sum-check protocol

sumcheck是一个交互式证明协议，给定域F上的多元多项式g(x1,...,xv)g(x_1,...,x_v)g(x1​,...,xv​)，证明者Prover可以向验证者Verifier证明该多项式$g$的遍历求和值等于公开值$H$，即
H=∑b1,b2,...,bv∈{0,1}vg(b1,b2,...,bv)H= \\sum_{b_1,b_2,...,b_v \\in \\{0,1\\}^v}g(b_1,b_2,...,b_v) H=b1​,b2​,...,bv​∈{0,1}v∑​g(b1​,b2​,...,bv​)
法一： Verifier可以直接通过上述等式计算验证，但直接计算需要2v2^v2v次求和

法二：Verifier将计算转移到计算能力更强的Prover，即本文所述的sum-check协议，通过sum-check协议，Prover使得Verifier相信其遍历求和值等于$H$

sumcheck

sumcheck一共需要进行$v$轮交互，其过程如下：

第1轮：

• Prover：向Verifier发送一个单变量多项式( univariate polynomial)
  g1(X1)=∑b2,...,bv∈0,1vg(X1,b2,...,bv)g_1(X_1)=\\sum_{b_2,...,b_v \\in{0,1}^v}g(X_1,b_2,...,b_v) g1​(X1​)=b2​,...,bv​∈0,1v∑​g(X1​,b2​,...,bv​)

• Verifier: 检查H=g1(0)+g1(1)H=g_1(0) + g_1(1)H=g1​(0)+g1​(1)是否成立，如果成立则随机选取r1∈Fr_1 \\in Fr1​∈F发送给Prover

第j轮：

• Prover：向Verifier发送一个单变量多项式
  gj(Xj)=∑bj+1,...,bv∈{0,1}vg(r1,...,rj−1,Xj,bj+1,...,bv)g_j(X_j)=\\sum_{b_{j+1},...,b_v \\in \\{0,1\\}^v}g(r_1,...,r_{j-1},X_j,b_{j+1},...,b_v) gj​(Xj​)=bj+1​,...,bv​∈{0,1}v∑​g(r1​,...,rj−1​,Xj​,bj+1​,...,bv​)

• Verifier: 检查gj−1(rj−1)=gj(0)+gj(1)g_{j-1}(r_{j-1})=g_j(0) + g_j(1)gj−1​(rj−1​)=gj​(0)+gj​(1)是否成立，如果成立则随机选取rj∈Fr_j \\in Frj​∈F发送给Prover

第v轮：

• Prover：向Verifier发送一个单变量多项式
  gv(Xv)=g(r1,r2...,rv−1,Xv)g_v(X_v)=g(r_1,r_2...,r_{v-1},Xv) gv​(Xv​)=g(r1​,r2​...,rv−1​,Xv)

• Verifier: 检查gv−1(rv−1)=gv(0)+gv(1)g_{v-1}(r_{v-1})=g_v(0) + g_v(1)gv−1​(rv−1​)=gv​(0)+gv​(1)是否成立，如果成立则计算g(r1,r2,...,rv)g(r_1,r_2,...,r_v)g(r1​,r2​,...,rv​) ，并验证g(r1,r2,...,rv)=gv(rv)g(r_1,r_2,...,r_v)= g_v(r_v)g(r1​,r2​,...,rv​)=gv​(rv​)是否成立

例如 g(X1,X2,X3)=2X13+X1X3+X2X3g(X_1,X_2,X_3)= 2X_1^3 + X_1X_3+X_2X_3g(X1​,X2​,X3​)=2X13​+X1​X3​+X2​X3​ ,其遍历求和值$H=12$

第1轮：

• Prover：向Verifier发送一个单变量多项式( univariate polynomial)
  g1(X1)=8X13+2X1+1g_1(X_1)=8X_1^3+2X_1+1 g1​(X1​)=8X13​+2X1​+1

• Verifier: 验证H=g1(0)+g1(1)=12H=g_1(0) + g_1(1) = 12H=g1​(0)+g1​(1)=12，并随机选取r1=2r_1 =2r1​=2发送给Prover

第2轮：

• Prover：向Verifier发送一个单变量多项式
  g2(X2)=34+X2g_2(X_2)=34 + X_2 g2​(X2​)=34+X2​

• Verifier: 验证g1(2)=g2(0)+g2(1)=69g_{1}(2)=g_2(0) + g_2(1) = 69g1​(2)=g2​(0)+g2​(1)=69，并随机选取r2=3r_2 =3r2​=3发送给Prover

第3轮：

• Prover：向Verifier发送一个单变量多项式
  g3(X3)=16+5X3g_3(X_3)=16+5X_3 g3​(X3​)=16+5X3​

• Verifier: 验证g2(r2)=g3(0)+g3(1)=37g_{2}(r_{2})=g_3(0) + g_3(1)= 37g2​(r2​)=g3​(0)+g3​(1)=37，并随机选取r3=6r_3 =6r3​=6，计算并验证g(r1,r2,...,rv)=46=g3(6)g(r_1,r_2,...,r_v) = 46 = g_3(6)g(r1​,r2​,...,rv​)=46=g3​(6)