Φάροι δημόσιας τυχαίας και τυχαίας

Δημόσια τυχαιότητα είναι ένα ουσιαστικό συστατικό πολλών πρωτοκόλλων ασφάλειας πραγματικού κόσμου. Σε ορισμένες εφαρμογές, όπως ο τζόγος και τα παιχνίδια για πολλούς παίκτες, η τυχαιότητα προσθέτει διασκέδαση. Σε άλλες εφαρμογές, η τυχαιότητα παρέχει έναν δίκαιο τρόπο κατανομής αδιαίρετων πόρων, που κυμαίνονται από πράσινες κάρτες, έως την ανάθεση δικαστών περιφερειακών δικαστηρίων σε υποθέσεις, έως τη σπορά σε αθλητικά τουρνουά. Χρησιμοποιείται επίσης για την κατανομή αρνητικός πόρους, όπως φορολογικούς ελέγχους ή δευτερεύοντα έλεγχο ασφαλείας στο αεροδρόμιο.

Παραδοσιακά, βασιζόμαστε σε αξιόπιστες αρχές για τη δημιουργία τυχαίας συμπεριφοράς για αυτά τα πρωτόκολλα, αλλά στον κόσμο του web3, θα πρέπει να τα πάμε καλύτερα. Σε αυτήν την ανάρτηση, θα εξερευνήσουμε προσεγγίσεις για τη δημιουργία δημόσιας επαληθεύσιμης τυχαιότητας μέσω κατανεμημένα φάρους τυχαίας και στη συνέχεια συζητήστε μερικές εφαρμογές on-chain. (Το Μέρος II, το οποίο είναι προσεχές, θα επικεντρωθεί ειδικά στην εκλογή αρχηγού, ενώ θα παρέχει μια αξιολόγηση των προσεγγίσεων εκλογής αναπληρωτή αρχηγού.) 

Επιθυμητές ιδιότητες

Η δημιουργία τυχαίων αριθμών είναι μια διαβόητη λεπτή εργασία. Για παράδειγμα, πολλά κρυπτογραφικά κλειδιά έχουν διαρρεύσει επειδή βασίστηκε σε μια ελαττωματική γεννήτρια τυχαίων αριθμών (για το οποίο ο τοίχος του Cloudflare λαμπτήρες λάβας θα είχε χρησιμεύσει ως δημιουργικό μετριασμό). Αυτό είναι ακριβώς ιδιωτική τυχαιότητα, ωστόσο, όπου μόνο ένα μέρος χρειάζεται να το δημιουργήσει και να το χρησιμοποιήσει.

Η δημόσια τυχαιότητα, αντίθετα, είναι μια πολυμερής διαδικασία, η οποία προσθέτει σημαντικά τη δυσκολία. Ένα καλό πρωτόκολλο για την παραγωγή δημόσιας τυχαιότητας θα έχει τις ακόλουθες ιδιότητες ασφαλείας:

• Αμερόληπτη: Κανένας εισβολέας ή συνασπισμός επιτιθέμενων δεν θα πρέπει να μπορεί να μεροληπτεί την έξοδο. 
• Αξιόπιστος: Κανένας εισβολέας δεν θα πρέπει να μπορεί να εμποδίσει το πρωτόκολλο να παράγει έξοδο.
• Βεβαιώσιμος: Οποιοσδήποτε μπορεί εύκολα να επαληθεύσει την έξοδο του πρωτοκόλλου και θα πρέπει να βλέπει την ίδια έξοδο με όλους τους άλλους.
• Απρόβλεπτος: Εάν το πρωτόκολλο παράγει έξοδο τη φορά T₁, κανείς δεν θα πρέπει να μπορεί να προβλέψει τίποτα για την έξοδο πριν από κάποιο χρονικό διάστημα T₀<T₁, ιδανικά με T₀ πολύ κοντά σε T₁.

Η αμερόληπτη ιδιότητα είναι πιο αδύναμη από την απρόβλεπτη ιδιότητα επειδή κάθε πρωτόκολλο που είναι απρόβλεπτο πρέπει να είναι αμερόληπτο. Οι επιστήμονες υπολογιστών θα έλεγαν αμερόληπτη μειώνει στο απρόβλεπτο, γιατί αν μπορείς να προκαταλάβεις, μπορείς να προβλέψεις. Αλλά μερικές φορές θα θέλουμε να τα συλλογιστούμε ξεχωριστά επειδή μπορεί να βασίζονται σε διαφορετικές υποθέσεις – για παράδειγμα, μια ανέντιμη πλειοψηφία μπορεί να προβλέψει το αποτέλεσμα, αλλά να μην το προκατειλημμένο.

Εκτός από αυτές τις ιδιότητες, το πρωτόκολλο θα πρέπει να είναι αποτελεσματικό για εκτέλεση και παραγωγή μεγάλου αριθμού τυχαίων bits. (Στην πράξη, είναι συχνά αρκετό για τις εφαρμογές να παράγουν 128 τυχαία bit, χρησιμοποιώντας τα για τη δημιουργία μιας γεννήτριας ψευδοτυχαίων αριθμών [PNRG] για την έξοδο περισσότερων bit όπως απαιτείται. Εφαρμογές ως λαχειοφόροι αγορές ή κατανομές πόρων.) Το πρωτόκολλο θα πρέπει επίσης να είναι αποτελεσματικό όσον αφορά το κόστος επικοινωνίας και υπολογισμού.

Διαφορετικά πρωτόκολλα μπορεί να επιτύχουν αυτές τις ιδιότητες υπό διαφορετικές συνθήκες. Για παράδειγμα, ορισμένα πρωτόκολλα μπορεί να είναι αμερόληπτα από οποιονδήποτε συνασπισμό f₁ κακόβουλους κόμβους και απρόβλεπτους από κάθε συνασπισμό των f₂<f₁ κακόβουλους κόμβους. Υπάρχουν επίσης διαφορετικοί βαθμοί μεροληψίας. Για παράδειγμα, σε ορισμένα πρωτόκολλα ένας συμμετέχων μπορεί να είναι σε θέση να πολώσει την έξοδο κατά "ένα bit" - που σημαίνει ότι μπορεί να επιλέξει ανάμεσα σε μία από τις δύο πιθανές εξόδους. Άλλες επιθέσεις μπορεί να τους επιτρέψουν να διορθώσουν πλήρως την έξοδο. Τυπικά, ωστόσο, δεν θέλουμε να ανεχτούμε καμία προκατάληψη (ή προβλεψιμότητα).

Το κρυπτογραφικό ιδανικό: Rφάροι αϋπνίας

Οι κρυπτογράφοι συχνά ξεκινούν με το να σκέφτονται μια ιδανική λύση στα προβλήματά τους. Σε περίπτωση δημόσιας τυχαιότητας, α φάρος τυχαίας είναι μια εξιδανικευμένη υπηρεσία που παράγει τακτικά τυχαία έξοδο που ικανοποιεί όλες τις απαραίτητες απαιτήσεις ασφαλείας.

Ένας τέτοιος εξιδανικευμένος φάρος τυχαίας, παρόμοιος με άλλες κρυπτογραφικές αφαιρέσεις – όπως οι τυχαίοι χρησμοί ή το γενικό μοντέλο ομάδας – δεν υπάρχει στον πραγματικό κόσμο. Αλλά είναι ένας χρήσιμος στόχος για την επιδίωξη και ένα χρήσιμο μοντέλο για να συλλογιστούμε πρωτόκολλα που βασίζονται στη δημόσια τυχαιότητα. 

Μπορούμε να εξετάσουμε μερικές προσεγγίσεις ενός ιδανικού φάρου τυχαίας.

• Κεντρικοί φάροι: Η ευκολότερη προσέγγιση για τη δημιουργία καλής τυχαιότητας είναι μέσω ενός κεντρικού τρίτου μέρους με υπηρεσίες όπως Φάρος τυχαίας NIST or random.org, το οποίο δημιουργεί τυχαιότητα από τον ατμοσφαιρικό θόρυβο και είναι διαπιστευμένο για χρήση στον τζόγο. Αυτή η εξάρτηση από τρίτους υπονομεύει πλήρως τη φιλοσοφία της αποκέντρωσης. Πράγματι, στο παραπάνω παράδειγμα πρέπει να πιστεύουμε ότι οι σχετικοί οργανισμοί παράγουν τυχαιότητα σωστά, χωρίς καμία κρυπτογραφική απόδειξη.
• Εμφανίζεται φυσική τυχαιότητα: Πολλές παραδοσιακές λοταρίες βασίζονται σε μια δημόσια προβολή, η οποία μπορεί να περιλαμβάνει, για παράδειγμα, κάποιον που μπαίνει σε ένα δοχείο με μπάλες του πινγκ πονγκ με διαφορετικούς αριθμούς. Δυστυχώς, αυτά είναι συχνά εύκολα χειραγωγούμενα. Για παράδειγμα, ορισμένες μπάλες μπορούν να τοποθετηθούν σε μια κατάψυξη και στον επιλογέα μπορεί να πει να διαλέξει τα κρύα.
• Φυσικοί φάροι: Μια κοινή ιδέα είναι να χρησιμοποιείτε τυχαία φυσικά φαινόμενα όπως ο καιρός ή η κοσμική ακτινοβολία υποβάθρου ως φάρος. Δυστυχώς, όλες οι προτεινόμενες πηγές δεν παρέχουν ισχυρή συναίνεση. Διαφορετικοί παρατηρητές θα δουν ελαφρώς διαφορετικές τιμές, κάτι που απαιτεί την εκ νέου εισαγωγή ενός αξιόπιστου μέρους για να πραγματοποιήσει μια επίσημη μέτρηση, με όλα τα μειονεκτήματα ενός κεντρικού φάρου.
• Ημι-κεντρικοί φάροι: Μια καλύτερη προσέγγιση θα ήταν να λάβετε την τυχαιότητα από Κεφαλίδες μπλοκ Bitcoin απευθείας ή από τιμές κλεισίματος των μετοχών, το οποίο είναι πιο εύκολο να επαληθευτεί δημόσια και πιο δύσκολο για οποιοδήποτε μέρος να ελέγξει πλήρως. Ωστόσο, ανεπαίσθητες επιθέσεις εξακολουθούν να υπάρχουν και στα δύο τυχαιότητα blockchain απόδειξης εργασίας και τυχαιότητα μετοχής-τιμής. Με τις κεφαλίδες blockchain, για παράδειγμα, οι εξορύκτες μπορούν να επιλέξουν να παρακρατήσουν μπλοκ των οποίων οι κεφαλίδες παράγουν μια τιμή beacon που δεν τους αρέσει. Ή μπορούν να επιλέξουν να σπάσουν τους δεσμούς όταν βρεθούν δύο συγκρουόμενα μπλοκ με βάση την προτιμώμενη έξοδο φάρου τους.

Αποκεντρωμένοι φάροι τυχαίας (DRB)

Μια φυσική προσέγγιση στα προβλήματα των κεντρικών φάρων είναι ο σχεδιασμός ενός αποκεντρωμένου κρυπτογραφικού πρωτοκόλλου για την παραγωγή δημόσιας τυχαιότητας. Αυτό το πρόβλημα μοιάζει κάπως με το σχεδιασμό αποκεντρωμένων πρωτοκόλλων συναίνεσης, αλλά δυσκολότερο. Όχι μόνο όλοι οι συμμετέχοντες πρέπει να συμφωνήσουν σε μια έξοδο (την τυχαιότητα), αλλά θα πρέπει να είναι αδύνατο για έναν κακόβουλο συμμετέχοντα στο πρωτόκολλο να προκαταλάβει ή να προβλέψει την έξοδο.

Τα πρωτόκολλα που έχουν σχεδιαστεί για την προσομοίωση ενός φάρου τυχαίας ονομάζονται κατανεμημένοι φάροι τυχαίας (DRBs). (Άλλα ονόματα περιλαμβάνουν "κατανεμημένη ανατροπή νομισμάτων.") Το πρόβλημα έχει μελετηθεί για δεκαετίες, με περίφημα αποτελέσματα αδυναμίας που αποδείχθηκαν τη δεκαετία του 1980, αλλά το ενδιαφέρον έχει αναζωπυρωθεί στην εποχή του blockchain. Τα DRB θα μπορούσαν να χρησιμοποιηθούν για να παρέχουν τυχαιότητα στην αλυσίδα, η οποία θα ήταν βασικό συστατικό για δίκαιες, ασφαλείς και διαφανείς εφαρμογές στην αλυσίδα.

Η κλασική προσέγγιση: Πρωτόκολλα δέσμευσης-αποκάλυψης

Ένα πολύ απλό πρωτόκολλο δύο γύρων αρκεί για ένα DRB στην αισιόδοξη περίπτωση. Στον 1ο γύρο, κάθε συμμετέχων i δημιουργεί μια τυχαία τιμή r_i και δημοσιεύει μια κρυπτογραφική δέσμευση c_i=Διαπράττω(r_i). Σε αυτήν την εφαρμογή, η δέσμευση μπορεί απλώς να είναι μια συνάρτηση κατακερματισμού όπως το SHA-256. Μετά τη δημοσίευση της δέσμευσης κάθε συμμετέχοντα, είναι κλειδωμένοι στην επιλογή τους r_i, αλλά οι δεσμεύσεις δεν αποκαλύπτουν καμία πληροφορία σχετικά με τις συνεισφορές άλλων συμμετεχόντων. Στον 2ο γύρο, κάθε συμμετέχων «ανοίγει τη δέσμευσή του» δημοσιεύοντας r_i. Στη συνέχεια, όλες οι τυχαίες τιμές συνδυάζονται, για παράδειγμα με XOR ή (κατά προτίμηση) κατακερματίζοντας τη συνένωση τους.

Αυτό το πρωτόκολλο είναι απλό και παράγει μια τυχαία έξοδο beacon εφόσον ακόμη και ένας από τους συμμετέχοντες επιλέξει r_i τυχαία. Δυστυχώς, πάσχει από ένα κλασικό ελάττωμα: όταν όλοι οι συμμετέχοντες έχουν αποκαλύψει την τυχαία τιμή τους, ο τελευταίος συμμετέχων μπορεί να υπολογίσει την πιθανή έξοδο του φάρου. Αν δεν τους αρέσει, μπορούν να αρνηθούν να δημοσιεύσουν την αξία τους, ακυρώνοντας το πρωτόκολλο. Η παράβλεψη της συνεισφοράς ενός ελαττωματικού συμμετέχοντος δεν επιλύει το πρόβλημα, γιατί αυτό εξακολουθεί να δίνει στον εισβολέα τη δυνατότητα επιλογής μεταξύ δύο εξόδων beacon (μία υπολογισμένη με τη συνεισφορά τους και μία χωρίς).

Οι μπλοκ αλυσίδες προσφέρουν μια φυσική λύση σε αυτό το πρόβλημα: μπορεί να ζητηθεί από κάθε συμμετέχοντα να βάλει σε μεσεγγύηση ορισμένα κεφάλαια που κατασχέθηκαν εάν δεν αποκαλύψει την τυχαία συνεισφορά του. Αυτή ακριβώς ήταν η προσέγγιση του κλασικού ΡΑΝΤΑΟ beacon στο Ethereum. Το μειονέκτημα αυτής της προσέγγισης είναι ότι η έξοδος μπορεί ακόμα να είναι προκατειλημμένη, κάτι που μπορεί να είναι χρήσιμο οικονομικά για τον εισβολέα εάν τα χρήματα σε μεσεγγύηση είναι λιγότερα από το ποσό των χρημάτων που οδηγούν στο αποτέλεσμα του beacon. Η καλύτερη ασφάλεια έναντι επιθέσεων προκατάληψης απαιτεί την τοποθέτηση περισσότερων νομισμάτων σε μεσεγγύηση.

Πρωτόκολλα δέσμευσης-αποκάλυψης-ανάκτησης

Αντί να προσπαθήσουν να αναγκάσουν όλα τα μέρη να αποκαλύψουν την τυχαία συνεισφορά τους, ορισμένα πρωτόκολλα περιλαμβάνουν μηχανισμό ανάκτησης, έτσι ώστε ακόμη και αν μια μειοψηφία συμμετεχόντων εγκαταλείψει, οι υπόλοιποι μπορούν να ολοκληρώσουν το πρωτόκολλο. Είναι σημαντικό το πρωτόκολλο να παράγει το ίδιο αποτέλεσμα και στις δύο περιπτώσεις, έτσι ώστε τα μέρη να μην μπορούν να προκαταλάβουν το αποτέλεσμα επιλέγοντας εάν θα εγκαταλείψουν ή όχι.

Μια προσέγγιση για να επιτευχθεί αυτό είναι ο κάθε συμμετέχων να παρέχει στους άλλους μερίδια του μυστικού του, έτσι ώστε η πλειονότητά τους να μπορούν να το ανασυνθέσουν, χρησιμοποιώντας, για παράδειγμα, Η κοινή χρήση μυστικών του Σαμίρ. Μια σημαντική ιδιότητα, ωστόσο, είναι ότι οι άλλοι μπορούν να επαληθεύσουν ότι το δεσμευμένο μυστικό έχει κοινοποιηθεί σωστά, απαιτώντας τη χρήση ενός ισχυρότερου αρχέγονου που ονομάζεται δημόσια επαληθεύσιμη κοινή χρήση μυστικών (PVSS).

Πολλοί άλλοι μηχανισμοί ανάκτησης είναι δυνατοί, αλλά όλοι έχουν τον ίδιο περιορισμό. Εάν υπάρχουν N συμμετέχοντες, και θέλουμε ανθεκτικότητα εάν υπάρχει ομάδα έως f οι κόμβοι πέφτουν έξω, τότε πρέπει να συμβαίνει ότι οποιαδήποτε ομάδα από Nf Οι συμμετέχοντες μπορούν να υπολογίσουν το τελικό αποτέλεσμα. Αλλά αυτό σημαίνει επίσης έναν κακόβουλο συνασπισμό των Nf Οι συμμετέχοντες μπορούν να προβλέψουν το αποτέλεσμα εκ των προτέρων προσομοιώνοντας ιδιωτικά τον μηχανισμό ανάκτησης. Αυτό μπορεί επίσης να συμβεί κατά τη διάρκεια του πρώτου γύρου του πρωτοκόλλου, κατά τη διάρκεια του οποίου ένας τέτοιος συνασπισμός θα μπορούσε να τροποποιήσει τις δικές του τυχαίες επιλογές και να προκαταλάβει το αποτέλεσμα. 

Με άλλα λόγια, αυτό σημαίνει οποιονδήποτε συνασπισμό Nf Οι κόμβοι πρέπει να περιλαμβάνουν τουλάχιστον έναν ειλικρινή κόμβο. Με απλή άλγεβρα, Nf > f, Οπότε f < N/2, και αυτά τα πρωτόκολλα απαιτούν εγγενώς μια έντιμη πλειοψηφία. Αυτή είναι μια σημαντική διαφορά με το αρχικό μοντέλο ασφάλειας της δέσμευσης-αποκάλυψης, το οποίο απαιτεί μόνο στ<Ν (τουλάχιστον ένας ειλικρινής συμμετέχων).

Αυτά τα πρωτόκολλα συχνά απαιτούν επίσης σημαντικό κόστος επικοινωνίας για την κοινή χρήση των επιπλέον πληροφοριών PVSS μεταξύ όλων των κόμβων σε κάθε εκτέλεση του πρωτοκόλλου. Η ερευνητική κοινότητα έχει κάνει σημαντική δουλειά πάνω σε αυτό το πρόβλημα τα τελευταία χρόνια, με ερευνητικές προτάσεις συμπεριλαμβανομένων RandShare, Ξύνω, SecRand, HERB, ή Αλμπατρός, αλλά κανένα δεν φαίνεται να έχει δει ανάπτυξη σε πραγματικό κόσμο.

Επαληθεύσιμα τυχαία πρωτόκολλα βασισμένα σε λειτουργίες

Συνειδητοποιώντας ότι μια ομάδα από Nf Οι συμμετέχοντες μπορούν να υπολογίσουν την τιμή του τυχαίου φάρου στο παραπάνω πρωτόκολλο οδηγεί σε μια κάπως απλούστερη προσέγγιση: κοινή χρήση ενός μακροπρόθεσμου μυστικού κλειδιού μεταξύ N τα μέρη και να τα χρησιμοποιήσουν για να αξιολογήσουν α επαληθεύσιμη τυχαία συνάρτηση (VRF). Το μυστικό κλειδί μοιράζεται μέσω a t-εκτός-N σύστημα κατωφλίου, έτσι ώστε οποιαδήποτε t Οι συμμετέχοντες μπορούν να υπολογίσουν το VRF (αλλά ένας μικρότερος συνασπισμός δεν μπορεί). Για t=Nf, αυτό παρέχει την ίδια ανθεκτικότητα σε f κακόβουλους κόμβους όπως τα πρωτόκολλα δέσμευσης-αποκάλυψης-ανάκτησης που συζητήθηκαν παραπάνω.

ΤΕΛΕΥΤΑΙΑ πρωτοστάτησε σε αυτή την προσέγγιση ως μέρος του πρωτοκόλλου συναίνεσής τους χρησιμοποιώντας υπογραφές κατωφλίου BLS (που λειτουργούν ως VRF). Το αυτόνομο νταντ Το randomness beacon χρησιμοποιεί ουσιαστικά την ίδια προσέγγιση, με ένα σύνολο συμμετεχόντων κατώφλι-BLS-που υπογράφουν έναν μετρητή σε κάθε γύρο. ο League of Entropy είναι ένα παράδειγμα ανοιχτού κώδικα drand που παράγει τυχαιότητα κάθε 30 δευτερόλεπτα χρησιμοποιώντας 16 συμμετέχοντες κόμβους (από τον Σεπτέμβριο του 2022), που διευθύνεται από ένα μείγμα εταιρειών και πανεπιστημιακών ερευνητικών ομάδων. 

Ένα μειονέκτημα αυτών των προσεγγίσεων είναι ότι η προετοιμασία του κλειδιού κατωφλίου είναι σχετικά περίπλοκη, όπως και η επαναδιαμόρφωση του κλειδιού όταν οι κόμβοι ενώνονται ή αποχωρούν. Στην κοινή περίπτωση, όμως, τα πρωτόκολλα είναι πολύ αποτελεσματικά. 

Όπως περιγράφηκε παραπάνω, η απλή υπογραφή μιας τιμής μετρητή δεν προσθέτει νέα τυχαιότητα ανά γύρο, επομένως εάν παραβιαστεί επαρκής αριθμός κλειδιών συμμετεχόντων, τότε το πρωτόκολλο θα είναι προβλέψιμο σε κάθε μελλοντικό γύρο.

VRF Chainlink συνδυάζει αυτή η προσέγγιση (χρησιμοποιώντας το NSEC5 VRF) με μια εξωτερική πηγή τυχαίας που καθορίζεται από μέρη που ζητούν τυχαιότητα, συνήθως μια πρόσφατη κεφαλίδα blockchain στην πράξη. Στη συνέχεια, αυτά τα δεδομένα τροφοδοτούνται μέσω ενός VRF το οποίο εκτελείται είτε από ένα μέρος είτε ορίζεται σε μια ομάδα.

Το Ethereum Αλυσίδα Beacon επί του παρόντος χρησιμοποιεί VRF που βασίζονται σε BLS: ο προτείνων κάθε γύρου προσθέτει την τιμή του VRF στο μείγμα. Αυτό εξοικονομεί έναν γύρο επικοινωνίας σε σύγκριση με το παράδειγμα δέσμευσης-αποκάλυψης (υποθέτοντας ότι ένα μακροπρόθεσμο δημόσιο κλειδί BLS έχει καταχωρηθεί μία φορά), αν και αυτός ο σχεδιασμός κληρονομεί ορισμένες προειδοποιήσεις της προσέγγισης δέσμευσης-αποκάλυψης, συμπεριλαμβανομένης της δυνατότητας μεροληψίας της εξόδου του beacon με παρακράτηση της εξόδου .

Επαληθεύσιμα πρωτόκολλα καθυστέρησης που βασίζονται σε λειτουργίες

Τέλος, μια πολλά υποσχόμενη νέα κατεύθυνση είναι η χρήση κρυπτογραφίας βάσει χρόνου, ειδικά επαληθεύσιμων συναρτήσεων καθυστέρησης (VDF). Αυτή η προσέγγιση υπόσχεται να παρέχει καλή αποτελεσματικότητα επικοινωνίας και στιβαρότητα με ανθεκτικότητα Ν-1 κακόβουλους κόμβους. 

Επιστρέφοντας στο αρχικό πρωτόκολλο δέσμευσης-αποκάλυψης, οι παραδοσιακές δεσμεύσεις μπορούν να αντικατασταθούν με χρονομετρημένες δεσμεύσεις για την εξάλειψη του προβλήματος των συμμετεχόντων που αρνούνται να αποκαλύψουν την τυχαία συνεισφορά τους. Οι χρονομετρημένες δεσμεύσεις μπορούν να ανοίξουν αποτελεσματικά από τον αρχικό committer ή από οποιονδήποτε είναι πρόθυμος να υπολογίσει μια αργή συνάρτηση (ουσιαστικά ένα VDF). Έτσι, εάν κάποιος συμμετέχων αποχωρήσει από ένα πρωτόκολλο δέσμευσης-αποκάλυψης, η δέσμευσή του μπορεί να ανοιχτεί από άλλους. Είναι σημαντικό ο ελάχιστος χρόνος για το άνοιγμα της δέσμευσης να είναι αρκετά μεγάλος ώστε να μην μπορεί να γίνει κατά τη διάρκεια του πρώτου γύρου (η φάση δέσμευσης) του πρωτοκόλλου, διαφορετικά οι κακόβουλοι συμμετέχοντες θα μπορούσαν να ανοίξουν τις δεσμεύσεις άλλων αρκετά γρήγορα ώστε να τροποποιήσουν τη δική τους συνεισφορά και να προκαταλάβουν το αποτέλεσμα .

Ένα ακόμη πιο κομψό πρωτόκολλο ενός γύρου είναι δυνατό με τα σύγχρονα VDF: εγκαταλείψτε τη δέσμευση εντελώς. Κάθε συμμετέχων μπορεί απλώς να δημοσιεύσει την τυχαία συνεισφορά του r_i, και το τελικό αποτέλεσμα είναι ένας συνδυασμός της συνεισφοράς κάθε συμμετέχοντα, μέσω ενός VDF. Η χρονική καθυστέρηση στον υπολογισμό του VDF διασφαλίζει ότι κανένας δεν μπορεί να επιλέξει τη δέσμευσή του με τρόπο που να επηρεάζει το τελικό αποτέλεσμα. Αυτή η προσέγγιση προτάθηκε ως UNICORN από τους Arjen Lenstra και Benjamin Wesolowski το 2015, και όντως ήταν μια βασική κινητήρια εφαρμογή στο ανάπτυξη των VDF.

Αυτή η προσέγγιση έχει δει κάποια πρακτική ανάπτυξη. Chia υλοποιεί μια έκδοση αυτού ως μέρος του πρωτοκόλλου συναίνεσης, χρησιμοποιώντας VDF επαναλαμβανόμενου τετραγωνισμού σε ομάδες κλάσεων. Starkware υλοποιείται α Φάρος απόδειξης της ιδέας που βασίζεται σε VDF χρησιμοποιώντας VDF που βασίζονται σε SNARK. Ethereum σχεδιάζει επίσης να χρησιμοποιήσουν αυτή η προσέγγιση, δημιουργώντας ένα αποκλειστικό ASIC για τον υπολογισμό των VDF για τη δημιουργία τυχαίας στο επίπεδο συναίνεσης.

***

Η δημόσια τυχαιότητα είναι ένα ουσιαστικό συστατικό πολλών πρωτοκόλλων, αλλά εξακολουθούμε να μην έχουμε κανένα τυπικό DRB που παρέχει υψηλή ασφάλεια. Ο χώρος σχεδιασμού είναι μεγάλος και πολλά υβρίδια και συνδυασμοί των παραπάνω προσεγγίσεων είναι δυνατοί. Για παράδειγμα, είναι δυνατό να συνδυαστεί ένα πρωτόκολλο που βασίζεται σε VRF με ένα πρωτόκολλο που βασίζεται σε VDF, το οποίο προσθέτει νέα εντροπία, για παράδειγμα, όπως προτείνεται από RandRunner. Το Beacon Chain του Ethereum χρησιμοποιεί επί του παρόντος VRF, αν και μπορεί να προσθέσει VDF στο μέλλον για να εξαλείψει την πιθανότητα προκατάληψης από επιθέσεις απόκρυψης μπλοκ.

Είναι επίσης ένα ανοιχτό ερώτημα πότε είναι αποδεκτά πρωτόκολλα έντιμης πλειοψηφίας. Για μια σχετικά μικρή, ελεγμένη ομάδα συμμετεχόντων - όπως το League of Entropy - μια ειλικρινής υπόθεση της πλειοψηφίας είναι λογική. Από την άλλη πλευρά, τα πρωτόκολλα που απαιτούν μόνο έναν ειλικρινή συμμετέχοντα έχουν ένα εγγενές πλεονέκτημα – περισσότεροι συμμετέχοντες μπορούν μόνο να βελτιώσουν την ασφάλεια. Αυτό σημαίνει ότι αυτά τα πρωτόκολλα μπορούν ενδεχομένως να αναπτυχθούν με ανοιχτή συμμετοχή χωρίς άδεια.

Στο Μέρος ΙΙ, θα συζητήσουμε τη συγκεκριμένη εφαρμογή της τυχαιοποιημένης εκλογής ηγέτη σε πρωτόκολλα συναίνεσης, η οποία έχει ελαφρώς διαφορετικούς σχεδιαστικούς στόχους και ως αποτέλεσμα έχει προταθεί ακόμη περισσότερα πρωτόκολλα και προσεγγίσεις.

***

Joseph Bonneau είναι Ερευνητικός Συνεργάτης στο a16z crypto. Η έρευνά του επικεντρώνεται στην εφαρμοσμένη κρυπτογραφία και την ασφάλεια blockchain. Έχει διδάξει μαθήματα κρυπτονομισμάτων στο Πανεπιστήμιο της Μελβούρνης, του NYU, του Στάνφορντ και του Πρίνστον και έλαβε διδακτορικό στην επιστήμη των υπολογιστών από το Πανεπιστήμιο του Κέμπριτζ και πτυχία BS/MS από το Στάνφορντ.

Βαλέρια Νικολαένκο είναι Ερευνητικός Συνεργάτης στο a16z crypto. Η έρευνά της επικεντρώνεται στην κρυπτογραφία και την ασφάλεια του blockchain. Έχει επίσης εργαστεί σε θέματα όπως επιθέσεις μεγάλης εμβέλειας σε πρωτόκολλα συναίνεσης PoS, σχήματα υπογραφών, μετα-κβαντική ασφάλεια και υπολογισμός πολλαπλών μερών. Είναι κάτοχος διδακτορικού στην Κρυπτογραφία από το Πανεπιστήμιο του Στάνφορντ υπό τη συμβουλή του καθηγητή Dan Boneh και εργάστηκε στο blockchain Diem ως μέρος της βασικής ερευνητικής ομάδας.

***

Επιμέλεια: Τιμ Σούλιβαν

***

Οι απόψεις που εκφράζονται εδώ είναι αυτές του μεμονωμένου προσωπικού της AH Capital Management, LLC (“a16z”) που αναφέρεται και δεν είναι απόψεις της a16z ή των θυγατρικών της. Ορισμένες πληροφορίες που περιέχονται εδώ έχουν ληφθεί από τρίτες πηγές, συμπεριλαμβανομένων των εταιρειών χαρτοφυλακίου κεφαλαίων που διαχειρίζεται η a16z. Αν και λαμβάνεται από πηγές που πιστεύεται ότι είναι αξιόπιστες, το a16z δεν έχει επαληθεύσει ανεξάρτητα τέτοιες πληροφορίες και δεν κάνει δηλώσεις σχετικά με τη διαρκή ακρίβεια των πληροφοριών ή την καταλληλότητά τους για μια δεδομένη κατάσταση. Επιπλέον, αυτό το περιεχόμενο μπορεί να περιλαμβάνει διαφημίσεις τρίτων. Η a16z δεν έχει ελέγξει τέτοιες διαφημίσεις και δεν υποστηρίζει κανένα διαφημιστικό περιεχόμενο που περιέχεται σε αυτές.

Αυτό το περιεχόμενο παρέχεται μόνο για ενημερωτικούς σκοπούς και δεν θα πρέπει να βασίζεται ως νομική, επιχειρηματική, επενδυτική ή φορολογική συμβουλή. Θα πρέπει να συμβουλευτείτε τους δικούς σας συμβούλους για αυτά τα θέματα. Οι αναφορές σε οποιουσδήποτε τίτλους ή ψηφιακά περιουσιακά στοιχεία είναι μόνο για ενδεικτικούς σκοπούς και δεν αποτελούν επενδυτική σύσταση ή προσφορά για παροχή επενδυτικών συμβουλευτικών υπηρεσιών. Επιπλέον, αυτό το περιεχόμενο δεν απευθύνεται ούτε προορίζεται για χρήση από επενδυτές ή υποψήφιους επενδυτές και δεν μπορεί σε καμία περίπτωση να γίνει επίκληση του κατά τη λήψη απόφασης για επένδυση σε οποιοδήποτε αμοιβαίο κεφάλαιο που διαχειρίζεται η a16z. (Μια προσφορά για επένδυση σε ένα αμοιβαίο κεφάλαιο a16z θα γίνει μόνο από το μνημόνιο ιδιωτικής τοποθέτησης, τη συμφωνία εγγραφής και άλλη σχετική τεκμηρίωση οποιουδήποτε τέτοιου κεφαλαίου και θα πρέπει να διαβαστεί στο σύνολό τους.) Τυχόν επενδύσεις ή εταιρείες χαρτοφυλακίου που αναφέρονται, αναφέρονται ή που περιγράφονται δεν είναι αντιπροσωπευτικές όλων των επενδύσεων σε οχήματα που διαχειρίζεται η a16z και δεν μπορεί να υπάρξει διαβεβαίωση ότι οι επενδύσεις θα είναι κερδοφόρες ή ότι άλλες επενδύσεις που θα πραγματοποιηθούν στο μέλλον θα έχουν παρόμοια χαρακτηριστικά ή αποτελέσματα. Μια λίστα με επενδύσεις που πραγματοποιήθηκαν από αμοιβαία κεφάλαια που διαχειρίζεται ο Andreessen Horowitz (εξαιρουμένων των επενδύσεων για τις οποίες ο εκδότης δεν έχει παράσχει άδεια για δημοσιοποίηση της a16z καθώς και των απροειδοποίητων επενδύσεων σε δημόσια διαπραγματεύσιμα ψηφιακά περιουσιακά στοιχεία) είναι διαθέσιμη στη διεύθυνση https://a16z.com/investments /.

Τα γραφήματα και τα γραφήματα που παρέχονται εντός προορίζονται αποκλειστικά για ενημερωτικούς σκοπούς και δεν θα πρέπει να βασίζονται σε αυτά όταν λαμβάνεται οποιαδήποτε επενδυτική απόφαση. Οι προηγούμενες αποδόσεις δεν είναι ενδεικτικές των μελλοντικών αποτελεσμάτων. Το περιεχόμενο μιλά μόνο από την ημερομηνία που υποδεικνύεται. Οποιεσδήποτε προβλέψεις, εκτιμήσεις, προβλέψεις, στόχοι, προοπτικές και/ή απόψεις που εκφράζονται σε αυτό το υλικό υπόκεινται σε αλλαγές χωρίς προειδοποίηση και μπορεί να διαφέρουν ή να είναι αντίθετες με τις απόψεις που εκφράζονται από άλλους. Ανατρέξτε στη διεύθυνση https://a16z.com/disclosures για πρόσθετες σημαντικές πληροφορίες.