Technique Description

1. Permutation cycle

Halo2 book 上说的算法稍微有点晦涩难懂（个人一开始没看懂），这里将通过一个简单实例来简单的表达下其主要思想，首先，让我们先看一个定义：

Define: cycle(a,b,c) => 表示元素之间的循环映射关系，即：map[a] = b, map[b] = c, map[c] = a，此定义可以延伸到任意大小的 cycle。

现在，考虑一个多项式 f(x)， 其部分点的取值为下表所示：

Figure1 permutation cycle composition

2. Without zero knowledge

Note1: 为了便于理解，先暂时忽略 zero knowledge 特性；

Note2: 在 Halo2 中，circuit 的所有信息由一个 table 表示，table 大小取决于 circuit 的大小

和 Lookup argument 类似，我们将在一个 table 上

(2^k rows，index 从 0 开始 ) 论述多列数据部分元素之间的 equality property，即 copy constraint。如下图例所示，存在三组数据，分别占用了 table 的三列（cell 的数据格式如图中右上角所示）：

Figure2 copy constraint in halo2

如图所示：存在三列数据，分别对应三个多项式 V₃(X), V₅(X), V₇(X) 依次在{X = 0…2^k-1}之间的值；可以发现，在不同的多项式之间，我们对部分的 X 上的值进行了相等约束（copy constraint，如图中紫色和蓝色线条所示），因此，接下来，我们将通过 permutation argument 协议，来证明我们所希望的那些值相等的点 X，确实是成立的。

3. Permutation Argument Protocol:

Step1: Label And Define permutation index polynomial S

和 Lookup argument 不同，Permutation argument 明确指定了相等值的具体位置，如图中的 V₃(1) = V₅(0) 等；因此，需要定义一个新的多项式来表示不同的多项式之间的索引对应关系，具体的如下图所示：

Figure 3 define permutation index polynomial S

以第 column index = 7 的多项式 V₇(X) 为例，其对应的置换索引多项式 S₇(col:i, row:j) 的真值为图中右侧所示。

由于引入了随机数β和γ，因此，当且只有 copy constraints 真正满足时，图中紫色线条和蓝色线条连接的两个 cell，才能以接近于 1 的概率确保相等（根据 Schwartz-Zippel 定理），因此最终分子和分母累乘的结果也是相等。

4. Introduce zero knowledge

和 Lookup argument 类似，我们需要引入一些随机数来实现 zero knowledge，如果总的 rows 数为 2^k ，有效的为 rows 数 u,  无效的 rows 数 t,  则需要满足 u+t+1=2^k 。

新增了两个 selector：

1. q_blind ，最后 t 行，值为 1，其他为 0

2. q_last ，row u 值为 1，其他为 0（在 usable rows 和 blind rows 中间）

根据多项式的 Z_p(X) 的公式可知，Z_p(w^u)=1( 分子分母值得集合相同 )。值得注意的是,这个约束，把 Z_p(w^u) 约束在了{0,1}范围内,但是为 0 的概率非常小

如图所示，切分粒度以 2 为例，假设 m = 3。我们先对多项式 V₃(X),V₅(X) 进行累乘操作，此时标记为 Z_p,₀(X) 且 Z_p,₀(w⁰)=1 ，当累乘到最后一个点时，即 j = u 时（u 为有效的 rows number），此时标记为 Z_p,₀(w^u) ；然后启动第二个 chunk 的累乘，此时标记为 Zp,1(X) 且满足 Z_p,₁(w⁰)=Z_p,₀(w^u) ，直到最后一个点时，需满足 Z_p,₁(w^u)=1 。

其中: 0 ≤ a < b ; b = ceil (m / b)

第一行约束不变：