我想我終於理解了 Dory PCS。對此有點發牢騷。 這個想法是我們從 bulletproofs 開始。 在 BP 中，驗證者必須 "相信" 證明者正確地折疊左側和右側生成器，並使用適當的組合 L+alpha R 進行下一輪。 為了使這一切合理，V 最終進行線性時間的組合。 Dory 說 - 當我們有一個配對群時，我們可以在配對目標群中 *預處理承諾* L 和 R，從而可驗證地計算對 L+alpha R 的承諾。 這最終使我們能夠避免線性時間的組合。 到目前為止，這已經消除了 V 的線性時間計算，但我們假設有一個配對，因此至少在可信設置的情況下，也可以使用 KZG，並擁有常數時間的 V。 因此，為了給出更大的 "衝擊"，Dory 將這個想法與可以使用配對的二次承諾結合起來（這在 Abe 等人的舊論文中已知）。 也就是說，將你的多項式視為一個矩陣，對 G1 中的每一行進行承諾，然後對 G_t 中的承諾進行承諾。 這種結合提供了對數驗證者、平方根開放證明者和常數承諾大小。