一起养成写作习惯！这是我参与「掘金日新计划 · 4 月更文挑战」的第21天，点击查看活动详情。

接着昨天写完基本构造的最后一步。

基本构造

经过前面的步骤构建出了一个可证明算术电路C，那基于这个电路就可以开始搭建一个zk-SNARK系统了~

zk-SNARK

• 构成（核心算法）
  • $Setup(C)\rightarrow(S_p,S_v)$
    • 由一个可信第三方基于电路C分别生成两组的参数，其中$S_p$发给证明者P用于生成证明，$S_v$发给验证者V用于验证。
    • 这些参数会与一个些随机值有关，这些随机值中包含挑战，非交互式也就是基于此实现的（原本由V生成的随机挑战交给可信第三方）。
    • 具体的参数内容将在后面将原理之类内容的章节详细叙述，是一堆形如$g^{balabala}$的数值。
  • $Prove(S_p,r,u)\rightarrow\pi$
    • P基于参数生成一个证明其拥有私密内容$r$的证明$\pi$，将其发送给V。
    • 这个证明内容中其实不仅包含对知识的证明，还有P正确使用了参数与电路等内容的证明.
  • $Verify(S_v,x,\pi)\rightarrow PASS?$
    • V基于参数计算一系列结果，验证P是否真的拥有私密内容$r$。
    • 验证的内容也包括很多，要每一步计算都正确才算通过验证，也就是说P严格履行了协议的每一步且拥有私密知识$r$。
• 总结就是：P通过$\pi$向V证明ta拥有一个私密内容$r$，使得$C(r,u)=0$成立。

至此介绍完了zk-SNARK的基本结构内容。

算法概览

从论文里截了一张图，大概概括一下协议内容： 可以看到其实基本构成就是上面的三个步骤，然后可以看到生成了超级多的参数用来辅助验证。但其实只是看着复杂，实际生成的证明$\pi$的空间复杂度其实只有$O(\log C)$。验证可以看到要验证三个部分，首先是知识（私密内容）的拥有，后面两个用来验证P有诚实地使用各项参数并遵守协议规定，看似复杂，但实际验证复杂度只有$O(|x|+\log |C|)$。

后面先介绍私密交易的例子，和ZCash中的应用的例子，然后开始数学基础知识和各种证明。

参考

[1] 浅谈零知识证明之二：简短无交互证明（SNARK）_安比实验室SECBIT的博客-CSDN博客
[2] Anon. n.d. ‘Succinct Non-Interactive Zero Knowledge for a von Neumann Architecture | USENIX’. Retrieved 28 April 2022 (www.usenix.org/conference/…).

【四月更文挑战艰难完成第三关，赶紧写论文了】