Halo2 FRI Gadget

Posted 2023-01-23 mutourend

1. 引言

Eli Ben-Sasson等人2018年论文《Fast Reed-Solomon Interactive Oracle Proofs of Proximity》中首次引入了名为 “FRI IOP (Fast Reed-Solomon Interactive Oracle Proof of Proximity)” 的具有特定degree bound的单变量多项式承诺方案，其包含了2个阶段：

• 1）承诺阶段：Prover首先，对a Merkle tree of （ 基于某domain的）polynomial evaluations 进行commit。然后在后续的$\log n$轮为每轮生成新的evaluation commitments，在每轮中，相应的 domain size 和 polynomial degree都将依次reduced by a power of two（因此将该过程称为folding过程）。
• 2）query阶段：Verifier选择random index，请求Prover提供每一轮对应该random index的evaluation值，以及相应的authentication paths。
  Verifier使用所收到的evaluations subset，即可确认Prover在folding流程中是正确执行的。
  Verifier的runtime为 $\log (\text{evaluation\_domain\_size})$，query流程可重复任意次数，直到达到指定level的soundness。

实现Halo2 FRI Gadget有助于推动Halo2的递归速度。
开源代码见：

• https://github.com/maxgillett/halo2-fri-gadget（Rust）

当前该库：

• 支持FRI verifier circuit for BN254 scalar field（未来将支持Goldilocks）。

当前在M1上，对于BN254性能情况为：【BN254要慢很多】

• domain size为$2^{15}$，28次FRI query，remainder degree为16，生成proof用时约3秒；
• 当domain size增加到$2^{17}$的话，用时约20秒。

参考资料

[1] Halo2 FRI Gadget