二次约束 - Circom

Circom 约束

Rank 1 约束系统在每个约束中最多有一个信号之间的乘法。这被称为“二次”约束。任何包含加法或乘法之外运算的约束都将被 Circom 拒绝，并显示“不允许非二次约束”错误。

以下两个例子将无法编译，因为它们每个约束中信号的乘法多于一个。

非二次约束示例 1

编译以下代码将导致以下 error: [T3001]: Non quadratic constraints are not allowe

template QuadraticViolation1() {
  signal input a;
  signal input b;
  signal input c;
  signal input d;

  // 每个约束两个乘法
  // 是不允许的
  a * b === c * d;
}

非二次约束示例 2

与前面的例子类似，下面的约束有两个信号之间的乘法。

template QuadraticViolation2() {
  signal input a;
  signal input b;
  signal input c;
  signal input d;

  // 每个约束两个乘法
  // 是不允许的
  a * b * c === d;
}

常数乘法不算

因此，即使有不止一个乘法，以下示例也会编译。

a * b === c;

2*a * 3*b === 4*c; // 允许整数系数

a * b + c === d; // 允许加法和一个乘法

a + b + c === d; // 乘法是可选的

a * b + c === d + e + f; // 对加法数量没有限制

二次型和 R1CS

回想一下，在算术化中，我们将验证程序展平为一系列中间步骤，其中每个中间步骤仅包含未知变量之间的单个乘法。

考虑以下验证示例：

def someProblem(x, y, out):
  res = y^2 + 4*(x^2)*y -2 
  assert out == res, "incorrect inputs";

转换为 R1CS 会产生：

v1  === y * y
v2  === x * x 
out === v1 + (4v2 * y) - 2

• R1CS 格式要求我们将问题重组为只有 1 个信号之间乘法运算的中间步骤，以遵守二次约束限制。
• 这创建了我们的约束系统。

因此，R1CS 表示将是：

//     Cw = Aw * Bw...