向量承诺的实现方法

KZG（配对/常数大小证明，需可信设置）

  - ethereum/c-kzg-4844 (C): 以太坊 EIP-4844 标准实现，生产可用；提供官方 Go/Rust/Python 绑定，适合需要高性能验证的场景。

  - ethereum/go-kzg-4844 (Go): 基于 c-kzg 的 Go 封装，和以太坊客户端生态兼容。

  - ConsenSys/gnark-crypto (Go): 包含 kzg 实现（BLS12-381/BN254），与 gnark 证明系统紧密集成。

  - arkworks-rs/ark-poly-commit (Rust): 通用多项式承诺库，包含 KZG10，实现规范、接口友好，支持多曲线。

  - zcash/halo2 (Rust): halo2_proofs::poly::kzg，bn256 上的 KZG PCS，广泛用于生产级电路。

  - AztecProtocol/barretenberg (C++): 含高性能 KZG（与其证明系统配套），工程优化成熟。

  IPA/内积型（可无可信设置，证明更大；也常用作“Pedersen 向量承诺+内积证明”）

  - dalek-cryptography/bulletproofs (Rust): Pedersen 向量承诺 + 内积证明，成熟稳定，适合无可信设置需求。

  - arkworks-rs/ark-poly-commit::ipa_pc (Rust): 泛型 IPA 多项式承诺，可用于向量承诺/单坐标打开。

  - zcash/halo2 (Rust): halo2_proofs::poly::ipa，Pasta 曲线上的 IPA PCS（无配对）。

  - AztecProtocol/barretenberg (C++): GIPA/IPA 实现，与其 Ultra/Plonk 体系联动。

  - o1-labs/proof-systems (Rust): kimchi/poly-commitment，Mina/Kimchi 使用的 IPA/PCS 组件。

  Merkle 型（无可信设置，证明 O(log n)，实现简单、支持动态更新）

  - rs-merkle (Rust): 轻量 Merkle 树库，易用，适合固定序向量承诺与开证明。

  - filecoin-project/merkle_light (Rust): Filecoin 生态的高性能实现，工程实践丰富。

  - aptos-labs/aptos-core: crates/jellyfish-merkle (Rust): 稀疏 Merkle（向量/字典）承诺，生产可用。

  - google/trillian (Go): 工业级可验证日志/Merkle 基建，可作为通用 Merkle 承诺后端。

  Verkle（基于向量承诺的高分支 Trie，证明短，适合状态树）

  - gballet/rust-verkle (Rust): 以太坊研究实现，节点承诺基于 IPA。

  - gballet/go-verkle (Go): Go 版 Verkle Trie，便于与 Go 生态集成。

  选型建议

  - 追求常数大小证明/高验证吞吐：选 KZG（接受可信设置/SRS）。

  - 不希望可信设置或不用配对曲线：选 IPA/内积方案（证明更大、验更慢）。

  - 简单稳健、动态更新频繁：选 Merkle。

  - 做状态树/大扇出结构：选 Verkle（本质上是“向量承诺 + Trie”）。

KZG 是 Kate–Zaverucha–Goldberg 多项式承诺方案（KZG10），出自论文 “Constant-Size Commitments to Polynomials and Their Applications”（2010，ASIACRYPT）。

KZG 性能

  - 结论：验证非常快且与向量大小无关；证明生成也快，但随 n 近似 O(n log n)。

  - 复杂度：commit = 1 次大 MSM（O(n)）；open = 多项式除法/FFT+MSM（O(n log n)）；verify = 常数对数的配对检查（通常 2 次 pairing）。

  - 典型数值（BLS12-381，优化库如 blst/c-kzg，桌面 CPU）：单次验证约 0.8–2 ms；n≈4096 时提交(commit)约 1–5 ms、单点开证明约 1–6 ms；批量验证 64 个证明经随机线性组合后约 10–30 ms（视库/硬件浮动较大）。BN254 通常再快 20–40%。

  - 对比：相较 IPA（无可信设置但验证 ~O(log n) MSM）和 Merkle（证明 O(log n)、验证需多次哈希），KZG 在“单次/批量验证速度”和“证明大小（~48B）”上通常更优。

  - 适用：高吞吐验证（链上/轻客户端）、批量多点打开；不适用：无法接受可信设置或设备上配对非常慢的场景（如较弱移动端）。

  - 优化要点：使用高度优化的配对库（blst）、批量验证（随机线性组合）、复用 FFT、多线程/MSM/FFT 并行，以及必要时 GPU 加速。