1. 引言

前序博客有：

• ZK-Rollups工作原理
• Polygon zkEVM——Hermez 2.0简介
• Polygon zkEVM网络节点

Polygon zkEVM为zk-rollup layer 2扩容方案，其：

• execute smart contracts transparently
• publish zero-knowledge validity proof
• 与以太坊虚拟机opcode完全兼容——为此需重建所有EVM opcodes，从而支持transparent deployment of any existing Ethereum smart contract。

开源代码见：

• https://github.com/orgs/0xPolygonHermez

各代码库有：

2. EVM Arithmetization

证明某EVM交易执行正确的第一步是：

• 构建一个合适的execution trace。

所谓execution trace，是指满足EVM processing约束的一组值。将execution trace以矩阵表示，每列具有一个name。将每列插值为一个多项式，将execution的正确性 最终reduce为 验证多项式之间（列之间） 的一组identities。设计合适的列和identities的过程 称为 arithmetization。

Polygon zkEVM提供了an efficient arithmetization of the EVM。

3. Executor, zkASM 和 zkProver

由Executor负责创建execution trace。
Executor的输入有：

• 1）a batch of 交易
• 2）a chain ID
• 3）代表该链zkEVM previous state的Merkle tree root
• 4）代表这些交易执行之后的该链zkEVM new state的Merkle tree root
• 5）values of the current state of the zkEVM，以构建proof

Executor本质上是一种名为zkASM的汇编语言解释器。
使用zkASM语言来构建名为zkROM的程序，Executor运行zkROM程序来提供合适的execution trace。

在zkROM程序中，每个EVM opcode都以一组zkASM指令集来实现。
每个zkASM指令利用了execution trace矩阵中的一行，又名zkEVM的一个“step”。

Executor为zkProver的一部分，zkProver为Polygon zkEVM的核心部件。

zkProver与节点和Database（DB）之间的交互流程为：

• 1）节点将Ethereum state content和EVM Merkle trees发送到DB并存储。
• 2）节点将input batch of transactions发送到zkProver。
• 3）zkProver访问DB，获取 为节点发送的transaction batch 生成verifiable proof 所需的信息。
• 4）zkProver为交易生成证明，将proof发回给节点。

4. Polynomial Identity Language（PIL）

Polynomial Identity Language（PIL）为定义state machine execution trace约束的领域特定语言。

PIL用于：

• 定义execution trace多项式name
• 描述多项式identities
• 描述多项式之间关系

以满足execution是正确的。

5. Modular Design

对于如EVM这样的复杂state machine，其execution trace对应的列数量和identities数量可达数千。而管理如此庞大的矩阵将是非常复杂且难处理的。

为简化，Polygon zkEVM使用divide and conquer技术，将execution trace切分为更小的矩阵。
使用名为plookup的proving技术，使得一个矩阵的行 可 关联到 另一矩阵的行 成为可能。

此外，还使用了：

• inclusion：检查某矩阵的行 被包含 在另一矩阵中。
• permutation：检查某矩阵中的行 与 另一矩阵中的行 相同，只是顺序不同。

PIL语言：

• 使用namespace关键字来命名execution trace中切分的每个矩阵的列。
• 使用in关键字来定义inclusion。
• 使用is关键字来定义permutation。

Polygon zkEVM中，会将execution trace切分为：

• 一个主矩阵：又名main state machine。
• 多个二级矩阵：又名secondary state machine。

借助divide and conquer技术：

• Polygon zkEVM中包含了不同的connected state machine。
• 每个state machine致力于证明某特定task的execution。
• 不同state machines之间的相关列（polynomials）使用inclusion proof（with plookup）来关联。

6. 一个例子——Fibonacci state machine

Fibonacci序列：${\mathbf{a}}_1,{\mathbf{a}}_2,\dots ,{\mathbf{a}}_{\mathbf{n}}$，满足${\mathbf{a}}_{\mathbf{i}+1}={\mathbf{a}}_{\mathbf{i}-1}+{\mathbf{a}}_{\mathbf{i}}$。

如具有12个成员的序列：
$$0,1,1,2,3,5,8,13,21,34,55,89,\dots$$
很容易检查发现 $377$和$987$是Fibonacci 序列成员。但若要判断$12,586,269,025$是否为序列成员，则需要一个公式 或 计算机程序——本文以state machine密码学工具来实现。

6.1 Fibonacci State Machine

具有寄存器$\mathbf{A}=(A_1,A_2,\dots ,A_l)$和$\mathbf{B}=(B_1,B_2,\dots ,B_l)$的状态机，第$i$个状态为$(A_i,B_i)$，初始状态为$A_1=0,B_1=1$。

$\mathbf{A}和\mathbf{B}$寄存器均包含了Fibonacci序列，只是$\mathbf{B}$中的序列为one step ahead of $\mathbf{A}$，二者具有如下关系：
$$\begin{array}{rl}{A}_{i+1}& =B_i,\\ B_{i+1}& =A_i+B_i.\end{array}$$
接下来，是将这些寄存器以多项式表示，并最终引入多项式承诺机制来构建该membership密码学工具。

6.1.1 polynomial identities

区块链传统中，将2个寄存器的多项式表示为${\mathbb{Z}}_p[x]$，其系数源自a prime field ${\mathbb{Z}}_p$。
将多项式evaluate over subgroup of $H=\{\omega ,{\omega }^2,{\omega }^3,\dots ,{\omega }^8=1\}=*\omega *$ of order $8$。
定义多项式$P(x)$和$Q(x)$为：
$$\begin{gathered} P({\omega }^i)=A_i, \\ Q({\omega }^i)=B_i. \end{gathered}$$

$H$中的每个$x$形式为$x={\omega }^i$ for some $i$，从而有：
$$\begin{array}{rl}P(x\omega )& =P({\omega }^{i+1})=A_{i+1},\\ Q(x\omega )& =Q({\omega }^{i+1})=B_{i+1}.\end{array}$$
将关系$A_{i+1}=B_i$ and $B_{i+1}=A_i+B_i$代入，获得如下polynomial identities：
$$\begin{array}{rl}P(x\omega )& =A_{i+1}=B_i=Q({\omega }^i)={|}_{H}Q(x),\\ Q(x\omega )& =B_{i+1}=A_i+B_i=P({\omega }^i)+Q({\omega }^i)={|}_{H}P(x)+Q(x).\end{array}$$
即：
$$\begin{array}{rl}P(x\omega )& ={|}_{H}Q(x),\\ Q(x\omega )& ={|}_{H}P(x)+Q(x).\end{array}$$

6.1.2 Non-cyclic Polynomial Identities Problem

若以上这些polynomial identities可准确表达2个寄存器，则Fibonacci序列中的每个成员均可满足该identities。

注意，$H$的定义并未限定$i\le 8$，若设置$i=27$，则${\omega }^{27}$ is in $H$，因为${\omega }^{27}=w^8\cdot {\omega }^8\cdot {\omega }^8\cdot {\omega }^3=1\cdot 1\cdot 1\cdot {\omega }^3={\omega }^3$。

但是不限定$i$值，以上polynomial identities会有问题。如令$x={\omega }^8$，有：

• 对于第一个identity有：
  $$\begin{array}{rl}& P(x\omega )=P({\omega }^8\cdot \omega )=P({\omega }^1)=A_1=0,\text{but}\\ & Q(x)=Q(w^8)=B_8=21\ne 0.\end{array}$$
• 对于第二个identity有：
  $$\begin{array}{rl}& Q(x\omega )=Q(\omega )=B_1=1\\ & P(x)=P({\omega }^8)+Q({\omega }^8)=21+13=34\ne 1.\end{array}$$

这意味着，尽管$H$是cyclic的，但是identities并不是cyclic的，polynomial identities 与 Fibonacci state machine寄存器 并不匹配。

为此，需要引入纠错多项式$R(x)$，使得polynomial identities也是cyclic的。纠错多项式也必须in ${\mathbb{Z}}_p[x]$。

6.1.3 Correcting Errors in Polynomial Identities

为Fibonacci state machine引入第三个寄存器 $\mathbf{C}=(C_1,C_2,\dots ,C_l)$，设置该寄存器的值为$\mathbf{C}=(1,0,0,\dots ,0)$。

将纠错多项式$R(x)$定义为：
$$R({\omega }^i)=C_i.$$
即：
$$\begin{array}{rl}R({\omega }^i)& =C_i=1,\text{ if }i\mathrm{mod}8=1,\\ R({\omega }^i)& =C_i=0,\text{ otherwise}.\end{array}$$
将纠错多项式$R(x)$嵌入到之前的polynomial identities，有：
$$\begin{array}{rl}P(x\omega )& ={|}_{H}Q(x)(1-R(x\omega )),\\ Q(x\omega )& ={|}_H(P(x)+Q(x))(1-R(x\omega ))+R(x\omega )\end{array}$$

接下来，仍然设置$x={\omega }^8$，来检查新的polynomial identities是否是cyclic的：

• 对于第一个identity有：
  $$\begin{array}{rl}LHS& =P(x\omega )=P({\omega }^8\cdot \omega )=P({\omega }^1)=A_1=0,\\ RHS& =Q(x)(1-R(x\omega ))=Q({\omega }^8)(1-R({\omega }^8\cdot \omega ))=A_8(1-R(\omega ))=13(1-1)=0.\end{array}$$
  因此当$x={\omega }^8$时，第一个identity成立。很容易检查当$x$为$H$中的其它值时，也成立。
• 对于第二个identity有：
  $$\begin{array}{rl}LHS& =Q(x\omega )=Q({\omega }^8\cdot \omega )=Q({\omega }^1)=B_1=1,\\ RHS& =(P({\omega }^8)+Q({\omega }^8))(1-R({\omega }^8\cdot \omega ))+R({\omega }^8\cdot \omega )\\ & =(A_8+B_8)(1-R({\omega }^1))+R({\omega }^1)\\ & =(13+21)(1-1)+1=1.\end{array}$$
  因此当$x={\omega }^8$时，第二个identity成立。很容易检查当$x$为$H$中的其它值时，也成立。

6.1.4 Varied Initial Conditions

注意，此处不再限定初始条件为$(A_1,B_1)=(0,1)$。
将polynomial identities调整为适于任意初始条件$(A_1,B_1)$：
$$\begin{array}{rl}P(x\omega )& ={|}_{H}Q(x)(1-R(x\omega ))+A_{1}R(x\omega ),\\ Q(x\omega )& ={|}_H(P(x)+Q(x))(1-R(x\omega ))+B_{1}R(x\omega ).\end{array}$$

6.1.5 Proving Our State Machine（High level）

之前的多项式关系可通过如 KZG 和 基于FRI 的多项式承诺来证明。

承诺机制具有binding和hiding属性：

• 1）Binding：一旦commit之后，Prover无法修改多项式。
• 2）Hiding：仅知道承诺值，Verifier无法推导出Prover所commit的具体多项式。

7. 一个例子——Arithmetic State Machine

arithmetic state machine将检查32bit元素的加减乘除运算。
约束中有5个寄存器：
$${\mathcal{A}}_i\cdot {\mathcal{B}}_i+{\mathcal{C}}_i=2^{32}{\mathcal{D}}_i+{\mathcal{E}}_i.$$
注意，以上五个寄存器均为32bit的。

跟之前类似，将该关系表示为a cyclic polynomial identity at some subgroup $H$ of roots of unity of ${\mathbb{Z}}_p$：
$$\mathcal{A}(x)\cdot \mathcal{B}(x)+\mathcal{C}(x)=2^{32}\mathcal{D}(x)+\mathcal{E}(x).$$

注意，此处需要 enforce $\mathcal{A}(x)$, $\mathcal{B}(x)$, $\mathcal{C}(x)$, $\mathcal{D}(x)$ 和 $\mathcal{E}(x)$ 在 $H$ 的值均为32bit。

参考资料

[1] Polygon zkEVM Basic Concepts