Pedersen基于门限的秘密分享方案实际上采用了Pedersen承诺来构建多项式系数承诺，这一点很容易从对比其他秘密分享方案得出！

Pedersen承诺产生方式，有些类似加密，签名之类的算法。但是，作为密码学承诺重在“承诺”，并不提供解密算法，即如果只有r，无法有效地计算出隐私数据v。

本文介绍密码学承诺的含义及性质，并对哈希承诺做了说明，关于hash函数的内在机制实际是比较复杂的，我们以黑盒的角度来学习了解它的性质，在区块链&密码学中，哈希函数占据了基础且重要的位置。 比如区块链中常用的sha256,keccak等哈希算法。

PlonK算法实现了Universal的零知识证明。SRS只需要提供比多项式阶高的可信设置即可。PlonK电路采用特殊描述，一个门只支持乘法和加法操作。电路需要证明门的输入输出满足外，还需要证明连线的连接关系。PlonK算法的底层原理是多项式承诺。PlonK算法巧妙地将电路的满足关系通过多项式承诺进行证明并验证。

不经意传输（Oblivious transfer）或者译为茫然传输是密码学中的一类协议，缩写为OT，实现了发送方将潜在的许多信息中的一个传递给接收方，但对接收方所接收信息保持未知状态。

双线性配对特性不仅可以用于签名构造，密钥协商等，还可以实现乘法的同态隐藏和校验。这一点在零知识证明项目中应用很多。另外需要说明的是，并非基于任何椭圆曲线都可以构造配对函数，对于能有效实现双线性对的椭圆曲线，称为pairing-friendly curves，例如BLS12_381曲线。

powersoftau，采用MPC以及随机Beacon，完成可信设置。通过POK算法实现可验证的密钥对，并建立和上一个参与方计算结果的绑定。参与可信设置的人数可扩展，并且参与方只需要按照顺序一个个的进行指定的计算即可。协调方在接收到某个参与方的计算后，验证后，发送给下一个参与方。

改进的密钥聚合的算法是如何防止伪签名的呢?本质上增加了公钥的可验证性

本文介紹了BLS签名简要过程及其原理，综上可以看出BLS签名过程没有使用随机数，签名结果具有确定性（与RSA，EdDSA类似，不同于ECDSA，Schnorr等）。其构建在具有双线性映射的配对函数之上。

本文介绍参与者少于门限值t时的方案，实质上是通过提高c的值来改变门限值。 需要说明的是后m个节点虽然也参与计算了，但不是和前k节点一样（生成秘密随机数，计算准备多项式），属于被动参与，不会影响最终结果。

动态秘密共享方案可有效提高长周期密钥的安全性。本文介绍了典型的Amir Herzberg实现方案，默认情况下所有参与者都参与，恢复阶段只要大于或等于门限t个参与能够周期性地更新自己的密钥部分，就能达到目的，本质上是 n 个参与者协商了一个常数项为零的 t-1 次多项式！

Feldman的方案提供了可验证的密钥分享机制，验证子密钥的正确性的关键是密钥分发者公布了承诺信息$（c_i）$,$c_i$ 绑定了多项式系数，从而使得每个参与者收到的承诺都来自同一个多项式

密钥分享技术本质上是单一密钥的拆分管理，使用n份冗余储存，保证m份分片确定的秘密。这个秘密可以是私钥，也可以扩展成其他任意信息，如资产共同管理，谜语答案，秘密遗嘱等。

本文介绍了比特币使用的多签方式，多钱类型地址 + 交易多个签名。但是如果参与者较多的话，签名数据就会倍增，占用很多存储空间，而Schnorr聚合签名则解决了这个问题，无论多少参与者，最后聚合成一个签名，跟普通的签名无样。

随机数在密码学体制中，占据重要的位置，如果不正确使用会带来非常大的安全隐患，历史上发生此类事故也不在少数。伪签名是一个弱问题，可能会对不熟悉的人造成欺骗。

本文主要说了EdDSA签名机制的发展及其优点

zk-SNARK 是如何实现零知识证明的

Ed25519使用了扭曲爱德华曲线，签名过程和之前介绍过的Schnorr,secp256k1, sm2都不一样，最大的区别在于没有使用随机数，这样产生的签名结果是确定性的，即每次对同一消息签名结果相同。

本文介绍了蒙哥马利曲线和应用实例Curve25519，Curve25519得到广泛使用，其自身的长处简单说明，没有展开