我们可以用PHE或SWHE代替ZK-SNARKS中的双线性配对吗？

Question

在ZK中，双线性对被用来进行“加密计算”。我想知道我们是否可以用部分同态加密或某种同态加密来代替双线性配对。请你详细说明一下为什么应该或不应该使用它们吗？

Answer 1

是的，这是可能的，事实上，它已经完成了，部分同态加密(例如在本论文中)和一些同态加密(这里和这里)。

主要的区别是，使用这些原语而不是配对的SNARG不再是可公开验证的。事实上，假设简化了你应该用配对来执行一个“乘法”和一些加法，如果指数是0，那么验证就会成功。在进行配对时，每个人都可以公开检查最终的“零测试”。然而，当用同态加密方案代替它时，您最终得到的是零的加密。要检查这是否加密为零，需要知道该方案的密钥。因此，这些SNARG仅限于指定验证者:它们只能由特定密钥的所有者进行验证(并且该密钥不能公开，因为知道它允许伪造证据)。