54、零知识协议中的约束提炼

零知识协议中的约束提炼

1. 引言

零知识（ZK）协议允许一方（证明者）在不泄露“陈述”真实性之外任何信息的情况下，使另一方（验证者）相信该陈述为真。其中，陈述是实例（证明者和验证者都知道的公共输入）与见证（仅证明者知道的私有输入）之间的关系，且见证属于非确定性多项式时间（NP）复杂度类中的语言L。

最流行、高效且通用的ZK协议是ZK - SNARKs（零知识简洁非交互式知识论证）。它具有诸多优点，如证明者和验证者无需交互，且无论被证明陈述的大小如何，证明的规模都很简洁。这些特性使ZK - SNARKs成为许多涉及强隐私问题的现实应用中的关键工具，例如Zcash，同时也用于智能合约的ZK - rollups以增强分布式账本的可扩展性。

ZK - SNARKs在算术电路模型下运行，NP语言L是可满足的算术电路。算术电路的门由模p的加法和乘法组成（p通常是约254位的大素数），电路的线称为信号，可携带素有限域Fp中的任何值。在ZK环境中，通常有一组公共输入，证明者需证明她知道其余信号的有效赋值（即见证）以满足电路。大多数ZK - SNARK协议采用秩1约束系统（R1CS）来编码电路和线赋值。

虽然ZK协议保证恶意验证者无法从证明中提取见证，但不能阻止验证者直接攻击陈述。因此，证明者了解被证明陈述的难度很重要。然而，对于应用ZK协议进行复杂计算的密码开发者来说，评估所产生计算问题的实际难度具有挑战性，因为R1CS可能包含冗余约束，这些约束不增加计算陈述的难度，却可能误导开发者认为陈述比实际更复杂。提炼相关约束一方面可提高效率，减少生成ZK证明的成本（时间和空间），另一方面可避免开发者的误判。寻找系统解的难度主要取决于非冗余非线性约束的数量。

本文