问Zk-SNARKs能验证图灵完整计算的结果吗？

EN

我的理解是，Zk-SNARKs (和一般的零知识证明)可以用来证明多项式时间计算有一定的输出，同时隐藏对该计算的一个或多个输入。

例如，假设您有一个字符串h，它是一个固定哈希函数的输出。如果你知道一个输入x，它会散列到h，你可以用Zk-SNARK来证明你在零知识中知道x(也就是说，不显示x)。同样地，给定这样的验证功能：

verify(x,h):
    return hash(x) == h

您从本质上证明了，您知道verify的输入使其返回为真，而没有显示所有这些输入。

这是我的问题。假设你有一个秘密的多时间单参数函数f，给定一个公共输入x和一个公共输出y，你能用zero在零知识中证明f(x)=y吗？也就是说，给定了这个功能

verify(f,x,y):
    return f(x) == y

您还能构造一个证明verify在保密的同时返回true的证明吗？这种情况和上面的情况之间的区别是，现在你证明了一个verify函数本身运行着一个任意的函数，而不是简单地做一些固定的计算来检查事情--对我来说，这似乎是一个很大的区别。

从理论上看，这似乎是可能的，因为如果f是多时间的，那么f(x)=y仍然是NP语句(尽管我可能错了)--但我想知道，在今天的Zk-SNARKs中，这在实践中是否可行。

我用这样的方式表达我的问题，我想这类函数的知识是微不足道的，因为如果证明者事先知道y，他们就可以定义f来返回y。因此，为了使事情更有趣，您可以想象一种情况，即证明器预先提交f，并扩展证明，以验证用于计算y的f是否符合承诺。