ZK/SEC 季刊

精选

Marco Gaglianese2025年11月22日 阅读时长1分钟

学习 Sumcheck、MLE 和 HyperPlonk：使用 SageMath 的交互式教程

educativezksumcheckhyperplonksagemath

一个关于 Sumcheck、Multilinear Extensions 和 HyperPlonk 的全新交互式教程，包含完整的 SageMath 实现和练习。超越理论，通过自己实现来了解这些协议的实际工作原理。

阅读 →

Jason Park2025年11月21日 阅读时长13分钟

更快的 Sumchecks：第一部分

educativezksumcheck

在这篇博文中，我们探讨如何优化 sumcheck 协议，尤其是在处理小域中的值和大域中的随机性时，这在 zkVM 中经常需要。我们介绍了几种旨在减少昂贵操作的算法，重点是最小化大型乘法。从使用简单的评估表到更复杂的技术，如预计算累加器和利用 Lagrange 插值，我们演示了如何有效地组织计算以加快证明时间。读者将深入了解 sumcheck 协议中算术运算的处理，并了解零知识证明中特定情况的优化。

阅读 →

Yoichi Hirai2025年11月19日 阅读时长18分钟

算术电路的形式化验证框架的比较

对算术电路的形式化验证框架进行实践比较，评估 ACL2 Book（r1cs、PFCS）、acl2-jolt、Garden (Rocq)、zk-lean、sp1-lean 和 Clean 中的框架。每个框架都经过可重复性、可用示例（从基本域元素到 RISC-V VM 指令）和实际验证任务（包括 IsZero 和加权和电路）的测试。评估包括人类和 Claude Code 在使用每个框架时的能力，揭示了有关安装难度、证明自动化能力和公开可用示例的成熟度的见解。这篇文章描绘了当前经过形式化验证的 ZK 电路的版图，并讨论了在这个快速发展的领域中接下来会发生什么。

阅读 →

teddav2025年11月18日 阅读时长21分钟

Sigma 舞蹈：提交、挑战、响应

educativezk

通过经典的 Schnorr 协议学习 Σ 协议的基础知识，探索提交、挑战和响应的三步舞蹈。这篇文章介绍了知识可靠性和见证提取，然后展示了如何使用 AND/OR 逻辑和 Pedersen 承诺来组合 Sigma 证明。查看可用的 SageMath 实现，了解 Fiat-Shamir 如何将交互式证明转换为非交互式签名，并理解更深层次的数学结构，即同态原像知识的证明。

阅读 →

Varun Thakore2025年11月17日 阅读时长16分钟

Circle Starks：第四部分，算术化圆

educativezkfri

在我们关于 Circle STARKs 系列的最后一部分中，我们将 Mersenne 素数域、圆曲线和双变量多项式的概念联系起来，以展示一个全面的 Circle STARK 协议。我们详细介绍了在圆曲线上进行算术化的过程，引入 Circle FRI 作为低次测试，并逐步完成完整的 Circle STARK 构造。读者将探索迹承诺、约束批处理和低次证明如何结合以实现高效的可验证计算，深入研究证明有效性和安全分析的细微之处。

阅读 →

Nicolas Mohnblatt2025年11月14日 阅读时长7分钟

邻近性差距：发生了什么以及它如何影响我们的 Snarks

educativesecurityzk

最近的一系列论文否定了邻近性差距猜想，这让每个人都在想基于哈希的 SNARK 是否有麻烦。我们使用一些有用的视觉效果来分解实际发生的事情——将其视为理解哪些参数选择是安全的，哪些参数选择现在已确认为有风险的。这篇文章将引导你了解不同的安全区域（已证明安全、推测安全和绝对不安全），解释这些新结果如何与其他开放的数学问题相关联，并展示它对实际 SNARK 在证明大小和性能权衡方面意味着什么。

阅读 →

Georgios Raikos2025年11月13日 阅读时长18分钟

使用 LaBRADOR 进行游戏：构建具有递归的紧凑的基于格的证明

educativezkpqclattice

在这篇文章中，我们探索 LaBRADOR，这是一个透明的、基于格的证明系统，它通过递归实现亚线性证明大小。LaBRADOR 建立在 Module-SIS 假设之上，允许证明者有效地证明满足点积约束的短向量的知识，这足以表达 R1CS。该协议的关键思想包括摊销的 opening、外部承诺以及在每轮递归后收缩见证的策略。总之，这些技术使 LaBRADOR 成为后量子零知识证明的强大、可扩展的框架。

阅读 →

teddav2025年11月12日 阅读时长28分钟

保持在范围内：深入研究 Bulletproofs

educativezkipabulletproofs

本文分解了 Bulletproofs 如何实现范围证明：证明一个隐藏值位于一个范围内而不泄露它。从位分解开始，它展示了如何将约束表示和组合成一个单一的内积，然后通过 blinding 多项式和承诺使证明为零知识。最后，你将了解像 Monero 的机密交易这样的系统如何在保持值隐私的同时证明有效金额。

阅读 →

Jason Park, Varun Thakore2025年11月11日 阅读时长1分钟

宣布 S-two Book

announcementeducativezkstark

我们很高兴与 Starkware 分享我们在 S-two book 上的合作。如果你对使用 S-two 证明器编写 AIR、在 S-two 中实现 Cairo AIR 或 Circle STARKs 的使用方式感兴趣，那么这篇文章适合你。深入了解这些见解，并加深你对这些有趣主题的理解。

阅读 →

Marco Besier2025年11月10日 阅读时长10分钟

常见的 Circom 陷阱以及如何避开它们 — 第 2 部分

educativesecurityzktoolscircom

这篇文章是我们关于 Circom 陷阱系列文章的第二部分。虽然第 1 部分涵盖了断言、提示和别名的问题，但这一部分探讨了不安全的组件使用以及 Circom 的比较运算符在有符号整数上工作这一微妙的事实。

阅读 →

Nicolas Mohnblatt2025年10月30日 阅读时长9分钟

为什么 FRI 有效？

educativesecurityzkfri

这篇博文解释了 FRI 协议背后的安全直觉，该协议证明一个函数接近于一个有效的 Reed-Solomon 码字。它介绍了“证明者消息图”，这是一种分层结构，可以可视化正确和不正确的 folds 如何影响验证。我们得出结论，如果太多的 folds 不一致，验证者可能会拒绝，但如果大多数是正确的，则初始函数必须接近于一个合适的码字。

阅读 →

teddav2025年10月27日 阅读时长15分钟

展开 Bulletproofs 的魔力：SageMath 深入研究

educativezkipabulletproofs

在这篇文章中，我们深入研究了内积参数 (IPA)，它是 Bulletproofs 的数学核心。从简单的向量 folding 开始，我们构建了一个完整的具有 Pedersen 承诺的零知识证明，探索神秘的 `L` 和 `R` 项是如何出现的，并以智能验证器优化结束。所有这些都用清晰、可运行的 SageMath 代码进行了说明。

阅读 →

David Wong2025年10月23日 阅读时长9分钟

分解 Bulletproofs：没有配对，没有可信设置

educativezkipabulletproofs

通过以可验证的方式计算内积，了解 Bulletproofs 如何在没有可信设置的情况下实现高效的零知识证明。这篇文章分解了通过递归压缩将大向量减少到单个元素的核心 folding 技术，使证明既紧凑又快速验证。Bulletproofs 在 Monero、Mina 的 Kimchi 和 Zcash 的 Halo 2 中使用，是基于配对的方案的实用替代方案。

阅读 →

ZK/SECOctober 21, 2025 阅读时长2分钟

Archetype X zkSecurity - 证明就在布丁中：另一个黑暗森林（链下公钥）

educativezk

在“证明就在布丁中”的第 07 集中，我们探索了另一个黑暗森林——链下公钥领域。我们深入研究 zkLogin、ZK Email 和 ZKPassport，研究这些协议如何处理身份验证和隐私。我们还讨论了隐私协议中的不可链接性问题，以及为什么用零知识证明替换传统的签名验证可以解锁更有趣和更强大的 ZK 产品。

阅读 →

ZK/SECOctober 02, 2025 阅读时长1分钟

Archetype X zkSecurity - 布丁中的证明：数据可用性简介（抽样）

educativezkdata-availability

在最新的“布丁中的证明”会话中，我们与 Archetype 合作，分解数据可用性抽样的要点。我们深入研究 rollup 和 Ethereum 的 DA 系统如何工作，探索 DA 链的角色，并涉及可验证分片的基础知识。这个介绍非常适合任何对数据可用性抽样的基础知识以及这些概念如何在区块链世界中发挥作用感到好奇的人。

阅读 →

David WongSeptember 30, 2025 阅读时长3分钟

Halo2 作为证明的优雅 Transcript

educativezkhalo2plonk

在这篇博文中，我们探索了 Zcash 的 halo2 实现中的一个巧妙设计，用于保护 Fiat-Shamir 转换。通过使用可变的 transcript，该过程确保自动吸收值，从而减少潜在的错误。你将找到对点和标量的 `write` 和 `read` 函数的不同角色的解释，强调了这种抽象如何使证明者-验证者的交互无缝且安全。如果你对密码协议的内部工作原理感到好奇，这是一篇引人入胜的文章。

阅读 →

Martín OchoaSeptember 19, 2025 阅读时长12分钟

Kocher 的时序攻击：从理论到实践的旅程

educativesecuritycryptanalysis

Paul Kocher 在 1996 年的时序攻击表明，执行时间上的微秒差异可能会从 RSA 实现中泄漏私钥。本教程重现了从干净操作计数到嘈杂的挂钟测量再到复杂的工程解决方案的攻击过程。学习方差区分器，探索教科书模块化算术，并发现使实际时序攻击成为可能的测量技术，尽管存在系统噪声。

阅读 →

• 原文链接： blog.zksecurity.xyz/post...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～