在许多依赖多项式承诺的零知识证明系统当中，使用了不同的承诺协议。根据 a16z 的 Justin Thaler 在 2022 年 8 月文章「Measuring SNARK performance: Frontends, backends, and the future」的评估，Brakedown 虽然有较大的 Proof Size，但是无疑是当下最快的多项式承诺协议。9 b: p9 T4 U  R! o$ e3 I

) L- Z# G* ?9 R( ^% nFRI、KZG、Bulletproof 是更为常见的多项式承诺协议，但速度是它们的瓶颈。zkSync 采用的 Plonky、Polygon zkEVM 采用的 Plonky2、Scroll 采用的 Ultra-Plonk 等算法都是基于 KZG 的多项式承诺。Prover 涉及到大量的 FFT 计算和 MSM 运算生成多项式和承诺，这两者都会带来大量的计算负担。 虽然 MSM 有运行多线程加速的潜力，但需要大量内存，即使在高并行下也很慢，而大型 FFT 则严重依赖算法运行时数据的频繁洗牌，难以通过分布式加速跨计算集群加载。
( z% P* X! R$ [" q9 O5 X. t6 i1 V% H* L: B3 N
正是由于有了更为快速的多项式承诺协议 Brakedown，才使这类运算的复杂度大幅降低。, T: B& J, ]% f5 [
$ f# k. J  O0 A
FOAKS 即 Fast Objective Argument of Knowledges，是由 Fox Tech 提出的一种基于 Brakedown 的零知识证明系统框架。FOAKS 在 Orion 的基础上进一步减少 FFT 运算，目标是最终消除 FFT。此外，FOAKS 还设计出一种全新的非常精妙的证明递归方式来减少证明大小。FOAKS 框架的优势在于在实现线性证明时间的基础上有着较小的证明大小，非常适合应用于 zkRollup 场景当中。/ L: b5 F0 l9 s; f0 B; E# |
. y2 q- G/ s3 d; [
下文我们将详细介绍 FOAKS 所使用的多项式承诺协议 Brakedown。
' G7 _9 d+ _& {) ?/ \5 T: L2 O! R- W
9 @1 r; Z8 L2 L. [' S! {/ ]1 b, b在密码学当中，承诺（Commitment）协议由证明者（Prover）对某一个秘密值进行承诺，生成一个公开的承诺值，这个承诺值具有绑定性（Binding）和隐藏性（Hiding），之后提交者需要打开此承诺并将消息发送到验证者，以验证承诺与消息之间的对应关系。这一点，使得承诺协议和哈希函数的作用有许多共通之处，但是承诺协议往往依赖于公钥密码学领域的数学结构。而多项式承诺（Polynomial Commitment）是一类对于多项式的承诺方案，也就是说被承诺值是多项式。而同时多项式承诺协议当中还包含了在给定的点取值并给出证明的算法，这就使得多项式承诺协议本身成为一类重要的密码学协议，是许多零知识证明系统的核心部分。
3 {$ k! k: L6 [: O7 X& ?2 ]3 P. O7 |5 N( ^* E  T$ _9 b9 h7 s$ l
而在最新的密码学领域的研究当中，由于发现了张量积（Tensor Product）和多项式取值之间的联系，所以诞生了一系列与此相关的多项式承诺协议，Brakedown 是其中的代表性协议。
' C* E4 X  R# V7 d
2 H% `" {, {7 q在详细介绍 Brakedown 的协议细节之前，需要先了解一些基础知识。我们需要先了解线性码（Linear Code）、抗碰撞哈希函数（Hash Function）、默克尔树（Merkle Tree）、张量积（Tensor Product）的运算以及多项式取值的张量积表示。
5 M# w+ z2 F* g+ a" }
) Q9 o! p) o5 x2 i# `首先是线性码（Linear Code）。一个消息长度为 k，码字长度为 n 的线性码是一个线性子空间
' A; [- _: O% U- p4 A% R% o8 s  x+ B/ k' u" B( j7 @- g# ~) C