zk-SNARKS 的安全性與他們評估的算術電路的大小有關嗎?
在 zk-SNARKS 的上下文中,我們得到了一個算術電路 $ C $ , 公共產出 $ y_1, \ldots, y_n = \mathbf{y} $ 和一些公共投入 $ x_1, \ldots, x_ℓ $ . 證明者想要證明一些額外秘密輸入的知識 $ s_1, \ldots, s_m $ 這樣,如果要評估電路 $ C $ 關於輸入 $ x_1…,x_ℓ,s_1,…,s_m $ 結果是 $ \mathbf{y} $ .
在一些應用中,比如在HALO中,遞歸屬性取決於被評估的算術電路的大小。然而它似乎與方案的安全性無關,固定在大約 128 位。如果是這樣,給定一定的安全級別 $ \lambda $ ,可以創建具有任何電路尺寸的 zk-SNARK嗎?(假設電路確實驗證了我們希望證明者擁有的“有效分配”)
我認為 zk-SNARK 的安全性與算術電路的大小之間不一定有直接關係。大多數情況下,zk-SNARK 的安全性取決於您的安全參數、您的加密假設以及您想要實現的安全屬性類型。相比之下,算術電路的大小與 zk-SNARKs 的效率更相關,例如證明者/驗證者的執行時間和證明大小。當然,有時如果你需要一些更強的安全屬性,例如,你想實現通用且可更新的 CRS,這將導致更大的算術電路
我們有多項式恆等式 $$ \begin{equation} A(x) \cdot B(x) - C(x) \equiv h(x) Z(x) \end{equation} $$ 和 $ \deg(Z(x)) = n $ , $ \deg(A(x)) = \deg(B(x)) = \deg(C(x)) = n-1 $ . 隨之而來,最多有 $ 2n-2 $ 根。它也隨之而來,健全性錯誤最多是 $ \frac{2n-2}{q} $ , 進行比較 $ \frac{1}{q} $ Schnorr 協議,對於 $ q $ 是團體訂單。
非正式地,即使對於真正的大型電路,對誤報機率的影響也可以忽略不計:將方程數量與 256 位大小的組階進行比較。對於一百萬個約束/方程的系統,它將是 250 位與 256 位。