ZK-SNARK基础:了解t(x)，是什么阻止验证程序创建随机h(x)来伪造L、R和O。

Question

在阅读了一些来自这里、这里和这里的ZK解释之后，我仍然不明白一些事情。

算法的建立使用QAP计算多项式P(x) = L(x) * R(x) - O(x)，以及目标除数多项式t(x)，表示目标计算的一般形式。然后，要创建一个证明，验证程序

• 为目标计算的具体参数计算P(x) = L(x) * R(x) - O(x)。
• 计算h(x) = P(x) / t(x)。
• 计算出h(s)、L(1996)、R(B)、O(R)发送给验证者。然后，验证者使用这些值来检查h(s) * t(s) =s( if )*R( then )-O()，还是t除以没有余项的P。

如果证明器知道t(x)，是什么阻止它选择随机h(x)，计算h(x) * t(x)，伪造L(x)，R(x)和O(x)的正确顺序？它将通过“无剩余”验证器检查。它仍然是多项式(E(S^d)的线性组合)，因此也应该满足移位检查的要求。

我遗漏了什么？

Answer 1

请让我承认适当的问题陈述，就QAP而言。也许省略了R1CS，这不是这个问题的重点。

请记住：(1)“高效”(简洁)验证是咆哮的目标，(2)有秘密(证人)“混合”多项式L(), R(), O(), h()。缺少两个点：(1)多项式在一个不被证明器(“有毒废物”)隐藏的随机点\tau上求值，(2)椭圆曲线和双线性运算(配对)。

在\tau上计算的多项式作为组元素被发送给验证。验证方程等价于问题中所述的一个，直到使用Schwartz-Zippel引理计算的一个可忽略不计的可靠性误差(概率)。