Open wenjin1997 opened 7 months ago
在理解 PLONK(四):算术约束与拷贝约束,位置向量的优化小节中: 公式
$$ {id_a}(X) = X, \quad {id_b}(X) = k_1\cdot X, \quad {id_a}(X) = k_2\cdot X $$
应该为:
$$ {id_a}(X) = X, \quad {id_b}(X) = k_1\cdot X, \quad {id_c}(X) = k_2\cdot X $$
在理解 Plonk(五):多项式承诺,什么是多项式承诺小节中: “Petersen 承诺”改为“Pedersen 承诺”
在理解 Plonk(六):实现 Zero Knowledge,满足 Hiding 性质的 KZG10小节中: 原文中,在Setup阶段,需要产生两倍长的srs:
$$ srs=\left( \begin{array}{ccccc} [1]_1, & [\chi]_1, & [\chi^2]_1, &\cdots, & [\chi^D]_1,\ [\rho]_1, & [\rho\chi]_1, & [\rho\chi^2]_1, &\cdots, & [\rho\chi^D]_1,\ \end{array} \right),([1]_1, [\rho]_1,[1]_1,[\chi]_2) $$
上述系统参数中至少应该有 $[1]_2$ ,因为在检查求值阶段会用到该参数 $[1]_2$ :
$$ e(C_f - y\cdot[1]_1-y'\cdot[\rho]_1, [1]_2) \overset{?}{=} e([q(X)]_1, [\chi]_2-\zeta\cdot[1]_2) $$
为保持一致性,个人认为生成在群 $H$ 上的系统参数应该由 $([1]_1, [\rho]_1,[1]_1,[\chi]_2)$ 改为 $([1]_2, [\rho]_2,[1]_2,[\chi]_2)$。关于这点也不是特别确定后续是否会用到 $[\rho]_2$ ,不过既然是系统参数,个人认为还是应该要生成的。
如有理解不对的地方,还请指正。
在理解 PLONK(四):算术约束与拷贝约束,位置向量的优化小节中: 公式
$$ {id_a}(X) = X, \quad {id_b}(X) = k_1\cdot X, \quad {id_a}(X) = k_2\cdot X $$
应该为:
$$ {id_a}(X) = X, \quad {id_b}(X) = k_1\cdot X, \quad {id_c}(X) = k_2\cdot X $$
在理解 Plonk(五):多项式承诺,什么是多项式承诺小节中: “Petersen 承诺”改为“Pedersen 承诺”
在理解 Plonk(六):实现 Zero Knowledge,满足 Hiding 性质的 KZG10小节中: 原文中,在Setup阶段,需要产生两倍长的srs:
$$ srs=\left( \begin{array}{ccccc} [1]_1, & [\chi]_1, & [\chi^2]_1, &\cdots, & [\chi^D]_1,\ [\rho]_1, & [\rho\chi]_1, & [\rho\chi^2]_1, &\cdots, & [\rho\chi^D]_1,\ \end{array} \right),([1]_1, [\rho]_1,[1]_1,[\chi]_2) $$
上述系统参数中至少应该有 $[1]_2$ ,因为在检查求值阶段会用到该参数 $[1]_2$ :
$$ e(C_f - y\cdot[1]_1-y'\cdot[\rho]_1, [1]_2) \overset{?}{=} e([q(X)]_1, [\chi]_2-\zeta\cdot[1]_2) $$
为保持一致性,个人认为生成在群 $H$ 上的系统参数应该由 $([1]_1, [\rho]_1,[1]_1,[\chi]_2)$ 改为 $([1]_2, [\rho]_2,[1]_2,[\chi]_2)$。关于这点也不是特别确定后续是否会用到 $[\rho]_2$ ,不过既然是系统参数,个人认为还是应该要生成的。
如有理解不对的地方,还请指正。