Anemoi hash:一种SNARK-friendly的哈希函数

随着zk的兴起，出现了一大批zk友好且面向算术化(Arithmetization-Oriented)的哈希函数，如MiMC-Hash, Rescue–Prime, Poseidon等等，本文要介绍的Anemoi是今年新出的一种zk友好且面向算术化的哈希函数，与其他哈希函数相比，Anemoi具有以下特点：

• 可以被用于Groth16, Plonk等证明系统中

• 包含对特定应用的优化，如merkle tree的证明

• 性能优越，参见下表

  

1. Flystel Structure

Flystel结构是butterfly和Feistel的结合：butterfly + Feistel = Flystel

图(a)是开放的Flystel结构，图(b)是封闭的Flystel结构，图(a)通过一次旋转即可得到图(b)，这样做的好处是消除了逆运算。

在实际运算中Flystel一般定义在$F_q$中，并且$Q_r(X)=\beta x^2+\gamma$，$Q_{\delta }(X)=\beta x^2+\delta$，$E(X)=X^{\alpha }$

所以对于封闭的Flystel结构，我们有下面等式成立
$$\begin{gathered} u=(y-v{)}^{\alpha }+\beta v^2+\delta \\ x=(y-v{)}^{\alpha }+\beta y^2+\gamma \end{gathered}$$

2. Anemoi

Anemoi每轮主要由 constant addition 、linear layer M和 S-box layer这三步构成：

• 如果$l$很小，那么域则需要很大，一般用于基于配对的证明系统，如groth16，plonk等

• 如果$l$很大，则域不需要很大，一般用于基于FRI的证明系统

  我们知道
  $$\begin{gathered} u=(y-v{)}^{\alpha }+\beta v^2+\delta \\ x=(y-v{)}^{\alpha }+\beta y^2+\gamma \end{gathered}$$
  一般$\beta$取生成元$g$，$\gamma$取零，$\delta$取$g^{-1}$，则
  $$\begin{gathered} u=(y-v{)}^{\alpha }+g{v}^2+g^{-1} \\ x=(y-v{)}^{\alpha }+g{y}^2 \end{gathered}$$
  一式减二式，可得
  $$u-x=g(v^2-y^2)=>u=x+g{v}^2-g{y}^2+g^{-1}$$
  以及由二式，可得
  $$x-g{y}^2=(y-v{)}^{\alpha }=>v=y-(x-g{y}^2{)}^{{\alpha }^{-1}}$$
  从而可得输出$u,v$，与上图中的S-box输出对应
  $$\begin{gathered} v=y-(x-g{y}^2{)}^{{\alpha }^{-1}} \\ u=x+g{v}^2-g{y}^2+g^{-1} \end{gathered}$$

2.1 Diffusion Layer M.

当 l ∈ { 1 , 2 , 3 , 4 } l \in \{1,2,3,4\} l∈{1,2,3,4}时，我们可以使用矩阵$M_x^l$来表达，如
M x 1 = M x 2 = [ 1 g g g 2 + 1 ] M_x^1=M_x^2 = \left[ 1ggg2+1

\right] Mx1​=Mx2​=[1g​gg2+1​]
输出等于
$$[x_0,x_1]\cdot M_x^2$$

2.2 S-box Layer S

令H是Flystel结构，则
$$S(X,Y)=(H(x_o,y_o),...,H(x_{l-1},y_{l-1}))$$

2.3 完整的Anemoi

遵循海绵结构构造

3. R1CS 约束

我们使用封闭的Flystel结构，得到如下S-Box验证等式
$$\begin{gathered} (y-v{)}^{\alpha }+\beta v^2+\delta -u=0 \\ (y-v{)}^{\alpha }+\beta y^2+\gamma -x=0 \end{gathered}$$

参考

1. https://eprint.iacr.org/2022/840.pdf
2. https://github.com/anemoi-hash/anemoi-hash
3. https://github.com/FindoraNetwork/noah/blob/develop/crypto/src/basic/anemoi_jive.rs