SOL:ZKSwap团队深入解读零知识证明算法之Zk-stark（四）——FRI协议_MIT

前言：终于到了“零知识证明算法值Zk-stark”系列的收尾。在前面的三篇文章里，我们依次介绍了zk-stark算法的整体结构、算法的第一部分：Arithmetization、算法的第二部分：LowDegreeTesting。相信通过这几篇的阅读，大家能对zk-stark算法轮廓有了个整体的认知；在阅读的过程中，你可能会对文章中的某些语句或者图片的正确性发出疑问，欢迎在社区留言交流。

在第三篇文章，我们已经讲到，为了确保证明者返回的满足多项式等式相等的值确实是基于有效的多项式计算得到，我们需要对多项式进行LDT测试；同时为了使验证者的复杂度达到最优，我们把原始多项式进行变换，变换后，证明者要证明的多项式仅仅是原始多项式的一半，不断重复这一过程，一直到多项式的度可以直接判断为止。这其实就是FRI协议的核心思想，下面，让我们来详细介绍FRI协议的过程。

FRI协议

也许，我们应该先说一下FRI协议是什么？FRI，即FastRSIOPP，全称FastReed-SolomenInteractiveOracleProofsofProximity，是一种更有效的proximiary测试方法，测试一个点的集合大部分是在一个度小于某个值的多项式上，能达到线性级的证明复杂度和对数级的验证复杂度。在我们正式介绍FRI协议之前，我们先看一个简单的场景。

GraphOps、Unlock Protocol创始人加入The Graph委员会:4月26日消息，去中心化索引协议 The Graph 宣布两位新成员将加入 The Graph 委员会，分别是 The Graph 核心开发团队 GraphOps 的创始人 Chris Wessels 和 Unlock Protocol 的创始人兼首席执行官 Julien Genestoux ，委员会目前由 10 名成员组成，代表 The Graph 生态系统中的五个利益相关者群体：核心开发人员、研究人员、用户 /Dapp、索引人员和支持者。[2023/4/26 14:27:58]

在有限域F上，存在一个乘法群L0，群的阶为2^n；这时，证明者声称码字f0:L0-->F是满足RS编码参数的一个码字，即f0的大部分点在一个度d<ρ*2^n的多项式上P(x)上，这里ρ=2^(-R)；因此，当f0=P时，根据IFFT原理，存在P1、P2且deg(P1、P2)<1/2ρ2^n，满足：

美财政部金融稳定监督委员会召开临时闭门会议:金色财经报道，根据美国财政部官方公告，美国财政部长Janet Yellen以视频方式召开了金融稳定监督委员会（FSOC）临时闭门会议。财政部声明中的细节很少，但它表示纽约联邦储备银行的工作人员就市场发展进行了介绍，委员会讨论了银行业的当前状况，并指出虽然一些机构面临压力，但美国银行体系仍然稳健且富有弹性。此外，委员会还讨论了成员机构监督金融发展的努力。[2023/3/25 13:26:07]

f0(x)=P(x)=P1(x^2)+x*P2(x^2)(1)

令Q(x,y)=P1(y)+x*P2(y)，可以看出Q(x,y)关于x的度d<2；关于y的度d<1/2ρ2^n；此时，验证者随机选取一个值x0发送给证明者，然后令

f1(y)=Q(x0,y)=P1(y)+x0*P2(y)(2)

对于f1(y)，y=x^2，由于x取值范围是群1里的元素，因此x^(2^n)=1==>(x^2)(2^(n-1))=1==>y(2^(n-1))=1。令y的作用域为群L1，则L1有以下属性：

加密货币交易管理平台Nilos完成520万美元融资，Viola Ventures等领投:9月20日消息，加密货币和法币资金管理平台Nilos在今年4月完成520万美元融资，Viola Ventures和Fabric Ventures领投，Mensch Capital Partners、Yuval Tal、Sebastien Borget、Emmanuel Schalit、Benjamin Seror、Didier Valet、Guillaume Houz、Phillipe Suchet、Valentine Baudoin等参投。

据悉，Nilos提供的Dashboard可以显示包括加密货币和法币支付交易在内的所有交易。企业可以使用该平台跨多个账户启动付款和对账操作。（Techcrunch）[2022/9/21 7:09:22]

群的阶为2^(n-1);群L1的每个元素对应群L0的两个元素，即群L1的任意y，群L0都有两个x和(-x)modF，满足x^2modF=y&&(-x)^2modF=y；因此，问题就转化为了证明f1(y)的度d<1/2ρ2^n。同时也要保证函数f1和f0的一致性，流程可分为以下几个步骤：

Cyber Capital创始人：SOL有太多危险讯号:金色财经报道，加密风投基金Cyber Capital创始人兼首席投资官Justin Bons在社交媒体发布长文称，Solana（SOL）有太多危险信号，他首先强调区块链永远不应该宕机，但Solana是过去几个月中唯一宕机七次的区块链，此外SOL团队在2020年4月声称 Token 总流通量为 820 万枚，但其实超过 2000 万枚，因此涉嫌公然欺诈，而且还被第三方发现一个未锁定的Solana钱包，其中包含1300万枚SOL。Justin Bons还表示，Solana围绕TPS指标做出虚假陈述，比如SOL网络因执行40万TPS而瘫痪。Justin Bons声称，希望Solana能改变并修复这些缺陷。[2022/7/24 2:33:48]

验证者分别从群L1和群L0选取三个点y,s0,s1满足s0!=s1&&s0^2=s1^2=y证明者返回f0(s0),f0(s1),f1(y)三个值验证者根据f0(s0),f0(s1)插值出一个关于x的d<2的多项式g(x)验证者验证g(s0)=f1(y)，不相等，则失败

加密公司 Tiptop Labs 完成 2300 万美元 A 轮融资，a16z 领投:金色财经消息，Postmates 创始人 Bastian Lehmann 成立的加密货币公司 Tiptop Labs 在 5 月份完成 2300 万美元 A 轮融资，Andreessen Horowitz（a16z）领投，参投方包括 Sam Altman、Naval Ravikant、Gokul Rajaram、Scott Banister、Cyan Banister、Nabeel Hyatt、Dan Romero、Jude Gomila、Sean Plaice、Andy McLoughlin、Jeff Clavier、Vivek Patel 等。

4 月份，Bastian Lehmann 准备成立加密货币公司，并已于 2 月在美国特拉华州注册一家名为 Tiptop Labs 的公司。 据 Tiptop Labs 信息显示，该公司计划建立一个将法定货币与加密货币联系起来的金融解决方案。[2022/6/10 4:15:15]

可靠性分析：如果函数f1不是由函数f0转换而来，那么公式(1)的多项式P1(x^2)和P2(x^2)和公式(2)的多项式P1(y)和P2(y)互不相等。考虑到多项式的度d<1/2ρ2^n，变量的取值范围为2^(n-1)，那么在这个范围内随机选取一个值，多项式相等的概率为1/2ρ2^n/2^(n-1)=ρ。ρ为coderates，如果ρ=2^，那么一次校验成功的概率仅仅为1/256。如果经过多次验证，那么作恶成功的概率就无线接近于0。

以上可知，对函数f1重复上述的过程，直到fr变成一个可以直接校验的度，就完成了整个测试验证过程。

下面，我们看一下FRI协议的具体内容，如图1所示：

FRI协议分为两个阶段：Commit阶段和Query阶段。从前面简单的场景可以看出，一次简单的循环，需要:

验证者发送随机数x0后证明者生成新函数f1进行一致性校验FRI协议把每一循环前2步归类到Commit阶段，把第3步归类到了Query阶段。即在Commit阶段，生成所有的函数f0~fr，r为循环的次数，然后在Query阶段，统一校验。

下面，先分别介绍Commit和Query协议里各参数和各个步骤的意义，然后总结一下相关的流程。

Commit：

CommoninputRRS编码比率i循环次数索引，取值{0~r}r循环次数取值k0-R/ηη空间映射参数x-->x^(2^η)L0群的阶2^k0RS编码参数q0(x)=x^(2^η)，L(i+1)=q0(Li)，表示群Li到群L(i+1)的2^η-->1映射Proverinputfi第i次循环的函数输入Li第i次循环的群，阶位2^(n-i)RSifi对应的编码参数LOOPi<=r1xi验证者发送的随机数2Sy群L(i+1)的每一个元素对应于群Li的元素的集合f(i+1)(y)计算f(i+1)在群L(i+1)上的所有取值3i==r定义fr第2步的输出插值出P(x)d是多项式P(x)的度保存d+1个多项式P(x)的系数a0~adCommit阶段终止4i<r定义f(i+1)按照第2步的计算方式保存f(i+1)的值，在群L(i+1)进入下一步循环Query

verifierinputR/η/Li/RSi/xi/fi/P(x)见Commitlquery次数重构fr获取a0~ad，重构P`(x)计算P`(x)在群Lr上的所有取值，并赋值给fr，注fr满足RSrrepeatltimesi={0~r-1}Si满足s(i+1)=q0(x)的x的集合i={0~r-1}在Si上，插值出Pi(x)roundconsistencychecki={0~r-1}f(i+1)(s(i+1))=Pi(xi)都成功，则验证通过下面，以η=1为例，FRI协议的两个阶段的过程如图2所示：

由以上流程可以看出：

针对每一轮的一致性的校验，确保了原始多项式f0的确满足d<ρ*2^n上述协议重复l次，可以大大降低作恶者成功的概率总结

以上就是FRI协议的具体过程，可以看出，验证复杂度满足对数关系r=Log2(ρ2^n)。算法保证了，当且仅当原始多项式f0是小于ρ2^n时，所有的roundconsistency校验才会通过。真正的实现可能略有差别，具体的可以参考DEEP-FRI论文，相对于FRI，DEEP-FRI在保持证明和验证的最优复杂度的同时，提高了系统的可靠性。结合本系列的前三篇的文章，总结ZK-STARK的算法如下：

算法分为两部分：算术化和LDT算术化把问题转换位多项式相等以及多项式的LDT问题LDT阶段使用FRI协议，保证线性级的证明复杂度和对数级的验证复杂度零知识属性保证验证者不能访问轨迹多项式里的点，轨迹多项式里保存着隐私值同时为了保证零知识属性，需要对轨迹多项式附加数行随机值，由验证者和证明者协商确定整个过程，不需要第三方的CRS整个过程，不依赖任何数学难题附录

官方FRI的简单介绍?https://medium.com/starkware/low-degree-testing-f7614f5172db

FRIpaper?https://eccc.weizmann.ac.il/report/2017/134/

DEEP-FRIpaper?https://arxiv.org/abs/1903.12243https://en.wikipedia.org/wiki/Reed%E2%80%93Solomon_error_correction

标签：SOLCOMSTIMITSOLX价格COMOS币STIC币MITX价格

币安币热门资讯