Polygon zkEVM R1CS与Plonk电路转换

Posted 2022-12-15 mutourend

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了Polygon zkEVM R1CS与Plonk电路转换相关的知识，希望对你有一定的参考价值。

1. 引言

前序博客有：

由上图可知，zkEVM会借助SNARK来“验证（（验证STARK证明）的SNARK证明）”：

1）将 STARK proof的约束系统evm.pil 经 pil2circom 转换为 evm.verifier.cricom格式。详细见 Polygon zkEVM的pil-stark Fibonacci状态机初体验第2节第8步“fibonacci generate circom”。
2）再借助 circom工具 将 STARK约束系统 转换为 R1CS约束系统表示evm.verifier.r1cs。详细见 Polygon zkEVM的pil-stark Fibonacci状态机初体验第2节第9步“”
3）再经 Compressor12_setup 将 R1CS约束系统表示evm.verifier.r1cs 转换为 Plonk约束表示，同时会生成与 Plonk约束表示 对应的 STARK约束evm.c12.pil，以及 constant多项式的execution trace evm.c12.const 和 Plonk辅助信息 evm.c12.exec。详细见 Polygon zkEVM的pil-stark Fibonacci状态机初体验第2节第10步“fibonacci C12 setup”。Plonk辅助信息 evm.c12.exec 会用于后续生成 commit多项式execution trace evm.c12.commit。

约束表达：

1）STARK：采用execution trace来表示约束，以表格形式来表示内部程序状态的变化。如：

序号	$x$	$\\mathbfA$ （ $l_2(x)$ 多项式）	$\\mathbfB$ （ $l_1(x)$ 多项式）	$\\mathbfisInitial$ （ $L_1(x)$ 多项式）	$\\mathbfisLast$ （ $L L A S T (x)$ 多项式）
0	$\\omega^0$	1	2	1	0
1	$\\omega^1$	2	5	0	0
2	$\\omega^2$	5	29	0	0
$\\vdots$	$\\vdots$	$\\vdots$	$\\vdots$	$\\vdots$	$\\vdots$
1023	$\\omega^1023$	…	74469561660084004	0	1

2）Groth16等SNARK方案：采用R1CS来表示约束，形如 $<\\vecs,\\veca>*<\\vecs,\\vecb>-<\\vecs,\\vecc>=0$ ，其中 $<\\vecs,\\veca>=\\sum_i=1^ns_ia_i$ 为dot product， $\\veca,\\vecb,\\vecc$ 为每步计算的系数， $\\vecs$ 为相应的输入。
3）Halo2等SNARK方案：采用Plonk来表示约束，形如 $Q_m*x_r*x_l+Q_l*x_l+Q_r*x_r+Q_o*x_o+Q_k=0$ ，其中 $Q_m,Q_l,Q_r,Q_o,Q_k$ 均为selector， $x_l,x_r,x_o$ 为相应的输入。

以PIL-STARK 中的Fibonacci为例，在验证其STARK proof的Plonk表达中，除以上 $Q_m,Q_l,Q_r,Q_o,Q_k$ selector之外，还额外引入了定制门 selector $Q_MDS,Q_CMUL$ 。