Wat zijn kogelwerende middelen? Gids voor vertrouwelijke cryptovalutatransacties

Privacy van transacties is een integraal onderdeel van cryptocurrencies en een van de belangrijkste voor veel gebruikers. Hoewel Bitcoin door de reguliere media vaak wordt gekenmerkt als een anoniem medium voor waardeoverdracht, is de waarheid dat Bitcoin slechts pseudo-anoniem is.

Het Bitcoin-grootboek is: volledig transparant en hoewel gebruikersidentiteiten verborgen zijn achter alfanumerieke adressen, zijn er manieren om adressen en identiteiten te volgen en correlaties aan te brengen. De verduistering van identiteiten zorgt voor een zekere mate van anonimiteit voor gebruikers, maar de bedragen die bij elke transactie worden overgemaakt, zijn zichtbaar, waardoor een zekere mate van vertrouwelijkheid ontbreekt.

Als oplossing voor dit probleem hebben sommige op privacy gerichte cryptocurrencies het gebruik van Vertrouwelijke transacties (CT's), die het in transacties overgedragen bedrag verdoezelen met behulp van verplichtingen (in het bijzonder Pedersen toezeggingen) tot het bedrag.

Zonder de openbare transparantie van overgedragen waarden wanneer CT's worden geïmplementeerd, vereist het verifiëren dat transacties geldig zijn het gebruik van: bereik bewijzen om ervoor te zorgen dat de som van de transactie-inputs groter is dan de som van de transactie-outputs en dat alle transactiewaarden positief zijn.

Deze bereikbewijzen worden aan elke transactie gehecht en resulteren in veel grotere transactiegroottes die kunnen leiden tot transacties met meerdere outputs die meerdere bereikbewijzen nodig hebben, waardoor de transactieomvang verder toeneemt en de verificatie en opslagefficiëntie afnemen. Binnenkomen kogelwerende middelen.

Kogelwerende achtergrond

Bulletproofs werden in december 2017 voorgesteld door Stanford's Applied Cryptography Group (ACG) in een academisch papier met bijdragen van het University College of London en Blockstream.

Kogelvrij zijn "een nieuw nul-kennisargument van een kennissysteem, om te bewijzen dat een geheime toegewijde waarde in een bepaald interval ligt." De kogelvrije naam wordt toegeschreven aan Shashank Agrawal omdat hij ze beschrijft als "kort als een kogel, met kogelvrije veiligheidsaannames."

Geprezen als een efficiënte en nuttige vooruitgang bij het verifiëren van verplichtingen van CT's, zijn bulletproofs korte, niet-interactieve zero-knowledge proofs waarvoor geen vertrouwde setup vereist is. Ze zijn in feite een veel efficiëntere en veiligere vorm van bereikbewijzen die gebruik maken van zero-knowledge proofing-methoden zoals te zien in zk-SNARKS en STARK's, maar vereisen niet de vertrouwde installatie zoals vereist bij zk-Snarks en zijn niet zo groot als STARK's. Hun toepassing kan nuttig zijn in een verscheidenheid aan verschillende systemen en situaties, waarvan vele direct in de academische paper worden beschreven.

Bulletproofs zijn met name geschikt voor de gedistribueerde en betrouwbare aard van blockchains en kunnen aanzienlijke kostenbesparingen op de lange termijn, enorme ruimtebesparingen, lagere kosten en snellere verificatietijden opleveren dan de huidige implementaties van range proofs. Voordat je echter ingaat op hoe bulletproofs werken, is het belangrijk om eerst twee termen te begrijpen, range proofs en zero-knowledge proofs.

Bereik bewijzen

In principe zijn bereikbewijzen een vorm van verbintenisvalidatie waarmee iedereen kan verifiëren dat een toezegging een bedrag binnen een bepaald bereik vertegenwoordigt, zonder iets anders over de waarde ervan te onthullen (bekend als de geheime waarde).

Een eenvoudig bereikbewijs kan bijvoorbeeld worden gebruikt om te valideren dat iemands leeftijd tussen 28 en 52 jaar oud is zonder de exacte leeftijd van de persoon te onthullen.

Dit heeft belangrijke gevolgen voor de validatie van vertrouwelijke transacties. Binnen een op anonimiteit gerichte cryptocurrency zoals Monero, wordt het gebruikt om te verifiëren dat een betalingsbedrag positief is, zonder het in de transactie overgedragen bedrag daadwerkelijk te onthullen.

Meer specifiek, in een op transactie-output gebaseerd systeem, bewijst het dat de toegezegde inputs groter zijn dan de som van de toegezegde outputs zonder de vastgelegde inputs of outputs daadwerkelijk te onthullen.

Volgens de toenmalige Stanford-krant: "Alle huidige implementaties van vertrouwelijke transacties gebruiken bereikbewijzen over vastgelegde waarden, waarbij de bewijsgrootte lineair is in n."

Het belangrijkste onderdeel met betrekking tot kogelwerendheid is de "lineaire in" n", wat betekent dat bereikproeven lineair in grootte schalen met het aantal uitgangen en bits in het bereik van het bewijs.

Het resultaat is dat in CT's de bereikbewijzen het grootste deel van de omvang van een transactie innemen. Vóór bulletproofs was dit een grote zorg, aangezien de grootte van een blockchain van een op anonimiteit gerichte cryptocurrency die CT's gebruikt, zoals Monero, veel sneller groeit dan een typische cryptocurrency die geen CT's gebruikt.

Uiteindelijk zou de grootte van een blockchain die CT's gebruikt, erg onpraktisch worden voor veel gebruikers die niet over de vereiste schijfruimte beschikken om de hele blockchain te downloaden, wat indirect de decentralisatie van volledige knooppunten beïnvloedt.

Zero-Knowledge-bewijzen

Als je dit leest, heb je waarschijnlijk al eerder gehoord van nulkennisbewijzen in het cryptocurrency-rijk, omdat ze een zeer interessant concept vertegenwoordigen dat gebaseerd is op wat intimiderende wiskunde. Het concept is moeilijk te vatten, maar de implementatie ervan in combinatie met het feit dat academische instellingen het concept verder ontwikkelen, zoals toegepast op cryptocurrencies, is een zeer bemoedigend teken voor de industrie.

In wezen is een nulkennisbewijs een methode in cryptografie waarbij een partij aan een andere partij kan bewijzen dat ze de waarde van een variabele kennen y zonder enige andere informatie over te brengen, afgezien van het feit dat ze de waarde kennen van y.

Traditioneel houdt dit in dat de verificateur en de bewijzer een vorm van interactie tussen hen hebben. Kogelvrij zijn echter: niet-interactief nul-kennis argumenten van kennis, die een specifieke variant zijn van zero-knowledge proofs waarbij geen interactie nodig is tussen de prover en de verificateur.

Dit maakt het mogelijk te bewijzen dat een vastgelegde waarde in een specifiek bereik ligt door te vertrouwen op de aanname van discrete logaritmen en de te gebruiken Fiat-Shamir heuristiek om ze niet-interactief te maken.

Dus wat zijn kogelwerende middelen?

Terug naar kogelwerendheid. Zoals zojuist vermeld, vertrouwen kogelwerende middelen op de discrete logaritme-aanname voor beveiliging en gebruiken ze de Fiat-Shamir-heuristiek om niet-interactief te worden.

Dit leidt tot bulletproofs die alleen logaritmisch in omvang toenemen met het aantal uitgangen en de grootte van het bewijs van het bereik. Het resultaat is dat de omvang van transacties die CT's implementeren aanzienlijk kan worden verminderd.

Monero stelt dat ze een vermindering van 80% in transactiegrootte hebben bereikt het gebruik van bulletproofs, wat ook leidt tot een verlaging van 80% van de kosten.

Niet alleen kunnen bulletproofs helpen om de omvang van transacties met behulp van CT's te verminderen, ze stellen de prover in staat om meerdere bereikbewijzen voor transacties met meerdere outputs samen te voegen in een enkel, kort bewijs.

In plaats van transacties met meerdere outputs die een bereikbewijs voor elke output vereisen, kunnen ze allemaal worden samengevoegd tot één. Verder is de validatie van kogelwerende middelen efficiënter, niet alleen in omvang, maar ook in tijd.

Buiten zk-Snarks, die sneller verifiëren dan bulletproofs, is de tijd om een ​​bulletproof te verifiëren lager dan bestaande range proofs, wat leidt tot snellere blockchain-validatie.

Belangrijk is dat bulletproofs geen vertrouwde setup nodig hebben. Een vertrouwde setup is een controversiële eenmalige setup die vereist is bij het gebruik van de zero-knowledge proof zk-SNARKS.

Het probleem is dat deze eenmalige installatie vereist dat gebruikers impliciet moeten vertrouwen op degene die de sleutels voor de eenmalige installatie heeft gemaakt om ze te vernietigen nadat ze klaar zijn, anders kunnen ze worden gebruikt om een ​​te maken onbeperkt bedrag van de native token, onopgemerkt.  Het is duidelijk dat er ernstige zorgen zijn met een vertrouwde installatie.

De bewijzen van bulletproofs zijn veel korter dan andere range proofs en “laat toe dat input Pedersen-toezeggingen zijn voor elementen van de getuige."

De resulterende implicaties van het feit dat ze korte, niet-interactieve zero-knowledge proofs zijn, maken het mogelijk om bulletproofs te optimaliseren en toe te passen op verschillende situaties, zoals het ondersteunen van efficiënte Multi-party computation (MPC)-protocollen en het implementeren van complexe, privacy-beschermende slimme contracten.

Toepassingen van Bulletproofs

Bulletproofs ondersteunen efficiënt een eenvoudig MPC-protocol dat “stelt meerdere partijen met geheime geëngageerde waarden in staat om gezamenlijk een enkel klein bereikbewijs te genereren voor al hun waarden, zonder hun geheime waarden aan elkaar te onthullen."

In wezen, met een complexe vertrouwelijke transactie die input heeft van meerdere partijen, zou hun voorgestelde MPC-protocol in staat zijn om alle vereiste bewijzen samen te voegen tot een enkel, kort bewijs voor de hele transactie.

De efficiëntie en besparingen die hierdoor worden geboden, kunnen niet worden onderschat.

Het Provisions-protocol is een innovatie waarmee Bitcoin-uitwisselingen kunnen bewijzen dat ze solvabel zijn zonder enige andere informatie te onthullen.

Dit is een belangrijke stap bij het verifiëren van de solvabiliteit van beurzen die anders als onbetrouwbaar en insolvent worden beschouwd, zonder dat de beurzen hun boeken daadwerkelijk voor het publiek hoeven te openen.

Het protocol is gebaseerd op bereikbewijzen "om te voorkomen dat een beurs neprekeningen met negatieve saldi invoegt.Deze proefafmetingen zijn erg groot en lineair in het aantal klanten.

Bulletproofs vormen een natuurlijke vervanging voor de niet-interactieve zero-knowledge-bewijzen die worden gebruikt in het Provisions-protocol en kunnen de grootte van de totale bewijsgrootte voor de uitwisseling tot bijna 300 keer verkleinen.

Zeer expressieve slimme contracten in Ethereum zijn openbaar en bieden geen mate van privacy aan de parameters van de contracten.

Niet-interactieve nulkennisbewijzen zijn voorgesteld als een mechanisme voor privacy binnen contracten, maar de berekening van een contract is beperkt en duur over het blockchain-netwerk. SNARK's zijn een andere mogelijke oplossing, maar vereisen problematisch een vertrouwde installatie. Je kunt zien waar dit naartoe gaat.

Bulletproofs, korte bewijzen die geen vertrouwde setup vereisen, passen uitstekend bij de rol van privacybehoud binnen expressieve slimme contracten.

Hoewel bulletproofs in dit opzicht als straight drop-in niet goedkoop zijn, in combinatie met een incentive delegatiemodel, hoeft de validiteit van een proof niet te worden uitgevoerd, tenzij een partij de verificatie ervan aanvecht.

Partijen die foutieve uitdagingen presenteren zullen worden gestraft, en verder kan dit ontwerp worden ondersteund met efficiënte multi-party berekeningen.

Conclusie

Bulletproofs zijn een belangrijke en breed toepasbare innovatie in een belangrijk onderzoeksgebied van zero-knowledge proofs en andere protocollen die worden gebruikt om transactiebedragen te beveiligen en te verdoezelen.

De inherente afweging met vertrouwelijke transacties is hun grotere omvang. Met bulletproofs is de mogelijkheid om deze afweging aanzienlijk te verminderen met behoud van privacy en veiligheid een grote stap voorwaarts.

Naarmate er meer nadruk wordt gelegd op de onderliggende protocollen die worden gebruikt om transacties te beveiligen en anonimiteit te bieden, zal het fascinerend zijn om te zien hoe de academische wereld reageert en technologieën blijft ontwikkelen op het snijvlak van een veld dat al vooroploopt op het gebied van innovatie.