零知识证明电路设计入门，Circom语言基础教程

目录导读

1. 零知识证明与电路设计概述
   • 零知识证明的核心原理
   • 电路在零知识证明中的作用
2. Circom语言简介与开发环境搭建
   • Circom的设计哲学
   • 本地开发环境安装步骤
3. Circom基础语法与电路结构
   • 信号与变量定义
   • 约束与逻辑表达
4. 实战案例：构建一个简单的数字比较电路
   • 电路代码实现
   • 编译与验证流程
5. 常见问题解答（QA）
   • Q1：如何调试复杂的电路？
   • Q2：Circom与Solidity如何交互？

---

零知识证明与电路设计概述

零知识证明（Zero-Knowledge Proof，ZKP）允许一方（证明者）向另一方（验证者）证明某个陈述为真，而无需透露任何额外信息，在区块链领域，ZKP广泛应用于隐私保护交易、扩容方案（如zk-Rollup）以及身份验证系统，而电路设计正是将现实世界的逻辑问题转化为可以用数学约束表达的“电路图”,是ZKP实现的基石。

电路在这里并非物理芯片，而是一组算术约束：输入信号经过特定运算后产生输出信号，所有运算关系都必须满足预先定义的规则，证明“我知道一个哈希原像”的电路，就是将输入通过SHA-256算法映射到输出,并强制让输出等于某个公开值。

在众多电路描述语言中，Circom凭借其简洁的语法和与以太坊生态的天然兼容性,成为入门零知识证明电路设计的首选工具。

---

Circom语言简介与开发环境搭建

Circom的设计哲学

Circom（Circuit + Composer）由iden3团队开发，采用R1CS（Rank-1 Constraint System）作为底层约束系统，它的核心思想是：用声明式的方式描述信号之间的线性与非线性关系,编译器会自动将这些关系转换为验证者能高效检查的约束。

本地开发环境安装

1. 安装Node.js（推荐v16以上版本）

    # 使用nvm管理版本
    nvm install 16
    nvm use 16

2. 安装Circom编译器

    # 从GitHub克隆仓库
    git clone https://github.com/iden3/circom.git
    cd circom
    cargo build --release
    cargo install --path circom

   若遇到Cargo问题，可直接使用预编译二进制文件（从官方Releases页面下载）。

3. 安装snarkjs工具

    npm install -g snarkjs

   snarkjs用于生成证明和验证,是Circom的配套工具。

4. 验证安装成功

    circom --version
    # 应输出类似 "2.1.8" 的版本号

对于希望快速试用的用户，可访问欧易交易所官网的开发者社区板块，找到推荐的在线Circom沙盒环境。欧易交易所下载平台提供的开发者工具包中包含了预配置的Circom模板,可简化环境搭建流程。

---

Circom基础语法与电路结构

信号与变量定义

在Circom中，所有电路输入、输出和中间量都必须声明为信号（signal），信号是不可变的,且必须在模板内部定义。

// 模板定义，类似于面向对象中的类
template IsZero() {
    signal input in;   // 输入信号
    signal output out; // 输出信号
    // 约束：in * out == 0
    // 且 in + out != 0（利用反证法）
    signal inv;
    inv <-- in != 0 ? 1 / in : 0; // 通过箭头赋值，不引入约束
    out <== -in * inv + 1;        // 双等号表示约束
}

关键点：

• signal input：声明输入信号
• signal output：声明输出信号
• <--：赋值操作（不产生约束,需谨慎使用）
• <==：约束操作（强制等于,产生R1CS约束）

约束与逻辑表达

Circom的约束必须是二次方程形式：a * b + c = 0，这意味着你可以表达乘法、加法，但不能直接表达取模或比较（需要辅助技巧）。

布尔逻辑示例：

template AND() {
    signal input a;
    signal input b;
    signal output out;
    out <== a * b;         // 逻辑与：a && b
}
template NOT() {
    signal input a;
    signal output out;
    out <== 1 - a;         // 逻辑非：!a，前提是a为0或1
}

条件约束：通过引入辅助信号实现“那么”逻辑：

template IfElse() {
    signal input cond;     // 只能为0或1
    signal input ifTrue;
    signal input ifFalse;
    signal output out;
    out <== cond * ifTrue + (1 - cond) * ifFalse;
}

注意：所有输入信号必须被约束为二进制值，可通过out * (1 - out) === 0约束来保证。

---

实战案例：构建一个简单的数字比较电路

电路代码实现

下面的电路实现“严格大于”比较（>）,输入为两个8位无符号整数：

// comparison.circom
pragma circom 2.0.0;
template GreaterThan(n) {
    assert(n <= 252); // 限制位数，防止溢出
    signal input a[n]; // 二进制表示的数值（LSB优先）
    signal input b[n];
    signal output out;
    // 辅助：从低位到高位逐位比较
    signal eq[n+1];    // eq[i]表示从第i位到最高位是否相等
    signal gt[n];      // gt[i]表示第i位是否a > b
    // 初始化
    eq[n] <== 1;       // 超出最高位时视为相等
    for (var i = n-1; i >= 0; i--) {
        // 约束每一位必须为0或1
        a[i] * (1 - a[i]) === 0;
        b[i] * (1 - b[i]) === 0;
        // 当前位比较
        gt[i] <== a[i] * (1 - b[i]);          // a[i] > b[i] 的条件
        eq[i] <== eq[i+1] * (1 - (a[i] ^ b[i])); // eq[i] = eq[i+1] AND (a[i]==b[i])
        // 使用辅助信号避免二次约束问题（实际需展开）
        // 这里简化：gt[i] * eq[i+1] 才是有效的高位相等下当前位大于
    }
    // 最终输出：存在某位i使得a[i] > b[i]且更高位全部相等
    // 实际实现需使用线性组合，此处仅演示逻辑
    var sum = 0;
    for (var i = 0; i < n; i++) {
        sum += gt[i] * eq[i+1]; // 需确保eq[i+1]为二进制
    }
    out <== sum;
}
component main = GreaterThan(8);

说明：真实生产环境中，Circuits需使用Mux或LessThan内置模板来简化比较逻辑,直接手写循环会导致大量约束。

编译与验证流程

1. 编译电路

    circom comparison.circom --r1cs --wasm --sym -o output

2. 生成见证（witness）

    node output/comparison_js/generate_witness.js output/comparison_js/comparison.wasm input.json witness.wtns

   其中input.json格式为：

    {
        "a": ["0","1","0","1","0","1","0","1"], // 二进制85
        "b": ["0","1","0","0","1","0","1","0"]  // 二进制74
    }

3. 设置与证明

    snarkjs groth16 setup output/comparison.r1cs pot12_final.ptau circuit_0000.zkey
    snarkjs zkey export verificationkey circuit_0000.zkey verification_key.json
    snarkjs groth16 prove circuit_0000.zkey witness.wtns proof.json public.json

4. 验证

    snarkjs groth16 verify verification_key.json public.json proof.json

实际部署时，可将智能合约集成到欧易交易所官网的DApp中，通过链上验证合约自动执行零知识证明检查，开发者可参考该平台提供的欧易交易所下载组件库中的验证合约模板。

---

常见问题解答（QA）

Q1：如何调试复杂的电路？

A：Circom本身不支持断点调试,推荐以下方法：

1. 分步测试：将大电路拆分为多个小模板,逐一编译测试。
2. 使用log信号：在模板中加入中间输出信号,在见证生成后检查其值。
3. 利用Circom内置测试：通过circom --inspect查看约束数量,判断是否存在多余约束。
4. 社区工具：使用circomspect分析器检查常见漏洞（如未约束的信号）。

Q2：Circom与Solidity如何交互？

A：典型流程如下：

1. 使用snarkjs zkey export solidityverifier生成验证合约（.sol文件）。
2. 在Solidity合约中调用verifyProof函数，传入proof.json和public.json数据。
3. 前端使用snarkjs库调用合约的验证方法。
4. 注意：Circom电路中的public信号（未标记为private）会自动公开,在验证时需提供。

示例验证合约调用：

// 假设验证器地址为verifier
bytes memory proof = ...; // 从proof.json解析
uint[] memory publicSignals = ...; // 公共输入数组
verifier.verifyProof(proof, publicSignals);

---

通过本教程，您已掌握Circom语言的核心概念与开发全流程，从简单的布尔电路到比较器，再到完整的编译-证明-验证链路，这些技能是构建复杂ZKP应用（如隐私交易、链上投票）的基础，下一步建议尝试结合欧易交易所官网的实际业务场景，设计一个用户身份零知识证明电路,并将验证逻辑集成到智能合约中。

标签： 零知识证明 Circom语言