性，即 witness extended emulation 。这意味着，对于任意成功证明的证明者算法，都存在一个高效的仿真器，通过状态“回卷”和提供新的随机数，仿真器可以从算法中提取出 witness 。

但我们必须调整一下我们对于 witness extended emulation 的定义，以描述一个事实，即我们协议中的证明者都是有状态恢复能力的证明者，能够“回卷”验证者。另外，为避免在提取 witness 时回卷证明者，我们在 代数群模型 中研究我们的协议。

代数群模型（Algebraic Group Model, AGM） 若攻击者 ${\mathcal{P}}_{\text{alg}}$ 在每次输出群元素 $X$ 的时候同时也输出 $X$ 在 ${\mathbb{F}}^n$ 中的一个 表示 $\mathbf{x}\in {\mathbb{F}}^n$ ，使得 $⟨\mathbf{x},\mathbf{G}⟩=X$ ， $\mathbf{G}\in {\mathbb{G}}^n$ 是 ${\mathcal{P}}_{\text{alg}}$ 到目前为止所知的群元素的向量，则我们说 ${\mathcal{P}}_{\text{alg}}$ 是 代数的 。

我们用 $\left[X\right]$ 描述一个以代数方法表示的群元素 $X$ ，定义 $[X{]}_i^{\mathbf{G}}$ 为 $X$ 用 ${\mathbf{G}}_i$ 表示的系数，即 $$X=\sum _{i=0}^{n-1}\left[[X{]}_i^{\mathbf{G}}\right]{\mathbf{G}}_i$$

代数群模型允许我们对某些协议进行所谓的“在线”提取：提取者可以从某个被接受的 transcript 的表示方式中提取出 witness 。

状态恢复的 witness extended emulation 令 $\text{IP}$ 是一个关系 $\mathcal{R}$ 的交互式证明，包含 $r=r(\lambda )$ 个挑战。我们对所有非均匀的代数证明者 ${\mathcal{P}}_{\text{alg}}$ ，提取者 $\mathcal{E}$ ，以及拥有无限计算能力的辨别者 $\mathcal{D}$ ，其优势度量 $${\mathsf{Adv}}_{\text{IP},\mathcal{R}}^{\text{sr-wee}}({\mathcal{P}}_{\text{alg}},\mathcal{D},\mathcal{E},\lambda )=\text{Pr}\left[{\text{WEE-real}}_{\text{IP},\mathcal{R}}^{\mathcal{P},\mathcal{D}}(\lambda )\right]-\text{Pr}\left[{\text{WEE-ideal}}_{\text{IP},\mathcal{R}}^{\mathcal{E},\mathcal{P},\mathcal{D}}(\lambda )\right]$$ 定义为赢得如下游戏的概率： $$\begin{array}{ll}\begin{array}{ll}& \underline{\mathbf{Game}{\text{WEE-real}}_{\text{IP},\mathcal{R}}^{{\mathcal{P}}_{\text{alg}},\mathcal{D}}(\lambda ):}\\ & \text{tr}\leftarrow ϵ\\ & \mathsf{pp}\leftarrow \text{IP}.\text{Setup}(1^{\lambda })\\ & (x,{\mathsf{st}}_{\mathcal{P}})\leftarrow {\mathcal{P}}_{\text{alg}}(\mathsf{pp})\\ & \text{Run}{{\mathcal{P}}_{\text{alg}}}^{{\mathcal{O}}_{\text{real}}}({\mathsf{st}}_{\mathcal{P}})\\ & b\leftarrow \mathcal{D}(\text{tr})\\ & \text{Return}b=1\\ & \underline{\mathbf{Game}{\text{WEE-ideal}}_{\text{IP},\mathcal{R}}^{\mathcal{E},{\mathcal{P}}_{\text{alg}},\mathcal{D}}(\lambda ):}\\ & \text{tr}\leftarrow ϵ\\ & \mathsf{pp}\leftarrow \text{IP}.\text{Setup}(1^{\lambda })\\ & (x,{\mathsf{st}}_{\mathcal{P}})\leftarrow {\mathcal{P}}_{\text{alg}}(\mathsf{pp})\\ & {\mathsf{st}}_{\mathcal{E}}\leftarrow (1^{\lambda },\mathsf{pp},x)\\ & \text{Run}{{\mathcal{P}}_{\text{alg}}}^{{\mathcal{O}}_{\text{ideal}}}({\mathsf{st}}_{\mathcal{P}})\\ & w\leftarrow \mathcal{E}({\mathsf{st}}_{\mathcal{E}},\perp )\\ & b\leftarrow \mathcal{D}(\text{tr})\\ & \text{Return}(b=1)\\ & \wedge (\text{Acc}(\text{tr})⟹(x,w)\in \mathcal{R})\end{array}& \begin{array}{ll}& \underline{\mathbf{Oracle}{\mathcal{O}}_{\text{real}}(\tau =(a_1,c_1,...,a_{i-1},c_{i-1}),a_i):}\\ & \text{If}\tau \in \text{tr}\text{then}\\ & \text{If}i\le r\text{then}\\ & c_i\leftarrow {\mathsf{Ch}}_i;\text{tr}\leftarrow \text{tr}||(\tau ,a_i,c_i);\text{Return}{c}_i\\ & \text{Else if}i=r+1\text{then}\\ & d\leftarrow \text{IP}.\mathcal{V}(\mathsf{pp},x,(\tau ,a_i));\text{tr}\leftarrow (\tau ,a_i)\\ & \text{If}d=1\text{then win}\leftarrow \mathtt{true}\\ & \text{Return}d\\ & \text{Return}\perp \\ & \\ & \\ & \underline{\mathbf{Oracle}{\mathcal{O}}_{\text{ideal}}(\tau ,a):}\\ & \text{If}\tau \in \text{tr}\text{then}\\ & (r,{\mathsf{st}}_{\mathcal{E}})\leftarrow \mathcal{E}({\mathsf{st}}_{\mathcal{E}},\left[(\tau ,a)\right])\\ & \text{tr}\leftarrow \text{tr}||(\tau ,a,r)\\ & \text{Return}r\\ & \text{Return}\perp \end{array}\end{array}$$

零知识性

若验证者在协议的交互中除了知道存在一个有效的 $w$ 之外没有获得任何其他额外的知识，则我们说该关于知识的证明是 零知识性 的。

完美特殊诚实验证者零知识性 一个交互式的 public coin 证明 $(\text{Setup},\mathcal{P},\mathcal{V})$ 拥有 完美特殊诚实验证者零知识性 (PSHVZK) 仅当对于所有多项式时间可决定的关系 $\mathcal{R}$ 和所有 $(x,w)\in \mathcal{R}$ 及所有非均匀多项式时间的攻击者 ${\mathcal{A}}_1$ ， ${\mathcal{A}}_2$ ，存在一个概率性的多项式时间模拟器 $\mathcal{S}$ ，使得 $$\begin{array}{rl}& Pr\left[{\mathcal{A}}_1(\sigma ,x,\text{tr})=1|\begin{array}{ll}& \mathsf{pp}\leftarrow \text{Setup}(1^{\lambda });\\ & (x,w,\rho )\leftarrow {\mathcal{A}}_2(\mathsf{pp});\\ & tr\leftarrow ⟨\mathcal{P}(\mathsf{pp},x,w),\mathcal{V}(\mathsf{pp},x,\rho )⟩\end{array}\right]\\ & \\ =& Pr\left[{\mathcal{A}}_1(\sigma ,x,\text{tr})=1|\begin{array}{ll}& \mathsf{pp}\leftarrow \text{Setup}(1^{\lambda });\\ & (x,w,\rho )\leftarrow {\mathcal{A}}_2(\mathsf{pp});\\ & tr\leftarrow \mathcal{S}(\mathsf{pp},x,\rho )\end{array}\right]\end{array}$$ $\rho$ 表示 verifier 内在的随机性。

在这个零知识性的定义下，验证者预期将会“诚实地”进行交互，并发送只与它的内在随机性相关的挑战。它们不能根据证明者发送的消息改变自己的挑战。我们使用该定义的一种增强形式，要求模拟器输出包含和验证者所发送的相同挑战的 transcript 。

协议

令 $\omega \in \mathbb{F}$ 是 $n=2^k$ 的单位根，组成一个 domain $D=({\omega }^0,{\omega }^1,...,{\omega }^{n-1})$ ， $t(X)=X^n-1$ 为该 domain 上的消退多项式。令 $k,n_g,n_a$ 为正整数。对于关系 $$\mathcal{R}=\left\{\begin{array}{ll}& \left(\begin{array}{l}\left(g(X,C_0,C_1,...,C_{n_a-1})\right);\\ \left(a_0(X),a_1(X,C_0),...,a_{n_a-1}(X,C_0,C_1,...,C_{n_a-1})\right)\end{array}\right):\\ & \\ & g({\omega }^i,C_0,C_1,...,C_{n_a-1})=0\forall i\in [0,2^k)\end{array}\right\}$$

我们提出一种交互式证明 $\text{Halo}=(\text{Setup},\mathcal{P},\mathcal{V})$ ，其中 $a_0,a_1,...,a_{n_a-1}$ 是关于 $X$ 的阶为 $n-1$ 的（多变量）多项式， $g$ 是关于 $X$ 的阶为 $n_g(n-1)$ 的多项式。

$\text{Setup}(\lambda )$ 返回 $\mathsf{pp}=(\mathbb{G},\mathbb{F},\mathbf{G}\in {\mathbb{G}}^n,U,W\in \mathbb{G})$.

对于所有的 $i\in [0,n_a)$:

• 令 ${\mathbf{p}}_{\mathbf{i}}$ 为整数 $j$ （模 $n$ ）的完备集，使得 $a_i({\omega }^{j}X,\cdots )$ 为 $g(X,\cdots )$ 中的成员。
• 令 $\mathbf{q}$ 为一组包含 ${\mathbf{p}}_i$ 的不相交的整数集合， ${\mathbf{q}}_0=\{0\}$.
• 令 $\sigma (i)={\mathbf{q}}_j$ ，若 ${\mathbf{q}}_j={\mathbf{p}}_{\mathbf{i}}$.

令 $n_q$ 表示集合 $\mathbf{q}$ 的大小，不失一般性地，令 $n_e$ 表示每个 ${\mathbf{p}}_{\mathbf{i}}$ 集合的大小。

在下述的协议中，我们默认每个 $a_i(X,\cdots )$ 多项式为 $n_e+1$ 个盲因子均为验证者新采样的，且以 domain $D$ 上各点值的形式表示。

1. $\mathcal{P}$ 和 $\mathcal{V}$ 进行 $n_a$ 轮交互，在第 $j$ 轮中（轮次从0开始）

• $\mathcal{P}$ 设置 $a_j^{\prime }(X)=a_j(X,c_0,c_1,...,c_{j-1})$
• $\mathcal{P}$ 发送一个隐藏用的承诺 $A_j=⟨{\mathbf{a}}^{\prime },\mathbf{G}⟩+[\cdot ]W$ ， 其中 ${\mathbf{a}}^{\prime }$ 为单变量多项式 $a_j^{\prime }(X)$ 的系数， $\cdot$ 为某个随机且独立采样的盲因子。
• $\mathcal{V}$ 回应 $\mathcal{P}$ 一个挑战 $c_j$.

2. $\mathcal{P}$ 和 $\mathcal{V}$ 设置 $g^{\prime }(X)=g(X,c_0,c_1,...,c_{n_a-1})$.
3. $\mathcal{P}$ 发送一个承诺 $R=⟨\mathbf{r},\mathbf{G}⟩+[\cdot ]W$ ，其中 $\mathbf{r}\in {\mathbb{F}}^n$ 为随机采样的单变量多项式 $r(X)$ 的系数，其度数为 $n-1$ 。
4. $\mathcal{P}$ 计算单变量多项式 $h(X)=\frac{g^{\prime }(X)}{t(X)}$ ，其度数为 $n_g(n-1)-n$.
5. $\mathcal{P}$ 计算度数至多为 $n-1$ 的多项式 $h_0(X),h_1(X),...,h_{n_g-2}(X)$ ，使得 $h(X)=\sum _{i=0}^{n_g-2}{X}^{ni}{h}_i(X)$.
6. $\mathcal{P}$ 将所有的承诺 $H_i=⟨{\mathbf{h}}_{\mathbf{i}},\mathbf{G}⟩+[\cdot ]W$ 发送给 $\mathcal{V}$ ，其中 $h_i(X)$ 为多项式系数组成的向量。
7. $\mathcal{V}$ 回应一个挑战 $x$ 并计算 $H^{\prime }=\sum _{i=0}^{n_g-2}[x^{ni}]H_i$.
8. $\mathcal{P}$ 设置 $h^{\prime }(X)=\sum _{i=0}^{n_g-2}{x}^{ni}{h}_i(X)$.
9. $\mathcal{P}$ 发送 $r=r(x)$ 并且对所有的 $i\in [0,n_a)$ ，发送 ${\mathbf{a}}_{\mathbf{i}}$ ，使得对所有的 $j\in [0,n_e]$ ，都有 $({\mathbf{a}}_{\mathbf{i}}{)}_j=a_i^{\prime }({\omega }^{({\mathbf{p}}_{\mathbf{i}}{)}_j}x)$ 。
10. 对所有的 $i\in [0,n_a)$ ， $\mathcal{P}$ 和 $\mathcal{V}$ 设置 $s_i(X)$ 为度数最低的单变量多项式，使得对所有的 $j\in [0,n_e)$ ， $s_i({\omega }^{({\mathbf{p}}_{\mathbf{i}}{)}_j}x)=({\mathbf{a}}_{\mathbf{i}}{)}_j$ 。
11. $\mathcal{V}$ 发送两个挑战 $x_1,x_2$ 以回应，并初始化 $Q_0,Q_1,...,Q_{n_q-1}=\mathcal{O}$.

• 从 $i=0$ 到 $i=n_a-1$ ， $\mathcal{V}$ 设置 $Q_{\sigma (i)}:=[x_1]Q_{\sigma (i)}+A_i$.
• 最后 $\mathcal{V}$ 设置 $Q_0:=[x_1^2]Q_i+[x_1]H^{\prime }+R$.

12. $\mathcal{P}$ 初始化 $q_0(X),q_1(X),...,q_{n_q-1}(X)=0$.

• 从 $i=0$ 开始到 $i=n_a-1$ ， $\mathcal{P}$ 设置 $q_{\sigma (i)}:=x_1{q}_{\sigma (i)}+a^{\prime }(X)$.
• 最后 $\mathcal{P}$ 设置 $q_0(X):=x_1^2{q}_0(X)+x_1{h}^{\prime }(X)+r(X)$.

13. $\mathcal{P}$ 和 $\mathcal{V}$ 初始化 $r_0(X),r_1(X),...,r_{n_q-1}(X)=0$.

• 从 $i=0$ 开始到 $i=n_a-1$ ， $\mathcal{P}$ 和 $\mathcal{V}$ 设置 $r_{\sigma (i)}(X):=x_1{r}_{\sigma (i)}(X)+s_i(X)$.
• 最后 $\mathcal{P}$ 和 $\mathcal{V}$ 设置 $r_0:=x_1^2{r}_0+x_{1}h+r$ ， $\mathcal{V}$ 使用由 $\mathcal{P}$ 提供的 $r$ 和 $\mathbf{a}$ 计算 $h=\frac{g^{\prime }(x)}{t(x)}$

14. $\mathcal{P}$ 发送 $Q^{\prime }=⟨{\mathbf{q}}^{\prime },\mathbf{G}⟩+[\cdot ]W$ ，其中 ${\mathbf{q}}^{\prime }$ 为下列多项式的系数：

$$q^{\prime }(X)=\sum _{i=0}^{n_q-1}{x}_2^i\left(\frac{q_i(X)-r_i(X)}{\prod _{j=0}^{n_e-1}\left(X-{\omega }^{{\left({\mathbf{q}}_{\mathbf{i}}\right)}_j}x\right)}\right)$$

15. $\mathcal{V}$ 回以挑战 $x_3$.
16. $\mathcal{P}$ 发送 $\mathbf{u}\in {\mathbb{F}}^{n_q}$ 使得 ${\mathbf{u}}_i=q_i(x_3)$ for all $i\in [0,n_q)$.
17. $\mathcal{V}$ 回以挑战 $x_4$.
18. $\mathcal{P}$ 和 $\mathcal{V}$ 设置 $P=Q^{\prime }+x_4\sum _{i=0}^{n_q-1}[x_4^i]Q_i$ ， $v=$

$$\sum _{i=0}^{n_q-1}\left(x_2^i\left(\frac{{\mathbf{u}}_i-r_i(x_3)}{\prod _{j=0}^{n_e-1}\left(x_3-{\omega }^{{\left({\mathbf{q}}_{\mathbf{i}}\right)}_j}x\right)}\right)\right)+x_4\sum _{i=0}^{n_q-1}{x}_4{\mathbf{u}}_i$$

19. $\mathcal{P}$ 设置 $p(X)=q^{\prime }(X)+[x_4]\sum _{i=0}^{n_q-1}{x}_4^i{q}_i(X)$.
20. $\mathcal{P}$ 采样一个随机的度数为 $n-1$ 的多项式 $s(X)$ （其中一个根为 $x_3$ ） ，并发送其承诺 $S=⟨\mathbf{s},\mathbf{G}⟩+[\cdot ]W$ ， $\mathbf{s}$ 为 $s(X)$ 多项式的系数。
21. $\mathcal{V}$ 回以挑战 $\xi ,z$.
22. $\mathcal{P}$ 和 $\mathcal{V}$ 设置 $P^{\prime }=P-[v]{\mathbf{G}}_0+[\xi ]S$.
23. $\mathcal{P}$ 设置 $p^{\prime }(X)=p(X)-v+\xi s(X)$.
24. 初始化 ${\mathbf{p}}^{\prime }$ 作为多项式 $p^{\prime }(X)$ 的系数，令 ${\mathbf{G}}^{\prime }=\mathbf{G}$ ， $\mathbf{b}=(x_3^0,x_3^1,...,x_3^{n-1})$. $\mathcal{P}$ 和 $\mathcal{V}$ 将以如下方式交互 $k$ 轮，$j$ 的取值范围从 $j=0$ 到 $j=k-1$ ：

• $\mathcal{P}$ 发送 $L_j=⟨{{\mathbf{p}}^{\prime }}_{\text{hi}},{{\mathbf{G}}^{\prime }}_{\text{lo}}⟩+[z⟨{{\mathbf{p}}^{\prime }}_{\text{hi}},{\mathbf{b}}_{\text{lo}}⟩]U+[\cdot ]W$ and $R_j=⟨{{\mathbf{p}}^{\prime }}_{\text{lo}},{{\mathbf{G}}^{\prime }}_{\text{hi}}⟩+[z⟨{{\mathbf{p}}^{\prime }}_{\text{lo}},{\mathbf{b}}_{\text{hi}}⟩]U+[\cdot ]W$.
• $\mathcal{V}$ 回以挑战 $u_j$.
• $\mathcal{P}$ 和 $\mathcal{V}$ 设置 ${\mathbf{G}}^{\prime }:={{\mathbf{G}}^{\prime }}_{\text{lo}}+u_j{{\mathbf{G}}^{\prime }}_{\text{hi}}$ 且 $\mathbf{b}={\mathbf{b}}_{\text{lo}}+u_j{\mathbf{b}}_{\text{hi}}$.
• $\mathcal{P}$ 设置 ${\mathbf{p}}^{\prime }:={{\mathbf{p}}^{\prime }}_{\text{lo}}+u_j^{-1}{{\mathbf{p}}^{\prime }}_{\text{hi}}$.

25. $\mathcal{P}$ 发送 $c={{\mathbf{p}}^{\prime }}_0$ 以及盲因子 $f$.
26. 若 ${\sum }_{j=0}^{k-1}[u_j^{-1}]L_j+P^{\prime }+{\sum }_{j=0}^{k-1}[u_j]R_j=[c]{{\mathbf{G}}^{\prime }}_0+[c{\mathbf{b}}_{0}z]U+[f]W$ ，则 $\mathcal{V}$ 接受证明。