halo2

重要提示: 这个库正在积极开发中，不应该在生产软件中使用.

最低支持的 Rust 版本

需要 Rust 1.51 或者更高.

最低支持的 rust 版本可以在未来更改, 但是这会带来小版本的改变

并行控制方案

halo2 当前为并行计算使用 rayon . 设置线程数量数量时使用 RAYON_NUM_THREADS 环境变量

许可证

你可以在 Bootstrap 开源许可证 1.0 版下使用这个包，或者您可以选择任意更高版本 . 看这个文件 COPYING 去了解更多详细信息, 看这个文件 LICENSE-BOSL 了解 Bootstrap 开源许可证 1.0 版条款.

BOSL的目的是允许对包进行商业改进，同时确保所有改进都是开源的 . 看这去了解 BOSL 为什么存在.

翻译说明

Thanks for halo2 Book team's clear explanation about halo2 design and protocol. It's really wonderful :)

halo2 Book清晰系统地讲解了halo2零知识证明的原理：电路算术表示，查找证明，置换证明以及整个协议的形式化表示。同时该文档也讲解零知识证明基础原理，是入门PLONK系零知识证明的极佳入门材料。

在查看halo2实现代码的基础上，对照halo2 Book设计，总结出halo2 Book对应的中文翻译。国内零知识证明技术相关的正规教程/教材比较少，有些术语并没有合适或者统一的翻译。针对用到的术语，整理了一个术语表。有些术语实在无法精准翻译，直接用英文代替。此翻译对应的halo2 Book的最后一个提交信息如下：

658c2db4217b1b19b17ecd29577c0e370e1c4997

halo2 Book的翻译以严格准守原文本意为原则，但是水平有限，有翻译不妥的地方，欢迎更多的小伙伴指正。最后感谢参与翻译和校对的小伙伴们。

Github: Halo2 Book (Chinese)

术语表

PLONKish: PLONK系
argument: 证明
language: 语言
relation: 关系
statement: 论述
witness: 论据
soundness: 可靠性
circuit: 电路
public input: 公开输入
private input: 隐私输入
arithmetization：算术化
custom gate: 自定义门
lookup: 查找表
field：域
grand product: 大乘积
generalization: 泛化
selector: 选择子
row: 行
column: 列
cell：单元格
lagrange basis polynomial: 拉格朗日基多项式
floor planner：布局器
gadget：小工具
scalar: 标量
vanishing polynomial：消退多项式

证明系统

证明系统 的目标是能够证明有趣的数学或者密码学论述.

通常，在一个给定的协议中，我们想要证明不同公共输入的一系列论述。证明者需要展示他们知道一些隐私输入，满足论述。

为此，我们描绘了一个关系， $R$ ，这个关系指定哪些公共输入和隐私输入组合是有效的。

上面的术语和 ZKProof Community Reference 保持一致

准确地说，我们应该区分关系 $R$ 和它在证明系统中实现。后者我们称为电路。

我们用来表示特定证明系统的电路的语言叫做算术化。通常，算术化会以多项式约束的形式定义电路。这些约束作用于某个域上的变量。

将一个特定关系的表达成电路的过程有时也叫作 "算术化", 但是我们避免这种叫法。

为了生成一个论述的证明, 证明者需要知道电路需要的隐私输入以及中间值，这些称为advice。

我们假设我们能通过隐私和公开输入计算出advice。这些advice值依赖于我们实现的电路，而不仅仅取决于论述。

隐私输入和advice一起称为论据（ witness）。

有些作者将隐私输入看成论据, 但是在我们看来, 论据还包括advice，即论据包括证明者提供给电路的所有值。

举个例子, 假设我们想证明原像 $x$ 经过哈希函数 $H$ 得到摘要 $y$ ：

原像 $x$ 是隐私输入
摘要 $y$ 是公开输入
关系为 ${(x, y) : H (x) = y}$ .
对于特定的公共输入 $Y$ , 论述是 ${(x) : H (x) = Y}$ .
advice是实现哈希函数的电路中的所有中间值。论据是 $x$ 和advice。

非交互式证明允许证明者对特定的论述和论据生成一个证明。证明可以使验证者相信存在论据使论述成立。这种证明不能错误地说服验证者的安全特性称为可靠性。

非交互式知识证明（NARK）进一步使验证者确信证明者知道使论述成立的论据。这个安全属性称为知识可靠性，它暗示了可靠性。

在实践中，对于密码协议来说，知识可靠性比可靠性更有用：如果我们对在某个协议中Alice是否持有密钥感兴趣，我们需要Alice证明她知道密钥，而不仅仅是密钥存在。

知识的可靠性是通过一个提取器来证明。提取器精确观察证明生成过程，能计算出论据。

如果证明是可塑的，这个性质有点微妙。也就是说，有些证明系统，在不知道论据的情况下，在现有证明的基础上修改生成新的证明。使用了可塑证明系统的协议需要考虑这一点。

即使没有可塑性, 证明也很可能回放。举个例子，在我们的例子中，我们不希望Alice能够提交别人生成的证明，证明她知道密钥。

如果一个证明没有论据相关信息(除了论据信息存在和证明者知道这些信息外)，我们说这样的证明系统是零知识的。

如果证明系统能生成简短的证明 - 相对电路大小多项式对数大小的话，我们说，证明是简洁的。一个简洁的NARK叫做 snark(简洁的非交互式证明 - Succinct Non-Interactive Argument of Knowledge)。

根据这个定义, 一个SNARK不需要关于电路大小的多项式对数级验证时间。有些论文使用术语有效性（efficient）来描述具有这种性质的SNARK，但我们将避免使用这个术语，因为它对于支持聚合或递归验证的SNARK来说，语义是模糊的，我们稍后会讲。

zk-SNARK 叫做零知识SNARK。

PLONK化算术化

halo2采用的算术化来自于 PLONK，或者更准确地说，来自它的扩展UltraPLONK，支持自定义门和查找表。我们称之为PLONK化（ PLONKish）。

PLONK化电路是用矩形矩阵定义的。矩阵的行，列，单元格 和传统矩阵叫法意义一致。

PLONK化电路依赖配置（configuation）：

一个有限域 $F$ ，其中单元格的值(给定论述和论据)是 $F$ 的元素。
矩阵中列的个数是固定的。列可能是fixed、advice或者instance。Fixed列在电路中是固定的；advice列是论据信息；instance列通常用作公开输入（技术上讲, 它们可以是证明者和验证者之间共享的任何元素）。
一些列参与相等约束。
多项式阶的范围。
一系列多项式约束。这些多项式每一行在 $F$ 上的取值为零。多项式约束中的变量可以是给定列当前行中的单元格，也可以是给定列中与这行相关的行（比如模 $n$ )。每个多项式的最高阶由多项式阶的范围限定。
一系列的查找表论据，定义了查找表的输入和查找表相关的列。

PLONK化电路还定义:

矩阵的行数为 $n$ 。 $n$ 必须对应于 $F^{\times}$ 的乘法子群的大小；通常是2的幂次。
一系列相等约束，指定两个给定单元格必须具有相等的值。
固定列中每行的固定值。

根据电路，我们可以生成电路证明和验证操作所需要的证明密钥 和验证密钥。

请注意，我们指定了列的顺序、多项式约束、查找表论据和相等约束，这些并不影响电路的含义。但这些使得证明和验证密钥的确定性的生成过程变得更加容易。

通常，配置将定义多项式约束，这些约束由定义在fixed列中的选择子关闭和开启。例如，一个约束 $q_{i} \cdot p (...) = 0$ 可以通过在第i行设置 $q_{i} = 0$ 来关闭。在这种情况下，我们通常将多个选择子控制的一组约束，称一个门（gate）。通常标准门支持一些通用操作，比如域上的乘法和除法， 自定义门支持更专门的操作。

芯片

先前的章节介绍了一个低层的电路描述。在实现电路时，我们通常会使用上层的API，这些API具有以可审核、高效、模块化和表达性强等特征。

在这些API中使用的一些术语和概念来源于集成电路的设计和布局。关于集成电路，通过组合特定功能的芯片更容易获得上述诸多特征。

举个例子，我们可能有实现特定密码学原语的芯片，比如说哈希或者加密函数，或者像标量乘法或配对算法。

在UPA中，在实现了域上乘法和加法的标准门上可以构造任何电路逻辑。然而，使用自定义门电路可以获得更高的效率。

采用我们的API，我们可以设计使用自定义门的芯片。这些API是一个抽象层，将上层的芯片设计和低层复杂的自定义门隔离开。

尽管有时我们需要 "身兼两职"，既要写上层的电路，又要写上层电路所需要的芯片。这样做的目的是使代码更易于理解、审计和维护/重用。通过这种方法也排除了一些潜在的实现的错误。

UPA中的门通过相对引用 引用单元格，比如给定列中的某个单元格，或者某个选择子的相对偏移的单元格。当偏移非零时，我们称之为 偏移引用 (也就是说，偏移引用是相对引用的子集)。

和绝对引用 相反，相对引用在相等约束中使用，能指向任意单元格。

偏移引用的原因是减少配置中列的数量，从而减少证明的大小。如果没有偏移引用，则需要单独列来保存自定义门引用的每个值，并我们需要使用相等约束，约束电路的其他单元格和该列中的单元格。使用偏移引用，我们不仅需要更少的列，我们也不需要为所有这些列增加约束，从而提高电路效率。

R1CS(对于一些读者来说，可能这个算术化更熟悉，如果不是，也不要担心)电路包含了“海量的门”，这些门并没有语义上的顺序。另一方面， UPA电路中的采用偏移引用，行顺序非常重要。我们做一些简单的假定和定义一些抽象概念来控制电路结构复杂性: 小工具，内部实现电路构造，在小工具之间我们不采用相对引用或者特殊的门布局。

我们把一个电路分到多个区域，每一个区域都包含着一个不相交的单元格子集，相对引用只在区域内使用。芯片实现的部分职责是确保进行偏移引用的门被放置在区域的正确位置。

给定一些区域和他们的形状，我们将使用一个单独的布局器 来决定每个区域放置在哪里(即起始行在哪里)。目前实现了一个通用的布局器，如果有需要，你可以实现你自己的布局器。

布局器一般会在矩阵中留空一些区域，因为在给定的行中，电路没有使用所有可用的列。它们尽最大可能由不需要偏移引用的门填充。这些门可以被放置在一行中的任何位置。

芯片也定义了查找表。如果同一个查找表论据中定义了多个表，可以使用标记列指明每行使用了哪一个表。也可以把多个表组合成一张表(受多项式阶范围限制)进行查找。

芯片组合

为了将几个芯片的功能结合起来，我们将它们组合成树状。最高层次的芯片定义fixed列、advice列和instance列，然后指定它们在较低层次芯片上的分布。

在最简单的情况下，每个底层芯片将使用与其他芯片不相同的列。然而，在芯片之间共享列也是允许的。优化advice列的数量尤其重要，因为这会影响证明大小。

芯片组合的结果(可能在优化之后)是一个UPA配置。电路实现将在芯片上参数化，并且可以通过上层芯片使用支持的底层芯片的功能。

我们希望不那么专业的用户通常能够找到支持他们需要的操作的现有芯片，或者只需要对现有芯片做微小修改。专家级用户可以自己实现电路优化。 ECC 以善于优化电路而闻名 🙂。

小工具

当实现一个电路时，我们可以直接使用我们选择的芯片的功能。但通常，我们会通过小工具 使用他们。这种间接方式是很有用的，因为由于效率和UPA的限制，芯片接口通常依赖于底层的实现细节。小工具接口可以提供更加方便和稳定的API，这些API可以从繁琐的细节中抽象出来。

举个例子，比如哈希函数SHA-256。支持SHA-256的芯片接口可能是依赖于哈希函数的内部设计，例如message schedule和压缩函数的隔离。相应的小工具接口可以提供更加方便和熟悉的 update/finalize API，也能够在不需要芯片支持的情况下支持hash函数的部分功能，比如说补齐功能。这有点像CPU上的加速指令并不是直接访问，而是通过软件库调用。

小工具同时能为上层电路提供一个模块化，可重用的抽象，类似于在像 libsnark，bellman这样的库中的使用。不光函数进行抽象，类型也进行抽象，例如特定大小的椭圆曲线上的点或整数。

用户手册

你来这里可能是因为你想写电路？太好了！

本节将指导你通过halo2创建电路的过程。

开发者工具

Rust库 halo2 中包含了数个工具，为你设计并开发自己的电路提供帮助。

Mock prover

halo2::dev::MockProver 是一个用来调试电路用的工具。除此之外，它还可以用来在单元测试中快速检验电路正确性。

隐私输入和公开输入的计算过程，是和生成一个真正的证明一样。但是，MockProver::run 函数只会生成一个对象，它直接检验电路中每一条约束是否满足。如果电路中某个约束不满足，那这个对象就会返回关于该约束的一个细粒度的错误信息。

消耗估算器

程序 cost-model 可以根据电路设计所采用的不同参数，估算出，验证一个证明的时长，以及对应的证明大小。

用法: cargo run --example cost-model -- [OPTIONS] k

Positional arguments:
  k                       2^k 总行数的上界.

Optional arguments:
  -h, --help              打印此用法信息.
  -a, --advice R[,R..]    An advice column with the given rotations. May be repeated.
  -i, --instance R[,R..]  An instance column with the given rotations. May be repeated.
  -f, --fixed R[,R..]     A fixed column with the given rotations. May be repeated.
  -g, --gate-degree D     Maximum degree of the custom gates.
  -l, --lookup N,I,T      A lookup over N columns with max input degree I and max table degree T. May be repeated.
  -p, --permutation N     A permutation over N columns. May be repeated.

比如，估算有三个 advice列，一个 fixed 列（有相对引用）和门的最高次数为4的电路:

cargo run --example cost-model -- -a 0,1 -a 0 -a 0,-1,1 -f 0 -g 4 11
    Finished dev [unoptimized + debuginfo] target(s) in 0.03s
     Running `target/debug/examples/cost-model -a 0,1 -a 0 -a 0,-1,1 -f 0 -g 4 11`
Circuit {
    k: 11,
    max_deg: 4,
    advice_columns: 3,
    lookups: 0,
    permutations: [],
    column_queries: 7,
    point_sets: 3,
    estimator: Estimator,
}
Proof size: 1440 bytes
Verification: at least 81.689ms

一个简单例子

我们以一个简单电路为例，给大家介绍 halo2 所提供的应用编程接口，以及如何使用它们。示例电路有一个公开输入 $c$ , 可证明知道两个隐私输入 $a$ 和 $b$ ，使得下式成立。 $a^{2} \cdot b^{2} = c$

查找表

在正常的程序中，你可以采用内存换CPU的方法来提高性能，即为计算的某一部分预计算出查找表，并存在内存中。我们也可以在 halo2 电路中实现类似的策略。

我们可以将一个查找表理解成变量之间存在一个关系，该关系可以表示成一个表。假设在我们的约束系统中仅有一个查找证明，那么查找表的总大小的上限为电路规模，即每一个表项占用一行，每一个表查找占用一行。

实用的小方法

本节包含几个写 halo2 电路时能用帮上忙的小策略。

小范围（or 区间?）约束

在 R1CS 电路中，经常用到的一种约束就是布尔约束: $b * (1 - b) = 0$ . 这种约束限定了 $b = 0$ 或者 $b = 1$ .

类似地，在 halo2 电路中，你也可以限定一个 单元格 在一个小集合内取值。比如，若要限定 $a$ 的值落在区间 $[0..5]$ ，你可以构建如下形式的门:

$a \cdot (1 - a) \cdot (2 - a) \cdot (3 - a) \cdot (4 - a) = 0$

又比如，要限定 $c$ 等于 7 或 13，你可以用如下的门:

$(7 - c) \cdot (13 - c) = 0$

基本原理就是，我们构建一个多项式约束，使得其根集合与我们想限定的取值集合相同。 R1CS 电路支持的多项式次数最大为2（因为所有的约束方程必须具有 $a * b = c$ 的形式）。而 halo2 电路支持任意次数的多项式，只不过更高次数会带来更大的代价。

需要注意，这些根不必是常量；比如，可以用 $(a - x) \cdot (a - y) \cdot (a - z) = 0$ 来限定 $a$ 等于集合 ${x, y, z}$ 中的任一元素。而且，

小集合插值

我们可以用 Lagrange 插值法构造一个多项式约束，证明 $f (X) = Y$ ，其中 $X \in {x_{i}}, Y \in {y_{i}}$ 。

例如，假设我们想把两个比特的值通过插零扩展为“Spread”4个比特值。我们首先预计算出每一个点上的取值：

$00 \to 0000 01 \to 0001 10 \to 0100 11 \to 0101 ⟹ ⟹ ⟹ ⟹ 0 \to 0 1 \to 1 2 \to 4 3 \to 5$

然后，为每一个点计算出对应的 Lagrange 基多项式(basis polynomial)，其中 $k$ 是点的个数（在我们的例子中， $k = 4$ ）：

$l_{j} (X) = 0 \leq m < k, m \neq = j \prod \frac{x - x _{m}}{x _{j} - x _{m}},$

回顾一下，Lagrange 基多项式 $l_{j} (X)$ 满足如下性质：若 $X = x_{j}$ , 则 $l_{j} (X) = 1$ ；否则， $X = x_{i} (i \neq = j)$ ，一定有 $l_{j} (X) = 0$ 。

回到我们刚才举的例子，我们就计算出了4个 Lagrange 基多项式：

$l_{0} (X) l_{1} (X) l_{2} (X) l_{3} (X) = = = = \frac{( X - 3 ) ( X - 2 ) ( X - 1 )}{( - 3 ) ( - 2 ) ( - 1 )} \frac{( X - 3 ) ( X - 2 ) ( X )}{( - 2 ) ( - 1 ) ( 1 )} \frac{( X - 3 ) ( X - 1 ) ( X )}{( - 1 ) ( 1 ) ( 2 )} \frac{( X - 2 ) ( X - 1 ) ( X )}{( 1 ) ( 2 ) ( 3 )}$

那么，我们就得到了如下所示的多项式约束：

$⟹ f (0) \cdot l_{0} (X) 0 \cdot l_{0} (X) + + f (1) \cdot l_{1} (X) 1 \cdot l_{1} (X) + + f (2) \cdot l_{2} (X) 4 \cdot l_{2} (X) + + f (3) \cdot l_{3} (X) 5 \cdot l_{3} (X) - - f (X) f (X) = = 0 0.$

设计

语言方面的注解

我们用和其他语言稍微不同的语言描述PLONK的相关概念。总体上：

我们把PLONK相关的证明看成表，每一列对应一根“线”。表中元素我们称为“单元格”。
我们喜欢说“选择子多项式”和“固定列”。当一个在固定列的单元格用来控制一个行中的约束是否开启的时候，我们称“选择子约束“。
其他多项式，我们称为”advice列“。这些列由证明者提供。
我们用”规则“字眼表述一个”门“，比如 $A (X) \cdot q_{A} (X) + B (X) \cdot q_{B} (X) + A (X) \cdot B (X) \cdot q_{M} (X) + C (X) \cdot q_{C} (X) = 0.$
- TODO: Check how consistent we are with this, and update the code and docs to match.

证明系统

Halo2的证明系统可以分解成五个部分：

对电路中的主要模块多项式承诺：
- 单元格的赋值
- 查找表证明中的置换和乘积
- 相等约束的置换
电路中和零相关的部分，构造消退证明：
- 标准的和自定义门
- 查找表规则
- 相等约束规则
在所有需要的点上，获取上述多项式的取值：
- 所有自定义门上的偏移信息
- 消退证明的各个部分
构建多点打开证明，检查所有的多项式取值和相应的承诺是否一致
采用内积证明为多点打开证明生成证明

这些部分依次在本章节讲解。

举个例子

为了辅助我们的解释，我们时不时地用如下的约束系统：

四个advice列 $a, b, c, d$
一个fixed列 $f$
三个自定义门：
- $a \cdot b \cdot c_{- 1} - d = 0$
- $f_{- 1} \cdot c = 0$
- $f \cdot d \cdot a = 0$

太长不读

Halo2协议的简洁描述整理在如下的表格中。这部分会被Halo2的论文和安全性证明替代，目前作为后面子章节的总结：

证明者		验证者
	$\leftarrow$	$t (X) = (X^{n} - 1)$
	$\leftarrow$	$F = [F_{0}, F_{1}, \dots, F_{m - 1}]$
$A = [A_{0}, A_{1}, \dots, A_{m - 1}]$	$\to$
	$\leftarrow$	$θ$
$L = [(A_{0}^{'}, S_{0}^{'}), \dots, (A_{m - 1}^{'}, S_{m - 1}^{'})]$	$\to$
	$\leftarrow$	$β, γ$
$Z_{P} = [Z_{P, 0}, Z_{P, 1}, \dots]$	$\to$
$Z_{L} = [Z_{L, 0}, Z_{L, 1}, \dots]$	$\to$
	$\leftarrow$	$y$
$h (X) = \frac{gate _{0} ( X ) + \dots + y ^{i} \cdot gate _{i} ( X )}{t ( X )}$
$h (X) = h_{0} (X) + \dots + X^{n (d - 1)} h_{d - 1} (X)$
$H = [H_{0}, H_{1}, \dots, H_{d - 1}]$	$\to$
	$\leftarrow$	$x$
$e v a l s = [A_{0} (x), \dots, H_{d - 1} (x)]$	$\to$
		检查 $h (x)$
	$\leftarrow$	$x_{1}, x_{2}$
构造 $h^{'} (X)$ 多点打开多项式
$U = Commit (h^{'} (X))$	$\to$
	$\leftarrow$	$x_{3}$
$q_{evals} = [Q_{0} (x_{3}), Q_{1} (x_{3}), \dots]$	$\to$
$u_{eval} = U (x_{3})$	$\to$
	$\leftarrow$	$x_{4}$

Then the prover and verifier:

Construct $finalPoly (X)$ as a linear combination of $Q$ and $U$ using powers of $x_{4}$ ;
Construct $finalPolyEval$ as the equivalent linear combination of $q_{evals}$ and $u_{eval}$ ; and
Perform $InnerProduct (finalPoly (X), x_{3}, finalPolyEval) .$

TODO: Write up protocol components that provide zero-knowledge.

查找表（Lookup）论据

halo2实现任意集合的数据查找，相比Plookup简单。

语言（Language）说明

除了语言的一般说明:

$Z (X)$ 多项式（针对置换论据的大乘积论据多项式）称为“置换乘积”列。

技术描述

为了解释简单，我们先描述一个忽略零知识证明的论据描述的简单版本。

查找可以表示成 $2^{k}$ 行表（编号从0开始）的“子集”。 $A$ 和 $S$ 列分别是“子集”和“全集”。

“子集”论据保证 $A$ 列中的元素都在 $S$ 列中。这意味着， $A$ 列中多个位置的元素对应着 $S$ 列中同一位置的元素，并且 $S$ 列中的某些元素可以不出现在 $A$ 列的任何位置上。

$S$ 列并不一定是固定的。也就是说，我们可以支持固定元素的查找或者动态查找（后者采用advice列）。
$A$ 和 $S$ 列中的元素可以重复。如果 $A$ 和 $S$ 列中的元素个数不正好是 $2^{k}$ 的话，可以用 $A$ 和 $S$ 列中任意元素进行扩展。
- 或者我们可以增加一个“查找选择子”，控制在 $A$ 列中的哪些元素参与查找。采用这种方法可以替换下述公式中的 $A (X)$ 。如果一个元素不需要查找，用 $S_{0}$ 替换 $A$ 。

假设 $ℓ_{i}$ 是拉格朗日基多项式，在 $i$ 行多项式为1，其他行为0。

从 $A$ 和 $S$ 列的置换开始。假设它们的置换分别为 $A^{'}$ 和 $S^{'}$ 列。我们可以通过置换论据 $Z$ 约束它们之间的置换关系： $Z (ω X) \cdot (A^{'} (X) + β) \cdot (S^{'} (X) + γ) - Z (X) \cdot (A (X) + β) \cdot (S (X) + γ) = 0 ℓ_{0} (X) \cdot (1 - Z (X)) = 0$

也就是说，在除以0不发生的情况下，对所有的 $i \in [0, 2^{k})$ 满足： $Z_{i + 1} = Z_{i} \cdot \frac{( A _{i} + β ) \cdot ( S _{i} + γ )}{( A _{i}^{'} + β ) \cdot ( S _{i}^{'} + γ )} Z_{2^{k}} = Z_{0} = 1.$

这个版本的论据证明 $A^{'}$ 和 $S^{'}$ 列是 $A$ 和 $S$ 列的置换，但是并没有指明具体的置换关系。 $β$ 和 $γ$ 是独立因子。采用这两个因子，可以将两个置换论据组合在一起，不需要担心相互干扰。

这些置换的目的是让证明者提供的 $A^{'}$ 和 $S^{'}$ 列满足一定的条件：

$A^{'}$ 列中相同的元素位置靠在一起。这可以通过某种排序算法实现。重要的是，相同的元素在 $A^{'}$ 列中挨在一起，并且 $A^{'}$ 列是 $A$ 列的置换。
$A^{'}$ 列中挨在一起的相同元素的第一个元素存在于 $S^{'}$ 列中。除去这个限制外， $S^{'}$ 列是 $S$ 列的一个任意置换。

现在我们通过如下的规则限制 $A_{i}^{'} = S_{i}^{'}$ 或者 $A_{i}^{'} = A_{i - 1}^{'}$ ： $(A^{'} (X) - S^{'} (X)) \cdot (A^{'} (X) - A^{'} (ω^{- 1} X)) = 0$

除此之外，我们通过如下的规则限制 $A_{0}^{'} = S_{0}^{'}$ ：

$ℓ_{0} (X) \cdot (A^{'} (X) - S^{'} (X)) = 0$

由于第二个规则，第一个规则中的( $A^{'} (X) - A^{'} (ω^{- 1} X)$ 这一项在 $0$ 行没有效果，尽管 $ω^{- 1} X$ “能反转”。

这些约束规则一起有效的限制了 $A^{'}$ 列（也就是 $A$ 列）中的每个元素都存在于 $S^{'}$ 列中（也就是 $S$ 列）。

加入零知识

为了在PLONK算法为基础的证明系统中加入零知识，我们需要在每列的最后加入 $t$ 个随机元素。这些需要对查找论据进行调整，因为这些随机的元素并不满足之前的约束。

我们限制有效的行数为 $u = 2^{k} - t - 1$ 。我们增加两个选择子：

$q_{blind}$ 在最后 $t$ 行设置为1，其他行设置为0；
$q_{last}$ 只在 $u$ 行设置为1，其他行设置为0 （也就是说，它设置在有效行和盲化行的交界处）。

我们将之前的规则限制在有效行上：

$(1 - (q_{last} (X) + q_{blind} (X))) \cdot (Z (ω X) \cdot (A^{'} (X) + β) \cdot (S^{'} (X) + γ) - Z (X) \cdot (A (X) + β) \cdot (S (X) + γ)) = 0 (1 - (q_{last} (X) + q_{blind} (X))) \cdot (A^{'} (X) - S^{'} (X)) \cdot (A^{'} (X) - A^{'} (ω^{- 1} X)) = 0$

在 $0$ 行的限制规则保持不变：

$ℓ_{0} (X) \cdot (A^{'} (X) - S^{'} (X)) = 0 ℓ_{0} (X) \cdot (1 - Z (X)) = 0$

因为我们不能再依赖在 $ω^{2^{k}}$ 点的环绕保证 $Z$ 为1，相反我们要约束 $Z (ω^{u})$ 为1。这里有个难点：如果在任意 $i \in [0, u)$ ， $A_{i} + β$ 或者 $S_{i} + γ$ 为0的话，置换论据可能不成立。虽然这种情况在 $β$ 和 $γ$ 的取值下概率可以忽略，但是，对于完美零知识和完备性来说是个障碍（攻击者可以构造这样的情况）。

确保完美的完备性和零知识，我们允许 $Z (ω^{u})$ 为0或者1: $q_{last} (X) \cdot (Z (X)^{2} - Z (X)) = 0$

如果 $A_{i} + β$ 和 $S_{i} + γ$ 在某些 $i$ 上为0，我们可以在 $i < j \leq u$ 范围设置 $Z_{j} = 0$ ，满足上述的约束。

注意的是，挑战因子 $β$ 和 $γ$ 是在 $A$ 和 $S$ 列（以及 $A^{'}$ 和 $S^{'}$ 列）承诺后生成的，证明者无法伪造 $A_{i} + β$ 和 $S_{i} + γ$ 为0的情况。因为这种情况的概率可以忽略，可行性不受影响。

开销

原始 $A$ 列和固定 $S$ 列。
置换函数 $Z$ 。
两个置换 $A^{'}$ 和 $S^{'}$ 列。
约束方程（门）的阶都不高。

泛化

halo2的查找论据实现实现了上述技术的泛化：

$A$ 和 $S$ 列扩展为多列，这些列之间通过随机挑战因子进行组合。 $A^{'}$ 和 $S^{'}$ 列还是单列。
- $S$ 列的各列承诺可以提前计算。这样在挑战因子确定后，利用Pedersen承诺的同态性质，可以很简便的组合成 $S$ 列的承诺。
- $A$ 列可以是采用相对引用的任意多项式表达式。这些可以替换到约束规则中去，受制于最大的阶。这样可能可以省去一个或者多个advice列。
这样的话，查找论据可以通过子集论据实现任意长度的关系。也就是说，为了约束 $R (x, y, ...)$ ，将 $R$ 看成是 $S$ （通过前面的方法），并且检查关系成立 $(x, y, ...) \in R$ 。
- 如果 $R$ 代表一个函数，同样需要检查输入是否在域中。这是我们想要的，经常会省去额外的范围检查。
我们可以在同一个电路中支持多表。利用标示列将多个表组合成一张表。
- 标示列可以和之前提到的“查找选择子”合并。

这些泛化和Plookup论文的第4和第5节中的技术类似。和Plookup的区别是子集论据。相关技术，子集论据也适用；举个例子，Plookup论文的第5节中的优化范围检查技术同样可以用在子集论据中。

置换证明

假设halo2电路中的门要“本地”操作（就是在当前行或者事先定义好的相关行进行操作）这通常需要将某个任意单元格的值拷贝到当前行，以便在门中使用。该工作就由一条相等约束来描述，该约束就强制要求源和目的单元格中包含相同的值。

我们通过构造一个代表这些约束的置换来实现这些相等约束，进而在最终的证明中包含一个置换证明来确保约束成立。

构造置换

目标

我们希望构造这样一个置换，在同一个相等约束下的这些变量自己形成一个轮换。举例来说，假设我们有一个定义了如下相等约束的电路：

$a \equiv b$
$a \equiv c$
$d \equiv e$

由上可得相等约束集合 ${a, b, c}$ 和 ${d, e}$ 。于是我们构造了如下的置换：

$(a b c) (d e)$

该置换就定义了一个由 $[a, b, c, d, e]$ 到 $[b, c, a, e, d]$ 的一个映射。

算法

我们需要持续记录这些轮换的集合，实际上也就是一些不相交集合的集合. 我们已经知道针对该问题的一种高效的数据结构；为了简单起见，我们选择了一个虽然不是渐进最优，但是确是很容易实现的方法。

我们采取如下方法来表示当前的状态：

数组 $mapping$ 来表示置换本身；
一个辅助的数组 $aux$ 用来记录每个轮换中代表元素；
还有一个数组 $sizes$ 用来记录每个轮换的元素个数。

我们在一个给定的轮换 $C$ 中选取一个不变的值 $c$ ，对每一个 $C$ 中的元素 $x$ ， $aux (x)$ 都得到相同的值，即 $c \in C$ 。有了这个值，对于给定的两个给定的元素 $x$ 和 $y$ ，我们可以通过检查 $aux (x) = aux (y)$ 是否成立，来快速判断它们是否在同一个轮换中。 $sizes (aux (x))$ 也代表了包含 $x$ 的轮换的大小。（只有 $sizes (aux (x))$ 是有保证的，而不是 $sizes (x)$ 。）

本算法是以表示一个单位置换开始：对所有 $x$ ，我们令 $mapping (x) = x$ ， $aux (x) = x$ ，和 $sizes (x) = 1$ 。

按如下步骤增加一条相等约束 $left \equiv right$ ：

检查 $left$ 和 $right$ 是否已经在同一个轮换中了，也就是检查 $aux (left) = aux (right)$ 是否成立。如果是此种情况，那么不许做任何事情。
否则， $left$ 和 $right$ 就一定分属不同的轮换。令 $left$ 是相对大的轮换，而 $right$ 则为相对小的那个，如果 $sizes (aux (left)) < sizes (aux (right))$ ，那我们就交换一下使其满足需求。
令 $sizes (aux (left)) := sizes (aux (left)) + sizes (aux (right))$ 。
下一步对right（较小的）轮换中每一个元素 $x$ 令 $aux (x) := aux (left)$ 。
通过交换 $mapping (left)$ 和 $mapping (right)$ 中的元素（的轮换），将较小的轮换接入到较大的轮换中去。

举个例子，假设两个不相交的轮换 $(A B C D)$ 和 $(E F G H)$ ：

A +---> B
^       +
|       |
+       v
D <---+ C       E +---> F
                ^       +
                |       |
                +       v
                H <---+ G

在增加约束 $B \equiv E$ 后，上文算法将得出如下的轮换：

A +---> B +-------------+
^                       |
|                       |
+                       v
D <---+ C <---+ E       F
                ^       +
                |       |
                +       v
                H <---+ G

Broken alternatives

如果不检查 $left$ 和 $right$ 是否在同一个轮换中，那么我们可能就会丢掉某些相等约束。举个例子，如果我们有如下的约束:

$a \equiv b$
$b \equiv c$
$c \equiv d$
$b \equiv d$

如果在处理一条新的相等约束时仅仅只执行上述算法中的第五步，那么我们得到的最终结果将是 $(a b) (c d)$ ，而不是正确的结果 $(a b c d)$ 。

证明说明

我们需要检查 $m$ 列中所有单元格的置换，该 $m$ 列分别由其拉格朗日基的多项式 $v_{0}, \dots, v_{m - 1}$ 来表示。

我们用 $F^{\times}$ 中不同的元素来标记 $m$ 列中 每个单元格。

假设我们有基于这些标记的一个置换： $σ (column : i, row : j) = (column : i^{'}, row : j^{'}) .$ 其中这些轮换就对应了相等约束。

我们考虑对 ${(label, value)}$ 的集合，当且仅当对每对的label都按照 $σ$ 进行置换后，得到了与原集合相同的集合，才能证明集合中的每个对是相等的。

因为所有的标记都是不同的，最终就可以用一个代表相等约束的集合来代替多个代表相等关系的集合，而这进一步使我们可以用乘积证明来检查置换的正确性。

令 $ω$ 是 $2^{k}$ 次单位根， $δ$ 是 $T$ 次单位根，满足 $T \cdot 2^{S} + 1 = p$ ，其中 $T$ 是奇数并且 $k \leq S$ 。在置换证明中，我们用 $δ^{i} \cdot ω^{j} \in F^{\times}$ 作为第 $j$ 行、第 $i$ 列的单元格的标记。

$σ$ 由 $m$ 个多项式组成的一个向量，其中对每一项 $s_{i} (X)$ 满足 $s_{i} (ω^{j}) = δ^{i^{'}} \cdot ω^{j^{'}}$ 。

注意，可以用一个包含 $m$ 个多项式的向量来标识一个置换，其中每一项 $ID_{i} (ω^{j})$ 都满足 $ID_{i} (ω^{j}) = δ^{i} \cdot ω^{j}$ 。

我们用一个挑战 $β$ 将每一个 $(label, value)$ 对压缩成 $value + β \cdot label$ 。与在查找表的积证明中所做的一样，我们也使用一个挑战 $γ$ 来盲化我们每一个积项。

假定有一个在 $m$ 列，即： $v_{0}, \dots, v_{m - 1}$ 上的一个置换，表示为 $s_{0}, \dots, s_{m - 1}$ ，我们想要确保如下等式成立： $i = 0 \prod m - 1 j = 0 \prod n - 1 (\frac{v _{i} ( ω ^{j} ) + β \cdot δ ^{i} \cdot ω ^{j} + γ}{v _{i} ( ω ^{j} ) + β \cdot s _{i} ( ω ^{j} ) + γ}) = 1$

上式中 $v_{i} (ω^{j}) + β \cdot δ^{i} \cdot ω^{j}$ 代表置换前的对 $(label, v a l u e)$ ， $v_{i} (ω^{j}) + β \cdot s_{i} (ω^{j})$ 则代表其置换的对 $(σ (label), v a l u e)$ 。

令多项式 $Z_{P}$ 满足 $Z_{P} (ω^{0}) = Z_{P} (ω^{n}) = 1$ 并且对 $0 \leq j < n$ : $Z_{P} (ω^{j + 1}) = h = 0 \prod j i = 0 \prod m - 1 \frac{v _{i} ( ω ^{h} ) + β \cdot δ ^{i} \cdot ω ^{h} + γ}{v _{i} ( ω ^{h} ) + β \cdot s _{i} ( ω ^{h} ) + γ} = Z_{P} (ω^{j}) i = 0 \prod m - 1 \frac{v _{i} ( ω ^{j} ) + β \cdot δ ^{i} \cdot ω ^{j} + γ}{v _{i} ( ω ^{j} ) + β \cdot s _{i} ( ω ^{j} ) + γ}$

接下来只需要强制满足如下的规则对证明来说就足够了： $Z_{P} (ω X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot s_{i} (X) + γ) - Z_{P} (X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot δ^{i} \cdot X + γ) = 0 ℓ_{0} \cdot (1 - Z_{P} (X)) = 0$

注意，上述第一条规则对其处理的多项式的假设是，其约束的列数 $m$ 要符合PLONK设置的次数界限。接下来，将在下文阐述如何处理列数超出边界的情况。

用于表示一个置换的经过优化的简单方法是由Vitalik Buterin为 PLONK 提出的，并且在 PLONK 论文的第8节有阐述注意在实践中，对 Halo 2 所用的曲线来说，其有相等约束的列数通常不会超过其边界 $T$ ，在此条件下，所有的 $δ^{i}$ 就都是不同二次平方非剩余。

零知识调整

与查找表证明类似，我们也需要调整上述的证明来处理每列的最后 $t$ 行，因为它们被填入了随机值（也就是这些行不满足上面的积证明）。

我们限定有用的行数是 $u = 2^{k} - t - 1$ ，同时我们增加两个选择子，这两个选择子与查找表证明中定义的是一样的：

$q_{blind}$ 只在最后 $t$ 行设为 $1$ ，而在其他地方则为 $0$ 。
$q_{last}$ 则旨在 $u$ 行设为 $1$ ，其他行则为 $0$ （这就是说，它只在有用行和盲化行之间的那一行起作用）。

我们将在那些有用的行真正应用上文的积规则：

$(1 - (q_{last} (X) + q_{blind} (X))) \cdot$ $(Z_{P} (ω X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot s_{i} (X) + γ) - Z_{P} (X) \cdot i = 0 \prod m - 1 (v_{i} (X) + β \cdot δ^{i} \cdot X + γ)) = 0$

在 $0$ 行的的规则仍然是相同的，即：

$ℓ_{0} (X) \cdot (1 - Z_{P} (X)) = 0$

由于我们再也不能依赖全景来确保每一个积证明 $Z_{P}$ 都在 $ω^{2^{k}}$ 等于 $1$ ，那么我们实际上应该约束 $Z (ω^{u}) = 1$ 。这也就带来了在查找证明中同样的问题。于是，我们也就需要允许 $Z (ω^{u})$ 等于 $0$ 或者 $1$ ：

$q_{last} (X) \cdot (Z_{P} (X)^{2} - Z_{P} (X)) = 0$

通过这种方式，我们就获得了良好的完备性和零知识性。

支持大列

在halo2的实现中，实际上并不限制相等约束可以占用的行数。因此，就必须解决上述方法中可能导致的积规则中的多项式可能超出PLONK设置的次数边界的问题。一个简单办法是直接升高次数边界，但是在没有其他规则需要用到如此大的次数的情况下，这一办法是低效的。

另一种方法，我们把积证明分割成 $b$ 个，每个都是其中 $m$ 列的证明，即： $Z_{P, 0}, \dots Z_{P, b - 1},$ 同时增加一条规则，就是每个积（证明）最终的积被设置成下一个积（证明）的起始值。

这就是说，对于 $0 \leq a < b$ 我们有：

$(1 - (q_{last} (X) + q_{blind} (X))) \cdot$ $(Z_{P, a} (ω X) \cdot i = am \prod (a + 1) m - 1 (v_{i} (X) + β \cdot s_{i} (X) + γ) - Z_{P} (X) \cdot i = am \prod (a + 1) m - 1 (v_{i} (X) + β \cdot δ^{i} \cdot X + γ))$ $= 0$

简单起见，上述规则假设总列数是 $m$ 的整数倍；如果不是，那么我们就让最后一个列集合少于 $m$ 个项。

对第一个列集合，我们有

$ℓ_{0} \cdot (1 - Z_{P, 0} (X)) = 0$

而对于剩余的每一个列集合 $0 < a < b$ ，我们将使用如下规则将 $Z_{P, a - 1} (ω^{u})$ 拷贝到下一个列集合的最开始， $Z_{P, a} (ω^{0})$ ：

$ℓ_{0} \cdot (Z_{P, a} (X) - Z_{P, a - 1} (ω^{u} X)) = 0$

与起始算法相同，对最后一个列集合，我们约束 $Z_{P, b - 1} (ω^{u})$ 为 $0$ 或者 $1$ 。

$q_{last} (X) \cdot (Z_{P, b - 1} (X)^{2} - Z_{P, b - 1} (X)) = 0$

与上文的证明相同，这也提供了同样的完备性和零知识性。

电路承诺

对电路赋值进行承诺

在生成证明之前，证明者已经有了一张能够满足约束条件的单元格赋值表。赋值表有 $n = 2^{k}$ 行；其列被划分为三类： advice, instance, fixed 。我们定义 $F_{i, j}$ 表示第 $j$ 行的第 $i$ 个fixed列，不失一般性，定义 $A_{i, j}$ 为第 $j$ 行的第 $i$ 个advice或instance列。

我们区分开fixed 列的原因是它们是由验证者提供的，而advice 列和instance 列是由证明者提供的。实际上，证明者和验证者都需要计算instance 列和fixed 列的承诺，只有对advice 列的承诺在证明中。

为对表中的各个赋值进行承诺，我们为每列构造一个次数为 $n - 1$ 的拉格朗日多项式，其取值域大小为 $n$ （令 $ω$ 为其 $n$ 次单位根）。

令 $a_{i} (ω^{j}) = A_{i, j}$ ，通过插值得到 $a_{i} (X)$ 多项式
令 $f_{i} (ω^{j}) = F_{i, j}$ ，通过插值得到 $f_{i} (X)$ 多项式

然后对每列的多项式创建一个盲化承诺（blinding commitment）：

$A = [Commit (a_{0} (X)), \dots, Commit (a_{i} (X))]$ $F = [Commit (f_{0} (X)), \dots, Commit (f_{i} (X))]$

其中 $F$ 在生成密钥的时候被创建，使用 $1$ 作为盲因子。 $A$ 由证明者计算并发送给验证者。

对查找表置换进行承诺

验证者随机选择一个 $θ$ ，用于确保同一个查找表内不同的列线性无关。接着证明者对每个查找表的置换进行承诺

给定一个查找表，其输入列多项式为 $[A_{0} (X), \dots, A_{m - 1} (X)]$ ，其真值表列的多项式为 $[S_{0} (X), \dots, S_{m - 1} (X)]$ , 证明者构造两个压缩后的多项式

$A_{compressed} (X) = θ^{m - 1} A_{0} (X) + θ^{m - 2} A_{1} (X) + \dots + θ A_{m - 2} (X) + A_{m - 1} (X)$ $S_{compressed} (X) = θ^{m - 1} S_{0} (X) + θ^{m - 2} S_{1} (X) + \dots + θ S_{m - 2} (X) + S_{m - 1} (X)$
之后证明者对 $A_{compressed} (X)$ 和 $S_{compressed} (X)$ 依照查找表证明的规则进行排列，得到 $A^{'} (X)$ 和 $S^{'} (X)$ .

证明者为所有的查找表创建盲化承诺：

$L = [(Commit (A^{'} (X))), Commit (S^{'} (X))), \dots]$

并发送给验证者。

当验证者接收到 $A$ ， $F$ ，和 $L$ 后，随机采样 $β$ 和 $γ$ 作为挑战，用于后续的置换和查找表证明验证。（随机采样是可以重复利用的，因为证明是相互独立的）。

对相等约束置换进行承诺

令 $c$ 为相等约束所涉及的列数。

令 $m$ 为能容纳的最大列数， $m$ 不能超过 PLONK 配置中多项式的次数上限。

令 $u$ 为置换证明章节中定义的可以“使用”的行数。

令 $b = ceiling (c / m) .$

证明者构造一个长度为 $b u$ 的向量 $P$ ，对于每个列集合，有， $0 \leq a < b$ ，对于每一行有 $0 \leq j < u$

$P_{a u + j} = i = am \prod m i n (c, (a + 1) m) - 1 \frac{v _{i} ( ω ^{j} ) + β \cdot δ ^{i} \cdot ω ^{j} + γ}{v _{i} ( ω ^{j} ) + β \cdot s _{i} ( ω ^{j} ) + γ} .$

证明者计算 $P$ 的”滚动乘积“, 从 $1$ 开始，并且多项式向量 $Z_{P, 0.. b - 1}$ 每个都有拉格朗日基表示，基于滚动乘积的长度为 $u$ 的切片，如置换证明章节中所描述的。

最后证明者为每个 $Z_{P, a}$ 多项式创建盲化承诺：

$Z_{P} = [Commit (Z_{P, 0} (X)), \dots, Commit (Z_{P, b - 1} (X))]$

并发送给验证者。

对查找表置换进行承诺

除了需要对单独的相等约束进行承诺外，对每一个查找表，证明者也需要对置换进行承诺。

证明者构造一个向量 $P$ :

$P_{j} = \frac{( A _{compressed} ( ω ^{j} ) + β ) ( S _{compressed} ( ω ^{j} ) + γ )}{( A ^{'} ( ω ^{j} ) + β ) ( S ^{'} ( ω ^{j} ) + γ )}$

证明者构造多项式 $Z_{L}$ ，其拉格朗日基表示为 $P$ 多项式的“滚动乘积”，从 $Z_{L} (1) = 1$ 开始。

$β$ 和 $γ$ 用于在组合 $A^{'} (X)$ 和 $S^{'} (X)$ 的同时保持这两者无关。 $β$ 和 $γ$ 是验证者在证明者创建多项式 $A$ ， $F$ ，和 $L$ 之后采样的（因此承诺了在查找表列中用到的单元格的值，以及每个查找表的 $A^{'} (X)$ 和 $S^{'} (X)$ ）。

如之前一样，证明者对每个 $Z_{L}$ 多项式都创建一个盲化承诺并发送给验证者：

$Z_{L} = [Commit (Z_{L} (X)), \dots]$

消退证明

在电路的所有赋值都已经承诺之后，证明者现在需要证明各种各样的电路关系都是满足的：

自定义门，用多项式 $gate_{i} (X)$ 表示。
查找证明的约束
相等约束置换的约束

从电路的列的角度看，每个关系都由一个 $d$ 次多项式表示（在所有关系中最大的的次数。假设对应一列的赋值多项式的次数是 $n - 1$ ，那么从 $X$ 的角度看，关系多项式的次数就是 $d (n - 1)$

在我们的例子中，门多项式的次数是 $3 n - 3$ 。

$gate_{0} (X) = a_{0} (X) \cdot a_{1} (X) \cdot a_{2} (X ω^{- 1}) - a_{3} (X)$

$gate_{1} (X) = f_{0} (X ω^{- 1}) \cdot a_{2} (X)$

$gate_{2} (X) = f_{0} (X) \cdot a_{3} (X) \cdot a_{0} (X)$

如果描述关系的多项式为 $0$ ，我们就说关系是满足的。一种表示这种此种约束的方法，就是将每个多项式关系都除以消除多项式 $t (X) = (X^{n} - 1)$ ，消除多项式是以 $ω^{i}$ 作为根的最低次数的单项式。如果关系多项式能被 $t (X)$ 整除，那么在域上这个关系多项式就等于 $0$ 。

这种朴素的构造方式的弊端在于，其需要对每个关系都需要有一个多项式承诺。相反，我们可以对电路中所有关系同时进行承诺：验证者取一个 $y$ ，然后证明者构造一个商多项式，

$h (X) = \frac{gate _{0} ( X ) + y \cdot gate _{1} ( X ) + \dots + y ^{i} \cdot gate _{i} ( X ) + \dots}{t ( X )},$

其中分子是电路关系的随机的线性组合（证明者需要在验证者给出 $y$ 之前先承诺单元格赋值）。

如果分子多项式（以 $X$ 为自变量）能够被 $t (X)$ 整除，那么所有的关系都满足的概率就是非常高的
相反地，哪怕只有一个关系是不满足的，那么在点 $x$ 处， $h (x) \cdot t (x)$ 与分子多项式在该处的值就几乎不可能相等。也就是说，在此种情况下，分子多项式不能整除 $t (X)$ 。

承诺 $h (X)$

$h (X)$ 的次数是 $(d - 1) n - d$ （因为分母 $t (X)$ 的次数是 $n$ ）。但是我们在 Halo 2 中的多项式承诺机制仅仅支持次数 $n - 1$ 次的多项式的承诺（这是因为除了关系多项式的承诺，协议其他部分所需承诺的多项式的最大次数就是 $n - 1$ ）。为了不给多项式承诺机制增加额外的成本，验证者就需要把 $h (X)$ 分割成多个，每个只有 $n - 1$ 次的多项式的和，

$h_{0} (X) + X^{n} h_{1} (X) + \dots + X^{n (d - 1)} h_{d - 1} (X),$

并对每一部分产生一个具有隐藏承诺。

$H = [Commit (h_{0} (X)), Commit (h_{1} (X)), \dots, Commit (h_{d - 1} (X))] .$

多项式求值

到这一步，电路所有的特点都已经被承诺了。现在，验证者想要验证一下证明者提供的承诺是不是正确的 $h (X)$ 。于是，验证者选取一个 $x$ ，证明者需要提供其所声称的所有多项式在 $x$ 处的值，包括电路中使用的所有相对偏移和 $h (X)$ 的值。

在我们的例子中，这就是：

$a_{0} (x)$

$a_{1} (x)$

$a_{2} (x)$ , $a_{2} (x ω^{- 1})$

$a_{3} (x)$

$f_{0} (x)$ , $f_{0} (x ω^{- 1})$

$h_{0} (x)$ , ..., $h_{d - 1} (x)$

验证者现在要验证这些值是不是满足 $h (X)$ 的形式：

$\frac{gate _{0} ( x ) + \dots + y ^{i} \cdot gate _{i} ( x ) + \dots}{t ( x )} = h_{0} (x) + \dots + x^{n (d - 1)} h_{d - 1} (x)$

如果这些值确实满足的门约束，那么验证者接下来就需要验证这些值本身与最初的电路承诺以及承诺 $H$ 是否一致。为了高效实现此一目的，我们使用了多点打开证明。

多点打开证明

假设 $A, B, C, D$ 分别是多项式 $a (X), b (X), c (X), d (X)$ 的多项式承诺值。比如说，我们要打开多项式 $a, b$ 在点 $x$ 的取值，与此同时，打开 $c, d$ 在两个点 $x, ω x$ 的取值。（此处的 $ω$ 是乘法子群的本原单位根）。

比较容易想到的方法是，为每一个点构造一个多项式 $Q$ （每一个打开点就会对应电路中的一个相对转动（rotation））。但这不是一个有效的方法；比如， $c (X)$ 会出现在多个多项式中。

相反地，我们按打开点的集合，将多项式承诺值组织在一起： ${x} A B {x, ω x} C D$

对于每一个组，我们将这些多项式合并成一个多项式集合，然后构造一个多项式 $Q$ ，并在该点打开所有相对偏移。

优化步骤

多点打开的优化算法的输入为：

验证者采样出一个随机点 $x$ ，我们将计算多项式 $a (X), b (X), c (X), d (X)$ 在该点的值；
证明者计算出那些我们想要的多项式点值： $a (x), b (x), c (x), d (x), c (ω x), d (ω x)$ 。

这些数据是 vanishing证明的输出。

多点打开优化算法的步骤如下：

采样一个随机点 $x_{1}$ ，用来让 $a, b, c, d$ 线性无关；
对于每一个点集，将对应的多项式集合聚合成一个多项式，得到新的多项式集合 q_polys。

$q_{1} (X) q_{2} (X) = = a (X) c (X) + + x_{1} b (X) x_{1} d (X)$ 同理对于每一个点集，也计算出新的多项式点值集合 q_eval_sets。

            [
                [a(x) + x_1 b(x)],
                [
                    c(x) + x_1 d(x),
                    c(\omega x) + x_1 d(\omega x)
                ]
            ]

根据q_eval_sets，构造插值多项式集合 r_polys: $r_{1} (X) s . t . r_{2} (X) s . t . r_{1} (x) r_{2} (x) r_{2} (ω x) = = = a (x) + x_{1} b (x) c (x) + x_{1} d (x) c (ω x) + x_{1} d (ω x)$
构造 f_polys 来检查 q_polys 的正确性：

$f_{1} (X) f_{2} (X) = = \frac{q _{1} ( X ) - r _{1} ( X )}{X - x} \frac{q _{2} ( X ) - r _{2} ( X )}{( X - x ) ( X - ω x )}$

如果 $q_{1} (x) = r_{1} (x)$ ，则 $f_{1} (X)$ 应当是一个多项式；如果 $q_{2} (x) = r_{2} (x)$ 并且 $q_{2} (ω x) = r_{2} (ω x)$ ，则 $f_{2} (X)$ 应当是一个多项式。
采样一个随机数 $x_{2}$ ，用来让 f_polys 线性无关。
构造 $f (X) = f_{1} (X) + x_{2} f_{2} (X)$ 。
采样一个随机数 $x_{3}$ ，并计算 $f (X)$ 在该点的取值： $f (x_{3}) = = f_{1} (x_{3}) \frac{q _{1} ( x _{3} ) - r _{1} ( x _{3} )}{x _{3} - x} + + x_{2} f_{2} (x_{3}) x_{2} \frac{q _{2} ( x _{3} ) - r _{2} ( x _{3} )}{( x _{3} - x ) ( x _{3} - ω x )}$
采样一个随机数 $x_{4}$ ，用来让 $f (X)$ 和 q_polys 线性无关。
构造 final_poly多项式 \textrm{final_poly}(X) = f(X) + x_4 q_1(X) +x_4^2 q_2(X) final_poly多项式就是传入内积证明的多项式。

内积证明

Halo2 使用的多项式承诺算法，其多项式承诺打开证明是基于内积证明的。

待办事项：解释 Halo2 所使用的IPA变体。

它非常类似于论文BCMS20附录A.2节的 $PC_{DL} . Open$ 。详细细节参见此处比较。

与其他工作的比较

BCMS20 附录 A.2

BCMS20 附录 A.2 提出了一种与 BGH19 中类似的多项式承诺机制（BCMS20 是对原始的 Halo 论文的推广）。 Halo 2 这些工作的基础上，因此其自身也就使用了一种与 BCMS20 中很类似的多项式承诺机制。

下表提供了一个BCMS20和Halo 2中具有相同含义的变量的对照表（Halo 2的术语是建立在Halo论文基础上的）：

BCMS20	Halo 2
$S$	$H$
$H$	$U$
$C$	`msm` or $P$
$α$	$ι$
$ξ_{0}$	$z$
$ξ_{i}$	`challenge_i`
$H^{'}$	$[z] U$
$\overset{p}{ˉ}$	`s_poly`
$\overset{ω}{ˉ}$	`s_poly_blind`
$\overset{ˉ}{C}$	`s_poly_commitment`
$h (X)$	$g (X)$
$ω^{'}$	`blind` / $ξ$
$c$	$a$
$c$	$a = a_{0}$
$v^{'}$	$ab$

Halo 2的多项式承诺机制与BCMS20附录A.2的机制有两点不同：

$Open$ 算法的第8步将在内积证明之前计算一个“非隐藏”的承诺 $C^{'}$ 。该承诺与 $C$ 拥有相同的打开之，只不过它是仅是一个对一个随便写的多项式的承诺。协议的剩余部分则是没有盲化的。与之相比，Halo 2中我们会盲化我们产生的所有的承诺（即便对于instance和fixed多项式也是如此，尽管对fixed多项式的盲化因子是1），这使得协议更容易推理(???)。该方法的结果是，验证者在协议的最后要去处理累计的盲化因子，所以在协议一开始就推导一个（与第一种方法）等价的 $C^{'}$ 就没有必要了。
- $C^{'}$ is also an input to the random oracle for $ξ_{0}$ ; in Halo 2 we utilize a transcript that has already committed to the equivalent components of $C^{'}$ prior to sampling $z$ .（？？？）
The $PC_{DL} . SuccinctCheck$ subroutine (Figure 2 of BCMS20) computes the initial group element $C_{0}$ by adding $[v] H^{'} = [v ϵ] H$ , which requires two scalar multiplications. Instead, we subtract $[v] G_{0}$ from the original commitment $P$ , so that we're effectively opening the polynomial at the point to the value zero. The computation $[v] G_{0}$ is more efficient in the context of recursion because $G_{0}$ is a fixed base (so we can use lookup tables).
$PC_{DL} . SuccinctCheck$ 子程序 (BCMS20的图2所示) 会通过增加 $[v] H^{'} = [v ϵ] H$ 来产生最开始的群元素 $C_{0}$ ，而这需要两次scalar乘。与之不同，我们的方法是用最初的承诺 $P$ 减去 $[v] G_{0}$ ，如此我们就可以在0处很高效地打开多项式。而 $[v] G_{0}$ 的计算在递归证明的情况下具有更高效率，这是因为 $G_{0}$ 是一个固定的基（所以我们可以用查表(lookup tables)方法）。

Halo2 协议

预备工作

我们定义 $λ$ 作为一个安全参数，且除明确标注外，文档中所有的算法和敌手(adversaries)都是在该安全参数下运行时间为多项式的概率型图灵机。我们使用 $negl (λ)$ 表示一个在 $λ$ 下可忽略的函数。

密码学群

我们令 $G$ 表示一个阶为素数 $p$ 的循环群，群的单位元记作 $O$ 。将 $G$ 中元素的标量表示为阶为 $p$ 的标量域 $F$ 中的元素。群元素用大写字母表示，标量则用小写字母或希腊字母表示。群元素或标量所组成的向量用粗体字表示，例如 $a \in F^{n}$ 以及 $G \in G^{n}$ 。群上的运算记作加法，群元素 $G$ 和标量 $a$ 的乘法记作 $[a] G$ 。

我们会经常使用 $⟨ a, b ⟩$ 表示长度相等的， $F^{n}$ 上 $a, b$ 两个向量的内积。同样地也用这种表示法描述群元素的一个线性组合 $⟨ a, G ⟩$ ，其中 $a \in F^{n}, G \in G^{n}$ ，该内积的计算是通过群中的标量乘法和加法实现的。

我们使用 $0^{n}$ 描述域 $F$ 中长度为 $n$ 的，只包含零元的向量。

离散对数关系问题 攻击者优势（advantage）的度量（metric）为： $Adv_{G, n}^{dl - rel} (A, λ) = Pr [G_{G, n}^{dl - rel} (A, λ)]$ 其定义为赢得以下游戏的概率。 $\underline{Game G_{G, n}^{dl - rel} (A, λ) :} G \leftarrow G_{λ}^{n} a \leftarrow A (G) Return (⟨ a, G ⟩ = O \land a \neq = 0^{n})$ 即：如果攻击者能够给出一个 $a$ 使得 $⟨ a, G ⟩ = O \land a \neq = 0^{n}$ ，则它赢得这次游戏

给定一个长度为 $n$ 的向量 $G \in G^{n}$ ， 离散对数关系问题 指寻找一个 $g \in F^{n}$ 使得 $g \neq = 0^{n}$ 且 $⟨ g, G ⟩ = O$ （我们称为 非平凡 离散对数关系）。该问题的难度和群中的离散对数问题紧密相连（[JT20] 引理3）。我们使用上面定义的游戏 $G_{G, n}^{dl - rel}$ 描述该问题。

交互式证明

交互式证明是一个算法三元组 $IP = (Setup, P, V)$ 。 $Setup (1^{λ})$ 算法用于生成某些被 $pp$ 引用的 公开参数 。证明者 $P$ 和验证者 $V$ 是能够访问 $pp$ 的交互式机器，我们用 $⟨ P (x), V (y)⟩$ 表示在 $P$ 和 $V$ 之间执行的两方协议，其输入为 $x$ 和 $y$ 。协议的输出是一个 transcript ，包含了所有 $P$ 和 $V$ 之间交互的消息。在协议的最后，验证者输出一个决策位，表示它是否接受证明者的证明。

关于知识的零知识证明

知识证明是一种交互式证明，指证明者试图向验证者证明它知道一个 witness $w$ 使得 $(x, w) \in R$ ，其中 $x$ 为一个 statement ， $R$ 为多项式时间内可决定的 relation。我们假设证明者的计算能力是有限的，在这个假设下研究知识证明。

我们将从四个角度分析知识证明的安全程度：

完备性: 如果证明者有一个有效的 witness ，它是否总是能够向验证者证明这一点？完备性做出了一些假设，理解完备性将有助于理解其他的安全性
可靠性: 一个试图作弊的证明者能否向验证者成功证明一个错误的 statement ? 我们将发生这种情况的可能性称为 可靠性错误 。
知识可靠性: 当验证者确信 statement 是正确的时候，证明者是否实际拥有（“知道”）一个有效的 witness ？我们将验证者确信，但证明者并不拥有有效 witness 的可能性称为 知识错误 。
零知识性: 除了 statement 的正确性和证明者实际拥有该有效 witness 之外，验证者是否还获得了额外的知识？

首先，我们考察完备性的一个简单定义：

完美完备性： 一个交互式证明 $(Setup, P, V)$ 是 完美完备的 当对于所有的多项式时间内可决定的关系 $R$ 和所有非均匀的多项式时间攻击者 $A$ 都有 $P r [(x, w) \in / R \lor ⟨ P (pp, x, w), V (pp, x)⟩ accepts ∣ ∣ pp \leftarrow Setup (1^{λ}) (x, w) \leftarrow A (pp)] = 1$

可靠性

我们分析过程的复杂性在于：我们的协议被描述为交互式证明，但实际上通过 Fiat-Shamir 变换，它被实现为 非交互式 的。

Public coin： 我们将那种验证者发送的每个消息都来自新的随机性采样的交互式证明称为 public coin 式。

Fiat-Shamir 变换： 将验证者发送的消息替换为密码学上健壮的哈希函数以产生足够的随机性，即可将交互的 public coin 式证明在 随机预言机模型 中转换为 非交互式 的。

这种形式变换意味着在实际的协议中，一个试图作弊的证明者可以通过对 transcript 进行分叉，修改某个时刻自己应该发送给验证者的消息，从而轻易的达成状态“回卷”。因此，研究我们的协议在 Fiat-Shamir 变换之后的安全性是非常重要的。幸运的是我们可以依照 Ghoshal 和 Tessaro 提出的框架 ([GT20]) 来进行分析。

我们通过 状态恢复可靠性 的概念分析我们的协议。在该模型中，（作弊的）证明者可以“回卷”验证者至之前任意的状态。如果证明者能通过这种方式使验证者接受证明，则是对我们协议一次成功的攻击。

状态恢复可靠性： 令 $IP$ 是一个交互式的 argument ，包含有 $r >= r (λ)$ 个验证者挑战。令第 $i$ th 个挑战是从 $Ch_{i}$ 中采样获得，则一个具备状态恢复能力的证明者 $P$ 的优势度量（advantage metric）为 $Adv_{IP}^{SRS} (P, λ) = Pr [SRS_{P}^{IP} (λ)]$ 通过以下攻防游戏定义： $\underline{Game SRS_{IP}^{P} (λ) :} win \leftarrow false; tr \leftarrow ϵ pp \leftarrow IP . Setup (1^{λ}) (x, st_{P}) \leftarrow P_{λ} (pp) Run P_{λ}^{O_{SRS}} (st_{P}) Return win \underline{Oracle O_{SRS} (τ = (a_{1}, c_{1}, ..., a_{i - 1}, c_{i - 1}), a_{i}) :} If τ \in tr then If i \leq r then c_{i} \leftarrow Ch_{i}; tr \leftarrow tr ∣∣ (τ, a_{i}, c_{i}); Return c_{i} Else if i = r + 1 then d \leftarrow IP . V (pp, x, (τ, a_{i})); tr \leftarrow (τ, a_{i}) If d = 1 then win \leftarrow true Return d Return ⊥$

如 [GT20] （定理1）所示，状态恢复可靠性和 Fiat-Shamir 变换后的可靠性紧密相关。

知识可靠性

我们将会展示我们的协议满足一种强知识可靠性，即 witness extended emulation 。这意味着，对于任意成功证明的证明者算法，都存在一个高效的仿真器，通过状态“回卷”和提供新的随机数，仿真器可以从算法中提取出 witness 。

但我们必须调整一下我们对于 witness extended emulation 的定义，以描述一个事实，即我们协议中的证明者都是有状态恢复能力的证明者，能够“回卷”验证者。另外，为避免在提取 witness 时回卷证明者，我们在 代数群模型 中研究我们的协议。

代数群模型（Algebraic Group Model, AGM） 若攻击者 $P_{alg}$ 在每次输出群元素 $X$ 的时候同时也输出 $X$ 在 $F^{n}$ 中的一个表示 $x \in F^{n}$ ，使得 $⟨ x, G ⟩ = X$ ， $G \in G^{n}$ 是 $P_{alg}$ 到目前为止所知的群元素的向量，则我们说 $P_{alg}$ 是 代数的 。

我们用 $[X]$ 描述一个以代数方法表示的群元素 $X$ ，定义 $[X]_{i}^{G}$ 为 $X$ 用 $G_{i}$ 表示的系数，即 $X = i = 0 \sum n - 1 [[X]_{i}^{G}] G_{i}$

代数群模型允许我们对某些协议进行所谓的“在线”提取：提取者可以从某个被接受的 transcript 的表示方式中提取出 witness 。

状态恢复的 witness extended emulation 令 $IP$ 是一个关系 $R$ 的交互式证明，包含 $r = r (λ)$ 个挑战。我们对所有非均匀的代数证明者 $P_{alg}$ ，提取者 $E$ ，以及拥有无限计算能力的辨别者 $D$ ，其优势度量 $Adv_{IP, R}^{sr-wee} (P_{alg}, D, E, λ) = Pr [WEE-real_{IP, R}^{P, D} (λ)] - Pr [WEE-ideal_{IP, R}^{E, P, D} (λ)]$ 定义为赢得如下游戏的概率： $\underline{Game WEE-real_{IP, R}^{P_{alg}, D} (λ) :} tr \leftarrow ϵ pp \leftarrow IP . Setup (1^{λ}) (x, st_{P}) \leftarrow P_{alg} (pp) Run P_{alg}^{O_{real}} (st_{P}) b \leftarrow D (tr) Return b = 1 \underline{Game WEE-ideal_{IP, R}^{E, P_{alg}, D} (λ) :} tr \leftarrow ϵ pp \leftarrow IP . Setup (1^{λ}) (x, st_{P}) \leftarrow P_{alg} (pp) st_{E} \leftarrow (1^{λ}, pp, x) Run P_{alg}^{O_{ideal}} (st_{P}) w \leftarrow E (st_{E}, ⊥) b \leftarrow D (tr) Return (b = 1) \land (Acc (tr) ⟹ (x, w) \in R) \underline{Oracle O_{real} (τ = (a_{1}, c_{1}, ..., a_{i - 1}, c_{i - 1}), a_{i}) :} If τ \in tr then If i \leq r then c_{i} \leftarrow Ch_{i}; tr \leftarrow tr ∣∣ (τ, a_{i}, c_{i}); Return c_{i} Else if i = r + 1 then d \leftarrow IP . V (pp, x, (τ, a_{i})); tr \leftarrow (τ, a_{i}) If d = 1 then win \leftarrow true Return d Return ⊥ \underline{Oracle O_{ideal} (τ, a) :} If τ \in tr then (r, st_{E}) \leftarrow E (st_{E}, [(τ, a)]) tr \leftarrow tr ∣∣ (τ, a, r) Return r Return ⊥$

零知识性

若验证者在协议的交互中除了知道存在一个有效的 $w$ 之外没有获得任何其他额外的知识，则我们说该关于知识的证明是 零知识性 的。

完美特殊诚实验证者零知识性 一个交互式的 public coin 证明 $(Setup, P, V)$ 拥有 完美特殊诚实验证者零知识性 (PSHVZK) 仅当对于所有多项式时间可决定的关系 $R$ 和所有 $(x, w) \in R$ 及所有非均匀多项式时间的攻击者 $A_{1}$ ， $A_{2}$ ，存在一个概率性的多项式时间模拟器 $S$ ，使得 $= P r ⎣ ⎡ A_{1} (σ, x, tr) = 1 ∣ ∣ pp \leftarrow Setup (1^{λ}); (x, w, ρ) \leftarrow A_{2} (pp); t r \leftarrow ⟨ P (pp, x, w), V (pp, x, ρ)⟩ ⎦ ⎤ P r ⎣ ⎡ A_{1} (σ, x, tr) = 1 ∣ ∣ pp \leftarrow Setup (1^{λ}); (x, w, ρ) \leftarrow A_{2} (pp); t r \leftarrow S (pp, x, ρ) ⎦ ⎤$ $ρ$ 表示 verifier 内在的随机性。

在这个零知识性的定义下，验证者预期将会“诚实地”进行交互，并发送只与它的内在随机性相关的挑战。它们不能根据证明者发送的消息改变自己的挑战。我们使用该定义的一种增强形式，要求模拟器输出包含和验证者所发送的相同挑战的 transcript 。

协议

令 $ω \in F$ 是 $n = 2^{k}$ 的单位根，组成一个 domain $D = (ω^{0}, ω^{1}, ..., ω^{n - 1})$ ， $t (X) = X^{n} - 1$ 为该 domain 上的消退多项式。令 $k, n_{g}, n_{a}$ 为正整数。对于关系 $R = ⎩ ⎨ ⎧ ((g (X, C_{0}, C_{1}, ..., C_{n_{a} - 1})); (a_{0} (X), a_{1} (X, C_{0}), ..., a_{n_{a} - 1} (X, C_{0}, C_{1}, ..., C_{n_{a} - 1}))) : g (ω^{i}, C_{0}, C_{1}, ..., C_{n_{a} - 1}) = 0 \forall i \in [0, 2^{k}) ⎭ ⎬ ⎫$

我们提出一种交互式证明 $Halo = (Setup, P, V)$ ，其中 $a_{0}, a_{1}, ..., a_{n_{a} - 1}$ 是关于 $X$ 的阶为 $n - 1$ 的（多变量）多项式， $g$ 是关于 $X$ 的阶为 $n_{g} (n - 1)$ 的多项式。

$Setup (λ)$ 返回 $pp = (G, F, G \in G^{n}, U, W \in G)$ .

对于所有的 $i \in [0, n_{a})$ :

令 $p_{i}$ 为整数 $j$ （模 $n$ ）的完备集，使得 $a_{i} (ω^{j} X, \dots)$ 为 $g (X, \dots)$ 中的成员。
令 $q$ 为一组包含 $p_{i}$ 的不相交的整数集合， $q_{0} = {0}$ .
令 $σ (i) = q_{j}$ ，若 $q_{j} = p_{i}$ .

令 $n_{q}$ 表示集合 $q$ 的大小，不失一般性地，令 $n_{e}$ 表示每个 $p_{i}$ 集合的大小。

在下述的协议中，我们默认每个 $a_{i} (X, \dots)$ 多项式为 $n_{e} + 1$ 个盲因子均为验证者新采样的，且以 domain $D$ 上各点值的形式表示。

$P$ 和 $V$ 进行 $n_{a}$ 轮交互，在第 $j$ 轮中（轮次从0开始）

$P$ 设置 $a_{j}^{'} (X) = a_{j} (X, c_{0}, c_{1}, ..., c_{j - 1})$
$P$ 发送一个隐藏用的承诺 $A_{j} = ⟨ a^{'}, G ⟩ + [\cdot] W$ ，其中 $a^{'}$ 为单变量多项式 $a_{j}^{'} (X)$ 的系数， $\cdot$ 为某个随机且独立采样的盲因子。
$V$ 回应 $P$ 一个挑战 $c_{j}$ .

$P$ 和 $V$ 设置 $g^{'} (X) = g (X, c_{0}, c_{1}, ..., c_{n_{a} - 1})$ .
$P$ 发送一个承诺 $R = ⟨ r, G ⟩ + [\cdot] W$ ，其中 $r \in F^{n}$ 为随机采样的单变量多项式 $r (X)$ 的系数，其度数为 $n - 1$ 。
$P$ 计算单变量多项式 $h (X) = \frac{g ^{'} ( X )}{t ( X )}$ ，其度数为 $n_{g} (n - 1) - n$ .
$P$ 计算度数至多为 $n - 1$ 的多项式 $h_{0} (X), h_{1} (X), ..., h_{n_{g} - 2} (X)$ ，使得 $h (X) = i = 0 \sum n_{g} - 2 X^{ni} h_{i} (X)$ .
$P$ 将所有的承诺 $H_{i} = ⟨ h_{i}, G ⟩ + [\cdot] W$ 发送给 $V$ ，其中 $h_{i} (X)$ 为多项式系数组成的向量。
$V$ 回应一个挑战 $x$ 并计算 $H^{'} = i = 0 \sum n_{g} - 2 [x^{ni}] H_{i}$ .
$P$ 设置 $h^{'} (X) = i = 0 \sum n_{g} - 2 x^{ni} h_{i} (X)$ .
$P$ 发送 $r = r (x)$ 并且对所有的 $i \in [0, n_{a})$ ，发送 $a_{i}$ ，使得对所有的 $j \in [0, n_{e}]$ ，都有 $(a_{i})_{j} = a_{i}^{'} (ω^{(p_{i})_{j}} x)$ 。
对所有的 $i \in [0, n_{a})$ ， $P$ 和 $V$ 设置 $s_{i} (X)$ 为度数最低的单变量多项式，使得对所有的 $j \in [0, n_{e})$ ， $s_{i} (ω^{(p_{i})_{j}} x) = (a_{i})_{j}$ 。
$V$ 发送两个挑战 $x_{1}, x_{2}$ 以回应，并初始化 $Q_{0}, Q_{1}, ..., Q_{n_{q} - 1} = O$ .

从 $i = 0$ 到 $i = n_{a} - 1$ ， $V$ 设置 $Q_{σ (i)} := [x_{1}] Q_{σ (i)} + A_{i}$ .
最后 $V$ 设置 $Q_{0} := [x_{1}^{2}] Q_{i} + [x_{1}] H^{'} + R$ .

$P$ 初始化 $q_{0} (X), q_{1} (X), ..., q_{n_{q} - 1} (X) = 0$ .

从 $i = 0$ 开始到 $i = n_{a} - 1$ ， $P$ 设置 $q_{σ (i)} := x_{1} q_{σ (i)} + a^{'} (X)$ .
最后 $P$ 设置 $q_{0} (X) := x_{1}^{2} q_{0} (X) + x_{1} h^{'} (X) + r (X)$ .

$P$ 和 $V$ 初始化 $r_{0} (X), r_{1} (X), ..., r_{n_{q} - 1} (X) = 0$ .

从 $i = 0$ 开始到 $i = n_{a} - 1$ ， $P$ 和 $V$ 设置 $r_{σ (i)} (X) := x_{1} r_{σ (i)} (X) + s_{i} (X)$ .
最后 $P$ 和 $V$ 设置 $r_{0} := x_{1}^{2} r_{0} + x_{1} h + r$ ， $V$ 使用由 $P$ 提供的 $r$ 和 $a$ 计算 $h = \frac{g ^{'} ( x )}{t ( x )}$

$P$ 发送 $Q^{'} = ⟨ q^{'}, G ⟩ + [\cdot] W$ ，其中 $q^{'}$ 为下列多项式的系数：

$q^{'} (X) = i = 0 \sum n_{q} - 1 x_{2}^{i} ⎝ ⎛ \frac{q _{i} ( X ) - r _{i} ( X )}{j = 0 \prod n _{e} - 1 ( X - ω ^{(q_{i})_{j}} x )} ⎠ ⎞$

$V$ 回以挑战 $x_{3}$ .
$P$ 发送 $u \in F^{n_{q}}$ 使得 $u_{i} = q_{i} (x_{3})$ for all $i \in [0, n_{q})$ .
$V$ 回以挑战 $x_{4}$ .
$P$ 和 $V$ 设置 $P = Q^{'} + x_{4} i = 0 \sum n_{q} - 1 [x_{4}^{i}] Q_{i}$ ， $v =$

$i = 0 \sum n_{q} - 1 ⎝ ⎛ x_{2}^{i} ⎝ ⎛ \frac{u _{i} - r _{i} ( x _{3} )}{j = 0 \prod n _{e} - 1 ( x _{3} - ω ^{(q_{i})_{j}} x )} ⎠ ⎞ ⎠ ⎞ + x_{4} i = 0 \sum n_{q} - 1 x_{4} u_{i}$

$P$ 设置 $p (X) = q^{'} (X) + [x_{4}] i = 0 \sum n_{q} - 1 x_{4}^{i} q_{i} (X)$ .
$P$ 采样一个随机的度数为 $n - 1$ 的多项式 $s (X)$ （其中一个根为 $x_{3}$ ），并发送其承诺 $S = ⟨ s, G ⟩ + [\cdot] W$ ， $s$ 为 $s (X)$ 多项式的系数。
$V$ 回以挑战 $ξ, z$ .
$P$ 和 $V$ 设置 $P^{'} = P - [v] G_{0} + [ξ] S$ .
$P$ 设置 $p^{'} (X) = p (X) - v + ξ s (X)$ .
初始化 $p^{'}$ 作为多项式 $p^{'} (X)$ 的系数，令 $G^{'} = G$ ， $b = (x_{3}^{0}, x_{3}^{1}, ..., x_{3}^{n - 1})$ . $P$ 和 $V$ 将以如下方式交互 $k$ 轮， $j$ 的取值范围从 $j = 0$ 到 $j = k - 1$ ：

$P$ 发送 $L_{j} = ⟨ p^{'}_{hi}, G^{'}_{lo} ⟩ + [z ⟨ p^{'}_{hi}, b_{lo} ⟩] U + [\cdot] W$ and $R_{j} = ⟨ p^{'}_{lo}, G^{'}_{hi} ⟩ + [z ⟨ p^{'}_{lo}, b_{hi} ⟩] U + [\cdot] W$ .
$V$ 回以挑战 $u_{j}$ .
$P$ 和 $V$ 设置 $G^{'} := G^{'}_{lo} + u_{j} G^{'}_{hi}$ 且 $b = b_{lo} + u_{j} b_{hi}$ .
$P$ 设置 $p^{'} := p^{'}_{lo} + u_{j}^{- 1} p^{'}_{hi}$ .

$P$ 发送 $c = p^{'}_{0}$ 以及盲因子 $f$ .
若 $\sum_{j = 0}^{k - 1} [u_{j}^{- 1}] L_{j} + P^{'} + \sum_{j = 0}^{k - 1} [u_{j}] R_{j} = [c] G^{'}_{0} + [c b_{0} z] U + [f] W$ ，则 $V$ 接受证明。

Implementation

Halo2 证明

透明字节流形式的证明

在 bellman 这样的证明系统实现中，存在一个 Proof 结构体，用以封装证明数据，由 prover 返回且可以被传递给 verifier 。

但是 halo2 的实现中不存在类似的数据结构，理由如下：

Proof 结构体需要包含椭圆曲线点和各标量的向量（以及向量的向量）。这会使证明的序列化/反序列化变得复杂，因为向量的长度实际是由电路的配置决定的。但我们并不希望在证明中将向量的长度进行编码，因为电路在运行时是固定大小的，证明也是。
很容易误将一些不属于协议 transcript 的数据放到 Proof 结构体里，这对 proving system 的实现会是一个潜在的风险。
我们需要同时创建多个 PLONK 证明，而这些证明虽然是给同一个电路的，但它们共享许多不同的子结构体。

因此， halo2 将证明数据视作透明的字节流。这些字节流通过 transcript 创建和消费：

TranscriptWrite trait 代表某些我们可以在证明期写入的数据
TranscriptRead trait 代表某些我们可以在验证期读取的数据

重要的是， TranscriptWrite 的实现需要满足同时向某个 std::io::Write 缓冲写入的能力，这点对于 TranscriptRead 和 std::io::Read 也是一样。

另外，将证明作为透明字节流对待能让验证过程关注优化反序列化，在进行点的压缩时这一开销是不能忽视的。

证明的编码

在曲线 $E (F_{p})$ 上的 Halo2 证明被编码为一些点和标量的字节流：

点 $P \in E (F_{p})$ ) 用于表示多项式的承诺
标量 $s \in F_{q}$ ) 用于表示多项式在某个点的取值，以及盲因子等

对于 Pallas 和 Vesta 两条曲线来说，点和标量都用32字节进行编码，因此最后的证明总是32字节的整数倍。

halo2 包支持同时证明一个电路的多个 instance ，这样可以共享一些常用的证明组件和协议逻辑。

我们使用如下的电路常量以描述证明的编码：

$k$ - 电路的大小（ $2^{k}$ 行）
$A$ - advice 列的数量
$F$ - fixed 列的数量
$I$ - instance 列的数量
$L$ - lookup argument 的数量
$P$ - permutation argument 的数量
$Col_{P}$ - 在 permutation argument $P$ 中用到的列的数量
$D$ - 商数多项式的最大度数
$Q_{A}$ - advice column 的询问数
$Q_{F}$ - fixed column 的询问数
$Q_{I}$ - instance column 的询问数
$M$ - 可以同时证明的电路 instance 数量

因为证明的编码是直接根据 transcript 进行的，我们可以将其按 Halo 2 协议划分成几个部分：

PLONK 承诺 :
- $A$ 个点（重复 $M$ 次）
- $2 L$ 个点（重复 $M$ 次）
- $P$ 个点（重复 $M$ 次）
- $L$ 个点（重复 $M$ 次）
Vanishing argument ：
- $D - 1$ 个点.
- $Q_{I}$ 个标量（重复 $M$ 次）
- $Q_{A}$ 个标量（重复 $M$ 次）
- $Q_{F}$ 个标量
- $D - 1$ 个标量
PLONK 求值：
- $(2 + Col_{P}) \times P$ 个标量（重复 $M$ 次）
- $5 L$ 个标量（重复 $M$ 次）
多点打开证明：
- 1 个点.
- 在证明中的每个点集对应 1 个标量
多项式承诺方案：
- $1 + 2 k$ 个点.
- $2$ 个标量.

域

halo2 中使用的 Pasta曲线是两条在有限域上均有阶为 $2^{S}$ 的大乘法子群的曲线。这意味着我们可以将有限域的阶写为 $p - 1 \equiv 2^{S} \cdot T$ ，其中 $T$ 为奇数。对于 Pallas 和 Vesta 曲线，我们都有 $S = 32$ 。

Sarkar 平方根算法（基于查表的变式）

在 halo2 中，我们使用 Sarkar2020 论文中的技术计算平方根。该算法的思想是，我们可以将计算平方根的任务在每个乘法子群中进行拆分。

假设我们想要求 $u$ 模某个 Pasta 素数阶 $p$ 的平方根，（ $u$ 是 $Z_{p}^{\times}$ 上的一个非零完全平方数），我们可以定义一个 $2^{S}$ 阶的单位根 $g = z^{T}$ ，（ $z$ 是 $Z_{p}^{\times}$ 中的非平方数），并计算如下辅助表格：

$g t ab = ⎣ ⎡ g^{0} (g^{2^{8}})^{0} (g^{2^{16}})^{0} (g^{2^{24}})^{0} g^{1} (g^{2^{8}})^{1} (g^{2^{16}})^{1} (g^{2^{24}})^{1} ... ... ... ... g^{2^{8} - 1} (g^{2^{8}})^{2^{8} - 1} (g^{2^{16}})^{2^{8} - 1} (g^{2^{24}})^{2^{8} - 1} ⎦ ⎤$

$in v t ab = [(g^{- 2^{24}})^{0} (g^{- 2^{24}})^{1} ... (g^{- 2^{24}})^{2^{8} - 1}]$

令 $v = u^{(T - 1) /2}$ 。我们可以定义 $x = uv \cdot v = u^{T}$ 作为 $2^{S}$ 阶乘法子群上的一个元素。

令 $x_{3} = x, x_{2} = x_{3}^{2^{8}}, x_{1} = x_{2}^{2^{8}}, x_{0} = x_{1}^{2^{8}} .$

当 i = 0, 1 时

使用 $in v t ab$ 表，我们查找 $t_{0}$ 使得 $x_{0} = (g^{- 2^{24}})^{t_{0}} ⟹ x_{0} \cdot g^{t_{0} \cdot 2^{24}} = 1.$

定义 $α_{1} = x_{1} \cdot (g^{2^{16}})^{t_{0}} .$

当 i = 2 时

查找 $t_{1}$ 使得 $α_{1} = (g^{- 2^{24}})^{t_{1}} ⟹ x_{1} \cdot (g^{2^{16}})^{t_{0}} = (g^{- 2^{24}})^{t_{1}} ⟹ x_{1} \cdot g^{(t_{0} + 2^{8} \cdot t_{1}) \cdot 2^{16}} = 1.$

定义 $α_{2} = x_{2} \cdot (g^{2^{8}})^{t_{0} + 2^{8} \cdot t_{1}} .$

当 i = 3 时

查找 $t_{2}$ 使得

$α_{2} = (g^{- 2^{24}})^{t_{2}} ⟹ x_{2} \cdot (g^{2^{8}})^{t_{0} + 2^{8} \cdot t_{1}} = (g^{- 2^{24}})^{t_{2}} ⟹ x_{2} \cdot g^{(t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2}) \cdot 2^{8}} = 1.$

定义 $α_{3} = x_{3} \cdot g^{t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2}} .$

最终结果

查找 $t_{3}$ 使得

$α_{3} = (g^{- 2^{24}})^{t_{3}} ⟹ x_{3} \cdot g^{t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2}} = (g^{- 2^{24}})^{t_{3}} ⟹ x_{3} \cdot g^{t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2} + 2^{24} \cdot t_{3}} = 1.$

令 $t = t_{0} + 2^{8} \cdot t_{1} + 2^{16} \cdot t_{2} + 2^{24} \cdot t_{3}$ .

我们写成

$x_{3} \cdot g^{t} = 1 ⟹ ⟹ ⟹ ⟹ x_{3} u v^{2} uv uv \cdot g^{t /2} = = = = g^{- t} g^{- t} v^{- 1} \cdot g^{- t} v^{- 1} \cdot g^{- t /2} .$

将等式右边进行平方，我们得到 $(v^{- 1} g^{- t /2})^{2} = v^{- 2} g^{- t} = u$ 。因此， $u$ 的平方即为 $uv \cdot g^{t /2}$ ；第一个部分在之前已有计算，第二部分可以通过在 $g t ab$ 中查表并计算得到。

组件

在这一章节，我们记录一些 Halo 2 中常用 gadget 和 chip 的设计样例。

注意：这些 gadget 和它们的实现方式都没有经过 review ，不应用于生产环境中。

SHA-256

规范

SHA-256 在 NIST FIPS PUB 180-4 有过规范的定义。

和上述规范定义不同的是，这里我们使用 $⊞$ 表示和 $2^{32}$ 的加模运算，用 $+$ 表示域上的加法。 $\oplus$ 用于表示异或。

组件（gadget）接口

SHA-256 使用8个32位的变量维护一个内部状态。SHA-256算法使用512比特位为一个区块作为输入，在算法内部将这些区块分解成32位的一些 chunk 。因此我们将SHA-256的组件设计为每次使用32位的 chunk 作为其输入。

芯片（chip）指令

SHA-256 gadget 要求芯片具有如下的指令：


#![allow(unused)]
fn main() {
extern crate halo2;
use halo2::plonk::Error;
use std::fmt;

trait Chip: Sized {}
trait Layouter<C: Chip> {}
const BLOCK_SIZE: usize = 16;
const DIGEST_SIZE: usize = 8;

pub trait Sha256Instructions: Chip {
    /// Variable representing the SHA-256 internal state.
    type State: Clone + fmt::Debug;
    /// Variable representing a 32-bit word of the input block to the SHA-256 compression
    /// function.
    type BlockWord: Copy + fmt::Debug;

    /// Places the SHA-256 IV in the circuit, returning the initial state variable.
    fn initialization_vector(layouter: &mut impl Layouter<Self>) -> Result<Self::State, Error>;

    /// Starting from the given initial state, processes a block of input and returns the
    /// final state.
    fn compress(
        layouter: &mut impl Layouter<Self>,
        initial_state: &Self::State,
        input: [Self::BlockWord; BLOCK_SIZE],
    ) -> Result<Self::State, Error>;

    /// Converts the given state into a message digest.
    fn digest(
        layouter: &mut impl Layouter<Self>,
        state: &Self::State,
    ) -> Result<[Self::BlockWord; DIGEST_SIZE], Error>;
}
}

TODO: Add instruction for computing padding.

这些指令的选择考虑到了可复用性和可优化空间的平衡。我们考虑将 compression 函数分割成几个组成部分，然后提供一个实现了不同轮次逻辑的 compression 组件。但是这会使得芯片无法使用同在一个 compression 轮次的不同部分的相对位置引用。使用一条指令实现所有的 compression 轮次非常类似于 Intel 的 SHA 指令集扩展，后者也是提供了一条指令对应多个 compression 轮次。

SHA-256 的 16位表芯片（chip）

该芯片是基于一个16位查找表实现的，电路需要最小 $2^{16}$ 行，适于整合进一些大的电路中。

我们的目标是使约束的度数最大为9。这让我们能够在同一行内处理进位的约束，以及对一些 ${0..7}$ 的小片约束。

Compression 轮次

总共有64个 compression 轮次。每轮使用8个32位数 $A, B, C, D, E, F, G, H$ 作为输入，然后执行如下操作：

$C h (E, F, G) M aj (A, B, C) Σ_{0} (A) Σ_{1} (E) H^{'} E_{n e w} A_{n e w} = = = = = = = = (E \land F) \oplus (\neg E \land G) (A \land B) \oplus (A \land C) \oplus (B \land C) co u n t (A, B, C) \geq 2 (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22) (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25) H + C h (E, F, G) + Σ_{1} (E) + K_{t} + W_{t} re d u c e_{6} (H^{'} + D) re d u c e_{7} (H^{'} + M aj (A, B, C) + Σ_{0} (A))$

$re d u c e_{i}$ 需要处理进位 $0 \leq carry < i$ 的情况。

The SHA-256 compression function

定义 $spread$ 为一个16位的输入-输出映射表。我们不需要另外定义映射表来进行范围约束，可以通过复用 $spread$ 实现该功能。

模加操作

我们注意到模 $2^{32}$ 的加法，和先在有限域上做加法，然后通过掩码取出低32位的操作是等价的。例如，有两个操作数 $a$ 和 $b$ ：

$a ⊞ b = c,$

我们将操作数分解为16位一个的 chunks ：

$(a_{L} : Z_{2^{16}}, a_{H} : Z_{2^{16}}) ⊞ (b_{L} : Z_{2^{16}}, b_{H} : Z_{2^{16}}) = (c_{L} : Z_{2^{16}}, c_{H} : Z_{2^{16}}),$

然后使用有限域的加法重新定义约束：

$carry \cdot 2^{32} + c_{H} \cdot 2^{16} + c_{L} = (a_{H} + b_{H}) \cdot 2^{16} + a_{L} + b_{L} .$

更一般化的，输出可以被分解为任意的比特位组合，而不仅仅是16位一组的 chunks 。注意上述等式已经正确处理了从 $a_{L} + b_{L}$ 的进位。

约束要求每个 chunk 都是在正确范围内的，否则之后的赋值可能会导致有限域上的溢出。

操作数和结果的 chunk 可以通过 $spread$ 约束，具体方法是在表格的某个子集中的 "dense" 列中查找其 chunk 是否存在。我们通过这种方式还能获得输出结果的 "spread" 形式。特别是对于右下角的 $⊞$ 其输出将变为 $A_{n e w}$ ，左下角的 $⊞$ 其输出将变为 $E_{n e w}$ 。我们在后面对 $M aj$ 和 $C h$ 的优化中将用到它。
$carry$ 必须被约束为操作数数量所允许的进位值的一个精确范围。我们通过 small range constraint 来进行约束。

Maj 函数

$M aj$ 可以通过 $4$ 次查找完成: $2 spread * 2$ chunks

正如之前提到的，在第一轮之后我们已经有了了 $A$ 的 spread 形式 $A^{'}$ 。类似的， $B$ 和 $C$ 相当于上一轮次中的 $A$ 和 $B$ ，因此在稳态中我们也已有了它们的 spread 形式 $B^{'}$ 和 $C^{'}$ 。实际上，我们也可以假设我们在第一轮就有了它们的 spread 形式，要么从 fixed IV 或者从上一个块对 $spread$ 的使用中获取。
在域中添加 spread 形式： $M^{'} = A^{'} + B^{'} + C^{'}$
- 我们可以以 32位计算机字的形式或者以片（piece）的形式添加，两者是等价的
对于 $i = {0..1}$ ，分别计算偶数位 $M_{i}^{e v e n}$ 和奇数位 $M_{i}^{o dd}$ 。
将 $M^{'}$ 约束为 $M^{'} = spread (M_{0}^{e v e n}) + 2 \cdot spread (M_{0}^{o dd}) + 2^{32} \cdot spread (M_{1}^{e v e n}) + 2^{33} \cdot spread (M_{1}^{o dd})$ ，其中 $M_{i}^{o dd}$ 为 $M aj$ 函数的输出output。

注意：“偶数位”指的是 $2$ 的偶数次方的权重，同理，“奇数位”我们指 $2$ 的奇数次方的权重

Ch 函数

TODO: can probably be optimized to $4$ or $5$ lookups using an additional table.

$C h$ 可以通过 $8$ 次查找完成： $4 spread * 2$ chunks

如之前所提到的，在第一轮之后我们已经有了 $E$ 的 spread 形式 $E^{'}$ 。类似的，我们有 $F$ 和 $G$ 和上一轮中的 $E$ 和 $F$ 相等，因此在稳态中我们已经有了 $F^{'}$ 和 $G^{'}$ 的 spread 形式。实际上，我们也可以假设我们在第一轮中已经有了它们的 spread 形式，要么从 fixed IV 或者从上一个块对 $spread$ 的使用中获取。
计算 $P^{'} = E^{'} + F^{'}$ 和 $Q^{'} = (e v e n s - E^{'}) + G^{'}$ ，其中 $e v e n s = spread (2^{32} - 1)$ 。
- 我们可以以 32位计算机字的形式或者以片（piece）的形式添加，两者是等价的
- $e v e n s - E^{'}$ 用于计算 $\neg E$ 的 spread ，尽管取反操作和 $spread$ 一般不满足交换律。可以这样计算是因为 $E^{'}$ 中的每个 spread 位都减去了 $1$ ，因此没有借位。
计算 $P_{i}^{e v e n}, P_{i}^{o dd}, Q_{i}^{e v e n}, Q_{i}^{o dd}$ 使得 $P^{'} = spread (P_{0}^{e v e n}) + 2 \cdot spread (P_{0}^{o dd}) + 2^{32} \cdot spread (P_{1}^{e v e n}) + 2^{33} \cdot spread (P_{1}^{o dd})$ ，对 $Q^{'}$ 也有类似的计算。
${P_{i}^{o dd} + Q_{i}^{o dd}}_{i = 0..1}$ 即为 $C h$ 函数的输出。

Σ_0 函数

$Σ_{0} (A)$ 可以通过 $6$ 次查找完成。

我们首先将 $A$ 分成长度为 $(2, 11, 9, 10)$ 的片 $(a, b, c, d)$ ，以小数端为例。同时我们也取出这些片的 spread 形式。这可以在 PLONK 电路中的两行内完成，因为10位的片和11位的片可以使用 $spread$ 的查找获得，而9位的片可以被进一步分为3个3位的子片。后者和剩下的2位的片可以通过多项式约束来限制它们的取值范围，每行两个片。这些小的片的 spread 形式可以由插值构成。

注意到将 chunk 划分为片可以和 $A_{n e w}$ 的规约一起做，即后者不需要额外的查找了。在最后一轮，我们将 $A_{n e w}$ 在前馈加法（需要最多处理7次进位）做完后进行规约。

$(A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22)$ 等价于 $(A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋘ 10)$ :

然后，使用 $4$ 个额外的 $spread$ 查找，我们可以得到结果 $R^{'}$ ，其二进制偶数位是上面片的一个线性组合。

$R^{'} = (a (b (c 4^{30} a 4^{21} b 4^{23} c ∣∣ ∣∣ ∣∣ + + + d a b 4^{20} d 4^{19} a 4^{12} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{11} c 4^{9} d 4^{10} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

即，我们计算出压缩后的偶数位 $R_{i}^{e v e n}$ 和压缩后的奇数位 $R_{i}^{o dd}$ ，并约束

$R^{'} = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$

其中 ${R_{i}^{e v e n}}_{i = 0..1}$ 就是 $Σ_{0}$ 函数的输出。

Σ_1 函数

$Σ_{1} (E)$ 可以通过 $6$ 次查找完成。

我们首先将 $E$ 分成长度为 $(6, 5, 14, 7)$ 的片 $(a, b, c, d)$ ，以小数端为例。同时我们也取出这些片的 spread 形式。这可以在 PLONK 电路中的两行内完成，因为7位的片和14位的片可以使用 $spread$ 的查找获得，5位的片可以被进一步分为3位3位的子片，6位的片可以被分解为2个3位的片。这4个小的片可以通过多项式约束来限制它们的取值范围，每行两个片。这些小片的 spread 形式可以由插值构成。

注意到将 chunk 划分为片可以和 $E_{n e w}$ 的规约一起做，即后者不需要额外的查找了。在最后一轮，我们将 $E_{n e w}$ 在前馈加法（需要最多处理7次进位）做完后进行规约。

$(E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25)$ 等价于 $(E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋘ 7)$ .

然后，使用 $4$ 个额外的 $spread$ 查找，我们可以得到结果 $R^{'}$ ，其二进制偶数位是上面片的一个线性组合。

$R^{'} = (a (b (c 4^{26} a 4^{27} b 4^{18} c ∣∣ ∣∣ ∣∣ + + + d a b 4^{19} d 4^{21} a 4^{13} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{5} c 4^{14} d 4^{7} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

即，我们计算出压缩后的偶数位 $R_{i}^{e v e n}$ 和压缩后的奇数位 $R_{i}^{o dd}$ ，并约束

$R^{'} = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$

其中 ${R_{i}^{e v e n}}_{i = 0..1}$ 就是 $Σ_{1}$ 函数的输出。

块分解

对于消息中每一个512位的块 $M \in {0, 1}^{512}$ 来说，其 $64$ 个 $32$ 位的计算机字可以通过以下方式构造：

前 $16$ 个字可以通过将 $M$ 分解为32位的块来获得 $M = W_{0} ∣∣ W_{1} ∣∣ \dots ∣∣ W_{14} ∣∣ W_{15};$
剩下的 $48$ 个字通过如下公式构造： $W_{i} = σ_{1} (W_{i - 2}) ⊞ W_{i - 7} ⊞ σ_{0} (W_{i - 15}) ⊞ W_{i - 16},$ for $16 \leq i < 64$ .

Note: $W$ 的下标从 $0$ 开始

$σ_{0} (X) σ_{1} (X) = = (X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3) (X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$

Note: $≫$ 是右移位运算，不是循环，和 $⋙$ 区分

σ_0 函数

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

和之前类似，也用小数端表示，但 $(a, b, c, d)$ 的长度分别为 $(3, 4, 11, 14)$ 。将 $b$ 分解为两个2位的子片。

$R^{'} = (0^{[3]} (b (c 4^{28} b 4^{21} c ∣∣ ∣∣ ∣∣ + + d a b 4^{15} d 4^{25} a 4^{17} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{4} c 4^{11} d 4^{14} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

σ_1 函数

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ is equivalent to $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ .

TODO: this diagram doesn't match the expression on the right. This is just for consistency with the other diagrams.

和之前一样用小数端表示， $(a, b, c, d)$ 的长度分别为 $(10, 7, 2, 13)$ 。将 $b$ 分解为 $(3, 2, 2)$ 位的子片。

$R^{'} = (0^{[10]} (b (c 4^{25} b 4^{30} c ∣∣ ∣∣ ∣∣ + + d a b 4^{9} d 4^{15} a 4^{23} b ∣∣ ∣∣ ∣∣ ⇓ + + + c d a 4^{7} c 4^{2} d 4^{13} a ∣∣ ∣∣ ∣∣ + + + b) c) d) b c d \oplus \oplus + +$

消息调度

我们将 $σ_{0}$ 应用于 $W_{1..48}$ ，将 $σ_{1}$ 应用于 $W_{14..61}$ 。为避免重复的应用 $spread$ ，我们可以将 $W_{14..48}$ 的分解进行合并。合并长度为 $(3, 4, 11, 14)$ 和 $(10, 7, 2, 13)$ 的片会得到长度分别为 $(3, 4, 3, 7, 1, 1, 13)$ 的片。

如果我们可以将合并后的分解在3行中完成（单独分解 $σ_{0}$ 和 $σ_{1}$ 需要4行），我们就能节省下35行。

These might even be doable in $2$ rows; not sure. —Daira

我们可以将 $W_{16..61}$ 模 $2^{32}$ 的规约合并至它们在后续计算中的分解时，类似于我们对 $A$ 和 $E$ 做过的操作。

我们仍然需要对 $W_{62..63}$ 进行规约，因为它们没有被分解。（技术上，我们可以暂时不对它们做规约，在后面计算 $A_{n e w}$ 和 $E_{n e w}$ 的时候会做规约，但是这会导致我们需要处理多达10次进位，而不是现在的6次，因此还是值得的）。

优化后的调度结果为：

$2$ 行用来约束 $W_{0}$ 至 $32$ 比特位
- 技术上这不是必须的，这里进行约束是保持鲁棒性，因为输入部分的约束是免费的
$13 * 2$ 行用来拆分 $W_{1..13}$ 为4个 $(3, 4, 11, 14)$ 比特位的 pieces
$35 * 3$ 行用来拆分 $W_{14..48}$ 为 $(3, 4, 3, 7, 1, 1, 13)$ 比特位的 pieces （和 $W_{14..48}$ 的规约进行合并）
$13 * 2$ 行用来拆分 $W_{49..61}$ 为 $(10, 7, 2, 13)$ 比特位的 pieces （和规约进行合并）
$4 * 48$ 行用来提取 $W_{1..48}$ 的 $σ_{0}$ 计算结果
$4 * 48$ 行用来提取 $W_{14..61}$ 的 $σ_{1}$ 计算结果
$2 * 2$ 行用来规约 $W_{62..63}$
$= 547$ rows.

总开销

对每一轮次：

$8$ 行 $C h$
$4$ 行 $M aj$
$6$ 行 $Σ_{0}$
$6$ 行 $Σ_{1}$
$re d u c e_{6}$ 和 $re d u c e_{7}$ 是无开销的
$= 24$ 每轮行数

这里第三步总计 $24 * 64 = 1792$ 行，再加上：

$547$ 行（进行消息调度之后）
$2 * 8$ 行给第4步中进行的8次模 $2^{3} 2$ 的规约

总共是 $2099$ 行。

表格

我们只需要一个有 $2^{16}$ 行 $3$ 列的 $spread$ 表。我们需要一个标签列，用以将 $Σ_{0..1}$ and $σ_{0..1}$ 表格的 $(7, 10, 11, 13, 14)$ 比特位子集挑选出来。

`spread` 表格

行	标签	表格 (16位)	spread (32位)
$0$	0	0000000000000000	00000000000000000000000000000000
$1$	0	0000000000000001	00000000000000000000000000000001
$2$	0	0000000000000010	00000000000000000000000000000100
$3$	0	0000000000000011	00000000000000000000000000000101
...	0	...	...
$2^{7} - 1$	0	0000000001111111	00000000000000000001010101010101
$2^{7}$	1	0000000010000000	00000000000000000100000000000000
...	1	...	...
$2^{10} - 1$	1	0000001111111111	00000000000001010101010101010101
...	2	...	...
$2^{11} - 1$	2	0000011111111111	00000000010101010101010101010101
...	3	...	...
$2^{13} - 1$	3	0001111111111111	00000001010101010101010101010101
...	4	...	...
$2^{14} - 1$	4	0011111111111111	00000101010101010101010101010101
...	5	...	...
$2^{16} - 1$	5	1111111111111111	01010101010101010101010101010101

例如，如果要做一次 $11$ 个比特位的 $spread$ 查表，我们先对标签进行多项式约束使其必须为 $0, 1, 2$ 。在最常用的 $16$ 位查表中，我们不需要约束标签列。注意我们可以在没有用到的行中（即超过 $2^{1} 6$ 的行数）填充任意重复值，例如都填充为全零行。

门

Ch 门

从之前操作来的输入：

$E^{'}, F^{'}, G^{'},$ 是 32位字 $E, F, G$ 的 $64$ 位 spread 形式，假设服从之前的约束
- 实际中，我们在分解 $E, F, G$ 为 $16$ 位子片后能得到 $E^{'}, F^{'}, G^{'}$ 的 spread 形式
$e v e n s$ 定义为 $spread (2^{32} - 1)$
- $e v e n s_{0} = e v e n s_{1} = spread (2^{16} - 1)$

E ∧ F

s_ch	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$
0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$
1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$
0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$
0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$

¬E ∧ G

s_ch_neg	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$
0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$
1	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$

约束：

s_ch (choice): $L H S - R H S = 0$
- $L H S = a_{3} ω^{- 1} + a_{3} ω + 2^{32} (a_{4} ω^{- 1} + a_{4} ω)$
- $R H S = a_{2} ω^{- 1} + 2 * a_{2} + 2^{32} (a_{2} ω + 2 * a_{3})$
s_ch_neg (negation): 检查 s_ch 是否为负数
在 $(a_{0}, a_{1}, a_{2})$ 中查找 $spread$
$(a_{2}, a_{3})$ 之间的置换

输出： $C h (E, F, G) = P^{o dd} + Q^{o dd} = (P_{0}^{o dd} + Q_{0}^{o dd}) + 2^{16} (P_{1}^{o dd} + Q_{1}^{o dd})$

Maj 门

从之前操作来的输入：

32位字的 $A, B, C$ 的 $64$ 位 spread 形式 $A^{'}, B^{'}, C^{'},$ ，假设服从之前的约束
- 实际中，我们在分解 $A, B, C$ 为 $16$ 位子片后能得到 $A^{'}, B^{'}, C^{'}$ 的 spread 形式

s_maj	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$
0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$		$spread (A^{l o})$	$spread (A^{hi})$
1	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B^{l o})$	$spread (B^{hi})$
0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C^{l o})$	$spread (C^{hi})$
0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

约束：

s_maj (majority): $L H S - R H S = 0$
- $L H S = spread (M_{0}^{e v e n}) + 2 \cdot spread (M_{0}^{o dd}) + 2^{32} \cdot spread (M_{1}^{e v e n}) + 2^{33} \cdot spread (M_{1}^{o dd})$
- $R H S = A^{'} + B^{'} + C^{'}$
在 $(a_{0}, a_{1}, a_{2})$ 中查找 $spread$
$(a_{2}, a_{3})$ 之间的置换

输出： $M aj (A, B, C) = M^{o dd} = M_{0}^{o dd} + 2^{16} M_{1}^{o dd}$

Σ_0 门

$A$ 是一个 32位字，分解为 $(2, 11, 9, 10)$ 位 chunks，从小数端开始。我们将这些 chunks 分别称为 $(a (2), b (11), c (9), d (10))$ ，并且进一步将 $c (9)$ 分解为3位的 chunks $c (9)^{l o}, c (9)^{mi d}, c (9)^{hi}$ 。我们将小 chunks 的 spread 形式写成 witness ：

$Σ_{0} (A) = = (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋙ 22) (A ⋙ 2) \oplus (A ⋙ 13) \oplus (A ⋘ 10)$

s_upp_sigma_0	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$c (9)^{l o}$	$spread (c (9)^{l o})$	$c (9)^{mi d}$	$spread (c (9)^{mi d})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$	$c (9)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (2)$	$spread (a (2))$	$c (9)^{hi}$	$spread (c (9)^{hi})$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_upp_sigma_0 ( $Σ_{0}$ 约束): $L H S - R H S + t a g + d eco m p ose = 0$

$t a g d eco m p ose L H S = = = co n s t r ai n_{1} (a_{0} ω^{- 1}) + co n s t r ai n_{2} (a_{0} ω) a (2) + 2^{2} b (11) + 2^{13} c (9)^{l o} + 2^{16} c (9)^{mi d} + 2^{19} c (9)^{hi} + 2^{22} d (10) - A spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} spread (a (2)) 4^{21} spread (b (11)) 4^{29} spread (c (9)^{hi}) + + + 4^{20} spread (d (10)) 4^{19} spread (a (2)) 4^{26} spread (c (9)^{mi d}) + + + 4^{17} spread (c (9)^{hi}) 4^{9} spread (d (10)) 4^{23} spread (c (9)^{l o}) + + + 4^{14} spread (c (9)^{mi d}) 4^{6} spread (c (9)^{hi}) 4^{12} spread (b (11)) + + + 4^{11} spread (c (9)^{l o}) 4^{3} spread (c (9)^{mi d}) 4^{10} spread (a (2)) + + + spread (b (11)) spread (c (9)^{l o}) spread (d (10)) + +$

在 $a_{0}, a_{1}, a_{2}$ 中查找 $spread$
$a (2)$ 中的 2比特位范围检查及2比特位 spread 检查
$c (9)^{l o}, c (9)^{mi d}, c (9)^{hi}$ 上的 3比特位范围检查和3比特位 spread 检查

（见辅助门）

输出： $Σ_{0} (A) = R^{e v e n} = R_{0}^{e v e n} + 2^{16} R_{1}^{e v e n}$

Σ_1 门

$E$ 是一个 32位字，分解为 $(6, 5, 14, 7)$ 位 chunks，从小数端开始。我们将这些 chunks 分别称为 $(a (6), b (5), c (14), d (7))$ ，并且进一步将 $a (6)$ 分解为两个3位的 chunks $a (6)^{l o}, a (6)^{hi}$ ，并更进一步将两个3比特位的chunk $a (6)^{l o}, a (6)^{hi}$ 和 $b$ 分解为 (2,3)比特位的 chunks $b (5)^{l o}, b (5)^{hi}$ 。我们将小 chunks 的 spread 形式写成 witness ：

$Σ_{1} (E) = = (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋙ 25) (E ⋙ 6) \oplus (E ⋙ 11) \oplus (E ⋘ 7)$

s_upp_sigma_1	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (5)^{l o}$	$spread (b (5)^{l o})$	$b (5)^{hi}$	$spread (b (5)^{hi})$	$b (5)$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (c (14))$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (6)^{l o}$	$spread (a (6)^{l o})$	$a (6)^{hi}$	$spread (a (6)^{hi})$	$a (6)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_upp_sigma_1 ( $Σ_{1}$ constraint): $L H S - R H S + t a g + d eco m p ose = 0$

$t a g d eco m p ose L H S = = = a_{0} ω^{- 1} + co n s t r ai n_{4} (a_{0} ω) a (6)^{l o} + 2^{3} a (6)^{hi} + 2^{6} b (5)^{l o} + 2^{8} b (5)^{hi} + 2^{11} c (14) + 2^{25} d (7) - E spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{29} spread (a (6)^{hi}) 4^{29} spread (b (5)^{hi}) 4^{18} spread (c (14)) + + + 4^{26} spread (a (6)^{l o}) 4^{27} spread (b (5)^{l o}) 4^{15} spread (b (5)^{hi}) + + + 4^{19} spread (d (7)) 4^{24} spread (a (6)^{hi}) 4^{13} spread (b (5)^{l o}) + + + 4^{5} spread (c (14)) 4^{21} spread (a (6)^{l o}) 4^{10} spread (a (6)^{hi}) + + + 4^{2} spread (b (5)^{hi}) 4^{14} spread (d (7)) 4^{7} spread (a (6)^{l o}) + + + spread (b (5)^{l o}) spread (c (14)) spread (d (7)) + +$

在 $a_{0}, a_{1}, a_{2}$ 中查找 $spread$
$b (5)^{l o}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (6)^{l o}, a (6)^{hi}, b (4)^{hi}$ 上的 3比特位范围检查和3比特位 spread 检查

（见辅助门）

输出： $Σ_{1} (E) = R^{e v e n} = R_{0}^{e v e n} + 2^{16} R_{1}^{e v e n}$

σ_0 门

v1

$σ_{0}$ 门的v1占一个字，可以分解为 $(3, 4, 11, 14)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (3), b (4), c (11), d (14)) .$ $b (4)$ 被进一步分解为两个2比特位的 chunks $b (4)^{l o}, b (4)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。我们从消息调度中已经获得了 $spread (c (11))$ 和 $spread (d (14))$ 。

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

s_low_sigma_0	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (c)$	$spread (d)$	$b (4)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$0$	$0$	$a$	$spread (a)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_0 ( $σ_{0}$ v1 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} b (4)^{hi} 4^{21} c (11) + + 4^{15} d (14) 4^{28} b (4)^{l o} 4^{19} b (4)^{hi} + + + 4^{4} c (11) 4^{25} a (3) 4^{17} b (4)^{l o} + + + 4^{2} b (4)^{hi} 4^{11} d (14) 4^{14} a (3) + + + b (4)^{l o} c (11) d (14) + +$

检查 b 是否被正确的分解为4比特位的一些片
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
$b (4)^{l o}, b (4)^{hi}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (3)$ 上的 3比特位范围检查和3比特位 spread 检查

v2

$σ_{0}$ 门的v2占一个字，可以分解为 $(3, 4, 3, 7, 1, 1, 13)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (3), b (4), c (3), d (7), e (1), f (1), g (13)) .$ 我们从消息调度中已经获得了 $spread (d (7))$ 和 $spread (g (13))$ 。1比特位的 $e (1), f (1)$ 在 spread 操作中不做更改，可以直接使用。另外 $b (4)$ 被进一步分解为两个2比特位的 chunks $b (4)^{l o}, b (4)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。

$(X ⋙ 7) \oplus (X ⋙ 18) \oplus (X ≫ 3)$ 等价于 $(X ⋙ 7) \oplus (X ⋘ 14) \oplus (X ≫ 3)$ 。

s_low_sigma_0_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (g (13))$	$b (4)$	$e (1)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (3)$	$spread (a (3))$	$c (3)$	$spread (c (3))$	$f (1)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_0_v2 ( $σ_{0}$ v2 约束): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{30} b (4)^{hi} 4^{31} e (1) + + 4^{16} g (13) 4^{28} b (4)^{l o} 4^{24} d (7) + + + 4^{15} f (1) 4^{25} a (3) 4^{21} c (3) + + + 4^{14} e (1) 4^{12} g (13) 4^{19} b (4)^{hi} + + + 4^{7} d (7) 4^{11} f (1) 4^{17} b (4)^{l o} + + + 4^{4} c (3) 4^{10} e (1) 4^{14} a (3) + + + 4^{2} b (4)^{hi} 4^{3} d (7) 4^{1} g (13) + + + b (4)^{l o} c (3) f (1) + +$

检查 b 是否被正确的分解为4比特位的片
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
$b (4)^{l o}, b (4)^{hi}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (3), c (3)$ 上的 3比特位范围检查和3比特位 spread 检查

σ_1 门

v1

$σ_{1}$ 门的v1占一个字，可以分解为 $(10, 7, 2, 13)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (10), b (7), c (2), d (13)) .$ $b (7)$ 被进一步分解为 $(2, 2, 3)$ 比特位的 chunks $b (7)^{l o}, b (7)^{mi d}, b (7)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。我们从消息调度中已经获得了 $spread (a (10))$ 和 $spread (d (13))$ 。

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ .

s_low_sigma_1	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (7)^{l o}$	$spread (b (7)^{l o})$	$b (7)^{mi d}$	$spread (b (7)^{mi d})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (a (10))$	$spread (d (13))$	$b (7)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$c (2)$	$spread (c (2))$	$b (7)^{hi}$	$spread (b (7)^{hi})$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_1 ( $σ_{1}$ v1 约束): $L H S - R H S = 0$ $L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{29} b (7)^{hi} 4^{30} c (2) + + 4^{9} d (13) 4^{27} b (7)^{mi d} 4^{27} b (7)^{hi} + + + 4^{7} c (2) 4^{25} b (7)^{l o} 4^{25} b (7)^{mi d} + + + 4^{4} b (7)^{hi} 4^{15} a (10) 4^{23} b (7)^{l o} + + + 4^{2} b (7)^{mi d} 4^{2} d (13) 4^{13} a (10) + + + b (7)^{l o} c (2) d (13) + +$
检查 b 是否被正确的分解为7比特位的片。
- $W^{b (7) l o} + 2^{2} W^{b (7) mi d} + 2^{4} W^{b (7) hi} - W = 0$
$b (7)^{l o}, b (7)^{mi d}, c (2)$ 中的 2比特位范围检查及2比特位 spread 检查
$b (7)^{hi}$ 上的 3比特位范围检查和3比特位 spread 检查

v2

$σ_{1}$ 门的v2占一个字，可以分解为 $(3, 4, 3, 7, 1, 1, 13)$ 位的 chunks （已经在消息调度中被约束）。我们将这些 chunks 称为 $(a (3), b (4), c (3), d (7), e (1), f (1), g (13)) .$ 我们从消息调度中已经获得了 $spread (d (7))$ 和 $spread (g (13))$ 。1比特位的 $e (1), f (1)$ 在 spread 操作中不做更改，可以直接使用。另外 $b (4)$ 被进一步分解为两个2比特位的 chunks $b (4)^{l o}, b (4)^{hi} .$ 我们将小 chunks 的 spread 形式写成 witness 。

$(X ⋙ 17) \oplus (X ⋙ 19) \oplus (X ≫ 10)$ 等价于 $(X ⋘ 15) \oplus (X ⋘ 13) \oplus (X ≫ 10)$ 。

s_low_sigma_1_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$b (4)^{l o}$	$spread (b (4)^{l o})$	$b (4)^{hi}$	$spread (b (4)^{hi})$
1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (7))$	$spread (g (13))$	$b (4)$	$e (1)$
0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$a (3)$	$spread (a (3))$	$c (3)$	$spread (c (3))$	$f (1)$
0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$

约束：

s_low_sigma_1_v2 ( $σ_{1}$ v2 constraint): $L H S - R H S = 0$

$L H S = spread (R_{0}^{e v e n}) + 2 \cdot spread (R_{0}^{o dd}) + 2^{32} \cdot spread (R_{1}^{e v e n}) + 2^{33} \cdot spread (R_{1}^{o dd})$ $R H S = 4^{25} d (7) 4^{31} f (1) + + 4^{22} c (3) 4^{30} e (1) + + 4^{20} b (4)^{hi} 4^{23} d (7) + + 4^{9} g (13) 4^{18} b (4)^{l o} 4^{20} c (3) + + + 4^{8} f (1) 4^{15} a 4^{18} b (4)^{hi} + + + 4^{7} e (1) 4^{2} g (13) 4^{16} b (4)^{l o} + + + d (7) 4^{1} f (1) 4^{13} a + + + e (1) g (13) +$

检查 b 是否被正确的分解为4比特位的子片。
- $W^{b (4) l o} + 2^{2} W^{b (4) hi} - W = 0$
$b (4)^{l o}, b (4)^{hi}$ 中的 2比特位范围检查及2比特位 spread 检查
$a (3), c (3)$ 上的 3比特位范围检查和3比特位 spread 检查

辅助门

小范围约束

令 $co n s t r ai n_{n} (x) = \prod_{i = 0}^{n} (x - i)$ . 约束该表达式的值为0，相当于约束了 $x \in [0.. n] .$

2比特位范围检查

$(a - 3) (a - 2) (a - 1) (a) = 0$

sr2	$a_{0}$
1	a

2比特位 spread

$l_{1} (a) + 4 * l_{2} (a) + 5 * l_{3} (a) - a^{'} = 0$

ss2	$a_{0}$	$a_{1}$
1	a	a'

插值多项式：

$l_{0} (a) = \frac{( a - 3 ) ( a - 2 ) ( a - 1 )}{( - 3 ) ( - 2 ) ( - 1 )}$ ( $spread (00) = 0000$ )
$l_{1} (a) = \frac{( a - 3 ) ( a - 2 ) ( a )}{( - 2 ) ( - 1 ) ( 1 )}$ ( $spread (01) = 0001$ )
$l_{2} (a) = \frac{( a - 3 ) ( a - 1 ) ( a )}{( - 1 ) ( 1 ) ( 2 )}$ ( $spread (10) = 0100$ )
$l_{3} (a) = \frac{( a - 2 ) ( a - 1 ) ( a )}{( 1 ) ( 2 ) ( 3 )}$ ( $spread (11) = 0101$ )

3比特位范围检查

$(a - 7) (a - 6) (a - 5) (a - 4) (a - 3) (a - 2) (a - 1) (a) = 0$

sr3	$a_{0}$
1	a

3比特位 spread

$l_{1} (a) + 4 * l_{2} (a) + 5 * l_{3} (a) + 16 * l_{4} (a) + 17 * l_{5} (a) + 20 * l_{6} (a) + 21 * l_{7} (a) - a^{'} = 0$

ss3	$a_{0}$	$a_{1}$
1	a	a'

插值多项式：

$l_{0} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 )}{( - 7 ) ( - 6 ) ( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 )}$ ( $spread (000) = 000000$ )
$l_{1} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a )}{( - 6 ) ( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 )}$ ( $spread (001) = 000001$ )
$l_{2} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 1 ) ( a )}{( - 5 ) ( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 )}$ ( $spread (010) = 000100$ )
$l_{3} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 4 ) ( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 )}$ ( $spread (011) = 000101$ )
$l_{4} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 5 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 3 ) ( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 )}$ ( $spread (100) = 010000$ )
$l_{5} (a) = \frac{( a - 7 ) ( a - 6 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 2 ) ( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )}$ ( $spread (101) = 010001$ )
$l_{6} (a) = \frac{( a - 7 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( - 1 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 )}$ ( $spread (110) = 010100$ )
$l_{7} (a) = \frac{( a - 6 ) ( a - 5 ) ( a - 4 ) ( a - 3 ) ( a - 2 ) ( a - 1 ) ( a )}{( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) ( 7 )}$ ( $spread (111) = 010101$ )

reduce_6 门

6元素的 $(mod 2^{32})$ 加法

输入：

$E$
${e_{i}^{l o}, e_{i}^{hi}}_{i = 0}^{5}$
$c a rry$

检查： $E = e_{0} + e_{1} + e_{2} + e_{3} + e_{4} + e_{5} (mod 32)$

假设输入被约束为16个比特位

加法门 (sa):
- $a_{0} + a_{1} + a_{2} + a_{3} + a_{4} + a_{5} + a_{6} - a_{7} = 0$
进位门 (sc):
- $2^{16} a_{6} ω^{- 1} + a_{6} + [(a_{6} - 5) (a_{6} - 4) (a_{6} - 3) (a_{6} - 2) (a_{6} - 1) (a_{6})] = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$
1	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$- c a rry * 2^{16}$	$E^{l o}$
1	1	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$c a rry$	$E^{hi}$

假设输入被约束为16个比特位

加法门 (sa):
- $a_{0} ω^{- 1} + a_{1} ω^{- 1} + a_{2} ω^{- 1} + a_{0} + a_{1} + a_{2} + a_{3} ω^{- 1} - a_{3} = 0$
进位门 (sc):
- $2^{16} a_{3} ω + a_{3} ω^{- 1} = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$
0	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$- c a rry * 2^{16}$
1	1	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$E^{l o}$
0	0	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$c a rry$
1	0	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$E^{hi}$

reduce_7 门

7元素的 $(mod 2^{32})$ 加法

输入：

$E$
${e_{i}^{l o}, e_{i}^{hi}}_{i = 0}^{6}$
$c a rry$

检查： $E = e_{0} + e_{1} + e_{2} + e_{3} + e_{4} + e_{5} + e_{6} (mod 32)$

假设输入被约束为16个比特位

加法门 (sa):
- $a_{0} + a_{1} + a_{2} + a_{3} + a_{4} + a_{5} + a_{6} + a_{7} - a_{8} = 0$
进位门 (sc):
- $2^{16} a_{7} ω^{- 1} + a_{7} + [(a_{7} - 6) (a_{7} - 5) (a_{7} - 4) (a_{7} - 3) (a_{7} - 2) (a_{7} - 1) (a_{7})] = 0$

sa	sc	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$
1	0	$e_{0}^{l o}$	$e_{1}^{l o}$	$e_{2}^{l o}$	$e_{3}^{l o}$	$e_{4}^{l o}$	$e_{5}^{l o}$	$e_{6}^{l o}$	$- c a rry * 2^{16}$	$E^{l o}$
1	1	$e_{0}^{hi}$	$e_{1}^{hi}$	$e_{2}^{hi}$	$e_{3}^{hi}$	$e_{4}^{hi}$	$e_{5}^{hi}$	$e_{6}^{hi}$	$c a rry$	$E^{hi}$

消息调度区域

对于消息 $M \in {0, 1}^{512}$ 中的每一个 block ，其64个32位字以如下方式构造：

通过将 $M$ 以每32个比特进行划分，得到前16个 $M = W_{0} ∣∣ W_{1} ∣∣ \dots ∣∣ W_{14} ∣∣ W_{15};$
剩下的48个字使用如下的方式构造：

$W_{i} = σ_{1} (W_{i - 2}) ⊞ W_{i - 7} ⊞ σ_{0} (W_{i - 15}) ⊞ W_{i - 16},$ for $16 \leq i < 64$ .

sw	sd0	sd1	sd2	sd3	ss0	ss0_v2	ss1	ss1_v2	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{0}^{l o}$	$spread (W_{0}^{l o})$	$W_{0}^{l o}$	$W_{0}^{hi}$	$W_{0}$	$σ_{0} (W_{1})^{l o}$	$σ_{1} (W_{14})^{l o}$	$W_{9}^{l o}$
1	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{0}^{hi}$	$spread (W_{0}^{hi})$			$W_{16}$	$σ_{0} (W_{1})^{hi}$	$σ_{1} (W_{14})^{hi}$	$W_{9}^{hi}$	$c a rr y_{16}$
0	1	1	0	0	0	0	0	0	{0,1,2,3,4}	$W_{1}^{d (14)}$	$spread (W_{1}^{d (14)})$	$W_{1}^{l o}$	$W_{1}^{hi}$	$W_{1}$	$σ_{0} (W_{2})^{l o}$	$σ_{1} (W_{15})^{l o}$	$W_{10}^{l o}$
1	0	0	0	0	0	0	0	0	{0,1,2}	$W_{1}^{c (11)}$	$spread (W_{1}^{c (11)})$	$W_{1}^{a (3)}$	$W_{1}^{b (4)}$	$W_{17}$	$σ_{0} (W_{2})^{hi}$	$σ_{1} (W_{15})^{hi}$	$W_{10}^{hi}$	$c a rr y_{17}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{1}^{b (4) l o}$	$spread (W_{1}^{b (4) l o})$	$W_{1}^{b (4) hi}$	$spread (W_{1}^{b (4) hi})$
0	0	0	0	0	1	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (W_{1}^{c (11)})$	$spread (W_{1}^{d (14)})$	$W_{1}^{b (4)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{1}^{e v e n})$	$0$	$0$	$W_{1}^{a (3)}$	$spread (W_{1}^{a (3)})$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{o dd})$	$σ_{0} v 1 R_{0}$	$σ_{0} v 1 R_{1}$	$σ_{0} v 1 R_{0}^{e v e n}$	$σ_{0} v 1 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	0	0	0	0	0	0	0	0	{0,1,2,3}	$W_{14}^{g (13)}$	$spread (W_{14}^{g (13)})$	$W_{14}^{a (3)}$	$W_{14}^{c (3)}$
0	1	0	1	0	0	0	0	0	0	$W_{14}^{d (7)}$	$spread (W_{14}^{d (7)})$	$W_{14}^{l o}$	$W_{14}^{hi}$	$W_{14}$	$σ_{0} (W_{15})^{l o}$	$σ_{1} (W_{28})^{l o}$	$W_{23}^{l o}$
1	0	0	0	0	0	0	0	0	0	$W_{14}^{b (4)}$	$spread (W_{14}^{b (4)})$	$W_{14}^{e (1)}$	$W_{14}^{f (1)}$	$W_{30}$	$σ_{0} (W_{15})^{hi}$	$σ_{1} (W_{28})^{hi}$	$W_{23}^{hi}$
$c a rr y_{30}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{14}^{b (4) l o}$	$spread (W_{14}^{b (4) l o})$	$W_{14}^{b (4) hi}$	$spread (W_{14}^{b (4) hi})$
0	0	0	0	0	0	1	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (W_{14}^{d (7)})$	$spread (W_{14}^{g (13)})$	$W_{1}^{b (14)}$	$W_{14}^{e (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{14}^{a (3)}$	$spread (W_{14}^{a (3)})$	$W_{14}^{c (3)}$	$spread (W_{14}^{c (3)})$	$W_{14}^{f (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{0} v 2 R_{0}$	$σ_{0} v 2 R_{1}$	$σ_{0} v 2 R_{0}^{e v e n}$	$σ_{0} v 2 R_{0}^{o dd}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{14}^{b (4) l o}$	$spread (W_{14}^{b (4) l o})$	$W_{14}^{b (4) hi}$	$spread (W_{14}^{b (4) hi})$
0	0	0	0	0	0	0	0	1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d)$	$spread (g)$		$W_{14}^{e (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{14}^{a (3)}$	$spread (W_{14}^{a (3)})$	$W_{14}^{c (3)}$	$spread (W_{14}^{c (3)})$	$W_{14}^{f (1)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{1} v 2 R_{0}$	$σ_{1} v 2 R_{1}$	$σ_{1} v 2 R_{0}^{e v e n}$	$σ_{1} v 2 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	1	0	0	1	0	0	0	0	{0,1,2,3}	$W_{49}^{d (13)}$	$spread (W_{49}^{d (13)})$	$W_{49}^{l o}$	$W_{49}^{hi}$	$W_{49}$
0	0	0	0	0	0	0	0	0	{0,1}	$W_{49}^{a (10)}$	$spread (W_{49}^{a (10)})$	$W_{49}^{c (2)}$	$W_{49}^{b (7)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$W_{49}^{b (7) l o}$	$spread (W_{49}^{b (7) l o})$	$W_{49}^{b (7) mi d}$	$spread (W_{49}^{b (7) mi d})$
0	0	0	0	0	0	0	0	1	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (a)$	$spread (d)$	$W_{1}^{b (49)}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$W_{49}^{c (2)}$	$spread (W_{49}^{c (2)})$	$W_{49}^{b (7) hi}$	$spread (W_{49}^{b (7) hi})$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$	$σ_{1} v 1 R_{0}$	$σ_{1} v 1 R_{1}$	$σ_{1} v 1 R_{0}^{e v e n}$	$σ_{1} v 1 R_{0}^{o dd}$
..	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...	...
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{62}^{l o}$	$spread (W_{62}^{l o})$	$W_{62}^{l o}$	$W_{62}^{hi}$	$W_{62}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{62}^{hi}$	$spread (W_{62}^{hi})$
0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{63}^{l o}$	$spread (W_{63}^{l o})$	$W_{63}^{l o}$	$W_{63}^{hi}$	$W_{63}$
0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$W_{63}^{hi}$	$spread (W_{63}^{hi})$

约束：

sw: 使用 $re d u c e_{4}$ 构造字
sd0: $W_{0}, W_{62}, W_{63}$ 对应的分解门
- $W^{l o} + 2^{16} W^{hi} - W = 0$
sd1: $W_{1..13}$ 的分解门 (分解为 $(3, 4, 11, 14)$ 位的片)
- $W^{a (3)} + 2^{3} W^{b (4) l o} + 2^{5} W^{b (4) hi} + 2^{7} W^{c (11)} + 2^{18} W^{d (14)} - W = 0$
sd2: $W_{14..48}$ 的分解门 (分解为 $(3, 4, 3, 7, 1, 1, 13)$ 位的片)
- $W^{a (3)} + 2^{3} W^{b (4) l o} + 2^{5} W^{b (4) hi} + 2^{7} W^{c (11)} + 2^{10} W^{d (14)} + 2^{17} W^{e (1)} + 2^{18} W^{f (1)} + 2^{19} W^{g (13)} - W = 0$
sd3: $W_{49..61}$ 的分解门 (分解为 $(10, 7, 2, 13)$ 位的片)
- $W^{a (10)} + 2^{10} W^{b (7) l o} + 2^{12} W^{b (7) mi d} + 2^{15} W^{b (7) hi} + 2^{17} W^{c (2)} + 2^{19} W^{d (13)} - W = 0$

Compression 区域

+----------------------------------------------------------+
|                                                          |
|          分解 E,										   |
|          Σ_1(E)                                          |
|                                                          |
|                  +---------------------------------------+
|                  |                                       |
|                  |        reduce_5() 以获得  H'		   |
|                  |                                       |
+----------------------------------------------------------+
|          分解 F, 分解 G								   |
|                                                          |
|                        Ch(E,F,G)                         |
|                                                          |
+----------------------------------------------------------+
|                                                          |
|          分解 A,										   |
|          Σ_0(A)                                          |
|                                                          |
|                                                          |
|                  +---------------------------------------+
|                  |                                       |
|                  |        使用 H' 和 reduce_7(),		   |
|				   |		以获得 A_new				       |
|                  |                                       |
+------------------+---------------------------------------+
|          分解 B, 分解 C								   |
|                                                          |
|          Maj(A,B,C)                                      |
|                                                          |
|                  +---------------------------------------+
|                  |        使用 H' 和 reduce_6(),		   | 
|				   |		以获得 E_new					   |
|                  |									   |
+------------------+---------------------------------------+

初始轮：

sd_abcd	sd_efgh	ss0	ss1	s_maj	s_ch_neg	s_ch	s_a_new	s_e_new	s_h_prime	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (E_{0} d (7))$	$E_{0} b (5)^{l o}$	$spread (E_{0} b (5)^{l o})$	$E_{0} b (5)^{hi}$	$spread (E_{0} b (5)^{hi})$	$E_{0}^{l o}$	$spread (E_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$E_{0} c (14)$	$spread (E_{0} c (14))$	$E_{0} a (6)^{l o}$	$spread (E_{0} a (6)^{l o})$	$E_{0} a (6)^{hi}$	$spread (E_{0} a (6)^{hi})$	$E_{0}^{hi}$	$spread (E_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (E_{0} b (5)^{l o})$	$spread (E_{0} b (5)^{hi})$
0	0	0	1	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (E_{0} d (7))$	$spread (E_{0} c (14))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (E_{0} a (6)^{l o})$	$spread (E_{0} a (6)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (F_{0} d (7))$	$F_{0} b (5)^{l o}$	$spread (F_{0} b (5)^{l o})$	$F_{0} b (5)^{hi}$	$spread (F_{0} b (5)^{hi})$	$F_{0}^{l o}$	$spread (F_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$F_{0} c (14)$	$spread (F_{0} c (14))$	$F_{0} a (6)^{l o}$	$spread (F_{0} a (6)^{l o})$	$F_{0} a (6)^{hi}$	$spread (F_{0} a (6)^{hi})$	$F_{0}^{hi}$	$spread (F_{0}^{hi})$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$G_{0} d (7)$	$spread (G_{0} d (7))$	$G_{0} b (5)^{l o}$	$spread (G_{0} b (5)^{l o})$	$G_{0} b (5)^{hi}$	$spread (G_{0} b (5)^{hi})$	$G_{0}^{l o}$	$spread (G_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$G_{0} c (14)$	$spread (G_{0} c (14))$	$G_{0} a (6)^{l o}$	$spread (G_{0} a (6)^{l o})$	$G_{0} a (6)^{hi}$	$spread (G_{0} a (6)^{hi})$	$G_{0}^{hi}$	$spread (G_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$	$Q_{0}^{o dd}$	$K_{0}^{l o}$	$H_{0}^{l o}$	$W_{0}^{l o}$
0	0	0	0	0	0	1	0	0	1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$	$Σ_{1} (E_{0})^{l o}$	$Σ_{1} (E_{0})^{hi}$	$K_{0}^{hi}$	$H_{0}^{hi}$	$W_{0}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$	$Q_{1}^{o dd}$	$P_{1}^{o dd}$	$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$	$H p r im e_{0} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$					$D_{0}^{l o}$	$E_{1}^{l o}$
0	0	0	0	0	0	0	0	1	0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$		$D_{0}^{hi}$	$E_{1}^{hi}$	$E_{1} c a rry$
0	0	0	0	0	1	0	0	0	0	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$A_{0} b (11)$	$spread (A_{0} b (11))$	$A_{0} c (9)^{l o}$	$spread (A_{0} c (9)^{l o})$	$A_{0} c (9)^{mi d}$	$spread (A_{0} c (9)^{mi d})$	$A_{0}^{l o}$	$spread (A_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$A_{0} d (10)$	$spread (A_{0} d (10))$	$A_{0} a (2)$	$spread (A_{0} a (2))$	$A_{0} c (9)^{hi}$	$spread (A_{0} c (9)^{hi})$	$A_{0}^{hi}$	$spread (A_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (c (9)^{l o})$	$spread (c (9)^{mi d})$
0	0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (a (2))$	$spread (c (9)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$B_{0} b (11)$	$spread (B_{0} b (11))$	$B_{0} c (9)^{l o}$	$spread (B_{0} c (9)^{l o})$	$B_{0} c (9)^{mi d}$	$spread (B_{0} c (9)^{mi d})$	$B_{0}^{l o}$	$spread (B_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$B_{0} d (10)$	$spread (B_{0} d (10))$	$B_{0} a (2)$	$spread (B_{0} a (2))$	$B_{0} c (9)^{hi}$	$spread (B_{0} c (9)^{hi})$	$B_{0}^{hi}$	$spread (B_{0}^{hi})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$C_{0} b (11)$	$spread (C_{0} b (11))$	$C_{0} c (9)^{l o}$	$spread (C_{0} c (9)^{l o})$	$C_{0} c (9)^{mi d}$	$spread (C_{0} c (9)^{mi d})$	$C_{0}^{l o}$	$spread (C_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$C_{0} d (10)$	$spread (C_{0} d (10))$	$C_{0} a (2)$	$spread (C_{0} a (2))$	$C_{0} c (9)^{hi}$	$spread (C_{0} c (9)^{hi})$	$C_{0}^{hi}$	$spread (C_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$	$M_{1}^{o dd}$	$spread (A_{0}^{l o})$	$spread (A_{0}^{hi})$		$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$
0	0	0	0	1	0	0	1	0	0	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B_{0}^{l o})$	$spread (B_{0}^{hi})$	$Σ_{0} (A_{0})^{l o}$		$A_{1}^{l o}$	$A_{1} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C_{0}^{l o})$	$spread (C_{0}^{hi})$	$Σ_{0} (A_{0})^{hi}$		$A_{1}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

稳态

sd_abcd	sd_efgh	ss0	ss1	s_maj	s_ch_neg	s_ch	s_a_new	s_e_new	s_h_prime	$a_{0}$	$a_{1}$	$a_{2}$	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$	$a_{9}$
0	1	0	0	0	0	0	0	0	0	{0,1,2}	$F_{0} d (7)$	$spread (E_{0} d (7))$	$E_{0} b (5)^{l o}$	$spread (E_{0} b (5)^{l o})$	$E_{0} b (5)^{hi}$	$spread (E_{0} b (5)^{hi})$	$E_{0}^{l o}$	$spread (E_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$E_{0} c (14)$	$spread (E_{0} c (14))$	$E_{0} a (6)^{l o}$	$spread (E_{0} a (6)^{l o})$	$E_{0} a (6)^{hi}$	$spread (E_{0} a (6)^{hi})$	$E_{0}^{hi}$	$spread (E_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (E_{0} b (5)^{l o})$	$spread (E_{0} b (5)^{hi})$
0	0	0	1	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (E_{0} d (7))$	$spread (E_{0} c (14))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (E_{0} a (6)^{l o})$	$spread (E_{0} a (6)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{0}^{e v e n}$	$spread (P_{0}^{e v e n})$	$spread (E^{l o})$	$spread (E^{hi})$	$Q_{0}^{o dd}$	$K_{0}^{l o}$	$H_{0}^{l o}$	$W_{0}^{l o}$
0	0	0	0	0	0	1	0	0	1	{0,1,2,3,4,5}	$P_{0}^{o dd}$	$spread (P_{0}^{o dd})$	$spread (P_{1}^{o dd})$	$Σ_{1} (E_{0})^{l o}$	$Σ_{1} (E_{0})^{hi}$	$K_{0}^{hi}$	$H_{0}^{hi}$	$W_{0}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{e v e n}$	$spread (P_{1}^{e v e n})$	$spread (F^{l o})$	$spread (F^{hi})$	$Q_{1}^{o dd}$	$P_{1}^{o dd}$	$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$	$H p r im e_{0} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$P_{1}^{o dd}$	$spread (P_{1}^{o dd})$					$D_{0}^{l o}$	$E_{1}^{l o}$
0	0	0	0	0	0	0	0	1	0	{0,1,2,3,4,5}	$Q_{0}^{e v e n}$	$spread (Q_{0}^{e v e n})$	$spread (E_{n e g}^{l o})$	$spread (E_{n e g}^{hi})$	$spread (E^{l o})$		$D_{0}^{hi}$	$E_{1}^{hi}$	$E_{1} c a rry$
0	0	0	0	0	1	0	0	0	0	{0,1,2,3,4,5}	$Q_{0}^{o dd}$	$spread (Q_{0}^{o dd})$	$spread (Q_{1}^{o dd})$		$spread (E^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{e v e n}$	$spread (Q_{1}^{e v e n})$	$spread (G^{l o})$	$spread (G^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$Q_{1}^{o dd}$	$spread (Q_{1}^{o dd})$
1	0	0	0	0	0	0	0	0	0	{0,1,2}	$A_{0} b (11)$	$spread (A_{0} b (11))$	$A_{0} c (9)^{l o}$	$spread (A_{0} c (9)^{l o})$	$A_{0} c (9)^{mi d}$	$spread (A_{0} c (9)^{mi d})$	$A_{0}^{l o}$	$spread (A_{0}^{l o})$
0	0	0	0	0	0	0	0	0	0	{0,1}	$A_{0} d (10)$	$spread (A_{0} d (10))$	$A_{0} a (2)$	$spread (A_{0} a (2))$	$A_{0} c (9)^{hi}$	$spread (A_{0} c (9)^{hi})$	$A_{0}^{hi}$	$spread (A_{0}^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{e v e n}$	$spread (R_{0}^{e v e n})$	$spread (c (9)^{l o})$	$spread (c (9)^{mi d})$
0	0	1	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{0}^{o dd}$	$spread (R_{0}^{o dd})$	$spread (R_{1}^{o dd})$	$spread (d (10))$	$spread (b (11))$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{e v e n}$	$spread (R_{1}^{e v e n})$	$spread (a (2))$	$spread (c (9)^{hi})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$R_{1}^{o dd}$	$spread (R_{1}^{o dd})$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{0}^{e v e n}$	$spread (M_{0}^{e v e n})$	$M_{1}^{o dd}$	$spread (A_{0}^{l o})$	$spread (A_{0}^{hi})$		$H p r im e_{0}^{l o}$	$H p r im e_{0}^{hi}$
0	0	0	0	1	0	0	1	0	0	{0,1,2,3,4,5}	$M_{0}^{o dd}$	$spread (M_{0}^{o dd})$	$spread (M_{1}^{o dd})$	$spread (B_{0}^{l o})$	$spread (B_{0}^{hi})$	$Σ_{0} (A_{0})^{l o}$		$A_{1}^{l o}$	$A_{1} c a rry$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{e v e n}$	$spread (M_{1}^{e v e n})$		$spread (C_{0}^{l o})$	$spread (C_{0}^{hi})$	$Σ_{0} (A_{0})^{hi}$		$A_{1}^{hi}$
0	0	0	0	0	0	0	0	0	0	{0,1,2,3,4,5}	$M_{1}^{o dd}$	$spread (M_{1}^{o dd})$

最后的摘要输出：

s_digest	$a_{3}$	$a_{4}$	$a_{5}$	$a_{6}$	$a_{7}$	$a_{8}$
1	$A_{63}^{l o}$	$A_{63}^{hi}$	$A_{63}$	$B_{63}^{l o}$	$B_{63}^{hi}$	$B_{63}$
0	$C_{63}^{l o}$	$C_{63}^{hi}$	$C_{63}$	$C_{63}^{l o}$	$C_{63}^{hi}$	$C_{63}$
1	$E_{63}^{l o}$	$E_{63}^{hi}$	$E_{63}$	$G_{63}^{l o}$	$G_{63}^{hi}$	$G_{63}$
0	$F_{63}^{l o}$	$F_{63}^{hi}$	$F_{63}$	$H_{63}^{l o}$	$H_{63}^{hi}$	$H_{63}$

背景资料

该部分包含了理解Halo 2证明系统所必须的背景资料。该部分面向的是ELI15水平（即读者只需15岁知识水平）；如果您想进一步提供补充材料，联系我们！

域

对于众多密码学协议来说，域 —— 一种代数结构，都是一个最基本的组件。域，就是指拥有 $+$ 和 $\times$ 两个二元运算的集合（通常是数集），并且满足一系列域公理。举例来说，实数集 $R$ 就是一个拥有不可数无穷多元素的域。

Halo运用有限域，所谓有限域是指域的元素个数是有限的。有限域完全分类如下：

如果 $F$ 是有限域，那么它包含 $∣ F ∣ = p^{k}$ 个元素，其中 $k$ 是整数且 $k \geq 1$ ， $p$ 是一个素数。
任意两个有相同元素个数的有限域是同构的。特别的，素域 $F_{p}$ 上的算术运算与整数模 $p$ 上的加法和乘法是同构的，也就是说， $Z_{p}$ 。这就是我们将 $p$ 作为模数的原因。

我们定义一个域 $F_{q}$ 其中 $q = p^{k}$ . 素数 $p$ 称为它的特征。如果 $k > 1$ ，那么域 $F_{q}$ 就是域 $F_{p}$ 的 $k$ 阶扩张。 (相类似，复数 $C = R (i)$ 就是实数域的扩张）。但是, 在Halo中，我们并不使用扩域。当我们写 $F_{p}$ 我们指的是拥有素数 $p$ 个元素的素域，也就是说此时 $k = 1$ 。

重要注释：

任何域中，都有两个特殊的元素： $0$ ，加法的单位元； $1$ ，乘法的单位元。
一个域中的元素，其在二进制表示中的最低位，可以用来代表它在域上的“符号”以区分它的加法逆元（即负数）。这是因为，对任意一个最低位为 $0$ 的非零元素 $a$ 其加法逆元 $- a = p - a$ 的最低位一定是 $1$ ，反之亦然。我们也可以用一个元素是不是大于 $(p - 1) /2$ 来作为其“符号”。

有限域对于后文中构建多项式和椭圆曲线是很有用处的。椭圆曲线是一个群，我们将马上对群展开讨论。

群

与域相比，群更加简单，并且更多限制；群只有一个二元运算 $\cdot$ ，和更少的公理。群也有一个单位元，我们用 $1$ 表示。

群中任意一个非零元素 $a$ 必有一个唯一的逆元，记为 $b = a^{- 1}$ ，满足 $a \cdot b = 1$ 。

举个例子，域 $F_{p}$ 中所有非零元素形成一个群，同时定义该群的运算就是域上的乘法。

(备注) 加法 vs 乘法符号

如果将 $\cdot$ 写做 $\times$ 或是干脆不写（比如：将 $a \cdot b$ 写做 $ab$ ), 那么正如上文所述，单位元就写做 $1$ , 它的逆元就是 $a^{- 1}$ ，我们说这样的群“被写作乘”。而如果将 $\cdot$ 视为 $+$ , 那么它的单位元就是 $0$ 或者 $O$ , 它的逆元就是 $- a$ , 我们说这样的群“被写做加”。通常，椭圆曲线群用加法符号来表示, 而对于有限域中的元素构成的群用乘法符号表示

当我们使用加法符号时，将写如下式子：

$[k] A = k times A + A + \dots + A$

对于任意非负 $k$ 我们称上式为“标量乘法”;通常，我们使用大写字母变量来表示群的元素。当我们使用乘法符号时，如下等式

$a^{k} = k times a \times a \times \dots \times a$ 就被称为“指数”。无论上述那种情况，我们都将满足 $[k] g = a$ 或 $g^{k} = a$ 的 $k$ 称为 $a$ 在基 $g$ 下的“离散对数”。我们可以通过求逆运算将标量扩展到其逆，也就是说： $[- k] A + [k] A = O$ 或者 $a^{- k} \times a^{k} = 1$ .

有限域元素 $a$ 的阶定义为满足如下条件的最小的正整数 $k$ ， $a^{k} = 1$ （乘法符号）或者 $[k] a = 0$ （加法表示）。 群的阶 就是指群包含的元素的个数。

群总有一个生成集，所谓生成集是这样一个集合，可以使用该集合中的元素通过这些元素的乘方运算（乘法术语）来生成群中的任意一个元素。如果，生成集是 $g_{1.. k}$ ，我们就可以通过 $i = 1 \prod k g_{i}^{a_{i}}$ 生成群的所有元素。对于一个给定的群，它有很多不同的生成集。

如果一个群的存在一个生成集（不一定是唯一的）只有一个元素，记为 $g$ ，那么这个群就是一个循环群。进而，我们称 $g$ 生成了这个群，并且 $g$ 的阶就是该群的阶。

任意一个阶为 $n$ 的有限循环群 $G$ 与整数modulo $n$ （记为 $Z / n Z$ ）是同构的，满足：

$G$ 上的运算 $\cdot$ 与modulo $n$ 的加法对应；
$G$ 的单位元与 $0$ 对应;
有一个生成元 $g \in G$ 与 $1$ 对应.

对于一个给定的生成元 $g$ ，容易证明 $Z / n Z \to G$ 是成立的，因为 $a \mapsto g^{a}$ （或是用加法符号， $a \mapsto [a] g$ ）。通常，证明 $G \to Z / n Z$ 会难一些。我们将在椭圆曲线中进一步讨论这个问题。

如果一个有限群的阶 $n$ 是一个素数，那么该群是个循环群，并且每个非单位元元素都是其生成元。

有限域的乘法子群

我们用符号 $F_{p}^{\times}$ 来代表集合 $F_{p} - {0}$ 上的乘法群（也就是说，群的运算就是 $F_{p}$ 的乘法）。

在 $F_{p}^{\times}$ 子群，一个快速求逆的方法是 $a^{- 1} = a^{p - 2}$ 。这是因为，由费马小定理可知，如果 $p$ 是一个素数，对任意整数 $a$ 且 $a$ 不是 $p$ 的倍数，都有 $a^{p} = a (mod p)$ 。如果 $a$ 是非零整数，那么我们可以除两次 $a$ 就获得 $a^{p - 2} = a^{- 1} .$ 。

设 $α$ 是 $F_{p}^{\times}$ 的生成元，所以 $α$ 的阶是 $p - 1$ （等于 $F_{p}^{\times}$ 的元素的个数）. 因此，对任意一个 $a \in F_{p}^{\times}$ 都存在唯一一个 $i \in {0.. p - 2}$ 满足 $a = α^{i}$ .

值得注意的是 $a \times b$ 其中 $a, b \in F_{p}^{\times}$ 确实可以表示成 $α^{i} \times α^{j}$ 其中 $a = α^{i}$ 并且 $b = α^{j}$ 。实际上，对任意 $0 \leq i, j < p - 1$ 它也保持了如下运算 $α^{i} \times α^{j} = α^{i + j}$ 。因此，域上非零元素的乘法就可以表示成关于某个特定生成元 $α$ 的在模 $p - 1$ 上的加法。这个加法，就出现在“指数”上。

这是另一种理解 $a^{p - 2}$ 就是域元素的逆元的方法：

$p - 2 \equiv - 1 (mod p - 1),$

所以 $a^{p - 2} = a^{- 1}$ 。

蒙哥马利技巧

蒙哥马利技巧，以彼得 · 蒙哥马利 (RIP) 得名，是同时计算很多群元素的逆元的一种方法。它通常用于在 $F_{p}^{\times}$ 中求逆，在其上求逆运算要比乘法运算代价大得多。

假设我们要计算三个非零元素 $a, b, c \in F_{p}^{\times}$ 的逆元。不似常规，我们将计算如下两个积 $x = ab$ 和 $y = x c = ab c$ ，并且计算如下的逆

$z = y^{p - 2} = \frac{1}{ab c} .$

现在我们可以 $z$ 乘以 $x$ 以获得 $\frac{1}{c}$ ，并且 $z$ 乘以 $c$ 得到 $\frac{1}{ab}$ , 进一步该值分别乘以 $a, b$ 就分别获得了想要的逆元。

该技术可以推广，仅仅一次求逆运算就可以计算出任意个数的群元素的逆。

乘法子群

所谓群 $G$ 在 $\cdot$ 下的子群就是， $G$ 中元素的一个子集在 $\cdot$ 下仍然是一个群。

在前面的章节中，我们说 $α$ 是 $(p - 1)$ -阶群 $F_{p}^{\times}$ 的生成元。该群拥有合数阶，所以依据中国剩余定理¹ 它有真子群。举个例子，假设 $p = 11$ ，那么 $p - 1$ 可以分解为 $5 \cdot 2$ 。因此，存在一个以 $β$ 为生成元的 $5$ -阶子群和一个以 $γ$ 为生成元的 $2$ -阶子群。进一步， $F_{p}^{\times}$ 中所有元素都可以表示为 $β^{i} \cdot γ^{j}$ 其中 $i$ (modulo $5$ ) 和 $j$ (modulo $2$ ).

如果我们有 $a = β^{i} \cdot γ^{j}$ 请注意如下计算过程

$a^{5} = (β^{i} \cdot γ^{j})^{5} = β^{i \cdot 5} \cdot γ^{j \cdot 5} = β^{0} \cdot γ^{j \cdot 5} = γ^{j \cdot 5};$

我们“消灭”了 $5$ -阶子群部分，仅仅只用 $2$ -阶子群就生成了这个值。

拉格朗日定理 (群论) 告诉我们，有限群 $G$ 的任意一个子群 $H$ 的阶能整除 $G$ 的阶。因此 $F_{p}^{\times}$ 的任何子群的阶必定能整除 $p - 1$ 。

PLONK-based 证明系统，如 Halo 2，可以更方便的利用拥有大量乘法子群的域，并且这些子群是“平滑”分布（好处是使得性能差距更小，并且可以以更细的力度增长电路规模）。Pallas 和 Vesta 曲线有如下形式的素数

$T \cdot 2^{S} = p - 1$

其中 $S = 32$ 并且 $T$ 奇数（这就是说， $p - 1$ 的低32位都是 $0$ ）。这意味着，它们有阶为 $2^{k}$ 的乘法子群，其中 $k \leq 32$ 。这些 2进制乘法子群对efficient FFTs 十分友好，而且也可以支持多种电路规模。

平方根

在域 $F_{p}$ 有一半的非零元素都是完全平方元素；剩下的就是非平方或者“二次非剩余”。为了说明此一事实，考虑 $α$ 生成的 $F_{p}^{\times}$ 的 2-阶乘法子群（该子群必然存在，因为当 $p$ 是一个大于等于 $2$ 的素数的时候， $p - 1$ 能被 $2$ 整除）和一个由 $β$ 生成的 $F_{p}^{\times}$ 的 $t$ -阶乘法子群，其中 $p - 1 = 2 t$ 。进而每个元素 $a \in F_{p}^{\times}$ 均可以唯一地表示为 $α^{i} \cdot β^{j}$ 其中 $i \in Z_{2}$ 并且 $j \in Z_{t}$ 。那么有一半的元素满足 $i = 0$ 而另一半元素满足 $i = 1$ 。

考虑一个简单的例子， $p \equiv 3 (mod 4)$ 那么 $t$ 必是一个奇数（如果 $t$ 是偶数，则 $p - 1$ 必能被 $4$ 整除，而这与 $p$ 是 $3 (mod 4)$ 矛盾）。如果 $a \in F_{p}^{\times}$ 是一个完全平方数，则必存在一个 $b = α^{i} \cdot β^{j}$ 使得 $b^{2} = a$ 。这就意味着，

$a = (α^{i} \cdot β^{j})^{2} = α^{2 i} \cdot β^{2 j} = β^{2 j} .$

换句话说，某个特定域中的完全平方数不可能生成其 $2$ -阶乘法子群，而且由于有一半的元素可以产生其 $2$ -阶子群，所以该域中至多有一半的元素是完全平方数。事实上，有且仅有一半的元素是完全平方数（这是因为，每一个非平方元素的平方都是唯一的）。这就意味着，我们可以假设所有的完全平方数都可以表示为 $β^{m}$ 对某个 $m$ ，因此求平方根就变成了一个指数运算，指数就是 $2^{- 1} (mod t)$ 。

而如果 $p \equiv 1 (mod 4)$ 那问题就变得复杂得多，因为 $2^{- 1} (mod t)$ 并不存在。记 $p - 1$ = $2^{k} \cdot t$ 其中 $t$ 是奇数。 $k = 0$ 不可能， $k = 1$ 上面已经讨论，现在考虑 $k \geq 2$ 。 $α$ 生成一个 $2^{k}$ -阶乘法子群而 $β$ 生成一个奇数 $t$ -阶得乘法子群。进而每个元素 $a \in F_{p}^{\times}$ 都可以表示为 $α^{i} \cdot β^{j}$ 其中 $i \in Z_{2^{k}}$ 并且 $j \in Z_{t}$ 。如果某元素是完全平方数，就是说存在 $b = a$ 而 $b$ 本身可以表示为 $b = α^{i^{'}} \cdot β^{j^{'}}$ 对于 $i^{'} \in Z_{2^{k}}$ 和 $j^{'} \in Z_{t}$ 。这意味着 $a = b^{2} = α^{2 i^{'}} \cdot β^{2 j^{'}}$ ，因此我们推出 $i \equiv 2 i^{'} (mod 2^{k})$ ，并且 $j \equiv 2 j^{'} (mod t)$ 。那么在这种情况下 $i$ 就必须是一个偶数，否则对任意 $i^{'}$ , $i \equiv 2 i^{'} (mod 2^{k})$ 就不能成立。反之，如果 $a$ 不是一个完全平方数，那么 $i$ 就是一个奇数。综上，一半的元素是完全平方数。

为了计算平方根，我们首先将 $a = α^{i} \cdot β^{j}$ 升次到 $t$ 以“消灭” $t$ -阶部分，计算

$a^{t} = α^{i t (mod 2)^{k}} \cdot β^{j t (mod t)} = α^{i t (mod 2)^{k}}$

然后在此基础上计算 $t^{- 1} (mod 2^{k})$ 次方，以消除其 $2^{k}$ -阶部分原始指数的影响：

$(α^{i t mod 2^{k}})^{t^{- 1} (mod 2^{k})} = α^{i}$

（因为 $t$ 与 $2^{k}$ 是互素的）。这就暴露出 $α^{i}$ 的值可以让我们进一步处理。相似的，我们可以消除 $2^{k}$ -阶部分以获得 $β^{j \cdot 2^{- 1} (mod t)}$ （译者注：此处应该是笔误， $β^{j (mod t)}$ ），将这两个值合起来就得出了平方根。

已经证明当 $k = 2, 3$ 时，有更简便的方法来合并这些指数以提高效率。而对于其他的 $k$ 值，唯一获取 $i$ 的方法就是，不断平方以最终确定 $i$ 的每一位。这就是 Tonelli-Shanks square root algorithm 算法的本质，并且该算法还描述了一半的策略。（当然还有另外一种用二次扩域的求取平方根的算法，但是直到素数变得相当大时，该算法才有效率优势）。

单位根

在前一章节，我们令 $p - 1 = 2^{k} \cdot t$ 其中 $t$ 是奇数，并且阐明元素 $α \in F_{p}^{\times}$ 生成其 $2^{k}$ -阶子群。为方便起见，不妨设 $n := 2^{k}$ 。那么元素 ${1, α, \dots, α^{n - 1}}$ 都被称为 $n$ 次单位根。

所谓 本原单位根， $ω$ ，是满足如下条件的 $n$ 次单位根 $ω^{i} \neq = 1$ 除非 $i \equiv 0 (mod n)$ .

重要补充：

如果 $α$ 是一个 $n$ 次单位根，那么 $α$ 满足 $α^{n} - 1 = 0$ 。如果 $α \neq = 1$ ，那么 $1 + α + α^{2} + \dots + α^{n - 1} = 0$ 。
相应地，单位根集合就是如下方程的解 $X^{n} - 1 = (X - 1) (X - α) (X - α^{2}) \dots (X - α^{n - 1}) .$
$ω^{\frac{n}{2} + i} = - ω^{i}$ ("负数引理")。证明： $ω^{n} = 1 ⟹ ω^{n} - 1 = 0 ⟹ (ω^{n /2} + 1) (ω^{n /2} - 1) = 0.$ 因为 $ω$ 的阶是 $n$ , $ω^{n /2} \neq = 1$ 。因此， $ω^{n /2} = - 1$ 。
$(ω^{\frac{n}{2} + i})^{2} = (ω^{i})^{2}$ ("折半引理")。证明：
$(ω^{\frac{n}{2} + i})^{2} = ω^{n + 2 i} = ω^{n} \cdot ω^{2 i} = ω^{2 i} = (ω^{i})^{2} .$ 换句话说，如果我们平方每一个 $n$ 次单位根集合中的元素，我们只会得到一半的元素 ${(ω_{n}^{i})^{2}} = {ω_{n /2}}$ （这就是 $\frac{n}{2}$ 次单位根）。在元素和它们的平方之间存在一个 $2 \to 1$ 的映射。

参考

Friedman, R. (n.d.) "Cyclic Groups and Elementary Number Theory II" (p. 5).

多项式

$A (X)$ 是一个以 $X$ 为自变量的 $F_{p}$ 上的多项式。例如，

$A (X) = a_{0} + a_{1} X + a_{2} X^{2} + a_{3} X^{3}$

就定义了一个 $3$ 次多项式。 $a_{0}$ 是常数项。 $n - 1$ 次多项式有 $n$ 个系数。我们经常想要将自变量 $X$ 用一个具体值 $x$ 替换掉，以计算其在该具体值 $x$ 处的值，表示为 $A (x)$ 。

在数学上这通常被称为 “求 $A (X)$ 在点 $x$ 处的值”。所谓“点”，是从多项式的几何表示来的，将多项式表示为 $y = A (x)$ ，那么 $(x, y)$ 就是一个二维空间中的一个点的坐标。但是我们处理的多项式通常总是等于零，并且 $x$ 是一个某个域中的元素。不应该与椭圆曲线的点混淆，椭圆曲线上的点的说法我们也要经常使用，但是不在多项式求值的语境下使用。

重要说明：

多项式相乘，将产生这样一个积多项式，该多项式的次数是其因子多项式的次数的和。多项式除法，则会减去相应的次数。 $de g (A (X) B (X)) = de g (A (X)) + de g (B (X)),$ $de g (A (X) / B (X)) = de g (A (X)) - de g (B (X)) .$
给定一个 $n - 1$ 次多项式 $A (X)$ ，如果我们在 $n$ 个不同点求取了多项式的值，那么这些值就能唯一确定该多项式。换句话说，给定 $n$ 个不同点值，我们就能通过多项式插值来唯一确定 $n - 1$ 次多项式 $A (X)$ 。
$[a_{0}, a_{1}, \dots, a_{n - 1}]$ 是多项式 $A (X)$ 的 系数表示, 我们也可以用它在 $n$ 个不同点处的 点值表示 $[(x_{0}, A (x_{0})), (x_{1}, A (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}))]$ 来表示它。不管那种表示方法，都唯一确定了相同的多项式。

（备注）霍纳法则

霍纳法则可以仅仅使用 $n - 1$ 次乘法和 $n - 1$ 次加法就高效地求得一个 $n - 1$ 次多项式在某处的取值。霍纳法则如下： $a_{0} + a_{1} X + a_{2} X^{2} + \dots + a_{n - 1} X^{n - 1} = a_{0} + X (a_{1} + X (a_{2} + \dots + X (a_{n - 2} + X a_{n - 1}))),$

快速傅里叶变换 (FFT)

FFT是一种在系数表示和点值表示之间进行转换的高效方法。它在多项式的 $n$ 个 $n$ 次单位根上求取多项式的值。这 $n$ 个 $n$ 次单位根是 ${ω^{0}, ω^{1}, \dots, ω^{n - 1}},$ 其中 $ω$ 是多项式的主单位根。通过利用单位根中的对称性，FFT的每一轮计算都只计算问题规模的一半。绝大多数情况下，我们都要求多项式的次数是 $2$ 的幂次，即 $n = 2^{k}$ ，并递归运用减半算法。

动机：快速计算多项式乘法

在系数表示下，计算多项式相乘需要 $O (n^{2})$ 次计算。比如， $A (X) \cdot B (X) = C (X)$ ：

$A (X) B (X) C (X) = a_{0} + a_{1} X + a_{2} X^{2} + \dots + a_{n - 1} X^{n - 1}, = b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}, = a_{0} \cdot (b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}) + a_{1} X \cdot (b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}) + \dots + a_{n - 1} X^{n - 1} \cdot (b_{0} + b_{1} X + b_{2} X^{2} + \dots + b_{n - 1} X^{n - 1}),$

显而易见，第一个多项式中的 $n$ 项必须与第二个多项式的 $n$ 项相乘。

而在点值表示下，多项式相乘仅仅需要 $O (n)$ 计算：

$A B C : {(x_{0}, A (x_{0})), (x_{1}, A (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}))}, : {(x_{0}, B (x_{0})), (x_{1}, B (x_{1})), \dots, (x_{n - 1}, B (x_{n - 1}))}, : {(x_{0}, A (x_{0}) B (x_{0})), (x_{1}, A (x_{1}) B (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}) B (x_{n - 1}))},$

每个值都按照点的顺序相应计算即可。

这就提示了如下的快速计算多项式乘法的策略：

对多项式在 $n$ 个点处求值（转成点值表示）
在点值表示下，按照点的顺序依次计算积多项式的点 ( $O (n)$ ) （计算积多项式的点值表示）;
将积多项式的点值表示转换成系数表示。

现在的挑战就是如何高效地进行多项式求值和插值。最朴素的方法，对多项式在 $n$ 个点处进行求值将需要 $O (n^{2})$ 计算（我们在每一个点处都使用 $O (n)$ 的霍纳法则）：

$⎣ ⎡ A (1) A (ω) A (ω^{2}) ⋮ A (ω^{n - 1}) ⎦ ⎤ = ⎣ ⎡ 111 ⋮ 1 1 ω ω^{2} ⋮ ω^{n - 1} 1 ω^{2} ω^{2 \cdot 2} ⋮ ω^{2 (n - 1)} \dots \dots \dots \dots 1 ω^{n - 1} ω^{2 \cdot (n - 1)} ⋮ ω^{(n - 1)^{2}} ⎦ ⎤ \cdot ⎣ ⎡ a_{0} a_{1} a_{2} ⋮ a_{n - 1} ⎦ ⎤ .$

方便起见，我们将如下表示上面的矩阵： $\hat{A} = V_{ω} \cdot A .$

（ $\hat{A}$ 就是 $A$ 的 离散傅里叶变换； $V_{ω}$ 也被称为 范德蒙矩阵。）

(radix-2) Cooley-Tukey 算法

我们的策略就是将一个规模为 $n$ 的 DFT 分成两个规模分别为 $n /2$ 的 DFT。假定多项式 $A (X) = a_{0} + a_{1} X + a_{2} X^{2} + \dots + a_{n - 1} X^{n - 1},$ 我们将其按照奇数项和偶数项进行拆分：

$A_{even} A_{odd} = a_{0} + a_{2} X + \dots + a_{n - 2} X^{\frac{n}{2} - 1}, = a_{1} + a_{3} X + \dots + a_{n - 1} X^{\frac{n}{2} - 1} .$

于是原多项式就是： $A (X) = A_{even} (X^{2}) + X A_{odd} (X^{2}) .$

尝试在 $ω_{n}^{i}$ and $ω_{n}^{\frac{n}{2} + i}$ , $i \in [0.. \frac{n}{2} - 1]$ 处求值，我们就能发现某些对称性：

$A (ω_{n}^{i}) A (ω_{n}^{\frac{n}{2} + i}) = A_{even} ((ω_{n}^{i})^{2}) + ω_{n}^{i} A_{odd} ((ω_{n}^{i})^{2}), = A_{even} ((ω_{n}^{\frac{n}{2} + i})^{2}) + ω_{n}^{\frac{n}{2} + i} A_{odd} ((ω_{n}^{\frac{n}{2} + i})^{2}) = A_{even} ((- ω_{n}^{i})^{2}) - ω_{n}^{i} A_{odd} ((- ω_{n}^{i})^{2}) \leftarrow (negation lemma) = A_{even} ((ω_{n}^{i})^{2}) - ω_{n}^{i} A_{odd} ((ω_{n}^{i})^{2}) .$

值得注意的是，我们仅仅在一半的domain上求取 $A_{even} (X)$ 和 $A_{odd} (X)$ 这是因为 ${(ω_{n}^{0})^{2}, (ω_{n})^{2}, \dots, (ω_{n}^{\frac{n}{2} - 1})^{2}} = {ω_{n /2}^{i}}, i = [0.. \frac{n}{2} - 1]$ （折半引理）。

但是这些值却能帮助我们在完整domain ${ω^{0}, ω, \dots, ω^{n - 1}}$ 上求出 $A (X)$ 。这就意味着，我们将一个成都为 $n$ 的 DFT 转化成了两个长度为 $n /2$ 的 DFT。

我们选择 $n = 2^{k}$ 为 $2$ 的幂次（必要时，可以添 $0$ 补齐），然后递归地运用这种分治策略。由主定理可知¹，这种多项式求值算法仅需要 $O (n lo g_{2} n)$ 计算，这就是著名的快速傅里叶变换（FFT）。

逆FFT

我们已经求得了多项式的值并将它们按照点的顺序进行了相乘。剩下的工作就是要把积的点值表示转换成系数表示。做这件事，我们仍然是在点值上调用FFT。只不过，这次我们将做如下修正：

将范德蒙矩阵中的 $ω^{i}$ 用 $ω^{- i}$ 替换掉
把最后的结果乘以 $1/ n$ 。

也就是： $A = \frac{1}{n} V_{ω^{- 1}} \cdot \hat{A} .$

(为了理解为什么逆FFT与FFT有相似的形式，请参考 13-1 ²。下图也是从 ²来的。）

Schwartz-Zippel 引理

Schwartz-Zippel 引理的通俗解释就是 “不同的多项式在绝大多数点上的值都是不同的”。它的正式表述如下：

令 $p (x_{1}, x_{2}, \dots, x_{n})$ 是有 $n$ 个变量的 $d$ 次非零多项式。 $S$ 是一个至少有 $d$ 个元素的集合。如果我们从 $S$ 中随机选择 $α_{1}, α_{1}, \dots, α_{n}$ , $Pr [p (α_{1}, α_{2}, \dots, α_{n}) = 0] \leq \frac{d}{∣ S ∣} .$

在 $p$ 是我们更熟悉的单变量多项式的情况下，如 $p (X)$ 退化成，一个 $d$ 次的非零多项式至多有 $d$ 个根。

Schwartz-Zippel引理可以用来检验两个多项式是否相等。设有两个多变量的多项式 $p_{1} (x_{1}, \dots, x_{n})$ 和 $p_{2} (x_{1}, \dots, x_{n})$ ，它们的次数分别是 $d_{1} ， d_{2}$ 。我们选取随机数 $α_{1}, \dots, α_{n} \leftarrow S$ ，其中 $S$ 的元素个数至少是 $∣ S ∣ \geq (d_{1} + d_{2})$ ，进而验证 $p_{1} (α_{1}, \dots, α_{n}) - p_{2} (α_{1}, \dots, α_{n}) = 0$ 是否都成立。如果两个多项式相同，那么上式会一直成立，而如果两个多项式不相同，那么上式成立的概率至多就是 $\frac{m a x ( d _{1} , d _{2} )}{∣ S ∣}$ 。

Vanishing多项式

考虑这样一个 $n$ -阶乘法子群 $H$ ，它的主单位根是 $ω$ 。对所有 $ω^{i} \in H, i \in [n - 1]$ ，有 $(ω^{i})^{n} = (ω^{n})^{i} = (ω^{0})^{i} = 1$ 。这就是说 $H$ 中的每个元素都满足如下等式

$Z_{H} (X) = X^{n} - 1 = (X - ω^{0}) (X - ω^{1}) (X - ω^{2}) \dots (X - ω^{n - 1}),$

这就是说每个元素都是 $Z_{H} (X)$ 的根。我们称 $Z_{H} (X)$ 就是在 $H$ 上的 Vanishing 多项式 因为该多项式在 $H$ 中每个元素处的取值都为 $0$ 。

这在检验多项式约束的时候尤其有用。举个例子, 检验 $A (X) + B (X) = C (X)$ 在 $H$ 上的正确性，我们只需简单地验证 $A (X) + B (X) - C (X)$ 的 $Z_{H} (X)$ 倍数。这就是说，如果我们的约束除以消除多项式，仍然是一个多项式，即： $\frac{A ( X ) + B ( X ) - C ( X )}{Z _{H} ( X )} = H (X)$ ，那么我们就说在 $H$ 上 $A (X) + B (X) - C (X) = 0$ 成立。

拉格朗日基函数

TODO: explain what a basis is in general (briefly).

多项式通常以单项式基(例如， $X, X^{2}, ... X^{n}$ )来表示。但是当我们在一个 $n$ 阶乘法子群上工作时，我们找到了更加自然表示方式，就是以拉格朗日基来表示。

考虑一个 $n$ -阶乘法子群 $H$ ，它的主单位根是 $ω$ 。则该子群相应的拉格朗日基就是这样一个函数集合 ${L_{i}}_{i = 0}^{n - 1}$ , 其中

$L_{i} (ω^{j}) = {10 if i = j, otherwise.$

我们可以更简洁地写为 $L_{i} (ω^{j}) = δ_{ij},$ 其中 $δ$ 就是Kronecker delta函数。

于是，我们可以用拉格朗日基函数的线性组合来表示我们的多项式,

$A (X) = i = 0 \sum n - 1 a_{i} L_{i} (X), X \in H,$

上式其实就等价于我们说 $p (X)$ 在 $ω^{0}$ 的值是 $a_{0}$ ， $ω^{1}$ 的值是 $a_{1}$ ，在 $ω^{2}$ 的值是 $a_{2}$ ， $\cdot$ 等等。

当我们在一个乘法子群上工作时，拉格朗日基函数有一个很方便的稀疏表示形式：

$L_{i} (X) = \frac{c _{i} \cdot ( X ^{n} - 1 )}{X - ω ^{i}},$

其中 $c_{i}$ 质心权重。(欲理解该形式如何推导，请参考³。) 对 $i = 0$ ，有

$c = 1/ n ⟹ L_{0} (X) = \frac{1}{n} \frac{( X ^{n} - 1 )}{X - 1}$ .

假设我们有一系列多项式的值 ${x_{0}, x_{1}, \dots, x_{n - 1}}$ 。由于我们不能假设 $x_{i}$ 会形成一个乘法子群，我们就用拉格朗日多项式 $L_{i}$ 的一般形式于是我们构建：

$L_{i} (X) = j \neq = i \prod \frac{X - x _{j}}{x _{i} - x _{j}}, i \in [0.. n - 1] .$

这里，任何 $X = x_{j} \neq = x_{i}$ 都会产生一个分子为 $0$ 的项 $(x_{j} - x_{j})$ ，这就导致整个的积就是 $0$ 。另一方面，当 $X = x_{i}$ 时，每一项都是 $\frac{x _{i} - x _{j}}{x _{i} - x _{j}}$ 因此整体的积就是 $1$ 。于是我们给出了在集合 ${x_{0}, x_{1}, \dots, x_{n - 1}}$ 上的 Kronecker delta 函数 $L_{i} (x_{j}) = δ_{ij}$ 。

拉格朗日插值

设给定一个多项式的点值表示如下，

$A : {(x_{0}, A (x_{0})), (x_{1}, A (x_{1})), \dots, (x_{n - 1}, A (x_{n - 1}))},$

我们可以利用拉格朗日基重建其系数表示：

$A (X) = i = 0 \sum n - 1 A (x_{i}) L_{i} (X),$

其中 $X \in {x_{0}, x_{1}, \dots, x_{1 - n}}$ 。

References

Dasgupta, S., Papadimitriou, C. H., & Vazirani, U. V. (2008). "Algorithms" (ch. 2). New York: McGraw-Hill Higher Education.

Golin, M. (2016). "The Fast Fourier Transform and Polynomial Multiplication" [lecture notes], COMP 3711H Design and Analysis of Algorithms, Hong Kong University of Science and Technology.

Berrut, J. and Trefethen, L. (2004). "Barycentric Lagrange Interpolation."

密码群

在章节群中，我们引入了群的概念。群有一个单位元和一个群运算。本节，我们将写一个加法群，也就是说，它的单位元是 $O$ ，群运算是 $+$ 。

有些群可以被用于密码学，是为 密码群。这意味着，通常来讲，找到一个在基 $G$ 下群元素 $P$ 的离散对数是困难的。找到离散对数，就是找到一个 $x$ 使它满足 $P = [x] G$ 。

Pedersen承诺

Pedersen承诺 [P99] 是一种以可验证的方式对一个秘密消息进行承诺的方法。它使用两个公开的、随机的生成元 $G, H \in G,$ ， $G$ 是一个 $p$ 阶的密码群。在 $Z_{q}$ 上随机选取一个秘密 $r$ ，而欲承诺的消息 $m$ 来自于 $Z_{q}$ 的任意一个子集。那么该消息的承诺就是：

$c = Commit (m, r) = [m] G + [r] H .$

为了打开这个承诺，承诺者必须曝露 $m$ 和 $r$ ，以使任何人都能验证 $c$ 确实是 $m$ 的承诺。

注意，Pedersen承诺机制是同态的：

$Commit (m, r) + Commit (m^{'}, r^{'}) = [m] G + [r] H + [m^{'}] G + [r^{'}] H = [m + m^{'}] G + [r + r^{'}] H = Commit (m + m^{'}, r + r^{'}) .$

假设离散对数假设能够满足，那Pedersen承诺就是完美的隐藏(hiding)，计算意义上的绑定(binding)

隐藏: 对方选择两个消息 $m_{0}, m_{1}$ 。承诺者承诺其中一条消息 $c = Commit (m_{b}; r), b \in {0, 1}$ 。给定 $c$ ，则对手猜出 $b$ 的正确值得概率不超过 $\frac{1}{2}$ 。
绑定: 对方不可能选择两个不同的消息 $m_{0} \neq = m_{1},$ 与随机数 $r_{0}, r_{1},$ 而能使下列等式成立 $Commit (m_{0}, r_{0}) = Commit (m_{1}, r_{1}) .$

向量Pedersen承诺

我们可以使用Pedersen承诺的一种变形，来一次性承诺多条消息， $m = (m_{1}, \dots, m_{n})$ 。此时我们需要选取相应数量的随机、公开生成元 $G = (G_{0}, \dots, G_{n - 1})$ ，以及一个跟以前一样随机的生成元 $H$ （用于隐藏）。那么该承诺机制就是：

$Commit (m; r) = Commit ((m_{0}, \dots, m_{n - 1}); r) = [r] H + [m_{0}] G_{0} + \dots + [m_{n - 1}] G_{n - 1} = [r] H + i = 0 \sum n - 1 [m_{i}] G_{i} .$

TODO: is this positionally binding?

Diffie--Hellman

应用密码群的一个例子就是 Diffie--Hellman 密钥协议 [DH1976]。Diffie--Hellman 协议是一种为两个使用者，Alice 和 Bob，产生一个共享密钥的方法。它的过程如下：

Alice 和 Bob 公开协商出两个素数， $p$ 和 $G$ ，其中 $p$ 是一个大素数 $G$ 是 $(mod p)$ 本原根（注意 $g$ 是群 $F_{p}^{\times}$ 的生成元）。
Alice 选取一个大的随机数 $a$ 作为她的私钥。她计算她的公钥 $A = [a] G (mod p)$ ，并把其公钥 $A$ 发送给 Bob。
类似地，Bob 也选择一个大的随机数 $b$ 作为他的私钥。然后计算他自己的公钥 $B = [b] G (mod p)$ ，并将其公钥 $B$ 发送给 Alice。
接下来 Alice 和 Bob 都可以计算他们共享密钥 $K = [ab] G (mod p)$ ，Alice 将计算 $K = [a] B (mod p) = [a] ([b] G) (mod p),$ 而 Bob 将计算 $K = [b] A (mod p) = [b] ([a] G) (mod p) .$

潜在的窃密者的目的是在已知 $g, p, A = [a] G,$ and $B = [b] G$ 这些公开信息下，求解出密钥 $K = [ab] g (mod p)$ 。换句话说，他们不得不从 $A = [a] G$ 求解离散对数 $a$ ，或者从 $B = [b] G$ 中求解离散对数 $b$ ，而在 $F_{p}^{\times}$ 上求解诸如此类的离散对数问题被认为是计算不可能的。

更一般地，密码学中很多协议都运用了与 Diffie--Hellman 相类似的想法。一个密码群的实例就是椭圆曲线。在我们进一步探讨椭圆曲线的诸多细节之前，我们将描述一些群上通用算法。

Multiscalar multiplication

TODO: Pippenger's algorithm

Reference: https://jbootle.github.io/Misc/pippenger.pdf

椭圆曲线

在有限域上构造的椭圆曲线是密码学的另一个重要工具。

椭圆曲线就是一个密码群，即：该群上的离散对数问题是困难的。

有许多种定义椭圆方程的方法，就我们而言，我们做如下定义， $F_{p}$ 是一个巨大的域 (255-bit)，有方程 $y^{2} = x^{3} + b$ 其中 $b$ 是一个常数， $(x, y)$ 是它的解，其所有解组成一个集合，我们就称该集合就是在椭圆曲线 $E (F_{p})$ 上的 $F_{p}$ -有理点集。这些坐标 $(x, y)$ 就被称为“仿射坐标”。 $F_{p}$ -有理点集中的所有点与“无穷远点” $O$ 就组成了一个群，其中 $O$ 就是该群的单位元。通常椭圆曲线群用加法来表示。

"共线三点的和是 $0$ , 也就是无穷远点。"

群加法法则很简单：两个点相加，就是找到过两个点的直线并与椭圆曲线相交于第三个点，并将该点的 $y$ 坐标取相反数。自己加自己，也就是二倍点运算，需要进行一些特殊处理：我们求出直线在该点的正切值，进而求出该直线交椭圆曲线的另一点，然后再取逆。反之，若一个点与它的逆元相加，结果就是无穷远点。

通过点加和二倍点运算，我们很自然就能计算点的标量乘法，即点乘以一个整数，这些整数就被称为标量。椭圆曲线点的个数就是群的阶。如果这个阶是个素数 $q$ ，于是所有的标量就可以视为 标量域 $F_{q}$ 中的元素。

精心设计的椭圆曲线有一个很重要的安全性质。假定 $G, H$ 是 $E (F_{p})$ 上的两个随机元素，找到一个 $a$ 使得 $[a] G = H$ ，也就是求解关于 $H$ 的对应于 $G$ 的离散对数，在当前经典计算机上，是计算不可能的。这就是椭圆曲线的离散对数假设。

如果椭圆曲线群 $G$ 的阶是素数 $q$ (正如我们在 Halo 2 中所使用的)，则它是一个有限循环群。由上一节群可知，这就是说这个椭圆曲线群与 $Z / q Z$ 是同构的，等价地，与scalar域 $F_{q}$ 是同构的。同构由生成元 $G$ 固定，进而scalar中的元素就是由 $G$ 产生的一个群元素的离散对数。在密码学安全的椭圆曲线下，即便同构，也很难在 $G \to F_{q}$ 这种情况下计算，因为椭圆曲线上的离散对数问题是困难的。

有时利用这种同构性质是很有帮助的，方式是在scalars上思考基于群的密码学的协议或者算法，而不是在群元素上。这会使得证明和表示更加简单。举例来说，现在在有关证明系统的论文中已经普遍采用 $[x]$ 来代表一个有着离散对数 $x$ 的群元素，显然这种表示中已经隐去了生成元。

我们也如下课题中采用了此一思想， "distinct-x theorem", 用来证明 for elliptic curve scalar multiplication中优化的正确性以及原始 Halo paper 附录C中所提及的基于同态的优化。

椭圆曲线算术

二倍点运算

求点 $(x_{0}, y_{0})$ 的 $2$ 倍是最简单的情况。继续我们前文的例子，设椭圆曲线是 $y^{2} = x^{3} + b$ ，所以第一步计算就是求如下导数： $λ = \frac{d y}{d x} = \frac{3 x ^{2}}{2 y} .$

为了得到计算 $(x_{1}, y_{1}) = (x_{0}, y_{0}) + (x_{0}, y_{0})$ 的公式，考虑

$\frac{- y _{1} - y _{0}}{x _{1} - x _{0}} = λ ⟹ - y_{1} = λ (x_{1} - x_{0}) + y_{0} ⟹ y_{1} = λ (x_{0} - x_{1}) - y_{0} .$

为了得到 $x_{1}$ 的公式，将 $y = λ (x_{0} - x) - y_{0}$ 带入椭圆曲线方程：

$y^{2} = x^{3} + b ⟹ (λ (x_{0} - x) - y_{0})^{2} = x^{3} + b ⟹ x^{3} - λ^{2} x^{2} + \dots = 0 \leftarrow (rearranging terms) = (x - x_{0}) (x - x_{0}) (x - x_{1}) \leftarrow (known roots x_{0}, x_{0}, x_{1}) = x^{3} - (x_{0} + x_{0} + x_{1}) x^{2} + \dots .$

通过比较 $x^{2}$ 项的系数，我们就得到了 $λ^{2} = x_{0} + x_{0} + x_{1} ⟹ x_{1} = λ^{2} - 2 x_{0}$ 。

射影坐标

上面计算中有求 $2 y$ 的逆元的计算，而求逆运算是十分昂贵的。我们可以通过对椭圆曲线方程进行变换来“推迟”求逆运算，因为通常在一个单独的曲线运算之后，通常并不马上就要得到相关结果的仿射坐标 $(x^{'}, y^{'})$ 。基于此一想法，我们引入第三个坐标 $Z$ 并在方程两边同乘以 $Z^{3}$ 。如下所示：

$Z^{3} y^{2} = Z^{3} x^{3} + Z^{3} b$

特别的，我们最开始的椭圆曲线就是 $Z = 1$ 的情况。令仿射坐标点 $(x, y)$ 可以表示成以下方式 $X = x Z$ , $Y = y Z$ and $Z \neq = 0$ ，则我们就得到了一条同态射影曲线

$Y^{2} Z = X^{3} + Z^{3} b .$

将 $(X, Y, Z)$ 转成 $(x, y)$ 是很简单的，只需要在当 $Z \neq = 0$ 时计算 $(X / Z, Y / Z)$ 。 (当 $Z = 0$ 时，它就是一个无穷远点 $O := (0 : 1 : 0)$ )。在该种表示形式下，计算二倍点时所需要的求逆运算就被推迟了。一个通常的方法是将 $x^{'}, y^{'}$ 表示成 $x = X / Z$ 和 $y = Y / Z$ ，转换方程使得分母相同，进一步使结果点 $(X, Y, Z)$ 也有一样的分母，使得 $X = x^{'} Z, Y = y^{'} Z$ 。

射影坐标只是在大多数时候，但是并不总是比仿射坐标效率更好。当我们采用不同的方式运用蒙哥马利小技巧，或者在我们的电路设置中乘法和求逆复杂度形同的情况下（至少是电路规模），就绝非如此。

以下，就给出了基于 $(X, Y, Z) = (x Z, y Z, Z)$ 的二倍点的计算方法，该方法就是不用求逆的。代入 $X, Y, Z$ 可得：

$λ = \frac{3 x ^{2}}{2 y} = \frac{3 ( X / Z ) ^{2}}{2 ( Y / Z )} = \frac{3 X ^{2}}{2 Y Z}$

进一步得出 $x^{'} y^{'} = λ^{2} - 2 x = λ^{2} - \frac{2 X}{Z} = \frac{9 X ^{4}}{4 Y ^{2} Z ^{2}} - \frac{2 X}{Z} = \frac{9 X ^{4} - 8 X Y ^{2} Z}{4 Y ^{2} Z ^{2}} = \frac{18 X ^{4} Y Z - 16 X Y ^{3} Z ^{2}}{8 Y ^{3} Z ^{3}} = λ (x - x^{'}) - y = λ (\frac{X}{Z} - \frac{9 X ^{4} - 8 X Y ^{2} Z}{4 Y ^{2} Z ^{2}}) - \frac{Y}{Z} = \frac{3 X ^{2}}{2 Y Z} (\frac{X}{Z} - \frac{9 X ^{4} - 8 X Y ^{2} Z}{4 Y ^{2} Z ^{2}}) - \frac{Y}{Z} = \frac{3 X ^{3}}{2 Y Z ^{2}} - \frac{27 X ^{6} - 24 X ^{3} Y ^{2} Z}{8 Y ^{3} Z ^{3}} - \frac{Y}{Z} = \frac{12 X ^{3} Y ^{2} Z - 8 Y ^{4} Z ^{2} - 27 X ^{6} + 24 X ^{3} Y ^{2} Z}{8 Y ^{3} Z ^{3}}$

注意我们是如何让 $x^{'}$ 和 $y^{'}$ 的分母相同的。综上所述，我们通过令 $Z = 8 Y^{3} Z^{3}$ ，并随之令 $X / Z = x^{'}$ 和 $Y / Z = y^{'}$ ，就用射影坐标 $(X, Y, Z)$ 的二倍点计算完全替代了直接求仿射坐标 $(x^{'}, y^{'})$ 二倍点的计算。通过这种方式，我们完全避免了在仿射坐标二倍点的计算中所必需的求逆运算，此一方法也会运用到两个不同点的加法中去。

点加

现在计算两个不同点的加法, $P = (x_{0}, y_{0})$ 加 $Q = (x_{1}, y_{1}),$ 其中 $x_{0} \neq = x_{1},$ 得到 $R = P + Q = (x_{2}, y_{2}) .$ 直线 $\overline{PQ}$ 的斜率是 $λ = f r a c y_{1} - y_{0} x_{1} - x_{0} ⟹ y - y_{0} = λ \cdot (x - x_{0}) .$

通过 $\overline{PQ}$ 的表达式，我们可以计算 $- R$ 的 $y$ -坐标，即 $- y_{2}$ 为： $- y_{2} - y_{0} = λ \cdot (x_{2} - x_{0}) ⟹ y_{2} = (x_{0} - x_{2}) - y_{0} .$

把直线 $\overline{PQ}$ 的方程带入曲线方程 $y^{2} = x^{3} + b$ 可得 $y^{2} = x^{3} + b ⟹ (λ \cdot (x - x_{0}) + y_{0})^{2} = x^{3} + b ⟹ x^{3} - λ^{2} x^{2} + \dots = 0 \leftarrow (rearranging terms) = (x - x_{0}) (x - x_{1}) (x - x_{2}) \leftarrow (known roots x_{0}, x_{1}, x_{2}) = x^{3} - (x_{0} + x_{1} + x_{2}) x^{2} + \dots .$

比较 $x^{2}$ 的系数，可知 $λ^{2} = x_{0} + x_{1} + x_{2} ⟹ x_{2} = λ^{2} - x_{0} - x_{1}$ .

重要提示：

对于无边界情况的点加，存在一个高效的公式¹ (所谓的“完全”公式)，该公式统一了点加和二倍点的计算。使用该公式计算一个点和它的逆的加法，将得到 $Z = 0$ ，也就意味着无穷远点。
另外，还有其他的计算模型，比如雅可比表示形式，即： $(x, y) = (x Z^{2}, y Z^{3}, Z)$ ，相比于 $Z^{3}$ ，这是由乘以 $Z^{6}$ 的变换得到的。该表示有更好的算术性能，但是却没有一个统一的抑或是完全的公式。
在两个同质化的射影坐标空间中，我们可以很方便地比较两个曲线上的点 $(X_{1}, Y_{1}, Z_{1})$ 和 $(X_{2}, Y_{2}, Z_{2})$ 是否相等。方法就是“同一化”他们的 Z-坐标，所以比较两个点是否是同一个点，只需检验如下等式是否成立： $X_{1} Z_{2} = X_{2} Z_{1}$ 并且 $Y_{1} Z_{2} = Y_{2} Z_{1}$ 。

椭圆曲线自同态

假设 $F_{p}$ 有三次本原单位根，或者说 $3∣ p - 1$ ，所以就存在一个元素 $ζ_{p}$ ，其能够产生一个 $3$ -阶乘法子群。注意，在示例椭圆曲线 $y^{2} = x^{3} + b$ 上的点 $(x, y)$ 有两个相关的点： $(ζ_{p} x ， ζ_{p}^{2} x)$ ，因为通过计算 $x^{3}$ 都能有效消除 $x$ -坐标的 $ζ$ 组成部分。建立映射 $(x, y) \mapsto (ζ_{p} x, y)$ 就是在曲线上建立了一个自同态映射。这里所涉及到的精确机制是很复杂的，但是当一条曲线有素数 $q$ 个点（因而它的阶也是素数），自同态的作用就是对一个点乘以 $F_{q}$ 上的一个标量，相当于在标量域上乘上三次本原单位根 $ζ_{q}$ 。

椭圆曲线点压缩

给定曲线上一个点 $P = (x, y)$ ，它的逆 $- P = (x, - y)$ 也在曲线上。为了唯一表示该点，我们可以仅将其 $x$ -坐标和 $y$ -坐标的符号进行编码即可。

序列化

正如在 Fields 这一节所提到的，我们可以将一个域元素的最低位作为其“符号”。因为它的加法逆元总是有相反的最低位。所以我们就把 $y$ -坐标的最低为作为其“符号”。

Pallas 和 Vesta 是定义在域 $F_{p}$ 和域 $F_{q}$ 上的，二者的元素都是 $255$ bits。它的表示需要32个字节，同时还会剩余一个bit。于是，我们就将 $y$ -坐标的 符号位 放入 $x$ -坐标的最高位即可：

         <----------------------------------- x --------------------------------->
Enc(P) = [_ _ _ _ _ _ _ _] [_ _ _ _ _ _ _ _] ... [_ _ _ _ _ _ _ _] [_ _ _ _ _ _ _ sign]
          ^                <------------------------------------->                 ^
         LSB                              30 bytes                                MSB

“无穷远点” $O$ 作为群的单位元并没有相应的仿射坐标 $(x, y)$ 表示。但是，可以证明，不论是 Pallas 还是 Vesta 曲线都没有 $x = 0$ 或 $y = 0$ 的点。因此，我们就可以使用“假的”仿射坐标 $(0, 0)$ 来代表 $O$ ，那么它的实际表示也就是一个全为 $0$ 的32字节的数组。

反序列化

一个压缩的椭圆曲线的点的放序列化方法是，首先读取最高位作为 y符号，这个符号就是 $y$ -坐标的符号。第二步，将该位设为0以得到真正的 $x$ -坐标。

如果 $x = 0, y = 0,$ 我们就返回一个“无穷远点” $O$ 。反之，我们就进一步计算 $y = x^{3} + b$ 。接下来，我们可以读取计算出来的 $y$ -坐标的最低位，也就是它的 符号，如果 sign == ysign, 我们就得到了正确的结果，只需将 $(x, y)$ 返回即可。反之，我们就对 $y$ 取反并返回 $(x, - y)$ 。

曲线循环

令 $E_{p}$ 是定义在有限域 $F_{p},$ 上的椭圆曲线，其中 $p$ 是素数，记为 $E_{p} / F_{p}$ ，并且我们记定义在 $F_{p}$ 上的群 $E_{p}$ 的阶是 $q = # E (F_{p})$ 。对这条曲线，我们称 $F_{p}$ 为“基域”， $F_{q}$ 为“标量域”。

我们在 $E_{p} / F_{p}$ 实例化我们的证明系统。这允许我们证明关于 $F_{q}$ 算术电路的满足性命题。

(备注) 既然椭圆曲线 $E_{p}$ 是定义在 $F_{p}$ 上，那为什么算术电路却实现在 $F_{q}$ 上? 证明系统基本上就是工作在由标量组成的电路上（或者，更准确地，标量其实是要承诺的多项式的系数）。标量就在 $F_{q}$ 上，当它们编码或者承诺的对象是椭圆曲线 $E_{p} / F_{p}$ 上的点。

与之相应，绝大多数验证者的算术运算都是在基域 $F_{p}$ 上的，因此可以用 $F_{p}$ 的算术电路高效的表示。

**(备注)为什么验证计算 (主要) 发生在 $F_{p}$ 上? ** 事实上，Halo 2 对电路的输出做一些群运算。而群运算，就如二倍点和点加就会用到域 $F_{p}$ 上的算术运算，因为点的坐标都在域 $F_{p}$ 上。

这促使我们构造以 $F_{p}$ 为标量域的另外一条曲线，这条曲线实现一个基于 $F_{p}$ 的算术电路，该电路就可以有效地来验证来自第一条曲线的证明。更美好的是，如果这条曲线的基域又是 $E_{q} / F_{q}$ ，那么它生成的证明就又可以被第一条曲线的 $F_{q}$ 算术电路所验证。于是就形成了一个2-曲线循环：

TODO: Pallas-Vesta curves

Reference: https://github.com/zcash/pasta

Hashing到椭圆曲线（？？）

有时将某个输入映射到椭圆曲线 $E_{p} / F_{p}$ 上的随机一个点是很有用的，这样，就没人能知道它的离散对数（相对其他基）。

相关细节在 Internet draft on Hashing to Elliptic Curves 中有所描述。针对效率和安全性，有各种各样的算法完成这个工作。Internet Draft 所使用的框架就运用了多种功能：

hash_to_field: 将一个字节序列映射到基域 $F_{p}$ 上的一个元素
map_to_curve: 将 $F_{p}$ 上的元素映射到 $E_{p}$ 上。

TODO: Simplified SWU

Reference: https://eprint.iacr.org/2019/403.pdf

References

Renes, J., Costello, C., & Batina, L. (2016, May). "Complete addition formulas for prime order elliptic curves." In Annual International Conference on the Theory and Applications of Cryptographic Techniques (pp. 403-428). Springer, Berlin, Heidelberg.

使用内积证明的多项式承诺

我们欲对 $p (X) \in F_{p} [X]$ 进行承诺，并且可以在任意一点验证承诺的多项式的正确性。最简单的解决方案就是证明者将多项式的系数发给验证者。但是这种方法需要 $O (n)$ 次通信。我们的多项式承诺机制可以仅用 $O (lo g n)$ 次通信就完成工作。

`Setup`

给定一个参数 $d = 2^{k}$ ，并且生成了CRS（common reference string） $σ = (G, G, H, F_{p})$ , 并定义了该机制中的一些常数：

$G$ 是一个 $p$ 阶的群，其中 $p$ 为一个素数；
$G \in G^{d}$ 是 $d$ 维向量，它的元素都是在群元素中随机挑选；
$H \in G$ 是一个随机的群元素；
$F_{p}$ 一个 $p$ -阶有限域。

`Commit`

定义Pedersen向量承诺为 $Commit$

$Commit (σ, p (X); r) = ⟨ a, G ⟩ + [r] H,$

其中 $p (X) \in F_{p} [X]$ 是欲承诺的多项式， $r \in F_{p}$ 是盲化因子。向量 $a$ 中的每一个元素 $a_{i} \in F_{p}$ 就是多项式 $p (X)$ ，的第 $i$ 项的系数。而 $p (X)$ 的最大次数是 $d - 1$ 。

`Open` (prover) and `OpenVerify` (verifier)

经过修改的内积证明是对如下关系信息的一种证明：

${((P, x, v); (a, r)) : P = ⟨ a, G ⟩ + [r] H, v = ⟨ a, b ⟩},$

其中 $b = (1, x, x^{2}, \dots, x^{d - 1})$ 而 $x$ 是欲求值的点。内积证明就使证明者能够向验证者证明，承诺 $P$ 中所承诺的多项式，在 $x$ 处的值就是 $v$ ，还有承诺的多项式的最大阶数是 $d - 1$ 。

内积证明将进行 $k = lo g_{2} d$ 轮。就我们的目的来说，我们只要知道最终输出就足够了，所以我们只是对中间轮提供一个直观的描述。(请参考 Halo 论文，以获取全面的解释)。

在开始证明之前，验证者要随机选取一个群元素 $U$ 并将它发送给证明者。我们在第 $k$ 轮将对所需向量做如下初始化， $a^{(k)} := a,$ $G^{(k)} := G$ ， $b^{(k)} := b$ 。在每一轮 $j = k, k - 1, \dots, 1$ :

证明者都要用 $a^{(j)}$ ， $G^{(j)}$ 和 $b^{(j)}$ 进行内积计算得到两个值 $L_{j}$ 和 $R_{j}$ 。这里要“交叉项”("cross-terms")有个概念，即： $a$ 的低半部分与 $G$ 和 $b$ 的高半部分运算，反之亦然。

$L_{j} R_{j} = ⟨ a_{lo}^{(j)}, G_{hi}^{(j)} ⟩ + [l_{j}] H + [⟨ a_{lo}^{(j)}, b_{hi}^{(j)} ⟩] U = ⟨ a_{hi}^{(j)}, G_{lo}^{(j)} ⟩ + [l_{j}] H + [⟨ a_{hi}^{(j)}, b_{lo}^{(j)} ⟩] U$

验证者发送一个随机挑战 $u_{j}$ ；
证明者就使用 $u_{j}$ 将 $a^{(j)}$ 的低半部分与高半部分压缩乘只有原向量一半的新的向量。 $a^{(j - 1)} = a_{hi}^{(j)} \cdot u_{j}^{- 1} + a_{lo}^{(j)} \cdot u_{j} .$ 向量 $G^{(j)}$ 和 $b^{(j)}$ 也进行类似的压缩，从而得到 $G^{(j - 1)}$ 和 $b^{(j - 1)}$ .
$a^{(j - 1)}$ , $G^{(j - 1)}$ and $b^{(j - 1)}$ 是下一轮，即 $j - 1$ 轮的输入。

注意在最后一轮，即 $j = 1$ 轮，我们只剩下 $a := a^{(0)}$ , $G := G^{(0)}$ , $b := b^{(0)},$ 每个向量的长度都是1。直观讲，这些最终的标量，和每一轮的 ${u_{j}}$ 以及每一轮的“交叉项” ${L_{j}, R_{j}}$ ，实际上是编码了每一轮的压缩操作。由于证明者并不能事先知道挑战 $U, {u_{j}}$ ，他们就不能人为操控每一轮的压缩。因此，验证最后这些项的约束就能证明每一轮的压缩都是正确的，同时也证明了在压缩开始前原始 $a$ 就满足特定的关系。

事实上，每一轮的 $G, b$ 就是公开信息 $G, b,$ 与 ${u_{j}}$ 计算出来的，因此验证者可以自己计算每一轮的 $G, b$ ，以验证证明者是否提供了正确的值（二者值应该相等）。

递归

Alternative terms: Induction; Accumulation scheme; Proof-carrying data

计算 $G$ 需要计算长度 $2^{k}$ 多倍点 $⟨ G, s ⟩,$ 其中 $s$ 每一轮挑战 $u_{1}, \dots, u_{k}$ 按照二进制查数的顺序进行排列组成的。在多个证明的验证中，我们希望平摊这个线性计算。和计算 $G$ 不同，我们可以将 $G$ 表示成一个多项式的承诺

$G = Commit (σ, g (X, u_{1}, \dots, u_{k})),$

其中 $g (X, u_{1}, \dots, u_{k}) := \prod_{i = 1}^{k} (u_{i} + u_{i}^{- 1} X^{2^{i - 1}})$ 是一个 $2^{k} - 1$ 次多项式。


	由于 $G$ 是一个承诺，它就可以在内积证明中被验证。验证电路的 witnesses $G$ 并产生 $G, u_{1}, \dots, u_{k}$ 做为证明 $π$ 的公开输入。下一个验证者将运用内积证明来检查 $π$ ；这包括对给定的挑战 $u_{1}, \dots, u_{k} .$ ，查验 $G = Commit (g (X, u_{1}, \dots, u_{k}))$ 在某个随机点处的值是不是正确。依据上一章节我们知道，该检查仅需要 $lo g d$ 的工作。在检查 $π$ 和 $G$ 的最后阶段，验证电路将产生 $G^{'}$ ，和 $u_{1}^{'}, \dots, u_{k}^{'}$ 挑战。为了彻底证明 $π$ 合法的，我们需要计算 $G^{'} = ⟨ G, s^{'} ⟩$ ，这是一个线性时间复杂度的计算。接下来，我们通过将 $G^{'}$ 作为电路的witness和公开 $G, u_{1}, \dots, u_{k}$ 做为证明 $π$ 的公开输入推迟了这个计算。由此，我们可以不断地从一个证明到另外一个证明，直到满足了我们需要的证明的个数，该过程才会中止。我们只需在最后做一次线性时间复杂度的计算，就可以证明之前产生的所有证明都是合法的。

由于

G

是一个承诺，它就可以在内积证明中被验证。验证电路的 witnesses

G

并产生

G, u_{1}, \dots, u_{k}

做为证明

π

的公开输入。下一个验证者将运用内积证明来检查

π

；这包括对给定的挑战

u_{1}, \dots, u_{k} .

，查验

G = Commit (g (X, u_{1}, \dots, u_{k}))

在某个随机点处的值是不是正确。依据上一章节我们知道，该检查仅需要

lo g d

的工作。

在检查

π

和

G

的最后阶段，验证电路将产生

G^{'}

，和

u_{1}^{'}, \dots, u_{k}^{'}

挑战。为了彻底证明

π

合法的，我们需要计算

G^{'} = ⟨ G, s^{'} ⟩

，这是一个线性时间复杂度的计算。接下来，我们通过将

G^{'}

作为电路的witness和公开

G, u_{1}, \dots, u_{k}

做为证明

π

的公开输入推迟了这个计算。

由此，我们可以不断地从一个证明到另外一个证明，直到满足了我们需要的证明的个数，该过程才会中止。我们只需在最后做一次线性时间复杂度的计算，就可以证明之前产生的所有证明都是合法的。

依据上文所述曲线的循环，我们可以用2-cycle的曲线来实现一个协议，这就是说，在一条曲线上产生证明，而在另一条曲线的电路中进行验证。但是又有某些验证计算在原有的曲线上（证明产生的曲线）效率更高；这些就被“推迟”到下一个本地电路（请看下图）而不需要立即送到另外一条曲线上。

The halo2 Book