zkSnarks：QAP上构造零知识证明

协议一：抽样验证：prover向验证证明它知道一个d阶多项式

（Prover向verifier证明知道一个基于原电路R1CS约束正确插值形成的多项式p(x)，使得p(x)=t(x)h(x)）

verifier：选取随机数s，发送给prover
prover：计算h(x) = P(x)/t(x) ，公开p(s) 、h(s)。
verifier：验证等式p(s) = t(s) h(s)是否成立

该证明了prover知道一个整除t(x)的多项式，但存在以下问题：

prover 知道s，可以计算出t(s), 随机选取h(s) ,并构造p(s) = t(s) h(s)
prover 知道点(s, t(r ) h(r )), 可以构造经过该点的任意多项式
prover 即使不知道多项式p(x) ,也可以构造多项式p’(x) = t(x) h’(x) 成立

协议二：同态隐藏

verifier
- 选取随机数s，计算 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ (d为多项式的阶)
- 将 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ 发送给prover
prover
- 计算h(x) = P(x)/t(x)
- 使用 $E(s^i)$ 和多项式系数c₀,…,c_d计算 $\prod_{i=0}^{d}{ {(g^{s_i})}^{c_i}}$
- 同理计算 $E (h (s))$
- 生成证明{ $E (p (s))$ ， $E (h (s))$ }
verifier
- 验证等式 $E(p(s)) = {(E(h(s)))}^{t(s)}$

该协议解决了随机数s暴露的问题，同时限制了多项式的阶数为d，但无法验证 prover 是否是真的使用了 verifier 提供的值来构造证明

协议三： KCA

verifier
- 选取随机数s， $\alpha$ ，
- 计算 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ 以及 ${E({\alpha}s^i) = g ^{ {\alpha}s_i}}_{i=0,...,d}$
- 将 ${E(s^i)，E({\alpha}s^i)}$ send to prover
samples
- Calculate h(x) = P(x)/t(x)
- 使用 ${E(s^i)，E({\alpha}s^i)}$ 和多项式系数c₀,…,c_d计算 $\prod_{i=0}^{d}{ {(g^{s_i})}^{c_i}}$ 和 $E({\alpha}p(s)) = \prod_{i=0}^{d}{ {(g^{ {\alpha}s_i})}^{c_i}}$
- 同理计算 $E (h (s))$
- 生成证明{ $E (p (s))$ ， $E({\alpha}p(s))$ ， $E (h (s))$ }
verifier
- 验证等式 $E({\alpha}p(s)) = {(E(p(s)))}^{\alpha}$
- 验证等式 $E(p(s)) = {(E(h(s)))}^{t(s)}$

The protocol constrains the prover to be constructed using the values provided by the verifier, but this protocol does not protect the prover's knowledge

Protocol Four: Zero Knowledge

verifier
- Choose a random number s, $\alpha$ ，
- 计算 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ 以及 ${E({\alpha}s^i) = g ^{ {\alpha}s_i}}_{i=0,...,d}$
- 将 ${E(s^i)，E({\alpha}s^i)}$ 发送给prover
prover
- 计算h(x) = P(x)/t(x), 选择随机数 $\delta$
- 使用 ${E(s^i)，E({\alpha}s^i)}$ 和多项式系数c₀,…,c_d计算 $E({\delta}p(s)) = \prod_{i=0}^{d}{ {(g^{s_i})}^{ {\delta}c_i}}$ 和 $E({\delta}{\alpha}p(s)) = \prod_{i=0}^{d}{ {(g^{ {\alpha}s_i})}^{ {\delta}c_i}}$
- Calculate $E({\delta}h(s)) in the same way$
- Proof of generation { $E({\delta}p(s))$ ， $E({\delta}{\alpha}p(s))$ ， $E (h (s))$ }
verifier
- 验证等式 $E({\delta}{\alpha}p(s)) = {(E({\delta}p(s)))}^{\alpha}$
- 验证等式 $E({\delta}p(s)) = {(E({\delta}h(s)))}^{t(s)}$

该协议通过引入 $\delta$ 变换实现了prover的零知识，但该证明是一个交互式证明，即该证明只对此verifier有效，要想所有的 verifier 都相信该证明，需要构造一个可以被重复使用，公开，可信，又不会被滥用的秘密参数

协议五：非交互式(多项式的零知识证明)

setup
- 选取随机数s， $\alpha$ ，
- 计算 $^{\alpha}$ 、 ${g^{s^i}\}_{i=1...d}$ 、 $\{g^{ {\alpha}s^i}\}_{i=1...d}$
- 生成proving key { ${g^{s^i}\}_{i=1...d}$ ， $\{g^{ {\alpha}s^i}\}_{i=1...d}$ }
- Generate verification key { $^{\alpha}$ ， $g ^{t(s)}$ }
samples
- Calculate h(x) = P(x)/t(x), choose a random number $\delta$
- 使用 ${E(s^i)，E({\alpha}s^i)}$ 和多项式系数c₀,…,c_d计算 $E({\delta}p(s)) = \prod_{i=0}^{d}{ {(g^{s_i})}^{ {\delta}c_i}}$ 和 $E({\delta}{\alpha}p(s)) = \prod_{i=0}^{d}{ {(g^{ {\alpha}s_i})}^{ {\delta}c_i}}$
- Calculate $E({\delta}h(s)) in the same way$
- Proof of generation { $E({\delta}p(s))$ ， $E({\delta}{\alpha}p(s))$ ， $E (h (s))$ }
verifier
- 证明简写为{ $g^p,g^{p'}, g^h$ }
- 验证等式 $e(g^{p'}, g) = e(g^p, g^{\alpha})$
- 验证等式 $e(g^{p}, g) = e(g^{t(s)}, g^h)$

该协议实现了一个非交互式零知识证明，需要说明的是：要想所有的 verifier 都相信该证明，需要在setup阶段构造一个可以被重复使用，公开，可信，又不会被滥用的秘密参数，也即CRS

协议六：扩展到一般运算(即QAP上的零知识证明)

$\sum_{i=0}^{n}\{(v_i*l_i(x))(v_i*r_i(x))-(v_i*o_i(x))\}=t(x)h(x)$

setup
- 选取随机数s， $\alpha$ ，
- 计算 $^{\alpha}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{ {g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}l_i(s)},g^{ {\alpha}r_i(s)},g^{ {\alpha}o_i(s)}}\}_{i=1...n}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}l_i(s)},g^{ {\alpha}r_i(s)},g^{ {\alpha}o_i(s)}}\}$
- 生成verification key { $^{\alpha}$ ， $g ^{t(s)}$ }
prover
- 计算h(x) = {L(x)*R(x) -O(x)}/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{ {(g^{l_i(s)})}^{v_i}}$ , $g^{ {\alpha}L(s)} = \prod_{i=0}^{n}{ {(g^{ {\alpha}l_i(s)})}^{v_i}}$ where v _i is the solution of the linear combination
- Calculate $g^{R(s)} in the same way$ , $g^{O(s)}$ , $g^{ {\alpha}R(s)}$ , $g^{ {\alpha}O(s)}$
- 利用 $g^{s^k}$ , calculate $g^{h(s)}$
- Proof of generation { $g^{h(s)}$ $g^{h (s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{ {\alpha}L(s)}$ , $g^{ {\alpha}R(s)}$ , $g^{ {\alpha}O(s)}$ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{ {\alpha}L}$ , $g^{ {\alpha}R}$ , $g^{ {\alpha}O}$ }
- 验证等式 $e(g^L,g^{\alpha})=e(g^{ {\alpha}L},g)$ , $e(g^R,g^{\alpha})=e(g^{ {\alpha}R},g)$ , $e(g^O,g^{\alpha})=e(g^{ {\alpha}O},g)$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

该协议实现了一个简单的QAP证明，存在以下两个问题：

操作数和输出的不可交换性
- L(x)采用R(x)/O(x)的多项式： L′(s) = o₁(s) + r₁(s) + r₁(s) + …
- 输入/输出换位：O(s) * R(s) = L(s)
- 重用：L(s) * L(s) = O(s)
变量一致性: 保证L(x)、R(x)、O(x) 使用的变量（v_i）是相同的

协议七：不可交换性

setup
- 选取随机数s， ${\alpha}_l$ ， ${\alpha}_r$ , ${\alpha}_o$
- Calculate $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{ {g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)}}\}_{i=1...n}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)}}\}$
- Generate verification key { $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ ， $g ^{t(s)}$ }
samples
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{ {(g^{l_i(s)})}^{v_i}}$ , $g^{ {\alpha}_lL(s)} = \prod_{i=0}^{n}{ {(g^{ {\alpha}_ll_i(s)})}^{v_i}}$ where v _i is the solution of the linear combination
- Calculate $g^{R(s)} in the same way$ , $g^{O(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , calculate $g^{h(s)}$
- Proof of generation { $g^{h(s)}$ $g^{h (s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{ {\alpha}_lL(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{ {\alpha}_lL}$ , $g^{ {\alpha}_rR}$ , $g^{ {\alpha}_oO}$ }
- 验证等式 $e(g^L,g^{ {\alpha}_l})=e(g^{ {\alpha}_lL},g)$ , $e(g^R,g^{ {\alpha}_r})=e(g^{ {\alpha}_rR},g)$ , $e(g^O,g^{ {\alpha}_o})=e(g^{ {\alpha}_oO},g)$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

该协议对l_i(s),r_i(s),o_i(s)使用不同的 ${\alpha}$ 保证了操作数和输出的不可交换性

协议八：变量一致性

setup
- 选取随机数s， ${\alpha}_l$ ， ${\alpha}_r$ ， ${\alpha}_o$ ， ${\beta}_l$ ， ${\beta}_r$ ， ${\beta}_o$
- Calculate $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ 、 $^{ {\beta}_l}$ 、 $^{ {\beta}_r}$ 、 $^{ {\beta}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{ {g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)}}\}_{i=1...n}$
- 计算 $g^{ {\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)},g^{ {\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}}\}$
- Generate verification key { $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ ， $g ^{t(s)}$ , $^{ {\beta}_l}$ , $^{ {\beta}_r}$ , $^{ {\beta}_o}$ }
samples
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{ {(g^{l_i(s)})}^{v_i}}$ , $g^{ {\alpha}_lL(s)} = \prod_{i=0}^{n}{ {(g^{ {\alpha}_ll_i(s)})}^{v_i}}$ where v _i is the solution of the linear combination
- Calculate $g^{R(s)} in the same way$ , $g^{O(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , calculate $g^{h(s)}$
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g^{ {\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)})^{v_i}}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{ {\alpha}_lL(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$ , $g^{Z_(s)}$ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{ {\alpha}_lL}$ , $g^{ {\alpha}_rR}$ , $g^{ {\alpha}_oO}$ , $g^{Z}$ }
- 验证等式 $e(g^L,g^{ {\alpha}_l})=e(g^{ {\alpha}_lL},g)$ , $e(g^R,g^{ {\alpha}_r})=e(g^{ {\alpha}_rR},g)$ , $e(g^O,g^{ {\alpha}_o})=e(g^{ {\alpha}_oO},g)$
- 验证等式 $e(g^L,g^{ {\beta}_l}) ·e(g^R,g^{ {\beta}_r}) ·e(g^O,g^{ {\beta}_o})=e(g^Z,g)$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

该协议对l_i(s),r_i(s),o_i(s)使用不同的 ${\beta}$ 保证了变量的一致性；
ps：为什么要使用不同的 ${\beta}$ ? 如果使用同一个 ${\beta}$ ，当存在l(s)=r(s)时，设l(s)、r(s)和o(s) 对应的系数变量分别为v_l、v_r和v_o，并令v_l=2v_o -v_r也能通过验证，如下：

setup
- …
- 生成proving key $\{...,g^{ {\beta}(l_i(s)+r_i(s)+o_i(s))}\}$
- Generate verification key {…, $^{ {\beta}}$ }
samples
- …
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g^{ {\beta}(l_i(s)+r_i(s)+o_i(s))})^{v_{o_i}}} = \prod_{i=0}^{n}{(g^{ {\beta}(2l_i(s)+o_i(s))})^{v_{o_i}}} = \prod_{i=0}^{n}{(g^{ {\beta}(2v_{o_i}l_i(s)-v_{r_i}l_i(s)+v_{r_i}r_i(s)+v_{o_i}o_i(s))})} \\= \prod_{i=0}^{n}{(g^{ {\beta}((2v_{o_i}-v_{r_i})l_i(s)+v_{r_i}r_i(s)+v_{o_i}o_i(s))})} = \prod_{i=0}^{n}{(g^{ {\beta}(v_{l_i}l_i(s)+v_{r_i}r_i(s)+v_{o_i}o_i(s))})}$

通过协议七和协议八分别解决了不可交换性和变量的一致性，但仍然以下问题：

多项式的延展性：对于证明中的 $g^{L}$ ，可以计算 $g^{L}·g^{5} = g^{L+5}$ ，由于知道 $^{ {\alpha}_l}$ ,可以计算 $g^{ {\alpha}_lL}·g^{ {\alpha}_l5} = g^{ {\alpha}_l(L+5)}$ ,从而 $e(g^{L+5},g^{ {\alpha}_l})=e(g^{ {\alpha}_l(L+5)},g)$ Verification passed
Quantitative ductility: The same theorem $e(g^{L+5},g^{ { \beta}_l}) e(g^R,g^{ { \beta}_r}) e(g^O,g^{ { \ beta}_o})=e(g^Z g^{ {\beta}_l5},g)$ Verifiable pass

Protocol Nine: Non-malleability

setup
- Choose a random number s, ${\alpha}_l$ ， ${\alpha}_r$ , ${\alpha}_o$ , ${\beta}_l$ ， ${\beta}_r$ ， ${\beta}_o$ ， ${\gamma}$
- 计算 $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ 、 $^{ {\beta}_l}$ 、 $^{ {\beta}_r}$ 、 $^{ {\beta}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{ {g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)}}\}_{i=1...n}$
- 计算 $g^{ {\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)},g^{ {\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}}\}$
- 生成verification key { $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ ， $g ^{t(s)}$ , $^{ {\beta}_l{\gamma}}$ , $^{ {\beta}_r{\gamma}}$ , $^{ {\beta}_o{\gamma}}$ ， $^{ {\gamma}}$ }
prover
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{ {(g^{l_i(s)})}^{v_i}}$ , $g^{ {\alpha}_lL(s)} = \prod_{i=0}^{n}{ {(g^{ {\alpha}_ll_i(s)})}^{v_i}}$ where v _i is the solution of the linear combination
- Calculate $g^{R(s)} in the same way$ , $g^{O(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , calculate $g^{h(s)}$
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g^{ {\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)})^{v_i}}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{ {\alpha}_lL(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$ , $g^{Z_(s)} $ }
verifier
- The proof is abbreviated as { $g^{h}$ $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{ {\alpha}_lL}$ , $g^{ {\alpha}_rR}$ , $g^{ {\alpha}_oO}$ ,$g^{Z} $ }
- Verify the equation $e(g^L,g^{ {\ alpha}_l})=e(g^{ { \alpha}_lL} ,g)$ , $e(g^R,g^{ {\alpha}_r})=e(g^{ {\alpha}_rR},g)$ , $e(g^O,g^{ {\alpha}_o})=e(g^{ {\alpha}_oO},g)$
- The functions $e(g^L, g^{ {\beta}_l{\gamma}}) ·e(g^R,g^{ { \beta}_r{\gamma}}) ·e(g^O,g^{ { \beta}_o {\gamma}})=e(g^Z,g^{\gamma})$
- Free function $e(g^L,g^R)=e(g^t,g^h)e(g^ O,g)$

Protocol 10: Optimization of variable consistency (bilinear pairing operation and verification key optimization)

setup
- Choose a random number s, ${\alpha}_l$ ， ${\alpha}_r$ , ${\alpha}_o$ , ${\beta}$ , ${\gamma}$ , $p_l,p_r, p_o =p_l·p_r$
- set generator $g_l = g^{p_l}$ , $g_r= g^{p_r}$ , $g_0= g^{p_o}$
- Calculate $g_l^{ {\beta}l_i(s)}$ , $g_r^{ {\beta}r_i(s)}$ , $g_o^{ {\beta}o_i(s)}$
- Calculate $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{ {g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)}}\}_{i=1...n}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{ {\alpha}_ll_i(s)},g^{ {\alpha}_rr_i(s)},g^{ {\alpha}_oo_i(s)},g_l^{ {\beta}l_i(s)}, g_r^{ {\beta}r_i(s)},g_o^{ {\beta}o_i(s)}}\}$
- Generate verification key { $^{ {\alpha}_l}$ 、 $^{ {\alpha}_r}$ 、 $^{ {\alpha}_o}$ ， $g_o ^{t(s)}$ , $^{ {\beta}{\gamma}}$ , $^{ {\gamma}}$ }
samples
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{ {(g^{l_i(s)})}^{v_i}}$ , $g^{ {\alpha}_lL(s)} = \prod_{i=0}^{n}{ {(g^{ {\alpha}_ll_i(s)})}^{v_i}}$ where v _i is the solution of the linear combination
- Calculate $g^{R(s)} in the same way$ , $g^{O(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , 计算 $g^{h(s)}$
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g_l^{ {\beta}l_i(s)}·g_r^{ {\beta}r_i(s)}·g_o^{ {\beta}o_i(s)})^{v_i}}$
- Proof of generation { $g^{h(s)}$ $g^{h (s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{ {\alpha}_lL(s)}$ , $g^{ {\alpha}_rR(s)}$ , $g^{ {\alpha}_oO(s)}$ , $g^{Z_(s)}$ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{ {\alpha}_lL}$ , $g^{ {\alpha}_rR}$ , $g^{ {\alpha}_oO}$ , $g^{Z}$ }
- Intransformability check for polynomials: $e(g^L,g^{ {\ alpha}_l})=e(g^{ { \alpha }_lL}, g)$ , $e(g^R,g^{ {\alpha}_r})=e(g^{ {\alpha}_rR},g)$ , $e(g^O,g^{ {\alpha}_o})=e(g^{ {\alpha}_oO},g)$
- Independent function $e(g_l^L·g_r^R·g_o^O,g^{ {\beta} { \gamma}}) =e(g^Z,g^{\gamma})$
- Computational validity check $e(g_l^L,g_r^R) = e(g_o^t,g^h) e (g_o^O,g)$