目录导读
- 什么是零知识证明与Circom语言
- Circom语言核心语法与数据结构
- 节点定义与约束编写实战
- 第一个Circom电路实现:加法器
- 常见错误排查与调试技巧
- 实战问答:零知识证明开发避坑指南
- 进阶资源与学习路径
什么是零知识证明与Circom语言
零知识证明(Zero-Knowledge Proof, ZKP)允许一方(证明者)向另一方(验证者)证明自己知道某个秘密信息,而不泄露该秘密本身,近年来,ZKP在区块链、隐私计算、身份验证等领域爆发式增长,Circom是一种用于构建零知识证明电路的领域特定语言(DSL),它允许开发者用类似硬件描述语言的方式定义算术电路,并自动生成证明系统和验证器。
Circom的核心优势在于:高抽象层次(开发者只需关注电路逻辑而非底层多项式算法)、模块化设计(支持模板复用)、与Snarkjs完美集成(可直接生成Solidity验证合约),欧易交易所下载(访问欧易官网)等主流平台也探索将零知识证明应用于交易验证、身份验证等场景,Circom成为开发者入门ZKP的首选工具。
Circom语言核心语法与数据结构
1 基本语法元素
Circom代码以.circom文件保存,一个完整电路包含:
pragma circom 2.1.0; // 版本声明
template Adder() {
signal input a;
signal input b;
signal output out;
out <== a + b; // 约束:out必须等于a+b
}
component main = Adder(); // 实例化
2 关键数据结构
- signal:信号是电路中的核心数据类型,分为
input、output、intermediate(中间信号),每个信号必须被约束(即通过<==或赋值)。 - var:模板内部变量,用于循环、条件判断,不会生成电路约束。
- component:组件实例化,支持嵌套电路。
3 约束运算符
| 运算符 | 含义 | 示例 | 说明 |
|---|---|---|---|
<== |
赋值并约束 | out <== a * b |
同时赋值和生成约束 |
| 纯约束 | a * b === c |
仅约束关系,不赋值 | |
--> |
无约束赋值(危险) | c --> a + b |
仅用于中间信号或调试 |
注意:
-->不产生约束,可能导致证明被伪造,生产环境慎用。
节点定义与约束编写实战
1 模板内节点结构
一个模板可以包含多个子组件(节点),构建一个乘法器:
template Multiplier(n) {
signal input x[n];
signal output y;
var product = 1;
for (var i = 0; i < n; i++) {
product *= x[i];
}
y <== product; // 约束y为所有输入的乘积
}
2 循环与条件约束
Circom支持for循环和if条件,但条件判断必须使用变量(var),不能基于信号值进行动态分支,否则会破坏电路的可验证性。
正确做法:使用选择器或比特分解。
template Selector() {
signal input sel; // 0或1
signal input a;
signal input b;
signal output out;
out <== b + (a - b) * sel;
}
3 约束编写技巧
- 避免非线性约束爆炸:例如
a * b * c会产生三次乘法约束,推荐先分解为a * b = t,再t * c = out。 - 使用比特分解:对于需要对整数进行位操作的电路,使用
Num2Bits模板。 - 调试辅助:利用
print函数在编译期输出变量值(仅适用于var类型)。
第一个Circom电路实现:加法器
下面实现一个完整的2输入加法器电路,并进行测试。
1 电路代码(adder.circom)
pragma circom 2.1.0;
template Adder() {
signal input a;
signal input b;
signal output sum;
signal carry;
sum <== a + b - 2 * carry; // 半加器逻辑
carry <== a * b; // 进位约束
}
component main = Adder();
技术解析:
sum <== a + b - 2 * carry确保a+b等于sum + 2*carry,这是半加器的数学等价约束。
2 编译与证明生成
# 安装circom(推荐2.1.0+版本) npm install -g circom # 编译电路 circom adder.circom --r1cs --wasm --sym --json # 生成见证(需输入a=3,b=5) snarkjs wtns calculate adder.wasm input.json witness.wtns # 证明与验证 snarkjs groth16 setup snarkjs groth16 prove circuit_final.zkey witness.wtns proof.json public.json snarkjs groth16 verify verification_key.json public.json proof.json
3 常见错误
- 信号未约束:编译报错
Signal has not been assigned,检查是否遗漏<==或。 - 循环中使用信号:
for(var i=0; i<signal_var; i++)无效,必须用静态变量。
常见错误排查与调试技巧
1 约束冲突
当电路中存在矛盾约束时(如同时要求out <== a和out <== b且a != b),snarkjs会在生成证明时报错Constraint not satisfied,此时应逐步注释约束定位问题。
2 性能优化
- 减少乘法约束:用加法替代乘法(如
a * 3改为a + a + a)。 - 复用中间信号:避免重复计算相同表达式。
- 使用内置模板:Circomlib提供了大量优化过的模板(如
IsZero、Positive)。
3 调试工具
circom --inspect circuit.circom:输出电路约束数量。snarkjs r1cs info circuit.r1cs:查看约束详情。
实战问答:零知识证明开发避坑指南
问1:新手最常犯的错误是什么?
答:忘记给输入信号设定约束,例如写signal input x;后直接使用x * y,但未通过<==或对x进行赋值,解决方案:明确每个非输入信号都必须被约束。
问2:如何将Circom电路用于欧易交易所等真实场景?
答:电路必须经过审计,需生成对应的验证合约(Solidity),欧易交易所下载(访问官网)的开发者文档中提到,他们使用ZKP验证用户身份时,要求电路支持隐私输入(例如哈希匹配),建议学习Circomlib中的MiMC7哈希模板。
问3:<==和有什么区别?
答:<==同时赋值并创建约束;仅创建约束,不赋值,例如c <== a + b会赋值给c并约束;a + b === c只约束,c需预先赋值,混合使用可能导致c被重复赋值报错。
问4:如何避免电路被前端攻击?
答:始终在服务端生成证明,并使用可信设置(Powers of Tau),验证合约必须在链上部署后,由多方验证,常见漏洞包括:未检查输入范围、未做溢出保护。
进阶资源与学习路径
1 推荐学习顺序
- Circom官方文档(https://okfl.com.cn/):基础语法+模板库。
- Circomlib仓库:学习常用模板(Merkle树、哈希、比特分解)。
- ZKP交互式教程:如“Zero Knowledge Proofs 101”视频系列。
- 真实项目代码:GitHub上的semaphore、tornado-cash电路(注意:部分已过时,需适配Circom 2.1)。
2 实用工具与社区
- Snarkjs API:与Node.js和浏览器集成。
- Remix IDE:支持在线编写和验证Circom合约。
- 社区论坛:ZKProofs、以太坊研究论坛。
3 警惕“魔法约束”
许多新手误以为所有计算都可通过<==自动约束,实际上某些操作(如模运算)需要手动拆解,计算a % 2必须使用比特分解模板,否则电路无法正确表示取模逻辑。
通过本教程,你已经掌握了Circom语言的核心概念与实战技巧,零知识证明领域发展迅速,建议持续关注ZKP前沿论文与开源项目动态,逐步从基础电路过渡到复杂应用如隐私支付、身份验证等,Start coding, start proving!
