Zero-knowledge inner product argument（IPA）

接之前博客qesa——零知识证明，需要trusted setup。

1. qesa的Inner product argument (IPA)

2019年论文《Efficient zero-knowledge arguments in the discrete log setting,revisited (Full version)》第四章：
在protocol 3.9基础上，以$k=2$k=2为例（$k$k取2值可最小化交互信息量），$[A]w=[t]$[A]w=[t]可转化为以点积（inner product）方式表示为：
$<[A], w>=[t]$<[A],w>=[t]。
根据protocol 3.9第二步，prover仅需给verifier传递$[u_{\pm 1}]=<[A_i], w_j>（其中j-i=\pm1）$[u±1​]=<[Ai​],wj​>（其中j−i=±1）。

$k=2$k=2时，$[A]=\begin{pmatrix} A_0\\ A_1 \end{pmatrix}，w=\begin{pmatrix} w_0\\ w_1 \end{pmatrix}$[A]=(A0​A1​​)，w=(w0​w1​​)，如需证明$<[A],w>=[A]w=t=A_0w_0+A_1w_1$<[A],w>=[A]w=t=A0​w0​+A1​w1​，在第三步和第四步，引入了challeng $x=(1, \xi ), y=(\xi, 1)$x=(1,ξ),y=(ξ,1)，改为证明：
$t'=<x[A],yw>=(A_0+\xi A_1)(\xi w_0+w_1)=\xi (A_0w_0+A_1w_1)+\xi^2A_1w_0+A_0w_1=\xi t+\xi^2<A_1,w_0>+<A_0,w_1>=\xi t+\xi^2u_{-1}+u_1$t′=<x[A],yw>=(A0​+ξA1​)(ξw0​+w1​)=ξ(A0​w0​+A1​w1​)+ξ2A1​w0​+A0​w1​=ξt+ξ2<A1​,w0​>+<A0​,w1​>=ξt+ξ2u−1​+u1​。

2. Bulletproofs的Inner-product argument

2017年论文Bulletproofs: Short Proofs for Confidential Transactions and More第三章，分别取的是$x=(\xi,\xi^{-1}), y=(\xi^{-1},\xi)$x=(ξ,ξ−1),y=(ξ−1,ξ)。

参考资料：
[1] 2019年论文《Efficient zero-knowledge arguments in the discrete log setting,revisited (Full version)》
[2] https://github.com/topics/zero-knowledge?o=desc&s=stars
[3] 博客Inner Product点积的零知识证明
[4] 2017年论文Bulletproofs: Short Proofs for Confidential Transactions and More