零知識證明 - 從QSP到QAP

前一段時間，介紹了零知識證明的入門知識，通過QSP問題證明來驗證另外一個NP問題的解。最近在看QAP問題相關的文章和資料，這篇文章分享一下QAP問題的理解。

0 背景介紹

QSP/QAP問題的思想都是出自2012年一篇論文：Quadratic Span Programs and Succinct NIZKs without PCPs。論文的下載地址：https://eprint.iacr.org/2012/215.pdf。

這篇論文提出了使用QSP/QAP問題，而不使用PCP方式，實現零知識證明。

1 術語介紹

SP - Span Program ，採用多項式形式實現計算的驗證。

QSP - Quadratic Span Program，QSP問題，實現基於布爾電路的NP問題的證明和驗證。

QAP - Quadratic Arithmetic Program，QAP問題，實現基於算術電路的NP問題的證明和驗證，相對於QSP，QAP有更好的普適性。

PCP - Probabilistically Checkable Proof ，在QSP和QAP理論之前，學術界主要通過PCP理論實現計算驗證。PCP是一種基於交互的，隨機抽查的計算驗證系統。

NIZK - Non-Interactive Zero-Knowledge，統稱，無交互零知識驗證系統。NIZK需要滿足三個條件：1/ 完備性(Completeness)，對於正確的解，肯定存在相應證明。 2/可靠性 (Soundness) ，對於錯誤的解，能通過驗證的概率極低。3/ 零知識。

SNARG - Succinct Non-interactive ARGuments，簡潔的無須交互的證明過程。

SNARK - Succinct Non-interactive ARgumentss of Knowledge，相比SNARG，SNARK多了Knowledge，也就是說，SNARK不光能證明計算過程，還能確認證明者“擁有”計算需要的Knowledge（只要證明者能給出證明就證明證明者擁有相應的解）。

zkSNARK - zero-knowledge SNARK，在SNARK的基礎上，證明和驗證雙方除了能驗證計算外，驗證者對其他信息一無所知。

Statement - 對於QSP/QAP而言，某個計算電路的輸入。Statement對證明者和驗證者都是公開的。

Witness - Witness只有證明者知道。可以理解成，某個計算電路的輸出（output）。

2 QAP問題和算術電路

QAP的定義和QSP的定義有些相似（畢竟都是一個思想理論的兩種形式）。論文中給出了QAP的一般定義和強定義。QAP的強定義如下：

QAP問題是這樣一個NP問題：給定一系列的多項式，以及給定一個目標多項式，找出多項式的組合能整除目標多項式。輸入爲n位的QAP問題定義如下：

• 給定多個多項式：$v_0, ... , v_m, w_0, ... , w_m, y_0, ... , y_m$
• 目標多項式：$t$
• 映射函數：$f: \left\{(i, j) |1\leq i \leq n, j\in{0,1} \right\} \to \left\{1, ... m\right\}$ （確定輸入對應的序號）

給定一個證據u（由Statement，Witness以及中間門電路的輸出組成），滿足如下條件，即可驗證u是QAP問題的解：

• $(v_0(x) + \sum_{k=1}^m a_k \cdot v_k(x)) \cdot (w_0(x) + \sum_{k=1}^m b_k \cdot w_k(x)) - (y_0(x) + \sum_{k=1}^m c_k \cdot y_k(x)) 能整除 t(x)$

對一個證據u，多項式之間的係數（$a_1, ..., a_m, 和b_1, ... , b_m, 以及 c_1, ..., c_m$ 相等）。

算術電路可以簡單看成由如下的三種門組成：加門，係數乘法門以及通用乘法門（減法可以轉化爲加法，除法可以轉化爲乘法）。Vitalik在2016年寫過的QAP介紹，深入淺出的解釋NP問題的算術電路生成和QAP問題的轉化。推薦大家都讀一讀。

https://medium.com/@VitalikButerin/quadratic-arithmetic-programs-from-zero-to-hero-f6d558cea649

以Vitalik文章中的例子爲例，算術邏輯（$x^3 + x + 5$）對應的電路如下圖所示：

3 算術問題轉化爲QAP問題

把一個算術電路轉化爲QAP問題的過程，其實就是將電路中的每個門描述限定的過程，也就是所謂的R1CS （Rank-1 constraint system）。

3.1 算術電路拍平

算術電路拍平，就是用一組向量定義算術電路中的所有的變量（包括一個常量變量）。比如2中所示的電路，拍平之後的向量表示爲$[one, x, out, sym\_1, y, sym\_2 ]$，其中one代表常量變量，x代表輸入，out代表輸出，其他是中間門電路的輸出。

假設一個合理的電路向量值爲$s - [s_0, s_1, s_2, s_3, s_4, s_5]$。

3.2 門描述

對於每個電路中的門進行描述，說清輸入以及輸出，採用$s \cdot a* s \cdot b - s \cdot c = 0$的形式，其中$a,b,c$都是和電路向量長度一致的向量值。$s \cdot a, s \cdot b, s \cdot c$都是點乘。這種形式表達的是“乘法門”。可以簡單的理解，$a, b, c和s$的點乘就是“挑選”向量中的變量，查看挑選出的變量是否滿足$A * B = C$。

各個門對應的$a, b, c$的向量值如下：

門1 (查看$x * x 是否等於 sym\_1$）：

$a = [0, 1, 0, 0, 0, 0]$

$b = [0, 1, 0, 0, 0, 0]$

$c = [0, 0, 0, 1, 0, 0]$

門2 (查看$sym\_1 * x 是否等於 y$）：

$a = [0, 0, 0, 1, 0, 0]$

$b = [0, 1, 0, 0, 0, 0]$

$c = [0, 0, 0, 0, 1, 0]$

門3 (查看$(x + y)*1 是否等於 sym\_2$）：

$a = [0, 1, 0, 0, 1, 0]$

$b = [1, 0, 0, 0, 0, 0]$

$c = [0, 0, 0, 0, 0, 1]$

門4 (查看$(5x + sym\_2) * 1 是否等於out$）：

$a = [5, 0, 0, 0, 0, 1]$

$b = [1, 0, 0, 0, 0, 0]$

$c = [0, 0, 1, 0, 0, 0]$

3.3 多項式表達

在門電路描述的基礎上，將所有的門電路，轉化爲多項式表達。將$a, b, c$中的每個係數，看成一個多項式的結果（以a爲例）：$a = [f_0(x), f_1(x), f_2(x), f_3(x), f_4(x), f_5(x)]$。

針對門1/門2/門3/門4，$f_0(x), f_1(x), f_2(x), f_3(x), f_4(x), f_5(x)$的取值不同。比如說，門1的a的$f_0(x)$爲0。門2的a的$f_0(x)$爲0。門3的a的$f_0(x)$爲0。門4的a的$f_0(x)$爲5。

設定門1對應的x爲1，門2對應的x爲2，門3對應的x爲3，門4對應的x爲4的話（這些值可以任意指定），會得到如下的等式：

$f_0(1) = 0, f_0(2) = 0, f_0(3)=0, f_0(4)=5$

在獲知一系列的輸入和輸出的前提下，可以通過拉格朗日定理，獲取多項式表達式。小夥伴可以通過如下的工具計算多項式：http://skisickness.com/2010/04/28/。

也就是說，a的$f_0(x) = -5 + 9.167x + -5x^2 + 0.833x^3$。同樣的方式，可以算其他參數的$f_0(x), f_1(x), f_2(x), f_3(x), f_4(x), f_5(x)$。再把這些多項式代入$s \cdot a* s \cdot b - s \cdot c = 0$，在正確的$s向量值$的情況下，1/2/3/4能讓等式成立，也就是說，多項式$s \cdot a* s \cdot b - s \cdot c$能整除$(x-1)(x-2)(x-3)(x-4)$。這樣，一個算術電路就轉化爲了QAP問題。

4 QAP問題的zkSNARK證明

QAP問題的zkSNARK證明過程和QSP有點類似。skSNARK證明過程分爲兩部分：a) setup階段 b）證明階段。QAP問題就是給定一系列的多項式$v_0, ..., v_m, w_0, ..., w_m, y_0, ... , y_m$以及目標多項式$t$，證明存在一個證據$u$。這些多項式中的最高階爲$d$。

4.1 setup和CRS

CRS - Common Reference String，也就是預先setup的公開信息。在選定$s$和$\alpha$的情況下，發佈如下信息：

• $s$和$\alpha$的計算結果

  $E(s^0), E(s^1), ... , E(s^d)$

  $E(\alpha s^0), E(\alpha s^1), ... , E(\alpha s^d)$

• 多項式的$\alpha$對的計算結果
  $E(t(s)), E(\alpha t(s))$

  $E(v_0(s)), ... E(v_m(s)), E(\alpha v_0(s)), ..., E(\alpha v_m(s))$

  $E(w_0(s)), ... E(w_m(s)), E(\alpha w_0(s)), ..., E(\alpha w_m(s))$

  $E(y_0(s)), ... E(y_m(s)), E(\alpha y_0(s)), ..., E(\alpha y_m(s))$

• 多項式的$\beta_v, \beta_w, \beta_y, \gamma$ 參數的計算結果

  $E(\gamma), E(\beta_v\gamma), E(\beta_w\gamma), E(\beta_y\gamma)$

  $E(\beta_vv_1(s)), ... , E(\beta_vv_m(s))$

  $E(\beta_ww_1(s)), ... , E(\beta_ww_m(s))$

  $E(\beta_yy_1(s)), ... , E(\beta_yy_m(s))$

  $E(\beta_vt(s)), E(\beta_wt(s)), E(\beta_yt(s))$

4.2 證明者提供證據

在QAP的映射函數中，$1, ..., m$中有些數字沒有映射到，也就是除了輸入之外的序號。這些沒有映射到的序號（中間門電路和輸出）組成$I_{free}$，並定義（$k$爲未映射到的序號）：

$v_{free}(x) = \sum_k a_kv_k(x)$

證明者需提供的證據如下

• $V_{free} := E(v_{free}(s)), \ W := E(w(s)), \ Y := E(y(s)), \ H := E(h(s)),$
• $V_{free}' := E(\alpha v_{free}(s)), W' := E(\alpha w(s)), Y' := E(\alpha y(s)), H' := E(\alpha h(s)),$
• $P := E(\beta_vv_{free}(s) + \beta_ww(s) + \beta_yy(s))$

$V_{free}/V_{free}', W/W', Y/Y', H/H'$是$\alpha$對，用以驗證$v_{free},w,y,h$是否是多項式形式。$t$是已知，公開的，毋需驗證。$P$用來確保$v_{free}(s), w(s) 和 y(s)$的計算採用一致的參數。

4.3 驗證者驗證

在QAP的映射函數中，$1, ..., m$中所有映射到的序號（輸入序號）作爲組成係數組成的二項式定義爲（和$v_{free}$互補）：

$v_{in}(x) = \sum_k a_kv_k(x)$

驗證者需要驗證如下的等式是否成立：

• $e(V_{free}', g) = e(V_{free}, g^\alpha), e(W', E(1)) = e(W, E(\alpha)), e(Y', E(1)) = e(Y, E(\alpha)), e(H', E(1)) = e(H, E(\alpha))$
• $e(E(\gamma), P) = e(E(\beta_v\gamma), V_{free})e(E(\beta_w\gamma), W)e(E(\beta_y\gamma), Y)$
• $e(E(v_0(s))E(v_{in}(s))V_{free}, E(w_0(s))W) = e(H, E(t(s)))e(y_0(s)Y, E(1))$

第一個（系列）等式驗證$V_{free}/V'_{free}, W/W', Y/Y', H/H'$是否是$\alpha$對。

第二個等式驗證$V_{free}, W, Y$的計算採用一致的參數。因爲$v_{free}, w, y$都是二項式，它們的和也同樣是一個多項式，所以採用$\gamma$ 參數進行確認。證明過程如下：

$e(E(\gamma), P) = e(E(\gamma), E(\beta_vv_{free}(s) + \beta_ww(s) + \beta_yy(s))) = e(g, g)^{\gamma(\beta_vv_{free}(s) + \beta_ww(s) + \beta_yy(s))}$

$e(E(\beta_v\gamma), V_{free})e(E(\beta_w\gamma), W)e(E(\beta_y\gamma), Y) = e(E(\beta_v\gamma), E(v_{free}(s)))e(E(\beta_w\gamma), E(w(s)))e(E(\beta_y\gamma), E(y(s)))$

$= e(g,g)^{(\beta_v\gamma)v_{free}(s)}e(g,g)^{(\beta_w\gamma)w(s)}e(g,g)^{(\beta_y\gamma)y(s)}= e(g, g)^{\gamma(\beta_vv_{free}(s) + \beta_ww(s) + \beta_yy(s))}$

第三個等式驗證$v(s)w(s) - y(s) = h(s)t(s)$，其中$v_0(s)+v_{in}(s)+v_{free}(s) = v(s)$。

簡單的說，邏輯是確認$v, w, y, h$是多項式，並且$v,w,y$採用同樣的參數，滿足$v(s)w(s)- y(s)= h(s)t(s)$。

到目前爲止，整個QAP的zkSNARK的證明過程邏輯已見雛形。

4.4 $\delta$ 偏移

爲了進一步“隱藏” $V_{free}, W, Y$，額外需要採用兩個偏移: $\delta_{free}, \delta_w 和 \delta_y$。 $v_{free}(s)/w(s)/y(s)/h(s)$進行如下的變形，驗證者用同樣的邏輯驗證。

$v_{free}(s) \rightarrow v_{free}(s) + \delta_{free}t(s)$
$w(s) \rightarrow w(s) + \delta_wt(s)$
$y(s) \rightarrow y(s) + \delta_yt(s)$
$h(s) \rightarrow h(s)+\delta_{free}(w_0(s) + w(s)) + \delta_w(v_0(s) + v_{in}(s) + v_{free}(s)) + (\delta_{free}\delta_w)t(s) - \delta_y$

總結：QAP和QSP問題類似。QSP問題主要用於布爾電路計算表達，QAP問題主要用於算術電路計算表達。將一個算術電路計算轉化爲QAP問題的過程，其實就是對電路中每個門電路進行描述限制的過程。通過朗格朗日定理，實現算術電路的多項式表達。QAP問題的zkSNARK的證明驗證過程和QSP非常相似。