二次约束 - Circom
- RareSkills
- 发布于 2025-04-16 10:14
- 阅读 830
本文介绍了Circom中Rank 1约束系统的规则,即每个约束最多只能有一个信号间的乘法,超过则会报错。文章通过正反例解释了这一规则,并说明了常量乘法、加法、减法是被允许的。此外,还解释了Circom如何处理除法,以及为何数组索引、模运算、左移等操作不被允许。最后总结了约束系统的限制,并提及了绕过这些限制的设计模式。
Circom 约束
Rank 1 约束系统在每个约束中最多有一个信号之间的乘法。这被称为“二次”约束。任何包含加法或乘法之外运算的约束都将被 Circom 拒绝,并显示“不允许非二次约束”错误。
以下两个例子将无法编译,因为它们每个约束中信号的乘法多于一个。
非二次约束示例 1
编译以下代码将导致以下 error: [T3001]: Non quadratic constraints are not allowe
template QuadraticViolation1() {
signal input a;
signal input b;
signal input c;
signal input d;
// 每个约束两个乘法
// 是不允许的
a * b === c * d;
}非二次约束示例 2
与前面的例子类似,下面的约束有两个信号之间的乘法。
template QuadraticViolation2() {
signal input a;
signal input b;
signal input c;
signal input d;
// 每个约束两个乘法
// 是不允许的
a * b * c === d;
}常数乘法不算
因此,即使有不止一个乘法,以下示例也会编译。
a * b === c;
2*a * 3*b === 4*c; // 允许整数系数
a * b + c === d; // 允许加法和一个乘法
a + b + c === d; // 乘法是可选的
a * b + c === d + e + f; // 对加法数量没有限制二次型和 R1CS
回想一下,在算术化中,我们将验证程序展平为一系列中间步骤,其中每个中间步骤仅包含未知变量之间的单个乘法。
考虑以下验证示例:
def someProblem(x, y, out):
res = y^2 + 4*(x^2)*y -2
assert out == res, "incorrect inputs";转换为 R1CS 会产生:
v1 === y * y
v2 === x * x
out === v1 + (4v2 * y) - 2- R1CS 格式要求我们将问题重组为只有 1 个信号之间乘法运算的中间步骤,以遵守二次约束限制。
- 这创建了我们的约束系统。
因此,R1CS 表示将是:
// Cw = Aw * Bw...
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。
