## Kate承诺证明爱因斯坦推理题（三）

回顾上节，我们把爱因斯坦推理题转化成一个适合零知识证明的多项式QAP类问题
$$P(x)=\sum_{i=0}^{41} s_iL_i(x) ✖️ \sum_{i=0}^{41} s_iR_i(x) - \sum_{i=0}^{41} s_iO_i(x) $$
可以整除 $t(x) = (x-1)(x-2)...(x-30)$，其中$L_i(x),R_i(x),O_i(x),t(x)$都是公开信息。
证明者要向外界宣称自己知道一个系数向量$S=(s_0,s_1,...,s_{41})$，能够满足上面的要求。

这一节来搭建一个zksnark的基本雏形，用以解释zksnark的核心概念LPCP、零知识、简洁性。

### Linear PCP基本概念
密码学里程碑的基础理论PCP指出所有NP范围内的问题都可以通过简短的随机抽验来验证，其后各种基于不同NP类问题得以深入研究和应用，找到一个工程上容易实现的NP类问题，并且能够方便容易应用到各种实际的问题中，这是密码学近几年努力的方向。LPCP的核心思想，对任意一个阶的多项式，都可以通过随机验证多项式在几个点上取值来确定这个多项式的每一项系数是否满足特定的要求。假如取值在$F_q$有限域内的多项式，那么这个多项式在每个点上的取值一定是特殊的。如果我们还有另外一个同阶的多项式，哪怕系数稍微变了一点点，整个多项式的取值马上会发生巨大的改变。如果两个多项式的系数不一样，那么如果我们随机验证一个点的取值，这两个值相等的几率$\epsilon=d/deg(F_q)$，会非常小。
$$P(x)=\sum_{i=0}^{41} s_iL_i(x) ✖️ \sum_{i=0}^{41} s_iR_i(x) - \sum_{i=0}^{41} s_iO_i(x) = t(x) ✖️ h(x) $$
而QAP就是构造了这样一个$P(x)$能被$t(x)$整除要求的多项式，通过随机抽查多项式$P(x)和t(x)$在一个点s处的分别取值$P(s),t(s)$，如果$P(s)$能够被$t(s)$整除，根据PCP的基本理论，有很大概率$P(x)$是可以被$t(x)$整除的。

### Kate承诺：基于QAP实现LPCP
虽然LPCP的概念和核心思想并不复杂，但要将其在工程上实现，特别是实现R1CS/QAP的LPCP，这就是Kate承诺，需要考虑下面几个问题：

#### 交互性
如果prover无法事先知道verifier的查询输入s，那势必需要prover与verifier做至少一轮的交互，以接受输入参数s，然后将结果返回给verifier。如果必须要prover直接参与这种交互，其应用场景将十分受限，所以密码学界构造了一个中间方称之为oracle，prover事先把证明$\pi$ 提交(commit)到oracle中，verifier随机向oracle查询，其结果通常是query和$\pi$的内积，一般记作$\langle Q, \pi\rangle$, verifier然后对结果进行验证。
![image.png](attachment:image.png)

#### 零知识和双盲特性
所谓零知识指的是证明者不需要揭露任何真正的知识，在本文中知识就是这个系数向量，而是提供一个proof代替。反过来，验证者也不需要提供任何可以用来帮助证明者作弊的信息用于提前构造proof或者其它用来欺骗验证者的信息。满足双盲特性是构建合格的密码协议基础，看起来很简单的一个描述，实际上非常复杂，这是实现LPCP的难点所在，同时也是zksnark看起来特别复杂的核心原因。

构造一个可以无交互、满足双盲特性的密码协议，这是所有零知识证明ZKP系统的解决的基本价值点所在，同时也是复杂性的发源。

#### Oracle和CRS
Oracle的功能看起来十分清晰，保存证明proof或$\pi$，接受verifier的Query，并返回query和$\pi$的内积$\langle Q, \pi\rangle$，实现起来并不简单。一种可以想到但并不实用的做法是在oracle中复制Prover的所有信息，即保存QAP生成的函数$L(x),R(x),O(x),t(x)$，以及证明$\pi$，以便接受输入q的时候能够返回$L(q),R(q),O(q),t(q)$等。这种做法没有太大的实用价值，因为只有保存在Oracle的信息远远小于原始信息，才有意义。为此引入了一个CRS(common reference string)的概念，我们假设在一个协议中，证明方与验证方都拥有一段相同的参考字串。这个字串可能是随机生成的，也可能是某个函数的输出。重要的是完成协议的两方并不知道这个字串具体是如何被生成的，就感觉像是天上掉下来的一样。所以我们可以在CRS中保存verifier要执行的query，prover根据这些query生成结果，由此立即衍生一个问题，如果verifier的query是已知的，怎么防止prover作弊呢？这个问题的实质就回到了上面的零知识和双盲特性。所以解决方案也很直接，在CRS里保存的是加密后的query，如果使用有限域$F_q$,则选取其一个循环子群G，其生成元为g，则存的是$g^s$，其中s是初始设置的时候生成的，而verifier其实也不知道这个s，但prover和verifier双方都知道$g^s$。在zksnark里，选择的是有限域椭圆曲线的循环子群，在CRS里保存的是$s*g$，对任一个多项式$$P(x)\cdot g =(\sum_{i=0}^{d} a_ix^i) \cdot g $$ 计算$$P(s) \cdot g = (\sum_{i=0}^{d} a_is^i) \cdot g = \sum_{i=0}^{d} a_i(s^i \cdot g) $$ 在CRS中要提前保存所有的$s^i \cdot g $。因此Prover就可以在不知道$s^i$的前提下，计算出多项式$P(s)\cdot g$的结果。

#### Quadratic Test和双线性配对
因为我们验证的等式是 $\langle L(q), \pi \rangle \cdot \langle R(q), \pi \rangle - \langle O(q), \pi \rangle = \langle t(q), \pi \rangle \cdot \langle h(q), \pi \rangle$，亦即需要验证一个乘积关系，即Quadratic Test，在有些地方称之为enforcing operation。我们在CRS里保存的已经是加密后的结果，多项式$P(x)\cdot g,t(x) \cdot g, h(s) \cdot g$计算的结果也不是一个简单的$F_q$上的正整数，而是椭圆曲线循环子群的一个元素（也是椭圆曲线上的一个点），对两个椭圆曲线上的点的乘法操作是没有定义的，为此引入一个双线性配对的概念:<br>
$$ e(P(s)*g, g) = e(t(s)*g, h(s)*g) $$

#### 阶数测试d-KCA和$\alpha$对
verifier要确保prover提供的$P(s)$确实是d-阶多项式运算的结果，而不是一个更高阶的多项式，通过如下的方法：<br>
随机生成一个$\alpha$，在CRS里保存的不再仅仅是原来的$s^i \cdot g , i \in 0..d-1 $，而是增加了另外一组$\alpha \cdot s^i \cdot g $，此时计算两个值：$$P=P(s) \cdot g = (\sum_{i=0}^{d} a_is^i) \cdot g = \sum_{i=0}^{d} a_i(s^i \cdot g) \\
P^{\prime}=\alpha \cdot P(s) \cdot g = \alpha \cdot (\sum_{i=0}^{d} a_is^i) \cdot g = \sum_{i=0}^{d} a_i(\alpha \cdot s^i \cdot g)
$$ 
如果此时$\alpha$对$(P, P^{\prime}$ 满足$\alpha \cdot P = P^{\prime} $，就能证明prover没有用一个更高阶的多项式来伪造答案。虽然在CRS里没有保存$\alpha$的明文信息，verifier如何验证$\alpha \cdot P = P^{\prime} $呢？答案是，在CRS里还要保存$\alpha \cdot g$，verifier利用上文引入的配对函数，验证$$ e(P*g, \alpha * g) = e(P^{\prime} *g, g) $$


### 实现
我们引入了CRS、配对、BLS12-381有限域椭圆曲线，利用之前BLS构造的配对函数pairing，就可以完整的实现一个QAP的LPCP，需要注意的是我们使用的python代码实现的pairing函数两个G1、G2分别为$F_q, F_{q^2}$，并不都是$F_q$，所以上面的$h(s),\alpha*g$都要在G2中运算。在下文中，我们是对确定的QAP实现，所以下文中的d=41。

#### Setup
* 生成随机数 $s, \alpha $
* 计算$\alpha*g_2, \{s^{i}*g_1\}_{i \in [d]},\{s^{i}*g_2\}_{i \in [d]},\{\alpha*s^{i}*g_1\}_{i \in [d]},\{\alpha*s^{i}*g_2\}_{i \in [d]} $
* proving key: $\{s^{i}*g_1\}_{i \in [d]},\{s^{i}*g_2\}_{i \in [d]},\{\alpha*s^{i}*g_1\}_{i \in [d]},\{\alpha*s^{i}*g_2\}_{i \in [d]}$
* verifing key: $\alpha*g_2, T=t(s)*g_1$
可以看到，在setup阶段，只跟多项式的阶数有关系，跟具体多项式没关系。

#### Prove
* $P(x)=\sum_{i=0}^{41} s_iL_i(x) ✖️ \sum_{i=0}^{41} s_iR_i(x) - \sum_{i=0}^{41} s_iO_i(x) $这个多项式里头的$s_i,L_i(x),R_i(x),O_i(x)$都是已知的
* 计算$h(x)=P(x)/t(x)$
* 计算$P=P(s)\cdot g_1, P^{\prime}=P(s) \cdot \alpha \cdot g_1 , H=h(s)\cdot g_2$ 
* commit proof $\pi = (P, P^{\prime}, H) $

#### Verify
* 检查 $e(P^{\prime}, g_2) = e(P, \alpha \cdot g_2) $
* 检查 $e(P^{\prime}, g_2) = e(T, H) $

具体python代码如下：