当前位置：首页 > news >正文

零知识证明实战：从原理到代码实现

news 2026/4/29 9:06:29

引言：当“证明”遇上“隐私”

想象这样一个场景：你需要证明自己已满21岁，却不想把身份证递给店员；你需要向银行证明月收入超过某个阈值，却不愿透露具体数字；你需要证明自己知道某个密码，却不想把密码写出来。

这听起来像是一个悖论——不透露信息，如何证明“我知道”？然而，零知识证明（Zero-Knowledge Proof, ZKP）正是解决这一悖论的密码学利器。

本文将带你从零开始，手把手构建一个零知识证明应用。我们将使用Circom语言编写电路，用Snarkjs生成证明，最后在以太坊上完成验证。读完本文，你将拥有一个可运行的年龄证明DApp，并能理解其背后的核心原理。

第一部分：核心概念速览

1.1 什么是零知识证明？

零知识证明允许一方（证明者Prover）向另一方（验证者Verifier）证明自己知道某个秘密，而无需透露秘密本身-1。它必须满足三个核心性质：

完备性：如果证明者确实知道秘密，验证者一定会接受证明
可靠性：如果证明者不知道秘密，无法欺骗验证者（概率可忽略不计）
零知识性：验证者除了“证明有效”这一结论外，学不到任何关于秘密的信息

1.2 一个直观的例子：阿里巴巴的山洞

经典的“阿里巴巴洞穴”故事很好地解释了这一概念-9：

山洞有一个入口A和出口B，中间有一道需要咒语才能打开的门。证明者P声称知道咒语，验证者V站在A处。P走进山洞，随机选择C或D路径。V走到B处，喊“从左边出来”或“从右边出来”。如果P能按要求出来（必要时使用咒语开门），V就相信P知道咒语。重复16次后，P碰巧成功的概率仅为1/65536。

V自始至终没有学到咒语本身，但已足够确信P知道它——这就是“零知识”。

1.3 从“交互式”到“非交互式”：zk-SNARKs

上述洞穴协议需要证明者和验证者反复交互，效率较低。现代ZKP应用大多采用非交互式方案，其中最具代表性的是zk-SNARK（Zero-Knowledge Succinct Non-Interactive Argument of Knowledge）-8。

zk-SNARK的核心流程：

1. 可信设置 → 生成证明密钥(PK)和验证密钥(VK) 2. 证明生成 → 用PK和见证(witness)生成证明 3. 验证 → 用VK验证证明，只需几毫秒

为什么叫“简洁”？因为证明体积很小（通常200-300字节），且验证时间与计算复杂度无关。

1.4 电路与约束

在ZKP中，“证明我知道a和b使得a × b = c”并不是直接用乘法，而是将计算转化为算术电路。电路由约束（Constraints）组成，例如：

c === a * b

这个约束意味着：在电路的所有赋值中，c必须严格等于a乘以b。ZKP协议通过证明存在一组满足所有约束的赋值（见证），来证明计算正确性。

第二部分：工具链与环境搭建

2.1 选择你的武器

目前主流的ZK电路编程语言有：

语言	特点	适用场景
Circom	底层、灵活、学习曲线陡峭、支持R1CS	复杂电路、生产环境
ZoKrates	高层、易上手、内置Ethereum集成	快速原型、教学-5

本文选择Circom+Snarkjs组合，因为它最接近生产环境标准。

2.2 环境配置（5分钟）

# 安装circom（全局） git clone https://github.com/iden3/circom.git cd circom cargo build --release cargo install --path circom # 安装snarkjs npm install -g snarkjs # 验证安装 circom --version snarkjs --version

💡小贴士：如果你主要用Python生态，也可以尝试zkp-rust-client——一个基于Rust + PyO3的Python绑定库，支持Gro16证明系统-2。

第三部分：实战——构建年龄证明DApp

3.1 场景与电路设计

目标：证明者（用户）向验证者（网站）证明自己年满18岁，但不透露具体年龄和出生日期。

设计思路：

声明：(当前年份 - 出生年份) >= 18
秘密输入（private）：birthYear
公开输入（public）：currentYear，minAge
输出：1（通过）或0（拒绝）

3.2 编写Circom电路

创建ageCheck.circom：

pragma circom 2.1.6; template AgeCheck() { // 秘密输入：只有证明者知道 signal private input birthYear; // 公开输入：验证者知道 signal input currentYear; signal input minAge; // 输出 signal output out; // 临时信号 signal age; // 约束1: age = currentYear - birthYear age <== currentYear - birthYear; // 约束2: 确保 age >= minAge // 数字比较使用 LessThan 组件 component lt = LessThan(32); lt.in[0] <== minAge; lt.in[1] <== age; // 如果 minAge < age，则 out = 1 out <== 1 - lt.out; } // 辅助组件：比较两个数 template LessThan(n) { assert(n <= 252); signal input in[2]; signal output out; component n2b = Num2Bits(n+1); n2b.in <== in[0] + (1 << n) - in[1]; out <== 1 - n2b.out[n]; } template Num2Bits(n) { signal input in; signal output out[n]; var acc = 0; for (var i = 0; i < n; i++) { out[i] <-- (in >> i) & 1; out[i] * (out[i] - 1) === 0; acc += out[i] * (1 << i); } acc === in; } component main = AgeCheck();

📝代码解读：
private input标记秘密输入，证明中不会泄露
<==操作符添加约束并分配值
LessThan通过算术技巧实现数值比较（in[0] + 2^n - in[1]的二进制分解）

3.3 编译电路

circom ageCheck.circom --r1cs --wasm --sym

生成了三个文件：

ageCheck.r1cs：约束系统（二进制格式）
ageCheck.wasm：用于生成见证的WebAssembly模块
ageCheck.sym：符号映射（调试用）

查看约束数量：

snarkjs r1cs info ageCheck.r1cs # [INFO] snarkJS: # of Constraints: 34

3.4 可信设置（Trusted Setup）

⚠️重要：zk-SNARK需要一个“可信设置”——生成公共参数的过程。在生产环境中需要使用多方计算（MPC），这里为演示使用简化版本。

# Phase 1: Powers of Tau（通用） snarkjs powersoftau new bn128 12 pot12_0000.ptau -v snarkjs powersoftau contribute pot12_0000.ptau pot12_0001.ptau --name="First contribution" -v # Phase 2: 针对特定电路 snarkjs powersoftau prepare phase2 pot12_0001.ptau pot12_final.ptau -v snarkjs groth16 setup ageCheck.r1cs pot12_final.ptau circuit_0000.zkey snarkjs zkey contribute circuit_0000.zkey circuit_final.zkey --name="1st Contributor" -v snarkjs zkey export verificationkey circuit_final.zkey verification_key.json

生成的关键文件：

circuit_final.zkey：证明密钥（Proving Key）
verification_key.json：验证密钥（Verification Key）

3.5 生成见证（Witness）与证明

见证即满足电路的具体数值赋值。假设：

出生年份：1995（秘密）
当前年份：2025（公开）
最低年龄：18（公开）

# 准备输入文件 input.json cat > input.json << EOF { "birthYear": 1995, "currentYear": 2025, "minAge": 18 } EOF # 计算见证 node ageCheck_js/generate_witness.js ageCheck_js/ageCheck.wasm input.json witness.wtns # 生成证明 snarkjs groth16 prove circuit_final.zkey witness.wtns proof.json public.json

查看生成的proof.json，你会发现它只是一小段JSON数据（约200行），这就是那个“简洁”的零知识证明。

3.6 验证证明

无需原始输入，只需证明文件：

snarkjs groth16 verify verification_key.json public.json proof.json # 输出：OK

在public.json中，只包含公开输入currentYear和minAge，以及电路输出。birthYear从未出现。

3.7 集成到Solidity智能合约

Snarkjs可以自动生成Solidity验证器：

snarkjs zkey export solidityverifier circuit_final.zkey verifier.sol

生成的verifier.sol包含一个Verifier合约，其中verifyProof函数接受证明和公开输入，返回布尔值。

部署后，你可以让用户提交证明（而不是原始数据），合约验证通过即证明年龄符合要求。这正是ZK-Rollup和隐私保护DApp的核心机制-7。

第四部分：JavaScript集成与性能分析

4.1 Node.js集成

const snarkjs = require("snarkjs"); const fs = require("fs"); async function verifyAgeProof() { // 加载验证密钥 const vKey = JSON.parse(fs.readFileSync("verification_key.json")); // 验证证明 const res = await snarkjs.groth16.verify(vKey, [ /* public inputs */ ], JSON.parse(fs.readFileSync("proof.json")) ); if (res) { console.log("✅ 年龄验证通过！"); } else { console.log("❌ 验证失败"); } }

4.2 性能基准（实测）

在普通笔记本（8核、16GB）上的典型表现-2：

操作	时间复杂度	实测值
电路编译	O(N_constraints)	~3s
可信设置	O(N_logN)	~15s
证明生成	O(N_constraints)	~200ms
证明验证	O(1)	~5ms
证明大小	常数	~250 bytes
EVM Gas消耗	常数	~300k Gas

📊关键结论：证明生成时间随电路复杂度线性增长，但验证非常快且Gas友好——这就是为什么ZKP在区块链上极具吸引力。

第五部分：高级应用场景

5.1 私有区块链交易

Zcash是第一个大规模应用zk-SNARKs的区块链——它证明交易输入输出平衡，而不暴露地址和金额。

5.2 链上机器学习验证

你可以证明“这个模型在私有数据上的推理结果是X”，而不暴露模型权重或数据-3。这对医疗、金融等敏感领域意义重大。

// 概念示例：证明模型输出 > 阈值，而不透露输入 // 需要将模型编译为约束系统 const valid = await zkProver.verifyModelInference( modelHash, // 公开 outputProof, // 零知识证明 minConfidence // 公开阈值 );

5.3 SPARQL隐私查询

@unrdf/zkp库允许在RDF数据上执行隐私保护的SPARQL查询——证明查询结果正确，但不暴露原始三元组-4。

const { proof } = await zkProver.prove( medicalRecords, // 私有 "SELECT ?patient WHERE { ?patient :age ?age FILTER(?age > 18) }", eligiblePatients // 公开结果 );

5.4 游戏中的秘密状态

区块链上的扫雷游戏为何可行？因为地图用ZKP保护：玩家证明“我挖的位置没有雷”，而不暴露整个地图布局-7。

第六部分：常见陷阱与优化建议

6.1 性能瓶颈与优化

问题	解决方案
电路约束爆炸	拆分大型计算为多个小电路，使用lookup tables
证明生成慢	GPU加速（`zkey export bellman`），并行生成
可信设置复杂	使用Perpetual Powers of Tau（如Hermez方案）
智能合约验证Gas高	改用PlonK（验证常数时间，但证明略大）