当前位置：首页 > news >正文

nil Foundation的Placeholder证明系统（2）

news 2026/2/8 16:45:07

前序博客：

nil Foundation的Placeholder证明系统（1）

=nil; Foundation团队2022年11月论文《Placeholder证明系统》。[2022年11月29日版本]

8. 优化

8.1 Batched FRI

不同于单独检查每个commitment，可对其进行FRI聚合。如对多项式 $f0,⋯,fkf_0,\cdots,f_k$ ：

1）从transcript中获取 $θ\theta$ 。
2）计算 $f=f0⋅θk−1+⋯+fkf=f_0\cdot \theta^{k-1}+\cdots+f_k$ 。
3）基于 $f$ 运行FRI，using oracles to $f0,⋯,fkf_0,\cdots,f_k$ 。

从而可对所有committed polynomials只允许依次FRI实例。详细参看RedShift论文。

8.2 Hash By Column

不同于对每个多项式都进行commit，可对多个多项式采用相同的Merkle tree，这样可降低Prover所需提供的Merkle tree paths数量。
详细参看RedShift论文。

8.3 Hash By Subset

每个 $i + 1$ FRI round假定Prover发送all elements from a coset $H∈D(i)H\in D^{(i)}$ 。每个Merkle leaf可包含the whole coset instead of separate values。
详细参看RedShift论文。不过RedShift作者在每个leaf中使用了更多的values，从而具有更好的性能。

8.4 FRI PoW

待续。。。。

9. Placeholder参数

本节重点讨论Placeholder参数及其对协议安全和性能的影响。

9.1 FRI参数

令 $RS[F,D,ρ]\mathbf{RS}[\mathbb{F},D,\rho]$ 为Reed-Solomon code family。此处有 $∣D∣=n=2k,ρ=2−R(k,RN)|D|=n=2^k,\rho=2^{-R}(k,R\mathbb{N})$ 。这意味着committing polynomials的degree bound为 $d=2^{k-R}$ 。
令 $r∈[1,log⁡d=n^]r\in [1,\log d=\hat{n}]$ 为FRI inner rounds数， $l$ 为repetition参数。
相应的：

Prover： $O(n)\mathcal{O}(n)$
Verifier： $O(log⁡n)\mathcal{O}(\log n)$

对于每个 $ϵ∈(0,1]\epsilon\in (0,1]$ ，令 $Jϵ:[0,1]→[0,1]J_{\epsilon}:[0,1]\rightarrow [0,1]$ 函数为：
$Jϵ(X)=1−1−X(1−ϵ)J_{\epsilon}(X)=1-\sqrt{1-X(1-\epsilon)}$

假设 $Δ(f,RS)=δ>0\Delta(f,\mathbf{RS})=\delta>0$ ，则根据Eli Ben-Sasson 2019年论文 DEEP-FRI: Sampling Outside the Box Improves Soundness，相应的soundness error上限为：
$err(δ)=2log⁡∣D∣ϵ3∣F∣+(1−min⁡{δ0,Jϵ(1−ρ)}+ϵlog⁡∣D∣)l\mathbf{err}(\delta)=\frac{2\log |D|}{\epsilon^3|\mathbb{F}|}+(1-\min\{\delta_0,J_{\epsilon}(1-\rho)\}+\epsilon \log |D|)^l$

9.2 Placeholder参数

当前可将circuit parameters用于FRI commitments。
令 $d$ 为the smallest power of two，使得 $d≥Nrowsd\geq N_{rows}$ 。在Placeholder中， $d$ 定义为the highest degree of polynomials that can be committed by FRI instance。
令 $w$ 为 $d$ -th root of unity。有 $d=2n^d=2^{\hat{n}}$ ，且 $n^≥Nrows\hat{n}\geq N_{rows}$ 。

用 $RS[F,D,ρ]\mathbf{RS}[\mathbb{F},D,\rho]$ 来表示FRI commitments，其中：

$F\mathbb{F}$ ：与PLONK arithmetization中的field相同。
$D$ ：为domain of $n=2k=2n^+Rn=2^k=2^{\hat{n}+R}$ root of unity。
$ρ=2−R\rho=2^{-R}$ ：为可调整的参数。

Soundness error定义为：
$ϵπ(δ)≤max⁡(ϵFRI(δ),ϵIOPN,1F)\epsilon_{\pi}(\delta)\leq\max(\epsilon_{FRI}(\delta),\epsilon_{IOP}^N, \frac{1}{\mathbb{F}})$
其中， $ϵIOPN=(Jp,ν)8⋅4nF/D\epsilon_{IOP}^N=(J_{p,\nu })^8\cdot \frac{4n}{\mathbb{F}/D}$

令 $log⁡∣F∣=255,ν=∣F∣−1/20,D=228\log |\mathbb{F}|=255,\nu=|\mathbb{F}|^{-1/20},D=2^{28}$ ，其对 $ϵIOPN\epsilon_{IOP}^N$ 的error contribution量级为 $2^{-128}$ 。
令 $ρ=1/16\rho=1/16$ ，根据上面的FRI error公式，为达到80 bits security ，需要40个verifier queries（ $λ\lambda$ ）。
【注意，以上参数并未考虑借助”grinding“技术，可进一步降低queries数量。】

10. Circuit性能评估

关键标识有：

标识	含义
$n$ （对应之前 $N_{rows}$ ）	Rows的数量
$N_{witness}$	Witness Columns（又名”Advice Columns“）的数量
$N_{perm}$	包含在Permutation Argument中的Witness Columns数量
$N_{sel}$	Circuit中所使用的Selectors数量
$N_{lookup}$	~~Lookup Constraints数量~~
$N_c$	Constraints Polynomials数量【根据RedShift论文，Constraint Polynomials：由Selector Polynomials $qL,qR,qO,qM,qC\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}$ 和 Permutation Polynomials ${Sidi(X)}i=13,{Sσj(X)}j=13\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3$ 组成】
$N_{PI}$	~~Public input Columns数量~~
$w_i$	~~Witness Polynomials，其中 $0≤i<Nwitness0\leq i < N_{witness}$~~
$c_j^{(i)}$	~~Constraints Polynomials，其中 $0≤i<Nsel0\leq i < N_{sel}$~~
$gatei\mathbf{gate}_i$	Gate Polynomials， $0≤i<Nsel0\leq i<N_{sel}$ 。~~Gate Polynomials for Selector $q_i(X)$ and Constraints ${c_j^{(i)}\}_{j=0}^{n_i'-1}$~~
$PI_i$	~~Public input Polynomials，其中 $0≤i<NPI0\leq i < N_{PI}$~~
$σ(col:i,row:j)=(col:i′,row:j′)\sigma(col:\ i, row:\ j)=(col:\ i', row:\ j')$	Permutation over the Table
$o\mathbf{o}$	~~Set of all Offsets。~~
$fi\mathbf{f}_i$	Witness polynomials， $0≤i<Nwitness0\leq i < N_{witness}$
$fci\mathbf{f}_{c_i}$	Constant-related polynomials， $0≤i<Nconst0\leq i < N_{const}$
$H_c$	Commitment hash
$H_r$	Random Oracle hash
$l_{H_c}$	Number of bits in commitment hash
$l_{H_r}$	Number of bits in random oracle hash

10.1 Proof Size

Proof中包含：

$f0,comm,⋯,fNwitness−1,commf_{0,comm},\cdots,f_{N_{witness}-1,comm}$ ：对witness多项式的承诺值。
$A'_{comm},S'_{comm}$ ：为lookup承诺值。
$P_{comm},Q_{comm}$
$V_{comm}$ ：lookup相关
$T0,comm,⋯,TNperm−1,commT_{0,comm},\cdots,T_{N_{perm}-1,comm}$
Values and paths with size $log⁡n\log n$ ：
- $f_i(y)$ for $i∈[0,Nwitness−1]i\in [0, N_{witness}-1]$
- $P (y), P (y w), Q (y), Q (y w)$
- $T_j(y)$ for $j∈[0,Nperm−1]j\in [0, N_{perm}-1]$
- $A'(y),S'(y), V(y), A'(yw^{-1}),V(yw)$
- Gate-depending $fi(ywμ)f_i(yw^{\mu})$
For circuit polynomials：区分point values
Evaluation proof for the values above（ $l$ 次）：

附录 nil Foundation系列博客

nil Foundation的Solana-Ethereum Bridge Based on Light-Client State Proof Verification
nil Foundation的基于Solana light client实现的zk-bridge方案
nil Foundation的Mina-＞以太坊 bridge原型已完成
nil Foundation的Mina-Ethereum State Proof Verification Applications
nil Foundation的in-EVM Full Mina State Verification
nil Foundation的Placeholder证明系统（1）
zkLLVM：nil Foundation开发的电路编译器

参考资料

[1] ZCash Halo2 Lookup argument
[2] ZCash Halo2 Permutation argument