ZKSwap團隊深入解讀零知識證明算法之Zk-stark（四）——FRI協議_OMM

前言：終于到了“零知識證明算法值Zk-stark”系列的收尾。在前面的三篇文章里，我們依次介紹了zk-stark算法的整體結構、算法的第一部分：Arithmetization、算法的第二部分：LowDegreeTesting。相信通過這幾篇的閱讀，大家能對zk-stark算法輪廓有了個整體的認知；在閱讀的過程中，你可能會對文章中的某些語句或者圖片的正確性發出疑問，歡迎在社區留言交流。

在第三篇文章，我們已經講到，為了確保證明者返回的滿足多項式等式相等的值確實是基于有效的多項式計算得到，我們需要對多項式進行LDT測試；同時為了使驗證者的復雜度達到最優，我們把原始多項式進行變換，變換后，證明者要證明的多項式僅僅是原始多項式的一半，不斷重復這一過程，一直到多項式的度可以直接判斷為止。這其實就是FRI協議的核心思想，下面，讓我們來詳細介紹FRI協議的過程。

FRI協議

也許，我們應該先說一下FRI協議是什么？FRI，即FastRSIOPP，全稱FastReed-SolomenInteractiveOracleProofsofProximity，是一種更有效的proximiary測試方法，測試一個點的集合大部分是在一個度小于某個值的多項式上，能達到線性級的證明復雜度和對數級的驗證復雜度。在我們正式介紹FRI協議之前，我們先看一個簡單的場景。

加拿大要求養老基金披露加密風險:金色財經報道，加拿大政府表示，隨著渥太華加強對動蕩行業的監管，該國受聯邦監管的養老基金將需要向金融機構監管辦公室(OSFI)披露其加密資產敞口。政府在新的2023年預算計劃中表示：“為了幫助保護加拿大人的退休生活，2023年預算宣布政府將要求受聯邦監管的養老基金向OSFI披露其加密資產風險敞口。”預算計劃補充說，聯邦政府還將與各省和地區合作，討論該國最大的養老金計劃披露加密資產或相關活動的問題，這將確保加拿大人了解他們的養老金計劃可能接觸到加密資產。此舉是在FTX交易所等幾起備受矚目的破產案以及最近對加密貨幣友好的美國銀行Silvergate Bank和Signature Bank倒閉之后，暴露了投資者在該行業面臨的極端波動性。[2023/3/29 13:32:06]

在有限域F上，存在一個乘法群L0，群的階為2^n；這時，證明者聲稱碼字f0:L0-->F是滿足RS編碼參數的一個碼字，即f0的大部分點在一個度d<ρ*2^n的多項式上P(x)上，這里ρ=2^(-R)；因此，當f0=P時，根據IFFT原理，存在P1、P2且deg(P1、P2)<1/2ρ2^n，滿足：

資管公司Arca將450枚ETH轉入Arbitrum，并已買入總計40萬美元的RDNT與DPX:金色財經報道，鏈上數據顯示，約1小時前，數字資產管理公司Arca把450枚ETH（76.5萬美元）橋接至Arbitrum網絡，并分別買入42.2萬枚RDNT（約12.5萬美元）和757枚DPX（約28.5萬美元），平均購買價格分別為0.27美元和360美元。

截至發稿，該地址共持有價值542.1萬美元的GMX、77.4萬美元的DPX、68.8萬美元的SYN以及49.1萬美元的RDNT等。[2023/2/23 12:24:31]

f0(x)=P(x)=P1(x^2)+x*P2(x^2)(1)

令Q(x,y)=P1(y)+x*P2(y)，可以看出Q(x,y)關于x的度d<2；關于y的度d<1/2ρ2^n；此時，驗證者隨機選取一個值x0發送給證明者，然后令

f1(y)=Q(x0,y)=P1(y)+x0*P2(y)(2)

Chainlink上線Chainlink Staking (v0.1) 測試版:金色財經報道，去中心化預言機網絡Chainlink宣布推出質押功能，Chainlink Staking (v0.1)測試版已在以太坊主網上線。Staking最初對節點運營商以及有資格獲得早期訪問權限的社區成員開放，用戶最多可以抵押7,000個LINK代幣并開始獲得獎勵，并且有9-12個月的鎖定期。質押池將于美國東部時間2022年12月8日中午12點向一般訪問者開放。

Chainlink表示，該池的上限為2500萬個LINK代幣，約占LINK總供應量的2.5%，價值1.775億美元。Chainlink計劃在未來允許對其他服務進行質押，并使用此測試版來測試和改進未來的發布。[2022/12/7 21:26:44]

對于f1(y)，y=x^2，由于x取值范圍是群1里的元素，因此x^(2^n)=1==>(x^2)(2^(n-1))=1==>y(2^(n-1))=1。令y的作用域為群L1，則L1有以下屬性：

10月以太坊鏈上NFT銷售額不足3億，創自2021年7月以來最低記錄:11月1日消息，據CryptoSlam數據顯示，10月以太坊鏈上NFT銷售額僅有275,712,033.97美元，創下自2021年7月以來最低記錄。此外，10月以太坊鏈上NFT交易總量為877,851筆，較9月上漲7.6%，獨立買家162,835個，獨立賣家144,103個，鏈上單筆交易均價約為314.08美元。[2022/11/1 12:03:41]

群的階為2^(n-1);群L1的每個元素對應群L0的兩個元素，即群L1的任意y，群L0都有兩個x和(-x)modF，滿足x^2modF=y&&(-x)^2modF=y；因此，問題就轉化為了證明f1(y)的度d<1/2ρ2^n。同時也要保證函數f1和f0的一致性，流程可分為以下幾個步驟：

驗證者分別從群L1和群L0選取三個點y,s0,s1滿足s0!=s1&&s0^2=s1^2=y證明者返回f0(s0),f0(s1),f1(y)三個值驗證者根據f0(s0),f0(s1)插值出一個關于x的d<2的多項式g(x)驗證者驗證g(s0)=f1(y)，不相等，則失敗

Coinbase已上線Optimism (OP):金色財經報道，據官方推特，Coinbase宣布已于太平洋時間5月31日15:30（北京時間6月1日6:30）上線Optimism (OP)。需要注意的是，Coinbase僅支持在Optimism網絡上添加Optimism (OP)，提醒用戶不要通過以太坊或其他網絡發送此資產，否則資金可能會永久丟失。

根據最新公告更新，由于Optimism網絡的擁塞，交易可能需要比平時更長的時間。[2022/6/1 3:54:43]

可靠性分析：如果函數f1不是由函數f0轉換而來，那么公式(1)的多項式P1(x^2)和P2(x^2)和公式(2)的多項式P1(y)和P2(y)互不相等。考慮到多項式的度d<1/2ρ2^n，變量的取值范圍為2^(n-1)，那么在這個范圍內隨機選取一個值，多項式相等的概率為1/2ρ2^n/2^(n-1)=ρ。ρ為coderates，如果ρ=2^，那么一次校驗成功的概率僅僅為1/256。如果經過多次驗證，那么作惡成功的概率就無線接近于0。

以上可知，對函數f1重復上述的過程，直到fr變成一個可以直接校驗的度，就完成了整個測試驗證過程。

下面，我們看一下FRI協議的具體內容，如圖1所示：

FRI協議分為兩個階段：Commit階段和Query階段。從前面簡單的場景可以看出，一次簡單的循環，需要:

驗證者發送隨機數x0后證明者生成新函數f1進行一致性校驗FRI協議把每一循環前2步歸類到Commit階段，把第3步歸類到了Query階段。即在Commit階段，生成所有的函數f0~fr，r為循環的次數，然后在Query階段，統一校驗。

下面，先分別介紹Commit和Query協議里各參數和各個步驟的意義，然后總結一下相關的流程。

Commit：

CommoninputRRS編碼比率i循環次數索引，取值{0~r}r循環次數取值k0-R/ηη空間映射參數x-->x^(2^η)L0群的階2^k0RS編碼參數q0(x)=x^(2^η)，L(i+1)=q0(Li)，表示群Li到群L(i+1)的2^η-->1映射Proverinputfi第i次循環的函數輸入Li第i次循環的群，階位2^(n-i)RSifi對應的編碼參數LOOPi<=r1xi驗證者發送的隨機數2Sy群L(i+1)的每一個元素對應于群Li的元素的集合f(i+1)(y)計算f(i+1)在群L(i+1)上的所有取值3i==r定義fr第2步的輸出插值出P(x)d是多項式P(x)的度保存d+1個多項式P(x)的系數a0~adCommit階段終止4i<r定義f(i+1)按照第2步的計算方式保存f(i+1)的值，在群L(i+1)進入下一步循環Query

verifierinputR/η/Li/RSi/xi/fi/P(x)見Commitlquery次數重構fr獲取a0~ad，重構P`(x)計算P`(x)在群Lr上的所有取值，并賦值給fr，注fr滿足RSrrepeatltimesi={0~r-1}Si滿足s(i+1)=q0(x)的x的集合i={0~r-1}在Si上，插值出Pi(x)roundconsistencychecki={0~r-1}f(i+1)(s(i+1))=Pi(xi)都成功，則驗證通過下面，以η=1為例，FRI協議的兩個階段的過程如圖2所示：

由以上流程可以看出：

針對每一輪的一致性的校驗，確保了原始多項式f0的確滿足d<ρ*2^n上述協議重復l次，可以大大降低作惡者成功的概率總結

以上就是FRI協議的具體過程，可以看出，驗證復雜度滿足對數關系r=Log2(ρ2^n)。算法保證了，當且僅當原始多項式f0是小于ρ2^n時，所有的roundconsistency校驗才會通過。真正的實現可能略有差別，具體的可以參考DEEP-FRI論文，相對于FRI，DEEP-FRI在保持證明和驗證的最優復雜度的同時，提高了系統的可靠性。結合本系列的前三篇的文章，總結ZK-STARK的算法如下：

算法分為兩部分：算術化和LDT算術化把問題轉換位多項式相等以及多項式的LDT問題LDT階段使用FRI協議，保證線性級的證明復雜度和對數級的驗證復雜度零知識屬性保證驗證者不能訪問軌跡多項式里的點，軌跡多項式里保存著隱私值同時為了保證零知識屬性，需要對軌跡多項式附加數行隨機值，由驗證者和證明者協商確定整個過程，不需要第三方的CRS整個過程，不依賴任何數學難題附錄

官方FRI的簡單介紹?https://medium.com/starkware/low-degree-testing-f7614f5172db

FRIpaper?https://eccc.weizmann.ac.il/report/2017/134/

DEEP-FRIpaper?https://arxiv.org/abs/1903.12243https://en.wikipedia.org/wiki/Reed%E2%80%93Solomon_error_correction

Tags：COMINKLINKOMMHarcomialink幣怎么樣LINK幣官網3COMMAS價格

SAND