COM:ZKSwap團隊深入解讀零知識證明算法之Zk-stark（四）——FRI協議_MIT

前言：終于到了“零知識證明算法值Zk-stark”系列的收尾。在前面的三篇文章里，我們依次介紹了zk-stark算法的整體結構、算法的第一部分：Arithmetization、算法的第二部分：LowDegreeTesting。相信通過這幾篇的閱讀，大家能對zk-stark算法輪廓有了個整體的認知；在閱讀的過程中，你可能會對文章中的某些語句或者圖片的正確性發出疑問，歡迎在社區留言交流。

在第三篇文章，我們已經講到，為了確保證明者返回的滿足多項式等式相等的值確實是基于有效的多項式計算得到，我們需要對多項式進行LDT測試；同時為了使驗證者的復雜度達到最優，我們把原始多項式進行變換，變換后，證明者要證明的多項式僅僅是原始多項式的一半，不斷重復這一過程，一直到多項式的度可以直接判斷為止。這其實就是FRI協議的核心思想，下面，讓我們來詳細介紹FRI協議的過程。

FRI協議

也許，我們應該先說一下FRI協議是什么？FRI，即FastRSIOPP，全稱FastReed-SolomenInteractiveOracleProofsofProximity，是一種更有效的proximiary測試方法，測試一個點的集合大部分是在一個度小于某個值的多項式上，能達到線性級的證明復雜度和對數級的驗證復雜度。在我們正式介紹FRI協議之前，我們先看一個簡單的場景。

Gutter Cat Gang：已收回昨日被攻擊的Twitter賬戶的控制權，正在與執法部門合作調查漏洞:7月9日消息，Gutter Cat Gang 發推稱，昨日 Twitter 賬戶遭遇攻擊，惡意推文于北京時間 7 月 8 日上午發布。目前，團隊已經重新獲得對 Twitter 賬戶的控制權，并及時聯系在 Twitter、執法部門與移動網絡供應商的聯系人，采取措施提醒未受影響的賬戶的社區。惡意推文與鏈接已被刪除。

目前，團隊正對 Twitter 賬戶漏洞進行調查，團隊一直使用多重身份認證與安全措施。此外，團隊正在與執法部門合作，調查該漏洞，并采取措施防止其再次發生。[2023/7/9 22:26:59]

在有限域F上，存在一個乘法群L0，群的階為2^n；這時，證明者聲稱碼字f0:L0-->F是滿足RS編碼參數的一個碼字，即f0的大部分點在一個度d<ρ*2^n的多項式上P(x)上，這里ρ=2^(-R)；因此，當f0=P時，根據IFFT原理，存在P1、P2且deg(P1、P2)<1/2ρ2^n，滿足：

加密游戲初創公司Argus Labs獲1000萬美元投資:金色財經報道，Haun Ventures宣布，它領投了加密游戲開發商和發行商Argus Labs的1000萬美元種子輪融資。同時，Argus 推出了 World Engine，這是一種新的基于區塊鏈的軟件開發工具包，旨在幫助其他開發人員構建和定制可互操作的游戲世界。[2023/6/7 21:20:33]

f0(x)=P(x)=P1(x^2)+x*P2(x^2)(1)

令Q(x,y)=P1(y)+x*P2(y)，可以看出Q(x,y)關于x的度d<2；關于y的度d<1/2ρ2^n；此時，驗證者隨機選取一個值x0發送給證明者，然后令

f1(y)=Q(x0,y)=P1(y)+x0*P2(y)(2)

對于f1(y)，y=x^2，由于x取值范圍是群1里的元素，因此x^(2^n)=1==>(x^2)(2^(n-1))=1==>y(2^(n-1))=1。令y的作用域為群L1，則L1有以下屬性：

Chia Network CEO：以太坊仍然只支持大約兩倍于比特幣的交易吞吐量:金色財經報道，加密初創公司Chia Network的新任首席執行官Bram Cohen表示，以太坊被認為是“世界計算機”，具有無限的鏈上擴展能力，允許人們將其用作真正的計算資源。這顯然是一個愚蠢的想法。所有的鏈上驗證都必須由所有的完整節點來復制，這極其冗余。

即使撥到接近臨界點，并且通過大量工程來提高這個限制，以太坊仍然只支持大約兩倍于比特幣的交易吞吐量。即使對于區塊鏈性能而言，這種低迷是因為 Solidity 和 EVM 是一個垃圾平臺，并且幾乎沒有工作可以解決平凡的工程問題來使事情變得更好。但是，即使有一個偉大的恒定系數性能，即現在的10倍容量，\"世界計算機\"的想法始終是一個妄想的幻想。我現在提出這個問題不是為了嘲笑他們，而是因為這種計劃的改變很容易被遺忘，就好像它從未發生過一樣。相反，以太坊的發展設法使整個事情變得更加集中，并加劇了他們的 MEV 問題。

似乎連分片計劃（也是一個壞主意）也被悄悄地放棄了，轉而支持 ZK rollups 和發布證明，這是一個合理的計劃，但仍然只是一個計劃。[2023/5/6 14:46:06]

群的階為2^(n-1);群L1的每個元素對應群L0的兩個元素，即群L1的任意y，群L0都有兩個x和(-x)modF，滿足x^2modF=y&&(-x)^2modF=y；因此，問題就轉化為了證明f1(y)的度d<1/2ρ2^n。同時也要保證函數f1和f0的一致性，流程可分為以下幾個步驟：

哈薩克斯坦將針對強制加密礦工將收入的75%在當地注冊的交易平臺兌換進行立法投票:金色財經報道，哈薩克斯坦立法機構正在就加密礦工和交易平臺監管活動的法案進行投票。根據該草案，政府計劃從 2024 年開始強制加密礦工將其收入的 75% 在當地注冊的交易平臺兌換，當局還希望礦池為其利潤繳稅，并希望交易平臺支付費用。（Bitcoin.com）[2022/10/13 14:26:40]

驗證者分別從群L1和群L0選取三個點y,s0,s1滿足s0!=s1&&s0^2=s1^2=y證明者返回f0(s0),f0(s1),f1(y)三個值驗證者根據f0(s0),f0(s1)插值出一個關于x的d<2的多項式g(x)驗證者驗證g(s0)=f1(y)，不相等，則失敗

可靠性分析：如果函數f1不是由函數f0轉換而來，那么公式(1)的多項式P1(x^2)和P2(x^2)和公式(2)的多項式P1(y)和P2(y)互不相等。考慮到多項式的度d<1/2ρ2^n，變量的取值范圍為2^(n-1)，那么在這個范圍內隨機選取一個值，多項式相等的概率為1/2ρ2^n/2^(n-1)=ρ。ρ為coderates，如果ρ=2^，那么一次校驗成功的概率僅僅為1/256。如果經過多次驗證，那么作惡成功的概率就無線接近于0。

巴西稅務機關：7月巴西使用加密貨幣人數超100萬:金色財經報道，巴西稅務機關RFB披露了與7月份有關的加密貨幣報表數據。本月有超過100萬巴西人申報使用加密貨幣。這是自2019年以來報告的最高人數。相比之下，在2022年5月，只有36.5萬公民向RFB報告他們的加密貨幣持有量和交易。此外，統計數據顯示，女性在該國使用加密貨幣的情況越來越活躍。根據數據，女性進行的加密貨幣交易數量上升了4%，該群體在7月份的交易中占了近20%。

據悉，巴西法律規定，所有加密貨幣持有者必須向該機構報告他們的信息，即使沒有使用中心化交易所進行交易。（Bitcoin.com）[2022/9/7 13:13:44]

以上可知，對函數f1重復上述的過程，直到fr變成一個可以直接校驗的度，就完成了整個測試驗證過程。

下面，我們看一下FRI協議的具體內容，如圖1所示：

FRI協議分為兩個階段：Commit階段和Query階段。從前面簡單的場景可以看出，一次簡單的循環，需要:

驗證者發送隨機數x0后證明者生成新函數f1進行一致性校驗FRI協議把每一循環前2步歸類到Commit階段，把第3步歸類到了Query階段。即在Commit階段，生成所有的函數f0~fr，r為循環的次數，然后在Query階段，統一校驗。

下面，先分別介紹Commit和Query協議里各參數和各個步驟的意義，然后總結一下相關的流程。

Commit：

CommoninputRRS編碼比率i循環次數索引，取值{0~r}r循環次數取值k0-R/ηη空間映射參數x-->x^(2^η)L0群的階2^k0RS編碼參數q0(x)=x^(2^η)，L(i+1)=q0(Li)，表示群Li到群L(i+1)的2^η-->1映射Proverinputfi第i次循環的函數輸入Li第i次循環的群，階位2^(n-i)RSifi對應的編碼參數LOOPi<=r1xi驗證者發送的隨機數2Sy群L(i+1)的每一個元素對應于群Li的元素的集合f(i+1)(y)計算f(i+1)在群L(i+1)上的所有取值3i==r定義fr第2步的輸出插值出P(x)d是多項式P(x)的度保存d+1個多項式P(x)的系數a0~adCommit階段終止4i<r定義f(i+1)按照第2步的計算方式保存f(i+1)的值，在群L(i+1)進入下一步循環Query

verifierinputR/η/Li/RSi/xi/fi/P(x)見Commitlquery次數重構fr獲取a0~ad，重構P`(x)計算P`(x)在群Lr上的所有取值，并賦值給fr，注fr滿足RSrrepeatltimesi={0~r-1}Si滿足s(i+1)=q0(x)的x的集合i={0~r-1}在Si上，插值出Pi(x)roundconsistencychecki={0~r-1}f(i+1)(s(i+1))=Pi(xi)都成功，則驗證通過下面，以η=1為例，FRI協議的兩個階段的過程如圖2所示：

由以上流程可以看出：

針對每一輪的一致性的校驗，確保了原始多項式f0的確滿足d<ρ*2^n上述協議重復l次，可以大大降低作惡者成功的概率總結

以上就是FRI協議的具體過程，可以看出，驗證復雜度滿足對數關系r=Log2(ρ2^n)。算法保證了，當且僅當原始多項式f0是小于ρ2^n時，所有的roundconsistency校驗才會通過。真正的實現可能略有差別，具體的可以參考DEEP-FRI論文，相對于FRI，DEEP-FRI在保持證明和驗證的最優復雜度的同時，提高了系統的可靠性。結合本系列的前三篇的文章，總結ZK-STARK的算法如下：

算法分為兩部分：算術化和LDT算術化把問題轉換位多項式相等以及多項式的LDT問題LDT階段使用FRI協議，保證線性級的證明復雜度和對數級的驗證復雜度零知識屬性保證驗證者不能訪問軌跡多項式里的點，軌跡多項式里保存著隱私值同時為了保證零知識屬性，需要對軌跡多項式附加數行隨機值，由驗證者和證明者協商確定整個過程，不需要第三方的CRS整個過程，不依賴任何數學難題附錄

官方FRI的簡單介紹?https://medium.com/starkware/low-degree-testing-f7614f5172db

FRIpaper?https://eccc.weizmann.ac.il/report/2017/134/

DEEP-FRIpaper?https://arxiv.org/abs/1903.12243https://en.wikipedia.org/wiki/Reed%E2%80%93Solomon_error_correction

Tags：COMOMMTERMIT3COMMASOMM幣IPI Shorter秘銀幣mith還能起來嗎

芝麻開門交易所下載