发表评论
54,901 views

A+

所属分类：区块链

近期NOVA作为当前ZK领域热门的Folding Scheme解决方案，备受工业界追捧，该系列专题将逐一拆解它：

希望通过详尽且直白的逻辑能够把NOVA整个框架的设计理念传达到读者，最终落地到实际的crypto应用场景中。

其中前两个主题为crypto primitives，后四个主题为NOVA论文中的主线内容。本章节内容基本上是上两个章节NIFS 和Circuit的整合，在整个SNARK里面，这部分对应的是SNARK Prover，后面加入CompressedSNARK 后就是一套完整的zkSNARK了。

!建议：最好配合着paper去理解，paper上找不到的答案或许这里可以给你-_-

你可能已经知晓的

上一章节中，我们把电路部分，也就是 Primary NIFS.Verifier 和 Secondary NIFS.Verifier 单独拎了出来。本章节我们会加入离线部分，也就是Primary NIFS.Prover和 Secondary NIFS.Prover，使得NOVA整个fold scheme更加完整。

宏观结构

先上一张完整版的交互逻辑图

重点明确这么几点：

SNARK Prover 这边本质上就是一套NIFS 框架，分离线和线上(电路)两部分
离线部分对应到图中的NIFS.Prover，它的输入为 $(U, u, W, w)$
线上部分对应到图中的NIFS.Verifier，电路程序，它的输入为 $(U, u)$
每个step 包含两个NIFS，Primary NIFS 和 Secondary NIFS

它们分别包含上面提到的分离线和线上两部分，Primary NIFS.Prover、Primary NIFS.Verifier 和 Secondary NIFS.Prover、Secondary NIFS.Verifier

Primary NIFS与 Secondary NIFS之间的唯一的交互就是从电路Constrain System 中抽离出来的 $(u, w)$

当前step 的Primary 电路CS中抽离出来的 $(u, w)$ 交给当前step 的Secondary NIFS，当前step 的Secondary 电路CS中抽离出来的 $(u, w)$ 交给下一个step 的Primary NIFS

NIFS Prover 与 NIFS Verifier

关于NIFS Prover 与 NIFS Verifier之间的关系，在上章节NIFS 中"为什么要有NIFS Verifier电路" 和 “谁来校验fold的结果” 已经表达得很清晰了，这里我们明确这么几点：

NIFS Verifier电路是离线NIFS Prover 的线上版本，只是fold的Instance，没有Witness而已
当前step 的 NIFS Verifier电路在fold Instance 之前，会校验上一个step 离线NIFS Prover fold后的Instance $U^{'}$ 与线上NIFS Verifier(电路)fold后的Instance $U^{''}$ 是否相等

U^{p r ma ry'} == U^{p r ma ry''} {if true we can say U^{p r ma ry''} is satisfiable only if U^{p r ma ry'} if false we can say U^{p r ma ry''} is not satisfiable ⟵ s a t i s f iab l e W^{p r ma ry'}

Primary NIFS 与 Secondary NIFS

我们在上一章节NIFS中大概勾画出Primary NIFS Verifier 与 Secondary NIFS Verifier两个电路的交互逻辑，同样，这里我们补上离线部分，Primary NIFS Prover 与 Secondary NIFS Prover。

【Primary NIFS Prover】接收上一个step 中Secondary NIFS Verifier电路的吐出来的R1CS Instance，离线进行fold操作，被fold的relaxed R1CS Instance 为上一个step 中Primary NIFS Prover fold后的结果。同样 $(W, w)$ 为对应的Witness。

(U^{seco n d a ry}, W^{seco n d a ry}) (u^{seco n d a ry}, w^{seco n d a ry})} ⟹ F o l d (2 ◯ U^{seco n d a ry'}, W^{seco n d a ry'})

【Primary NIFS Verifier 电路】接收上一个step 中Secondary 电路的吐出来的R1CS Instance，线上进行fold 操作；被fold的relaxed R1CS Instance 为上一个step 中Primary NIFS Prover fold后的结果。

U^{seco n d a ry} u^{seco n d a ry} 1 ◯ u^{seco n d a ry} . x [0] = ? 1 ◯ H (U^{seco n d a ry}) ⎭ ⎬ ⎫ z^{i + 1} = F (z^{i}) ⟹ F o l d ⎩ ⎨ ⎧ 2 ◯ u^{seco n d a ry} . x [1] ⟶ u^{p r ima ry'} . x [0] 3 ◯ U^{seco n d a ry''} ⟶ H a s h u^{p r ima ry'} . x [1] w^{p r ima ry'}

【Secondary NIFS Prover】接收当前step中Primary NIFS Verifier电路的吐出来的R1CS Instance，离线进行fold操作；被fold的relaxed R1CS Instance 为上一个step 中Secondary NIFS Prover fold后的结果。同样 $(W, w)$ 为对应的Witness。