ऑन-चेन विश्वसनीय सेटअप समारोह

विश्वसनीय सेटअप समारोह क्रिप्टो समुदायों के दर्द और उत्तेजनाओं में से एक है। एक समारोह का लक्ष्य क्रिप्टो वॉलेट, ब्लॉकचैन प्रोटोकॉल, या शून्य-ज्ञान प्रमाण प्रणाली को सुरक्षित करने के लिए भरोसेमंद क्रिप्टोग्राफ़िक कुंजी उत्पन्न करना है। ये (कभी-कभी तेजतर्रार) प्रक्रियाएं किसी दिए गए प्रोजेक्ट की सुरक्षा के लिए अक्सर विश्वास की जड़ होती हैं, और इसलिए सही होने के लिए ये बेहद महत्वपूर्ण हैं।

ब्लॉकचैन परियोजनाएं कई रचनात्मक तरीकों से समारोह चलाती हैं - जिसमें ब्लोकेर्च, रेडियोधर्मी धूल और हवाई जहाज शामिल होते हैं - लेकिन सभी में कुछ समान होता है: इन सभी में एक केंद्रीकृत समन्वयक शामिल होता है। इस काम के साथ हम प्रदर्शित करते हैं कि केंद्रीकृत समन्वयक को स्मार्ट अनुबंध के साथ बदलकर प्रक्रिया को कैसे विकेंद्रीकृत किया जाए। इसके अलावा, हम एक पुस्तकालय को ओपन-सोर्स कर रहे हैं जो किसी को भी इस तरह के समारोह को चलाने की अनुमति देता है - जिसे क्रिप्टो प्रैक्टिशनर्स के रूप में जाना जाता है केट-ज़वेरुचा-गोल्डबर्ग (KZG) या "पॉवर-ऑफ-ताऊ" समारोह - एथेरियम श्रृंखला पर। लेन-देन शुल्क का भुगतान करके कोई भी भाग ले सकता है!

हमारे विकेंद्रीकृत दृष्टिकोण की सीमाएँ हैं, लेकिन यह अभी भी उपयोगी है। वर्तमान ऑन-चेन डेटा बाधाओं के कारण, क्रिप्टोग्राफ़िक मापदंडों के आकार को छोटा रखना पड़ता है, अर्थात 64 KB से अधिक नहीं। लेकिन प्रतिभागियों की संख्या की कोई सीमा नहीं है और लोग निरंतर योगदान देना जारी रख सकते हैं। इन छोटे मापदंडों के लिए अनुप्रयोगों में छोटे शून्य-ज्ञान SNARKs शामिल हैं, डेटा-उपलब्धता नमूनाकरण, तथा वर्कल पेड़.

विश्वसनीय सेटअप समारोह का इतिहास और यांत्रिकी

एक विशिष्ट विश्वसनीय सेटअप समारोह में, प्रतिभागियों का एक समूह सहयोगात्मक रूप से क्रिप्टोग्राफ़िक मापदंडों का एक सेट तैयार करेगा। प्रत्येक भाग लेने वाला पक्ष डेटा उत्पन्न करने के लिए स्थानीय रूप से उत्पन्न गुप्त जानकारी का उपयोग करता है जो इन मापदंडों को बनाने में मदद करता है। उचित सेटअप सुनिश्चित करता है कि रहस्य लीक न हों, कि रहस्य केवल प्रोटोकॉल द्वारा निर्दिष्ट के रूप में उपयोग किए जाते हैं, और यह कि ये रहस्य समारोह के अंत में पूरी तरह से नष्ट हो जाते हैं। जब तक समारोह में कम से कम एक पक्ष ईमानदारी से व्यवहार करता है, समझौता नहीं करता है, और अपने स्थानीय रहस्य को नष्ट कर देता है, तब तक पूरे सेटअप को सुरक्षित माना जा सकता है। (बेशक, यह माना जा रहा है कि गणित सही है और कोड में कोई बग नहीं है।)

कुछ सबसे प्रमुख समारोह थे ज़काशो द्वारा संचालित, एक गोपनीयता-उन्मुख ब्लॉकचेन परियोजना। इन समारोहों में भाग लेने वालों ने Zcash उपयोगकर्ताओं को निजी क्रिप्टो लेनदेन का निर्माण और सत्यापन करने की अनुमति देने के लिए डिज़ाइन किए गए सार्वजनिक पैरामीटर तैयार किए। छह प्रतिभागियों ने 2016 में पहला Zcash समारोह, स्प्राउट किया। दो साल बाद, क्रिप्टो शोधकर्ता एरियल गैबिज़ोन, जो अब एक मुख्य वैज्ञानिक हैं एज़्टेक, मिल गया एक विनाशकारी बग समारोह के डिजाइन में जो a . से विरासत में मिला था मूलभूत शोध पत्र. भेद्यता का पता लगाए बिना हमलावरों को असीमित Zcash सिक्के बनाने में सक्षम बनाया जा सकता है। Zcash टीम ने सिस्टम अपग्रेड होने तक सात महीने तक भेद्यता को गुप्त रखा, सैपलिंग, जिसके समारोह में 90 प्रतिभागी शामिल थे, ने इस मुद्दे को संबोधित किया। हालांकि सुरक्षा छेद पर आधारित हमले से उपयोगकर्ता के लेन-देन की गोपनीयता प्रभावित नहीं होती, अनंत जालसाजी की संभावना ने Zcash के सुरक्षा आधार को कमजोर कर दिया। (यह जानना सैद्धांतिक रूप से असंभव है कि हमला हुआ या नहीं।)

एक विश्वसनीय सेटअप का एक और उल्लेखनीय उदाहरण है सदा "ताऊ की शक्तियाँ" समारोह मुख्य रूप से के लिए डिज़ाइन किया गया सिकंदरा, एथेरियम पर गुमनाम सिग्नलिंग के लिए एक गोपनीयता संरक्षण तकनीक। सेटअप ने BN254 अण्डाकार वक्र का उपयोग किया है और अब तक इसमें 71 प्रतिभागी हैं। अन्य प्रमुख परियोजनाओं ने बाद में इस सेटअप का उपयोग शीर्ष पर अपने स्वयं के समारोहों को चलाने के लिए किया, जिनमें शामिल हैं बवंडर (हाल ही में अमेरिकी सरकार द्वारा स्वीकृत), हर्मिज नेटवर्क, और Loopring. एज़्टेक ZkSync के लिए 12 प्रतिभागियों के साथ BLS381_176 अण्डाकार वक्र पर एक समान समारोह चलाया, एक "परत दो" एथेरियम स्केलिंग समाधान जो शून्य ज्ञान रोलअप का उपयोग करता है। Filecoin, एक विकेन्द्रीकृत डेटा भंडारण प्रोटोकॉल, पहले और दूसरे चरण में क्रमशः 19 और 33 प्रतिभागियों के साथ एक समारोह आयोजित किया, जिसमें मूल रेपो को शामिल किया गया था। उत्साह, एक लेयर -1 ब्लॉकचेन, ने अपने लाइट-क्लाइंट प्लूमो के लिए भी एक समारोह चलाया।

सतत समारोहों में प्रतिभागियों की संख्या की कोई सीमा नहीं है। दूसरे शब्दों में, एक विश्वसनीय सेटअप समारोह चलाने के लिए अन्य लोगों पर भरोसा करने के बजाय, कोई भी उस स्तर की सुरक्षा में भाग ले सकता है जो उनकी संतुष्टि के अनुरूप हो। एक विश्वसनीय भागीदार सभी परिणामी मापदंडों की सुरक्षा सुनिश्चित करता है; श्रृंखला उतनी ही मजबूत है जितनी उसकी सबसे मजबूत कड़ी। शाश्वत समारोह चल सकते हैं, जैसा कि नाम का तात्पर्य है, शाश्वतता में, जैसा कि मूल शक्तियों के ताऊ समारोह के साथ था। उस ने कहा, परियोजनाएं अक्सर अपने समारोहों के लिए एक ठोस शुरुआत और समाप्ति समय तय करती हैं, इस तरह वे परिणामी मापदंडों को अपने प्रोटोकॉल में एम्बेड कर सकते हैं और उन्हें लगातार अपडेट करने के बारे में चिंता करने की ज़रूरत नहीं है।

इथेरियम आगामी के लिए एक छोटा विश्वसनीय सेटअप समारोह चलाने की योजना बना रहा है प्रोटोडैंक शेयरिंग और डंकशर्डिंग उन्नयन। उन दो उन्नयनों से डेटा की मात्रा में वृद्धि होगी जो एथेरियम श्रृंखला ग्राहकों को भंडारण के लिए प्रदान करती है। इस डेटा की सुझाई गई अवधि की समाप्ति होगी 30 से 60 दिन. समारोह है सक्रिय विकास के तहत, और है की योजना बनाई अगले साल की शुरुआत में छह सप्ताह तक चलने के लिए। (देखना kzg-समारोह-चश्मा अधिक विवरण के लिए।) यह अब तक चलने वाले ब्लॉकचेन के लिए सबसे बड़ा विश्वसनीय सेटअप समारोह बन रहा है।

जब विश्वसनीय सेटअप समारोहों की बात आती है तो व्यामोह एक गुण है। यदि किसी मशीन के हार्डवेयर या सॉफ़्टवेयर से छेड़छाड़ की जाती है, तो यह उसके द्वारा उत्पन्न रहस्यों की सुरक्षा को कमजोर कर सकता है। चुपके से साइड चैनल हमले जो रहस्य लीक करते हैं, उन्हें भी खारिज करना मुश्किल हो सकता है। फ़ोन कंप्यूटर के संचालन की जासूसी कर सकता है ध्वनि तरंगों की रिकॉर्डिंग उदाहरण के लिए, सीपीयू कंपन। व्यवहार में, चूंकि सभी संभावित साइड चैनल हमलों को समाप्त करना बेहद कठिन है - जिनमें वे अभी भी खोजे या प्रकट किए जाने हैं - यहां तक ​​​​कि मशीनों को अंतरिक्ष में ले जाने के प्रस्ताव भी हैं वहाँ समारोह.

अभी के लिए, गंभीर समारोह प्रतिभागियों के लिए प्लेबुक आमतौर पर इस प्रकार है। एक नई मशीन खरीदें (बिना दाग वाला हार्डवेयर)। सभी नेटवर्क कार्डों को हटाकर इसे एयर-गैप करें (स्थानीय रहस्यों को मशीन छोड़ने से रोकने के लिए)। मशीन को एक फैराडे पिंजरे में एक दूरस्थ अज्ञात स्थान पर चलाएं (फोइल करने के लिए स्नूपर्स होंगे)। छद्म-यादृच्छिक गुप्त जनरेटर को बहुत सारे एन्ट्रापी और हार्ड-रेप्लिकेट डेटा जैसे यादृच्छिक कुंजी-स्ट्रोक या वीडियो फ़ाइलों (रहस्यों को क्रैक करने के लिए कठिन बनाने के लिए) के साथ सीड करें। और अंत में, मशीन को नष्ट कर दें - रहस्यों के किसी भी निशान के साथ - सब कुछ जलाकर राख कर दें। मैं

विश्वसनीय सेटअप समारोहों का समन्वय

पिछले कुछ विश्वसनीय सेटअप समारोह प्रतिभागियों के उद्धरणों का एक मजेदार चयन यहां दिया गया है:

• "... ब्लोटोरच का उपयोग इलेक्ट्रॉनिक्स को पूरी तरह से टुकड़े-टुकड़े करके तब तक गर्म करने के लिए किया जाता था जब तक कि सब कुछ काला न हो जाए ..."- पीटर टोड स्थानीय रहस्यों को शारीरिक रूप से नष्ट करने पर।
• "मेरे पास यहां कपड़े का एक टुकड़ा है जिसमें [चेरनोबिल] रिएक्टर के मूल से [से] ग्रेफाइट धूल है ... आप हर चार दालों को गिनते हैं [एक माइक्रोकंट्रोलर से जुड़े गीजर काउंटर से] और आप पल्स के बीच के समय अंतराल की तुलना करते हैं और दो और पल्स तीन और चार के बीच का समय अंतराल और यदि यह अधिक है तो आपको शून्य मिलता है, यदि यह कम है तो आपको एक मिलता है। "... हम इस हवाई जहाज में बैठने वाले हैं और अपनी यादृच्छिक संख्याएँ उत्पन्न करते हैं ..." - रयान पियर्स और एंड्रयू मिलर गुप्त पीढ़ी पर।

• "विक्रेता ने कहा कि उनके पास 13 [कंप्यूटर] हैं। मैंने पूछा कि क्या हम 13 में से किसी एक को चुन सकते हैं। उन्होंने पूछा कि क्या कुछ ऐसा है जिसे मैं विशेष रूप से ढूंढ रहा था (भ्रमित क्योंकि वे सभी समान हैं) और मैंने कहा कि मैं सिर्फ एक यादृच्छिक चुनना चाहता हूं। उसने कहा कि वह हमें पिछले गोदाम में नहीं जाने दे सकता। मैंने पूछा कि क्या वह उनमें से दो को बाहर लाएगा ताकि हम दोनों में से एक को चुन सकें। वह एक ठेले पर दो को बाहर ले आया। जैरी ने दो कंप्यूटरों में से एक को चुना और हम उसे चेक आउट करने के लिए रजिस्टर में ले गए।"- पीटर वान वालकेनबर्ग नई मशीन मिलने पर
• "समारोह के पहले कुछ घंटों को एल्युमिनियम फॉयल और क्लिंग रैप से बने एक अस्थायी फैराडे पिंजरे में प्रदर्शित किया गया। मैंने लैपटॉप को फैराडे केज से बाहर निकाला क्योंकि उसमें खराब वेंटिलेशन था और वह छूने पर गर्म हो रहा था"- कोह वेई जी साइड-चैनल सुरक्षा पर।
• ".. बिना किसी पड़ोसी के पहाड़ों में समारोह का एक हिस्सा किया।"- माइकल लैपिंस्की साइड-चैनल सुरक्षा पर।
• "मैंने पर्याप्त एन्ट्रॉपी उत्पन्न करने के लिए परिवेश के वीडियो का उपयोग करने का विकल्प चुना"- मुहम्मद अमरुल्लाह यादृच्छिक मूल्यों की पीढ़ी पर।

ये सभी समारोह एक केंद्रीकृत समन्वयक पर निर्भर थे। समन्वयक एक व्यक्तिगत या निजी सर्वर या कोई अन्य संस्था है जिसे प्रतिभागियों को पंजीकृत करने और आदेश देने, पिछले प्रतिभागी से अगले तक जानकारी अग्रेषित करने के लिए रिले के रूप में कार्य करने और ऑडिटेबिलिटी उद्देश्यों के लिए सभी संचारों का केंद्रीकृत लॉग रखने के लिए सौंपा गया है। समन्वयक आम तौर पर जनता के लिए स्थायी रूप से लॉग उपलब्ध कराने के प्रभारी भी होते हैं; बेशक मैंडेटा के खो जाने या कुप्रबंधन के लिए हमेशा एक केंद्रीकृत प्रणाली के साथ एक संभावना है। (उदाहरण के लिए सदा-शक्तियाँ-ऑफ़-ताऊ Microsoft Azure और Github पर संग्रहीत है।)

यह हमें विडंबनापूर्ण लगा कि क्रिप्टो परियोजनाओं को केंद्रीकृत विश्वसनीय सेटअप समारोहों पर भरोसा करना चाहिए जब विकेंद्रीकरण क्रिप्टो लोकाचार का ऐसा मूल सिद्धांत है। इसलिए हमने सीधे एथेरियम ब्लॉकचेन पर ताऊ के सदा-शक्तियों के लिए एक छोटा सा समारोह चलाने की व्यवहार्यता प्रदर्शित करने का निर्णय लिया! सेटअप पूरी तरह से विकेन्द्रीकृत, अनुमति रहित, सेंसरशिप प्रतिरोधी है, और तब तक सुरक्षित है जब तक कि प्रतिभागियों में से कोई एक ईमानदार हो [देखें] अस्वीकरण]. समारोह में भाग लेने पर केवल 292,600 से 17,760,000 गैस (मौजूदा कीमतों पर लगभग $7 से $400) का खर्च आता है, जो वांछित परिणामी मापदंडों के आकार पर निर्भर करता है (इस मामले में 8 और 1024 पावर-ऑफ-ताऊ के बीच)। (ठोस लागतों के लिए नीचे दी गई तालिका देखें - हम बाद में पोस्ट में इन गणनाओं के बारे में अधिक विस्तार से जानेंगे।)

अभी तक, हम सलाह देते हैं कि प्रयोगात्मक उद्देश्यों के अलावा किसी अन्य चीज़ के लिए कोड का उपयोग न करें! हम इसकी बहुत सराहना करेंगे यदि कोई भी व्यक्ति जो कोड के साथ कोई समस्या पाता है, उन्हें हमें रिपोर्ट करता है। हम अपने दृष्टिकोण पर प्रतिक्रिया और ऑडिट करना पसंद करेंगे।

KZG या 'शक्तियों के ताऊ' समारोह को समझना

आइए सबसे लोकप्रिय विश्वसनीय सेटअपों में से एक का पता लगाएं, जिसे KZG, या "पॉवर-ऑफ-ताऊ," समारोह के रूप में जाना जाता है। एथेरियम कोफाउंडर विटालिक ब्यूटिरिन को श्रेय, जिसका विश्वसनीय सेटअप पर ब्लॉग पोस्ट इस खंड में हमारे विचारों को सूचित किया। सेटअप ताऊ की शक्तियों के एन्कोडिंग को उत्पन्न करता है, इसलिए नाम दिया गया क्योंकि "ताऊ" प्रतिभागियों द्वारा उत्पन्न रहस्यों को व्यक्त करने के लिए उपयोग किया जाने वाला चर होता है:

पीपी = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, ..., [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, ..., [𝜏^k]₂]

कुछ अनुप्रयोगों के लिए (उदाहरण के लिए ग्रोथ16, 2016 में जेन्स ग्रोथ द्वारा डिजाइन की गई एक लोकप्रिय zkSNARK सिद्ध योजना), सेटअप के इस पहले चरण के बाद दूसरा चरण, एक मल्टीपार्टी कंप्यूटेशन (एमपीसी) समारोह होता है, जो एक विशिष्ट SNARK सर्किट के लिए पैरामीटर उत्पन्न करता है। . हालाँकि, हमारा काम पूरी तरह से पहले चरण पर केंद्रित है। यह पहला चरण - ताऊ की शक्तियों का निर्माण - सार्वभौमिक SNARKs (जैसे PLONK और SONIC) के साथ-साथ अन्य क्रिप्टोग्राफी अनुप्रयोगों के लिए एक मूलभूत बिल्डिंग ब्लॉक के रूप में पहले से ही उपयोगी है, जैसे कि KZG प्रतिबद्धताएं, वर्कल पेड़ और डेटा-उपलब्धता नमूनाकरण (डीएएस)। आम तौर पर, सार्वभौमिक SNARK पैरामीटर बहुत बड़े होने चाहिए ताकि वे बड़े और उपयोगी सर्किट का समर्थन कर सकें। जिन सर्किटों में अधिक गेट होते हैं, वे आम तौर पर अधिक उपयोगी होते हैं क्योंकि वे बड़ी गणनाओं को पकड़ सकते हैं; ताऊ की शक्तियों की संख्या मोटे तौर पर सर्किट में फाटकों की संख्या से मेल खाती है। तो, एक विशिष्ट सेटअप आकार का होगा |पीपी| = ~ 40 जीबी और ~ 2 . के साथ सर्किट का समर्थन करने में सक्षम²⁸ द्वार एथेरियम की वर्तमान बाधाओं को देखते हुए, इस तरह के बड़े मापदंडों को ऑन-चेन रखना संभव नहीं होगा, लेकिन छोटे SNARK सर्किट, वर्कल ट्री या DAS के लिए उपयोगी एक छोटा विश्वसनीय सेटअप समारोह संभवतः ऑन-चेन चलाया जा सकता है।

एथेरियम फाउंडेशन कई छोटे चलाने की योजना बना रहा है समारोह पावर-ऑफ़-ताऊ आकार 200 केबी से 1.5 एमबी के लिए। जबकि बड़े समारोह बेहतर लग सकते हैं, यह देखते हुए कि बड़े पैरामीटर अधिक उपयोगी SNARK सर्किट बना सकते हैं, वास्तव में, बड़ा हमेशा बेहतर नहीं होता है। कुछ एप्लिकेशन, जैसे DAS, को विशेष रूप से एक छोटे की आवश्यकता होती है! [कारण बहुत तकनीकी है, लेकिन यदि आप उत्सुक हैं, तो ऐसा इसलिए है क्योंकि n शक्तियों वाला एक सेटअप (G . में)₁) केवल डिग्री n के बहुपदों के लिए KZG-प्रतिबद्धताओं को सक्षम बनाता है, जो यह सुनिश्चित करने के लिए महत्वपूर्ण है कि KZG-प्रतिबद्धता के नीचे के बहुपद को किसी भी n मूल्यांकन से पुनर्निर्मित किया जा सकता है। यह गुण डेटा-उपलब्धता-नमूनाकरण को सक्षम बनाता है: बहुपद के हर बार t यादृच्छिक मूल्यांकन सफलतापूर्वक प्राप्त किए जाते हैं (नमूना) यह एक आश्वासन देता है कि बहुपद को प्रायिकता t/n के साथ पूरी तरह से पुनर्निर्मित किया जा सकता है। यदि आप DAS के बारे में अधिक जानना चाहते हैं, तो Buterin की इस पोस्ट को देखें एथेरियम अनुसंधान मंच पर.]

हमने एक स्मार्ट अनुबंध तैयार किया है जिसे एक विश्वसनीय सेटअप समारोह चलाने के लिए एथेरियम ब्लॉकचैन पर तैनात किया जा सकता है। अनुबंध सार्वजनिक मापदंडों को संग्रहीत करता है - ताऊ की शक्तियां - पूरी तरह से ऑन-चेन, और उपयोगकर्ताओं के लेनदेन के माध्यम से भागीदारी एकत्र करता है।

एक नया प्रतिभागी पहले उन मापदंडों को पढ़ता है:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, ..., [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, ..., [𝜏^k]₂),

फिर एक यादृच्छिक रहस्य 𝜏' का नमूना लेता है और अद्यतन पैरामीटर की गणना करता है:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, ..., [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, ..., [(𝜏𝜏')^k]₂),

और उन्हें एक प्रमाण के साथ ऑन-चेन प्रकाशित करता है जो तीन चीजों को प्रदर्शित करता है:

1. असतत-लॉग का ज्ञान: सहभागी जानता है '। (इस बात का प्रमाण है कि विश्वसनीय सेटअप समारोह में नवीनतम योगदान सभी पूर्ववर्ती प्रतिभागियों के काम पर आधारित है।)
2. पीपी . की अच्छी तरह से गठित₁: तत्व वास्तव में वृद्धिशील शक्तियों को सांकेतिक शब्दों में बदलते हैं। (समारोह में एक नए प्रतिभागी के योगदान की सुगठितता का सत्यापन।)
3. अद्यतन मिटा नहीं रहा है: ' 0. (सभी प्रतिभागियों के पिछले काम को हटाकर सिस्टम को कमजोर करने की कोशिश करने वाले हमलावरों के खिलाफ बचाव।)

स्मार्ट अनुबंध प्रमाण की पुष्टि करता है और यदि यह सही है, तो यह अपने द्वारा संग्रहीत सार्वजनिक मापदंडों को अपडेट करता है। आप गणित और इसके पीछे के तर्क के बारे में अधिक जानकारी प्राप्त कर सकते हैं रेपो.

गैस की लागत की गणना

सेटअप ऑन-चेन चलाने की मुख्य चुनौती विश्वसनीय सेटअप समारोह को यथासंभव गैस-कुशल बनाना है। आदर्श रूप से, योगदान जमा करने पर ~$50 से अधिक खर्च नहीं होगा। (बड़ी परियोजनाएं योगदानकर्ताओं के लिए गैस पर सब्सिडी देने में सक्षम हो सकती हैं, इस मामले में सैकड़ों प्रतिभागियों के प्रत्येक $ 100 खर्च करने की कल्पना करना आसान है)। नीचे, हम सेटअप के सबसे महंगे हिस्सों के बारे में अधिक जानकारी देते हैं। कम गैस लागत योगदान की लागत को कम करेगी और लंबे मापदंडों (अधिक ताऊ-शक्तियों और बड़े SNARK सर्किट) के निर्माण की अनुमति देगी!

हमारा सेटअप अण्डाकार वक्र BN254 (जिसे BN256, BN128, और alt_bn128) के रूप में भी जाना जाता है, के लिए काम करता है, जिसके लिए समर्थन है निम्नलिखित पूर्व-संकलित अनुबंध इथेरियम पर:

• ECADD दो अण्डाकार वक्र बिंदुओं को जोड़ने की अनुमति देता है, अर्थात गणना [𝛼+𝛽]₁ से [𝛼]₁ और [𝛽]₁: गैस की कीमत 150
• ECMULT अण्डाकार वक्र बिंदुओं को एक अदिश से गुणा करने की अनुमति देता है, अर्थात गणना [a*𝛼]₁ एक से और [𝛼]₁: गैस की कीमत 6,000
• ECPAIR अण्डाकार वक्र युग्मों के उत्पाद की जाँच करने की अनुमति देता है, अर्थात कंप्यूट e([𝛼₁]₁, [𝛽₁]₂)* ... *ई([𝛼₁]₁, [𝛽₁]₂) = 1 जो कि . की जाँच करने के बराबर है₁*𝛽₁+… +_k*𝛽_k = 0 : गैस की कीमत 34,000 * k + 45,000

इथेरियम BLS12_381 को सक्षम कर सकता है (जैसा कि प्रस्तावित है EIP-2537), हमारे सेटअप अनुबंध को इस अन्य वक्र के लिए भी आसानी से काम करने के लिए बनाया जा सकता है।

आइए सेटअप को अपडेट करने के लिए गैस की लागत का अनुमान लगाएं ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, ..., [𝜏ⁿ]₁; [𝜏]₂):

1. सबूत के सत्यापन की गैस लागत। प्रत्येक भागीदार सेटअप को अद्यतन करता है और ऊपर वर्णित अनुसार तीन घटकों के साथ एक प्रमाण प्रस्तुत करता है। सबूत के घटक 1 और 3 - "असतत लॉग का ज्ञान" और "अपडेट न मिटाए जा रहे हैं" - सत्यापित करने के लिए बहुत सस्ते हैं। चुनौती घटक 2 को सत्यापित करने में है, "पीपी की अच्छी तरह से गठित"₁”, चेन पर। इसके लिए एक बड़े बहु-स्केलर-गुणा (MSM) और दो युग्मों की आवश्यकता होती है:
   ई(𝝆₀[1]₁ +₁[𝜏]₁ +₂[𝜏²]₁ +… +_N-1[𝜏^N-2]₁, [𝜏]₂) = ई ([𝜏]₁ +₁[𝜏²]₁ +… +_N-1[𝜏^N-1]₁, [1]₂),
   जहां₀,…,𝝆_N-1 छद्म यादृच्छिक रूप से प्रतिदर्शित अदिश हैं। पूर्व-संकलित स्मार्ट-अनुबंधों के संदर्भ में, यह आवश्यक होगा:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{कश्मीर = 2} = (2n-4) x 6,150 + 113,000 गैस।
2. डेटा भंडारण की गैस लागत। प्रत्येक प्रतिभागी अपडेट ऑन-चेन को कॉलडेटा (68 गैस प्रति बाइट) के रूप में n*64*68 गैस के हिसाब से संग्रहीत करता है। (अण्डाकार वक्र क्रिप्टोग्राफी से परिचित लोगों के लिए एक नोट: संपीड़ित बिंदुओं को संग्रहीत करने से n = 256 के लिए हमारे माप के अनुसार समग्र लागत पर डीकंप्रेसन हावी हो जाएगा।)

यह हमें गैस की लागत का अनुमान लगाने वाली निम्नलिखित तालिका में लाता है जो भविष्य के अनुकूलन को सूचित करना चाहिए:

हम गैस की लागत को कम करने के लिए समाधान तलाश रहे हैं, इसलिए बने रहें!

ओपन-सोर्स लाइब्रेरी: evm-powers-of-tau

हमने अपने ईवीएम आधारित पावर-ऑफ-ताऊ समारोह रेपो को ओपन सोर्स किया है github.com/a16z/evm-powers-of-tau. हमारी रणनीति के साथ समारोह आयोजित करना आसान और पारदर्शी है:

1. भंडारण और सत्यापन अनुबंध तैनात करें (अनुबंध/KZG.sol)
2. एक योगदानकर्ता पिछले लेनदेन कॉलडेटा से समारोह के मापदंडों को पढ़ता है
3. योगदानकर्ता स्थानीय रूप से एक रहस्य उत्पन्न करता है, अद्यतन मापदंडों की गणना करता है
4. योगदानकर्ता अपना प्रमाण बनाता है: pi1, pi2
5. योगदानकर्ता सार्वजनिक ब्लॉकचेन पर तैनात स्मार्ट अनुबंध के लिए KZG.potUpdate() के माध्यम से अद्यतन पैरामीटर सबमिट करता है
6. स्मार्ट अनुबंध एक विकृत सबमिशन के मामले में वापस लौटते हुए, अद्यतन की वैधता को सत्यापित करेगा
7. एकाधिक योगदानकर्ता चरण 2-5 को सदा के लिए निष्पादित कर सकते हैं, प्रत्येक समारोह की सुरक्षा को बढ़ाता है
8. जब भी कोई डेवलपर सबमिशन की संख्या और गुणवत्ता के बारे में आश्वस्त होता है, तो वे वर्तमान मापदंडों के लिए ब्लॉकचेन को क्वेरी कर सकते हैं और इन मानों को अपनी क्रिप्टोग्राफ़िक कुंजी के रूप में उपयोग कर सकते हैं।

हमारा रेपो उपयोग करता है आर्कवर्क्स-आरएस चरण दो और तीन की गणना करने के लिए (जंग की गणना में पाया जा सकता है src/pot_update.rs), लेकिन उपयोगकर्ता अपना खुद का लिखना चाह सकते हैं। अपडेट सबमिशन का संपूर्ण एंड-टू-एंड प्रवाह एकीकरण परीक्षण में पाया जा सकता है परीक्षण/एकीकरण_परीक्षण.rs.

ध्यान दें कि हमने चेन पर अपडेटेड पॉवर-ऑफ-ताऊ मापदंडों को स्टोर करने के लिए कॉलडेटा का उपयोग करना चुना है क्योंकि यह स्टोरेज से सस्ता परिमाण के कई ऑर्डर हैं। इस डेटा के लिए एक ईथर-आरएस आधारित क्वेरी में पाया जा सकता है src/query.rs.

अंत में, तकनीकी रिपोर्ट में प्रमाण और विस्तृत समीकरण पाए जा सकते हैं Techreport/main.pdf.

भविष्य का कार्य

इससे पहले कि इस विश्वसनीय सेटअप समारोह का उत्पादन में उपयोग किया जा सके, हम अनुशंसा करते हैं कि पहले गणितीय प्रमाण और नमूना कार्यान्वयन दोनों का व्यापक ऑडिट हो।

लागू होने पर समारोह को अद्यतन करने की लेनदेन लागत सेटअप आकार के साथ रैखिक रूप से बढ़ती है। अधिकांश एप्लिकेशन (SNARKs, DAS) के लिए हम n>= 256 का एक सेटअप चाहते हैं, जिसकी कीमत वर्तमान में $73 प्रति अपडेट है। 

हम मान्य अद्यतन गणना के STARK प्रमाण और अद्यतन मूल्यों के लिए एक वेक्टर प्रतिबद्धता के साथ सबलाइनियर सत्यापन लागत वृद्धि प्राप्त करने में सक्षम हो सकते हैं। यह निर्माण एथेरियम L1 BN254 प्रीकंपाइल्स पर निर्भरता को भी हटा देगा, जिससे अधिक लोकप्रिय BLS12-381 वक्र के उपयोग को सक्षम किया जा सकेगा।

सभी समारोह रणनीतियों में ट्रेडऑफ़ होते हैं। हमें लगता है कि यह निर्माण ठोस है और इसमें महान सत्यापन योग्य सेंसरशिप प्रतिरोध गुण हैं। लेकिन फिर से, हम इस पद्धति का उपयोग करने से सावधान रहेंगे जब तक कि हमारे दृष्टिकोण की सुदृढ़ता को सत्यापित करने के लिए और अधिक काम नहीं किया जाता है।

Acknowledgments

• डैन बोनेह - इस काम के शुरुआती चरणों में उपयोगी प्रतिक्रिया के लिए
• जो बोनेऊ - तकनीकी रिपोर्ट के प्रारंभिक संस्करण में प्रदर्शनी को स्पष्ट करने के लिए
• विलियम बोरगॉड - TurboPlonk / Plonky2 . के भीतर BLS पर चर्चा के लिए
• मैरी मॉलर - दृष्टिकोण के सामान्य यांत्रिकी पर विचारों के लिए

संपादक: रॉबर्ट हैकेट @rhhackett

***

यहां व्यक्त किए गए विचार व्यक्तिगत एएच कैपिटल मैनेजमेंट, एलएलसी ("a16z") कर्मियों के हैं जिन्हें उद्धृत किया गया है और यह a16z या इसके सहयोगियों के विचार नहीं हैं। यहां निहित कुछ जानकारी तृतीय-पक्ष स्रोतों से प्राप्त की गई है, जिसमें a16z द्वारा प्रबंधित निधियों की पोर्टफोलियो कंपनियों से भी शामिल है। विश्वसनीय माने जाने वाले स्रोतों से लिए गए, a16z ने स्वतंत्र रूप से ऐसी जानकारी का सत्यापन नहीं किया है और किसी भी स्थिति के लिए जानकारी की वर्तमान या स्थायी सटीकता या इसकी उपयुक्तता के बारे में कोई प्रतिनिधित्व नहीं करता है। इसके अतिरिक्त, इस सामग्री में तृतीय-पक्ष विज्ञापन शामिल हो सकते हैं; a16z ने ऐसे विज्ञापनों की समीक्षा नहीं की है और उनमें निहित किसी भी विज्ञापन सामग्री का समर्थन नहीं करता है।

यह सामग्री केवल सूचना के उद्देश्यों के लिए प्रदान की जाती है, और कानूनी, व्यापार, निवेश या कर सलाह के रूप में इस पर भरोसा नहीं किया जाना चाहिए। आपको उन मामलों में अपने स्वयं के सलाहकारों से परामर्श लेना चाहिए। किसी भी प्रतिभूति या डिजिटल संपत्ति के संदर्भ केवल दृष्टांत उद्देश्यों के लिए हैं, और निवेश सलाहकार सेवाएं प्रदान करने के लिए एक निवेश अनुशंसा या प्रस्ताव का गठन नहीं करते हैं। इसके अलावा, यह सामग्री किसी भी निवेशक या संभावित निवेशकों द्वारा उपयोग के लिए निर्देशित नहीं है और न ही इसका इरादा है, और किसी भी परिस्थिति में a16z द्वारा प्रबंधित किसी भी फंड में निवेश करने का निर्णय लेते समय इस पर भरोसा नहीं किया जा सकता है। (a16z फंड में निवेश करने की पेशकश केवल निजी प्लेसमेंट मेमोरेंडम, सब्सक्रिप्शन एग्रीमेंट, और ऐसे किसी भी फंड के अन्य प्रासंगिक दस्तावेज द्वारा की जाएगी और इसे पूरी तरह से पढ़ा जाना चाहिए।) किसी भी निवेश या पोर्टफोलियो कंपनियों का उल्लेख, संदर्भित, या वर्णित a16z द्वारा प्रबंधित वाहनों में सभी निवेशों के प्रतिनिधि नहीं हैं, और इस बात का कोई आश्वासन नहीं दिया जा सकता है कि निवेश लाभदायक होगा या भविष्य में किए गए अन्य निवेशों में समान विशेषताएं या परिणाम होंगे। आंद्रेसेन होरोविट्ज़ द्वारा प्रबंधित निधियों द्वारा किए गए निवेशों की सूची (उन निवेशों को छोड़कर जिनके लिए जारीकर्ता ने सार्वजनिक रूप से कारोबार की गई डिजिटल संपत्ति में सार्वजनिक रूप से और साथ ही अघोषित निवेशों का खुलासा करने के लिए a16z की अनुमति नहीं दी है) https://a16z.com/investments पर उपलब्ध है। /.

इसमें दिए गए चार्ट और ग्राफ़ केवल सूचना के उद्देश्यों के लिए हैं और निवेश का कोई भी निर्णय लेते समय उन पर भरोसा नहीं किया जाना चाहिए। पूर्व प्रदर्शन भविष्य के परिणाम का संकेत नहीं है। सामग्री केवल इंगित तिथि के अनुसार बोलती है। इन सामग्रियों में व्यक्त किए गए किसी भी अनुमान, अनुमान, पूर्वानुमान, लक्ष्य, संभावनाएं और/या राय बिना किसी सूचना के परिवर्तन के अधीन हैं और दूसरों द्वारा व्यक्त की गई राय के विपरीत या भिन्न हो सकते हैं। अतिरिक्त महत्वपूर्ण जानकारी के लिए कृपया https://a16z.com/disclosures देखें।