Groth16于16年被提出，是一种在证明大小(证明只包含三个点)和验证时间上都具有很大优势的zkSNARK算法。zkSNARK通常需要进行可信设置(Setup)，Groth16也不例外，然而Groth16的setup生成的公共参考串(CRS)不是通用的，即由该初始设置生成的CRS只能针对特定电路，而不能直接被用于任意电路的零知识证明之中，这也是Groth16在实际应用中比较鸡肋的地方。

R1CS

R1CS(rank-1 constraint system)是一个包含n个变量，m个约束，且witness $w\in F^n$

的一阶约束系统。witness的前p个变量为公开输入，第一个公开输入$w_0$固定为1. m个约束满足如下等式：
$$(w\cdot a_i)\cdot (w\cdot b_i)=w\cdot c_i$$
其中$(a_i,b_i,c_i)\in F^{3n}$确定了约束关系，整个约束系统也可以使用 element-wise product来表示
$$(w\cdot A)\circ (w\cdot B)=w\cdot C$$

QAP

固定一组基$x\in F^m$，对每一个约束定义满足如下要求的多项式
$$A_i(x_j)=A_{ij}$$
$B,C$同理，因此$A(X)={\sum }_{i\in [0,n)}{w}_i\cdot A_i(x)$，$B(X),C(X)$同理

经过上面转化，约束系统可以重新写成
$$A(x_i)\cdot B(x_i)=C(x_i)$$
这种形式即所谓QAP，可以通过一个低阶的多项式$H(X)$来验证
$$A(X)\cdot B(X)-C(X)=H(X)\cdot Z(X)$$
其中$Z(X)={\prod }_{j\in [0,m)}(x-x_j)$

Trust Setup

如上面所说，Groth16需要进行Setup，并且Setup还是跟电路有关，因此Setup可以分成两部分，一部分是完全独立的，与电路无关，另一部分与电路有关。

Powers of Tau (phase 1)

选择m，此m作为电路的最大约束数，生成随机数$\alpha ,\beta ,\tau$，计算
$$\begin{gathered} ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{2m-2})\cdot G_1 \\ ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{m-1})\cdot G_2 \\ ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{m-1})\cdot \alpha \cdot G_1 \\ ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{m-1})\cdot \beta \cdot G_1 \\ \beta \cdot G_2 \end{gathered}$$

phase 2

给定电路多项式$A_i,B_i,C_i$ ,生成随机数$\gamma ,\delta$，定义$L_i$多项式
$$L_i=\beta \cdot A_i(X)+\alpha \cdot B_i(X)+C_i(X)$$
我们不能直接计算$L_i(X)$，因为我们不知道$\alpha ,\beta$，但是我们可以通过线性组合的方式计算$L_i(\tau )\cdot G_1$，因此，我们可以计算

proving key：
$$\begin{gathered} (\alpha ,\beta ,\delta )\cdot G_1 \\ ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{m-1})\cdot G_1 \\ (L_p(\tau ),L_{p+1}(\tau ),L_{p+2}(\tau ),...,L_{m-1}(\tau ))\cdot {\delta }^{-1}\cdot G_1 \\ ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{m-1})\cdot Z(\tau )\cdot {\delta }^{-1}\cdot G_1 \\ (\beta ,\delta )\cdot G_2 \\ ({\tau }^0,{\tau }^1,{\tau }^2,....,{\tau }^{m-1})\cdot G_2 \end{gathered}$$
verification key:
$$\begin{gathered} \alpha \cdot G_1 \\ (L_0(\tau ),L_1(\tau ),L_2(\tau ),...,L_{p-1}(\tau ))\cdot {\gamma }^{-1}\cdot G_1 \\ (\gamma ,\beta ,\delta )\cdot G_2 \end{gathered}$$

MPC

$\alpha ,\beta ,\delta ,\gamma ,\tau$也被称为$toxicwaste$，在上述Setup的过程要确保$\alpha ,\beta ,\delta ,\gamma ,\tau$不能被任何人知道，否则对于Groth16系统是极其不安全的。为了安全的进行Setup，我们可以使用安全多方计算协议， 满足只要有一个参与者是诚实的，该系统就是安全的，具体可参考的当年ZCash关于Groth16 Setup论文BGM17

Proving

给定一组witness $w=(1,w_1,...,..w_m)$，我们可以按照上面的方法计算$A,B,C,H$多项式，然后计算
$$L(X)=\sum w_i\cdot L_i(X)$$

生成两个随机数$r,s$，计算proof
$$\begin{gathered} A=(\alpha +r\cdot \delta +A(\tau ))\cdot G_1 \\ B=(\beta +s\cdot \delta +B(\tau ))\cdot G_2 \\ C={\delta }^{-1}(L(\tau )+H(\tau )\cdot Z(\tau ))+s\cdot (\alpha +r\cdot \delta +A(\tau ))+r\cdot (\beta +s\cdot \delta +B(\tau ))-r\cdot s\cdot \delta \end{gathered}$$
最后的proof = $(A,B,C)$

Verifying

给定公开输入 $w=(1,w_1,...,..w_p)$，首先计算
$$L=\sum w_i({\gamma }^{-1}\cdot L_i(\tau )\cdot G_1)$$
然后验证
$$e(A,B)=e(\alpha \cdot G_1,\beta \cdot G_2)+e(L,\gamma \cdot G_2)+e(C,\delta \cdot G_2)$$