بالمقارنة مع SNARKs المعتمدة على منحنيات بيانية، يمكن اعتبار STARKs كـ SNARKs المعتمدة على التجزئة. أحد الأسباب الرئيسية لعدم كفاءة STARKs الحالية هو: أن معظم القيم في البرامج الفعلية صغيرة نسبياً، مثل الفهارس في حلقات for، والقيم الحقيقية/الوهمية، والعدادات، وغيرها. ومع ذلك، لضمان أمان الإثباتات المعتمدة على شجرة ميركل، يتم استخدام تشفير ريد-سولومون لتوسيع البيانات، مما يؤدي إلى احتلال العديد من القيم الزائدة الكاملة للنطاق، حتى لو كانت القيم الأصلية نفسها صغيرة جداً. لحل هذه المشكلة، أصبح تقليل حجم النطاق استراتيجية رئيسية.
كما هو موضح في الجدول 1، عرض ترميز الجيل الأول من STARKs هو 252 بت، وعرض ترميز الجيل الثاني من STARKs هو 64 بت، وعرض ترميز الجيل الثالث من STARKs هو 32 بت، ولكن عرض الترميز 32 بت لا يزال يحتوي على مساحة كبيرة من الهدر. بالمقارنة، يسمح المجال الثنائي بإجراء عمليات مباشرة على البتات، مما يجعل الترميز مضغوطًا وفعالًا دون أي مساحة هدر، وهو الجيل الرابع من STARKs.
الجدول 1: مسار تطور STARKs
| الجبر | عرض البت | ممثل |
|------|------|------|
| الجيل الأول | 252بت | ستارك وير |
| الجيل الثاني | 64 بت | Plonky2 |
| الجيل الثالث | 32بت | BabyBear |
| الجيل الرابع | 1bit | Binius |
بالمقارنة مع Goldilocks و BabyBear و Mersenne31 وغيرها من الاكتشافات الجديدة في السنوات الأخيرة في المجالات المحدودة، فإن دراسة الحقول الثنائية تعود إلى الثمانينيات من القرن الماضي. في الوقت الحالي، تم تطبيق الحقول الثنائية على نطاق واسع في علم التشفير، ومن الأمثلة النموذجية ما يلي:
معيار التشفير المتقدم (AES) ، يعتمد على مجال F28
رمز مصادقة الرسائل Galois ( GMAC )، قائم على مجال F2128
رمز الاستجابة السريعة، يستخدم ترميز ريد-سولومون المستند إلى F28
بروتوكول FRI الأصلي وبروتوكول zk-STARK، بالإضافة إلى دالة التجزئة Grøstl التي وصلت إلى نهائيات SHA-3، والتي تستند إلى مجال F28، هي خوارزمية تجزئة مناسبة للغاية للاستخدام المتكرر.
عندما يتم استخدام مجالات أصغر، تصبح عملية توسيع المجال أكثر أهمية لضمان الأمان. وتعتمد المجالات الثنائية المستخدمة من قبل بينيوس تمامًا على توسيع المجال لضمان أمانها وقابليتها للاستخدام الفعلي. معظم الحدود المتعددة المعنية في حسابات Prover لا تحتاج إلى الدخول في توسيع المجال، بل يمكنها العمل فقط في المجال الأساسي، مما يحقق كفاءة عالية في المجال الصغير. ومع ذلك، لا يزال يتعين على فحص النقاط العشوائية وحساب FRI التعمق في توسيع المجال الأكبر لضمان الأمان المطلوب.
عند بناء نظام إثبات يعتمد على الحقل الثنائي، هناك مشكلتان عمليتان: يجب أن يكون حجم الحقل المستخدم في حساب تمثيل السجل في STARKs أكبر من درجة كثير الحدود؛ وعند الالتزام بشجرة ميركل في STARKs، يجب القيام بتشفير ريد-سولومون، ويجب أن يكون حجم الحقل المستخدم أكبر من الحجم بعد التمديد التشفيري.
قدمت Binius حلاً مبتكرًا يعالج هذين المشكلتين بشكل منفصل، ويحقق ذلك من خلال تمثيل نفس البيانات بطريقتين مختلفتين: أولاً، باستخدام متعدد المتغيرات (، والذي هو في الواقع متعدد حدود متعدد الخطوط )، ليحل محل متعدد الحدود أحادي المتغير، من خلال قيمته على "الهيبركيوب" ( hypercubes ) لتمثيل المسار الحسابي بأكمله؛ ثانيًا، نظرًا لأن طول كل بعد من الهيبركيوب هو 2، فلا يمكن توسيع Reed-Solomon بشكل قياسي كما هو الحال مع STARKs، ولكن يمكن اعتبار الهيبركيوب مربعًا ( square )، وإجراء توسيع Reed-Solomon بناءً على هذا المربع. هذه الطريقة تعزز بشكل كبير كفاءة الترميز وأداء الحساب مع ضمان الأمان.
2 تحليل المبادئ
نظام بناء معظم SNARKs الحالي عادة ما يتضمن جزئين:
إثبات Oracle التفاعلي متعدد الحدود القائم على نظرية المعلومات (Information-Theoretic Polynomial Interactive Oracle Proof, PIOP): تعتبر PIOP جوهر نظام الإثبات، حيث تحول العلاقات الحسابية المدخلة إلى معادلات متعددة الحدود يمكن التحقق منها. تسمح بروتوكولات PIOP المختلفة من خلال التفاعل مع المدقق، بإرسال الإثبات تدريجياً للمعادلات المتعددة، مما يمكن المدقق من التحقق مما إذا كانت الحسابات صحيحة من خلال استعلام نتائج تقييم عدد قليل من المعادلات المتعددة. تشمل بروتوكولات PIOP الحالية: PLONK PIOP و Spartan PIOP و HyperPlonk PIOP، وكل منها لديها طريقة مختلفة لمعالجة التعابير متعددة الحدود، مما يؤثر على أداء وكفاءة نظام SNARK بأكمله.
خطة الالتزام المتعدد الحدود ( Polynomial Commitment Scheme, PCS ): تستخدم خطة الالتزام المتعدد الحدود لإثبات ما إذا كانت معادلة المتعدد الحدود التي تم إنشاؤها بواسطة PIOP صحيحة. PCS هي أداة تشفير، من خلالها يمكن للجهة المُثبِتة الالتزام بمقدار متعدد الحدود والتحقق من نتائج تقييم هذا المقدار في وقت لاحق، مع إخفاء معلومات أخرى عن المقدار المتعدد. تشمل خطط الالتزام المتعدد الحدود الشائعة KZG و Bulletproofs و FRI ( Fast Reed-Solomon IOPP ) و Brakedown وغيرها. تمتلك PCS المختلفة أداءً وأمانًا وسيناريوهات استخدام مختلفة.
يمكن اختيار PIOP و PCS مختلفين وفقًا للاحتياجات المحددة، ودمجهما مع مجال محدود مناسب أو منحنى بياني، لبناء أنظمة إثبات بخصائص مختلفة. على سبيل المثال:
• Halo2: عبارة عن دمج PLONK PIOP و Bulletproofs PCS، ويعتمد على منحنى Pasta. تم تصميم Halo2 مع التركيز على القابلية للتوسع وإزالة إعداد الثقة من بروتوكول ZCash.
• Plonky2: يعتمد على PLONK PIOP و FRI PCS ويستند إلى مجال Goldilocks. تم تصميم Plonky2 لتحقيق التكرار الفعال. عند تصميم هذه الأنظمة، يجب أن تتطابق PIOP و PCS المختارة مع المجال المحدود أو المنحنى البيضاوي المستخدم لضمان صحة النظام وأدائه وأمانه. لا تؤثر خيارات هذه التركيبات فقط على حجم إثبات SNARK وكفاءة التحقق، بل تحدد أيضًا ما إذا كان النظام يمكن أن يحقق الشفافية دون الحاجة إلى إعداد موثوق، وما إذا كان يمكن دعم إثباتات التكرار أو إثباتات التجميع كوظائف موسعة.
بينياس: HyperPlonk PIOP + Brakedown PCS + المجال الثنائي. على وجه التحديد، تتضمن بينياس خمس تقنيات رئيسية لتحقيق كفاءتها وأمانها. أولاً، يعتمد البناء الحسابي على المجال الثنائي (towers of binary fields)، مما يشكل أساس حساباتها، مما يمكنها من إجراء عمليات مبسطة داخل المجال الثنائي. ثانياً، في بروتوكول إثبات الأوركل التفاعلي (PIOP)، قامت بينياس بتعديل فحص الضرب والتبادل لـ HyperPlonk، مما يضمن التحقق المتسق بين المتغيرات وتباديلها بشكل آمن وفعال. ثالثاً، أدخل البروتوكول إثبات تبديل متعدد الخطوط جديد، مما يحسن من كفاءة التحقق من العلاقات المتعددة الخطوط على مجالات صغيرة. رابعاً، تعتمد بينياس نسخة محسنة من إثبات البحث Lasso، مما يوفر مرونة وأماناً قويين لآلية البحث. أخيراً، يستخدم البروتوكول نظام التزام متعدد الحدود على مجالات صغيرة (Small-Field PCS)، مما يمكنه من تحقيق نظام إثبات فعال داخل المجال الثنائي، ويقلل من المصاريف المرتبطة عادةً بالمجالات الكبيرة.
2.1 الحقول المحدودة: حساب مستند إلى أبراج الحقول الثنائية
تعتبر مجالات الثنائي الهرمي مفتاحًا لتحقيق حسابات سريعة وقابلة للتحقق، ويرجع ذلك أساسًا إلى جانبين: الحسابات الفعالة والتعظيم الفعال. تدعم مجالات الثنائي بشكل أساسي عمليات رياضية عالية الكفاءة، مما يجعلها اختيارًا مثاليًا للتطبيقات التشفيرية الحساسة لمتطلبات الأداء. بالإضافة إلى ذلك، تدعم بنية المجالات الثنائية عملية التعظيم المبسطة، أي أن العمليات المنفذة على مجالات الثنائي يمكن تمثيلها بشكل ضيق وسهل التحقق في شكل جبري. هذه الخصائص، بالإضافة إلى القدرة على الاستفادة الكاملة من ميزاتها الهرمية من خلال بنية البرج، تجعل مجالات الثنائي مناسبة بشكل خاص لأنظمة الإثبات القابلة للتوسع مثل Binius.
حيث أن "canonical" تشير إلى الطريقة الفريدة والمباشرة لتمثيل العناصر في المجال الثنائي. على سبيل المثال، في المجال الثنائي الأكثر أساسية F2، يمكن لأي سلسلة بطول k أن تُخَصص مباشرةً إلى عنصر من عناصر المجال الثنائي بطول k. وهذا يختلف عن المجال العددي الأولي، حيث لا يمكن أن يوفر هذا التمثيل القياسي في عدد محدد من البتات. على الرغم من أن المجال الأولي بطول 32 بت يمكن أن يحتوي على 32 بت، إلا أنه ليس كل سلسلة بطول 32 بت يمكن أن تتوافق بشكل فريد مع عنصر من عناصر المجال، بينما يتميز المجال الثنائي بهذه السهولة في التخصيص الواحد لواحد. في المجال الأولي Fp، تشمل طرق الاختزال الشائعة اختزال باركيت، واختزال مونتغومري، بالإضافة إلى طرق اختزال خاصة للمجالات المحدودة مثل Mersenne-31 أو Goldilocks-64. في المجال الثنائي F2k، تشمل طرق الاختزال الشائعة اختزال خاص ( كما هو مستخدم في AES )، واختزال مونتغومري ( كما هو مستخدم في POLYVAL ) واختزال متكرر ( كما هو موجود في Tower ). تشير الورقة "استكشاف مساحة تصميم ECC-Hardware Implementations في المجال الأولي مقابل المجال الثنائي" إلى أن المجال الثنائي لا يحتاج إلى إدخال نقل في كل من عمليات الجمع والضرب، وأن عملية التربيع في المجال الثنائي فعالة جدًا، لأنها تتبع قاعدة التبسيط (X + Y )2 = X2 + Y 2.
كما هو موضح في الشكل 1، سلسلة مكونة من 128 بت: يمكن تفسير هذه السلسلة بعدة طرق في سياق مجال ثنائي. يمكن اعتبارها عنصرًا فريدًا في مجال ثنائي 128 بت، أو يمكن تحليلها إلى عنصرين من مجال البرج 64 بت، أو أربعة عناصر من مجال البرج 32 بت، أو 16 عنصرًا من مجال البرج 8 بت، أو 128 عنصرًا من مجال F2. لا تتطلب هذه المرونة في التمثيل أي تكلفة حسابية، إنها مجرد تحويل نوع لسلسلة البتات (typecast)، وهي خاصية مثيرة جدًا ومفيدة. في الوقت نفسه، يمكن تعبئة عناصر المجال الصغيرة في عناصر مجال أكبر دون الحاجة إلى تكلفة حسابية إضافية. يستفيد بروتوكول Binius من هذه الميزة لتحسين كفاءة الحساب. بالإضافة إلى ذلك، تستكشف الورقة "حول الانقلاب الفعال في مجالات البرج ذات الخصائص الثنائية" تعقيد الحساب لعمليات الضرب والتربيع والعكس في مجال البرج الثنائي ( القابل للتفكيك إلى مجال فرعي m بت ).
2.2 PIOP: النسخة المعدلة من منتج HyperPlonk وPermutationCheck------مناسبة للحقل الثنائي
تصميم PIOP في بروتوكول Binius يستفيد من HyperPlonk، ويعتمد على مجموعة من آليات الفحص الأساسية للتحقق من صحة المتعددات والمتغيرات المتعددة. تشمل هذه الفحوصات الأساسية:
GateCheck: التحقق من أن الشهادة السرية ω والمدخلات العامة x تفيان بعلاقة حسابية الدائرة C(x,ω)=0، لضمان تشغيل الدائرة بشكل صحيح.
PermutationCheck: تحقق من أن نتائج تقييم كثيرات الحدود المتعددة المتغيرات f و g في مكعب بولي هي علاقة تبديلية f(x) = f(π(x))، لضمان توافق الترتيب بين متغيرات كثيرات الحدود.
LookupCheck: التحقق مما إذا كانت قيمة كثيرات الحدود موجودة في جدول البحث المعطى، أي f(Bµ) ⊆ T(Bµ)، لضمان أن بعض القيم ضمن النطاق المحدد.
MultisetCheck: تحقق من ما إذا كانت مجموعتان متعددتان للمتغيرات متساويتين، أي {(x1,i,x2,)}i∈H={(y1,i,y2,)}i∈H، لضمان التناسق بين المجموعات المتعددة.
ProductCheck: تحقق من أن تقييم متعدد الحدود الصحيح على مكعب بولي هو نفس القيمة المعلنة ∏x∈Hµ f(x) = s، لضمان صحة حاصل الضرب المتعدد.
ZeroCheck: التحقق مما إذا كانت نقطة عشوائية على المكعب الفائق الثنائي لمتعدد الحدود متعدد المتغيرات هي صفر ∏x∈Hµ f(x) = 0, ∀x ∈ Bµ، لضمان توزيع نقاط الصفر للمتعدد الحدود.
SumCheck: يتحقق مما إذا كانت قيمة مجموع متعددة المتغيرات متعددة الحدود تعادل القيمة المعلنة ∑x∈Hµ f(x) = s. من خلال تحويل مشكلة تقييم متعددة الحدود المتعددة المتغيرات إلى تقييم متعددة الحدود ذات المتغير الواحد، يتم تقليل التعقيد الحسابي لطرف التحقق. علاوة على ذلك، يسمح SumCheck أيضًا بالمعالجة المجمعة، من خلال إدخال أرقام عشوائية، لبناء تركيبات خطية لتحقيق المعالجة المجمعة لعدة حالات تحقق المجموع.
BatchCheck: بناءً على SumCheck، للتحقق من صحة تقييمات متعددة المتغيرات المتعددة الحدود، من أجل تحسين كفاءة البروتوكول.
على الرغم من أن Binius و HyperPlonk لديهما العديد من أوجه التشابه في تصميم البروتوكول، إلا أن Binius قد حسّن في النقاط الثلاث التالية:
تحسين ProductCheck: في HyperPlonk، يتطلب ProductCheck أن يكون المقام U غير صفري في كل مكان على المكعب الفائق، ويجب أن تكون المضاعفة مساوية لقيمة معينة؛ قامت Binius بتبسيط هذه العملية عن طريق تخصيص تلك القيمة إلى 1، مما يقلل من تعقيد الحساب.
معالجة مشكلة القسمة على الصفر: لم يتمكن HyperPlonk من معالجة حالة القسمة على الصفر بشكل كافٍ، مما أدى إلى عدم القدرة على التأكيد بأن U غير صفري على الهيكل الفائق؛ وقد عالج Binius هذه المشكلة بشكل صحيح، حتى في حالة أن المقام يساوي صفر، يمكن لـ ProductCheck الخاص بـ Binius الاستمرار في المعالجة، مما يسمح بالتوسع إلى أي قيمة حاصل ضرب.
فحص التبديل عبر الأعمدة: HyperPlonk لا يحتوي على هذه الميزة؛ يدعم Binius إجراء فحص التبديل بين عدة أعمدة، مما يمكّن Binius من التعامل مع حالات ترتيب متعددة الحدود الأكثر تعقيدًا.
لذلك، قامت Binius من خلال تحسين آلية PIOPSumCheck الحالية بزيادة مرونة وكفاءة البروتوكول، خاصة عند التعامل مع التحقق من المتعددات المتغيرة المعقدة، حيث قدمت دعمًا أقوى للوظائف. لم تحل هذه التحسينات فقط قيود HyperPlonk، بل وضعت أيضًا أساسًا لأنظمة الإثبات القائمة على الحقول الثنائية في المستقبل.
2.3 PIOP: حجة التحول المتعددة الخطوط الجديدة------تنطبق على مكعب البولين
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ابتكارات Binius STARKs: تحسين المجال الثنائي لزيادة الكفاءة والأمان
تحليل مبادئ Binius STARKs وأفكار تحسينها
1 المقدمة
بالمقارنة مع SNARKs المعتمدة على منحنيات بيانية، يمكن اعتبار STARKs كـ SNARKs المعتمدة على التجزئة. أحد الأسباب الرئيسية لعدم كفاءة STARKs الحالية هو: أن معظم القيم في البرامج الفعلية صغيرة نسبياً، مثل الفهارس في حلقات for، والقيم الحقيقية/الوهمية، والعدادات، وغيرها. ومع ذلك، لضمان أمان الإثباتات المعتمدة على شجرة ميركل، يتم استخدام تشفير ريد-سولومون لتوسيع البيانات، مما يؤدي إلى احتلال العديد من القيم الزائدة الكاملة للنطاق، حتى لو كانت القيم الأصلية نفسها صغيرة جداً. لحل هذه المشكلة، أصبح تقليل حجم النطاق استراتيجية رئيسية.
كما هو موضح في الجدول 1، عرض ترميز الجيل الأول من STARKs هو 252 بت، وعرض ترميز الجيل الثاني من STARKs هو 64 بت، وعرض ترميز الجيل الثالث من STARKs هو 32 بت، ولكن عرض الترميز 32 بت لا يزال يحتوي على مساحة كبيرة من الهدر. بالمقارنة، يسمح المجال الثنائي بإجراء عمليات مباشرة على البتات، مما يجعل الترميز مضغوطًا وفعالًا دون أي مساحة هدر، وهو الجيل الرابع من STARKs.
الجدول 1: مسار تطور STARKs
| الجبر | عرض البت | ممثل | |------|------|------| | الجيل الأول | 252بت | ستارك وير | | الجيل الثاني | 64 بت | Plonky2 | | الجيل الثالث | 32بت | BabyBear | | الجيل الرابع | 1bit | Binius |
بالمقارنة مع Goldilocks و BabyBear و Mersenne31 وغيرها من الاكتشافات الجديدة في السنوات الأخيرة في المجالات المحدودة، فإن دراسة الحقول الثنائية تعود إلى الثمانينيات من القرن الماضي. في الوقت الحالي، تم تطبيق الحقول الثنائية على نطاق واسع في علم التشفير، ومن الأمثلة النموذجية ما يلي:
عندما يتم استخدام مجالات أصغر، تصبح عملية توسيع المجال أكثر أهمية لضمان الأمان. وتعتمد المجالات الثنائية المستخدمة من قبل بينيوس تمامًا على توسيع المجال لضمان أمانها وقابليتها للاستخدام الفعلي. معظم الحدود المتعددة المعنية في حسابات Prover لا تحتاج إلى الدخول في توسيع المجال، بل يمكنها العمل فقط في المجال الأساسي، مما يحقق كفاءة عالية في المجال الصغير. ومع ذلك، لا يزال يتعين على فحص النقاط العشوائية وحساب FRI التعمق في توسيع المجال الأكبر لضمان الأمان المطلوب.
عند بناء نظام إثبات يعتمد على الحقل الثنائي، هناك مشكلتان عمليتان: يجب أن يكون حجم الحقل المستخدم في حساب تمثيل السجل في STARKs أكبر من درجة كثير الحدود؛ وعند الالتزام بشجرة ميركل في STARKs، يجب القيام بتشفير ريد-سولومون، ويجب أن يكون حجم الحقل المستخدم أكبر من الحجم بعد التمديد التشفيري.
قدمت Binius حلاً مبتكرًا يعالج هذين المشكلتين بشكل منفصل، ويحقق ذلك من خلال تمثيل نفس البيانات بطريقتين مختلفتين: أولاً، باستخدام متعدد المتغيرات (، والذي هو في الواقع متعدد حدود متعدد الخطوط )، ليحل محل متعدد الحدود أحادي المتغير، من خلال قيمته على "الهيبركيوب" ( hypercubes ) لتمثيل المسار الحسابي بأكمله؛ ثانيًا، نظرًا لأن طول كل بعد من الهيبركيوب هو 2، فلا يمكن توسيع Reed-Solomon بشكل قياسي كما هو الحال مع STARKs، ولكن يمكن اعتبار الهيبركيوب مربعًا ( square )، وإجراء توسيع Reed-Solomon بناءً على هذا المربع. هذه الطريقة تعزز بشكل كبير كفاءة الترميز وأداء الحساب مع ضمان الأمان.
2 تحليل المبادئ
نظام بناء معظم SNARKs الحالي عادة ما يتضمن جزئين:
إثبات Oracle التفاعلي متعدد الحدود القائم على نظرية المعلومات (Information-Theoretic Polynomial Interactive Oracle Proof, PIOP): تعتبر PIOP جوهر نظام الإثبات، حيث تحول العلاقات الحسابية المدخلة إلى معادلات متعددة الحدود يمكن التحقق منها. تسمح بروتوكولات PIOP المختلفة من خلال التفاعل مع المدقق، بإرسال الإثبات تدريجياً للمعادلات المتعددة، مما يمكن المدقق من التحقق مما إذا كانت الحسابات صحيحة من خلال استعلام نتائج تقييم عدد قليل من المعادلات المتعددة. تشمل بروتوكولات PIOP الحالية: PLONK PIOP و Spartan PIOP و HyperPlonk PIOP، وكل منها لديها طريقة مختلفة لمعالجة التعابير متعددة الحدود، مما يؤثر على أداء وكفاءة نظام SNARK بأكمله.
خطة الالتزام المتعدد الحدود ( Polynomial Commitment Scheme, PCS ): تستخدم خطة الالتزام المتعدد الحدود لإثبات ما إذا كانت معادلة المتعدد الحدود التي تم إنشاؤها بواسطة PIOP صحيحة. PCS هي أداة تشفير، من خلالها يمكن للجهة المُثبِتة الالتزام بمقدار متعدد الحدود والتحقق من نتائج تقييم هذا المقدار في وقت لاحق، مع إخفاء معلومات أخرى عن المقدار المتعدد. تشمل خطط الالتزام المتعدد الحدود الشائعة KZG و Bulletproofs و FRI ( Fast Reed-Solomon IOPP ) و Brakedown وغيرها. تمتلك PCS المختلفة أداءً وأمانًا وسيناريوهات استخدام مختلفة.
يمكن اختيار PIOP و PCS مختلفين وفقًا للاحتياجات المحددة، ودمجهما مع مجال محدود مناسب أو منحنى بياني، لبناء أنظمة إثبات بخصائص مختلفة. على سبيل المثال:
• Halo2: عبارة عن دمج PLONK PIOP و Bulletproofs PCS، ويعتمد على منحنى Pasta. تم تصميم Halo2 مع التركيز على القابلية للتوسع وإزالة إعداد الثقة من بروتوكول ZCash.
• Plonky2: يعتمد على PLONK PIOP و FRI PCS ويستند إلى مجال Goldilocks. تم تصميم Plonky2 لتحقيق التكرار الفعال. عند تصميم هذه الأنظمة، يجب أن تتطابق PIOP و PCS المختارة مع المجال المحدود أو المنحنى البيضاوي المستخدم لضمان صحة النظام وأدائه وأمانه. لا تؤثر خيارات هذه التركيبات فقط على حجم إثبات SNARK وكفاءة التحقق، بل تحدد أيضًا ما إذا كان النظام يمكن أن يحقق الشفافية دون الحاجة إلى إعداد موثوق، وما إذا كان يمكن دعم إثباتات التكرار أو إثباتات التجميع كوظائف موسعة.
بينياس: HyperPlonk PIOP + Brakedown PCS + المجال الثنائي. على وجه التحديد، تتضمن بينياس خمس تقنيات رئيسية لتحقيق كفاءتها وأمانها. أولاً، يعتمد البناء الحسابي على المجال الثنائي (towers of binary fields)، مما يشكل أساس حساباتها، مما يمكنها من إجراء عمليات مبسطة داخل المجال الثنائي. ثانياً، في بروتوكول إثبات الأوركل التفاعلي (PIOP)، قامت بينياس بتعديل فحص الضرب والتبادل لـ HyperPlonk، مما يضمن التحقق المتسق بين المتغيرات وتباديلها بشكل آمن وفعال. ثالثاً، أدخل البروتوكول إثبات تبديل متعدد الخطوط جديد، مما يحسن من كفاءة التحقق من العلاقات المتعددة الخطوط على مجالات صغيرة. رابعاً، تعتمد بينياس نسخة محسنة من إثبات البحث Lasso، مما يوفر مرونة وأماناً قويين لآلية البحث. أخيراً، يستخدم البروتوكول نظام التزام متعدد الحدود على مجالات صغيرة (Small-Field PCS)، مما يمكنه من تحقيق نظام إثبات فعال داخل المجال الثنائي، ويقلل من المصاريف المرتبطة عادةً بالمجالات الكبيرة.
2.1 الحقول المحدودة: حساب مستند إلى أبراج الحقول الثنائية
تعتبر مجالات الثنائي الهرمي مفتاحًا لتحقيق حسابات سريعة وقابلة للتحقق، ويرجع ذلك أساسًا إلى جانبين: الحسابات الفعالة والتعظيم الفعال. تدعم مجالات الثنائي بشكل أساسي عمليات رياضية عالية الكفاءة، مما يجعلها اختيارًا مثاليًا للتطبيقات التشفيرية الحساسة لمتطلبات الأداء. بالإضافة إلى ذلك، تدعم بنية المجالات الثنائية عملية التعظيم المبسطة، أي أن العمليات المنفذة على مجالات الثنائي يمكن تمثيلها بشكل ضيق وسهل التحقق في شكل جبري. هذه الخصائص، بالإضافة إلى القدرة على الاستفادة الكاملة من ميزاتها الهرمية من خلال بنية البرج، تجعل مجالات الثنائي مناسبة بشكل خاص لأنظمة الإثبات القابلة للتوسع مثل Binius.
حيث أن "canonical" تشير إلى الطريقة الفريدة والمباشرة لتمثيل العناصر في المجال الثنائي. على سبيل المثال، في المجال الثنائي الأكثر أساسية F2، يمكن لأي سلسلة بطول k أن تُخَصص مباشرةً إلى عنصر من عناصر المجال الثنائي بطول k. وهذا يختلف عن المجال العددي الأولي، حيث لا يمكن أن يوفر هذا التمثيل القياسي في عدد محدد من البتات. على الرغم من أن المجال الأولي بطول 32 بت يمكن أن يحتوي على 32 بت، إلا أنه ليس كل سلسلة بطول 32 بت يمكن أن تتوافق بشكل فريد مع عنصر من عناصر المجال، بينما يتميز المجال الثنائي بهذه السهولة في التخصيص الواحد لواحد. في المجال الأولي Fp، تشمل طرق الاختزال الشائعة اختزال باركيت، واختزال مونتغومري، بالإضافة إلى طرق اختزال خاصة للمجالات المحدودة مثل Mersenne-31 أو Goldilocks-64. في المجال الثنائي F2k، تشمل طرق الاختزال الشائعة اختزال خاص ( كما هو مستخدم في AES )، واختزال مونتغومري ( كما هو مستخدم في POLYVAL ) واختزال متكرر ( كما هو موجود في Tower ). تشير الورقة "استكشاف مساحة تصميم ECC-Hardware Implementations في المجال الأولي مقابل المجال الثنائي" إلى أن المجال الثنائي لا يحتاج إلى إدخال نقل في كل من عمليات الجمع والضرب، وأن عملية التربيع في المجال الثنائي فعالة جدًا، لأنها تتبع قاعدة التبسيط (X + Y )2 = X2 + Y 2.
! الشكل 1: المجال الثنائي للبرج
كما هو موضح في الشكل 1، سلسلة مكونة من 128 بت: يمكن تفسير هذه السلسلة بعدة طرق في سياق مجال ثنائي. يمكن اعتبارها عنصرًا فريدًا في مجال ثنائي 128 بت، أو يمكن تحليلها إلى عنصرين من مجال البرج 64 بت، أو أربعة عناصر من مجال البرج 32 بت، أو 16 عنصرًا من مجال البرج 8 بت، أو 128 عنصرًا من مجال F2. لا تتطلب هذه المرونة في التمثيل أي تكلفة حسابية، إنها مجرد تحويل نوع لسلسلة البتات (typecast)، وهي خاصية مثيرة جدًا ومفيدة. في الوقت نفسه، يمكن تعبئة عناصر المجال الصغيرة في عناصر مجال أكبر دون الحاجة إلى تكلفة حسابية إضافية. يستفيد بروتوكول Binius من هذه الميزة لتحسين كفاءة الحساب. بالإضافة إلى ذلك، تستكشف الورقة "حول الانقلاب الفعال في مجالات البرج ذات الخصائص الثنائية" تعقيد الحساب لعمليات الضرب والتربيع والعكس في مجال البرج الثنائي ( القابل للتفكيك إلى مجال فرعي m بت ).
2.2 PIOP: النسخة المعدلة من منتج HyperPlonk وPermutationCheck------مناسبة للحقل الثنائي
تصميم PIOP في بروتوكول Binius يستفيد من HyperPlonk، ويعتمد على مجموعة من آليات الفحص الأساسية للتحقق من صحة المتعددات والمتغيرات المتعددة. تشمل هذه الفحوصات الأساسية:
GateCheck: التحقق من أن الشهادة السرية ω والمدخلات العامة x تفيان بعلاقة حسابية الدائرة C(x,ω)=0، لضمان تشغيل الدائرة بشكل صحيح.
PermutationCheck: تحقق من أن نتائج تقييم كثيرات الحدود المتعددة المتغيرات f و g في مكعب بولي هي علاقة تبديلية f(x) = f(π(x))، لضمان توافق الترتيب بين متغيرات كثيرات الحدود.
LookupCheck: التحقق مما إذا كانت قيمة كثيرات الحدود موجودة في جدول البحث المعطى، أي f(Bµ) ⊆ T(Bµ)، لضمان أن بعض القيم ضمن النطاق المحدد.
MultisetCheck: تحقق من ما إذا كانت مجموعتان متعددتان للمتغيرات متساويتين، أي {(x1,i,x2,)}i∈H={(y1,i,y2,)}i∈H، لضمان التناسق بين المجموعات المتعددة.
ProductCheck: تحقق من أن تقييم متعدد الحدود الصحيح على مكعب بولي هو نفس القيمة المعلنة ∏x∈Hµ f(x) = s، لضمان صحة حاصل الضرب المتعدد.
ZeroCheck: التحقق مما إذا كانت نقطة عشوائية على المكعب الفائق الثنائي لمتعدد الحدود متعدد المتغيرات هي صفر ∏x∈Hµ f(x) = 0, ∀x ∈ Bµ، لضمان توزيع نقاط الصفر للمتعدد الحدود.
SumCheck: يتحقق مما إذا كانت قيمة مجموع متعددة المتغيرات متعددة الحدود تعادل القيمة المعلنة ∑x∈Hµ f(x) = s. من خلال تحويل مشكلة تقييم متعددة الحدود المتعددة المتغيرات إلى تقييم متعددة الحدود ذات المتغير الواحد، يتم تقليل التعقيد الحسابي لطرف التحقق. علاوة على ذلك، يسمح SumCheck أيضًا بالمعالجة المجمعة، من خلال إدخال أرقام عشوائية، لبناء تركيبات خطية لتحقيق المعالجة المجمعة لعدة حالات تحقق المجموع.
BatchCheck: بناءً على SumCheck، للتحقق من صحة تقييمات متعددة المتغيرات المتعددة الحدود، من أجل تحسين كفاءة البروتوكول.
على الرغم من أن Binius و HyperPlonk لديهما العديد من أوجه التشابه في تصميم البروتوكول، إلا أن Binius قد حسّن في النقاط الثلاث التالية:
تحسين ProductCheck: في HyperPlonk، يتطلب ProductCheck أن يكون المقام U غير صفري في كل مكان على المكعب الفائق، ويجب أن تكون المضاعفة مساوية لقيمة معينة؛ قامت Binius بتبسيط هذه العملية عن طريق تخصيص تلك القيمة إلى 1، مما يقلل من تعقيد الحساب.
معالجة مشكلة القسمة على الصفر: لم يتمكن HyperPlonk من معالجة حالة القسمة على الصفر بشكل كافٍ، مما أدى إلى عدم القدرة على التأكيد بأن U غير صفري على الهيكل الفائق؛ وقد عالج Binius هذه المشكلة بشكل صحيح، حتى في حالة أن المقام يساوي صفر، يمكن لـ ProductCheck الخاص بـ Binius الاستمرار في المعالجة، مما يسمح بالتوسع إلى أي قيمة حاصل ضرب.
فحص التبديل عبر الأعمدة: HyperPlonk لا يحتوي على هذه الميزة؛ يدعم Binius إجراء فحص التبديل بين عدة أعمدة، مما يمكّن Binius من التعامل مع حالات ترتيب متعددة الحدود الأكثر تعقيدًا.
لذلك، قامت Binius من خلال تحسين آلية PIOPSumCheck الحالية بزيادة مرونة وكفاءة البروتوكول، خاصة عند التعامل مع التحقق من المتعددات المتغيرة المعقدة، حيث قدمت دعمًا أقوى للوظائف. لم تحل هذه التحسينات فقط قيود HyperPlonk، بل وضعت أيضًا أساسًا لأنظمة الإثبات القائمة على الحقول الثنائية في المستقبل.
2.3 PIOP: حجة التحول المتعددة الخطوط الجديدة------تنطبق على مكعب البولين