Ich denke, ich verstehe endlich Dory PCS. Ein kleines Plädoyer dazu. Die Idee ist, dass wir von Bulletproofs ausgehen. Bei BP muss der Verifier "glauben", dass der Prover die linken und rechten Generatoren richtig faltet und die geeignete Kombination L+alpha R für die nächste Runde verwendet. Um dies schlüssig zu machen, führt V am Ende eine lineare Zeitkombination durch. Dory sagt - wenn wir eine Pairing-Gruppe haben, können wir *in der Vorverarbeitung* zu L und R in der Zielgruppe des Pairings committen und somit verifizierbar das Commitment zu L+alpha R berechnen. Dies ermöglicht es uns letztendlich, die lineare Zeitkombination zu vermeiden. Bisher hat dies die lineare Zeitberechnung von V entfernt, aber wir setzen ein Pairing voraus, also könnte man zumindest modulo einer vertrauenswürdigen Einrichtung auch KZG verwenden und eine konstante Zeit für V haben. Um also einen größeren "Splash" zu erzeugen, kombiniert Dory diese Idee mit zwei-drittel Commitments, die mit Pairings möglich sind (bekannt aus dem alten Papier von Abe et al.) Das heißt, denke an dein Polynom als eine Matrix, committe zu jeder Zeile in G1 und dann committe zu den Commitments in G_t. Diese Kombination ergibt einen logarithmischen Verifier, einen Quadratwurzel öffnenden Prover und eine konstante Commitment-Größe.