当前位置：首页 > news >正文

Ligero 和 Brakedown PCS中的tensor product结构

news 2025/9/15 9:36:20

1. 引言

因：

Justin Thaler 2023年7月书 Proofs, Arguments, and Zero-Knowledge，第 10.5 节
2021年论文 Brakedown — Linear-time and field-agnostic SNARKs for R1CS

这些协议（Ligero 和 Brakedown）利用了多项式求值查询中的张量积结构（Tensor Product Structure in Polynomial Evaluation Queries）来对一个阶为 $n$ 的多项式 $q$ 进行承诺。令 $\sqrt{n}$ 。

2. Ligero 和 Brakedown 中的承诺阶段（Commitment Phase）

Ligero 和 Brakedown 中的承诺阶段（Commitment Phase）：
为了对多项式 $q$ （系数向量为 $u$ ）进行承诺，将 $u$ 看作一个 $\times m$ 的矩阵。然后构造一个矩阵 $u^\hat u$ （读作 “u hat”），其尺寸为 $\times (\rho^{-1} m)$ ，它的每一行都是将该行系数经过某个误差纠正编码（error-correcting code） $E$ 的编码：

$u^:=[E(u1)E(u2)⋮E(um)]\hat u := \begin{bmatrix} E(u_1) \\ E(u_2) \\ \vdots \\ E(u_m) \end{bmatrix}$

这里 $u_i$ 表示原来矩阵中的第 $i$ 行；编码 $E$ 的码率（rate）为 $ρ\rho$ 。

在 Ligero 中，使用单变量的 low-degree 扩展编码 → 时间复杂度大约为

$O(ρ−1m⋅log⁡(ρ−1m))O\big( \rho^{-1} m \cdot \log(\rho^{-1} m) \big)$
在 Brakedown 中，使用一种具有线性时间编码过程的编码 → 时间复杂度大约为

$O(ρ−1m)O(\rho^{-1} m)$

承诺（commitment）过程如下：

证明者（prover）发送对矩阵 $M$ 的承诺，声称 $M=u^M = \hat u$ 。
验证者（verifier）需要检查 $M$ 是否是“格式良好”（well-formed），即每一行都是合法的码字（codeword）：
- 1）验证者选择一个随机向量 $\in \mathbb{F}^m$ 。
- 2）证明者计算并响应
  $r^T \cdot M$
  
  注意 $w$ 应当是一个编码后的行，所以证明者可以发送一些向量 $v$ ，使得 $w = E (v)$ 。
  换句话说，证明者请求对行做一个随机线性组合。
- 3）验证者从承诺中打开 $M$ 的某些列子集（大小为 $\Theta(\lambda)$ ，其中 $λ\lambda$ 是安全参数），并重新计算这些列中 $w$ 的对应条目，以验证它们确实跟承诺＋组合算出来的是一致的。

3. Ligero 和 Brakedown 中的求值阶段（Evaluation Phase）

在Ligero 和 Brakedown 中的求值阶段（Evaluation Phase），要求计算
$b^T \cdot u \cdot a$

其中
$z^2, \dots, z^{m-1}), \quad b := (1, z^m, z^{2m}, \dots, z^{m(m-1)})$

这个计算分两步进行：

1）计算 $bT⋅ub^T \cdot u$ ：这一步完全类似于“随机线性组合测试”（random linear combination test）。
2）然后用得到的向量（可以看作某个 $w$ ）与 $a$ 的内积计算得到 $\langle w, a \rangle$ 。这一步时间复杂度是 $O (m)$ 。

附录：多项式中的tensor product结构

因：

给定一个系数向量为 $u$ 的多项式 $q$ ，计算 $q (z)$ 等价于对向量 $z^2, \dots, z^{n-1})$ 计算内积 $⟨u,y⟩\langle u, y\rangle$ 。
张量积（tensor product）的引入：如果 $n = m^2$ ，令
$z^2, \dots, z^{m-1})$
和
$z^m, z^{2m}, \dots, z^{m(m-1)})$
并把 $u$ 重塑（reshape）成一个矩阵，那么 $q (z)$ 可以写为一个向量-矩阵-向量的乘积：【即把计算 $q (z)$ 的过程分解为张量积的形式】
$bT⋅u⋅ab^T \cdot u \cdot a$

对于单变量多项式，其可以张量积表示为：
$q(z) = 3 + 5z + 7z^2 + 9z^3 + z^4 + 2z^5 + 3z^6 + 4z^7 + 2z^8 + 4z^9 + 6z^{10} + 8z^{11} + 3z^{13} + 6z^{14} + 9z^{15}$

$\begin{bmatrix} 1 & z^4 & z^8 & z^{12} \end{bmatrix} \cdot \begin{bmatrix} 3 & 5 & 7 & 9 \\ 1 & 2 & 3 & 4 \\ 2 & 4 & 6 & 8 \\ 0 & 3 & 6 & 9 \end{bmatrix} \cdot \begin{bmatrix} 1 \\ z \\ z^2 \\ z^3 \end{bmatrix}=\begin{bmatrix} 3+z^4+2z^8+0 \\ 5+2z^4+4z^8+3z^{12} \\ 7+3z^4+6z^8+6z^{12} \\ 9+z^4+8z^8+9z^{12} \end{bmatrix}^T \cdot \begin{bmatrix} 1 \\ z \\ z^2 \\ z^3 \end{bmatrix}$

对于multilinear多线性多项式，其可以张量积表示为：
$q(r1,r2,r3,r4)=3(1−r1)(1−r2)(1−r3)(1−r4)+5(1−r1)(1−r2)(1−r3)r4+7(1−r1)(1−r2)r3(1−r4)+9(1−r1)(1−r2)r3r4+(1−r1)r2(1−r3)(1−r4)+2(1−r1)r2(1−r3)r4+3(1−r1)r2r3(1−r4)+4(1−r1)r2r3r4+2r1(1−r2)(1−r3)(1−r4)+4r1(1−r2)(1−r3)r4+6r1(1−r2)r3(1−r4)+8r1(1−r2)r3r4+3r1r2(1−r3)(1−r4)+6r1r2(1−r3)r4+9r1r2r3r4\begin{aligned} q(r_1, r_2, r_3, r_4) &= 3(1-r_1)(1-r_2)(1-r_3)(1-r_4) \\ &\quad + 5(1-r_1)(1-r_2)(1-r_3)r_4 \\ &\quad + 7(1-r_1)(1-r_2)r_3(1-r_4) \\ &\quad + 9(1-r_1)(1-r_2)r_3r_4 \\ &\quad + (1-r_1)r_2(1-r_3)(1-r_4) \\ &\quad + 2(1-r_1)r_2(1-r_3)r_4 \\ &\quad + 3(1-r_1)r_2r_3(1-r_4) \\ &\quad + 4(1-r_1)r_2r_3r_4 \\ &\quad + 2r_1(1-r_2)(1-r_3)(1-r_4) \\ &\quad + 4r_1(1-r_2)(1-r_3)r_4 \\ &\quad + 6r_1(1-r_2)r_3(1-r_4) \\ &\quad + 8r_1(1-r_2)r_3r_4 \\ &\quad + 3r_1r_2(1-r_3)(1-r_4) \\ &\quad + 6r_1r_2(1-r_3)r_4 \\ &\quad + 9r_1r_2r_3r_4 \end{aligned}$

$\begin{bmatrix} (1-r_1)(1-r_2) & (1-r_1)r_2 & r_1(1-r_2) & r_1r_2 \end{bmatrix} \cdot \begin{bmatrix} 3 & 5 & 7 & 9 \\ 1 & 2 & 3 & 4 \\ 2 & 4 & 6 & 8 \\ 0 & 3 & 6 & 9 \end{bmatrix} \cdot \begin{bmatrix} (1-r_3)(1-r_4) \\ (1-r_3)r_4 \\ r_3(1-r_4) \\ r_3r_4 \end{bmatrix}$