zkSnark电路

Question

在实际应用中，需要证明电路总是具有较大的尺寸，可能有近十亿个门，当将这种电路转换为QAP时，会产生一个很大的多项式，这是一个高成本的使用zkSNARK。因此，是否可以将电路分解成不同的子电路，以减小电路的规模和多项式的规模？

Answer 1

大电路无疑是验证系统的瓶颈。将它们分成子电路(通常被称为“小工具”)主要是一种编程结构:小工具相当于电路中的函数、方法或类。

为了举例说明，想象一下(非正式的)语句“我发送给你的数据解密为一幅图片”。证明该语句涉及多个步骤，您可以将其分解为

1. 解密数据(证明您知道解密密钥)
2. 检查数据(证明解密的数据实际上是一幅图片)

第一步涉及一个与解密和身份验证等价的电路(这说明了密钥的知识)，该子电路的输出可以输入到第二子电路，第二子电路检查输出实际上是一幅图像。

回到你的问题:不，这不允许更紧凑的电路(至少在我所知道的证明系统中不允许)，因为它只是一个编程构造，程序员的一种抽象。但是，它允许单独研究这些小工具的性能，并可能对它们进行优化。

根据手头的问题，您可能对递归证明组合(例如1)感兴趣，它允许递归嵌套一个电路。如果您正在考虑增量可验证的计算(IVC)或带证据的数据(PCD)，这尤其有用。

1 Bowe，Sean，Jack和Daira。"Halo:没有可信设置的递归证明组合。“暗号。ePrint Arch.2019年(2019年)：1021。