如何理解zkSNARK协议的这个细节？

Question

作为密码学和zk的初学者，我目前正在研究论文“zk-SNARK为什么和如何工作”。

在那里，我不明白第15页底部的最后一节：

虽然在这种协议中，证明器的灵活性是有限的，但它仍然可以使用任何其他方法来伪造一个证明，而不需要实际使用s提供的幂加密，例如，如果证明器声称仅使用2次幂s^3和s^1就有一个令人满意的多项式，那么在现有协议中是无法验证的。

我想我已经很好地理解了前面的章节。在这一具体的章节中，作者介绍了强同态加密，然后给出了一个zk(例如？)协议，其中验证器向验证器提供加密的秘密值的能力，然后验证器使验证者确信具有多项式p的验证器，而t是其的一部分。但我不明白为什么只使用s^3和s^1，验证器就能愚弄验证者--是只有3和1，还是其他学位？如果你能解释清楚的话我会很高兴的。

Answer 1

报纸上说

虽然在这种协议中，证明器的灵活性是有限的，但它仍然可以使用任何其他方法来伪造一个证明，而不需要实际使用s,提供的功率加密--例如，如果证明器声称仅使用2次幂s^3和s^1就有一个令人满意的多项式，那么在现有协议中是不可能验证的。

我想你误解了这句话。本质上说，如果验证器不限制验证器，或者协议设计不限制验证器，则很可能存在其他(可能更高的)多项式通过测试。

当你继续读到下一页时，这一点就变得更清晰了。限制证明意味着证明者必须证明他/她没有使用s的指数，除了获得结果所需的两个指数外。这是通过进一步描述的KEA机制来实现的。