ZKP MOOC 第6课：基于配对和离散对数的多项式承诺

在本次讲座中，Yupeng Zhang 讨论了基于双线性配对和离散对数的多项式承诺方案，重点介绍了 KZG 多项式承诺方案及其变体，以及无可信设置的多项式承诺方案。

核心内容

1. 多项式承诺的定义与结构：多项式承诺是一种协议，允许证明者在不直接发送多项式的情况下，承诺一个多项式，并在后续的查询中提供该多项式在特定点的评估值及证明。KZG 多项式承诺方案通过生成全局参数、承诺多项式、评估和验证四个算法实现。

2. KZG 多项式承诺方案：该方案依赖于双线性配对，具有高效的性能，承诺和证明的大小均为常数（一个群元素），验证时间为单个配对操作。然而，该方案需要可信的设置，即生成一个秘密参数 tau，并在生成后将其删除，以确保安全性。

3. 无可信设置的多项式承诺方案：为了解决 KZG 方案的可信设置问题，提出了基于离散对数的无可信设置方案，如 Bulletproofs。Bulletproofs 通过递归减少多项式的度数，最终在最后一轮直接发送常数大小的多项式进行验证。尽管其证明大小为对数级别，但验证时间仍为线性。

4. 后续改进：后续的研究如 Hyrax、Dory 和 Dark 方案进一步优化了验证时间，Hyrax 将验证时间降低到平方根级别，而 Dory 和 Dark 方案则实现了对数级别的验证时间和证明大小。

关键论据与信息

• 多项式承诺的四个算法：包括密钥生成、承诺、评估和验证。
• KZG 方案的安全性：基于知识声称的假设，确保证明者无法伪造评估值。
• Bulletproofs 的递归结构：通过将多项式分为左右两部分，利用随机线性组合来减少多项式的度数。
• 后续方案的优势：Hyrax、Dory 和 Dark 方案在不牺牲安全性的前提下，显著提高了效率，尤其是在验证时间方面。

总之，本次讲座深入探讨了多项式承诺的理论基础及其在零知识证明中的应用，展示了如何通过不同的技术手段来优化性能和安全性。