零知识证明之书

2025年02月27日更新 28 人订阅
原价: ¥ 144 限时优惠
专栏简介 P vs NP 及其在零知识证明中的应用 ZK的算术电路 用于零知识证明的有限域与模运算 为程序员准备的基础集合论 抽象代数 程序员的基本群论 同态映射 椭圆曲线点加法 有限域上的椭圆曲线 Python、Solidity 和 EVM 中的双线性配对(Bilinear Pairings) 将代数电路转换为R1CS(一阶约束系统) 从R1CS构建零知识证明 使用Python实现拉格朗日插值 Schwartz-Zippel 引理及其在零知识证明中的应用 二次算术程序 在Python中将R1CS转换为有限域上的二次算术程序(QAP) 可信设置 在可信设置中评估和二次算术程序 Groth16 详解 Circom 零知识电路简介 Circom 之 Hello World Circom模板参数、变量、循环、If语句、断言 二次约束 - Circom Circom中的符号变量 Circom 中间信号与子组件 先指示再约束 - 在 Circom 中复杂约束条件的方法 先计算,后约束 - ZK 电路设计模式 Circom循环中的组件 使用虚假证明攻击欠约束的Circom电路 Circomlib中的AliasCheck和Num2Bits strict Circom 中的条件语句 Quin Selector(选择器) ZK 中有状态计算简介 在Circom中交换数组中的两个条目 选择排序的零知识证明 在 ZK 中建模栈数据结构 - 如何在 Circom 中创建一个堆栈 ZKVM 的工作原理 ZK中的32位仿真 Circom 中的 MD5 哈希 零知识证明友好的哈希函数 排列论证 - The Permutation Argument Tornado Cash 的工作原理(开发者逐行解析) BulletProofs 详解 什么是Pedersen承诺及其工作原理 多项式承诺通过 Pedersen 承诺实现 零知识乘法 内积的零知识证明 向量承诺的简洁证明 对数大小的承诺证明 Bulletproofs零知识证明:内积的零知识与简洁证明 内积代数 通过随机线性组合减少等式检查(约束)的数量 范围证明

内积代数

  • RareSkills
  • 发布于 2024-11-04 10:40
  • 阅读 1403

文章介绍了在推导范围证明和编码电路时,内积运算的一些有用代数技巧,并提供了每个规则的简单证明。

在这篇文章中,我们提供了一些对于内积的有用代数技巧,这些技巧将在后面推导范围证明(以及将电路编码为内积)时非常有用。每条规则将附带一个简单的证明。

记号

加粗变量,如 $\mathbf{a}$,表示一个向量。未加粗的变量,如 $v$,表示一个标量。操作符 $\circ$ 是两个向量的 Hadamard 乘积(逐元素相乘),即 $[a_1, \dots, a_n]\circ[b_1, \dots, b_n] = [a_1b_1, \dots, a_nb_n]$。我们使用简写“lhs”和“rhs”分别表示一个方程的“左侧”和“右侧”。“加数”是加法中的一个元素,例如如果 $a + b = c$,那么 $a$ 和 $b$ 被称为加数。$\mathbf{1}$ 向量是一个全为 1 的向量,即 $[1, 1, \dots, 1]$。除非另有说明,所有向量隐含为相同的长度 $n$。

规则 1:一个向量是向量之和的内积可以展开

假设我们正在计算一个内积,其中一个向量是两个向量的和——例如 $\langle\mathbf{a} + \mathbf{b}, \mathbf{c}\rangle$。我们可以将其拆分为两个内积的和:$\langle \mathbf{a} + \mathbf{b}, \mathbf{c} \rangle = \langle \mathbf{a}, \mathbf{c}\rangle + \langle \mathbf{b}, \mathbf{c} \rangle$

证明:lhs 可以写成 $$ \sum_{i=1}^n(a_i+b_i)c_i $$

rhs 可以写成

$$ \begin{align} \sum_{i=1}^na_ici+\sum{i=1}^nc_ibi &=\sum{i=1}^n(a_ic_i+c_ibi) \\ &=\sum{i=1}^n(a_i+b_i)c_i \end{align} $$

规则 2:具有共同项的内积可以合并

下面 lhs 的两个内积有一个共同向量 $\mathbf{c}$。因此,它们可以合并: $$ \langle \mathbf{a}, \mathbf{c}\rangle + \langle \mathbf{b}, \mathbf{c} \rangle = \langle \mathbf{a} + \mathbf{b}, \mathbf{c} \rangle $$

这实际上是规则 1,仅左右两侧互换。

证明与规则 1 相同。

规则 3:将向量移到内积的另一侧

内积可以重写为 $\mathbf{1}$ 向量与原始向量的 Hadamard 乘积: $$ \langle \mathbf{a}, \mathbf{b} \rangle= \langle \mathbf{1}, \mathbf{a\circ b} \rangle $$

证明:

$$ \begin{align} \langle \mathbf{a}, \mathbf{b} \rangle&=\sum_{i=1}^na_ibi \\ \langle \mathbf{1}, \mathbf{a\circ b} \rangle&=\sum{i=1}^n1(a_ibi)\\ \sum{i=1}^na_ibi &= \sum{i=1}^n1(a_ib_i)\\ \end{align} $$

规则 4:我们可以向内积的一个项添加向量,以迫使两个内积具有共同项

假设我们在添加内积 $\langle\mathbf{x}, \mathbf{b}+\mathbf{c}\rangle$ 和内积 $\langle\mathbf{y}, \mathbf{b}\rangle$,并且内积的和为 $v$。注意它们有不同的分量,因此我们不能用规则 2 将它们相加。然而,以下等式

$$ \langle \mathbf{x}, \mathbf{b} + \mathbf{c}\rangle + \langle \mathbf{y}, \mathbf{b}\rangle = v $$

可以写为

$$ \langle \mathbf{x} + \mathbf{y}, \mathbf{b} + \mathbf{c}\rangle = v + \langle\mathbf{y},\mathbf{c}\rangle $$

在上面的场景中,我们可以向两侧添加 $\langle\mathbf{y},\mathbf{c}\rangle$。

$$ \begin{align} \langle \mathbf{x}, \mathbf{b} + \mathbf{c}\rangle + \langle \mathbf{y}, \mathbf{b}\rangle + \boxed{\langle\mathbf{y},\mathbf{c}\rangle}&= v + \boxed{\langle\mathbf{y},\mathbf{c}\rangle}\\ \langle \mathbf{x}, \mathbf{b} + \mathbf{c}\rangle + \langle \mathbf{y}, \mathbf{b}\rangle + \langle\mathbf{y},\mathbf{c}\rangle&= v + \langle\mathbf{y},\mathbf{c}\rangle \end{align} $$

现在我们有了共同的 $\mathbf{y}$ 项,我们可以使用规则 2 合并:

$$ \begin{align*} \langle \mathbf{x}, \mathbf{b} + \mathbf{c}\rangle + \langle \mathbf{\fbox{y}}, \mathbf{b}\rangle + \langle\mathbf{\fbox{y}},\mathbf{c}\rangle&= v + \langle\mathbf{y},\ma...

剩余50%的内容订阅专栏后可查看

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论

RareSkills

如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!