Ik denk dat ik Dory PCS eindelijk begrijp. Een kleine rant erover. Het idee is dat we beginnen met bulletproofs. In BP moet de verifier "geloven" dat de prover de linker- en rechtergeneratoren correct vouwt, en de juiste combinatie L+alpha R gebruikt voor de volgende ronde. Om dit solide te maken, doet V aan lineaire tijdscombinatie aan het einde. Dory zegt - wanneer we een pairinggroep hebben, kunnen we *in preprocessing* toewijden aan L en R in de pairingdoelgroep, en zo verifiëerbaar de toewijding aan L+alpha R berekenen. Dit stelt ons uiteindelijk in staat om de lineaire tijdscombinatie te vermijden. Tot nu toe heeft dit de lineaire tijdsberekening van V verwijderd, maar we gaan uit van een pairing, dus tenminste modulo een vertrouwde setup, had ook KZG kunnen gebruiken, en een constante tijd V hebben. Dus om een grotere "splash" te geven, combineert Dory dit idee met twee-derde toewijdingen die mogelijk zijn met pairings (bekend van een oud artikel van Abe et. al) Dat is, denk aan je poly als een matrix, commit aan elke rij in G1 en commit dan aan de toewijdingen in G_t. Deze combinatie geeft een logaritmische verifier, sqrt opening prover, en constante toewijdingsgrootte.