1. 소개

서문 블로그는 다음과 같습니다.

관련 논문은 다음을 참조하세요.

Srinath Setty(Microsoft 연구 센터), Justin Thaler(a16z 암호화 연구 센터 및 조지타운 대학), Riad Wahby(카네기 멜론 대학) 2023년 논문 " Unlocking the lookup singularity with Lasso "
Arasu Arun(뉴욕 대학), Srinath Setty(Microsoft 연구 센터), Justin Thaler(a16z 암호화 연구 센터 및 조지타운 대학) 2023년 논문 "Jolt: SNARKs for Virtual Machines via Lookups "

해당 오픈 소스 코드 구현에 대해서는 다음을 참조하세요.

https://github.com/a16z/Lasso (러스트)

이 글의 전체적인 구조는 다음과 같습니다.

조회 인수란 무엇입니까?
올가미/졸트란 무엇인가요?
올가미 세부정보
충격 세부 사항
올가미를 도구로 생각하는 방법은 무엇입니까?
- 그리고 zkVM 외부에서 조회 인수의 적용 시나리오는 무엇입니까?

2. 조회 인수란 무엇입니까?

조회 인수는 다음과 같이 나눌 수 있습니다.

1) 색인화되지 않은 조회 인수:
- 为부분 집합 관계 증명，即，배치 집합-멤버십 증명—— $테이블$ _ $t$ 의 특정 하위 집합 .
2) 색인 조회 인수: [Lasso 및 Jolt는 색인 조회 인수를 사용합니다.]
- 읽기 전용 메모리에서 읽는 경우. 수도 있지 $t$ 는 메모리로 간주됩니다. $a_i=t[b_i]$ $b_i를$ 읽는다는 뜻입니다. $비$ 메모리 셀의 값입니다.

범위 확인을 예로 들면 조회 인수는 다음을 참조합니다.

1) 令 $t=(0,1,2,3,\cdots,2^{128}-1)$ 갖고 있기 때문에 $N개의$ 테이블 요소로 구성된 벡터(예: $t$ 为미리 결정된 테이블).
2)令 $ma\in\mathbf{F}^m$ 위 표에 포함되어야 하는 값들의 목록이다.
3) 검증인 알려진 $V$ $cma$ $cm_a$ 의 약정 값 $cm_$ 。
4) 증명자 $P$ 주장: $a$ 의 모든 요소는 $에$ .
증명자 $P는$ $cm_a를$ 알고 있다고 주장합니다. $cm_$ 오프닝 $a$ , 이는 다음과 같습니다:
- 각각의 $i=0,\cdots, m-1$ 에는 인덱스 $b_i\in\{0,1,\cdots, N-1\} 이$ , 사용 $a_i = t [b_i]$ 。
5) 이 조회 인수는 일반적으로 색인화되지 않은 조회 인수라고 합니다.

indexed 조회 인수는 검증할 요소에 인덱스 값이 추가됨을 의미하며, indexed 조회 인수는 다음과 같이 정의됩니다. [검증자는 테이블 $t$ 에 대한 간결한 설명입니다]

1) 令 $nt\in\mathbf{F}^n$ 과 함께 $N개의$ 테이블 요소로 구성된 벡터(예: $t$ 为미리 결정된 테이블).
2) 증명자 $P$ 쌍 벡터 $((a_1,b_1),\cdots,(a_m,b_m))$ 커밋합니다.
3) 증명자 $P는$ $mi=1,\cdots,m$ 에 대해 주장합니다. $나 = 1, \dots, m$ ，유 $a_i=t[b_i]$ . 【즉 $a_i$ 为값， $b_i$ 에 해당 $t$ 의 인덱스 번호 $P는$ 주장합니다. $a$ 의 모든 요소는 $t$ 의 해당 인덱스입니다]

3. 올가미/졸트란 무엇인가요?

올가미: (인덱싱된) 조회 인수 집합의 경우:

올가미 증명자 $P$ 는 이전 방식보다 훨씬 빠릅니다.
- 증명자 $P$ 의 주요 병목 현상은 커밋 오버헤드입니다.
올가미 증명자 $P는$ 더 적은 수의 필드 요소를 커밋하며 커밋할 모든 필드 요소는 작습니다.
에 대한 약속 없음많은 테이블에는 필요 $하지 않습니다 .$ [많은 수의 조회 테이블(Jolt에 필요)의 경우 정직한 당사자가 테이블을 커밋하고 전처리할 필요가 없습니다. Lasso 기반 Verifier는 테이블의 약속된 값을 받는 대신 자체적으로 거대한 테이블(50/100/200 정도의 필드 작업만 필요)을 처리할 수 있습니다. ]
대규모 테이블(분해 가능 또는 LDE 구조) 지원:
- 증명자 $P$ 에 대한 커밋 오버헤드는 $O(c(m+N^{1/c}))$ 필드 요소.
- 테이블 분해에는 주로 Prover 오버헤드의 두 가지 측면이 있습니다. 일반적으로 $씨 = 6$ 오버헤드의 두 가지 측면의 균형을 맞추려면 다음을 수행합니다.
  - 테이블 크기의 오버헤드에만 의존함
  - 조회 시간의 오버헤드에만 의존함

Jolt: 새로운 zkVM 기술의 경우:

졸트 프루버 $P$ 의 커밋 오버헤드 는 이전 방식보다 훨씬 낮습니다.
원시 명령어는 단일 명령어의 전체 평가 테이블을 조회하여 구현됩니다.

4. 올가미 세부정보

4.1 올가미 오버헤드 세부사항

사이즈의 경우 $N$ , 매개변수 $c$ 테이블 , do $m$ 차 indexed lookup:

올가미 증명자 $P$ 오버헤드는 다음과 같습니다: $3cm+cN^{1/c}$ 필드 요소입니다.
- 모든 필드 요소는 작습니다. 즉, 집합 $\{0,1,\cdots,m\} 에 있습니다.$ in:
  - MSM 기반 다항식 커밋 방식, Lasso Prover $각 (작은) 커밋된 필드 요소에 대해 P는$ 약 1개의 그룹 작업만 수행하면 됩니다.
    현재 MSM 기반 다항식 확약 방식은 다음과 같습니다.
    - KZG 기반 다항식 확약 방식
    - IPA/Bulletproofs 다항식 약속 체계
    - Hyrax 다항식 약속 체계
    - Dory 다항식 약속 체계
올가미 검증기 $V$ 비용은 다음과 같습니다.
- $O(\log m)$ 현장 작업 및 해시 평가(Fiat-Shamir에서).
- ＋ 1个크기 $N^{1/c} 의 커미트 다항식에 대한 평가 증명$ 。
- 합성/재귀를 통해 위의 충분히 낮은 Lasso Verifier $V$ 오버헤드가 더욱 감소됩니다.

c=1 일 때 $씨 = 1$ , Lasso - Basic-Lasso의 특별한 경우에 해당:

기본-올가미 증명자 $P$ 에서 $중 + N개의$ 필드 요소가 커밋됩니다.
이 $중 + N개의$ 필드 요소 중 다수는 0입니다. MSM 기반 다항식 커밋 방식에서는 0이라는 값을 커밋하는 비용도 0, 즉 '무료'이다.
이 $중 + N개의$ 필드 요소 중 최대 $2m 는$ 0이 아닌 값입니다.
- 매번 다른 테이블 셀을 읽으면 $m$ 필드 요소는 1이고 나머지 요소는 0입니다.

4.2 거대한 테이블에 올가미 사용하기: $씨 > 1$

실제로 대부분의 대규모 조회 테이블은 분해 가능합니다 .

으로 설정 가능 $N^{1/c}$ $로 분해된 N$ 테이블 $N^{1/ c}$ 의 테이블은 약 $c$ 번 조회한 다음 $c$ 조회 결과:
- Lasso는 합계 확인 프로토콜을 사용하여 "정렬"합니다. $c$ 조회 결과. 그럼 Lasso Prover $P$ , 추가 약정 오버헤드가 없습니다.

로 간주될 수 있습니다. $씨 > 1.$ 하나의 크고 분해 가능한 테이블을 조회하는 경우 여러 개의 작은 테이블에 대한 축소는 $c$ 조회:

작은 테이블의 경우 모든 조회 인수를 사용할 수 있습니다.
- 작은 테이블의 경우 Lasso에서는 Basic-Lasso 조회 인수 체계가 사용됩니다.
추가 참고 사항: 작은 테이블 조회 인수는 인덱싱되어야 합니다.
인덱싱되지 않은 조회 인수를 인덱싱된 조회 인수로 변환하는 현재 알려진 솔루션입니다.
- 그러나 이러한 알려진 체계는 테이블 항목의 "작음"을 유지하지 못하거나 큰 테이블의 분해 가능성을 유지하지 못합니다. 그 이유는 이러한 체계가 인덱스와 값을 단일 필드 요소로 "포장"하기 때문입니다.

[교정 크기는 테이블 수나 작은 테이블의 크기에 따라 달라지지 않습니다. 검증자는 임의의 지점에서 각 작은 테이블의 다중 선형 확장 다항식을 평가해야 합니다. 작은 테이블 수의 증가로 인해 검증자 시간이 늘어나게 되지만 이는 현장 작업이므로 다른 암호화 작업과 비교하면 그렇지 않습니다. Verifier의 병목 현상이 됩니다.
Jolt에는 약 45개의 서로 다른 하위 테이블이 있습니다.
]

4.3 배경: 총생산 논증

알려진 모든 조회 인수는 총곱 인수를 취합니다 .

총곱 논증은 $n$ 커밋된 값의 곱입니다.
요즘 인기 있는 대상품 논증, Prover $P에는$ 쌍이 필요합니다. $N$ 값(부분 제품)이 커밋됩니다.
이것은 불필요합니다.
T13 논문에서: GKR 프로토콜의 최적화된 버전이 제공됩니다(소위 GKR 프로토콜은 회로 평가를 위한 합계 검사 기반 대화형 증명입니다). [곱셈 게이트의 이진 트리와 유사한 회로가 최적화되었습니다. ]
- 증명자 $P$ 약정 오버헤드가 없습니다.
- 증명자 $P는$ 선형 순서의 현장 작업을 수행합니다.
- 증명 크기/검증기 $V$ 시간为 $O(\log(n)^2)$ 현장 작업(및 Fiat-Shamir의 해시 평가):
  - 보다 훨씬 작습니다. $브이$ 타임。
  - [이세티 2019]中将Verifier $V$ 오버헤드는 약 $O(\log(n))$ $,$ 늘리면 됩니다. $P$ 에 대한 약간의 커밋 오버헤드

4.4 기본-올가미 핵심 포인트

기존의 많은 조회 인수에 대해 T13에 대해 호출된 총곱 인수를 교체하면 Prover $P는$ 작은 필드 요소만 커밋하면 됩니다.
- 자세한 내용은 로그 도함수를 기반으로 한 Ulrich Hab¨ock의 logUp-Multivariate 조회를 참조하세요 . 로그 도함수를 사용하면 총곱 인수가 총합 인수로 변환됩니다.
- 단순히 거대한 제품 논쟁을 바꾸는 것보다 더 많은 것이 관련되어 있습니다.
Lasso/Jolt는 작은 테이블 조회 결과를 큰 테이블 결과로 "조합"하기 위해 인덱스된 조회 인수를 사용해야 합니다.
피하기 위해 합계 확인의 잠재력을 아직 완전히 활용하지 못하고 있습니다. $P$ 오버헤드.
Basic-Lasso의 작동 원리는 다음을 참조하세요.
- Lasso, Jolt 및 Lookup Singularity - 2부

5. 충격 세부 사항

현재 VM 실행의 프런트엔드:

증명자 $P는$ 단위로 컴퓨터 프로그램을 실행한다고 주장합니다. $m$ 걸음：
- 프로그램은 VM의 어셈블리 언어로 작성됩니다.
- 널리 사용되는 대상 지향 VM은 RISC-V, EVM(Ethereum Virtual Machine)입니다.
현재 프런트 엔드는 각 계산 단계에 대한 회로를 생성합니다.
- 1단계: 이 단계에서 어떤 명령을 실행해야 하는지 지적합니다.
- 2단계: 명령을 실행합니다.
그리고 Lasso는 위의 2단계를 단일 조회로 대체합니다.
- 각 명령어에 대해 해당 명령어에 대한 전체 평가 테이블이 이 테이블에 저장됩니다 .
- 명령이 $f$ 에는 2개의 64비트 입력이 있고 각 64비트 입력 쌍 $(엑스, y)$ , 조회 테이블은 모든 $에프 (엑스, y)$ ：
  - 조회 테이블 크기는 $2^{128}$ 。
  - Jolt에 표시된 것처럼 모든 RISC-V 명령어는 분해 가능합니다.

Jolt 개요 그림은 다음과 같습니다. Jolt는 Barry Whitehat의 Lookup Singularity 비전을
여기에 이미지 설명을 삽입하세요
실현할 것으로 예상됩니다 .

감사가 용이하고 단순화되며 확장성이 있다는 장점이 있습니다.
성능상의 이점
zkVM을 구축하는 본질적으로 다른 방법:
- 지금 사람들이 하는 일과 비슷한 점이 많습니다.
- 사람들의 비전은 비트 AND와 같은 계산 기능을 작은 테이블의 다중 조회로 변환하고 결과를 결합하는 것입니다.
- Jolt의 주요 차이점은 다음과 같습니다.
  - a) 새로운 작은 테이블 조회 인수는 훨씬 더 빠른 Jolt Prover $피$ 。
  - b) 새로운 작은 테이블 조회 인수는 자연스럽게 인덱싱됩니다.
  - c) 졸트 프루버 $P는$ 훨씬 빠른 대조 기술을 가지고 있습니다.
    - 작은 테이블 조회 결과에 대해 "무료" 곱셈 및 덧셈을 수행할 수 있습니다.
- Jolt의 이러한 차이점을 통해 조회를 사용하여 VM 에뮬레이션의 거의 모든 것을 실현할 수 있습니다 .

5.1 충격 분해 예제 1 - 비트별 AND

두 개의 64비트 입력 $엑스, y$ 의 비트 AND 원시 산

将 $엑스, y는$ 로 분해됩니다. $씨 = 8개의$ 청크, 각 청크는 8비트를 갖습니다.
각 청크의 비트 AND 계산
각 청크의 결과를 연결하면 출력은 다음과 같습니다.
$\sum_{i=1}^{8}8^{i-1}\cdot \text{ 비트AND}(x_i,y_i)$

정직한 당사자가 하위 테이블을 커밋할 필요가 없도록 하려면 다음을 수행하십시오.

$\text{bitwiseAND}(x_i,y_i)=\sum_{j=1}^{8}2^{j-1}\ cdot x_j\cdot y_j$ 이는 25개 미만의 현장 연산으로 평가할 수 있는 다중선형 다항식입니다.
올가미 검증기 $V는$ 하위 테이블을 알아야 하며 다항식의 평가만 알면 됩니다.

5.2 충격 분해 예 2 - RISC-V 추가

두 개의 64비트 숫자 $엑스, y$ 합계에서 RISC-V는 추가가 정확하고 "오버플로 비트"를 무시한다고 규정합니다.

Jolt(보조 R1CS에 제약 조건 추가)는 유한 필드에서 $지 = 엑스 + y$ 그런 다음 조회를 사용하여 해당 오버플로 비트를 식별하고, 오버플로 비트가 있으면 그에 따라 해당 결과를 조정합니다.

졸트 프루버 $P$ , 对 필드 요소 $지 = 엑스 + y$ 의 "사지 분해" $(b_1,\cdots,b_c)$ 커밋합니다.
$M=2^{64/c}$ 라고 하자 $중 = 2^{64/ c}$ 는 사지당 최대값입니다.
R1CS에 제약 조건을 추가하여 확인합니다.
- 1단계: $bjz=\sum_{j=1}^{c}M^{j-1}\cdot b_j$
- 2단계: 그리고 각 $b_j$ $\{0,\cdots,M-1\} 을$ 저장합니다 . ${0, \dots, 중 - 1}$ 의 하위 테이블은 범위 확인을 수행합니다.
$b_1,\cdots,b_j 가$ 보장될 수 있습니다. $비, \dots, 비$ 사실 $z$ 의 규정된 사지 분해
$b_c$ 만 조회하면 됩니다. $비$ 있는 테이블로 $i$ 의 관련 상위 비트를 뱉어냅니다. $나는$ 。

5.3 충격 분해 예 2 - LESS THAN UNSIGNED

2개의 64비트 입력 $엑스, y는$ 작업보다 적은 작업을 수행합니다.

将 $엑스, y는$ 로 분해됩니다. $씨 = 8개의$ 청크, 각 청크는 8비트를 갖습니다.
각 청크의 LESS-THAN(LT) 및 EQUALITY(EQ)를 계산합니다.
계산: $\sum_{i=1}^{8}2^{i-1} \cdot \text{LT}(x_i,y_i)\prod_{j=i+1}^{8}\text{EQ}(x_j,y_j)$

2개의 하위 테이블 커밋을 방지하려면 다음을 수행하세요.

$\text{EQ}(x_j,y_j)=\prod_{k= 1}^{8}(x_{j,k}y_{j,k}+(1-x_{j,k})(1-y_{j,k}))$
$\text{LT} (x_i,y_i)=\sum_{k=1}^{8}(1-x_i)y_i\prod_{z=k}^{8}(x_{i,k}y_{i,k}+(1 -x_{i,k})(1-y_{i,k}))$
이는 50개 미만의 필드 연산으로 평가할 수 있는 다중선형 다항식입니다.

6. 올가미를 도구로 생각하는 방법은 무엇입니까? 그리고 zkVM 외부에서 조회 인수의 적용 시나리오는 무엇입니까?

6.1 도구로서의 올가미의 직관

없이 필드 요소의 비트 분해에 대한 간단한 작업을 지원합니다. $P는$ 각 비트를 커밋합니다.
각 하위 테이블이 테이블 인덱스(의 비트)에 대한 간단한 함수에 해당하는 경우 하위 테이블에는 빠르게 평가 가능한 다중 선형 확장이 있습니다.
- 이렇게 하면 정직한 당사자가 전처리 중에 이러한 하위 테이블을 커밋할 필요가 없습니다.
2개의 필드 요소 값은 $\{0,1,\cdots,2^{64}-1\} 입니다.$ 의 bitwiseAND 연산은 Plonk의 각 덧셈 또는 곱셈 게이트의 오버헤드와 비교할 때 Lasso Prover의 오버헤드가 더 낮습니다.
참고: 조회 인수는 규모의 경제입니다. 하나의 테이블에 대해 많은 조회를 수행하는 데 적합합니다(예: 동일한 함수에 대한 여러 호출).

6.2 인덱스 조회 인수를 반복 함수 평가의 SNARKs 방식으로 처리

이전에도 "반복 기능 평가를 위한 SNARK"에 대한 많은 연구가 있었습니다.

다양한 입력 $x_1,\cdots,x_m 기반$ , 동일한 함수 $에프$ 。
이를 "다항식" 양의 데이터 병렬 처리로 생각하십시오.
- 함수가 $f$ 입니다. $n$ 인 경우 서로 다른 입력값의 개수는 $m=\text{poly}(n)$ 。
증명자 $P$ 평가 $f$ 매우 구체적인 방식으로:
- 계산하기 위해 특정 회로 실행 $에프$ 。

조회 인수에 대한 새로운 관점:

조회 테이블을 함수 $f$ 의 모든 평가
의 고도로 반복된 평가 를 위한 조회 인수 则为a SNARK $에프$ :
- 증명자 설명, 커밋된 벡터 $((a_1,f(a_1)),\cdots,(a_m,f(a_m)) )$ , 다른 입력 $a_1,\cdots,a_m$ 올바른 $f$ 평가。
올가미 증명자 $P$ $O(c(m+N^{1/c}))$ 입니다 $O (씨 (엠 + N^{1/ c}))$ , 조회 횟수 $m$ 보다 크지 않습니다. $N$ , 너무 작은 경우 Lasso Prover $P$ 는 효율적입니다.
- 실행 $f$ 의 입력 크기에 대해 지수적이어야 합니다. $에프$ 。

7. 요약

Lasso는 동일한 기능이 여러 번 평가되는 시나리오에 적합합니다.
zkVM은 Lasso의 애플리케이션 시나리오 중 하나일 뿐입니다.
- 정의에 따르면 VM 추상화는 기본 명령어의 반복 실행 계산을 나타냅니다.
- VM 추상화를 구현하면 일반적으로 상당한 성능 오버헤드가 발생합니다.
향후 관심 방향:
- 계산에서 반복되는 구조를 분리하는 다른 더 나은 방법
- 예시 작업은 다음과 같습니다.
  - 비트 슬라이싱
  - 해시 함수 또는 블록 암호(예: SHA/AES)를 평가하여 64개의 서로 다른 입력이 있는 부울 회로 $C를$ 계산하려면 다음을 수행합니다.
    - 각 입력의 첫 번째 비트를 단일 필드 요소로 묶고, 각 입력의 두 번째 비트를 단일 필드 요소로 묶는 식으로 진행됩니다.
    - 将서킷 $C$ 의 각 AND 게이트에 대해 $C$ 의 모든 OR 게이트는
    - 약 $C$ 의 각 게이트 출력은 SHA/AES의 64개 평가 중 1비트입니다.
    - 对서킷 $C$ 에서는 올가미를 사용합니다.

참고자료

[1] Justin Thaler는 2023년 8월 zkStudyClub 에서 zkStudyClub - Lasso/Jolt(Justin Thaler, Georgetown University/a16z)를
공유했습니다 .

Lasso+Jolt에 대해 자세히 알아보기

1. 소개

2. 조회 인수란 무엇입니까?

3. 올가미/졸트란 무엇인가요?

4. 올가미 세부정보

4.1 올가미 오버헤드 세부사항

4.2 거대한 테이블에 올가미 사용하기: $씨 > 1$

4.3 배경: 총생산 논증

4.4 기본-올가미 핵심 포인트

5. 충격 세부 사항

5.1 충격 분해 예제 1 - 비트별 AND

5.2 충격 분해 예 2 - RISC-V 추가

5.3 충격 분해 예 2 - LESS THAN UNSIGNED

6. 올가미를 도구로 생각하는 방법은 무엇입니까? 그리고 zkVM 외부에서 조회 인수의 적용 시나리오는 무엇입니까?

6.1 도구로서의 올가미의 직관

6.2 인덱스 조회 인수를 반복 함수 평가의 SNARKs 방식으로 처리

7. 요약

참고자료

저스틴 탈러 블로그 시리즈

조회 시리즈 블로그

추천

Lasso+Jolt에 대해 자세히 알아보기

1. 소개

2. 조회 인수란 무엇입니까?

3. 올가미/졸트란 무엇인가요?

4. 올가미 세부정보

4.1 올가미 오버헤드 세부사항

4.2 거대한 테이블에 올가미 사용하기: c > 1 c>1씨>1

4.3 배경: 총생산 논증

4.4 기본-올가미 핵심 포인트

5. 충격 세부 사항

5.1 충격 분해 예제 1 - 비트별 AND

5.2 충격 분해 예 2 - RISC-V 추가

5.3 충격 분해 예 2 - LESS THAN UNSIGNED

6. 올가미를 도구로 생각하는 방법은 무엇입니까? 그리고 zkVM 외부에서 조회 인수의 적용 시나리오는 무엇입니까?

6.1 도구로서의 올가미의 직관

6.2 인덱스 조회 인수를 반복 함수 평가의 SNARKs 방식으로 처리

7. 요약

참고자료

저스틴 탈러 블로그 시리즈

조회 시리즈 블로그

추천

4.2 거대한 테이블에 올가미 사용하기: $씨 > 1$