Exercise <Week 4>: MaruyamaShunpei by shunpei-bit · Pull Request #83 · zk-tokyo/core-program

shunpei-bit · 2025-08-22T10:37:19Z

🎁 Deliverables

week4の課題になります。

💬 Comments

あまり数式ベースでなくてすみません。

SeiyaKobayashi · 2025-09-22T14:41:49Z

@@ -0,0 +1,9 @@
+## 1. STARKにおいて、多項式に関する低次元テスト（ LDT, p.39）が必要ですが、これまでみてきた SNARKでは不要でした。 なぜSTARKでLDTが必要で、Groth16とPLONKでそれぞれ不要なのかを数式をまじえて説明してみましょう。
+
+ランダムサンプリングを使うと、もし高次数の多項式でも、低次元の多項式と部分的に一致している値を返せば、偽の証明が作れてしまう。そこで、Low Degree Test を用いて、確かに次数が低いことを検証する必要がある。これは、偽の証明者が次数 $>T$ の多項式 $g(x)$ を作った場合、$f(x)$ と $g(x)$ が $T$ 点以上で一致する可能性がある。一方、Groth16 では trusted setup の過程で保証でき、また、PLONKではKZG多項式コミットメントで保証されている。このことから、低次元テストは必要ない。


ランダムサンプリングを使うと

細かいですが、SNARK や他の証明スキームでもランダムサンプリングの考え方は部分的に用いられているので、これは LDT が必要な根本的な理由にはならないと思います

Groth16 では trusted setup の過程で保証でき、また、PLONKではKZG多項式コミットメントで保証

groth16 も PLONK も KZG ベースではあるので、どちらも PCS 自体で次数制約は暗黙的に適用されている、ということになりますね

SeiyaKobayashi · 2025-09-22T14:47:07Z

+
+## 2. スライドで説明されている構築方法で、 STARKにゼロ知識性が付与されていません。STARKをzkSTARKに変換する方法 を1つ取り上げ、なぜそ方法がゼロ知識性を付与するかを数式ベースで説明してみましょう。
+
+$f(x)$ を $f^{\prime}(x)=f(x)+r(x)\cdot Z(x)$ のようにする。ここで、$Z(x)$ はゼロ多項式、$r(x)$ は証明者が選ぶランダム多項式である。検証する際の点の集合上では $Z(x)=0$ になるので制約はそのまま、それ以外の点では $f(x)$ の具体的な形が隠れるため、ゼロ知識性が達成される。


$r(X)$ の次数の実質的な制約について触れられているとベターです
また、ゼロ知識性の理論的な定義は、証明者と検証者のやりとりを模倣するシミュレーターアルゴリズムの存在有無なので、その点は別途押さえておくことをお勧めします

SeiyaKobayashi

LGTM

week4: add exercises for MaruyamaShunpei

706e7b8

shunpei-bit requested a review from SeiyaKobayashi as a code owner August 22, 2025 10:37

github-actions Bot added exercises week4 labels Aug 22, 2025

SeiyaKobayashi reviewed Sep 22, 2025

View reviewed changes

SeiyaKobayashi merged commit 3bafb16 into zk-tokyo:main Sep 22, 2025
1 check passed

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Exercise <Week 4>: MaruyamaShunpei#83

Exercise <Week 4>: MaruyamaShunpei#83
SeiyaKobayashi merged 1 commit into
zk-tokyo:mainfrom
shunpei-bit:week4/exercises/MaruyamaShunpei

shunpei-bit commented Aug 22, 2025

Uh oh!

SeiyaKobayashi Sep 22, 2025

Uh oh!

SeiyaKobayashi Sep 22, 2025

Uh oh!

SeiyaKobayashi Sep 22, 2025

Uh oh!

SeiyaKobayashi left a comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

		@@ -0,0 +1,9 @@
		## 1. STARKにおいて、多項式に関する低次元テスト（ LDT, p.39）が必要ですが、これまでみてきた SNARKでは不要でした。なぜSTARKでLDTが必要で、Groth16とPLONKでそれぞれ不要なのかを数式をまじえて説明してみましょう。

		ランダムサンプリングを使うと、もし高次数の多項式でも、低次元の多項式と部分的に一致している値を返せば、偽の証明が作れてしまう。そこで、Low Degree Test を用いて、確かに次数が低いことを検証する必要がある。これは、偽の証明者が次数 $>T$ の多項式 $g(x)$ を作った場合、$f(x)$ と $g(x)$ が $T$ 点以上で一致する可能性がある。一方、Groth16 では trusted setup の過程で保証でき、また、PLONKではKZG多項式コミットメントで保証されている。このことから、低次元テストは必要ない。


		## 2. スライドで説明されている構築方法で、 STARKにゼロ知識性が付与されていません。STARKをzkSTARKに変換する方法を1つ取り上げ、なぜそ方法がゼロ知識性を付与するかを数式ベースで説明してみましょう。

		$f(x)$ を $f^{\prime}(x)=f(x)+r(x)\cdot Z(x)$ のようにする。ここで、$Z(x)$ はゼロ多項式、$r(x)$ は証明者が選ぶランダム多項式である。検証する際の点の集合上では $Z(x)=0$ になるので制約はそのまま、それ以外の点では $f(x)$ の具体的な形が隠れるため、ゼロ知識性が達成される。 No newline at end of file

Conversation

shunpei-bit commented Aug 22, 2025

🎁 Deliverables

💬 Comments

Uh oh!

SeiyaKobayashi Sep 22, 2025

Choose a reason for hiding this comment

Uh oh!

SeiyaKobayashi Sep 22, 2025

Choose a reason for hiding this comment

Uh oh!

SeiyaKobayashi Sep 22, 2025

Choose a reason for hiding this comment

Uh oh!

SeiyaKobayashi left a comment

Choose a reason for hiding this comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants