مراسم راه اندازی مورد اعتماد روی زنجیره

مراسم راه اندازی مورد اعتماد یکی از دردها - و هیجانات - جوامع رمزنگاری است. هدف یک مراسم تولید کلیدهای رمزنگاری قابل اعتماد برای ایمن سازی کیف پول های رمزنگاری، پروتکل های بلاک چین یا سیستم های اثبات دانش صفر است. این رویه ها (گاهی پر زرق و برق) اغلب ریشه اعتماد برای امنیت یک پروژه خاص هستند و بنابراین برای درست کردن آنها بسیار مهم است.

پروژه‌های بلاک‌چین مراسم‌ها را به روش‌های خلاقانه متعددی اجرا می‌کنند - شامل مشعل‌ها، گرد و غبار رادیواکتیو، و هواپیماها - اما همگی یک چیز مشترک دارند: همه آنها شامل یک هماهنگ‌کننده متمرکز هستند. با این کار ما نشان می‌دهیم که چگونه می‌توان فرآیند را با جایگزین کردن هماهنگ‌کننده متمرکز با یک قرارداد هوشمند غیرمتمرکز کرد. علاوه بر این، ما کتابخانه‌ای را منبع باز می‌سازیم که به هر کسی اجازه می‌دهد چنین مراسمی را اجرا کند – که برای متخصصان رمزارز به عنوان یک کیت-زاوروچا-گلدبرگ (KZG) یا مراسم "قدرت های تاو" - در زنجیره اتریوم. هر کسی می تواند به سادگی با پرداخت هزینه تراکنش شرکت کند!

رویکرد غیرمتمرکز ما محدودیت‌هایی دارد، اما همچنان مفید است. با توجه به محدودیت‌های موجود در زنجیره داده، اندازه پارامترهای رمزنگاری باید کوتاه باشد، یعنی بیش از 64 کیلوبایت نباشد. اما تعداد شرکت‌کنندگان سقفی ندارد و مردم می‌توانند به ارائه کمک‌های خود برای همیشه ادامه دهند. کاربردهای این پارامترهای کوتاه شامل SNARK های کوچک با دانش صفر است، نمونه گیری در دسترس بودن داده هاو درختان ورکل.

تاریخچه و مکانیک مراسم راه اندازی مورد اعتماد

در یک مراسم راه اندازی قابل اعتماد معمولی، گروهی از شرکت کنندگان به طور مشترک مجموعه ای از پارامترهای رمزنگاری را تولید می کنند. هر یک از طرف‌های شرکت‌کننده از اطلاعات مخفی تولید شده به صورت محلی برای تولید داده‌هایی استفاده می‌کند که به ایجاد این پارامترها کمک می‌کند. تنظیمات مناسب تضمین می کند که اسرار درز نمی کنند، که اسرار فقط همانطور که در پروتکل تعیین شده استفاده می شوند و این اسرار در پایان مراسم به طور کامل از بین می روند. تا زمانی که حداقل یکی از طرفین در مراسم صادقانه رفتار کند، به خطر نیفتد، و راز محلی آن را از بین ببرد، کل تنظیمات را می توان امن در نظر گرفت. (البته، با این فرض که ریاضی درست است و کد هیچ اشکالی ندارد.)

برخی از برجسته ترین مراسم بودند توسط Zcash اداره می شود، یک پروژه بلاک چین مبتنی بر حریم خصوصی. شرکت‌کنندگان در این مراسم، پارامترهای عمومی را تولید کردند که به کاربران Zcash اجازه می‌داد تا تراکنش‌های رمزنگاری خصوصی را بسازند و تأیید کنند. شش شرکت‌کننده اولین مراسم Zcash، Sprout را در سال 2016 انجام دادند. دو سال بعد، آریل گابیزون، محقق رمزارز، که اکنون دانشمند ارشد در آزتک هایافت شد یک اشکال ویرانگر در طراحی مراسم که از الف به ارث رسیده بود مقاله پژوهشی بنیادی. این آسیب‌پذیری می‌توانست مهاجمان را قادر سازد تا سکه‌های Zcash نامحدودی را بدون شناسایی ایجاد کنند. تیم Zcash این آسیب‌پذیری را به مدت هفت ماه مخفی نگه داشت تا اینکه یک ارتقاء سیستم، Sapling، که در مراسم آن 90 شرکت‌کننده شرکت داشتند، به این مشکل پرداخت. در حالی که حمله مبتنی بر حفره امنیتی بر حریم خصوصی تراکنش‌های کاربران تأثیر نمی‌گذارد، احتمال جعل بی‌نهایت، فرضیه امنیتی Zcash را تضعیف می‌کند. (از نظر تئوری غیرممکن است که بدانیم آیا حمله ای رخ داده است یا خیر.)

یکی دیگر از نمونه های قابل توجه از یک راه اندازی قابل اعتماد است مراسم همیشگی "قدرت های تاو". طراحی شده در درجه اول برای سمفور، یک فناوری حفظ حریم خصوصی برای سیگنال دهی ناشناس در اتریوم. این راه‌اندازی از یک منحنی بیضوی BN254 استفاده کرد و تاکنون 71 شرکت‌کننده داشته است. دیگر پروژه های برجسته بعداً از این تنظیمات برای اجرای مراسم خود در بالا استفاده کردند، از جمله گردباد.نقد (که اخیراً توسط دولت ایالات متحده تحریم شده است) هرمز شبکه، و Loopring. آزتک ها مراسم مشابهی را بر روی یک منحنی بیضی BLS12_381 با 176 شرکت‌کننده برای zkSync، یک راه‌حل مقیاس‌پذیری «لایه دو» اتریوم که از ترکیب دانش صفر استفاده می‌کند، برگزار کرد. فيلوكين، یک پروتکل ذخیره سازی غیرمتمرکز داده، مراسمی را با 19 و 33 شرکت کننده به ترتیب در مرحله اول و دوم برگزار کرد و مخزن اصلی را فوکوس کرد. Celona، یک بلاک چین لایه 1، مراسمی را برای مشتری سبک خود یعنی Plumo نیز برگزار کرد.

مراسم دائمی محدودیتی برای تعداد شرکت کنندگان ندارد. به عبارت دیگر، به جای اعتماد به افراد دیگر برای اجرای یک مراسم راه اندازی مورد اعتماد، هر کسی می تواند تا هر درجه ای از امنیت که رضایت او را برآورده کند، شرکت کند. یک شرکت‌کننده قابل اعتماد، امنیت همه پارامترهای حاصل را تضمین می‌کند. این زنجیره به اندازه قوی ترین حلقه آن قوی است. همانطور که از نامش پیداست، مراسم دائمی ممکن است به طور دائمی برگزار شود، همانطور که در مراسم اصلی قدرت های تاو وجود داشت. گفته می‌شود، پروژه‌ها اغلب در مورد زمان مشخصی برای شروع و پایان مراسم خود تصمیم می‌گیرند، به این ترتیب می‌توانند پارامترهای حاصل را در پروتکل‌های خود جاسازی کنند و نگران به‌روزرسانی مداوم آنها نباشند.

اتریوم قصد دارد تا مراسم راه اندازی مورد اعتماد کوچکتری را برای آینده اجرا کند ProtoDankSharding و DankSharding ارتقاء می دهد. این دو ارتقا، میزان داده‌هایی را که زنجیره اتریوم برای ذخیره‌سازی در اختیار مشتریان قرار می‌دهد، افزایش می‌دهد. این داده دارای انقضای پیشنهادی خواهد بود 30 تا 60 روز. مراسم است در حال توسعه فعال است، و است برنامه ریزی اوایل سال آینده به مدت شش هفته اجرا شود. (دیدن kzg-ceremony-species برای جزئیات بیشتر.) این بزرگترین مراسم راه اندازی قابل اعتماد برای بلاک چین هایی است که تاکنون اجرا شده است.

پارانویا یک فضیلت است وقتی صحبت از برگزاری مراسم قابل اعتماد می شود. اگر سخت افزار یا نرم افزار دستگاه به خطر بیفتد، می تواند امنیت اسرار تولید شده را تضعیف کند. رد کردن حملات کانال جانبی یواشکی که افشای اسرار آنها نیز دشوار است. یک تلفن می تواند از عملیات کامپیوتر جاسوسی کند ضبط امواج صوتی برای مثال ارتعاشات CPU. در عمل، از آنجایی که از بین بردن تمامی حملات احتمالی کانال جانبی - از جمله حملاتی که هنوز کشف یا فاش نشده اند - بسیار دشوار است - حتی پیشنهادهایی برای پرواز ماشین ها به فضا برای انجام عملیات وجود دارد. مراسم آنجا.

در حال حاضر، کتاب بازی برای شرکت کنندگان جدی مراسم معمولاً به شرح زیر است. یک دستگاه جدید بخرید (سخت افزار سالم). با حذف تمام کارت های شبکه (برای جلوگیری از خروج اسرار محلی از دستگاه) آن را خالی کنید. ماشین را در یک قفس فارادی در یک مکان نامشخص از راه دور (برای فویل کردن افراد بالقوه جاسوسی) اجرا کنید. مولد راز شبه تصادفی را با آنتروپی زیاد و داده‌های تکراری سخت مانند ضربه‌های تصادفی کلید یا فایل‌های ویدیویی بکارید (برای سخت‌تر کردن رازها). و در نهایت، با سوزاندن همه چیز به خاکستر، ماشین را - همراه با هر اثری از اسرار - نابود کنید. 😀

هماهنگی مراسم راه اندازی مورد اعتماد

در اینجا گزیده ای سرگرم کننده از نقل قول های برخی از شرکت کنندگان مورد اعتماد قبلی در مراسم راه اندازی است:

• "... از مشعل دمنده برای گرم کردن روشی قطعات الکترونیکی کاملاً تکه تکه استفاده می شد تا زمانی که همه چیز سیاه شود ..."- پیتر تاد در از بین بردن فیزیکی اسرار محلی
• من اینجا یک تکه پارچه دارم که دارای گرد و غبار گرافیت [از] هسته راکتور [چرنوبیل] است... شما هر چهار پالس [از یک شمارنده گایگر متصل به یک میکروکنترلر] را می‌شمارید و فاصله زمانی بین پالس یک و دو و فاصله زمانی بین پالس سه و چهار و اگر بزرگتر باشد صفر می گیرید و اگر کمتر باشد یک می گیرید. "...ما در حال سوار شدن به این هواپیما و تولید اعداد تصادفی خود هستیم..." - رایان پیرس و اندرو میلر در نسل مخفی

• "فروشنده گفت 13 [کامپیوتر] دارند. من پرسیدم که آیا می‌توانیم یکی از 13 مورد را انتخاب کنیم. او پرسید که آیا چیزی وجود دارد که به طور خاص دنبالش می‌گردم (گیج شده‌ام زیرا همه آنها یکسان هستند) و من گفتم فقط می‌خواهم یک مورد تصادفی را انتخاب کنم. او گفت نمی تواند ما را به انبار پشتی راه دهد. پرسیدم آیا او دو تا از آنها را بیرون می آورد تا بتوانیم یکی از آن دو را انتخاب کنیم. او دو تا را با گاری دستی بیرون آورد. جری یکی از دو کامپیوتر را انتخاب کرد و ما آن را به ثبت نام بردیم تا بررسی کنیم."- پیتر ون والکنبورگ در مورد گرفتن ماشین جدید
• "ساعات اولیه مراسم در یک قفس موقت فارادی ساخته شده از فویل آلومینیومی و روکش چوبی اجرا شد. لپ تاپ را از قفس فارادی بیرون آوردم زیرا تهویه ضعیفی داشت و در لمس داغ می شد"- کوه وی جی در حفاظت از کانال جانبی
• ".. یک قسمت از مراسم را در کوهستان بدون همسایه انجام داد."- مایکل لاپینسکی در حفاظت از کانال جانبی
• "من ترجیح دادم از ویدیوی محیط اطراف برای ایجاد آنتروپی کافی استفاده کنم"- محد امرالله در تولید مقادیر تصادفی

همه این مراسم بر یک هماهنگ کننده متمرکز تکیه داشت. هماهنگ‌کننده یک سرور شخصی یا خصوصی یا نهاد دیگری است که به او سپرده شده است تا شرکت‌کنندگان را ثبت کند و سفارش دهد، با ارسال اطلاعات از شرکت‌کننده قبلی به شرکت‌کننده بعدی، به‌عنوان یک رله عمل کند، و یک گزارش متمرکز از همه ارتباطات را برای اهداف ممیزی نگه دارد. هماهنگ کننده معمولاً همچنین مسئول در دسترس قرار دادن لاگ در دسترس عموم است. البته منt همیشه با یک سیستم متمرکز امکان گم شدن یا سوء مدیریت داده ها وجود دارد. (به عنوان مثال Perpetual-powers of-tau در Microsoft Azure و Github ذخیره می شود.)

به نظر ما طعنه آمیز بود که پروژه های کریپتو باید به تشریفات راه اندازی متمرکز و قابل اعتماد تکیه کنند، در حالی که تمرکززدایی یک اصل اصلی اخلاق رمزنگاری است. بنابراین تصمیم گرفتیم امکان اجرای یک مراسم کوچک برای قدرت های دائمی تاو را مستقیماً در بلاک چین اتریوم نشان دهیم! این راه اندازی کاملاً غیر متمرکز، بدون مجوز، مقاوم در برابر سانسور است و تا زمانی که هر یک از شرکت کنندگان صادق باشد امن است [نگاه کنید به سلب مسئولیت]. هزینه شرکت در این مراسم فقط 292,600 تا 17,760,000 گاز (حدود 7 تا 400 دلار با قیمت های فعلی) است که بستگی به اندازه پارامترهای حاصله مورد نظر دارد (در این مورد بین 8 تا 1024 توان تاو). (جدول زیر را برای هزینه های بتن ببینید - در ادامه در پست به جزئیات بیشتری در مورد این محاسبات خواهیم پرداخت.)

هنوز، توصیه می کنیم از کد برای چیزی غیر از اهداف آزمایشی استفاده نکنید! اگر هر کسی که مشکلی در کد پیدا کند، آن را به ما گزارش دهد، بسیار سپاسگزار خواهیم بود. ما دوست داریم بازخورد و ممیزی رویکرد خود را جمع آوری کنیم.

درک مراسم KZG یا "قدرت های تاو".

بیایید یکی از محبوب‌ترین تنظیمات مورد اعتماد را که به عنوان مراسم KZG یا «قدرت‌های تاو» شناخته می‌شود، بررسی کنیم. اعتبار به ویتالیک بوترین، یکی از بنیانگذاران اتریوم، که پست وبلاگ در مورد تنظیمات قابل اعتماد ایده های ما را در این بخش اعلام کرد. این راه‌اندازی رمزگذاری‌های power-of-tau را تولید می‌کند، به این دلیل که "tau" متغیری است که برای بیان اسرار تولید شده توسط شرکت‌کنندگان استفاده می‌شود:

pp = [[𝜏]₁، [𝜏²]₁، [𝜏³]₁، …، [𝜏ⁿ]₁; [🝜]₂، [𝜏²]₂، …، [𝜏^k]₂]

برای برخی از کاربردها (به عنوان مثال Groth16، یک طرح اثبات محبوب zkSNARK که توسط ینس گروت در سال 2016 طراحی شد)، این مرحله اول راه اندازی با مرحله دوم، مراسم محاسبات چند جانبه (MPC) دنبال می شود که پارامترهایی را برای یک مدار SNARK خاص تولید می کند. . با این حال، کار ما صرفاً روی فاز یک متمرکز است. این مرحله اول - تولید قدرت های تاو - در حال حاضر به عنوان یک بلوک اساسی برای SNARK های جهانی (مانند PLONK و SONIC) و همچنین سایر برنامه های رمزنگاری مانند تعهدات KZG, درختان ورکل و نمونه گیری در دسترس بودن داده ها (DAS). به طور کلی، پارامترهای جهانی SNARK باید بسیار بزرگ باشند تا بتوانند مدارهای بزرگ و مفید را پشتیبانی کنند. مدارهایی که حاوی گیت های بیشتری هستند معمولاً مفیدتر هستند زیرا می توانند محاسبات بزرگ را ثبت کنند. تعداد توان های تاو تقریباً با تعداد گیت های مدار مطابقت دارد. بنابراین، یک تنظیم معمولی به اندازه |pp| خواهد بود = ~40 گیگابایت و قابلیت پشتیبانی از مدارهای با ~2²⁸ دروازه ها با توجه به محدودیت‌های فعلی اتریوم، قرار دادن چنین پارامترهای بزرگ در زنجیره غیرممکن است، اما یک مراسم راه‌اندازی مورد اعتماد کوچک‌تر که برای مدارهای SNARK کوچک، درختان Verkle یا DAS مفید است، می‌تواند در زنجیره اجرا شود.

بنیاد اتریوم قصد دارد چندین دستگاه کوچکتر را اجرا کند مراسم برای قدرت های تاو از 200 کیلوبایت تا 1.5 مگابایت. در حالی که مراسم بزرگتر ممکن است بهتر به نظر برسند، با توجه به اینکه پارامترهای بزرگتر می توانند مدارهای SNARK مفیدتری ایجاد کنند، در واقع بزرگتر همیشه بهتر نیست. برنامه های خاص، مانند DAS، به طور خاص به یک برنامه کوچکتر نیاز دارند! [دلیل بسیار فنی است، اما اگر کنجکاو هستید، به این دلیل است که راه اندازی با n قدرت (در G₁) فقط تعهدات KZG را برای چند جمله ای های درجه ≤ n فعال می کند، که برای اطمینان از اینکه چند جمله ای زیر تعهد KZG می تواند از هر n ارزیابی بازسازی شود، بسیار مهم است. این ویژگی امکان نمونه‌گیری در دسترس بودن داده‌ها را فراهم می‌کند: هر بار که t ارزیابی‌های تصادفی چند جمله‌ای با موفقیت به دست می‌آید (نمونه‌گیری) این اطمینان را می‌دهد که چند جمله‌ای را می‌توان به طور کامل با احتمال t/n بازسازی کرد. اگر می خواهید در مورد DAS بیشتر بدانید، این پست بوترین را بررسی کنید در انجمن تحقیقات اتریوم.]

ما یک قرارداد هوشمند طراحی کردیم که می تواند در بلاک چین اتریوم مستقر شود تا یک مراسم راه اندازی قابل اعتماد را اجرا کند. این قرارداد پارامترهای عمومی - powers-of-tau - را به طور کامل در زنجیره ذخیره می کند و مشارکت را از طریق تراکنش های کاربران جمع آوری می کند.

یک شرکت‌کننده جدید ابتدا این پارامترها را می‌خواند:

pp₀ = ([𝜏]₁، [𝜏²]₁، [𝜏³]₁، …، [𝜏ⁿ]₁; [🝜]₂، [𝜏²]₂، …، [𝜏^k]₂),

سپس یک راز تصادفی 𝜏 را نمونه می کند و پارامترهای به روز شده را محاسبه می کند:

pp₁ = ([𝜏𝜏']₁، [(𝜏𝜏')²]₁، [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂، [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

و آنها را به صورت زنجیره ای با مدرکی که سه چیز را نشان می دهد منتشر می کند:

1. دانش ثبت گسسته: شرکت کننده می داند 𝜏'. (شواهدی مبنی بر اینکه آخرین سهم در مراسم راه اندازی مورد اعتماد بر اساس کار همه شرکت کنندگان قبلی است.)
2. به خوبی شکل گرفته از pp₁: عناصر در واقع قدرت های افزایشی را رمزگذاری می کنند.
3. به روز رسانی پاک نمی شود: .

قرارداد هوشمند اثبات را تأیید می کند و اگر درست باشد، پارامترهای عمومی را که ذخیره می کند به روز می کند. شما می توانید جزئیات بیشتر در مورد ریاضیات و استدلال پشت آن را در اینجا بیابید مخزن.

محاسبه هزینه گاز

چالش اصلی اجرای راه‌اندازی روی زنجیره این است که مراسم راه‌اندازی مورد اعتماد را تا حد امکان در مصرف گاز بهینه کنید. در حالت ایده آل، ارسال یک مشارکت بیش از 50 دلار هزینه ندارد. (پروژه های بزرگ ممکن است بتوانند به مشارکت کنندگان یارانه گاز بدهند، در این صورت داشتن صدها شرکت کننده که هر کدام 100 دلار هزینه می کنند راحت تر قابل تصور است). در زیر، ما جزئیات بیشتری در مورد گران ترین قسمت های راه اندازی ارائه می دهیم. هزینه های گاز کمتر هزینه مشارکت را کاهش می دهد و امکان ساخت پارامترهای طولانی تر (قدرت تاو بیشتر و مدارهای SNARK بزرگتر) را فراهم می کند!

راه‌اندازی ما برای منحنی بیضوی BN254 (همچنین با نام‌های BN256، BN128، و alt_bn128 شناخته می‌شود)، که پشتیبانی از قراردادهای از پیش کامپایل شده زیر در Ethereum:

• ECADD اجازه می دهد تا دو نقطه منحنی بیضی اضافه شود، یعنی محاسبه [𝛼+𝛽]₁ از [𝛼]₁ و [𝛽]₁: قیمت گاز 150
• ECMULT اجازه می دهد تا نقاط منحنی بیضی در یک اسکالر ضرب شوند، یعنی محاسبه [a*𝛼]₁ از یک و [𝛼]₁: قیمت گاز 6,000
• ECPAIR اجازه می دهد تا یک محصول جفت منحنی بیضی بررسی شود، یعنی محاسبه e([𝛼₁]₁، [𝛽₁]₂)* … *e([𝛼₁]₁، [𝛽₁]₂) = 1 که معادل بررسی آن 𝛼 است₁*🝛₁+… + 𝛼_k*🝛_k = 0 : هزینه گاز 34,000 * k + 45,000

ممکن است اتریوم BLS12_381 را فعال کند (همانطور که در پیشنهاد شده است EIP-2537، قرارداد راه اندازی ما می تواند به راحتی برای این منحنی دیگر نیز کار کند.

بیایید هزینه گاز را برای به‌روزرسانی تنظیمات به ([𝜏]) تخمین بزنیم.₁، [𝜏²]₁، [𝜏³]₁، …، [𝜏ⁿ]₁; [🝜]₂):

1. هزینه گاز برای تأیید اثبات. هر شرکت‌کننده تنظیمات را به‌روزرسانی می‌کند و یک مدرک با سه مؤلفه همانطور که در بالا توضیح داده شد ارائه می‌کند. مؤلفه های 1 و 3 اثبات - "دانش گزارش گسسته" و "غیر پاک شدن به روز رسانی" - برای تأیید بسیار ارزان هستند. چالش در راستی آزمایی مؤلفه 2 است، «به خوبی شکل‌گرفته بودن pp₁"، روی زنجیر. این به یک ضرب بزرگ چند مقیاسی (MSM) و دو جفت نیاز دارد:
   e(𝝆₀[1]₁ + 🝆₁[🝜]₁ + 🝆₂[𝜏²]₁ +… + 𝝆_n-1[𝜏^n-2]₁، [𝜏]₂) = e([𝜏]₁ + 🝆₁[𝜏²]₁ +… + 𝝆_n-1[𝜏^n-1]₁، [1]₂),
   کجا 𝝆₀,…,𝝆_n-1 اسکالرهای شبه تصادفی نمونه برداری شده اند. از نظر قراردادهای هوشمند از پیش کامپایل شده، لازم است:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 گاز.
2. هزینه گاز ذخیره سازی داده ها هر شرکت‌کننده همچنین به‌روزرسانی را در زنجیره به‌عنوان داده‌های تماس (68 گاز در هر بایت) با حساب n*64*68 گاز ذخیره می‌کند. (نکته ای برای کسانی که با رمزنگاری منحنی بیضوی آشنا هستند: ذخیره نقاط فشرده باعث می شود که فشرده سازی بر هزینه کلی مطابق با اندازه گیری های ما برای n=256 تسلط یابد.)

این ما را به جدول زیر برآورد هزینه های گاز می رساند که باید بهینه سازی های آینده را نشان دهد:

ما در حال بررسی راه حل هایی برای کاهش هزینه گاز هستیم، پس با ما همراه باشید!

کتابخانه منبع باز: evm-powers-of-tau

ما مخزن مراسم power-of-tau مبتنی بر EVM خود را در منبع باز قرار داده ایم github.com/a16z/evm-powers-of-tau. برگزاری مراسم با استراتژی ما آسان و شفاف است:

1. استقرار قرارداد ذخیره سازی و تأیید (قراردادها/KZG.sol)
2. یک مشارکت کننده پارامترهای مراسم را از داده های فراخوانی تراکنش های قبلی می خواند
3. مشارکت کننده یک راز را به صورت محلی ایجاد می کند، پارامترهای به روز شده را محاسبه می کند
4. مشارکت کننده اثبات خود را تولید می کند: pi1، pi2
5. مشارکت کننده پارامترهای به روز شده را از طریق KZG.potUpdate() به قرارداد هوشمند مستقر در بلاک چین عمومی ارسال می کند.
6. قرارداد هوشمند اعتبار به‌روزرسانی را تأیید می‌کند و در صورت ارسال نادرست، برمی‌گردد
7. مشارکت‌کنندگان متعدد می‌توانند مراحل 2-5 را به طور دائم اجرا کنند و هر کدام امنیت مراسم را افزایش دهند.
8. هر زمان که یک توسعه‌دهنده از تعداد و کیفیت ارسال‌ها مطمئن باشد، می‌تواند پارامترهای فعلی را در بلاک چین جستجو کند و از این مقادیر به‌عنوان کلید رمزنگاری خود استفاده کند.

مخزن ما استفاده می کند arkworks-rs برای محاسبه مراحل دو و سه (محاسبه زنگ زدگی را می توان در آن یافت src/pot_update.rs)، اما کاربران ممکن است بخواهند خودشان بنویسند. کل جریان پایان به انتها ارسال به روز رسانی را می توان در آزمون ادغام در یافت کرد tests/integration_test.rs.

توجه داشته باشید که ما استفاده از calldata را برای ذخیره پارامترهای power-of-tau به روز شده روی زنجیره انتخاب کرده‌ایم زیرا چندین مرتبه ارزان‌تر از ذخیره‌سازی است. یک پرس و جو مبتنی بر اترها برای این داده ها را می توان در آن یافت src/query.rs.

در نهایت، اثبات و معادلات دقیق را می توان در گزارش فنی در techreport/main.pdf.

کار آینده

قبل از اینکه بتوان از این مراسم راه اندازی قابل اعتماد در تولید استفاده کرد، توصیه می کنیم ابتدا یک ممیزی جامع از اثبات های ریاضی و اجرای نمونه داشته باشید.

همانطور که اجرا شد، هزینه تراکنش به روز رسانی مراسم به صورت خطی با اندازه راه اندازی افزایش می یابد. برای اکثر برنامه‌ها (SNARK، DAS) ما می‌خواهیم یک راه‌اندازی n>= 256 داشته باشیم که در حال حاضر هزینه هر به‌روزرسانی 73 دلار است. 

ممکن است بتوانیم با اثبات STARK محاسبات به‌روزرسانی معتبر و تعهد برداری به مقادیر به‌روز شده، به رشد هزینه تأیید زیرخطی برسیم. این ساختار همچنین وابستگی به پیش‌کامپایل‌های Ethereum L1 BN254 را حذف می‌کند و امکان استفاده از منحنی محبوب‌تر BLS12-381 را فراهم می‌کند.

همه راهبردهای مراسم معاوضه دارند. ما فکر می‌کنیم که این ساختار محکم است و ویژگی‌های مقاومت سانسور قابل تأیید بالایی دارد. اما باز هم، تا زمانی که کار بیشتری برای تایید درستی رویکردمان انجام نشود، از استفاده از این روش احتیاط می کنیم.

تشکر و قدردانی

• Dan Boneh – برای بازخورد مفید در مراحل اولیه این کار
• Joe Bonneau - برای شفاف سازی توضیح در نسخه اولیه گزارش فنی
• William Borgeaud - برای بحث در مورد BLS در TurboPlonk / Plonky2
• مری مالر - برای افکاری در مورد مکانیک کلی رویکرد

ویراستار: رابرت هکت @rhhackett

***

نظرات بیان شده در اینجا نظرات پرسنل AH Capital Management, LLC ("a16z") نقل شده است و نظرات a16z یا شرکت های وابسته به آن نیست. برخی از اطلاعات موجود در اینجا از منابع شخص ثالث، از جمله از شرکت‌های سبد سرمایه‌ای که توسط a16z مدیریت می‌شوند، به‌دست آمده است. در حالی که a16z از منابعی گرفته شده است که قابل اعتماد هستند، اما a16z به طور مستقل چنین اطلاعاتی را تأیید نکرده است و هیچ گونه نمایشی در مورد صحت فعلی یا پایدار اطلاعات یا مناسب بودن آن برای یک موقعیت خاص ارائه نمی کند. علاوه بر این، این محتوا ممکن است شامل تبلیغات شخص ثالث باشد. aXNUMXz چنین تبلیغاتی را بررسی نکرده و محتوای تبلیغاتی موجود در آن را تایید نمی کند.

این محتوا فقط برای مقاصد اطلاعاتی ارائه شده است و نباید به عنوان مشاوره حقوقی، تجاری، سرمایه گذاری یا مالیاتی به آن اعتماد کرد. شما باید در مورد این موارد با مشاوران خود مشورت کنید. ارجاع به هر گونه اوراق بهادار یا دارایی دیجیتال فقط برای مقاصد توضیحی است و به منزله توصیه یا پیشنهاد سرمایه گذاری برای ارائه خدمات مشاوره سرمایه گذاری نیست. علاوه بر این، این محتوا برای هیچ سرمایه‌گذار یا سرمایه‌گذار بالقوه‌ای هدایت نشده و برای استفاده از آن در نظر گرفته نشده است، و تحت هیچ شرایطی نمی‌توان هنگام تصمیم‌گیری برای سرمایه‌گذاری در هر صندوقی که توسط a16z مدیریت می‌شود، به آن اعتماد کرد. (پیشنهاد سرمایه گذاری در یک صندوق a16z فقط توسط یادداشت قرار دادن خصوصی، قرارداد اشتراک و سایر اسناد مربوط به هر صندوق انجام می شود و باید به طور کامل خوانده شود.) هر گونه سرمایه گذاری یا شرکت پرتفوی ذکر شده، ارجاع شده، یا شرح داده شده نشان دهنده همه سرمایه گذاری ها در وسایل نقلیه تحت مدیریت a16z نیست، و نمی توان اطمینان داشت که سرمایه گذاری ها سودآور هستند یا سایر سرمایه گذاری های انجام شده در آینده ویژگی ها یا نتایج مشابهی خواهند داشت. فهرستی از سرمایه‌گذاری‌های انجام‌شده توسط صندوق‌های تحت مدیریت آندریسن هوروویتز (به استثنای سرمایه‌گذاری‌هایی که ناشر مجوز افشای عمومی a16z و همچنین سرمایه‌گذاری‌های اعلام‌نشده در دارایی‌های دیجیتالی عمومی را ارائه نکرده است) در https://a16z.com/investments موجود است. /.

نمودارها و نمودارهای ارائه شده در داخل صرفاً برای مقاصد اطلاعاتی هستند و هنگام تصمیم گیری برای سرمایه گذاری نباید به آنها اعتماد کرد. عملکرد گذشته نشان دهنده نتایج آینده نیست. محتوا فقط از تاریخ مشخص شده صحبت می کند. هر گونه پیش بینی، تخمین، پیش بینی، هدف، چشم انداز، و/یا نظرات بیان شده در این مطالب بدون اطلاع قبلی ممکن است تغییر کند و ممکن است متفاوت یا مغایر با نظرات بیان شده توسط دیگران باشد. لطفاً برای اطلاعات مهم بیشتر به https://a16z.com/disclosures مراجعه کنید.