PRO:一文了解零知识证明当中的Sum-check Protocol_Crypto Summoner

随着比特币、区块链、智能合约等概念的铺开，越来越多的人关注到Web3领域的蓬勃发展。而在技术方面，也有许多开发者关注到支撑区块链底层的密码学协议。在这之中，零知识证明协议以其独特的特性大放异彩，无论是在实现隐私保护，还是在实现Layer2性能扩容的zkrollup项目当中，都发挥着关键的作用。零知识证明是一类算法的统称，到目前为止，研究者发明了包括Plonk、Groth16、zkStark、Virgo、Orion、Foaks等等在内的许多种协议。不同的协议适用于不同的计算场景，复杂度和效率也各有不同，例如Foaks就以线性的证明时间和较小的证明长度为优势。上述的每一种协议，协议目标是相同的，就是证明者希望在不向验证者透露任何关于自己的秘密的信息的情况下让验证者相信自己拥有秘密。sum-checkprotocol是很多协议的组件，最早在当中被提出。很多计算问题可以被转化成sum-checkprotocol能处理的问题，从而生成证明。包括Foaks在内的不少协议的底层协议都基于sum-checkprotocol，在其上进行调整来实现。在FoxTech所采用的Foaks证明系统当中，该协议同样发挥着重要的作用。具体来讲，为了实现对于某一操作码opcode正确性的证明，需要先将其转化为算术电路，之后转换为矩阵，最终生成多项式，对多项式应用证明系统当中的算法，在最后压缩证明的部分当中，同样将证明者和验证者之间的交互过程转换为计算某个和式，也就是sum-checkprotocol的过程。

Vyper编译器发布漏洞事件分析报告，漏洞已于v0.3.1修复并测试:8月6日消息，以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告：7月30日由于Vyper编译器中的潜在漏洞，多个Curve流动性池被利用，该漏洞本身是一个未正确实施的重入防护，受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。

Vyper称该漏洞已于v0.3.1修复并测试，v0.3.1及更高版本是安全的。然而，当时并没有意识到对实时合约的影响，也没有通知下游协议。未来将加强使用Vyper协议更严格的双向反馈并推出相关错误赏金计划和竞赛。[2023/8/6 21:28:18]

图1:Sum-checkProtocol所在环节Sum-checkProtocol

1.协议目标

协议的目标非常简单且容易理解。假设我们有一个定义在有限域F上的v元多项式，记作g。协议的目标是计算和式：

SHIB早期投资者休眠610天后转移1.5万亿枚SHIB:7月12日消息，据余烬监测，一个在2020年使用37.8枚ETH购买了103万亿枚SHIB的地址在休眠了610天后，从该地址中转出1.5万亿枚SHIB。[2023/7/12 10:50:59]

和在zkRollup当中考虑的“外包计算”的场景类似，在应用当中，上述式子的计算量会非常大，我们希望将这个式子的计算交给证明者，之后证明者向验证者证明自己的计算结果是正确的。2.协议假设

首先，需要明确在这个协议当中验证者的能力。我们假设验证者拥有可以计算函数g的预言。也就是说，对于验证者而言，确定某个输入r1,...,rv之后，计算g(r1,...,rv)是容易的。但是计算完整的结果H是困难的。事实上，在现实应用当中，预言不会存在，但是可以通过某种手段实现，例如我们可以让证明者帮助验证者计算这个值，并用更多的技巧附加正确性的证明。第二点，关于协议的目标，事实上sum-check协议可以对于任意的集合B计算bBmg(b)，但是不失一般性的，我们假设B={0,1}。3.协议过程

Ledger与ApeCoin DAO达成合作，拟发行1000个ApeCoin品牌钱包:金色财经报道，硬件钱包公司Ledger宣布与ApeCoin DAO达成合作，旨在通过PoK（知识证明）教育和奖励社区。APE持有者可以通过Ledger x apecoin Quest来证明自己的加密货币和NFT安全知识，并且赢得定制ApeCoin Nano钱包。据悉，这批ApeCoin品牌的硬件钱包发放数量总计有1000个。[2023/4/9 13:52:59]

协议一共包含v轮。在每一轮当中会处理g中的一个变量。第1轮：

如果证明者是诚实的，应当成立H=g1(0)+g1(1)。验证者验证，若通过则选择随机数r1发送给证明者。注意到，根据协议的假设，证明者可以完成上述验证。我们用degi(p)来表示多元多项式p当中，第i个变量的次数。g1(X1)的次数为deg1(g)，所以我们知道g1可以用deg1(g)+1个域元素表出。第j(j>1)轮：

英国新当选首相曾公开支持加密货币:金色财经报道，当选英国保守党新党首的伊丽莎白·特拉斯（Elizabeth Truss）曾于2018年1月在推特上表示支持加密货币，呼吁应该搁置限制加密货币发展的法规。“我们应该以不限制其潜力的方式欢迎加密货币，通过取消限制繁荣的法规来解放自由企业区。”

不过从那时之后，特拉斯就没有公开表示过支持加密货币，也没有拥护友好的法规。

据此前报道，当地时间9月5日，英国议会下院保守党籍议员团体“1922委员会”主席格雷厄姆·布雷迪公布保守党党首选举的投票结果。现任外交大臣伊丽莎白·特拉斯击败前财政大臣里希·苏纳克，当选为英国执政的保守党新党首。（CoinDesk）[2022/9/6 13:10:49]

如果证明者是诚实的，应当成立gj-1(rj-1)=gj(0)+gj(1)。验证者验证，若通过则选择随机数rj发送给证明者。第v轮：

poundtoken宣布已集成到Fireblocks网络:金色财经报道，poundtoken (GBPT) 是第一个由英镑 1:1 完全支持的受 FSA 监管的稳定币，它宣布现在可以在Fireblocks网络上使用，并与领先的数字资产基础设施提供商合作。通过与Fireblocks合作，poundtoken将覆盖Revolut、Checkout.com、BNP Paribas Securities Services、B2C2和FIS 等1300多家受信任机构的网络。

Fireblocks 通过其 MPC 钱包技术和 Fireblocks 网络提供安全的存储和传输基础设施来简化公司的数字资产运营，Fireblocks 网络将交易所、场外交易、银行和托管人整合到一个平台中。[2022/8/23 12:43:10]

图2:TheFoaksSum-checkprotocolCompleteness:若证明者拥有有效的Witness，则验证者会以不低于的概率接受证明；Soundness：若证明者没有有效的Witness，则验证者会以低于negl的概率拒绝证明Succinctness:Proof的Size必须远小于Witness的Size；Zero-knowledge：验证者无法通过证明的交互过程获取任何关于witness的信息#其中negl为任意可忽略的函数4.协议复杂度

通过第3部分的论证，我们可以看到，协议一共由v轮组成，每一轮当中证明者需要给验证者发送一个degi(g)次的多项式，也就是deg1(g)+1个域元素，所以总体的通信复杂度是O(i=1vdegi(g))。关于计算复杂度方面，在每一轮验证都通过的情况下，证明者最多需要进行2v次对g取值的运算；验证者做的运算是对每一轮的gj进行取值以及在最后一轮对g取值。下表具体展示了复杂度的结果，其中T代表访问一次预言也就是对g进行一次求值所需要的开销。

图3:Sum-check协议的复杂度Sum-checkProtocol的应用

在许多的零知识证明算法当中，sum-checkprotocol都在发挥着重要的作用。许多问题的证明，都依赖于将原始的问题转化为sum-check的形式，再完成后续的步骤。例如，可以利用sum-checkprotocol来计算一个无向图中的三角形数量。首先，我们使用邻接矩阵A表示无向图G，设E为其边集合，则Ai,j=1(i,j)E，也就是说若点i,j之间存在一条边则Ai,j=1否则为0。对于点i,j,k，三点构成三角形的条件是Ai,j=1,Ai,k=1,Aj,k=1。接下来记矩阵A为一映射表，表示的映射为f:{0,1}logn{0,1}logn{0,1}，其中logn为i，j的二进制长度。所以对于点i,j,k，三点构成三角形的条件进一步可以表示为f(i,j)f(i,k)f(j,k)=1。

此外，在许多证明系统当中，都采用了sum-checkprotocol作为底层逻辑进行构造。下图展示了根据在sum-check基础上进行不同改造得到的不同证明系统。

图4:Sum-checkprotocol在四类证明系统当中的应用

图5:Sum-checkprotocol在简洁证明方面的具体应用结语

本文梳理了sum-check协议的具体流程，以及讨论了协议的复杂度，同时展示了其在许多证明系统当中的应用。在web3领域不断拓展的当下，密码学作为区块链技术的底层构件，其作用显得越来越重要。随着zkrollup、隐私保护等等依赖零知识证明的应用和项目逐渐诞生，sum-check协议，作为诸多证明系统的重要组件，也正在被学界和产业界同时给予越来越多的关注。参考文献

CarstenLund,LanceFortnow,HowardKarloff,andNoamNisan.Algebraicmethodsforinteractiveproofsystems.J.ACM,39:859–868,October1992.https://people.cs.georgetown.edu/jthaler/sumcheck.pdfhttps://zkproof.org/2020/03/16/sum-checkprotocol/https://eprint.iacr.org/2021/333.pdf介绍sum-check的中文博客https://blog.csdn.net/mutourend/article/details/111610754

标签：HECCHESUMPROcoincheck注册coincheck交易平台合法吗Crypto SummonerSmart Content Protocol

DYDX热门资讯