Mina中的多项式承诺方案

Posted 2022-04-01 mutourend

1. 引言

Mina系列博客有：

• Mina概览
• Mina的支付流程
• Mina的zkApp
• Mina中的Pasta（Pallas和Vesta）曲线
• Mina中的Schnorr signature
• Mina中的Pickles SNARK
• Mina中的Kimchi SNARK
• Mina Kimchi SNARK 代码解析
• Mina Berkeley QANet测试网zkApp初体验
• Mina中的Poseidon hash

2. 多项式 VS 函数

令$R$为某域，基于域$R$变量为$X$的多项式表示为：
$a_0+a_{1}X+a_2{X}^2+\cdots +a_d{X}^d$
其中$a_i\in R$且$d$为任意自然数。

针对基于$R$的多项式的函数$\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}:R[X]\to (R\to R)$定义为：【可将$\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}$看成是对多项式采样。】
$\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}(a_0+a_{1}X+\cdots +a_d{X}^d)=(x:R)\mapsto a_0+a_{1}x+\cdots +a_d{x}^d$
其中$X$为未赋值的变量名，$\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}$将其映射为field element $x$，整个evaluation函数可看成是系数$<a_0,a_1,\cdots ,a_d>$与$<1,x,\cdots ,x^d>$的inner product。

注意，多项式与函数是不同的。多项式是一组系数列表，基于某些域值，对于多项式$p1,p2$，会存在$\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}(p1)=\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}(p2)$，但$p1\ne p2$的情况。
如，以${\mathbb{F}}_2[X]$为域的多项式$X$和$X^2$，二者可映射为相同的函数${\mathbb{F}}_2\to {\mathbb{F}}_2$（即意味着对$x\in R={\mathbb{F}}_2=0,1$ 有$x=x^2$），但是二者是不同的多项式。

使用多项式的原因在于：

• 1）将关于一组域值的statement 转换为 关于多项式的statement，从而可构建zkSNARKs。
• 2）基于多项式的特定运算效率更高。

对于函数$\phi :A\to F$，$A$为数组，长度为$|A|$，需基于$\forall x\in A,(x,\phi (x))$进行插值构建多项式。
对于每一个$x_i\in A$，可构建多项式：
$f_i(X)=\begin{array}{cc}\phi (x_i)& X=x_i\\ 0& X\ne x_i\end{array}$
最终的多项式：$f(X)={\sum }_i{f}_i(X)$。

相应的vanishing 多项式表示为：
$v_S(X)=(X-x_0)(X-x_1)\cdots (X-x_d)$。

同时有${\mathsf{i}\mathsf{n}\mathsf{t}\mathsf{e}\mathsf{r}\mathsf{p}}_A({\mathsf{e}\mathsf{v}\mathsf{a}\mathsf{l}}_A(f))=f$，即对多项式$f$基于$A$采样后，再插值获得的多项式仍然是$f$。（多项式degree为$d$，不同的采样点数为$d+1$。）【 i n t e r p