5. zksnark 几种实现算法性能对比

像 zk-SNARK 这样的零知识证明有很多应用：Zcash利用零知识证明 来保护隐私，Coda和Mir利用零知识证明将整个区块链压缩到只有几K字节，0x和Matter则利用零知识证明将许多交易封装为以太坊 上的单一证明。

1、可信设置

传统的zk-SNARK，例如Groth16有一个主要的缺点：依赖于一个公共 的参考字符串，该字符串使用一次性可信设置创建。该设置创建一个 供证明方和验证方同时使用的参考字符串。这里面有三个主要的问题：

• 可信设置生成的“有毒废料”，如果泄露的话，可以被用于生成无法 检测的伪造证明。多方计算通常会忽略这个问题，但是仪式的协调 异常复杂。
• 可信设置创建的参考字符串通常绑定到一个电路（基本上就是程序）。 不可能为任何计算创建一个单独的可信设置，这使得很多应用都不可行， 例如智能合约。
• 可信设置是一次性的，生成的参考字符串不可升级，这意味着如果 Zcash需要修复其zk-SNARK电路中的哪怕一个很小的bug，也需要一个 新的仪式来部署修复。

2、通用zk-SNARK

新的zk-SNARK构建解决了对可信设置的要求，这意味着像智能合约等 任意代码可以作为zk-SNARK运行。目前有两个不同的方法：

• 透明设置
  设置创建一个共用的参考字符串，公开并且不会创建有毒废料。 这和zk-STARK的机制类似。Fractal、Halo和SuperSonic-CG使用的就是 透明设置。这种方法的缺点在于证明数据量会很大。Fractal和zk-STARK证明 能达到250KB，这对于区块链应用是不现实的。Fractal团队告诉我，他们 正在解决证明数据量过大的问题。Halo和SuperSo