1. 引言

Bootle和Groth等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》。

在本论文中，主要为 (只有加法门和乘法门的) arithmetic circcuit satisfiability 提供了一种零知识证明算法，具有的communication complexity为$O(\log n)$，其中$n$为circuit size；具有的round complexity也为$O(\log n)$。且对于所有gates均为 2 fan-in的arithmetic circuit，Prover和Verifier的computation complexity均为$O(n)$。该算法无需trusted setup，仅需基于discrete logarithm assumption in prime order groups即可。

在该零知识证明算法中，核心内容为：

• inner product 零知识证明算法。

该inner product 零知识证明算法，具有的communication complexity为$O(\log n)$，round complexity为$O(\log n)$，Prover和Verifier的computation complexity均为$O(n)$。

除此之外，还提供了一种polynomial commitment算法，用于reveal the evaluation at an arbitrary point in a verifiable manner。使用该polynomial commitment算法，可将Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中的constant round arithmetic circuit 零知识证明算法的communication complexity 由$O(\sqrt{n})$进一步优化降低为$O(\log n)$。（可参见博客 Linear Algebra with Sub-linear Zero-Knowledge Arguments学习笔记）

零知识证明算法可广泛用于authentication protocol, multi-parity computation, encryption primitives, electronic voting systems和verifiable computation protocols。
零知识证明算法应具有如下属性：

• Completeness：A prover with a witness $w$ for $u\in L$ can convince the verifier of this fact.
• Soundness：A prover cannot convince a verifier when $u\notin L$.
• Zero-knowledge：The interaction should not reveal anything to the verifier except that $u\in L$. In particular, it should not reveal the prover’s witness $w$.

[Gro09b] Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中各算法性能表现为：

上图Arithmetic circuit constant round 零知识证明算法中，需要7 moves，具有square root communication complexity in the total number of gates。在该算法中，Prover需commits to all the wires using homomorphic multicommitments, 对于加法门可利用同态属性来verify，对于乘法门可利用product argument来verify。

本文在[Gro09b]算法的基础上，分为两大步来改进：
1）首先实现5 moves，communication complexity为square root的argument：

• 避免使用[Gro09b]中的generic reductions to linear algebra statements，可由7 moves降为5 moves；
• 通过同时处理一系列的Hadamard products和linear relations，可去除argument中加法门的communication cost，comminication complexity 由 $O(\sqrt{n_{add}+n_{mul}})$降为$O(\sqrt{n_{mul}})$（其中$n_{add}+n_{mul}$代表total number of gates，而$n_{mul}$为multiplication gates的数量。）。
• 同时还提出了一种polynomial commitment 零知识证明算法，其communication complexity为$O(\sqrt{d})$，其中$d$为polynomial degree。

2）其次，在1）的基础上，进一步压缩communication complexity：

• 在1）算法中，仍然具有communication complexity $O(\sqrt{n_{mul}})$。原因是在第一轮Prover需要commit to all circuit wires using $3m$ commitments to $n$ elements each，其中$mn=N$ 为multiplication gate数量的上线。而在最后一轮当收到challenge后，Prover open one commitment that can be constructed from the previous ones and the challenge。当设置$m\approx n$时，最小communication complexity即为$O(\sqrt{N})$。
  本文将最后一轮的opening step替换为了an argument of knowledge of the opening values，利用Pedersen multicommitments的同态属性，将该argument实现为an argument of knowledge of openings of two homomorphic commitments，satisfying an inner product relation。该inner product argument通过借助递归方法，其communication complexity为$O(\log n)$，其中$n$为vector size。借助该inner product argument，其最终实现的arithmetic circuit satisfiability argument的communication也为logarithmic。

将本文最终实现的5 moves， $O(\log n)$ communication argument算法与Pinocchio算法（[PHGR13] 2013年Parno等人论文 Pinocchio: Nearly practical verifiable computation）进行对比：（Pinocchio为使用的verifiable computation scheme，允许constrained client将a function的computation 外包给 a powerful worker，同时能高效验证该worker输出的function运算结果是否正确。Pinocchio采用quadratic arithmetic programs，为arithmetic circuits的generalisation，可以实现比本地直接计算更快的function verification。）

• 本文算法的verification虽然不够快，但是在基于更简单的assumption的基础上，具有更快的prover computation。
  

1.1 相关研究工作

• Goldwasser等人在1989（1985）年论文《The knowledge complexity of interactive proofs》中首次提出了Zero-knowledge proofs概念。
  注意区分：
  – zero-knowledge proof：具有statistical soundness。proof仅能有computational zero-knowledge。
  – zero-knowledge argument：具有computational soundness。而argument可能有perfect zero-knowledge。

• Brassard等人1988年论文《Minimum disclosure proofs of knowledge》中指出 all languages in NP have zero-knowledge arguments with perfect zero-knowledge。

• Goldreich等人1991年论文《Proofs that yield nothing but their validity or all languages in NP have zero-knowledge proof systems》中指出 all languages in NP have zero-knowledge proofs。

• Gentry等人2014年论文《Using fully homomorphic hybrid encryption to minimize non-interative zero-knowledge proofs》中采用全同态加密算法来构建 zero-knowledge proofs，其communication complexity与witness size相当。通常地，proofs的communication不会小于witness size，除非 surprising results about the complexity of solving SAT instances hold（参见论文[GH98][GVW02]）。

• Kilian在1992年论文《 A note on efficient zero-knowledge proofs and arguments》中指出，与 zero-knowledge proofs不同，若只实现 zero-knowledge arguments的话，可以具有很低的communication complexity。Kilian的构建依赖于 PCP theorem，无法生成实用的scheme。

• Schnorr 1991年论文《Efficient signature generation by smart cards》和Guilou等人1988年论文《 A practical zero-knowledge protocol fitted to security microprocessor minimizing both trasmission and memory》给出了早期的实用的zero-knowledge arguments for concrete number theoretic problems例子。基于Schnorr protocol，可扩展出很多基于discrete logarithms assumption的zero-knowledge arguments。

• Cramer等人1998年论文《Zero-knowledge proofs for finite field arithmetic; or: Can zero-knowledge be for free?》中给出了基于arithmetic circuit satisfiability的zero-knowledge argument算法，该算法具有linear communication complexity。

• 截至目前（2016年），基于discrete logarithm assumption 构建的arithmetic circuit zero-knowledge argument 最高效的算法有 Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中算法和Seo 2011年论文《Round-efficient sub-linear zero-knowledge arguments for linear algebra》中算法，二者均具有constant move，communication complexity为square root of the circuit size。$O(\sqrt{N})$

• 若不基于 discrete logarithm assumption，而采用 pairing-based cryptography，Groth 2009年论文《Efficient zero-knowledge arguments from two-tiered homomorphic commitments》中生成的arithmetic circuit zero-knowledge argument 具有 cubic root communication complexity。$O(\sqrt[3]{N})$

• 目前基于 specific languages构建的具有logarithmic communication complexity的算法有：（这些都是针对特定类型的statements——具有low circuit depth，且这些算法无法推广至任意的NP languages。）
  – 2013年Bayer和Groth 论文《Zero-knowledge argument for polynomial evaluation with application to blacklists》中指出，one can prove that a polynomial evaluated at a secret committed value gives a certain output with a logarithmic communication complexity。【注意普通的polynomial commitment，其evaluate的点是公开的，而此处是secret的。】
  – 2014年Groth和Kohlweiss 论文《One-out-of-many proofs: Or how to leak a secret and spend a coin》中指出，one out of $N$ commitments contain 0 with logarithmic communication complexity。

• 以下系列的研究均是基于pairing-based cryptography构建的succinct non-interactive arguments (SNARGs)，其argument具有 a constant number of group elements，但是它们都依赖于 a common reference string (with a special structure) and non-falsifiable knowledge extractor assumption：
  – Groth 2010年论文《Short pairing-based non-interactive zero-knowledge arguments》
  – Lipmaa 2012年论文《Progression-free sets and sublinear pairing-based non-interactive zero-knowledge arguments》
  – Bitansky等人2012年论文《From extractable collision resistance to succinct non-interactive arguments of knowledge, and back again》
  – Gennaro等人2013年论文《Quadratic span programs and succinct NIZKs without PCPs》
  – Bitansky等人2013年论文《Recursive composition and bootstrapping for SNARKS and proof-carrying data》
  – Parno等人2013年论文《 Pinocchio: Nearly practical verifiable computation》
  – Ben-Sasson等人2013年论文《SNARKs for C: verifying program executions succinctly and in Zero Knowledge》
  – Ben-Sasson等人2014年论文《Succinct non-interactive zero knowledge for a von neumann architecture》
  – Groth和Kohlweiss 2014年论文《One-out-of-many proofs: Or how to leak a secret and spend a coin》

• 本文构建的argument仅基于discrete logartihm assumption，且使用与 circuit无关的 small common reference string。

以下为对当前最高效的基于discrete logarithm assumption的zero-knowledge arguments的性能对比：

由上图可知：

• 同样是5 moves， 本文算法所需要的computation低于[Seo11]算法；
• 当使用logarithmic number of moves时，本文采用了与2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》类似的reduction，在不增加其它开销的情况下，可大幅降低communication cost。与2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》中使用reduction来降低computation不同，本文用来降低communication。（参见博客 Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1））

1.2 polynomial commitment

• Kate等人2010年论文《Constant-size commitments to polynomials and their applications》中提供了a protocol to commit to polynomial and then evaluate it at a given point in a verifiable way。该算法仅需a constant number of commitments，但是其security依赖于pairing assumption。

• 本文构建的polynomial commitment 具有 square root communication complexity，但是完全基于discrete logarithm assumption。

1.3 相关定义

A multi-exponentiation of size $n$ can be computed at a cost of roughly $\frac{n}{\log n}$ single group exponentiations using the multi-exponentiation techniques of [Lim00, M¨ol01, MR08]。

• Pedersen Commitment定义：
  
  
  Breaking the binding property of Pedersen commitments corresponds to breaking the discrete logarithm assumption.
  
  Pedersen commitment具有加法同态属性：
  $Co{m}_{ck}(m_0;r_0)\cdot Co{m}_{ck}(m_1;r_1)=Co{m}_{ck}(m_0+m_1;r_0+r_1)$

Pedersen multicommitment指：
$Co{m}_{ck}(m_1,\cdots ,m_n;r)=g^r{\prod }_{i=1}^n{g}_i^{m_i}$

• Argument of knowledge定义：
  
  
  

• Public coin 和 Perfect special honest verifier zero-knowledge 定义：
  
  

• Full zero-knowledge 定义：
  

• Fiat-Shamir heuristic 定义：
  The Fiat-Shamir transformation takes an interactive public coin argument and replaces the challenges with the output of a cryptographic hash function. The idea is that the hash function will produce random looking output and therefore be a suitable replacement for the verifier.The Fiat-Shamir heuristic yields a non-interactive zero-knowledge argument in the random oracle model [BR93].
  本文可借助Fiat-Shamir heuristic，将logarithmic number of move转换为single one move的argument。

1.4 相关假设

• Discrete Logarithm Assumption：
  

• Discrete Logarithm Relation Assumption：（与Discrete Logarithm Assumption 等价）
  

• A general forking lemma定义：
  假设有 $(2\mu +1)$-move public-coin argument，该argument有 $\mu$ 个challenges —— 依次为 $x_1,\cdots ,x_{\mu }$。
  对于 $1\le i\le \mu$，有 $n_i\ge 1$，将具有${\prod }_{i=1}^{\mu }{n}_i$ 个accepting transcripts with challenges以tree 方式表示，该tree的depth为 $\mu$，具有的leaves数量为 ${\prod }_{i=1}^{\mu }{n}_i$，该tree的根表示为the statement。每个depth $i<\mu$ 的node，有$n_i$ 个children，每个都labelled with a distinct value for the $i$th challenge $x_i$。
  可将其理解为 $(n_1,\cdots ,n_{\mu })$-tree of accepting transcripts。可理解为对Sigma-protocol来说，其 $\mu =1,n=2$ 的generalisation。
  本文所构建的arguments均可以 extract the witness from an appropriate tree of accepting transcripts。
  

2. Polynomial commitment

Polynomial commitment 基本流程为：

• 1）commit to a polynomial $t(X)$；
• 2）reveal the evaluation of $t(X)$ at any point $x\in {\mathbb{Z}}_p\ast$；
• 3）同时提供a proof 允许Verifier check that the evaluation is correct with respect to the committed $t(X)$。

将$t(X)$理解为是具有negative degree的Laurent polynomials，$t(X)\in {\mathbb{Z}}_p[X,X^{-1}]$。（可参见博客 Laurent polynomial劳伦特多项式）
$t(X)={\sum }_{k=-d_1}^{d_2}{t}_k{X}^k=t_{-d_1}{X}^{-d_1}+t_{-d_1+1}{X}^{-d_1+1}+\cdots +t_0+t_{1}X+\cdots +t_{d_2}{X}^{d_2}$

由于有 $Com(a_1{m}_1+a_2{m}_2)=Com(m_1{)}^{a_1}\cdot Com(m_2{)}^{a_2}$
最简单的方法是对$t(X)$的每个系数分别进行commitment，然后可以利用commitment的同态属性直接verify the evaluation of $t(X)$ at any particular point。存在的问题是需要发送 $d$ 个 group elements，其中 $d$ 为the number of non-zero coefficients in $t(X)$。
本文构建的算法其communication cost 可由 $O(d)$ 降为 $O(\sqrt{d})$，其中 $d=d_2+d_1$。

分两个阶段来看：
（1）针对standard polynomial $t(X)={\sum }_{k=0}^d{t}_k{X}^k$，假设$d+1=mn$，可将$t(X)$表示为：
$t(X)={\sum }_{i=0}^{m-1}{\sum }_{j=0}^{n-1}{t}_{i,j}{X}^{in+j}$，将其系数以$m\times n$矩阵表示：
$\mathbf{T}=\left(\begin{array}{cccc}{t}_{0,0}& t_{0,1}& \cdots & t_{0,n-1}\\ t_{1,0}& t_{1,1}& \cdots & t_{1,n-1}\\ ⋮& ⋮& & ⋮\\ t_{m-1,0}& t_{m-1,1}& \cdots & t_{m-1,n-1}\end{array}\right)$
此时，$t(X)$ 可evaluate by multiplying the matrix by row and column vectors：
$t(X)=\left(\begin{array}{cccc}1& X^n& \cdots & X^{(m-1)n}\end{array}\right)\left(\begin{array}{cccc}{t}_{0,0}& t_{0,1}& \cdots & t_{0,n-1}\\ t_{1,0}& t_{1,1}& \cdots & t_{1,n-1}\\ ⋮& ⋮& & ⋮\\ t_{m-1,0}& t_{m-1,1}& \cdots & t_{m-1,n-1}\end{array}\right)\left(\begin{array}{c}1\\ X\\ ⋮\\ X^{n-1}\end{array}\right)$

基本思路为：

• 对系数矩阵$\mathbf{T}$的每行进行commitment，相应的commitment值为$T_0,\cdots ,T_{m-1}$；
• 对evaluation point $x\in {\mathbb{Z}}_p$，利用commitment的同态属性，可知，对应如下vector 的commitment值为$Com(\overrightarrow{\stackrel{ˉ}{t}})={\prod }_{i=1}^{m-1}{T}_i^{x^{in}}$：
  $\overrightarrow{\stackrel{ˉ}{t}}=\left(\begin{array}{cccc}1& x^n& \cdots & x^{(m-1)n}\end{array}\right)\left(\begin{array}{cccc}{t}_{0,0}& t_{0,1}& \cdots & t_{0,n-1}\\ t_{1,0}& t_{1,1}& \cdots & t_{1,n-1}\\ ⋮& ⋮& & ⋮\\ t_{m-1,0}& t_{m-1,1}& \cdots & t_{m-1,n-1}\end{array}\right)$
• Prover可直接open $Com(\overrightarrow{\stackrel{ˉ}{t}})$，然后Verifier就很容易计算出evaluation值$v=t(x)=\overrightarrow{\stackrel{ˉ}{t}}\left(\begin{array}{c}1\\ x\\ ⋮\\ x^{n-1}\end{array}\right)$
• 此时，Prover若直接open $Com(\overrightarrow{\stackrel{ˉ}{t}})$，将会造成$t(X)$系数的部分泄露。（如设置$x=0$，则系数$t_{0,0},t_{0,1},\cdots ,t_{0,n-1}$将会泄露）
  因此，需要在系数矩阵$\mathbf{T}$中引入blinding values $u_1,\cdots ,u_{n-1}$ 来hide the weighted sum of the coefficients in each column。同时，要保证这些blinding values能相互抵消从而仍然保证多项式的evaluation是正确的。
  具体实现方式为：
  – 构建$(m+1)\times n$的系数矩阵：
  $\mathbf{T}=\left(\begin{array}{ccccc}{t}_{0,0}& t_{0,1}-u_1& \cdots & t_{0,n-2}-u_{n-2}& t_{0,n-1}-u_{n-1}\\ t_{1,0}& t_{1,1}& \cdots & t_{1,n-2}& t_{1,n-1}\\ ⋮& ⋮& & & ⋮\\ t_{m-1,0}& t_{m-1,1}& \cdots & t_{m-1,n-2}& t_{m-1,n-1}\\ u_1& u_2& \cdots & u_{n-1}& 0\end{array}\right)$
  对系数矩阵$\mathbf{T}$的每行进行commitment，相应的commitment值为$T_0,\cdots ,T_{m-1},U$
  同时，$t(X)$可表示为：
  $t(X)=\left(\begin{array}{ccccc}1& X^n& \cdots & X^{(m-1)n}& X\end{array}\right)\mathbf{T}\left(\begin{array}{c}1\\ X\\ X^2\\ ⋮\\ X^{n-1}\end{array}\right)$
  – 对evaluation point $x\in {\mathbb{Z}}_p$，利用commitment的同态属性，可知，对应如下vector 的commitment值为$Com(\overrightarrow{\stackrel{ˉ}{t}})=U^x{\prod }_{i=1}^{m-1}{T}_i^{x^{in}}$：
  $\overrightarrow{\stackrel{ˉ}{t}}=\left(\begin{array}{ccccc}1& X^n& \cdots & X^{(m-1)n}& X\end{array}\right)\mathbf{T}$
  – 此时，Prover直接reveal the vector $\overrightarrow{\stackrel{ˉ}{t}}$，就不会造成$t(X)$系数的泄露了。【$x=0$时$t0,0$不算泄露。】
  然后Verifier就很容易计算出evaluation值$v=t(x)=\overrightarrow{\stackrel{ˉ}{t}}\left(\begin{array}{c}1\\ x\\ ⋮\\ x^{n-1}\end{array}\right)$。

（2）由standard polynomial 扩展至 Laurent polynomial，其中$t_0=0$。
$t(X)={\sum }_{k=-d_1}^{d_2}{t}_k{X}^k=t_{-d_1}{X}^{-d_1}+t_{-d_1+1}{X}^{-d_1+1}+\cdots +t_0+t_{1}X+\cdots +t_{d_2}{X}^{d_2}$

• 取$m_1,m_2,n$均为正整数，且满足$d_1=n{m}_1,d_2=n{m}_2$，$t(X)$ 可表示为：
  $t(X)=X^{-m_{1}n}{t}^{\prime }(X)+X{t}^{\prime \prime }(X)$，其中$t^{\prime }(X)={\sum }_{i=0}^{m_1-1}{\sum }_{j=0}^{n-1}{t}_{i,j}^{\prime }{X}^{in+j},t^{\prime \prime }(X)={\sum }_{i=0}^{m_2-1}{\sum }_{j=0}^{n-1}{t}_{i,j}^{\prime \prime }{X}^{in+j}$
  可将$t^{\prime }(X)$和$t^{\prime \prime }(X)$的系数添加blind values后以$(m_1+m_2)\times n+1$的系数矩阵表示：
  $\mathbf{T}=\left(\begin{array}{cccc}{t}_{0,0}^{\prime }& t_{0,1}^{\prime }& \cdots & t_{0,n-1}^{\prime }\\ t_{1,0}^{\prime }& t_{1,1}^{\prime }& \cdots & t_{1,n-1}^{\prime }\\ ⋮& ⋮& & ⋮\\ t_{m_1-1,0}^{\prime }& t_{m_1-1,1}^{\prime }& \cdots & t_{m_1-1,n-1}^{\prime }\\ t_{0,0}^{\prime \prime }& t_{0,1}^{\prime \prime }-u_1& \cdots & t_{0,n-1}^{\prime \prime }-u_{n-1}\\ t_{1,0}^{\prime \prime }& t_{1,1}^{\prime \prime }& \cdots & t_{1,n-1}^{\prime \prime }\\ ⋮& ⋮& & ⋮\\ t_{m_2-1,0}^{\prime \prime }& t_{m_2-1,1}^{\prime \prime }& \cdots & t_{m_2-1,n-1}^{\prime \prime }\\ u_1& u_2& \cdots & 0\end{array}\right)=\left(\begin{array}{c}{\vec{t}}_0^{\prime }\\ {\vec{t}}_1^{\prime }\\ ⋮\\ {\vec{t}}_{m_1-1}^{\prime }\\ {\vec{t}}_0^{\prime \prime }\\ {\vec{t}}_1^{\prime \prime }\\ ⋮\\ {\overrightarrow{t_{m_2-1}}}^{\prime \prime }\\ \vec{u}\end{array}\right)$
  定义 vectors：
  $\vec{Z}=\overrightarrow{Z(X)}=(X^{-m_{1}n},X^{-(m_1-1)n},\cdots ,X^{-n},X,X^{n+1},\cdots ,X^{(m_2-1)n+1},X^2)$
  $\vec{X}=\overrightarrow{X(X)}=\left(\begin{array}{c}1\\ X\\ ⋮\\ X^{n-1}\end{array}\right)$
  最终，$t(X)$可表示为：
  $t(X)=\vec{Z}\mathbf{T}\vec{X}$

• 对系数矩阵$\mathbf{T}$逐行commit，相应的commitment值为$T_0^{\prime },\cdots ,T_{m_1-1}^{\prime },T_0^{\prime \prime },\cdots ,T_{m_2-1}^{\prime \prime },U$。

• 对vector $\overrightarrow{\stackrel{ˉ}{t}}=\vec{Z}\mathbf{T}$ 的 commitment 值为$({\prod }_{i=0}^{m_1-1}(T_i^{\prime }{)}^{x^{(i-m_1)n}})({\prod }_{i=0}^{m_2-1}(T_i^{\prime \prime }{)}^{x^{in+1}})U^{x^2}$。

• Prover直接reveal the vector $\overrightarrow{\stackrel{ˉ}{t}}$，然后Verifier就很容易计算出evaluation值$v=t(x)=\overrightarrow{\stackrel{ˉ}{t}}\overrightarrow{X(x)}=\overrightarrow{\stackrel{ˉ}{t}}\left(\begin{array}{c}1\\ x\\ ⋮\\ x^{n-1}\end{array}\right)$。
  由于已在系数矩阵$\mathbf{T}$中增加了blind values $u_1,\cdots ,u_{n-1}$，实现了hide the weighted sums of each column，从而使得Verifier is able to compute $t(x)$ without gaining additional information about its coefficients。

整个polynomial commitment的详细流程为：

以上协议具有如下特性：

• Perfect completeness；
• Statistical $(m_1+m_2)n+1$-Special Soundness；
• Perfect Special Honest Verifier Zero Knowledge。

以上协议的开销主要为：

• PolyCommit中的$\overrightarrow{pc}$中包含 $m_1+m_2+1$ 个group elements；
• PolyEval中的$\overrightarrow{pe}$中包含 $n+1$ 个field elements；
• PolyCommit中的$\overrightarrow{pc}$的计算开销主要在于计算commitments $T_i’$和$T_i’’$，对应为 $m_1+m_2$ 个 $n$-wide multi-exponentiations。采用[Lim00, M¨ol01,MR08]中的multi-exponentiation技术，最终总的开销大概在$\frac{(m_1+m_2)n}{\log n}$个group expentiations。
• PolyEval中的$\overrightarrow{pe}$的计算开销主要在于计算$\vec{Z}\mathbf{T}$，需要 $n(m_1+m_2)$ 个field multiplications。
• PolyVerify中的主要计算开销在于verification equation中的multi-exponentiations，大概需要$\frac{m_1+m_2+n}{\log (m_1+m_2+n)}$ 个group exponentiations。

3. Inner product argument

基本信息为：
public info：$z\in {\mathbb{Z}}_p,A,B\in \mathbb{G},\vec{g},\vec{h}\in {\mathbb{G}}^n$
private info：$\vec{a},\vec{b}$
relation：$A={\vec{g}}^{\vec{a}}\wedge B={\vec{h}}^{\vec{b}}\wedge \vec{a}\cdot \vec{b}=z$

当不要求zero-knowledge时，Prover可直接将$\vec{a},\vec{b}$发送给Verifier，相应的communication cost为$O(2n)$。本文可通过增加interaction来减少communication cost 至 $O(\sqrt{n})$，其中$n$为vector length。

本文构建的inner product argument，是基于Bayer和Groth 2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》（参见博客 Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1））中类似的2-move reduction to smaller statement技术。即：
It will suffice for the prover to reveal the witness for the smaller statement in order to convince the verifier about the validity of the original statement。
在整个argument中，Prover和Verifier都递归地 run the reduction to obtain increasingly smaller statements，然后最后Prover reveal a witness for a very small statement。最终需要$O(\log n)$个move，总的communication cost为$O(\log n)$ 个 group和field elements。

基本思路为：
Prover和Verifier的common input 为$(\mathbb{G},p,\vec{g},A,\vec{h},B,z,m)$，其中$m$可整除$n$。对应的$\vec{g}=({\vec{g}}_1,\cdots ,{\vec{g}}_m),\vec{h}=({\vec{h}}_1,\cdots ,{\vec{h}}_m),\vec{a}=({\vec{a}}_1,\cdots ,{\vec{a}}_m),\vec{b}=({\vec{b}}_1,\cdots ,{\vec{b}}_m)$，其中每个${\vec{g}}_i,{\vec{h}}_i$的size为$\frac{n}{m}$。
转为证明：
Public info：$z\in {\mathbb{Z}}_p,A,B\in \mathbb{G},\vec{g},\vec{h}\in {\mathbb{G}}^n$
Private info：$\vec{a}=({\vec{a}}_1,\cdots ,{\vec{a}}_m),\vec{b}=({\vec{b}}_1,\cdots ,{\vec{b}}_m)$
Relation：$A={\vec{g}}^{\vec{a}}={\prod }_{i=1}^m{\vec{g}}_i^{{\vec{a}}_i}\wedge B={\vec{h}}^{\vec{b}}={\prod }_{i=1}^m{\vec{h}}_i^{{\vec{b}}_i}\wedge \vec{a}\cdot \vec{b}={\sum }_{i=1}^m{\vec{a}}_i\cdot {\vec{b}}_i=z$

将其展开为矩阵，主对角线上的元素即为相应的vector commitment。

• Prover：for $k=1-m,\cdots ,m-1$，计算$A_k={\prod }_{i=max(1,1-k)}^{min(m,m-k)}{\vec{g}}_i^{{\vec{a}}_{i+k}},B_k={\prod }_{i=max(1,1-k)}^{min(m,m-k)}{\vec{h}}_i^{{\vec{b}}_{i+k}}$。将所有的$A_k$ 发送给Verifier。其中$A_0=A,B_0=B$为public info。
• Verifier：发送 challenge $x\leftarrow {\mathbb{Z}}_p\ast$。
• Prover和Verifier：同时计算${\vec{g}}^{\prime }={\prod }_{i=1}^m{\vec{g}}_i^{x^{-i}},A^{\prime }={\prod }_{k=1-m}^{m-1}{A}_k^{x^k},{\vec{h}}^{\prime }={\prod }_{i=1}^m{\vec{h}}_i^{x^i},B^{\prime }={\prod }_{k=1-m}^{m-1}{B}_k^{x^{-k}}$。
• Prover：构建新的witness ${\vec{a}}^{\prime }={\sum }_{i=1}^m{\vec{a}}_i{x}^i,{\vec{b}}^{\prime }={\sum }_{i=1}^m{\vec{b}}_i{x}^{-i}$，使得$A^{\prime }=({\vec{g}}^{\prime }{)}^{{\vec{a}}^{\prime }},B^{\prime }=({\vec{h}}^{\prime }{)}^{{\vec{b}}^{\prime }}$成立。
• Prover：为了证明$\vec{a}\cdot \vec{b}=z$，即需要证明$z$为${\vec{a}}^{\prime }\cdot {\vec{b}}^{\prime }={\sum }_{i=1}^m{\vec{a}}_i{x}^i\cdot {\sum }_{j=1}^m{\vec{b}}_j{x}^{-j}$的常量项。
  for $k=1-m,\cdots ,m-1$，Prover计算$z_k={\sum }_{i=max(1,1-k)}^{min(m,m-k)}{\vec{a}}_i\cdot {\vec{b}}_{i+k}$。将所有$z_k$发送给Verifier。其中$z_0=z={\sum }_{i=1}^m{\vec{a}}_i\cdot {\vec{b}}_i$。
• Verifier：计算$z^{\prime }={\vec{a}}^{\prime }\cdot {\vec{b}}^{\prime }={\sum }_{k=1-m}^{m-1}{z}_k{x}^{-k}$

至此，Prover和Verifier都知道 ${\vec{g}}^{\prime },A^{\prime },{\vec{h}}^{\prime },B^{\prime },z^{\prime }$满足$A^{\prime }={\vec{g}}^{\prime {\vec{a}}^{\prime }}\wedge B^{\prime }={\vec{h}}^{\prime {\vec{b}}^{\prime }}\wedge z^{\prime }={\vec{a}}^{\prime }\cdot {\vec{b}}^{\prime }$，且witness ${\vec{a}}^{\prime },{\vec{b}}^{\prime }$的length均为$\frac{n}{m}$。

假设$n=m_{\mu }{m}_{\mu -q}\cdots m_1$，则可 recursively apply this reduction over the factors of $n$ to obtain, after $\mu -1$ iterations，vectors of length $m_1$。然后Prover可直接reveal shorter $m_1$ length vectors，而不再是$n$ length vectors。

详细的算法实现为：

以上inner product argument协议具有如下属性：

• perfect completeness;
• statistical witness extended emulation。
• 注意：以上argument未实现zero-knowledge。【如博客 Hyrax: Doubly-efficient zkSNARKs without trusted setup学习笔记 4.2节中引入了随机数$r_{\xi },r_{\tau }$ 来实现honest verifier perfect zero-knowledge。】

以上inner product argument的开销为：

• 整个递归argument需要 $2\mu -1$ moves。
• 所有步骤的communication cost为$4{\sum }_{i=2}^{\mu }(m_i-1)$个group elements和$2{\sum }_{i=2}^{\mu }(m_i-1)+2m_1$个field elements。
• 在每个迭代中，Prover的主要computation cost在于计算$A_k,B_k$（借助multi-exponentiation技术，需少于$\frac{4(m_{\mu }^2{m}_{\mu -1}\cdots m_1)}{\log (m_{\mu }\cdots m_1)}$次group exponentiations运算）和计算$z_k$，需要$m_{\mu }^2{m}_{\mu -1}\cdots m_1$次field multiplication 运算。
• Prover和Verifier在每次迭代中均需要计算${\vec{g}}^{\prime },{\vec{h}}^{\prime },A^{\prime },B^{\prime },z^{\prime }$，相应的computation cost 主要为$\frac{2(m_{\mu }{m}_{\mu -1}\cdots m_1)}{\log m_{\mu }}$个group exponentiations。
  当$m_{\mu }=\cdots =m_1=m$时，Verifier的computation complexity上限为$\frac{2m^{\mu }}{\log m}\frac{m}{m-1}$个group exponentiations，Prover的computation complexity上限为 $\frac{6m^{\mu +1}}{\log m}\frac{m}{m-1}$个group exponentiations和$m^{\mu +1}\frac{m}{m-1}$个field multiplications。

4. 为Arithmetic Circuit Satisfiability构建Logarithmic Communication Argument

Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中基于discrete logarithm assumption的constant round arithmetic circuit 零知识证明算法的communication complexity 为$O(\sqrt{n})$。（详细可参见博客 Linear Algebra with Sub-linear Zero-Knowledge Arguments学习笔记）
借助第3节的recursive inner product argument，可将communication complexity降为$O(\log n)$。

将arithmetic circuit转换为2种类型的equations：

• 乘法门直接表示为$a\cdot b=c$，其中$a,b,c$分别代表the left, right and output wires。可将一系列这样的值以矩阵表示形成a Hadamard matrix product $\mathbf{A}\circ \mathbf{B}=\mathbf{C}$。
• 这种表示方式会存在一些冗余值，如 a wire is the output of one multiplication gate and the input of another 或者 a wire is used as input multiple times。可以通过一系列的linear constraints来跟踪这些冗余：如 the output of the first multiplication gate is the right input of the second，可表示为$c_1-b_2=0$。
  同时将加法门和常量乘法门以linear constraints表示，最终只需关注非常量乘法门。

最后，将Hadamard matrix product和linear constraints压缩为a single polynomial equation，以Laurent polynomial 表示（其constant term为$0$）。可采用第2节的polynomial commitment来证明，同时可结合第3节的inner product argument来减少communication cost。

相比于Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》的arithmetic circuit算法，主要从以下三方面做了改进：

• 不再需要加法门的input 和 output commitments了。将加法门以linear consistency equation形式来出来，可大幅提高性能。与此同时的研究成果，在Gennaro等人2013年论文《Quadratic span programs and succinct NIZKs without PCPs》中，也是去除了加法门，只不过采用的方式是从circuit中构建 Quadratic Arithmetic Programs。
• 避免对generic linear algebra statements采用黑盒reduction，而是为arithmetic circuit satisfiability直接设计an argument。
  本文的square-root argument仅需要5 moves，而Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中的argument需要7 moves。而Seo 2011年论文《Round-efficient sub-linear zero-knowledge arguments for linear algebra》中虽然为5 moves，但是增加了computational cost。
• 可采用第2节的方式来减少polynomial commitment的communication cost。

最终，本文实现的communication complexity为$O(\sqrt{N})$，其中$N$表示multiplication gate的数量。
假设circuit有$N=mn$个multiplication gates，Prover在第一轮为make $3m$ commitments to wire values，然后提供an opening consisting of $n$ field elements to a homomorphic combination of these commitments。当$m\approx n\approx \sqrt{N}$时，即具有$O(\sqrt{N})$ communication complexity。
Verifier利用这$n$个field elements来验证 an inner product relation，为了进一步降低communication cost，可采用第3节中的inner product argument来减少sending field elements的数量。