SUM:一文了解零知識證明當中的Sum-check Protocol_CHE

隨著比特幣、區塊鏈、智能合約等概念的鋪開，越來越多的人關注到Web3領域的蓬勃發展。而在技術方面，也有許多開發者關注到支撐區塊鏈底層的密碼學協議。在這之中，零知識證明協議以其獨特的特性大放異彩，無論是在實現隱私保護，還是在實現Layer2性能擴容的zkrollup項目當中，都發揮著關鍵的作用。零知識證明是一類算法的統稱，到目前為止，研究者發明了包括Plonk、Groth16、zkStark、Virgo、Orion、Foaks等等在內的許多種協議。不同的協議適用于不同的計算場景，復雜度和效率也各有不同，例如Foaks就以線性的證明時間和較小的證明長度為優勢。上述的每一種協議，協議目標是相同的，就是證明者希望在不向驗證者透露任何關于自己的秘密的信息的情況下讓驗證者相信自己擁有秘密。sum-checkprotocol是很多協議的組件，最早在當中被提出。很多計算問題可以被轉化成sum-checkprotocol能處理的問題，從而生成證明。包括Foaks在內的不少協議的底層協議都基于sum-checkprotocol，在其上進行調整來實現。在FoxTech所采用的Foaks證明系統當中，該協議同樣發揮著重要的作用。具體來講，為了實現對于某一操作碼opcode正確性的證明，需要先將其轉化為算術電路，之后轉換為矩陣，最終生成多項式，對多項式應用證明系統當中的算法，在最后壓縮證明的部分當中，同樣將證明者和驗證者之間的交互過程轉換為計算某個和式，也就是sum-checkprotocol的過程。

多鏈流動性協議Symbiosis Finance集成Linea主網:7月20日消息，多鏈流動性協議Symbiosis Finance新增支持Linea主網。[2023/7/20 11:07:44]

圖1:Sum-checkProtocol所在環節Sum-checkProtocol

1.協議目標

協議的目標非常簡單且容易理解。假設我們有一個定義在有限域F上的v元多項式，記作g。協議的目標是計算和式：

和在zkRollup當中考慮的“外包計算”的場景類似，在應用當中，上述式子的計算量會非常大，我們希望將這個式子的計算交給證明者，之后證明者向驗證者證明自己的計算結果是正確的。2.協議假設

何一：“BNB Chain 全組被裁、技術不留”是謠言:6月24日消息，幣安聯合創始人何一回應推特上被廣泛傳播的“BNB chain全組被裁，技術也不留，只留一些市場和BD，這個組不賺錢，一姐已經發話了，這一波幣安裁員了20-40%”等說法表示，最近中文區針對 BNB 的謠言很猛，“全組被裁技術不留”是假消息。

此外，有網友提問“有沒有挪用用戶財產”，何一表示，“POR可以自己證明，鏈上地址還可以查，美國法院判幣安美國站都沒有挪用的證據；你問的都不用發誓，屬于已經自證的范疇，多學習下自己動動手就可以查到。”[2023/6/24 21:57:30]

首先，需要明確在這個協議當中驗證者的能力。我們假設驗證者擁有可以計算函數g的預言。也就是說，對于驗證者而言，確定某個輸入r1,...,rv之后，計算g(r1,...,rv)是容易的。但是計算完整的結果H是困難的。事實上，在現實應用當中，預言不會存在，但是可以通過某種手段實現，例如我們可以讓證明者幫助驗證者計算這個值，并用更多的技巧附加正確性的證明。第二點，關于協議的目標，事實上sum-check協議可以對于任意的集合B計算bBmg(b)，但是不失一般性的，我們假設B={0,1}。3.協議過程

NFT永續合約交易平臺nftperp的Beta主網正式上線:11月28日消息，NFT永續合約交易平臺nftperp的Beta主網正式上線，私人測試版白名單的用戶可以使用真正的ETH進行交易，實現實際的收益和損失。據悉，nftperp官方表示將首先關注BAYC/ETH、PUNKS/ETH這兩個交易對的交易量。[2022/11/28 21:06:24]

協議一共包含v輪。在每一輪當中會處理g中的一個變量。第1輪：

如果證明者是誠實的，應當成立H=g1(0)+g1(1)。驗證者驗證，若通過則選擇隨機數r1發送給證明者。注意到，根據協議的假設，證明者可以完成上述驗證。我們用degi(p)來表示多元多項式p當中，第i個變量的次數。g1(X1)的次數為deg1(g)，所以我們知道g1可以用deg1(g)+1個域元素表出。第j(j>1)輪：

Carlyle Group聯合創始人披露已投資了加密貨幣企業:金色財經報道，Carlyle Group聯合創始人David Rubenstein表示，他個人已經投資了加密貨幣企業，并預計國會不會對該行業進行過度監管。盡管市場已經“大幅下跌”，Rubenstein周四在CNBC 的Squawk Box上表示，他仍然對該行業的未來持樂觀態度，因為年輕一代正在努力創造和培養新的想法。據這位億萬富翁稱，他不僅對代幣感興趣，而且對在該領域經營的企業感興趣。Rubenstein補充說，一些與區塊鏈相關的投資和與加密相關的事情可能會伴隨我們一段時間。

\u2028Rubenstein還預計，鑒于監管機構可能扼殺創新和限制市場的擔憂，國會將公平監管該領域。這是因為世界上越來越多的國家繼續創造有利于加密貨幣繁榮的環境。[2022/9/2 13:03:36]

如果證明者是誠實的，應當成立gj-1(rj-1)=gj(0)+gj(1)。驗證者驗證，若通過則選擇隨機數rj發送給證明者。第v輪：

前美國CFTC主席：SEC和CFTC聯合設立SRO是監管加密市場的一種方式:金色財經報道，前美國商品期貨交易委員會（CFTC）主席Timothy Massad在接受采訪時表示，如果美國證券交易委員會（SEC）和CFTC一起組建一個自律監管組織（SRO），就可以填補目前加密貨幣監管方面的空白。Massad稱，就目前的情況來看，“兩個機構都沒有權力”來監管加密貨幣。他說，為加密貨幣設立SRO“可能是為這個市場制定標準的一種方式”。它還可以防止監管機構“陷入”關于某物是否被視為證券或商品的爭論中。（CoinDesk）[2022/8/23 12:41:51]

圖2:TheFoaksSum-checkprotocolCompleteness:若證明者擁有有效的Witness，則驗證者會以不低于的概率接受證明；Soundness：若證明者沒有有效的Witness，則驗證者會以低于negl的概率拒絕證明Succinctness:Proof的Size必須遠小于Witness的Size；Zero-knowledge：驗證者無法通過證明的交互過程獲取任何關于witness的信息#其中negl為任意可忽略的函數4.協議復雜度

通過第3部分的論證，我們可以看到，協議一共由v輪組成，每一輪當中證明者需要給驗證者發送一個degi(g)次的多項式，也就是deg1(g)+1個域元素，所以總體的通信復雜度是O(i=1vdegi(g))。關于計算復雜度方面，在每一輪驗證都通過的情況下，證明者最多需要進行2v次對g取值的運算；驗證者做的運算是對每一輪的gj進行取值以及在最后一輪對g取值。下表具體展示了復雜度的結果，其中T代表訪問一次預言也就是對g進行一次求值所需要的開銷。

圖3:Sum-check協議的復雜度Sum-checkProtocol的應用

在許多的零知識證明算法當中，sum-checkprotocol都在發揮著重要的作用。許多問題的證明，都依賴于將原始的問題轉化為sum-check的形式，再完成后續的步驟。例如，可以利用sum-checkprotocol來計算一個無向圖中的三角形數量。首先，我們使用鄰接矩陣A表示無向圖G，設E為其邊集合，則Ai,j=1(i,j)E，也就是說若點i,j之間存在一條邊則Ai,j=1否則為0。對于點i,j,k，三點構成三角形的條件是Ai,j=1,Ai,k=1,Aj,k=1。接下來記矩陣A為一映射表，表示的映射為f:{0,1}logn{0,1}logn{0,1}，其中logn為i，j的二進制長度。所以對于點i,j,k，三點構成三角形的條件進一步可以表示為f(i,j)f(i,k)f(j,k)=1。

此外，在許多證明系統當中，都采用了sum-checkprotocol作為底層邏輯進行構造。下圖展示了根據在sum-check基礎上進行不同改造得到的不同證明系統。

圖4:Sum-checkprotocol在四類證明系統當中的應用

圖5:Sum-checkprotocol在簡潔證明方面的具體應用結語

本文梳理了sum-check協議的具體流程，以及討論了協議的復雜度，同時展示了其在許多證明系統當中的應用。在web3領域不斷拓展的當下，密碼學作為區塊鏈技術的底層構件，其作用顯得越來越重要。隨著zkrollup、隱私保護等等依賴零知識證明的應用和項目逐漸誕生，sum-check協議，作為諸多證明系統的重要組件，也正在被學界和產業界同時給予越來越多的關注。參考文獻

CarstenLund,LanceFortnow,HowardKarloff,andNoamNisan.Algebraicmethodsforinteractiveproofsystems.J.ACM,39:859–868,October1992.https://people.cs.georgetown.edu/jthaler/sumcheck.pdfhttps://zkproof.org/2020/03/16/sum-checkprotocol/https://eprint.iacr.org/2021/333.pdf介紹sum-check的中文博客https://blog.csdn.net/mutourend/article/details/111610754

Tags：HECSUMCHEPROcoincheck交易所多久成立的Money VersumTranchessDrEE Project

ICP