Casting out Primes: Bignum Arithmetic for Zero-Knowledge Proofs学习笔记

Posted 2023-01-02 mutourend

1. 引言

Polygon zero团队 Daniel Lubarov 和 Polygon zkEVM团队 Jordi Baylina 2022年10月联合发表的论文 《Casting out Primes: Bignum Arithmetic for Zero-Knowledge Proofs》。

受“casting out nines” 技术——做对9取模运算并提供概率性结果，启发，本论文核心思想为：

• 对bignum运算的非确定方案

即：【详细参看Optimizations of zkEVM with Daniel and Jordi】

即，若某identity在moduli set $M$中每个$m_i\in M$均有：

• $f(\vec{x})=0\mathrm{mod}{m}_i$

则有：

• $f(\vec{x})=0\mathrm{mod}\text{lcm}(M)$，其中$\text{lcm}(M)$表示$M$中的最小公倍数。

若已知$|f(\vec{x})|<\text{lcm}(M)$，则有：

• $f(\vec{x})=0$

1.1 相关约定

令$[b]$表示集合：$0,\cdots ,b-1$，某bignum可表示为$n$ limbs in base $b$，即$[b{]}^n$。

$[b{]}^n$与$[b^n]$之间具有canonical isomorphism：【由于$b$为公开已知，可进行预处理。】
${\sigma }_b(x)={\sum }_{i=0}^{n-1}{b}^i{x}_i$

已知一组bignum $x,y\in [b{]}^n$，乘积${\sigma }_b(x){\sigma }_b(y)$可表示为某函数$([b{]}^n,[b{]}^n)\to [b^{2n}]$，即：
${\pi }_b(x,y)={\sum }_{i=0}^{n-1}{\sum }_{j=0}^{n-1}{b}^{i+j}{x}_i{y}_j$

• Partially reduced summations：
  某identity 对 $m$ 取模，可表示为对每个系数取模，即：
  ${\sigma }_b^m(x)={\sum }_{i=0}^{n-1}(b^i\mathrm{mod}m)x_i$
  类似的，也有：
  ${\pi }_b(x,y{)}^{(m)}={\sum }_{i=0}^{n-1}{\sum }_{j=0}^{n-1}(b^{i+j}\mathrm{mod}m)x_i{y}_j$
  注意其中：${\sigma }_b(x)={\sigma }_b^m(x)$ 以及 ${\pi }_b(x,y)={\pi }_b(x,y{)}^{(m)}$。

从而可推导出如下定理1：

• 已知$x\in [b{]}^n$，有${\sigma }_b^m(x)<nmb$。
• 已知$x,y\in [b{]}^n$，有${\pi }_b(x,y{)}^{(m)}<n^{2}m{b}^2$。

在本文中，已知$x以上是关于Casting\; out\; Primes:\; Bignum\; Arithmetic\; for\; Zero-Knowledge\; Proofs学习笔记的主要内容，如果未能解决你的问题，请参考以下文章$

Python Casting

Python Casting

static_casting 中等数量的 T* 到 void* 时访问冲突

casting

在Java中防止instanceof和casting [重复]

casting in C++