ZoKrates+Remix在线实现zkSNARK零知识证明

引言：在之前的文章里，我介绍了利用circom和snarkjs实现zkSNARK零知识证明，包含了snarkjs的使用步骤，并且我的毕业论文也全部采用snarkjs实现zkSNARK算法。

不过snarkjs里的signal信号的概念和高级语言变量之间的差别有点大，很多运算操作都不能直接进行，而且在执行circom库里的SHA256哈希算法时需要调整powersOfTau可信设置（snarkjs ptn bn128 10 powersOfTau10_0000.ptau，修改10为更大值），只能采用snark友好的MiMC哈希算法。于是我开始探索其他zkSNARK工具。

有些报告指出，snarkjs、libsnark和ZoKrates号称三大最常用的zkSNARKs零知识开发库。经过测试发现ZoKrates在编写代码的过程中更接近高级语言，算术电路的输入输出都是以变量的形式，天然支持comparator数值比较，更易实现零知识范围证明（Zero-Knowledge Range Proof，ZKRP），而且ZoKrates支持log输出利于debug。此外，ZoKrates实现了Remix插件，也就可以在线运行zkSNARK算术电路，特此记录下ZoKrates+Remix在线实现zkSNARK零知识证明的步骤。

ZoKrates是以太坊上zkSNARKs的工具箱。它可以帮助您在DApp中使用可验证的计算，从高级语言的程序规范到生成计算证明，再到在Solidity中验证这些证明。（ZoKrates官网介绍）

Remix官网：https://remix.ethereum.org/

1.安装插件

点击左下角的插件按钮，找到ZOKRATES插件，点击Activate激活插件：

2.编写zkSNARK算术电路

新建文件命名为main.zok，输入如下代码：

def main(private u8 p, private u8 q, u8 n) -> bool {return p * q == n;
}

2.1代码解释

两个隐私输入p和q、一个公开输入n，u8代表8位无符号整型，返回bool类型。

根据“大整数质因子分解”是NP困难问题（Nondeterministic polynomial-time，非确定性多项式时间），给定两个素数p和q，他们的乘积是n，但是如果只提供这个数字n，找出n的两个素因子是困难的。

根据这个难题，利用zkSNARK向外界证明自己“知道n的两个素因子”，但是不向外界泄露p和q的真实值。因此，zkSNARK的隐私输入是p和q、公开输入是n、算术电路是p*q==n。

2.2在线测试

ZoKrates提供了在线编译算术电路的测试环境，进入官网https://play.zokrat.es：

3.编译与测试

进入ZOKRATES插件，点击compile编译：

输入错误样例进行测试，p=3、q=7、n=22，输出是false：

输入正确样例进行测试，p=3、q=7、n=21，输出是true：

4.初始化密钥verification_key.json

点击Run Setup进行初始化，得到verification_key.json作为验证密钥：

5.生成证明proof.json

点击Generate，生成proof.json：

复制Verifier inputs备用：

[["0x1dc9038012cef119c740a52bffc3280d6ed125bbd9bfc474bcca78dd982a901d","0x0fa4945211306b5d0a50bbc80e5def88fe1224b927fcace75d725384d31755f9"],[["0x15ae9c563fcfcb4cdf74780bbefd44bd54e6be9222170bd907bd962f0928c103","0x27ad25d6aa4089fd27622e8f17524b3bb05ffa67d2c099a1f880d69357a0b168"],["0x297ea2971f2296ba60e9e4fe3b9535455e9130e14a0c973f584deec0437448d2","0x05484d4637c39f5b7eadf920686d3290f4f5dfeae3ae7d486a9f753521cc12c5"]],["0x0760832bd07407205278074a131c8e67de0e90f8e45f6ac43c083ffa44873b34","0x014b52710266031a08b23d556f0ca1c64b4b579db8f6e0c4720ffe649bbd3bf9"]],["0x0000000000000000000000000000000000000000000000000000000000000015","0x0000000000000000000000000000000000000000000000000000000000000001"]

0x0000000000000000000000000000000000000000000000000000000000000015对应十进制的21，就是zkSNARK的公开输入n。

6.导出验证合约verifier.sol

点击Export，生成verifier.sol智能合约：

7.编译并部署验证合约verifier.sol

点击Compile verifier.sol编译：

选择verifier.sol，点击Deploy部署：

8.运行验证合约

在Deployed Contracts里选择VERIFIER，在verifyTX函数的输入框里填写刚才复制备用的Verifier inputs，点击verifyTX。

右下角log出现了函数执行结果，input是21，输出true：

将verifyTX的input里的21改成22，即十六进制0x0000000000000000000000000000000000000000000000000000000000000016，再测试一下，输出false：

9.结语

至此便实现了大整数质因子分解的零知识证明，p和q是隐私输入，仅在生成证明的过程由证明者知道，n是公开输入，可以输入到公开的智能合约，智能合约自动验证零知识证明的有效性，并且修改n之后能检测出零知识证明已失效。

ZoKrates也有离线的命令行版本，结合Remix在线自动部署与运行较为方便，适合部署前测试。