Vitalik新作：探索Circle STARKs

PANews · 2024-07-24T10:33:02.000Z

原文标题：《Exploring circle STARKs》撰文：Vitalik Buterin，以太坊联合创始人编译：Chris，Techub News 想要理解这篇文章的前提是你们已经了解了 SNARKs 和 STARKs 的基本原理。如果你对此不太熟悉，建议你先阅读本文的前几部分来了解相关基础知识。近年来，STARKs 协议设计的趋势是转向使用较小的字段。最早期的 STARKs 生产实现使用的是 256 位字段，即对大数字（如 21888...95617）进行模运算，这使得这些协议与基于 elliptic curve 的签名兼容。但是这种设计的效率比较低，一般情况下，处理计算这些大数字并没有实际的用途，还会浪费很多的算力，比如处理 X（代表某个数字）和处理四倍的 X ，处理 X 只需要九分之一的计算时间。为了解决这个问题，STARKs 开始转向使用更小的字段：首先是Goldilocks，然后是Mersenne31 和 BabyBear。这种转变提升了证明速度，比如 Starkware 能够在一台 M3 笔记本电脑上每秒证明620,000 个 Poseidon2 哈希值。这意味着，只要我们愿意信任 Poseidon2 作为哈希函数，那么就可以解决开发高效的ZK-EVM中的难题。那么这些技术是如何工作的？这些证明如何在较小的字段上建立？这些协议与 Binius 等解决方案相比如何？本文将探讨这些细节，特别关注一种名为Circle STARKs（在Starkware 的 stwo、Polygon 的plonky3以及我自己在 Python 中实现的版本）的方案，这种方案具有与 Mersenne31 字段兼容的独特属性。使用较小的数学字段时常见的问题在创建基于哈希的证明（或任何类型的证明）时，一个非常重要的技巧是通过对多项式在随机点的评估结果进行证明，能够间接验证多项式的性质。这种方法可以大大简化证明过程，因为在随机点的评估通常比处理整个多项式要容易得多。例如，假设一个证明系统要求你生成一个对多项式的 commitment，A，必须满足 A^3 (x) + x - A (\omega*x) = x^N（ZK-SNARK 协议中一种非常常见的证明类型）。协议可以要求你选择一个随机坐标 ? 并证明 A (r) + r - A (\omega*r) = r^N。然后反推 A (r) = c，你证明了 Q = \frac {A - c}{X - r} 是一个多项式。如果你事先了解了协议的细节或内部机制，你可能会找到方法绕过或破解这些协议。接下来可能会提到具体的操作或方法来实现这一点。比如，为了满足 A (\omega * r) 方程，你可以设置 A (r) 为 0，然后让 A 成为经过这两个点的直线。为了防止这些攻击，我们需要在攻击者提供了 A 之后再选择 r（Fiat-Shamir是一种用于增强协议安全性的技术，通过将某些参数设为某种哈希值来避免攻击。选择的参数需要来自一个足够大的集合，以确保攻击者无法预测或猜测这些参数，从而提高系统的安全性。在基于 elliptic curve 的协议和 2019 年时期的 STARKs 中，这个问题很简单：我们所有的数学运算都在 256 位的数字上进行，因此我们可以将 r 选择为一个随机的 256 位数字，这样就可以了。然而，在较小字段上的 STARKs 中，我们遇到了一个问题：只有大约 20 亿种可能的 r 值可以选择，因此一个想要伪造证明的攻击者只需要尝试 20 亿次，虽然工作量很大，但对于一个下定决心的攻击者来说，还是完全可以做到的！这个问题有两个解决方案：进行多次随机检查扩展字段执行多次随机检查的方法是最简单有效的：与其在一个坐标上进行检查，不如在四个随机坐标上重复检查。这在理论上是可行的，但存在效率问题。如果你处理的是一个度数小于某个值的多项式，并且在某个大小的域上进行操作，攻击者实际上可以构造看起来在这些位置上都很正常的恶意多项式。因此，他们能否成功破坏协议是一个概率性问题，因此需要增加检查的轮数，以增强整体的安全性，确保能够有效防御攻击者的攻击。这引出了另一个解决方案：扩展域，扩展域类似于复数，但它是基于有限域的。我们引入一个新的值，记作 α\alphaα，并声明其满足某种关系，比如 α2=some value\alpha^2 = \text {some value}α2=some value。通过这种方式，我们创建了一个新的数学结构，能够在有限域上进行更复杂的运算。在这种扩展域中，乘法的计算变为使用新值 α\alphaα 的乘法。我们现在可以在扩展的域中操作值对，而不仅仅是单个数字。比如，如果我们在 Mersenne 或 BabyBear 这样的字段上工作，这样的扩展允许我们有更多的值选择，从而提高安全性。为了进一步提高字段的大小，我们可以重复应用相同的技术。由于我们已经使用了 α\alphaα，所以我们需要定义一个新的值，这在 Mersenne31 中表现为选择 α\alphaα 使得 α2=some value\alpha^2 = \text {some value}α2=some value。代码（你可以用Karatsuba改进它）通过扩展域，我们现在有了足够多的值来选择，满足我们的安全需求。如果处理的是度数小于 ddd 的多项式，每轮可以提供 104 位的安全性。这意味着我们有足够的安全保障。如果需要达到更高的安全级别，比如 128 位，我们可以在协议中加入一些额外的计算工作，以增强安全性。扩展域仅在 FRI（Fast Reed-Solomon Interactive）协议和其他需要随机线性组合的场景中实际使用。大部分的数学运算仍然在基础字段上进行，这些基础字段通常是模 ppp 或 qqq 的字段。同时，几乎所有哈希的数据都是在基础字段上进行的，因此每个值只需哈希四字节。这样做可以利用小字段的高效性，同时在需要进行安全性增强时，可以使用更大的字段。 Regular FRI 在构建 SNARK 或 STARK 时，第一步通常是 arithmetization 。这是将任意计算问题转化为一个方程，其中某些变量和系数是多项式。具体来说，这个方程通常会看起来像 P (X,Y,Z)=0P (X, Y, Z) = 0P (X,Y,Z)=0，其中 P 是一个多项式，X、Y 和 Z 是给定的参数，而求解器需要提供 X 和 Y 的值。一旦有了这样的方程，该方程的解就对应于底层计算问题的解。要证明你有一个解，你需要证明你所提出的值确实是合理的多项式（而不是分数，或者在某些地方看起来像一个多项式，而在其他地方却是不同的多项式，等等），并且这些多项式具有一定的最大度数。为此，我们使用了一个逐步应用的随机线性组合技巧：假设你有一个多项式 A 的评估值，你想证明它的度数小于 2^{20} 考虑多项式 B (x^2) = A (x) + A (-x)，C (x^2) = \frac {A (x) - A (-x)}{x} D 是 B 和 C 的随机线性组合，即 D=B+rCD = B + rCD=B+rC，其中 r 是一个随机系数。本质上，发生的事情是 B 隔离偶数系数 A，和?隔离奇数系数。给定 B 和 C，你可以恢复原始多项式 A：A (x) = B (x^2) + xC (x^2)。如果 A 的度数确实小于 2^{20}，那么 B 和 C 的度数将分别为 A 的度数和 A 的度数减去 1。因为偶次项和奇次项的组合不会增加度数。由于 D 是 B 和 C 的随机线性组合，D 的度数也应为 A 的度数，这使得你可以通过 D 的度数来验证 A 的度数是否符合要求。首先，FRI 通过将证明多项式度数为 d 的问题简化为证明多项式度数为 d/2 的问题，从而简化了验证过程。这个过程可以重复多次，每次都将问题简化一半。 FRI的工作原理是重复这个简化过程。例如，如果你从证明多项式的度数为 d 开始，通过一系列步骤，你将最终证明多项式的度数为 d/2。每次简化后，生成的多项式的度数逐步减小。如果某个阶段的输出不是预期的多项式度数，那么这一轮的检查将失败。如果有人试图通过这种技术推送一个不是度数为 d 的多项式，那么在第二轮输出中，其度数将有一定的概率不符合预期，第三轮中会更有可能出现不符合的情况，最终的检查将失败。这种设计可以有效地检测并拒绝不符合要求的输入。如果数据集在大多数位置上等于一个度数为 d 的多项式，这个数据集有可能通过 FRI 验证。然而，为了构造这样一个数据集，攻击者需要知道实际的多项式，因此即使有轻微缺陷的证明也表明证明者能够生成一个「真实」的证明。让我们更详细地了解一下这里发生的情况，以及使这一切正常运作所需的属性。在每一步中，我们将多项式的次数减少一半，同时也将点集（我们关注的点的集合）减少一半。前者是使 FRI（Fast Reed-Solomon Interactive）协议能够正常工作的关键。后者则使得算法运行速度极快：由于每一轮的规模比上一轮减少一半，总的计算成本是 O (N)，而不是 O (N*log (N))。为了实现域的逐步减少，使用了一个二对一映射，即每个点都映射到两个点中的一个。这种映射允许我们将数据集的大小减少一半。这个二对一映射的一个重要优点是它是可重复的。也就是说，当我们应用这个映射时，得到的结果集仍然保留了相同的属性。假设我们从一个乘法子群（multiplicative subgroup）开始。这个子群是一个集合 S，其中每个元素 x 都有其倍数 2x 也在集合中。如果对集合 S 进行平方操作（即将集合中的每个元素 x 映射到 x^2），新的集合 S^2 也会保留同样的属性。这种操作允许我们继续减少数据集的大小，直到最终只剩下一个值。虽然理论上我们可以将数据集缩小到只剩一个值，但在实际操作中，通常会在到达一个较小的集合之前就停止。你可以将这个操作想象成一个将圆周上的一条线（例如，线段或弧）沿圆周伸展的过程，使它绕圆周旋转两圈。例如，如果一个点在圆周上位于 x 度的位置，那么在经过这个操作后，它会移动到 2x 度的位置。圆周上的每个点从 0 到 179 度的位置，都有一个对应的点在 180 到 359 度的位置，这两个点会重合。这意味着，当你将一个点从 x 度映射到 2x 度时，它会与一个位于 x+180 度的位置重合。这个过程是可以重复的。也就是说，你可以多次应用这个映射操作，每次都将圆周上的点移动到它们的新位置。为了使映射技术有效，原始乘法子群的大小需要具有大的 2 的幂作为因子。BabyBear 是一个具有特定模数的系统，其模数为某个值，使得其最大乘法子群包含所有非零值，因此子群的大小为 2k−1（其中 k 是模数的位数）。这种大小的子群非常适合上述技术，因为它允许通过重复应用映射操作来有效地减少多项式的度数。在 BabyBear 中，你可以选择大小为 2^k 的子群（或者直接使用整个集合），然后应用 FRI 方法将多项式的度数逐步减少到 15，并在最后检查多项式的度数。这种方法利用了模数的性质和乘法子群的大小，使得计算过程非常高效。Mersenne31 是另一个系统，其模数为某个值，使得乘法子群的大小为 2^31 - 1。在这种情况下，乘法子群的大小只有一个 2 的幂作为因子，这使得它只能被除以 2 一次。之后的处理不再适用上述技术，也就是说，无法像 BabyBear 那样使用 FFT 进行有效的多项式度数减少。 Mersenne31 域非常适合在现有的 32 位 CPU/GPU 操作中进行算术运算。因为其模数的特性（例如 2^{31} - 1）使得很多运算可以利用高效的位操作来完成：如果两个数字相加的结果超过了模数，可以通过将结果与模数进行位移操作来减小到合适的范围。位移操作是一种非常高效的运算。乘法运算中，可以使用特定的 CPU 指令（通常称为高位位移指令）来处理结果。这些指令可以高效地计算乘法的高位部分，从而提高了运算的效率。在 Mersenne31 域中，由于上述特性，算术运算比在 BabyBear 域中快约 1.3 倍。Mersenne31 提供了更高的计算效率。如果可以在 Mersenne31 域中实现 FRI，这将显著提升计算效率，使得 FRI 的应用变得更加高效。 Circle FRI 这就是Circle STARKs的巧妙之处，给定一个质数 p，可以找到一个大小为 p 的群体，该群体具有类似的二对一特性。这个群体是由所有满足某些特定条件的点组成的，例如，x^2 mod p 等于某个特定值的点集。这些点遵循一种加法规律，如果你最近做过三角学或复数乘法的相关内容，你可能会觉得这种规律很熟悉。 (x_1, y_1) + (x_2, y_2) = (x_1x_2 - y_1y_2, x_1y_2 + x_2y_1) 双倍形式是： 2 * (x, y) = (2x^2 - 1, 2xy) 现在，让我们专注于这个圆上奇数位置上的点：首先，我们将所有点收敛到一条直线上。我们在常规 FRI 中使用的 B (x²) 和 C (x²) 公式的等效形式是： f_0 (x) = \frac {F (x,y) + F (x,-y)}{2} 然后，我们可以进行随机线性组合，得到一个一维的 P (x)，这个多项式在 x 线的一个子集上定义：从第二轮开始，映射发生了变化： f_0 (2x^2-1) = \frac {F (x) + F (-x)}{2} 这个映射实际上每次都将上述集合的大小减少一半，这里发生的事情是，每个 x 在某种意义上代表了两个点：(x, y) 和 (x, -y)。而 (x → 2x^2 - 1) 就是上面的点倍增法则。因此，我们将圆上两个相对点的 x 坐标，转换为倍增后的点的 x 坐标。例如，如果我们取圆上第二个从右边数的值 2，并应用映射 2 → 2 (2^2) - 1 = 7，我们得到的结果是 7。如果我们回到原始圆上，(2, 11) 是从右边数第三个点，所以将其倍增后，我们得到的是从右边数第六个点，即 (7, 13)。这本可以在二维空间中完成，但在一维空间中操作会使过程更高效。 Circle FFTs 一种与 FRI 密切相关的算法是FFT，它将一个度小于 n 的多项式的 n 个评估值转换为该多项式的 n 个系数。FFT 的过程与 FRI 相似，不同之处在于，FFT 在每一步中不是生成随机线性组合 f_0 和 f_1 ，而是递归地对它们进行半大小的 FFT，并将 FFT (f_0) 的输出作为偶数系数，将 FFT (f_1) 的输出作为奇数系数。 Circle group 也支持 FFT，这种 FFT 的构造方式与 FRI 类似。然而，一个关键区别在于，Circle FFT（和 Circle FRI）所处理的对象并不严格是多项式。相反，它们是数学上称为Riemann-Roch space的东西：在这种情况下，多项式是模圆的 ( x^2 + y^2 - 1 = 0 ）。也就是说，我们将 x^2 + y^2 - 1 的任何倍数视为零。另一种理解方式是：我们只允许 y 的一次幂：一旦出现 y^2 项，我们就将其替换为 1 - x^2 。这还意味着，Circle FFT 输出的系数并不像常规 FRI 那样是单项式（例如，如果常规 FRI 输出为 [6, 2, 8, 3]，那么我们知道这意味着 P (x) = 3x^3 + 8x^2 + 2x + 6 ）。相反，Circle FFT 的系数是特定于 Circle FFT 的基础：{1, y, x, xy, 2x^2 - 1, 2x^2y - y, 2x^3 - x, 2x^3y - xy, 8x^4 - 8x^2 + 1...} 好消息是，作为开发者，您几乎可以完全忽略这一点。STARKs 从不要求您了解系数。相反，您只需将多项式作为在特定域上的一组评估值进行存储。唯一需要使用 FFT 的地方是进行（Riemann-Roch 空间的类似）低度扩展：给定 N 个值，生成 k*N 个值，这些值都在同一多项式上。在这种情况下，您可以使用 FFT 生成系数，将（k-1) n 个零附加到这些系数上，然后使用逆 FFT 获取更大的评估值集。 Circle FFT 不是唯一的特殊 FFT 类型。Elliptic curveFFT 更为强大，因为它们可以在任何有限域（素数域、二进制域等）上工作。然而，ECFFT 更复杂且效率较低，因此由于我们可以在 p = 2^{31}-1 上使用 Circle FFT，所以我们选择使用它。从这里开始，我们将深入一些更为晦涩的细节，实现 Circle STARKs 实现的细节与常规 STARKs 有所不同。 Quotienting 在 STARK 协议中，常见的一种操作是对特定点进行商运算，这些点可以是故意选择的，也可以是随机选择的。例如，如果你想证明 P (x)=y，可以通过以下步骤进行：计算商：给定多项式 P (x) 和常数 y，计算商 Q ={P - y}/{X - x}，其中 X 是选择的点。证明多项式：证明 Q 是一个多项式，而不是一个分数值。通过这种方式，证明了 P (x)=y 是成立的。此外，在DEEP-FRI 协议中，随机选择评估点是为了减少 Merkle 分支的数量，从而提高 FRI 协议的安全性和效率。在处理 circle group 的 STARK 协议时，由于没有可以通过单一点的线性函数，需要采用不同的技巧来替代传统的商运算方法。这通常需要使用 circle group 特有的几何性质来设计新的算法。在 circle group 中，你可以构造一个切线函数，使其在某个点 (P_x, P_y) 切于该点，但这个函数会通过该点具有重数 2，也就是说，要使一个多项式成为该线性函数的倍数，它必须满足比仅在该点为零更严格的条件。因此，你不能仅仅在一个点上证明评估结果。那么我们该如何处理呢？我们不得不接受这个挑战，通过在两个点上进行评估来证明，从而添加一个我们不需要关注的虚拟点。线函数：ax + by + c 。如果你把它变成一个方程，强制它等于 0，那么你可能会把它认出是高中数学中所谓的标准形式中的一条线。如果我们有一个多项式 P 在 x_1 处等于 y_1，在 x_2 处等于 y_2，我们可以选择一个插值函数 L，它在 x_1 处等于 y_1，在 x_2 处等于 y_2。这可以简单地表示为 L = \frac {y_2 - y_1}{x_2 - x_1} \cdot (x - x_1) + y_1。然后我们证明 P 在 x_1 处等于 y_1，在 x_2 处等于 y_2，通过减去 L（使得 P - L 在这两个点上都为零），再通过 L（即 x_2 - x_1 之间的线性函数）除以 L 来证明商 Q 是一个多项式。 Vanishing polynomials 在 STARK 中，你试图证明的多项式方程通常看起来像是 C (P (x), P ({next}(x))) = Z (x) ⋅ H (x) ，其中 Z (x) 是一个在整个原始评估域上都等于零的多项式。在常规 STARK 中，这个函数就是 x^n - 1 。在圆形 STARK 中，相应的函数是： Z_1 (x,y) = y Z_2 (x,y) = x Z_{n+1}(x,y) = (2 * Z_n (x,y)^2) - 1 注意，你可以从折叠函数中推导出消失多项式：在常规 STARK 中，你重复使用 x → x^2 ，而在圆形 STARK 中，你重复使用 x → 2x^2 - 1 。不过，对于第一轮，你会进行不同的处理，因为第一轮是特殊的。 Reverse bit order 在 STARKs 中，多项式的评估通常不是按照 “自然” 顺序排列的（例如 P (1),P (ω),P (ω2),…,P (ωn−1)，而是按照我称之为逆位序（reverse bit order）的顺序排列的： P (\omega^{\frac {3n}{8}}) 如果我们设置 n=16，并且只关注我们在哪些 ω 的幂次上进行评估，那么列表看起来如下： {0, 8, 4, 12, 2, 10, 6, 14, 1, 9, 5, 13, 3, 11, 7, 15} 这种排序具有一个关键属性，即在 FRI 评估过程中早期分组在一起的值在排序中会相邻。例如，FRI 的第一步将 x 和 -x 分组。在 n = 16 的情况下，ω^8 = -1，这意味着 P (ω^i) ) 和 ( P (-ω^i) = P (ω^{i+8}) \)。正如我们所见，这些正是紧挨在一起的对。FRI 的第二步将 P (ω^i) 、 P (ω^{i+4}) 、P (ω^{i+8}) 和 P (ω^{i+12}) 分组。这些正是我们看到的四个一组的情况，以此类推。这样做使得 FRI 更加节省空间，因为它允许你为折叠在一起的值（或者，如果你一次折叠 k 轮，则为所有 2^k 个值）提供一个 Merkle 证明。在 circle STARKs 中，折叠结构略有不同：在第一步中，我们将 (x, y) 与 (x, -y) 配对；在第二步中，将 x 与 -x 配对；在随后的步骤中，将 p 与 q 配对，选择 p 和 q 使得 Q^i (p) = -Q^i (q)，其中 Q^i 是重复 x → 2x^2-1 i 次的映射。如果我们从圆上的位置来考虑这些点，那么在每一步中，这看起来就像是第一个点与最后一个点配对，第二个点与倒数第二个点配对，依此类推。为了调整反向位序以反映这种折叠结构，我们需要反转除了最后一位的每一位。我们保留最后一位，并用它来决定是否翻转其他位。一个大小为 16 的折叠反向位序如下： {0, 15, 8, 7, 4, 11, 12, 3, 2, 13, 10, 5, 6, 9, 14, 1} 如果你观察上一节中的圆，你会发现 0、15、8 和 7 这几个点（从右侧开始逆时针方向）是 (x, y)、(x, -y)、(-x, -y) 和 (-x, y) 的形式，这正是我们所需要的。效率在 Circle STARKs（以及一般的 31 位素数 STARKs）中，这些协议非常高效。一个在 Circle STARK 中被证明的计算通常涉及几种类型的计算： 1. 原生算术：用于业务逻辑，例如计数。 2. 原生算术：用于加密学，例如像Poseidon这样的哈希函数。 3.查找参数：一种通用的高效计算方法，通过从表中读取值来实现各种计算。效率的关键衡量标准是：在计算跟踪中，你是充分利用了整个空间来进行有用的工作，还是留下了大量的空闲空间。在大型字段的 SNARKs 中，往往存在大量的空闲空间：业务逻辑和查找表通常涉及对小数字的计算（这些数字往往小于 N，N 是一个计算步骤的总数，因此在实践中小于 2^{25}），但你仍然需要支付使用大小为 2^{256} 位字段的成本。在这里，字段的大小为 2^{31}，所以浪费的空间并不大。为 SNARKs 设计的低算术复杂度哈希（例如 Poseidon）在任何字段中都充分利用了跟踪中每个数字的每一位。 Binius 是比 Circle STARKs 更好的解决方案，因为它允许你混合不同大小的字段，从而实现更高效的位打包。Binius 还提供了在不增加查找表开销的情况下进行 32 位加法的选项。然而，这些优势的（在我看来）代价是会使概念变得更加复杂，而 Circle STARKs（以及基于 BabyBear 的常规 STARKs）在概念上则相对简单得多。结论：我对 Circle STARKs 的看法 Circle STARKs 对开发者来说并没有比 STARKs 复杂。在实现过程中，以上提到的三个问题基本上就是与常规 FRI 的区别。尽管 Circle FRI 操作的多项式背后的数学非常复杂，理解和欣赏这些数学需要一些时间，但这种复杂性实际上被隐藏得不那么显眼，开发者不会直接感受到。理解 Circle FRI 和 Circle FFTs 也可以成为理解其他特殊 FFTs 的途径：最值得注意的是二进制域 FFTs，如Binius和之前的LibSTARK使用的 FFTs，还有一些更复杂的构造，如elliptic curve FFTs, 这些 FFTs 使用少对多的映射，能够与 elliptic curve 点运算很好地结合。结合 Mersenne31、BabyBear 和像 Binius 这样的二进制域技术，我们确实感觉我们正在接近 STARKs 基础层的效率极限。在这一点上，我预计 STARK 的优化方向将会有以下几个重点：对哈希函数和签名等进行最大化效率的算术化：将哈希函数和数字签名等基本的密码学原语优化为最高效的形式，使其在 STARK 证明中使用时能够达到最佳性能。这意味着要针对这些原语进行专门的优化，以减少计算量和提高效率。进行递归构造以启用更多并行化：递归构造指的是将 STARK 证明过程递归地应用于不同的层级，从而提高并行处理能力。通过这种方式，可以更高效地利用计算资源，加速证明过程。算术化虚拟机以改善开发者体验：对虚拟机进行算术化处理，使得开发者在创建和运行计算任务时可以更加高效、简单。这包括对虚拟机进行优化，以便于在 STARK 证明中使用，改善开发者在构建和测试智能合约或其他计算任务时的体验。

原文標題：《Exploring circle STARKs》
撰文：Vitalik Buterin，以太坊聯合創始人
編譯：Chris，Techub News
想要理解這篇文章的前提是你們已經瞭解了 SNARKs 和 STARKs 的基本原理。如果你對此不太熟悉，建議你先閱讀本文的前幾部分來了解相關基礎知識。
近年來，STARKs 協議設計的趨勢是轉向使用較小的字段。最早期的 STARKs 生產實現使用的是 256 位字段，即對大數字（如 21888...95617）進行模運算，這使得這些協議與基於 elliptic curve 的簽名兼容。但是這種設計的效率比較低，一般情況下，處理計算這些大數字並沒有實際的用途，還會浪費很多的算力，比如處理 X（代表某個數字）和處理四倍的 X ，處理 X 只需要九分之一的計算時間。爲了解決這個問題，STARKs 開始轉向使用更小的字段：首先是Goldilocks，然後是Mersenne31 和 BabyBear。
這種轉變提升了證明速度，比如 Starkware 能夠在一臺 M3 筆記本電腦上每秒證明620,000 個 Poseidon2 哈希值。這意味着，只要我們願意信任 Poseidon2 作爲哈希函數，那麼就可以解決開發高效的ZK-EVM中的難題。那麼這些技術是如何工作的？這些證明如何在較小的字段上建立？這些協議與 Binius 等解決方案相比如何？本文將探討這些細節，特別關注一種名爲Circle STARKs（在Starkware 的 stwo、Polygon 的plonky3以及我自己在 Python 中實現的版本）的方案，這種方案具有與 Mersenne31 字段兼容的獨特屬性。
使用較小的數學字段時常見的問題
在創建基於哈希的證明（或任何類型的證明）時，一個非常重要的技巧是通過對多項式在隨機點的評估結果進行證明，能夠間接驗證多項式的性質。這種方法可以大大簡化證明過程，因爲在隨機點的評估通常比處理整個多項式要容易得多。
例如，假設一個證明系統要求你生成一個對多項式的 commitment，A，必須滿足 A^3 (x) + x - A (\omega*x) = x^N（ZK-SNARK 協議中一種非常常見的證明類型）。協議可以要求你選擇一個隨機座標 ? 並證明 A (r) + r - A (\omega*r) = r^N。然後反推 A (r) = c，你證明了 Q = \frac {A - c}{X - r} 是一個多項式。
如果你事先了解了協議的細節或內部機制，你可能會找到方法繞過或破解這些協議。接下來可能會提到具體的操作或方法來實現這一點。比如，爲了滿足 A (\omega * r) 方程，你可以設置 A (r) 爲 0，然後讓 A 成爲經過這兩個點的直線。
爲了防止這些攻擊，我們需要在攻擊者提供了 A 之後再選擇 r（Fiat-Shamir是一種用於增強協議安全性的技術，通過將某些參數設爲某種哈希值來避免攻擊。選擇的參數需要來自一個足夠大的集合，以確保攻擊者無法預測或猜測這些參數，從而提高系統的安全性。
在基於 elliptic curve 的協議和 2019 年時期的 STARKs 中，這個問題很簡單：我們所有的數學運算都在 256 位的數字上進行，因此我們可以將 r 選擇爲一個隨機的 256 位數字，這樣就可以了。然而，在較小字段上的 STARKs 中，我們遇到了一個問題：只有大約 20 億種可能的 r 值可以選擇，因此一個想要僞造證明的攻擊者只需要嘗試 20 億次，雖然工作量很大，但對於一個下定決心的攻擊者來說，還是完全可以做到的！
這個問題有兩個解決方案：
進行多次隨機檢查
擴展字段
執行多次隨機檢查的方法是最簡單有效的：與其在一個座標上進行檢查，不如在四個隨機座標上重複檢查。這在理論上是可行的，但存在效率問題。如果你處理的是一個度數小於某個值的多項式，並且在某個大小的域上進行操作，攻擊者實際上可以構造看起來在這些位置上都很正常的惡意多項式。因此，他們能否成功破壞協議是一個概率性問題，因此需要增加檢查的輪數，以增強整體的安全性，確保能夠有效防禦攻擊者的攻擊。
這引出了另一個解決方案：擴展域，擴展域類似於複數，但它是基於有限域的。我們引入一個新的值，記作 α\alphaα，並聲明其滿足某種關係，比如 α2=some value\alpha^2 = \text {some value}α2=some value。通過這種方式，我們創建了一個新的數學結構，能夠在有限域上進行更復雜的運算。在這種擴展域中，乘法的計算變爲使用新值 α\alphaα 的乘法。我們現在可以在擴展的域中操作值對，而不僅僅是單個數字。比如，如果我們在 Mersenne 或 BabyBear 這樣的字段上工作，這樣的擴展允許我們有更多的值選擇，從而提高安全性。爲了進一步提高字段的大小，我們可以重複應用相同的技術。由於我們已經使用了 α\alphaα，所以我們需要定義一個新的值，這在 Mersenne31 中表現爲選擇 α\alphaα 使得 α2=some value\alpha^2 = \text {some value}α2=some value。
代碼（你可以用Karatsuba改進它）
通過擴展域，我們現在有了足夠多的值來選擇，滿足我們的安全需求。如果處理的是度數小於 ddd 的多項式，每輪可以提供 104 位的安全性。這意味着我們有足夠的安全保障。如果需要達到更高的安全級別，比如 128 位，我們可以在協議中加入一些額外的計算工作，以增強安全性。
擴展域僅在 FRI（Fast Reed-Solomon Interactive）協議和其他需要隨機線性組合的場景中實際使用。大部分的數學運算仍然在基礎字段上進行，這些基礎字段通常是模 ppp 或 qqq 的字段。同時，幾乎所有哈希的數據都是在基礎字段上進行的，因此每個值只需哈希四字節。這樣做可以利用小字段的高效性，同時在需要進行安全性增強時，可以使用更大的字段。
Regular FRI
在構建 SNARK 或 STARK 時，第一步通常是 arithmetization 。這是將任意計算問題轉化爲一個方程，其中某些變量和係數是多項式。具體來說，這個方程通常會看起來像 P (X,Y,Z)=0P (X, Y, Z) = 0P (X,Y,Z)=0，其中 P 是一個多項式，X、Y 和 Z 是給定的參數，而求解器需要提供 X 和 Y 的值。一旦有了這樣的方程，該方程的解就對應於底層計算問題的解。
要證明你有一個解，你需要證明你所提出的值確實是合理的多項式（而不是分數，或者在某些地方看起來像一個多項式，而在其他地方卻是不同的多項式，等等），並且這些多項式具有一定的最大度數。爲此，我們使用了一個逐步應用的隨機線性組合技巧：
假設你有一個多項式 A 的評估值，你想證明它的度數小於 2^{20}
考慮多項式 B (x^2) = A (x) + A (-x)，C (x^2) = \frac {A (x) - A (-x)}{x}
D 是 B 和 C 的隨機線性組合，即 D=B+rCD = B + rCD=B+rC，其中 r 是一個隨機係數。
本質上，發生的事情是 B 隔離偶數係數 A，和?隔離奇數係數。給定 B 和 C，你可以恢復原始多項式 A：A (x) = B (x^2) + xC (x^2)。如果 A 的度數確實小於 2^{20}，那麼 B 和 C 的度數將分別爲 A 的度數和 A 的度數減去 1。因爲偶次項和奇次項的組合不會增加度數。由於 D 是 B 和 C 的隨機線性組合，D 的度數也應爲 A 的度數，這使得你可以通過 D 的度數來驗證 A 的度數是否符合要求。
首先，FRI 通過將證明多項式度數爲 d 的問題簡化爲證明多項式度數爲 d/2 的問題，從而簡化了驗證過程。這個過程可以重複多次，每次都將問題簡化一半。
FRI的工作原理是重複這個簡化過程。例如，如果你從證明多項式的度數爲 d 開始，通過一系列步驟，你將最終證明多項式的度數爲 d/2。每次簡化後，生成的多項式的度數逐步減小。如果某個階段的輸出不是預期的多項式度數，那麼這一輪的檢查將失敗。如果有人試圖通過這種技術推送一個不是度數爲 d 的多項式，那麼在第二輪輸出中，其度數將有一定的概率不符合預期，第三輪中會更有可能出現不符合的情況，最終的檢查將失敗。這種設計可以有效地檢測並拒絕不符合要求的輸入。如果數據集在大多數位置上等於一個度數爲 d 的多項式，這個數據集有可能通過 FRI 驗證。然而，爲了構造這樣一個數據集，攻擊者需要知道實際的多項式，因此即使有輕微缺陷的證明也表明證明者能夠生成一個「真實」的證明。
讓我們更詳細地瞭解一下這裏發生的情況，以及使這一切正常運作所需的屬性。在每一步中，我們將多項式的次數減少一半，同時也將點集（我們關注的點的集合）減少一半。前者是使 FRI（Fast Reed-Solomon Interactive）協議能夠正常工作的關鍵。後者則使得算法運行速度極快：由於每一輪的規模比上一輪減少一半，總的計算成本是 O (N)，而不是 O (N*log (N))。
爲了實現域的逐步減少，使用了一個二對一映射，即每個點都映射到兩個點中的一個。這種映射允許我們將數據集的大小減少一半。這個二對一映射的一個重要優點是它是可重複的。也就是說，當我們應用這個映射時，得到的結果集仍然保留了相同的屬性。假設我們從一個乘法子羣（multiplicative subgroup）開始。這個子羣是一個集合 S，其中每個元素 x 都有其倍數 2x 也在集合中。如果對集合 S 進行平方操作（即將集合中的每個元素 x 映射到 x^2），新的集合 S^2 也會保留同樣的屬性。這種操作允許我們繼續減少數據集的大小，直到最終只剩下一個值。雖然理論上我們可以將數據集縮小到只剩一個值，但在實際操作中，通常會在到達一個較小的集合之前就停止。
你可以將這個操作想象成一個將圓周上的一條線（例如，線段或弧）沿圓周伸展的過程，使它繞圓周旋轉兩圈。例如，如果一個點在圓周上位於 x 度的位置，那麼在經過這個操作後，它會移動到 2x 度的位置。圓周上的每個點從 0 到 179 度的位置，都有一個對應的點在 180 到 359 度的位置，這兩個點會重合。這意味着，當你將一個點從 x 度映射到 2x 度時，它會與一個位於 x+180 度的位置重合。這個過程是可以重複的。也就是說，你可以多次應用這個映射操作，每次都將圓周上的點移動到它們的新位置。
爲了使映射技術有效，原始乘法子羣的大小需要具有大的 2 的冪作爲因子。BabyBear 是一個具有特定模數的系統，其模數爲某個值，使得其最大乘法子羣包含所有非零值，因此子羣的大小爲 2k−1（其中 k 是模數的位數）。這種大小的子羣非常適合上述技術，因爲它允許通過重複應用映射操作來有效地減少多項式的度數。在 BabyBear 中，你可以選擇大小爲 2^k 的子羣（或者直接使用整個集合），然後應用 FRI 方法將多項式的度數逐步減少到 15，並在最後檢查多項式的度數。這種方法利用了模數的性質和乘法子羣的大小，使得計算過程非常高效。Mersenne31 是另一個系統，其模數爲某個值，使得乘法子羣的大小爲 2^31 - 1。在這種情況下，乘法子羣的大小隻有一個 2 的冪作爲因子，這使得它只能被除以 2 一次。之後的處理不再適用上述技術，也就是說，無法像 BabyBear 那樣使用 FFT 進行有效的多項式度數減少。
Mersenne31 域非常適合在現有的 32 位 CPU/GPU 操作中進行算術運算。因爲其模數的特性（例如 2^{31} - 1）使得很多運算可以利用高效的位操作來完成：如果兩個數字相加的結果超過了模數，可以通過將結果與模數進行位移操作來減小到合適的範圍。位移操作是一種非常高效的運算。乘法運算中，可以使用特定的 CPU 指令（通常稱爲高位位移指令）來處理結果。這些指令可以高效地計算乘法的高位部分，從而提高了運算的效率。在 Mersenne31 域中，由於上述特性，算術運算比在 BabyBear 域中快約 1.3 倍。Mersenne31 提供了更高的計算效率。如果可以在 Mersenne31 域中實現 FRI，這將顯著提升計算效率，使得 FRI 的應用變得更加高效。
Circle FRI
這就是Circle STARKs的巧妙之處，給定一個質數 p，可以找到一個大小爲 p 的羣體，該羣體具有類似的二對一特性。這個羣體是由所有滿足某些特定條件的點組成的，例如，x^2 mod p 等於某個特定值的點集。
這些點遵循一種加法規律，如果你最近做過三角學或複數乘法的相關內容，你可能會覺得這種規律很熟悉。
(x_1, y_1) + (x_2, y_2) = (x_1x_2 - y_1y_2, x_1y_2 + x_2y_1)
雙倍形式是：
2 * (x, y) = (2x^2 - 1, 2xy)
現在，讓我們專注於這個圓上奇數位置上的點：
首先，我們將所有點收斂到一條直線上。我們在常規 FRI 中使用的 B (x²) 和 C (x²) 公式的等效形式是：
f_0 (x) = \frac {F (x,y) + F (x,-y)}{2}
然後，我們可以進行隨機線性組合，得到一個一維的 P (x)，這個多項式在 x 線的一個子集上定義：
從第二輪開始，映射發生了變化：
f_0 (2x^2-1) = \frac {F (x) + F (-x)}{2}
這個映射實際上每次都將上述集合的大小減少一半，這裏發生的事情是，每個 x 在某種意義上代表了兩個點：(x, y) 和 (x, -y)。而 (x → 2x^2 - 1) 就是上面的點倍增法則。因此，我們將圓上兩個相對點的 x 座標，轉換爲倍增後的點的 x 座標。
例如，如果我們取圓上第二個從右邊數的值 2，並應用映射 2 → 2 (2^2) - 1 = 7，我們得到的結果是 7。如果我們回到原始圓上，(2, 11) 是從右邊數第三個點，所以將其倍增後，我們得到的是從右邊數第六個點，即 (7, 13)。
這本可以在二維空間中完成，但在一維空間中操作會使過程更高效。
Circle FFTs
一種與 FRI 密切相關的算法是FFT，它將一個度小於 n 的多項式的 n 個評估值轉換爲該多項式的 n 個係數。FFT 的過程與 FRI 相似，不同之處在於，FFT 在每一步中不是生成隨機線性組合 f_0 和 f_1 ，而是遞歸地對它們進行半大小的 FFT，並將 FFT (f_0) 的輸出作爲偶數係數，將 FFT (f_1) 的輸出作爲奇數係數。
Circle group 也支持 FFT，這種 FFT 的構造方式與 FRI 類似。然而，一個關鍵區別在於，Circle FFT（和 Circle FRI）所處理的對象並不嚴格是多項式。相反，它們是數學上稱爲Riemann-Roch space的東西：在這種情況下，多項式是模圓的 ( x^2 + y^2 - 1 = 0 ）。也就是說，我們將 x^2 + y^2 - 1 的任何倍數視爲零。另一種理解方式是：我們只允許 y 的一次冪：一旦出現 y^2 項，我們就將其替換爲 1 - x^2 。
這還意味着，Circle FFT 輸出的係數並不像常規 FRI 那樣是單項式（例如，如果常規 FRI 輸出爲 [6, 2, 8, 3]，那麼我們知道這意味着 P (x) = 3x^3 + 8x^2 + 2x + 6 ）。相反，Circle FFT 的係數是特定於 Circle FFT 的基礎：{1, y, x, xy, 2x^2 - 1, 2x^2y - y, 2x^3 - x, 2x^3y - xy, 8x^4 - 8x^2 + 1...}
好消息是，作爲開發者，您幾乎可以完全忽略這一點。STARKs 從不要求您瞭解係數。相反，您只需將多項式作爲在特定域上的一組評估值進行存儲。唯一需要使用 FFT 的地方是進行（Riemann-Roch 空間的類似）低度擴展：給定 N 個值，生成 k*N 個值，這些值都在同一多項式上。在這種情況下，您可以使用 FFT 生成係數，將（k-1) n 個零附加到這些係數上，然後使用逆 FFT 獲取更大的評估值集。
Circle FFT 不是唯一的特殊 FFT 類型。Elliptic curveFFT 更爲強大，因爲它們可以在任何有限域（素數域、二進制域等）上工作。然而，ECFFT 更復雜且效率較低，因此由於我們可以在 p = 2^{31}-1 上使用 Circle FFT，所以我們選擇使用它。
從這裏開始，我們將深入一些更爲晦澀的細節，實現 Circle STARKs 實現的細節與常規 STARKs 有所不同。
Quotienting
在 STARK 協議中，常見的一種操作是對特定點進行商運算，這些點可以是故意選擇的，也可以是隨機選擇的。例如，如果你想證明 P (x)=y，可以通過以下步驟進行：
計算商：給定多項式 P (x) 和常數 y，計算商 Q ={P - y}/{X - x}，其中 X 是選擇的點。
證明多項式：證明 Q 是一個多項式，而不是一個分數值。通過這種方式，證明了 P (x)=y 是成立的。
此外，在DEEP-FRI 協議中，隨機選擇評估點是爲了減少 Merkle 分支的數量，從而提高 FRI 協議的安全性和效率。
在處理 circle group 的 STARK 協議時，由於沒有可以通過單一點的線性函數，需要採用不同的技巧來替代傳統的商運算方法。這通常需要使用 circle group 特有的幾何性質來設計新的算法。
在 circle group 中，你可以構造一個切線函數，使其在某個點 (P_x, P_y) 切於該點，但這個函數會通過該點具有重數 2，也就是說，要使一個多項式成爲該線性函數的倍數，它必須滿足比僅在該點爲零更嚴格的條件。因此，你不能僅僅在一個點上證明評估結果。那麼我們該如何處理呢？
我們不得不接受這個挑戰，通過在兩個點上進行評估來證明，從而添加一個我們不需要關注的虛擬點。
線函數：ax + by + c 。如果你把它變成一個方程，強制它等於 0，那麼你可能會把它認出是高中數學中所謂的標準形式中的一條線。
如果我們有一個多項式 P 在 x_1 處等於 y_1，在 x_2 處等於 y_2，我們可以選擇一個插值函數 L，它在 x_1 處等於 y_1，在 x_2 處等於 y_2。這可以簡單地表示爲 L = \frac {y_2 - y_1}{x_2 - x_1} \cdot (x - x_1) + y_1。
然後我們證明 P 在 x_1 處等於 y_1，在 x_2 處等於 y_2，通過減去 L（使得 P - L 在這兩個點上都爲零），再通過 L（即 x_2 - x_1 之間的線性函數）除以 L 來證明商 Q 是一個多項式。
Vanishing polynomials
在 STARK 中，你試圖證明的多項式方程通常看起來像是 C (P (x), P ({next}(x))) = Z (x) ⋅ H (x) ，其中 Z (x) 是一個在整個原始評估域上都等於零的多項式。在常規 STARK 中，這個函數就是 x^n - 1 。在圓形 STARK 中，相應的函數是：
Z_1 (x,y) = y
Z_2 (x,y) = x
Z_{n+1}(x,y) = (2 * Z_n (x,y)^2) - 1
注意，你可以從摺疊函數中推導出消失多項式：在常規 STARK 中，你重複使用 x → x^2 ，而在圓形 STARK 中，你重複使用 x → 2x^2 - 1 。不過，對於第一輪，你會進行不同的處理，因爲第一輪是特殊的。
Reverse bit order
在 STARKs 中，多項式的評估通常不是按照 “自然” 順序排列的（例如 P (1),P (ω),P (ω2),…,P (ωn−1)，而是按照我稱之爲逆位序（reverse bit order）的順序排列的：
P (\omega^{\frac {3n}{8}})
如果我們設置 n=16，並且只關注我們在哪些 ω 的冪次上進行評估，那麼列表看起來如下：
{0, 8, 4, 12, 2, 10, 6, 14, 1, 9, 5, 13, 3, 11, 7, 15}
這種排序具有一個關鍵屬性，即在 FRI 評估過程中早期分組在一起的值在排序中會相鄰。例如，FRI 的第一步將 x 和 -x 分組。在 n = 16 的情況下，ω^8 = -1，這意味着 P (ω^i) ) 和 ( P (-ω^i) = P (ω^{i+8}) \)。正如我們所見，這些正是緊挨在一起的對。FRI 的第二步將 P (ω^i) 、 P (ω^{i+4}) 、P (ω^{i+8}) 和 P (ω^{i+12}) 分組。這些正是我們看到的四個一組的情況，以此類推。這樣做使得 FRI 更加節省空間，因爲它允許你爲摺疊在一起的值（或者，如果你一次摺疊 k 輪，則爲所有 2^k 個值）提供一個 Merkle 證明。
在 circle STARKs 中，摺疊結構略有不同：在第一步中，我們將 (x, y) 與 (x, -y) 配對；在第二步中，將 x 與 -x 配對；在隨後的步驟中，將 p 與 q 配對，選擇 p 和 q 使得 Q^i (p) = -Q^i (q)，其中 Q^i 是重複 x → 2x^2-1 i 次的映射。如果我們從圓上的位置來考慮這些點，那麼在每一步中，這看起來就像是第一個點與最後一個點配對，第二個點與倒數第二個點配對，依此類推。
爲了調整反向位序以反映這種摺疊結構，我們需要反轉除了最後一位的每一位。我們保留最後一位，並用它來決定是否翻轉其他位。
一個大小爲 16 的摺疊反向位序如下：
{0, 15, 8, 7, 4, 11, 12, 3, 2, 13, 10, 5, 6, 9, 14, 1}
如果你觀察上一節中的圓，你會發現 0、15、8 和 7 這幾個點（從右側開始逆時針方向）是 (x, y)、(x, -y)、(-x, -y) 和 (-x, y) 的形式，這正是我們所需要的。
效率
在 Circle STARKs（以及一般的 31 位素數 STARKs）中，這些協議非常高效。一個在 Circle STARK 中被證明的計算通常涉及幾種類型的計算：
1. 原生算術：用於業務邏輯，例如計數。
2. 原生算術：用於加密學，例如像Poseidon這樣的哈希函數。
3.查找參數：一種通用的高效計算方法，通過從表中讀取值來實現各種計算。
效率的關鍵衡量標準是：在計算跟蹤中，你是充分利用了整個空間來進行有用的工作，還是留下了大量的空閒空間。在大型字段的 SNARKs 中，往往存在大量的空閒空間：業務邏輯和查找表通常涉及對小數字的計算（這些數字往往小於 N，N 是一個計算步驟的總數，因此在實踐中小於 2^{25}），但你仍然需要支付使用大小爲 2^{256} 位字段的成本。在這裏，字段的大小爲 2^{31}，所以浪費的空間並不大。爲 SNARKs 設計的低算術複雜度哈希（例如 Poseidon）在任何字段中都充分利用了跟蹤中每個數字的每一位。
Binius 是比 Circle STARKs 更好的解決方案，因爲它允許你混合不同大小的字段，從而實現更高效的位打包。Binius 還提供了在不增加查找表開銷的情況下進行 32 位加法的選項。然而，這些優勢的（在我看來）代價是會使概念變得更加複雜，而 Circle STARKs（以及基於 BabyBear 的常規 STARKs）在概念上則相對簡單得多。
結論：我對 Circle STARKs 的看法
Circle STARKs 對開發者來說並沒有比 STARKs 複雜。在實現過程中，以上提到的三個問題基本上就是與常規 FRI 的區別。儘管 Circle FRI 操作的多項式背後的數學非常複雜，理解和欣賞這些數學需要一些時間，但這種複雜性實際上被隱藏得不那麼顯眼，開發者不會直接感受到。
理解 Circle FRI 和 Circle FFTs 也可以成爲理解其他特殊 FFTs 的途徑：最值得注意的是二進制域 FFTs，如Binius和之前的LibSTARK使用的 FFTs，還有一些更復雜的構造，如elliptic curve FFTs, 這些 FFTs 使用少對多的映射，能夠與 elliptic curve 點運算很好地結合。
結合 Mersenne31、BabyBear 和像 Binius 這樣的二進制域技術，我們確實感覺我們正在接近 STARKs 基礎層的效率極限。在這一點上，我預計 STARK 的優化方向將會有以下幾個重點：
對哈希函數和簽名等進行最大化效率的算術化：將哈希函數和數字簽名等基本的密碼學原語優化爲最高效的形式，使其在 STARK 證明中使用時能夠達到最佳性能。這意味着要針對這些原語進行專門的優化，以減少計算量和提高效率。
進行遞歸構造以啓用更多並行化：遞歸構造指的是將 STARK 證明過程遞歸地應用於不同的層級，從而提高並行處理能力。通過這種方式，可以更高效地利用計算資源，加速證明過程。
算術化虛擬機以改善開發者體驗：對虛擬機進行算術化處理，使得開發者在創建和運行計算任務時可以更加高效、簡單。這包括對虛擬機進行優化，以便於在 STARK 證明中使用，改善開發者在構建和測試智能合約或其他計算任務時的體驗。

創作者的更多內容

實時新聞

創作者的更多內容

實時新聞

熱門文章