qesa——零知识证明，无需trusted setup

论文《Efficient zero-knowledge arguments in the discrete log setting,revisited (Full version)》发表于2019年8月31日。
相应的代码实现见：https://github.com/crate-crypto/qesa

根据第2.2节内容，qesa不需要trusted setup，需用到common reference string model（CRS）.

1. polynomial commitment

2. LMPA

在本人代码库中create_lmpa_noZK()和verify_lmpa_noZK()函数对protocol 3.9中k值的选择做了更通用的实现，而不仅仅是针对k=2的情况。
对应的u_proof_Block中需要传递的group elements数量为：$[2(k-1)+1]m{\log }_{k}n$，该算法的communication开销较大，与方程式的个数$m$线性相关。

simple_zk.rs中的create()函数采用的是类似sigma-protocol的方式对witness $w$来实现blinding (zero-knowledge)——$z=r+\beta w$。但是需要计算并传输$[A]r=a$开销很大。（Computing [A]r for random r is expensive.）

因为对blinding witness的计算复杂度较高，可考虑blinding the prover’s responses.

3. 巧妙的矩阵转换来表示二次方程式、Arithmetic circuit和R1CS

上图对应的可理解为：
$\left(\begin{array}{cc}1& {\vec{w}}^T\end{array}\right)\left(\begin{array}{cc}0& 0\\ -\vec{c}& \vec{a}{\vec{b}}^T\end{array}\right)\left(\begin{array}{c}1\\ \vec{w}\end{array}\right)$
$\Rightarrow ({\vec{w}}^T\vec{a})({\vec{b}}^T\vec{w})-{\vec{c}}^T\vec{w}=0$

3.1 结合vitalik(Quadratic Arithmetic Programs: from zero to hero)

结合vitalik(Quadratic Arithmetic Programs: from zero to hero) 中gate 1的R1CS证明实现，见https://github.com/3for/qesa/blob/master/src/ipa/qesa_inner.rs中的test_create_qesa_inner_proof_vitalik_g1()，具体为：
${\Gamma }_i=\left(\begin{array}{cccccc}0& 0& 0& 0& 0& 0\\ 0& 1& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0\\ -1& 0& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0\end{array}\right)$
$w^T=\left(\begin{array}{cccccc}1& 3& random& 9& random& random\end{array}\right)$
具有$w^T{\Gamma }_{i}w=\vec{0}$。

算法设计得巧妙，不过verifier的计算复杂性相对于prover来说，减少得有限？

4. 性能

5. 基于的假设为Matrix kernel assumption

基于以上Matrix kernel assumption假设，所以有：

参考资料：
[1] 论文《Efficient zero-knowledge arguments in the discrete log setting,revisited (Full version)》
[2] https://github.com/topics/zero-knowledge?o=desc&s=stars