## Kate承诺证明爱因斯坦推理题（二）
在前文中我们已经在BLS12-381的FQ域中构建了一个多项式，本文利用R1CS和QAP，构造一个适合用zksnark来证明的多项式。$$ f(x) = \sum_{i=0}^{15} a_ix^{i} = 8 $$ 其中$a_i$都是已知数。

### 构造电路R1CS
R1CS要求必须是1阶的运算，即输入是两个，输出是一个，因此我们需要把上面的多项式按下面的方式编译成电路：

$$ sym_{1} = a_{15}*x \\
sym_{2} = sym_{1} + a_{14} \\
sym_{3} = sym_{2} * x \\
sym_{4} = sym_{3} + a_{13} \\
sym_{5} = sym_{4} * x \\
sym_{6} = sym_{5} + a_{12} \\
sym_{7} = sym_{6} * x \\
sym_{8} = sym_{7} + a_{11} \\
sym_{9} = sym_{8} * x \\
\vdots \\
sym_{26} = sym_{25} + a_{2} \\
sym_{27} = sym_{26} * x \\
sym_{28} = sym_{27} + a_{1} \\
sym_{29} = sym_{28} * x \\
out = sym_{29} + a_{0} \\
$$

解向量的结构为：$(one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29})$ <br>
第一个等式$ sym_{1} = a_{15}*x $ 实际等同于如下的向量内积表达：
$(0, 0, 0, \dots, 1, 0, \dots , 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29}) = (0, 0, 0, 1, 0, \dots , 0, 0, \dots, 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29}) ✖️ (0, 1, 0, 0, 0, \dots , 0, 0, \dots, 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29}) $ 其中✖️是普通的乘法，两个向量之间的点乘是内积，解向量和一个稀疏向量的内积得到一个如上定义的中间变量。

依次类推，可以得到30个向量内积表达式：
$(0, 0, 0, \dots, 1, 0, \dots , 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29}) = (0, 0, 0, 0, 0, \dots , 0, 1, \dots, 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29})  ✖️ (0, 1, 0, 0, 0, \dots , 0, 0, \dots, 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29})  $ 
$(0, 0, 0, \dots, 0, 1, \dots , 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29})  = (0, 0, 0, 0, 0, \dots , 1, 0, \dots, 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29})  ✖️ (0, 0, 0, 0, 0, \dots , 1, 0, 0, \dots, 0) . (one, x, out, a_{0}, a_{1}, \dots, a_{15}, sym_1, sym_2, \dots , sym_{29}) $ 

容易将其转化成一个矩阵的表达式：
$$O.S = L.S✖️R.S$$
其中S为42✖️1的列向量，O，L，R是用上面的电路构造方法生成的30✖️42稀疏矩阵，里面的元素只有0或1，每一行每一列都至少有一个1，没有全0行或全0列，形式如下：

$$\begin{bmatrix}
0 & 0 & \cdots & 0 & 1 \cdots & 0\\
0 & 0 & \cdots & 1 & 0 \cdots & 0\\
\vdots  & \vdots & \ddots & \vdots \\
0 & 0 & \cdots & 0 & 0 \cdots & 0\\
\end{bmatrix} . \begin{bmatrix}
one \\
x \\
\vdots \\
sym_{29} \\
\end{bmatrix} = \begin{bmatrix}
0 & 0 & \cdots & 0 & 1 \cdots & 0\\
0 & 0 & \cdots & 1 & 0 \cdots & 0\\
\vdots  & \vdots & \ddots & \vdots \\
0 & 0 & \cdots & 0 & 0 \cdots & 0\\
\end{bmatrix} . \begin{bmatrix}
one \\
x \\
\vdots \\
sym_{29} \\
\end{bmatrix} ✖️ \begin{bmatrix}
0 & 0 & \cdots & 0 & 1 \cdots & 0\\
0 & 0 & \cdots & 1 & 0 \cdots & 0\\
\vdots  & \vdots & \ddots & \vdots \\
0 & 0 & \cdots & 0 & 0 \cdots & 0\\
\end{bmatrix} . \begin{bmatrix}
one \\
x \\
\vdots \\
sym_{29} \\
\end{bmatrix}
$$
其中3个矩阵分别为O,L,R，看起来很像，但实际并不相同。<br>
而按照前面的描述，一个满足上面矩阵等式要求的解向量中$a_i,sym_i$，这些都是已知的。所以原问题已经转换成prover提供一个解向量S，如果满足矩阵等式要求，则verifier就可以相信prover确实知道答案。因为反过来求解这个方程，这是一个NP类问题，即作弊者不可能通过解这个方程来提供一个假的解向量来通过verifier的验证。

### 从R1CS到QAP

现在用另一个角度来看上面的矩阵等式，把O，L，R三个矩阵的每一行看作一个多项式依次在1,2...30的取值，并且这三个多项式分别是42个多项式的组合（按列来分），解向量S看作这些多项式的权重，我们可以把上面的等式转化成另一种形式：
$$\sum_{i=0}^{41} s_iL_i(x) ✖️ \sum_{i=0}^{41} s_iR_i(x) = \sum_{i=0}^{41} s_iO_i(x) $$

这个问题数学上也已经证明了是个NP类问题，现在的问题转化成，如果$O_i(x),L_i(x),R_i(x)$这些多项式都是已知的多项式，prover证明自己知道一种系数的组合，可以让上述等式在1,2...30这30个点的取值相等。<br>
而很明显的是，$O_i(x),L_i(x),R_i(x)$ 我们已经分别得到了30个点，其中点的x坐标依次为1,2...30，而y坐标则为前面得到的矩阵的列系数，然后用拉格朗日插值，就可以分别得到29阶的多项式。<br>
再进一步，容易知道，上面约束和 $\sum_{i=0}^{41} s_iL_i(x) ✖️ \sum_{i=0}^{41} s_iR_i(x) - \sum_{i=0}^{41} s_iO_i(x) = 0 $ 方程有1,2...30 30个根是等价的，换句话说，多项式$\sum_{i=0}^{41} s_iL_i(x) ✖️ \sum_{i=0}^{41} s_iR_i(x) - \sum_{i=0}^{41} s_iO_i(x) $一定可以整除 $t(x) = (x-1)(x-2)...(x-30)$

知道这些原理后，我们就可以用代码来实现。
