关于Nove 系列方案介绍

作者: 雪落无留痕 | 来源:发表于2023-09-25 14:47 被阅读0次

目前folding 方案取得了一系列进展，可以实现IVC (Incrementally Verifiable Computation)，主要有以几种方案：

Nova: 对R1CS实现folding；
Sangria : Nova 方案推广到PLONKish 电路；
SuperNova: 广义的Nova;
HyperNova: 通过sum-checks和 CCS (customizable constraint system) 实现folding的方案；
ProtoStar: 对于Nova 和 Sangria 实现高效广义化。

递归SNARK 允许通过一个SNARK 证明另外SNARK 证明的验证。主要有三方面的应用：

其中内部电路一般比较大，主要生成知道witness的证明，一般证明生成速度比较快，证明比较大。对于外部电路，主要生成知道proof 的证明，一般证明生成速度比较慢，证明比较小。

需要保证验证电路（外部电路）比statement 电路（内部电路）的尺寸非常小才行。

主要用于zkRollup之中，不必为所有的交易生成一个单一的证明，而是分组生成证明并聚合，直到最后的证明。

IVC 可以将比较长的迭代计算聚合成一个证明，验证最终状态的正确性。

生成电路的证明包含两部分： $F(s_{n-1}, w_n)= s_n$ 和 $V(vp, (n-1, s_0, s_{n-1}), \pi_{n-1})=true$

IVC 可以用在以下方面：

但是构建电路C 去验证 $V(vp, x, \pi)$ 验证算法，其中对多项式承诺的估计证明计算代码较高。

ZK-SNARKs的演化过程为：

Nova 通过对R1CS 进行folding 实现递归。通过Folding，可以将两个实现压缩成一个，并生成压缩正确性的证明。

对于R1CS程序 $A, B, C$ ，公开输入为 $x$ ， witness 为 $w$ , $z=(x, w)$ ，则 $(Az)\bigcirc(Bz)=Cz$ , 其中 $\bigcirc$ 是Hardmard 乘积。

为了方便folding，引入Relaxed R1CS 方案，即：

Folding的过程为：

使用随机数 $r$ , 使得：(1) $x=x_1+r*x_2$ ; (2) $u=u_1+r*u_2$ ; (3) $E=E_1+rT+r^2*E_2$ , 其中 $T$ 为cross-term。
计算 $z = z_1 + r * z_2 = (x_1 + r*x_2, w_1 + r*w_2)$ ;
计算 $(Az)\bigcirc(Bz)$ ;
则满足 $(Az)\bigcirc(Bz)=u(Cz) + E$ ；