本文介绍了 Circom 编程语言，它用于创建 Rank 1 Constraint Systems (R1CS) 并填充 R1CS 的 witness 向量，主要是为了简化约束系统的设计和自动化 witness 的生成。文章还解释了 Circom 存在的意义，以及它如何帮助开发者更轻松地进行零知识证明相关的开发，最后说明了学习 Circom 的理由，并概述了资源结构，包括语法和约束设计。

本文深入探讨了椭圆曲线上的有理点问题，首先通过圆上的有理点引出寻找有理点的概念，然后讨论了椭圆曲线有理点的存在性和群结构，以及Mordell-Weil定理，提出了确定椭圆曲线秩的挑战，并介绍了BSD猜想以及L-函数在解决该问题中的应用。文章旨在加深对椭圆曲线理论的理解，为后续学习配对技术打下基础。

该文档介绍了micro-zk-proofs库，一个用于并行创建和验证零知识SNARK证明的工具，它支持Groth16协议，并计划支持PLONK等。

Constantine是一个高性能密码学库，专注于区块链协议和零知识证明系统。它提供常数时间实现的密码学原语，支持多种椭圆曲线和协议，包括以太坊BLS签名、KZG承诺等，并提供Nim、C、Rust、Go等多种语言的接口。该库旨在提供快速、紧凑和强化的椭圆曲线密码学解决方案。

本文介绍了零知识电路中的“计算后约束”设计模式，它首先在没有约束的情况下计算算法的正确输出，然后通过强制执行与算法相关的约束来验证解决方案的正确性。

本文介绍了Circom代码与其编译成的Rank 1 Constraint System (R1CS)之间的关系，并通过几个例子详细解释了如何在Circom中编写约束，以及如何使用Circom命令行工具编译电路、生成witness，并验证电路的正确性。文章还介绍了zkRepl在线IDE的使用，以及Circom中有限域的概念，以及如何将snarkjs导出的R1CS约束转换为Circom中的原始约束。

本文深入探讨了 Circom 中 if 语句的使用限制，明确指出信号不能用于改变 if 语句的行为，也不能在依赖于信号的 if 语句中赋值。

本文详细介绍了如何在 Circom 中实现 MD5 哈希算法，包括计算哈希值和约束其正确性。文章首先介绍了 MD5 哈希的原理和步骤，然后展示了如何在 Circom 中构建实现 MD5 哈希所需的各种组件，如位运算、循环左移、32 位加法以及初始填充。并通过一个python的例子，展示了MD5哈希的计算过程。

文章介绍了在算术电路中进行迭代计算（如幂、阶乘或计算斐波那契数列）时，如何通过预先计算所有可能的值并使用 Quin 选择器来解决条件停止的问题。文章通过阶乘和斐波那契数列的例子，展示了如何在 Circom 中实现这种方法，并强调了约束的重要性，最后提供了一个关于幂运算的练习。

本文介绍了 Circom 中的 <== 和 ==> 操作符，它们用于在电路中自动计算和赋值中间信号，从而避免手动提供所有信号作为输入。文章还展示了如何使用模板将电路拆分成更易于管理的模块，以及如何在组件之间传递结果。此外，还强调了组件的输出信号必须被约束使用，以防止恶意证明者篡改。

本文介绍了在 Circom 中如何在循环中使用组件。由于 Circom 不允许在循环中直接实例化组件，文章提供了通过预先声明组件数组并在循环内指定组件类型的方式来解决这一问题，并提供了三个实际案例：求数组最大值、检查数组是否已排序以及确保数组中所有元素都是唯一的，展示了如何在循环中有效地使用 Circom 组件，以及一些使用 circom 的小技巧。

本文详细介绍了如何在 Circom 中创建一个栈数据结构，以及如何使用零知识证明（ZK proofs）来验证栈的操作，包括 push、pop 和 no change。通过定义栈的最大高度和使用栈指针（stack pointer）来跟踪栈的使用情况，并详细描述了在不同操作下栈状态的转换和约束。

本文介绍了如何在零知识证明（ZK）电路中模拟32位算术运算，由于ZK默认数据类型是有限域元素，而实际计算常用32位、64位或256位数字，因此需要用域元素来模拟传统数据类型。文章详细讲解了32位范围检查、加法、乘法、除法与取模、位移以及位运算的实现方法，并提供了相应的Circom代码示例，同时还讨论了ZK EVM如何处理256位数字。

本文介绍了Circom中Rank 1约束系统的规则，即每个约束最多只能有一个信号间的乘法，超过则会报错。文章通过正反例解释了这一规则，并说明了常量乘法、加法、减法是被允许的。此外，还解释了Circom如何处理除法，以及为何数组索引、模运算、左移等操作不被允许。最后总结了约束系统的限制，并提及了绕过这些限制的设计模式。

本文介绍了如何在Circom中交换信号列表中的两个信号，这是排序算法的重要子程序，并解释了在ZK电路中执行此操作的复杂性，由于信号的不可变性，需要创建一个新数组并将旧值复制到新数组，在特定条件下进行修改，文章还指出了代码中的一个错误，即未考虑s等于t的情况，并提供了修复方案，最后总结了在Circom中操作数组的通用模式。

本文介绍了Circom中的符号变量，它是被赋值为信号值的变量，常用于在循环中对信号求和。文章解释了符号变量的定义、使用场景，例如校验数组求和、校验二进制表示，以及如何避免因符号变量导致的二次约束冲突。此外，还阐述了非符号变量在模运算和位移操作中的使用限制，以及符号变量在循环边界和条件判断中的禁用。

本文介绍了在 Circom 中使用 indicator signals 和 Circomlib comparator library 来实现复杂约束条件的方法。

本文介绍了Quin Selector这一设计模式，它允许使用信号作为信号数组的索引。文章通过代码示例，展示了如何在Circom中实现Quin Selector，并讨论了优化方法。同时，文章还提到了Circomlib库中的multiplexer组件，它可以实现类似的功能，并提供了一个使用示例。最后，文章提到了该算法的历史渊源。

本文介绍了如何在零知识电路中证明选择排序算法的正确执行过程。由于ZK电路中信号的不可变性，每次交换都需要创建一个新的列表快照。为此，文章详细展示了如何通过多个中间状态的转换来证明排序的正确性，包括查找子列表中最小值的索引、交换列表中的两个元素等关键步骤, 并提供相应的代码模版。

本文介绍了在零知识证明友好的哈希函数，重点介绍了Minimal Multiplicative Complexity (MiMC) 和 Poseidon 这两个流行的 ZK 友好哈希函数的工作原理和性能, 并对比了他们的优劣. 此外还提及了基于椭圆曲线的Pedersen哈希，并指出了以太坊基金会悬赏征集MiMC哈希碰撞，以及对Poseidon安全性的研究。