区块链:学习笔记 | 零知识证明算法之PLONK——电路

作者：

时间：1900/1/1 0:00:00

最近研究了下零知识证明算法-PLONK。肚子里的墨水又增加了，记一下学习成果与新的体会，和大家共同学习---江小白。

现状

近些年，各种新的零知识证明算法层出不出，各有各的特点，各有各的优势。借用V神系列文章里的一张图来简单呈现下当前的零知识证明算法现状。

从图中可以简单总结出以下几点：

理论上安全性最高的是STARKs算法，不依赖数学难题假设，具有抗量子性；Proof大小上最小的是SNARKs算法，如Groth16;PLONK算法在安全性上和Proof大小上，位于上述两者之间；其他的这里不做过多阐述，如想了解零知识证明更多信息，可参考链接；对于SNARKs算法，绕不开的一个点就是中心化的TrustSetup，也称之为CRS(theCommonReferenceString)。而无论是PGHR13,Groth16,还是GM17算法，它们的CRS都是一次性的，不可更新的。即，不同的问题将对应着不同的CRS，这在某些场景下，会变得比较麻烦。这些存在的问题，变成了PLONK，SONIC这类算法的一个优势，它们算法虽然也需要中心化的可信设置，但是它的CRS具有一定的普适性。即，只要电路的大小不超过CRS的上限阈值，一些证明问题就可以共用一个CRS，这种CRS称之为SRS(universalStructuredReferenceString)，关于SRS的定义，详细的可参考SONIC协议里的第3小节。PLONK算法继用了SONIC算法的SRS的思想，但是在证明的效率上，做了很大的提升。接下来，让我们详细的介绍下PLONK算法的具体细节，主要从下面四个小节去分享：

HDAO 公开课：不断学习，保持行业交流，具备风险意识和投资计划以应对变幻莫测的市场:11月18日晚8点，CWV基金会主席王小彬先生做客超导公开课第35期，探讨如何在不确定的市场环境下，如何抓住市场机会，以及NFT市场现状及发展趋势。小彬总认为，每天保持自我学习并和同行业进行充分的信息交流，具备风险意识和投资计划，是在变幻莫测的市场环境下，抓住市场机会应该做的准备。NFT是一个很有趣的赛道，疫情之下全球游戏市场和全球数字货币市场的爆发，以及NFT对人们的吸引眼球，是一个很具有时间意义的时刻。

HDAO作为去中心化的金融服务生态系统，一直致力于创建一个高效、透明和可实现的数字金融生态系统。HDAO作为万物上链先锋践行者，正在稳健推进NFT铸造系统，使用户可以方便地放置真实世界的资产作为抵押品，进行借贷和挖矿，引领NFT行业商业创新与应用场景探索。[2020/11/18 21:14:56]

电路的设计--描述PLONK算法的电路的描述思想；置换论证或者置换校验--复制约束，证明电路中门之间的一致性；多项式承诺--高效的证明多项式等式的成立；PLONK协议--PLONK协议剖析；电路

孙宇晨《学习时报》刊文：央行数字货币离不开强大的区块链技术创新支撑:11月6日，孙宇晨在中央党校机关报《学习时报》刊文《区块链技术带来金融服务的信任变革》。文章中表示，区块链，凭借其开放性、自治性、匿名性、不可篡改性等特点，带来了金融的信任变革，重构了传统金融的运行模式。经过十多年的发展，区块链技术的应用已经远远超过数字货币的范畴，从边缘的技术创新，逐渐成为主流的技术应用，尤其是对于提高金融效率有着天然的匹配性。文中提到，区块链的分布式记账技术，可以较大程度地解决信息不对称问题；区块链技术建立了一种基于机器算法的信任，能极大地降低信任成本。文中还指出，在人民币国际化进程中，央行数字货币要想在未来数字货币中占有一席之位，离不开强大的区块链技术创新来支撑。[2020/11/7 11:56:42]

PLONK算法电路的描述和SONIC算法一直，具体的过程可以参考李星大牛的分享，已经写的比较详细且易懂。在这个小篇幅里，我想主要分享下我自己的两点想法：

无论是什么样的电路描述方式，电路的满足性问题都要归结于2点，门的约束关系和门之间的约束关系成立；在SNARKs系列的算法里，电路的描述单元都是以电路中有效的线为基本单元，具体的原理可以参考我之前分享的文章，而在PLONK，SONIC以及HALO算法里，电路的描述单元都是以门为基本单元。这两种电路的不同描述方式带来了一定的思考。那就是，之前在研究SNARKs算法时，我们都已经相信一个事实，“多项式等式成立，就代表着每个门的约束成立”，然后推断，整个电路逻辑都是成立；在这个过程中，并没有额外的去证明门之间的一致性成立；但是在PLONK算法里，除了要证明多项式等式成立外，还要额外的用置换论证的数学方法去证明门之间的约束关系，即复制约束。为何会有这样的区别？希望有心的读者能一起在评论区探讨这个问题？我个人理解是因为电路的描述方式的不同：

山东省学生项目式学习和研究平台将融合区块链等信息技术手段:近日，山东省教育学会项目式学习专委会组织召开山东省项目式学习合作建设研讨会，推动建设和使用“山东省学生项目式学习和研究平台”。山东省学生项目式学习和研究平台”将通过联合高校、科研院所等在线发布学生研究项目课题，融合运用大数据、边缘云计算、区块链等信息技术手段，探索研究型、项目化、合作式学习，构建基础教育与高等院校、科研机构、社会资源贯通培养体系，形成可视化发展模型和过程性评价数据，培养学生研究性学习能力，真正实现人才评价方式、教与学方式的变革。（中国教育新闻网）[2020/7/22]

PLONK算法里，电路描述的单元是门，它为每个门定义了自己的L,R,O，因此需要证明门之间的一致性；SNARKs算法里，电路描述的单元是线，门与门之间的值用的是同一个witness，因此不用额外证明一致性；置换论证

前面我们说过，在PLONK算法里，需要去证明门之间的约束关系成立。在做具体的原理解释之前，我们先简单的过一下PLONK协议的过程，如下图所示：

可描述为：

根据电路生成三个多项式，分别代表这电路的左输入，右输入，输出；利用置换校验协议，去证明复制约束关系成立；步骤3和4，校验门的约束关系成立。其中第1点已经在电路小节里阐述过了，接下来，将详细的讲解多项式置换校验的原理。先从简单的场景去讲解：

微软Azure云机器学习设备群遭门罗币挖矿劫持:微软于6月10日表示，在其Azure云计算网络上一部分用于机器学习的设备群被黑客劫持用于 Monero（XMR）挖矿。微软通过分析数十个被攻击的设备群，发现黑客攻击的目标是开源平台Kubernetes的机器学习工具包 Kubeflow。

在默认情况下，只能从节点内部访问控制Kubeflow，因此，用户需要通过Kubernetes API使用端口进行访问。但是，部分用户修改了端口，将漏洞暴露在网上，从而导致设备被劫持。[2020/6/12]

单个多项式的置换校验

其实就是证明对于某个多项式f，存在不同的两个点x,y，满足f(x)=f(y)。下面来看具体的原理：

上图中加入了一个正例P，一个反例A，方便大家理解置换校验的原理。有几点需要解释的是：

动态 | 甘肃兰州市城关区组织专题讲座学习区块链技术及应用:近期，中共中央局就区块链技术发展现状和趋势进行了集体学习，并提出要探索利用区块链数据共享模式，实现政务数据跨部门、跨区域共同维护和利用，促进业务协同办理，深化“最多跑一次”改革，为人民群众带来更好的政务服务体验。12日，中国经济信息社新华财经中国金融信息网区块链首席专家郭兴华受邀，为兰州市城关区委理论学习中心组作了“区块链技术及应用”的专题报告。

郭兴华说，“区块链”一词来自对比特币底层数据结构的表述，比特币系统中的数据由矿工打包形成区块，通过哈希值彼此连接，非常像程序设计中的“链表”结构，因此被称为“区块链”。目前区块链的内涵经过了层层扩展，单纯的“区块”和“链”已经不能对其本质进行诠释，这也是区块链的概念难以掌握的原因。目前区块链技术的发展分为了三个阶段，数字货币阶段、智能合约阶段和扩展应用阶段。（中国金融信息网）[2019/12/12]

而经过仔细剖析Z的形式，不难发现，Z(n+1)其实就是两个函数所有值的乘积的比值(不知是否等同于V神文章里的坐标累加器？)。理论上是等于1。因此，我们需要设计这样的一个多项式Z，需满足：deg(Z)<n

Z(n+1)=1

2.乘法循环群刚好可以满足这个条件，如果设计一个阶为n的一个乘法循环群H，根据群的性质可以知道Z(g)=Z(g^(n+1))。因此，在设计Z时，会保证Z(g)=1；上图中的自变量的取值也将从{1...n}变成{g...g^n}。所以在上图中验证的部分，a其实已经换成了群H里的所有元素。

3.根据论文中的协议，多项式Z是会发给可信第三方I验证方V会从I处获取到多项式Z在所有a处的取值，然后依次校验。

下面具体看一下论文中的定义：

从定义中可以看出：多项式f,g在范围内具有相同的值的集合；下面看一下论文中具体的协议部分，结合上述解释的3点：