问题拆解

1. 调研任务的核心是全面梳理现有的零知识证明系统，并针对每个系统提供详细的技术特征、性能指标和应用情况。
2. 调研范围需涵盖广泛，不仅包括基于多项式的证明系统，也应包含如 Sigma 协议等其他类型的证明系统。
3. 对于每个证明系统，需要明确其：
   • 算术化工具（例如：Arithmetic Circuits, R1CS, QAP, AIR, Plonkish 等）。
   • 将交互式证明（IP）转换为非交互式论证（Argument）的技术（例如：Fiat-Shamir 变换, 通用参考串 (CRS), PCP 定理等）。
   • 所使用的多项式承诺方案（Polynomial Commitment Scheme, PCS），如果适用。
   • 证明大小、证明生成和验证过程的时间与空间复杂度。
   • 实际应用场景及采用该证明系统的具体项目。
4. 研究应侧重于证明系统本身的技术细节和应用，而非零知识证明的基础概念（如算术化、PCS、IP到Argument的转换原理）。
5. 研究需尽可能多地列举证明系统，并对每个系统的技术组成进行简要解释。
6. 研究内容应优先关注已成熟应用的证明系统，同时辅以对最新研究进展（如2023-2025年出现的新系统）的简要介绍。
7. 在性能指标方面，需要全面关注，包括但不限于证明生成时间、验证时间、证明大小以及是否需要可信设置等。

行动计划

1. 初步调研与系统分类：

   • 进行广泛的网络搜索，初步识别和收集当前主流及新兴的零知识证明系统名称和基本分类。重点关注学术论文、密码学会议（如CRYPTO, Eurocrypt, Asiacrypt, CCS, S&P）、行业研究报告以及知名研究机构（如ZKProof.org）和项目（如Ethereum Foundation, StarkWare, Matter Labs, Aztec, Scroll等）发布的信息。
   • 将收集到的证明系统进行初步归类，例如分为Sigma协议、基于PCP的证明、基于多项式IOP的证明（如SNARKs, STARKs）等。

2. 深入剖析各类证明系统：

   • 针对每个已识别的证明系统，进行专项深度信息检索。
   • 技术细节挖掘：
     • 查阅相关学术论文、技术文档和项目源码（若开源），以确定其核心技术组件：算术化方法（如R1CS, QAP, AIR, Plonkish, Arithmetic Circuits等）、IP到Argument的转换机制（如Fiat-Shamir, CRS, PCP等）以及所采用的多项式承诺方案（如KZG, FRI, Bulletproofs-PCS, IPA等）。
     • 对这些技术组件进行简要的功能性描述。
   • 性能复杂度分析：
     • 收集关于证明大小、证明生成时间、验证时间以及相关预处理（如CRS生成）时间和空间复杂度的信息。注意区分理论复杂度与实际工程实现中的性能表现。
     • 关注证明系统是否需要可信设置（Trusted Setup）及其类型（如通用可更新的设置 vs. 特定电路的设置）。
   • 应用场景与项目调研：
     • 搜集该证明系统在不同领域的应用案例，如区块链（扩容、隐私交易、桥）、去中心化身份、隐私计算、可验证计算、机器学习等。
     • 列举使用该证明系统的具体项目或产品，并简述其应用方式。

3. 关注成熟应用与最新进展：

   • 在信息收集中，优先获取那些已经在实际项目中得到广泛部署和验证的成熟证明系统的信息。
   • 同时，通过查阅最新的学术会议论文（特别是2023-2025年）、预印本网站（如ePrint IACR）以及行业前沿动态，简要梳理和介绍最新的证明系统研究进展和趋势，即使它们尚未大规模应用。

4. 信息整合与报告框架构建：

   • 将收集到的信息按照用户要求的结构进行系统化整理。为每个证明系统创建一个条目，清晰列出其算术化工具、IP转换技术、PCS（若有）、复杂度指标、应用案例和项目。
   • 确保信息来源的可靠性，优先引用学术出版物、官方项目文档和权威行业分析。

5. 对比分析与总结（初步）：

   • 在整理信息的基础上，进行初步的横向对比，分析不同证明系统在技术特点、性能和适用场景上的差异。
   • 总结各类证明系统的优势与局限性。

6. 内部审查与迭代完善：

   • 对整理好的信息框架进行逻辑性、准确性和完整性审查。
   • 根据审查结果，补充缺失信息，修正错误，优化表述，确保报告框架清晰易懂、内容全面。

信息来源参考：

• 学术数据库与会议：Google Scholar, IACR ePrint Archive, ACM Digital Library, IEEE Xplore；CRYPTO, Eurocrypt, Asiacrypt, CCS, S&P, USENIX Security等会议论文集。
• 行业研究与社区：ZKProof.org, ZK Summit proceedings, Vitalik Buterin's blog, Ethereum Research forum, Messari, Delphi Digital等加密研究机构的报告和文章。
• 项目官方文档与博客：StarkWare, Matter Labs (zkSync), Polygon (Hermez, Miden, Zero), Aztec, Scroll, Mina Protocol, Aleo, Filecoin, Zcash等项目的官方网站、GitHub仓库、技术文档和博客。
• 在线课程与教程：Coursera, EdX,以及一些大学公开的密码学或区块链课程资料。
• 专业书籍与综述文章：关于零知识证明、密码学和区块链技术的专业书籍和最新的综述性论文。

I need to gather more detailed information about the various zero knowledge proof systems. Let me search for more specific information about the technical details of different ZK proof systems.

I need to search for more specific information about each proof system and their technical details. Let me search for information about SNARKs first.

I need to search for more specific information about STARKs and other proof systems. Let me continue my research.

已掌握的信息

1. zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge):

   • 算术化工具:
     • 通常使用R1CS (Rank-1 Constraint System) 或 QAP (Quadratic Arithmetic Program)。QAP是将R1CS转换为多项式问题的一种方式。
       • 来源: CSDN博客 "zk-snark之R1CS->QAP 原创" (https://blog.csdn.net/weixin_43179764/article/details/102807826) 提及了R1CS到QAP的转换。
       • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提及了R1CS。
     • 一些现代SNARKs（如Plonk及其变种）使用Plonkish算术化。
   • IP到Argument的转换:
     • 通常依赖于可信设置（Trusted Setup）生成的通用参考串 (CRS)。
     • Fiat-Shamir变换也常用于将交互式协议转换为非交互式。
   • 多项式承诺方案 (PCS):
     • 常用的有KZG (Kate-Zaverucha-Goldberg) commitment scheme，通常与基于配对的SNARKs结合使用。
       • 来源: eprint.iacr.org 上的 "[PDF] Understanding zk-SNARKs: The Gap Between Research and Practice" (https://eprint.iacr.org/2025/172.pdf) 提到 "pairing PCS"。
     • 其他PCS如IPA (Inner Product Argument) 也被用于某些SNARKs（如Halo）。
   • 复杂度:
     • 证明大小：通常非常小（常数级别或对数级别）。
     • 验证时间：通常非常快（常数级别或与公开输入大小相关）。
     • 证明生成时间：相对较慢，通常与电路大小呈拟线性或更高阶关系。
     • 可信设置：大多数经典SNARKs（如Groth16）需要特定于电路的可信设置。一些较新的系统（如Marlin, Plonk的部分变种）支持通用且可更新的可信设置，或者像Halo那样完全移除可信设置。
   • 应用: 区块链扩容 (zk-Rollups), 隐私交易 (如Zcash), 私有智能合约, 可验证计算。

2. zk-STARKs (Zero-Knowledge Scalable Transparent Argument of Knowledge):

   • 算术化工具:
     • 主要使用AIR (Algebraic Intermediate Representation)。
       • 来源: eprint.iacr.org 上的 "[PDF] Study of Arithmetization Methods for STARKs" (https://eprint.iacr.org/2023/661.pdf) 探讨了STARKs的算术化方法。
   • IP到Argument的转换:
     • 使用Fiat-Shamir变换将基于交互式预言证明 (IOP) 的协议转换为非交互式。
   • 多项式承诺方案 (PCS):
     • 主要使用FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity)。
       • 来源: GitHub Pages 上的 "深入理解zk-STARK证明系统" (https://trapdoor-tech.github.io/zkstark-book/chapter_1.html) 解释了STARK中如何使用默克尔树和FRI进行多项式承诺。
       • 来源: eprint.iacr.org 上的 "[PDF] A note on adding zero-knowledge to STARK" (https://eprint.iacr.org/2024/1037.pdf) 讨论了FRI。
   • 复杂度:
     • 证明大小：相对较大（通常是电路规模的对数多项式级别）。
     • 验证时间：快（通常是电路规模的对数多项式级别）。
     • 证明生成时间：相对较快，但仍与电路规模相关。
     • 可信设置：不需要 (Transparent)，这是其主要优势之一。
   • 应用: 区块链扩容 (如StarkNet, StarkEx by StarkWare), 可验证计算。

3. Bulletproofs:

   • 算术化工具:
     • 通常用于证明R1CS关系的知识。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到其可用于证明R1CS。
   • IP到Argument的转换:
     • 使用Fiat-Shamir变换。
   • 多项式承诺方案 (PCS):
     • 其核心是一种基于内积论证 (IPA) 的高效协议，可以看作是一种PCS。
   • 复杂度:
     • 证明大小：小，与电路规模呈对数关系。
     • 验证时间：与电路规模呈线性关系（比SNARKs慢，但比没有可信设置的SNARKs有优势）。
     • 证明生成时间：与电路规模呈线性关系。
     • 可信设置：不需要 (Transparent)。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 强调了其高效性、紧凑性和无需可信设置。
   • 应用: 隐私交易 (如Monero, Grin中的范围证明), 保密多方计算。

4. Sigma Protocols:

   • 算术化工具: 通常不直接使用复杂的算术化技术如R1CS或AIR。它们直接证明关于代数群中元素的关系（例如，知识的离散对数，知识的离散对数相等性等）。
   • IP到Argument的转换:
     • 本身是交互式的（三步协议：承诺-挑战-回应）。
     • 可以使用Fiat-Shamir变换将其转换为非交互式签名或证明，此时需要一个随机预言机（通常用哈希函数实例化）。
   • 多项式承诺方案 (PCS): 通常不适用，因为它们不直接处理多项式。
   • 复杂度:
     • 证明大小：通常较小。
     • 证明生成和验证时间：非常快。
     • 可信设置：通常不需要，但如果用于构造需要CRS的系统（如某些SNARKs的组件），则可能间接依赖。
   • 应用: 数字签名 (如Schnorr签名), 身份验证, 投票系统, 作为更复杂零知识证明系统的构建模块。

行动计划

1. 深化对各类SNARK变体的调研：

   • 针对具体的SNARK方案（如Groth16, PGHR13 (Pinocchio), GGPR13, Marlin, Plonk, Sonic, Supersonic, Halo/Halo2, Fractal, Spartan等）进行逐一分析。
   • 需查询信息：每个方案具体的算术化（R1CS, QAP, Plonkish自定义门等），IP到Argument转换细节（CRS类型，Fiat-Shamir应用点），PCS（KZG, IPA, FRI, DARK等），精确的复杂度（包括常数因子和对数因子的影响），可信设置的具体要求（是否通用、可更新、特定电路），以及代表性应用和项目。
   • 信息来源：原始学术论文（通过Google Scholar, IACR ePrint Archive搜索），项目文档（如Zcash, Ethereum, Aztec, Mina Protocol, Aleo等），以及高质量的密码学博客和综述文章。

2. 细化STARKs及其变种的调研：

   • 除了基础STARKs，调研是否有显著的变种或特定优化（例如针对不同代数结构或哈希函数的STARKs）。
   • 需查询信息：AIR的具体构造细节，FRI协议的参数选择对性能的影响，最新的性能数据，以及StarkWare生态之外的应用。
   • 信息来源：StarkWare的官方文档和博客，相关学术论文，行业分析报告。

3. 深入理解Bulletproofs及其扩展：

   • 调研Bulletproofs在范围证明之外的应用，以及是否有基于Bulletproofs思想的更新的证明系统（如Bulletproofs++，压缩Bulletproofs等）。
   • 需查询信息：其内部IPA机制的细节，如何与其他协议（如R1CS）集成，最新的性能优化和应用案例。
   • 信息来源：原始论文，Monero和Grin等项目的技术文档，密码学研究社区的讨论。

4. 系统性梳理Sigma协议及其应用：

   • 列举更多具体的Sigma协议实例（如证明Diffie-Hellman元组知识，证明Pedersen承诺知识等）。
   • 需查询信息：每个协议证明的具体陈述，其效率，以及如何通过Fiat-Shamir转换为非交互式证明，并分析转换后的安全性和效率。它们作为构建块在哪些更复杂的ZKP系统中被使用。
   • 信息来源：密码学教材，学术论文，标准化文档（如有）。

5. 调研其他类型的证明系统：

   • GKR协议 (Goldwasser-Kalai-Rothblum)：
     • 需查询信息：其算术化（针对低深度算术电路），IP到Argument转换（通常是交互式的，或用Fiat-Shamir），是否使用PCS，复杂度（与电路深度和大小的关系），应用（特别是在可验证计算和某些MPC场景）。
   • Plonkish算术化系统：除了Plonk本身，调研其他明确采用或基于Plonkish思想的系统（如一些自定义SNARKs）。
     • 需查询信息：Plonkish算术化的灵活性如何被利用，相关的PCS选择，性能特点。
   • 信息来源：相关学术论文，密码学会议记录。

6. 关注最新的证明系统进展（2023-2025年）：

   • 需查询信息：通过检索最新的学术会议（CRYPTO, Eurocrypt, Asiacrypt, CCS, S&P）论文和IACR ePrint Archive，识别在2023年至2025年间提出的有影响力的新证明系统或对现有系统的重大改进。关注其声称的优势、技术构成和潜在应用。
   • 信息来源：IACR ePrint Archive, 主要密码学和安全会议的网站/论文集。

7. 统一整理和对比分析：

   • 为每个调研的证明系统创建一个标准化的信息条目，包含所有用户要求的字段。
   • 在收集完单个系统的信息后，进行横向对比，总结各类系统在不同指标（证明大小、生成/验证时间、可信设置、透明性、量子安全性假设等）上的优劣和适用场景。

8. 查找具体项目和应用实例：

   • 对于每个证明系统，尽可能找到至少1-2个正在使用或基于其构建的实际项目或产品，并简要说明其应用方式。
   • 信息来源：项目官网，GitHub仓库，行业新闻，区块链浏览器数据（如果适用）。

Let me search for information about Sigma protocols.

Now I'll search for information about Plonk, which is another important ZK proof system.

I need to search for more specific information about the GKR protocol, which is another important proof system mentioned in the requirements.

已掌握的信息

1. zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge):

   • 算术化工具:
     • 通常使用 R1CS (Rank-1 Constraint System) 或 QAP (Quadratic Arithmetic Program)。QAP 是将 R1CS 转换为多项式问题的一种方式。
       • 来源: CSDN博客 "zk-snark之R1CS->QAP 原创" (https://blog.csdn.net/weixin_43179764/article/details/102807826) 讨论了 R1CS 到 QAP 的转换。
       • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提及 "This framework enables high-level zk-SNARK development, as it allows users to implement their circuit as constraints (R1CS)..."
     • 一些现代 SNARKs（如 Plonk 及其变种）使用 Plonkish 算术化。
   • IP到Argument的转换:
     • 通常依赖于可信设置（Trusted Setup）生成的通用参考串 (CRS)。
     • Fiat-Shamir 变换也常用于将交互式协议转换为非交互式。
   • 多项式承诺方案 (PCS):
     • 常用的有 KZG (Kate-Zaverucha-Goldberg) commitment scheme，通常与基于配对的 SNARKs 结合使用。
       • 来源: eprint.iacr.org 上的 "[PDF] Understanding zk-SNARKs: The Gap Between Research and Practice" (https://eprint.iacr.org/2025/172.pdf) 提到 "Currently, practical zk-SNARKs with constant proof size and fast verifier are based on QAP techniques [37, 43] or pairing PCS [40,44]."
     • 其他 PCS 如 IPA (Inner Product Argument) 也被用于某些 SNARKs（如 Halo）。
   • 复杂度:
     • 证明大小：通常非常小（常数级别或对数级别）。
     • 验证时间：通常非常快（常数级别或与公开输入大小相关）。
     • 证明生成时间：相对较慢。
     • 可信设置：大多数经典 SNARKs（如 Groth16）需要特定于电路的可信设置。一些较新的系统支持通用且可更新的可信设置。
   • 应用: 区块链扩容 (zk-Rollups), 隐私交易 (如 Zcash)。
     • 来源: arXiv 上的 "A Survey on the Applications of Zero-Knowledge Proofs" (https://arxiv.org/html/2408.00243v1) 讨论了 ZKP 在区块链隐私、扩容等方面的应用。

2. zk-STARKs (Zero-Knowledge Scalable Transparent Argument of Knowledge):

   • 算术化工具:
     • 主要使用 AIR (Algebraic Intermediate Representation)。
       • 来源: eprint.iacr.org 上的 "[PDF] Study of Arithmetization Methods for STARKs" (https://eprint.iacr.org/2023/661.pdf) 提到 "This technical paper explores two solutions for arithmetization of computational integrity statements in STARKs, namely the algebraic..."
   • IP到Argument的转换:
     • 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS):
     • 主要使用 FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity)。
       • 来源: GitHub Pages 上的 "深入理解zk-STARK证明系统" (https://trapdoor-tech.github.io/zkstark-book/chapter_1.html) 解释了 STARK 中如何对多项式进行承诺，并提及 STARK 使用默克尔树进行多项式承诺。FRI 是其核心组件之一。
       • 来源: eprint.iacr.org 上的 "[PDF] A note on adding zero-knowledge to STARK" (https://eprint.iacr.org/2024/1037.pdf) 讨论了 "turn FRI into a perfectly hiding polynomial commitment scheme."
   • 复杂度:
     • 证明大小：相对较大（通常是电路规模的对数多项式级别）。
     • 验证时间：快（通常是电路规模的对数多项式级别）。
     • 可信设置：不需要 (Transparent)。
   • 应用: 区块链扩容 (如 StarkNet, StarkEx by StarkWare)。

3. Bulletproofs:

   • 算术化工具:
     • 通常用于证明 R1CS 关系的知识。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到 "通用性：Bulletproofs 是通用的，可以用于证明范围 （Range） 和证明知识 （R1CS） 的零知识证明。"
   • IP到Argument的转换:
     • 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS):
     • 其核心是一种基于内积论证 (IPA) 的高效协议。
       • 来源: arXiv 上的 "[PDF] Collaborative CP-NIZKs: Modular, Composable Proofs for ..." (https://arxiv.org/pdf/2407.19212) 提到 "Additionally, this Bulletproof verification uses IPA to reduce communication costs..."
       • 来源: ResearchGate 上的 "Bulletproofs: Short Proofs for Confidential Transactions and More" (https://www.researchgate.net/publication/326643720_Bulletproofs_Short_Proofs_for_Confidential_Transactions_and_More) 是 Bulletproofs 的原始论文之一。
   • 复杂度:
     • 证明大小：小，与电路规模呈对数关系。
     • 验证时间：与电路规模呈线性关系。
     • 证明生成时间：与电路规模呈线性关系。
     • 可信设置：不需要 (Transparent)。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到其优势包括无需 trusted-setup，线性的验证复杂度和对数级别的证明大小。
   • 应用: 隐私交易 (如 Monero 使用 Bulletproofs 和 Bulletproofs+)。
     • 来源: coinvoice.cn 上的 "门罗币开始审计零知识证明系统 Bulletproofs+代码" (https://www.coinvoice.cn/news_flashes/1324) 提到门罗币使用 Bulletproofs+。

4. Sigma Protocols:

   • 算术化工具: 通常不直接使用复杂的算术化技术如 R1CS 或 AIR。它们直接证明关于代数群中元素的关系。
   • IP到Argument的转换:
     • 本身是交互式的（三步协议：承诺-挑战-回应）。
       • 来源: CSDN技术社区的 "［ZKP］Sigma Protocol" (https://m.blog.csdn.net/weixin_45347752/article/details/135232867) 描述了三阶段：Commitment, Challenge, Response。
     • 可以使用 Fiat-Shamir 变换将其转换为非交互式证明。
       • 来源: CSDN技术社区的 "Bulletproofs、Sigma protocol、Halo2等ZK方案小结" (https://m.blog.csdn.net/mutourend/article/details/126751659) 提到了 "Sigma Protocol（+ Fiat-Shamir）"。
   • 多项式承诺方案 (PCS): 通常不适用。
   • 复杂度:
     • 证明大小：通常较小。
     • 证明生成和验证时间：非常快。
     • 可信设置：通常不需要。
   • 应用: 数字签名 (如 Schnorr 签名), 身份验证, 作为更复杂零知识证明系统的构建模块。
     • 来源: 中国科学院网站上关于 "Sigma Protocols from Verifiable Secret Sharing and Their Applications" 的报告摘要 (https://www.amss.cas.cn/mzxsbg/202404/t20240402_7083060.html) 提到 "Sigma protocols are one of the most common and efficient zero-knowledge proofs (ZKPs)." 并提及 Schnorr, Guillou–Quisquater 和 Okamoto 协议。

5. Plonk (Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge):

   • 算术化工具: 使用 Plonkish 算术化（一种基于置换的算术化，比 R1CS/QAP 更灵活，支持自定义门和查找表）。
     • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提到 "PLONK arithmetization is similar to that of zk-SNARKs, meaning that the resulting representation is a set of polynomials." (虽然这里说 similar，但 Plonkish 是一种特定的、更通用的算术化方式)。
   • IP到Argument的转换:
     • 通常使用 Fiat-Shamir 变换。
     • 依赖于通用且可更新的可信设置 (Universal and Updatable Trusted Setup)。
   • 多项式承诺方案 (PCS):
     • 通常使用 KZG 承诺方案。
     • 来源: eprint.iacr.org 上的 "[PDF] aPlonK: Aggregated PlonK from Multi-Polynomial Commitment" (https://eprint.iacr.org/2022/1352.pdf) 讨论了 PlonK 和多项式承诺。
   • 复杂度:
     • 证明大小：较小且恒定（与电路大小无关，取决于多项式承诺方案）。
     • 验证时间：快。
     • 证明生成时间：通常与电路大小呈拟线性关系。
   • 应用: 区块链扩容 (zk-Rollups like zkSync Era, Polygon zkEVM (部分版本), Scroll, Aztec), 隐私应用。

6. GKR (Goldwasser-Kalai-Rothblum) Protocol:

   • 算术化工具: 针对分层算术电路 (Layered Arithmetic Circuits)。
     • 来源: 知乎专栏 "ProofsArgsAndZK笔记: GKR protocol" (https://zhuanlan.zhihu.com/p/720427211) 提到 "GKR协议针对log-space uniform的算数电路。" 和 "协议然后通过迭代的方式向输入层推进，每次迭代专注于每一层。"
     • 来源: eprint.iacr.org 上的 "[PDF] Doubly Efficient Interactive Proofs for General Arithmetic Circuits ..." (https://eprint.iacr.org/2020/1247.pdf) 提到 "The protocol generalizes the interactive proof for layered circuits proposed by Goldwasser, Kalai and Rothblum to arbitrary circuits..."
   • IP到Argument的转换:
     • 本身是交互式的，核心是 Sum-check 协议。
     • 可以使用 Fiat-Shamir 变换转换为非交互式。
   • 多项式承诺方案 (PCS): 原始 GKR 协议不直接使用现代意义上的 PCS，但 Sum-check 协议本身涉及对多项式求值的承诺和验证。后来的工作可能会结合 PCS。
   • 复杂度:
     • 证明者复杂度：与电路大小 C 接近线性 O(C)。
     • 验证者复杂度：与电路深度 d 和输入大小 n 相关，通常远小于电路大小，例如 O(d * log C + n)。
     • 证明大小（非交互式）：取决于 Sum-check 轮数和每轮消息大小。
   • 应用: 可验证计算，特别是对于具有规则结构和低深度的电路，可用于某些机器学习模型验证。

行动计划

1. 系统化信息收集与整理：

   • 为每个已识别的及后续发现的证明系统（包括但不限于 Groth16, PGHR13, GGPR13, Marlin, Sonic, Supersonic, Halo/Halo2, Fractal, Spartan, RedShift 等 SNARK 变体；其他 STARK 优化；Bulletproofs+, Plonky2, GKR 变体等）创建一个标准化的信息档案。
   • 确保每个档案都包含以下关键信息，并对技术术语进行简要解释：
     • 算术化工具：明确指出是 R1CS, QAP, AIR, Plonkish (及其具体形式如自定义门、查找表), 算术电路 (Arithmetic Circuits)，或其他，并简述其如何将计算问题转化为代数形式。
     • IP到Argument的转换技术：明确是 Fiat-Shamir 变换, 通用参考串 (CRS) (并注明其类型：特定电路、通用、可更新、透明), PCP 定理，或其他，并简述其如何实现非交互性或论证属性。
     • 多项式承诺方案 (PCS)：如果适用，明确指出是 KZG, FRI, IPA, DARK, Hyrax，或其他，并简述其如何允许证明者承诺一个多项式并在稍后揭示其在特定点的求值。
     • 时间与空间复杂度：详细列出证明大小、证明生成时间、验证时间（包括预处理时间，如 CRS 生成），并尽可能给出与电路规模 N 或其他相关参数（如安全参数 λ）的关系（例如 O(log N), O(N log N), O(N), O(λ) 等）。明确指出是否需要可信设置及其性质。
     • 应用场景与具体项目：列举该证明系统的主要应用领域（如区块链扩容、隐私币、身份验证、可验证外包计算、零知识机器学习等），并尽可能找到并列出至少1-2个采用该证明系统的知名开源项目或商业产品，简述其在项目中的作用。

2. 深化对各类证明系统的调研：

   • SNARKs 家族：除了已有的 Groth16, Plonk 信息，深入研究其他重要 SNARKs (如 Marlin, Halo2, Spartan)。特别关注它们在算术化、PCS 选择、以及是否需要可信设置（及其类型）上的差异和创新。
   • STARKs 家族：进一步细化 STARKs 的技术细节，包括 AIR 约束的构建方式，FRI 协议的具体参数如何影响性能，以及是否有重要的 STARK 变体或优化。
   • Bulletproofs 及其扩展：调研 Bulletproofs++ 等改进方案，明确其相对于原版 Bulletproofs 的性能提升和技术改动。
   • Sigma Protocols：收集更多具体的 Sigma 协议实例（例如，Schnorr 协议、Guillou-Quisquater 协议、Okamoto 协议等），并说明它们各自证明的陈述类型。详细描述如何通过 Fiat-Shamir 变换将它们转换为非交互式零知识证明 (NIZKPoK) 或数字签名。
   • GKR 及其变种：进一步了解 GKR 在非交互式设置下的实现细节，以及是否有结合现代 PCS 的 GKR 变体。
   • Plonkish 系统：调研更多基于 Plonkish 算术化（包括自定义门和查找表）的证明系统，理解其设计灵活性带来的优势。

3. 关注成熟应用与最新进展：

   • 优先调研那些已经在实际项目中得到广泛部署和验证的成熟证明系统，确保其应用信息和项目实例的准确性。
   • 同时，查阅近三年（2023-2025年）的主要密码学会议（如 CRYPTO, Eurocrypt, Asiacrypt, CCS, S&P, USENIX Security）的论文以及 IACR ePrint Archive 上的预印本，简要介绍出现的新型证明系统或对现有系统的重大改进，指出其声称的创新点和潜在优势。

4. 信息来源策略：

   • 学术论文与预印本：Google Scholar, IACR ePrint Archive, ACM Digital Library, IEEE Xplore。
   • 项目官方文档与博客：Ethereum Foundation, Zcash Foundation, StarkWare, Matter Labs (zkSync), Polygon (zkEVM, Miden, Zero), Aztec, Scroll, Mina Protocol, Aleo, Monero Project 等。
   • 行业研究与社区资源：ZKProof.org, ZK Summit 的演讲材料, Vitalik Buterin 的博客, Delphi Digital, Messari 等加密研究机构的报告。
   • 教科书与综述文章：查找关于零知识证明的权威教科书章节和最新的综述性论文。

5. 报告框架构建与内容填充：

   • 基于收集到的信息，按照用户要求的结构，为每个证明系统填充详细信息。
   • 在报告的引言部分简要说明调研范围和目的，在主体部分逐一介绍各证明系统，最后可以考虑增加一个总结性表格，横向对比不同系统的关键特性和性能指标。

6. 审查与完善：

   • 完成初步报告后，进行内部审查，检查信息的准确性、完整性、逻辑连贯性以及引用的规范性。确保所有技术术语都得到了简要且准确的解释。

Let me search for more specific information about R1CS, which is a key arithmetization tool used in many ZK proof systems.

Let me search for information about FRI, which is a key component used in STARKs.

Now I'll search for information about KZG, which is an important polynomial commitment scheme used in many ZK proof systems.

已掌握的信息

1. zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge):

   • 算术化工具:
     • 通常使用 R1CS (Rank-1 Constraint System) 或 QAP (Quadratic Arithmetic Program)。QAP 是将 R1CS 转换为多项式问题的一种方式。
       • 来源: CSDN博客 "zk-snark之R1CS->QAP 原创" (https://blog.csdn.net/weixin_43179764/article/details/102807826) 讨论了 R1CS 到 QAP 的转换。
       • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提及 "This framework enables high-level zk-SNARK development, as it allows users to implement their circuit as constraints (R1CS)..."
       • 来源: 登链社区 "ZK-SNARKs中的算术化" (https://learnblockchain.cn/article/5667) 解释了 R1CS 是如何将计算表示为一组二次方程的。
     • 一些现代 SNARKs（如 Plonk 及其变种）使用 Plonkish 算术化。
   • IP到Argument的转换:
     • 通常依赖于可信设置（Trusted Setup）生成的通用参考串 (CRS)。
     • Fiat-Shamir 变换也常用于将交互式协议转换为非交互式。
   • 多项式承诺方案 (PCS):
     • 常用的有 KZG (Kate-Zaverucha-Goldberg) commitment scheme，通常与基于配对的 SNARKs 结合使用。
       • 来源: eprint.iacr.org 上的 "[PDF] Understanding zk-SNARKs: The Gap Between Research and Practice" (https://eprint.iacr.org/2025/172.pdf) 提到 "Currently, practical zk-SNARKs with constant proof size and fast verifier are based on QAP techniques [37, 43] or pairing PCS [40,44]."
       • 来源: CSDN技术社区 "虚拟币用到的非常哇塞的技术(Polynomial承诺方案)解读" (https://m.blog.csdn.net/zhangzhechun_03/article/details/147697794) 介绍了 KZG 承诺基于双线性配对。
     • 其他 PCS 如 IPA (Inner Product Argument) 也被用于某些 SNARKs（如 Halo）。
   • 复杂度:
     • 证明大小：通常非常小（常数级别或对数级别）。
     • 验证时间：通常非常快（常数级别或与公开输入大小相关）。
     • 证明生成时间：相对较慢。
     • 可信设置：大多数经典 SNARKs（如 Groth16）需要特定于电路的可信设置。一些较新的系统支持通用且可更新的可信设置。
   • 应用: 区块链扩容 (zk-Rollups), 隐私交易 (如 Zcash)。
     • 来源: arXiv 上的 "A Survey on the Applications of Zero-Knowledge Proofs" (https://arxiv.org/html/2408.00243v1) 讨论了 ZKP 在区块链隐私、扩容等方面的应用。

2. zk-STARKs (Zero-Knowledge Scalable Transparent Argument of Knowledge):

   • 算术化工具:
     • 主要使用 AIR (Algebraic Intermediate Representation)。
       • 来源: eprint.iacr.org 上的 "[PDF] Study of Arithmetization Methods for STARKs" (https://eprint.iacr.org/2023/661.pdf) 提到 "This technical paper explores two solutions for arithmetization of computational integrity statements in STARKs, namely the algebraic..."
   • IP到Argument的转换:
     • 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS):
     • 主要使用 FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity)。
       • 来源: GitHub Pages 上的 "深入理解zk-STARK证明系统" (https://trapdoor-tech.github.io/zkstark-book/chapter_1.html) 解释了 STARK 中如何对多项式进行承诺，并提及 STARK 使用默克尔树进行多项式承诺。FRI 是其核心组件之一。
       • 来源: eprint.iacr.org 上的 "[PDF] A note on adding zero-knowledge to STARK" (https://eprint.iacr.org/2024/1037.pdf) 讨论了 "turn FRI into a perfectly hiding polynomial commitment scheme."
       • 来源: 登链社区 "掌握SP1 zkVM设计 - 第3部分：核心证明" (https://learnblockchain.cn/index.php/article/10855) 提到 "SP1 直接使用 Plonky3 的高级基于 FRI 的多项式承诺实现"。
   • 复杂度:
     • 证明大小：相对较大（通常是电路规模的对数多项式级别）。
     • 验证时间：快（通常是电路规模的对数多项式级别）。
     • 可信设置：不需要 (Transparent)。
   • 应用: 区块链扩容 (如 StarkNet, StarkEx by StarkWare)。

3. Bulletproofs:

   • 算术化工具:
     • 通常用于证明 R1CS 关系的知识。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到 "通用性：Bulletproofs 是通用的，可以用于证明范围 （Range） 和证明知识 （R1CS） 的零知识证明。"
   • IP到Argument的转换:
     • 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS):
     • 其核心是一种基于内积论证 (IPA) 的高效协议。
       • 来源: arXiv 上的 "[PDF] Collaborative CP-NIZKs: Modular, Composable Proofs for ..." (https://arxiv.org/pdf/2407.19212) 提到 "Additionally, this Bulletproof verification uses IPA to reduce communication costs..."
       • 来源: ResearchGate 上的 "Bulletproofs: Short Proofs for Confidential Transactions and More" (https://www.researchgate.net/publication/326643720_Bulletproofs_Short_Proofs_for_Confidential_Transactions_and_More) 是 Bulletproofs 的原始论文之一。
   • 复杂度:
     • 证明大小：小，与电路规模呈对数关系。
     • 验证时间：与电路规模呈线性关系。
     • 证明生成时间：与电路规模呈线性关系。
     • 可信设置：不需要 (Transparent)。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到其优势包括无需 trusted-setup，线性的验证复杂度和对数级别的证明大小。
   • 应用: 隐私交易 (如 Monero 使用 Bulletproofs 和 Bulletproofs+)。
     • 来源: coinvoice.cn 上的 "门罗币开始审计零知识证明系统 Bulletproofs+代码" (https://www.coinvoice.cn/news_flashes/1324) 提到门罗币使用 Bulletproofs+。

4. Sigma Protocols:

   • 算术化工具: 通常不直接使用复杂的算术化技术如 R1CS 或 AIR。它们直接证明关于代数群中元素的关系。
   • IP到Argument的转换:
     • 本身是交互式的（三步协议：承诺-挑战-回应）。
       • 来源: CSDN技术社区的 "［ZKP］Sigma Protocol" (https://m.blog.csdn.net/weixin_45347752/article/details/135232867) 描述了三阶段：Commitment, Challenge, Response。
     • 可以使用 Fiat-Shamir 变换将其转换为非交互式证明。
       • 来源: CSDN技术社区的 "Bulletproofs、Sigma protocol、Halo2等ZK方案小结" (https://m.blog.csdn.net/mutourend/article/details/126751659) 提到了 "Sigma Protocol（+ Fiat-Shamir）"。
   • 多项式承诺方案 (PCS): 通常不适用。
   • 复杂度:
     • 证明大小：通常较小。
     • 证明生成和验证时间：非常快。
     • 可信设置：通常不需要。
   • 应用: 数字签名 (如 Schnorr 签名), 身份验证, 作为更复杂零知识证明系统的构建模块。
     • 来源: 中国科学院网站上关于 "Sigma Protocols from Verifiable Secret Sharing and Their Applications" 的报告摘要 (https://www.amss.cas.cn/mzxsbg/202404/t20240402_7083060.html) 提到 "Sigma protocols are one of the most common and efficient zero-knowledge proofs (ZKPs)." 并提及 Schnorr, Guillou–Quisquater 和 Okamoto 协议。

5. Plonk (Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge):

   • 算术化工具: 使用 Plonkish 算术化（一种基于置换的算术化，比 R1CS/QAP 更灵活，支持自定义门和查找表）。
     • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提到 "PLONK arithmetization is similar to that of zk-SNARKs, meaning that the resulting representation is a set of polynomials."
     • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提到 "多个项目都有 Plonk 的定制版本，包括 Aztec、ZK-Sync、Polygon ZKEVM、Mina’s Kimchi、Plonky2、Halo 2 和 Scroll 等。"
   • IP到Argument的转换:
     • 通常使用 Fiat-Shamir 变换。
     • 依赖于通用且可更新的可信设置 (Universal and Updatable Trusted Setup)。
   • 多项式承诺方案 (PCS):
     • 通常使用 KZG 承诺方案。
       • 来源: eprint.iacr.org 上的 "[PDF] aPlonK: Aggregated PlonK from Multi-Polynomial Commitment" (https://eprint.iacr.org/2022/1352.pdf) 讨论了 PlonK 和多项式承诺。
       • 来源: CSDN技术社区 "Plonk代码解析" (https://m.blog.csdn.net/mutourend/article/details/113803758) 提到 Plonk 使用 KZG10 多项式承诺方案。
   • 复杂度:
     • 证明大小：较小且恒定（与电路大小无关，取决于多项式承诺方案）。
     • 验证时间：快。
     • 证明生成时间：通常与电路大小呈拟线性关系。
   • 应用: 区块链扩容 (zk-Rollups like zkSync Era, Polygon zkEVM (部分版本), Scroll, Aztec), 隐私应用。

6. GKR (Goldwasser-Kalai-Rothblum) Protocol:

   • 算术化工具: 针对分层算术电路 (Layered Arithmetic Circuits)。
     • 来源: 知乎专栏 "ProofsArgsAndZK笔记: GKR protocol" (https://zhuanlan.zhihu.com/p/720427211) 提到 "GKR协议针对log-space uniform的算数电路。" 和 "协议然后通过迭代的方式向输入层推进，每次迭代专注于每一层。"
     • 来源: eprint.iacr.org 上的 "[PDF] Doubly Efficient Interactive Proofs for General Arithmetic Circuits ..." (https://eprint.iacr.org/2020/1247.pdf) 提到 "The protocol generalizes the interactive proof for layered circuits proposed by Goldwasser, Kalai and Rothblum to arbitrary circuits..."
   • IP到Argument的转换:
     • 本身是交互式的，核心是 Sum-check 协议。
     • 可以使用 Fiat-Shamir 变换转换为非交互式。
   • 多项式承诺方案 (PCS): 原始 GKR 协议不直接使用现代意义上的 PCS，但 Sum-check 协议本身涉及对多项式求值的承诺和验证。
   • 复杂度:
     • 证明者复杂度：与电路大小 C 接近线性 O(C)。
     • 验证者复杂度：与电路深度 d 和输入大小 n 相关，通常远小于电路大小。
   • 应用: 可验证计算，特别是对于具有规则结构和低深度的电路。

7. R1CS (Rank-1 Constraint System):

   • 描述: 一种将计算问题表示为一组满足特定形式的二次方程（每个方程形如 (A·s) * (B·s) - (C·s) = 0，其中 s 是包含公开输入、私有输入和中间变量的向量，A, B, C 是矩阵）的算术化方法。
     • 来源: 登链社区 "ZK-SNARKs中的算术化" (https://learnblockchain.cn/article/5667) 详细描述了 R1CS 的形式。
   • 用途: 广泛用于 zk-SNARKs (如 Groth16) 和 Bulletproofs 中，作为将程序转换为代数表示的第一步。后续通常会进一步转换为 QAP (在某些 SNARKs 中) 或直接用于证明系统。

8. FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity):

   • 描述: 一种交互式预言证明协议，用于证明一个（承诺的）函数与一个低度多项式接近。它是 STARKs 的核心组件，用于实现多项式承诺。
     • 来源: 登链社区 "掌握SP1 zkVM设计 - 第3部分：核心证明" (https://learnblockchain.cn/index.php/article/10855) 解释了 FRI 作为 PCS 的一部分。
     • 来源: Crypto StackExchange "How does the verification step operations using FRI polynomial ..." (https://crypto.stackexchange.com/questions/109674/how-does-the-verification-step-operations-using-fri-polynomial-commitments-in-zk) 讨论了 FRI 的工作原理。
   • 特性: 透明（不需要可信设置），依赖于抗碰撞哈希函数，具有可扩展性。

9. KZG (Kate-Zaverucha-Goldberg) Polynomial Commitment Scheme:

   • 描述: 一种流行的多项式承诺方案，允许证明者对一个多项式做出简短的承诺，并能有效地证明该多项式在任意点的求值。
     • 来源: CSDN技术社区 "虚拟币用到的非常哇塞的技术(Polynomial承诺方案)解读" (https://m.blog.csdn.net/zhangzhechun_03/article/details/147697794) 提供了 KZG 的原理和 Python 实现示例。
     • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提及 KZG 使用双线性配对群，承诺由单个群元素组成。
   • 特性: 承诺和证明大小恒定，验证快速。
   • 要求: 需要可信设置（Trusted Setup）来生成公共参数（"powers of tau"）。
   • 应用: 广泛用于 Plonk, Marlin, Sonic 等 zk-SNARK 系统中。

行动计划

1. 深化对已知证明系统家族的调研：

   • SNARKs: 针对 Groth16, Marlin, Halo2, Spartan 等具体方案，详细调研其算术化（R1CS, QAP, Plonkish 自定义门/查找表等），IP 到 Argument 转换机制（CRS 类型：特定电路/通用/可更新，Fiat-Shamir 应用点），PCS（KZG, IPA, FRI, DARK 等），精确的复杂度（包括常数因子和对数因子的影响），以及可信设置的具体要求。
   • STARKs: 进一步研究 AIR 约束的具体构造方法，FRI 协议参数对性能的影响，以及是否存在重要的 STARK 变体或针对特定应用的优化。
   • Bulletproofs: 调研 Bulletproofs++ 等扩展方案，明确其相对于原版的技术改进和性能提升。
   • Plonkish Systems: 除了 Plonk 本身，调研更多基于 Plonkish 算术化（如 Plonky2）的系统，理解其设计特点和优势。
   • Sigma Protocols: 收集更多具体的 Sigma 协议实例（如 Schnorr, Guillou-Quisquater, Okamoto），说明其证明的具体陈述，并详细描述如何通过 Fiat-Shamir 变换转换为非交互式证明，以及它们作为构建模块在哪些更复杂的 ZKP 系统中被使用。
   • GKR Protocol: 深入了解 GKR 在非交互式设置下的实现细节，以及是否有结合现代 PCS 的 GKR 变体。
   • 信息来源：原始学术论文 (通过 Google Scholar, IACR ePrint Archive 搜索)，项目官方文档 (如 Zcash, Ethereum Foundation, StarkWare, Matter Labs, Polygon, Aztec, Scroll, Mina Protocol, Aleo 等)，高质量密码学博客和综述文章 (如 Vitalik Buterin's blog, ZKProof.org)。

2. 识别并调研其他重要的证明系统：

   • 主动搜索并识别其他未在初步调研中详细覆盖但具有影响力的证明系统，例如基于 PCP 的早期系统（如果适用且有成熟应用或重要理论价值）、其他透明或具有特定优势的 SNARKs/STARKs 变体。
   • 信息来源：学术搜索引擎，密码学会议论文集 (CRYPTO, Eurocrypt, Asiacrypt, CCS, S&P, USENIX Security)，行业研究报告。

3. 系统性收集应用案例和项目实例：

   • 对于每个调研的证明系统，努力找到至少 1-2 个正在使用或基于其构建的实际开源项目、商业产品或区块链网络。
   • 详细记录这些项目如何利用该证明系统来解决特定问题（例如，区块链扩容、隐私保护交易、身份验证、可验证计算、零知识机器学习等）。
   • 信息来源：项目官网，GitHub 仓库，行业新闻，区块链浏览器，技术社区讨论。

4. 关注最新的研究进展（2023-2025年）：

   • 通过检索最新的学术会议论文和 IACR ePrint Archive，识别在 2023 年至 2025 年间提出的有影响力的新证明系统或对现有系统的重大改进。
   • 简要介绍这些新进展的核心思想、声称的优势（如效率提升、安全性增强、新功能等）以及潜在应用前景。
   • 信息来源：IACR ePrint Archive, 主要密码学和安全会议的网站/论文集。

5. 统一信息结构并进行对比分析：

   • 为每个证明系统创建一个标准化的信息条目，确保包含所有用户要求的字段（算术化工具、IP 转换技术、PCS、复杂度、应用、项目）。
   • 在收集完单个系统的信息后，进行横向对比，分析不同证明系统在技术特点、性能（证明大小、生成/验证时间、是否需要可信设置及其类型、透明性、假设的安全性基础如是否抗量子等）和适用场景上的差异、优势与局限性。

6. 构建报告框架并撰写报告：

   • 设计清晰的报告结构，引言部分说明调研范围和目的。
   • 主体部分按照证明系统的类别或重要性逐一介绍，确保每个系统的技术细节、复杂度、应用和项目都得到清晰阐述。
   • 结论部分可以总结不同证明系统的特点，并展望未来发展趋势。
   • 确保对所有技术术语进行简明扼要的解释。

7. 审查与完善报告：

   • 对完成的报告初稿进行全面审查，检查信息的准确性、完整性、逻辑连贯性以及引用的规范性。
   • 确保报告内容紧扣用户需求，避免不必要的背景知识介绍。

Let me search for information about AIR (Algebraic Intermediate Representation), which is a key arithmetization tool used in STARKs.

Let me search for more information about IPA (Inner Product Argument), which is a key polynomial commitment scheme used in some ZK proof systems.

Let me search for information about Plonky2, which is a newer ZK proof system.

已掌握的信息

1. zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge):

   • 算术化工具:
     • 通常使用 R1CS (Rank-1 Constraint System) 或 QAP (Quadratic Arithmetic Program)。QAP 是将 R1CS 转换为多项式问题的一种方式。
       • 来源: CSDN博客 "zk-snark之R1CS->QAP 原创" (https://blog.csdn.net/weixin_43179764/article/details/102807826) 讨论了 R1CS 到 QAP 的转换。
       • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提及 "This framework enables high-level zk-SNARK development, as it allows users to implement their circuit as constraints (R1CS)..."
       • 来源: 登链社区 "ZK-SNARKs中的算术化" (https://learnblockchain.cn/article/5667) 解释了 R1CS 是如何将计算表示为一组二次方程的。
     • 一些现代 SNARKs（如 Plonk 及其变种）使用 Plonkish 算术化。
   • IP到Argument的转换:
     • 通常依赖于可信设置（Trusted Setup）生成的通用参考串 (CRS)。
     • Fiat-Shamir 变换也常用于将交互式协议转换为非交互式。
   • 多项式承诺方案 (PCS):
     • 常用的有 KZG (Kate-Zaverucha-Goldberg) commitment scheme，通常与基于配对的 SNARKs 结合使用。
       • 来源: eprint.iacr.org 上的 "[PDF] Understanding zk-SNARKs: The Gap Between Research and Practice" (https://eprint.iacr.org/2025/172.pdf) 提到 "Currently, practical zk-SNARKs with constant proof size and fast verifier are based on QAP techniques [37, 43] or pairing PCS [40,44]."
       • 来源: CSDN技术社区 "虚拟币用到的非常哇塞的技术(Polynomial承诺方案)解读" (https://m.blog.csdn.net/zhangzhechun_03/article/details/147697794) 介绍了 KZG 承诺基于双线性配对。
     • 其他 PCS 如 IPA (Inner Product Argument) 也被用于某些 SNARKs（如 Halo）。
   • 复杂度:
     • 证明大小：通常非常小（常数级别或对数级别）。
     • 验证时间：通常非常快（常数级别或与公开输入大小相关）。
     • 证明生成时间：相对较慢。
     • 可信设置：大多数经典 SNARKs（如 Groth16）需要特定于电路的可信设置。一些较新的系统支持通用且可更新的可信设置。
       • 来源: CSDN技术社区 "【零知识证明】Groth16" (https://m.blog.csdn.net/qq_45059937/article/details/141676323) 描述了 Groth16 的特点，包括简洁性、高效验证和对 Powers of Tau 仪式的依赖。
   • 应用: 区块链扩容 (zk-Rollups), 隐私交易 (如 Zcash)。
     • 来源: arXiv 上的 "A Survey on the Applications of Zero-Knowledge Proofs" (https://arxiv.org/html/2408.00243v1) 讨论了 ZKP 在区块链隐私、扩容等方面的应用。
     • 来源: 登链社区 "零知识证明 - Groth16计算详解" (https://learnblockchain.cn/2019/12/19/zkp-Groth16/?from=groupmessage) 提到 Groth16 在 ZCash, Filecoin 等项目中使用。

2. zk-STARKs (Zero-Knowledge Scalable Transparent Argument of Knowledge):

   • 算术化工具:
     • 主要使用 AIR (Algebraic Intermediate Representation)。
       • 来源: eprint.iacr.org 上的 "[PDF] Study of Arithmetization Methods for STARKs" (https://eprint.iacr.org/2023/661.pdf) 提到 "This technical paper explores two solutions for arithmetization of computational integrity statements in STARKs, namely the algebraic..."
       • 来源: 登链社区 "STARKs中的算术化 - AIR简介 - I" (https://learnblockchain.cn/index.php/article/12740) 详细介绍了 AIR 如何将计算完整性声明转化为多项式的关系和属性，并定义了执行轨迹。
   • IP到Argument的转换:
     • 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS):
     • 主要使用 FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity)。
       • 来源: GitHub Pages 上的 "深入理解zk-STARK证明系统" (https://trapdoor-tech.github.io/zkstark-book/chapter_1.html) 解释了 STARK 中如何对多项式进行承诺，并提及 STARK 使用默克尔树进行多项式承诺。FRI 是其核心组件之一。
       • 来源: eprint.iacr.org 上的 "[PDF] A note on adding zero-knowledge to STARK" (https://eprint.iacr.org/2024/1037.pdf) 讨论了 "turn FRI into a perfectly hiding polynomial commitment scheme."
       • 来源: 登链社区 "掌握SP1 zkVM设计 - 第3部分：核心证明" (https://learnblockchain.cn/index.php/article/10855) 提到 "SP1 直接使用 Plonky3 的高级基于 FRI 的多项式承诺实现"。
   • 复杂度:
     • 证明大小：相对较大（通常是电路规模的对数多项式级别）。
     • 验证时间：快（通常是电路规模的对数多项式级别）。
     • 可信设置：不需要 (Transparent)。
   • 应用: 区块链扩容 (如 StarkNet, StarkEx by StarkWare)。

3. Bulletproofs:

   • 算术化工具:
     • 通常用于证明 R1CS 关系的知识。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到 "通用性：Bulletproofs 是通用的，可以用于证明范围 （Range） 和证明知识 （R1CS） 的零知识证明。"
   • IP到Argument的转换:
     • 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS):
     • 其核心是一种基于内积论证 (IPA - Inner Product Argument) 的高效协议。
       • 来源: arXiv 上的 "[PDF] Collaborative CP-NIZKs: Modular, Composable Proofs for ..." (https://arxiv.org/pdf/2407.19212) 提到 "Additionally, this Bulletproof verification uses IPA to reduce communication costs..."
       • 来源: ResearchGate 上的 "Bulletproofs: Short Proofs for Confidential Transactions and More" (https://www.researchgate.net/publication/326643720_Bulletproofs_Short_Proofs_for_Confidential_Transactions_and_More) 是 Bulletproofs 的原始论文之一。
       • 来源: CSDN技术社区 "IPA多项式承诺方案--(2)预备知识" (https://m.blog.csdn.net/weixin_43659420/article/details/140773545) 介绍了基于内积定理的IPA多项式承诺方案。
   • 复杂度:
     • 证明大小：小，与电路规模呈对数关系。
     • 验证时间：与电路规模呈线性关系。
     • 证明生成时间：与电路规模呈线性关系。
     • 可信设置：不需要 (Transparent)。
       • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到其优势包括无需 trusted-setup，线性的验证复杂度和对数级别的证明大小。
   • 应用: 隐私交易 (如 Monero 使用 Bulletproofs 和 Bulletproofs+)。
     • 来源: coinvoice.cn 上的 "门罗币开始审计零知识证明系统 Bulletproofs+代码" (https://www.coinvoice.cn/news_flashes/1324) 提到门罗币使用 Bulletproofs+。

4. Sigma Protocols:

   • 算术化工具: 通常不直接使用复杂的算术化技术如 R1CS 或 AIR。它们直接证明关于代数群中元素的关系。
   • IP到Argument的转换:
     • 本身是交互式的（三步协议：承诺-挑战-回应）。
       • 来源: CSDN技术社区的 "［ZKP］Sigma Protocol" (https://m.blog.csdn.net/weixin_45347752/article/details/135232867) 描述了三阶段：Commitment, Challenge, Response。
     • 可以使用 Fiat-Shamir 变换将其转换为非交互式证明。
       • 来源: CSDN技术社区的 "Bulletproofs、Sigma protocol、Halo2等ZK方案小结" (https://m.blog.csdn.net/mutourend/article/details/126751659) 提到了 "Sigma Protocol（+ Fiat-Shamir）"。
   • 多项式承诺方案 (PCS): 通常不适用。
   • 复杂度:
     • 证明大小：通常较小。
     • 证明生成和验证时间：非常快。
     • 可信设置：通常不需要。
   • 应用: 数字签名 (如 Schnorr 签名), 身份验证, 作为更复杂零知识证明系统的构建模块。
     • 来源: 中国科学院网站上关于 "Sigma Protocols from Verifiable Secret Sharing and Their Applications" 的报告摘要 (https://www.amss.cas.cn/mzxsbg/202404/t20240402_7083060.html) 提到 "Sigma protocols are one of the most common and efficient zero-knowledge proofs (ZKPs)." 并提及 Schnorr, Guillou–Quisquater 和 Okamoto 协议。

5. Plonk (Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge):

   • 算术化工具: 使用 Plonkish 算术化（一种基于置换的算术化，比 R1CS/QAP 更灵活，支持自定义门和查找表）。
     • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提到 "PLONK arithmetization is similar to that of zk-SNARKs, meaning that the resulting representation is a set of polynomials."
     • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提到 "多个项目都有 Plonk 的定制版本，包括 Aztec、ZK-Sync、Polygon ZKEVM、Mina’s Kimchi、Plonky2、Halo 2 和 Scroll 等。"
   • IP到Argument的转换:
     • 通常使用 Fiat-Shamir 变换。
     • 依赖于通用且可更新的可信设置 (Universal and Updatable Trusted Setup)。
   • 多项式承诺方案 (PCS):
     • 通常使用 KZG 承诺方案。
       • 来源: eprint.iacr.org 上的 "[PDF] aPlonK: Aggregated PlonK from Multi-Polynomial Commitment" (https://eprint.iacr.org/2022/1352.pdf) 讨论了 PlonK 和多项式承诺。
       • 来源: CSDN技术社区 "Plonk代码解析" (https://m.blog.csdn.net/mutourend/article/details/113803758) 提到 Plonk 使用 KZG10 多项式承诺方案。
   • 复杂度:
     • 证明大小：较小且恒定（与电路大小无关，取决于多项式承诺方案）。
     • 验证时间：快。
     • 证明生成时间：通常与电路大小呈拟线性关系。
   • 应用: 区块链扩容 (zk-Rollups like zkSync Era, Polygon zkEVM (部分版本), Scroll, Aztec), 隐私应用。

6. GKR (Goldwasser-Kalai-Rothblum) Protocol:

   • 算术化工具: 针对分层算术电路 (Layered Arithmetic Circuits)。
     • 来源: 知乎专栏 "ProofsArgsAndZK笔记: GKR protocol" (https://zhuanlan.zhihu.com/p/720427211) 提到 "GKR协议针对log-space uniform的算数电路。" 和 "协议然后通过迭代的方式向输入层推进，每次迭代专注于每一层。"
     • 来源: eprint.iacr.org 上的 "[PDF] Doubly Efficient Interactive Proofs for General Arithmetic Circuits ..." (https://eprint.iacr.org/2020/1247.pdf) 提到 "The protocol generalizes the interactive proof for layered circuits proposed by Goldwasser, Kalai and Rothblum to arbitrary circuits..."
   • IP到Argument的转换:
     • 本身是交互式的，核心是 Sum-check 协议。
     • 可以使用 Fiat-Shamir 变换转换为非交互式。
   • 多项式承诺方案 (PCS): 原始 GKR 协议不直接使用现代意义上的 PCS，但 Sum-check 协议本身涉及对多项式求值的承诺和验证。
   • 复杂度:
     • 证明者复杂度：与电路大小 C 接近线性 O(C)。
     • 验证者复杂度：与电路深度 d 和输入大小 n 相关，通常远小于电路大小。
   • 应用: 可验证计算，特别是对于具有规则结构和低深度的电路。

7. R1CS (Rank-1 Constraint System):

   • 描述: 一种将计算问题表示为一组满足特定形式的二次方程（每个方程形如 (A·s) * (B·s) - (C·s) = 0，其中 s 是包含公开输入、私有输入和中间变量的向量，A, B, C 是矩阵）的算术化方法。
     • 来源: 登链社区 "ZK-SNARKs中的算术化" (https://learnblockchain.cn/article/5667) 详细描述了 R1CS 的形式。
   • 用途: 广泛用于 zk-SNARKs (如 Groth16) 和 Bulletproofs 中，作为将程序转换为代数表示的第一步。后续通常会进一步转换为 QAP (在某些 SNARKs 中) 或直接用于证明系统。

8. FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity):

   • 描述: 一种交互式预言证明协议，用于证明一个（承诺的）函数与一个低度多项式接近。它是 STARKs 的核心组件，用于实现多项式承诺。
     • 来源: 登链社区 "掌握SP1 zkVM设计 - 第3部分：核心证明" (https://learnblockchain.cn/index.php/article/10855) 解释了 FRI 作为 PCS 的一部分。
     • 来源: Crypto StackExchange "How does the verification step operations using FRI polynomial ..." (https://crypto.stackexchange.com/questions/109674/how-does-the-verification-step-operations-using-fri-polynomial-commitments-in-zk) 讨论了 FRI 的工作原理。
   • 特性: 透明（不需要可信设置），依赖于抗碰撞哈希函数，具有可扩展性。

9. KZG (Kate-Zaverucha-Goldberg) Polynomial Commitment Scheme:

   • 描述: 一种流行的多项式承诺方案，允许证明者对一个多项式做出简短的承诺，并能有效地证明该多项式在任意点的求值。
     • 来源: CSDN技术社区 "虚拟币用到的非常哇塞的技术(Polynomial承诺方案)解读" (https://m.blog.csdn.net/zhangzhechun_03/article/details/147697794) 提供了 KZG 的原理和 Python 实现示例。
     • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提及 KZG 使用双线性配对群，承诺由单个群元素组成。
   • 特性: 承诺和证明大小恒定，验证快速。
   • 要求: 需要可信设置（Trusted Setup）来生成公共参数（"powers of tau"）。
   • 应用: 广泛用于 Plonk, Marlin, Sonic 等 zk-SNARK 系统中。

10. AIR (Algebraic Intermediate Representation):

    • 描述: STARKs 中使用的一种算术化方法，它将计算的完整性表示为一组关于执行轨迹（execution trace）的多项式约束。执行轨迹记录了计算在每个时间步的状态。
      • 来源: 登链社区 "STARKs中的算术化 - AIR简介 - I" (https://learnblockchain.cn/index.php/article/12740) 详细解释了 AIR 的构成，包括执行轨迹和多项式约束。
    • 特性: 适用于具有重复结构或循环的计算，能够有效地表示状态转换。

11. IPA (Inner Product Argument):

    • 描述: 一种高效的论证系统，允许证明者证明两个向量的内积等于某个公开值，而无需揭示向量本身。它是 Bulletproofs 的核心组件，并可作为一种多项式承诺方案。
      • 来源: CSDN技术社区 "IPA多项式承诺方案--(2)预备知识" (https://m.blog.csdn.net/weixin_43659420/article/details/140773545) 解释了内积的基本性质以及如何将其用于多项式求值。
      • 来源: CSDN技术社区 "Zero-knowledge inner product argument（IPA）" (https://m.blog.csdn.net/mutourend/article/details/103275815) 讨论了其在零知识证明中的应用。
    • 特性: 无需可信设置，证明大小对数级。

12. Plonky2:

    • 描述: 一个高效的通用零知识证明系统，支持递归证明。它结合了 Plonk 和 FRI 的思想，使用 Goldilocks 域。
      • 来源: CSDN技术社区 "探索可信计算新境界：Plonky2在Circom中的验证器" (https://m.blog.csdn.net/gitblog_00665/article/details/142124435) 介绍了 Plonky2 及其在 Circom 中的验证器，并提及其支持自定义门。
      • 来源: CSDN技术社区 "Plonky2：下一代零知识证明的革新者" (https://m.blog.csdn.net/gitblog_00031/article/details/137735844) 强调了其灵活性、效率和较小的证明大小。
    • 算术化: Plonkish (支持自定义门)。
    • PCS: 基于 FRI。
    • 应用: 区块链扩容，隐私保护应用。

13. Halo2:

    • 描述: 一种递归零知识证明系统，无需可信设置（或使用一种称为“累积”的技术来摊销初始设置）。它基于 Plonk 算术化，并使用 IPA 作为多项式承诺方案。
      • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提及 Halo2 是 Plonk 的定制版本之一。
      • 来源: GitHub "Awesome zero knowledge proofs (zkp)" (https://github.com/matter-labs/awesome-zero-knowledge-proofs) 列出了 Halo 作为一种证明系统实现。
    • 算术化: Plonkish。
    • PCS: IPA。
    • 应用: Zcash 使用 Halo2 实现其 Orchard 升级。

14. Marlin:

    • 描述: 一种通用的 zkSNARK，具有可更新的可信设置。它使用 R1CS 进行算术化，并引入了代数全息证明 (algebraic holographic proofs) 的概念。
      • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提及 Marlin。
      • 来源: GitHub "Awesome zero knowledge proofs (zkp)" (https://github.com/matter-labs/awesome-zero-knowledge-proofs) 列出了 Marlin。
    • 算术化: R1CS。
    • PCS: 基于代数全息证明的 PCS。
    • 可信设置: 通用且可更新。

15. Groth16:

    • 描述: 一种非常流行的 zk-SNARK 方案，以其极小的证明大小和快速的验证时间而闻名。
      • 来源: CSDN技术社区 "【零知识证明】Groth16" (https://m.blog.csdn.net/qq_45059937/article/details/141676323) 提供了 Groth16 的介绍和设置步骤。
      • 来源: 登链社区 "零知识证明 - Groth16计算详解" (https://learnblockchain.cn/2019/12/19/zkp-Groth16/?from=groupmessage) 详细分析了 Groth16 的计算过程。
    • 算术化: R1CS 转换为 QAP。
    • IP到Argument: 特定电路的可信设置 (Powers of Tau 仪式的第一阶段，然后是特定电路的第二阶段)。
    • PCS: 基于配对的承诺（隐式包含在 QAP 证明中）。
    • 复杂度: 证明大小最小（约几百字节），验证极快。证明生成相对较慢。
    • 应用: Zcash (Sapling 升级), Filecoin, Coda (现 Mina Protocol 的早期版本)。

行动计划

1. 系统化信息整理与深化：

   • 为每个已识别的证明系统（zk-SNARKs (Groth16, Marlin, Halo2, Plonk, Plonky2, Spartan 等), zk-STARKs, Bulletproofs, Sigma Protocols, GKR）创建一个标准化的信息档案。
   • 确保每个档案都包含以下关键信息，并对技术术语进行简要解释：
     • 算术化工具：明确指出是 R1CS, QAP, AIR, Plonkish (及其具体形式如自定义门、查找表), 算术电路 (Arithmetic Circuits)，或其他，并简述其如何将计算问题转化为代数形式。
     • IP到Argument的转换技术：明确是 Fiat-Shamir 变换, 通用参考串 (CRS) (并注明其类型：特定电路、通用、可更新、透明), PCP 定理，或其他，并简述其如何实现非交互性或论证属性。
     • 多项式承诺方案 (PCS)：如果适用，明确指出是 KZG, FRI, IPA, DARK, Hyrax，或其他，并简述其如何允许证明者承诺一个多项式并在稍后揭示其在特定点的求值。
     • 时间与空间复杂度：详细列出证明大小、证明生成时间、验证时间（包括预处理时间，如 CRS 生成），并尽可能给出与电路规模 N 或其他相关参数（如安全参数 λ）的关系（例如 O(log N), O(N log N), O(N), O(λ) 等）。明确指出是否需要可信设置及其性质。
     • 应用场景与具体项目：列举该证明系统的主要应用领域（如区块链扩容、隐私币、身份验证、可验证外包计算、零知识机器学习等），并尽可能找到并列出至少1-2个采用该证明系统的知名开源项目或商业产品，简述其在项目中的作用。

2. 补充缺失信息与细节：

   • Spartan: 详细调研其算术化（通常是 R1CS 或类似）、IP 到 Argument 转换（通常是基于 Sumcheck 协议和多项式承诺）、PCS（如基于多线性多项式的承诺）、复杂度及应用。
   • 其他 SNARK 变体: 如 Sonic, Supersonic, Fractal 等，如果它们有成熟的应用或重要的理论贡献，也应按上述框架收集信息。
   • STARK 变体/优化: 查找是否有针对特定场景的 STARK 优化版本，并记录其差异。
   • Bulletproofs 扩展: 如 Bulletproofs++，明确其相对于原版的改进。
   • GKR 变体: 了解是否有结合现代 PCS 的 GKR 变体或针对特定电路结构的优化。

3. 关注成熟应用与最新进展（2023-2025年）：

   • 优先调研那些已经在实际项目中得到广泛部署和验证的成熟证明系统，确保其应用信息和项目实例的准确性。
   • 同时，查阅近三年（2023-2025年）的主要密码学会议（如 CRYPTO, Eurocrypt, Asiacrypt, CCS, S&P, USENIX Security）的论文以及 IACR ePrint Archive 上的预印本，简要介绍出现的新型证明系统或对现有系统的重大改进，指出其声称的创新点和潜在优势。

4. 信息来源策略：

   • 学术论文与预印本：Google Scholar, IACR ePrint Archive, ACM Digital Library, IEEE Xplore。
   • 项目官方文档与博客：Ethereum Foundation, Zcash Foundation, StarkWare, Matter Labs (zkSync), Polygon (zkEVM, Miden, Zero), Aztec, Scroll, Mina Protocol, Aleo, Monero Project 等。
   • 行业研究与社区资源：ZKProof.org, ZK Summit 的演讲材料, Vitalik Buterin 的博客, Delphi Digital, Messari 等加密研究机构的报告，以及 "Awesome Zero Knowledge Proofs" (GitHub) 这类资源聚合页面。
   • 教科书与综述文章：查找关于零知识证明的权威教科书章节和最新的综述性论文。

5. 构建报告框架并撰写报告：

   • 设计清晰的报告结构。引言部分简要说明调研范围和目的。
   • 主体部分按照证明系统的类别或重要性逐一介绍，确保每个系统的技术细节、复杂度、应用和项目都得到清晰阐述。
   • 结论部分可以总结不同证明系统的特点，并展望未来发展趋势。
   • 确保对所有技术术语进行简明扼要的解释。

6. 审查与完善报告：

   • 对完成的报告初稿进行全面审查，检查信息的准确性、完整性、逻辑连贯性以及引用的规范性。
   • 确保报告内容紧扣用户需求，避免不必要的背景知识介绍。

I need to search for more specific information about Spartan. Let me try a different query.

Now I need to search for information about Sonic, which is another important ZK proof system.

I need to search for information about Sonic zero knowledge proof system using a different query.

已掌握的信息

1. zk-SNARKs (通用):

   • 算术化工具: 通常使用 R1CS (Rank-1 Constraint System) 或 QAP (Quadratic Arithmetic Program)。一些现代 SNARKs（如 Plonk 及其变种）使用 Plonkish 算术化。
     • 来源: CSDN博客 "zk-snark之R1CS->QAP 原创" (https://blog.csdn.net/weixin_43179764/article/details/102807826) 讨论了 R1CS 到 QAP 的转换。
     • 来源: arXiv 上的 "Zero-Knowledge Proof Frameworks: A Survey" (https://arxiv.org/html/2502.07063v1) 提及 "This framework enables high-level zk-SNARK development, as it allows users to implement their circuit as constraints (R1CS)..."
     • 来源: 登链社区 "ZK-SNARKs中的算术化" (https://learnblockchain.cn/article/5667) 解释了 R1CS 是如何将计算表示为一组二次方程的。
   • IP到Argument的转换: 通常依赖于可信设置（Trusted Setup）生成的通用参考串 (CRS)，或使用 Fiat-Shamir 变换将交互式协议转换为非交互式。
   • 多项式承诺方案 (PCS): 常用的有 KZG (Kate-Zaverucha-Goldberg) commitment scheme（通常与基于配对的 SNARKs 结合），以及 IPA (Inner Product Argument)（如用于 Halo）。
     • 来源: eprint.iacr.org 上的 "[PDF] Understanding zk-SNARKs: The Gap Between Research and Practice" (https://eprint.iacr.org/2025/172.pdf) 提到 "Currently, practical zk-SNARKs with constant proof size and fast verifier are based on QAP techniques [37, 43] or pairing PCS [40,44]."
     • 来源: CSDN技术社区 "虚拟币用到的非常哇塞的技术(Polynomial承诺方案)解读" (https://m.blog.csdn.net/zhangzhechun_03/article/details/147697794) 介绍了 KZG 承诺基于双线性配对。
   • 复杂度: 证明大小通常非常小（常数级别或对数级别），验证时间通常非常快。证明生成时间相对较慢。大多数经典 SNARKs 需要特定于电路的可信设置，一些较新的系统支持通用且可更新的可信设置或无需可信设置。
   • 应用: 区块链扩容 (zk-Rollups), 隐私交易 (如 Zcash)。
     • 来源: arXiv 上的 "A Survey on the Applications of Zero-Knowledge Proofs" (https://arxiv.org/html/2408.00243v1) 讨论了 ZKP 在区块链隐私、扩容等方面的应用。

2. Groth16 (zk-SNARK 变体):

   • 算术化工具: R1CS 转换为 QAP。
     • 来源: 登链社区 "零知识证明 - Groth16计算详解" (https://learnblockchain.cn/2019/12/19/zkp-Groth16/?from=groupmessage) 详细分析了 Groth16 的计算过程，包括 R1CS 到 QAP 的转化。
   • IP到Argument的转换: 特定电路的可信设置 (Trusted Setup)，通常通过 Powers of Tau 仪式的第一阶段（通用）和特定电路的第二阶段生成 CRS。
     • 来源: CSDN技术社区 "【零知识证明】Groth16" (https://m.blog.csdn.net/qq_45059937/article/details/141676323) 描述了 Groth16 的设置过程，包括 Powers of Tau。
   • 多项式承诺方案 (PCS): 基于配对的承诺，隐式包含在 QAP 证明的验证方程中。
   • 复杂度: 证明大小非常小（通常为 2个G1元素 + 1个G2元素），验证时间非常快（几次配对运算）。证明生成时间相对较慢。
   • 应用: Zcash (Sapling 升级), Filecoin, Coda (现 Mina Protocol 的早期版本)。
     • 来源: 登链社区 "零知识证明 - Groth16计算详解" (https://learnblockchain.cn/2019/12/19/zkp-Groth16/?from=groupmessage) 提到 Groth16 在 ZCash, Filecoin, Coda 等项目中使用。

3. zk-STARKs (Zero-Knowledge Scalable Transparent Argument of Knowledge):

   • 算术化工具: 主要使用 AIR (Algebraic Intermediate Representation)。
     • 来源: 登链社区 "STARKs中的算术化 - AIR简介 - I" (https://learnblockchain.cn/index.php/article/12740) 详细介绍了 AIR 如何将计算完整性声明转化为多项式的关系和属性，并定义了执行轨迹。
     • 来源: eprint.iacr.org 上的 "[PDF] Study of Arithmetization Methods for STARKs" (https://eprint.iacr.org/2023/661.pdf) 探讨了 STARKs 的算术化方法。
   • IP到Argument的转换: 使用 Fiat-Shamir 变换将交互式预言证明 (IOP) 转换为非交互式。
   • 多项式承诺方案 (PCS): 主要使用 FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity)，通常结合 Merkle Tree 实现。
     • 来源: GitHub Pages 上的 "深入理解zk-STARK证明系统" (https://trapdoor-tech.github.io/zkstark-book/chapter_1.html) 解释了 STARK 中如何使用默克尔树和 FRI 进行多项式承诺。
     • 来源: 登链社区 "掌握SP1 zkVM设计 - 第3部分：核心证明" (https://learnblockchain.cn/index.php/article/10855) 提到 "SP1 直接使用 Plonky3 的高级基于 FRI 的多项式承诺实现"。
   • 复杂度: 证明大小相对较大（通常是电路规模的对数多项式级别，例如 O(log²N)），验证时间快（对数多项式级别）。证明生成时间相对较快。不需要可信设置 (Transparent)。
   • 应用: 区块链扩容 (如 StarkNet, StarkEx by StarkWare, Polygon Miden)。

4. Bulletproofs:

   • 算术化工具: 通常用于证明 R1CS 关系的知识。
     • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到 "通用性：Bulletproofs 是通用的，可以用于证明范围 （Range） 和证明知识 （R1CS） 的零知识证明。"
   • IP到Argument的转换: 使用 Fiat-Shamir 变换。
   • 多项式承诺方案 (PCS): 其核心是一种基于内积论证 (IPA - Inner Product Argument) 的高效协议，可以看作是一种 PCS。
     • 来源: CSDN技术社区 "IPA多项式承诺方案--(2)预备知识" (https://m.blog.csdn.net/weixin_43659420/article/details/140773545) 介绍了基于内积定理的IPA多项式承诺方案。
     • 来源: arXiv 上的 "[PDF] Collaborative CP-NIZKs: Modular, Composable Proofs for ..." (https://arxiv.org/pdf/2407.19212) 提到 "Additionally, this Bulletproof verification uses IPA to reduce communication costs..."
   • 复杂度: 证明大小与电路规模呈对数关系 (O(log N))，验证时间与电路规模呈线性关系 (O(N))。证明生成时间与电路规模呈线性关系 (O(N))。不需要可信设置 (Transparent)。
     • 来源: 开源中国社区的 "铜锁支持 Bulletproofs 算法" (https://my.oschina.net/infohunter/blog/10085451) 提到其优势包括无需 trusted-setup，线性的验证复杂度和对数级别的证明大小。
   • 应用: 隐私交易中的范围证明 (如 Monero, Grin)，保密多方计算。
     • 来源: coinvoice.cn 上的 "门罗币开始审计零知识证明系统 Bulletproofs+代码" (https://www.coinvoice.cn/news_flashes/1324) 提到门罗币使用 Bulletproofs+ (Bulletproofs 的改进版)。

5. Sigma Protocols:

   • 算术化工具: 通常不直接使用复杂的算术化技术如 R1CS 或 AIR。它们直接证明关于代数群中元素的关系（例如，知识的离散对数，知识的离散对数相等性等）。
   • IP到Argument的转换: 本身是三步交互式协议（承诺-挑战-回应）。可以使用 Fiat-Shamir 变换将其转换为非交互式签名或证明，此时需要一个随机预言机（通常用哈希函数实例化）。
     • 来源: CSDN技术社区的 "［ZKP］Sigma Protocol" (https://m.blog.csdn.net/weixin_45347752/article/details/135232867) 描述了三阶段：Commitment, Challenge, Response。
     • 来源: CSDN技术社区的 "Bulletproofs、Sigma protocol、Halo2等ZK方案小结" (https://m.blog.csdn.net/mutourend/article/details/126751659) 提到了 "Sigma Protocol（+ Fiat-Shamir）"。
   • 多项式承诺方案 (PCS): 通常不适用，因为它们不直接处理多项式。
   • 复杂度: 证明大小通常较小，证明生成和验证时间非常快。通常不需要可信设置。
   • 应用: 数字签名 (如 Schnorr 签名), 身份验证, 投票系统, 作为更复杂零知识证明系统的构建模块 (例如，在一些 zk-SNARKs 中用于证明某些代数关系)。
     • 来源: 中国科学院网站上关于 "Sigma Protocols from Verifiable Secret Sharing and Their Applications" 的报告摘要 (https://www.amss.cas.cn/mzxsbg/202404/t20240402_7083060.html) 提到 "Sigma protocols are one of the most common and efficient zero-knowledge proofs (ZKPs)." 并提及 Schnorr, Guillou–Quisquater 和 Okamoto 协议。

6. Plonk (Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge):

   • 算术化工具: 使用 Plonkish 算术化（一种基于置换的算术化，比 R1CS/QAP 更灵活，支持自定义门和查找表）。
     • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提到 "多个项目都有 Plonk 的定制版本，包括 Aztec、ZK-Sync、Polygon ZKEVM、Mina’s Kimchi、Plonky2、Halo 2 和 Scroll 等。"
   • IP到Argument的转换: 通常使用 Fiat-Shamir 变换，并依赖于通用且可更新的可信设置 (Universal and Updatable Trusted Setup)。
   • 多项式承诺方案 (PCS): 通常使用 KZG 承诺方案。
     • 来源: CSDN技术社区 "Plonk代码解析" (https://m.blog.csdn.net/mutourend/article/details/113803758) 提到 Plonk 使用 KZG10 多项式承诺方案。
   • 复杂度: 证明大小较小且恒定（与电路大小无关，取决于多项式承诺方案），验证时间快。证明生成时间通常与电路大小呈拟线性关系。
   • 应用: 区块链扩容 (zk-Rollups like zkSync Era, Polygon zkEVM (部分版本), Scroll, Aztec), 隐私应用。

7. GKR (Goldwasser-Kalai-Rothblum) Protocol:

   • 算术化工具: 针对分层算术电路 (Layered Arithmetic Circuits)。
     • 来源: 知乎专栏 "ProofsArgsAndZK笔记: GKR protocol" (https://zhuanlan.zhihu.com/p/720427211) 提到 "GKR协议针对log-space uniform的算数电路。"
   • IP到Argument的转换: 本身是交互式的，核心是 Sum-check 协议。可以使用 Fiat-Shamir 变换转换为非交互式。
   • 多项式承诺方案 (PCS): 原始 GKR 协议不直接使用现代意义上的 PCS，但 Sum-check 协议本身涉及对多项式求值的承诺和验证。后来的工作可能会结合 PCS。
   • 复杂度: 证明者复杂度与电路大小 C 接近线性 O(C)。验证者复杂度与电路深度 d 和输入大小 n 相关，通常远小于电路大小，例如 O(d * log C + n)。
   • 应用: 可验证计算，特别是对于具有规则结构和低深度的电路，可用于某些机器学习模型验证。

8. R1CS (Rank-1 Constraint System):

   • 描述: 一种将计算问题表示为一组满足特定形式的二次方程（每个方程形如 (A·s) * (B·s) - (C·s) = 0，其中 s 是包含公开输入、私有输入和中间变量的向量，A, B, C 是矩阵）的算术化方法。
     • 来源: 登链社区 "ZK-SNARKs中的算术化" (https://learnblockchain.cn/article/5667) 详细描述了 R1CS 的形式。
   • 用途: 广泛用于 zk-SNARKs (如 Groth16) 和 Bulletproofs 中。

9. AIR (Algebraic Intermediate Representation):

   • 描述: STARKs 中使用的一种算术化方法，它将计算的完整性表示为一组关于执行轨迹（execution trace）的多项式约束。
     • 来源: 登链社区 "STARKs中的算术化 - AIR简介 - I" (https://learnblockchain.cn/index.php/article/12740) 详细解释了 AIR 的构成。
   • 用途: STARKs 的核心算术化方法。

10. KZG (Kate-Zaverucha-Goldberg) Polynomial Commitment Scheme:

    • 描述: 一种流行的多项式承诺方案，允许证明者对一个多项式做出简短的承诺，并能有效地证明该多项式在任意点的求值。承诺和证明大小恒定，验证快速。
      • 来源: CSDN技术社区 "虚拟币用到的非常哇塞的技术(Polynomial承诺方案)解读" (https://m.blog.csdn.net/zhangzhechun_03/article/details/147697794) 提供了 KZG 的原理。
    • 要求: 需要可信设置（Trusted Setup）来生成公共参数（"powers of tau"）。
    • 应用: Plonk, Marlin, Sonic 等 zk-SNARK 系统。

11. FRI (Fast Reed-Solomon Interactive Oracle Proof of Proximity):

    • 描述: 一种交互式预言证明协议，用于证明一个（承诺的）函数与一个低度多项式接近。它是 STARKs 的核心组件，用于实现多项式承诺。透明（不需要可信设置），依赖于抗碰撞哈希函数。
      • 来源: 登链社区 "掌握SP1 zkVM设计 - 第3部分：核心证明" (https://learnblockchain.cn/index.php/article/10855) 解释了 FRI 作为 PCS 的一部分。

12. IPA (Inner Product Argument):

    • 描述: 一种高效的论证系统，允许证明者证明两个向量的内积等于某个公开值，而无需揭示向量本身。它是 Bulletproofs 的核心组件，并可作为一种多项式承诺方案。无需可信设置，证明大小对数级。
      • 来源: CSDN技术社区 "IPA多项式承诺方案--(2)预备知识" (https://m.blog.csdn.net/weixin_43659420/article/details/140773545) 解释了内积的基本性质。

13. Plonky2:

    • 描述: 一个高效的通用零知识证明系统，支持递归证明。它结合了 Plonk 和 FRI 的思想，使用 Goldilocks 域。
      • 来源: CSDN技术社区 "探索可信计算新境界：Plonky2在Circom中的验证器" (https://m.blog.csdn.net/gitblog_00665/article/details/142124435) 介绍了 Plonky2 及其在 Circom 中的验证器。
    • 算术化: Plonkish (支持自定义门)。
    • PCS: 基于 FRI。
    • 应用: 区块链扩容，隐私保护应用。

14. Halo2:

    • 描述: 一种递归零知识证明系统，无需可信设置（通过累积方案实现）。它基于 Plonk 算术化，并使用 IPA 作为多项式承诺方案。
      • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提及 Halo2 是 Plonk 的定制版本之一。
    • 算术化: Plonkish。
    • PCS: IPA。
    • 应用: Zcash (Orchard 升级)。

15. Marlin:

    • 描述: 一种通用的 zkSNARK，具有可更新的可信设置。它使用 R1CS 进行算术化，并引入了代数全息证明 (algebraic holographic proofs) 的概念。
      • 来源: PHP中文网 "IOSG：零知识证明不断创新的源动力是什么？" (https://m.php.cn/faq/684136.html) 提及 Marlin。
    • 算术化: R1CS。
    • PCS: 基于代数全息证明的 PCS。
    • 可信设置: 通用且可更新。

16. Spartan:

    • 描述: 一种基于 sum-check 的 zkSNARK，具有高效的证明者，无需可信设置（透明）。
      • 来源: 登链社区 "密码学 - 斯巴达" (https://learnblockchain.cn/article/15537) 详细介绍了 Spartan 的特性和应用。
      • 来源: CSDN技术社区 "探索Spartan：无信任设置的高速zkSNARKs" (https://m.blog.csdn.net/gitblog_00014/article/details/139037101) 强调其无需可信设置和对R1CS的支持。
    • 算术化工具: 灵活支持 R1CS, Plonkish, AIR 及其推广 CCS。
      • 来源: 登链社区 "密码学 - 斯巴达" (https://learnblockchain.cn/article/15537) "Spartan 在算术化方面具有灵活性：它可以支持 R1CS、Plonkish、AIR 及其推广 CCS。"
    • IP到Argument的转换: 基于 Sum-check 协议。
    • 多项式承诺方案 (PCS): 可与任何多线性多项式承诺方案实例化。
      • 来源: 登链社区 "密码学 - 斯巴达" (https://learnblockchain.cn/article/15537) "Spartan 可以用任何多线性多项式承诺方案实例化..."
    • 复杂度: 证明者高效，验证成本亚线性。
    • 应用: zkVM, folding 方案压缩 (如 Nova, HyperNova), 身份验证。
      • 来源: 登链社区 "密码学 - 斯巴达" (https://learnblockchain.cn/article/15537) "Spartan 已在各种设置中采用（证明机器执行，又名 zkVM，独立证明系统，coSNARK，folding 方案等）。"

17. Sonic:

    • 描述: 一种 zk-SNARK，支持通用且可更新的结构化参考串 (SRS)，SRS 大小线性。
      • 来源: eprint.iacr.org "[PDF] Sonic: Zero-Knowledge SNARKs from Linear-Size Universal and ..." (https://eprint.iacr.org/2019/099.pdf) "Here we describe a zero-knowledge SNARK, Sonic, which sup- ports a universal and continually updatable structured reference string that scales linearly in size."
      • 来源: ACM Digital Library "Sonic: Zero-Knowledge SNARKs from Linear-Size Universal and ..." (https://dl.acm.org/doi/10.1145/3319535.3339817) 提供了论文信息。
    • 可信设置: 通用且可更新的 SRS。
    • 应用: 区块链等需要隐私保护证明的场景。
      • 来源: Wiley Online Library "Promise of Zero‐Knowledge Proofs (ZKPs) for Blockchain Privacy ..." (https://onlinelibrary.wiley.com/doi/full/10.1002/spy2.461) "Sonic's properties make it ideal for applications requiring privacy-preserving proofs on blockchains or other distributed ledger technologies."

行动计划

1. 系统化信息整理与深化：

   • 为每个已识别的证明系统（zk-SNARKs (Groth16, Marlin, Halo2, Plonk, Plonky2, Spartan, Sonic 等), zk-STARKs, Bulletproofs, Sigma Protocols, GKR）创建一个标准化的信息档案。
   • 确保每个档案都包含以下关键信息，并对技术术语进行简要解释：
     • 证明系统名称与简介：简要描述其核心特性和提出背景。
     • 算术化工具：明确指出是 R1CS, QAP, AIR, Plonkish (及其具体形式如自定义门、查找表), 算术电路 (Arithmetic Circuits)，或其他，并简述其如何将计算问题转化为代数形式。
     • IP到Argument的转换技术：明确是 Fiat-Shamir 变换, 通用参考串 (CRS) (并注明其类型：特定电路、通用、可更新、透明), PCP 定理，或其他，并简述其如何实现非交互性或论证属性。
     • 多项式承诺方案 (PCS)：如果适用，明确指出是 KZG, FRI, IPA, DARK, Hyrax，或其他，并简述其如何允许证明者承诺一个多项式并在稍后揭示其在特定点的求值。
     • 时间与空间复杂度：详细列出证明大小、证明生成时间、验证时间（包括预处理时间，如 CRS 生成），并尽可能给出与电路规模 N 或其他相关参数（如安全参数 λ）的关系（例如 O(log N), O(N log N), O(N), O(λ) 等）。明确指出是否需要可信设置及其性质（例如，透明、特定电路、通用可更新）。
     • 应用场景与具体项目：列举该证明系统的主要应用领域（如区块链扩容、隐私币、身份验证、可验证外包计算、零知识机器学习等），并尽可能找到并列出至少1-2个采用该证明系统的知名开源项目或商业产品，简述其在项目中的作用。

2. 补充缺失信息与细节：

   • Sonic: 进一步明确其算术化工具和PCS的具体选择，以及更详细的复杂度分析和更广泛的应用实例。
   • 其他 SNARK 变体: 如 Supersonic, Fractal 等，如果它们有成熟的应用或重要的理论贡献，也应按上述框架收集信息。
   • STARK 变体/优化: 查找是否有针对特定场景的 STARK 优化版本，并记录其差异。
   • Bulletproofs 扩展: 如 Bulletproofs++，明确其相对于原版的改进和性能数据。
   • GKR 变体: 了解