ZK协议使用代数上简单的特殊哈希函数。 但是，如果我们的证明系统支持查找表，我们能做得更好吗？ 介绍Polocolo：一个新的ZK友好的哈希函数，用于PlonKup，由Zellic密码学家@baaaaaarkingdog共同创作。

在ZK友好的哈希函数中，这些函数在代数上是简单的，以提高效率。 因此，对ZK友好哈希函数的攻击集中在受限输入受限输出（CICO）问题上，因为解决方程组通常是对ZK友好哈希函数最有效的攻击方式。 尽管设计者在选择结构和参数时仔细考虑了这些攻击向量，但ZK友好哈希函数仍然常常受到攻击。

如果ZK证明系统仅允许加法和乘法门，那么无法用代数表示的操作就需要大量的约束。 但如果ZK证明系统支持查找门，则所需的门的数量会大幅减少。 因此，在ZK友好的哈希函数中使用查找门的主要优势在于它们不是以简单的代数方式表达的，这可以提供对代数攻击的抵抗。

钢筋混凝土是第一个基于查找的ZK友好哈希函数，由砖、混凝土和条层组成（这就是使用查找表的地方）。 然而，一个主要缺点是在ZK环境中评估条层的高成本。在钢筋混凝土的15个层中，只有一个是条层。 在多个轮次中迭代一个简单层是可取且自然的，因为减少条层的成本并在多个轮次中迭代可能增强安全性，并允许在效率和安全性之间进行权衡。 这激励了Polocolo的设计。

为了解决Bars层的高成本，提出了一种替代方法，称为幂余数法。 Polocolo是一种基于查找的ZK友好哈希函数，具有不同的设计理念。 Polocolo这个名字源于为降低成本的表查找而提出的幂余数。

幂余法有效地将查找表应用于大素数的 Fp 元素：p(≈2^256)。 使用幂余法构建的 S-box 具有高阶，仅需 14 个 PLONK 门，这比 Reinforced Concrete 的 Bar 函数所需的 94 个门显著减少。 利用这个 S-box，我们提出了 Polocolo，一种基于查找的新型 ZK 友好哈希函数。

Polocolo 是由 Zellic 密码学家 @baaaaaarkingdog 设计的，他是 KAIST CryptLab 的成员，与同实验室的其他研究人员一起合作。 在第二部分中，我们将介绍 Polocolo 的详细规格和密码分析，以及与其他 ZK 友好哈希函数的性能比较。