O que são à prova de balas? Guia para transações confidenciais de criptomoeda

Privacidade das transações é um componente integral das criptomoedas e um dos mais importantes para muitos usuários. Embora o Bitcoin seja frequentemente caracterizado como um meio anônimo de transferência de valor pelos principais meios de comunicação, a verdade é que o Bitcoin é apenas pseudoanônimo.

O livro de Bitcoin é totalmente transparente e embora as identidades dos usuários estejam ocultas por trás de endereços alfanuméricos, existem maneiras de rastrear e fazer correlações entre endereços e identidades. A ofuscação de identidades proporciona certo anonimato aos usuários, porém, os valores transferidos em cada transação são visíveis, deixando um certo grau de confidencialidade ausente.

Como solução para esse problema, algumas criptomoedas com foco em privacidade adotaram o uso de Transações Confidenciais (CTs), que ofuscam o valor transferido em transações usando compromissos (especificamente Compromissos Pedersen) ao montante.

Sem a transparência pública dos valores transferidos quando da implementação dos CTs, a verificação da validade das transações requer o uso de provas de alcance para garantir que a soma das entradas da transação seja maior que a soma das saídas da transação, bem como que todos os valores da transação sejam positivos.

Essas provas de intervalo são anexadas a cada transação e resultam em tamanhos de transação muito maiores que podem levar a transações com várias saídas que precisam de várias provas de intervalo, aumentando ainda mais o tamanho da transação e diminuindo a eficiência da verificação e do armazenamento. Digitar à prova de balas.

Fundo à prova de balas

Os à prova de balas foram propostos pelo Applied Cryptography Group (ACG) de Stanford em dezembro de 2017 em um trabalho acadêmico com contribuições da University College of London e Blockstream.

Os à prova de balas são “um novo argumento de conhecimento zero do sistema de conhecimento, para provar que um valor secreto comprometido está em um determinado intervalo”. O nome à prova de balas é creditado a Shashank Agrawal por descrevê-los como sendo “curto como uma bala, com suposições de segurança à prova de balas."

Elogiado como um avanço eficiente e útil na verificação de compromissos de CTs, os bulletproofs são provas curtas e não interativas de conhecimento zero que não exigem uma configuração confiável. Eles são efetivamente uma forma muito mais eficiente e segura de provas de alcance que utilizam métodos de prova de conhecimento zero, como visto em zk-SNARKS e STARKs, mas não exigem a configuração confiável conforme exigido com zk-SNARKS e não são tão grandes quanto os STARKs. Sua aplicação pode ser benéfica em uma variedade de sistemas e situações diferentes, muitos dos quais são descritos diretamente no trabalho acadêmico.

Bulletproofs são especialmente adequados para a natureza distribuída e sem confiança das blockchains e podem gerar economias de custos substanciais a longo prazo, enormes economias de espaço, taxas mais baixas e tempos de verificação mais rápidos do que as implementações atuais de provas de alcance. Antes de mergulhar em como funcionam as provas de balas, é importante entender dois termos primeiro, provas de alcance e provas de conhecimento zero.

Provas de alcance

Basicamente, as provas de intervalo são uma forma de validação de compromisso que permite que qualquer pessoa verifique se um compromisso representa um valor dentro de um intervalo especificado, sem revelar mais nada sobre seu valor (conhecido como valor secreto).

Por exemplo, uma simples prova de intervalo pode ser usada para validar que a idade de alguém está entre 28 e 52 anos sem realmente revelar a idade exata da pessoa.

Isso tem ramificações importantes para a validação de transações confidenciais. Dentro de uma criptomoeda focada no anonimato, como o Monero, ele é usado para verificar se um valor de pagamento é positivo, sem realmente revelar o valor transferido na transação.

Mais especificamente, em um sistema baseado em saída de transação, ele prova que as entradas confirmadas são maiores que a soma das saídas confirmadas sem realmente revelar as entradas ou saídas confirmadas.

De acordo com o artigo de Stanford na época, “Todas as implementações atuais de transações confidenciais usam provas de intervalo sobre valores comprometidos, onde o tamanho da prova é linear em n."

A parte chave em relação à prova de balas é o “linear em n”, o que significa que as provas de intervalo escalam linearmente em tamanho com o número de saídas e bits no intervalo da prova.

O resultado é que em CTs, as provas de intervalo ocupam a maior parte do tamanho de uma transação. Antes dos bulletproofs, essa era uma grande preocupação, pois o tamanho de uma blockchain de uma criptomoeda focada no anonimato que emprega CTs, como Monero, cresce muito mais rápido do que uma criptomoeda típica que não utiliza CTs.

Eventualmente, o tamanho de um blockchain utilizando CTs se tornaria muito impraticável para muitos usuários que não possuem o espaço em disco necessário para baixar todo o blockchain, afetando indiretamente a descentralização de nós completos.

Provas de zero conhecimento

Se você está lendo isso, provavelmente já ouviu falar de provas de conhecimento zero no reino das criptomoedas antes, pois elas representam um conceito muito interessante que se baseia em alguma matemática intimidadora. O conceito é difícil de entender, mas sua implementação combinada com o fato de que as instituições acadêmicas estão avançando ainda mais no conceito, aplicado às criptomoedas, é um sinal muito encorajador para o setor.

Essencialmente, uma prova de conhecimento zero é um método em criptografia em que uma parte pode provar a outra parte que conhece o valor de uma variável y sem transmitir qualquer outra informação além do fato de que eles sabem o valor de y.

Tradicionalmente, isso implica que o verificador e o provador tenham alguma forma de interação entre eles. No entanto, à prova de balas são não interativo conhecimento zero argumentos de conhecimento, que são uma variante específica de provas de conhecimento zero onde nenhuma interação é necessária entre o provador e o verificador.

Isso permite provar que um valor confirmado está em um intervalo específico confiando na suposição de logaritmo discreto e usando o Heurística Fiat-Shamir para torná-los não interativos.

Então, o que são à prova de balas?

De volta à prova de balas. Como acabamos de mencionar, os bulletproofs dependem da suposição de logaritmo discreto para segurança e usam a heurística Fiat-Shamir para se tornarem não interativos.

Isso faz com que as prova de balas aumentem de tamanho apenas logaritmicamente com o número de saídas e o tamanho da prova do intervalo. O resultado é que o tamanho das transações que implementam CTs pode ser substancialmente reduzido.

Monero afirma que eles atingiram uma redução de 80% no tamanho da transação utilizando à prova de balas que leva a uma redução de 80% nas taxas também.

Os bulletproofs não só podem ajudar a reduzir o tamanho das transações que empregam CTs, mas também permitem que o provador agregue várias provas de intervalo para transações com várias saídas em uma única prova curta.

Em vez de transações com várias saídas que exigem uma prova de intervalo para cada saída, todas elas podem ser agregadas em uma. Além disso, a validação de blindagens é mais eficiente não apenas em tamanho, mas em tempo.

Fora de zk-SNARKS, que verificam mais rápido que as provas de balas, o tempo para verificar uma prova de balas é menor do que as provas de alcance existentes, levando a uma validação mais rápida do blockchain.

É importante ressaltar que os bulletproofs não exigem uma configuração confiável. Uma configuração confiável é uma configuração única controversa que é necessária ao usar o zk-SNARKS à prova de conhecimento zero.

O problema é que essa configuração única exige que os usuários confiem implicitamente em quem criou as chaves para a configuração única para destruí-las depois de concluídas, caso contrário, elas podem ser usadas para criar uma ilimitado quantidade do token nativo, não detectado.  Obviamente, existem sérias preocupações com uma configuração confiável.

As provas à prova de balas são muito mais curtas do que outras provas de alcance e “permitir que as entradas sejam compromissos de Pedersen com elementos da testemunha."

As implicações resultantes de serem provas de conhecimento zero curtas e não interativas permitem que as prova de balas sejam otimizadas e aplicadas a uma variedade de situações, como suporte a protocolos eficientes de computação multipartidária (MPC), bem como a implementação de contratos inteligentes complexos e que preservam a privacidade.

Aplicações de à prova de balas

Bulletproofs suportam eficientemente um protocolo MPC simples que “permite que várias partes com valores secretos comprometidos gerem conjuntamente uma única prova de pequeno intervalo para todos os seus valores, sem revelar seus valores secretos uns aos outros."

Essencialmente, com uma transação confidencial complexa que tem entradas de várias partes, o protocolo MPC proposto seria capaz de agregar todas as provas necessárias em uma única prova curta para toda a transação.

A eficiência e a economia proporcionadas por isso não podem ser subestimadas.

O protocolo Provisions é uma inovação que permite que as exchanges de Bitcoin provem que são solventes sem revelar nenhuma outra informação.

Este é um passo importante para verificar a solvência de bolsas que de outra forma seriam consideradas não confiáveis ​​e insolventes, sem que as bolsas realmente tenham que abrir seus livros ao público.

O protocolo se baseia em provas de alcance “para evitar que uma exchange insira contas falsas com saldos negativos.” Esses tamanhos de prova são muito grandes e lineares no número de clientes.

Bulletproofs representam um substituto natural para as provas de conhecimento zero não interativas usadas no protocolo Provisions e podem reduzir o tamanho geral da prova para a troca em até quase 300 vezes.

Os contratos inteligentes altamente expressivos no Ethereum são públicos e não fornecem um grau de privacidade aos parâmetros dos contratos.

Provas não interativas de conhecimento zero foram propostas como um mecanismo de privacidade dentro dos contratos, no entanto, a computação de um contrato é limitada e cara na rede blockchain. Os SNARKs são outra solução em potencial, mas, problematicamente, exigem uma configuração confiável. Você pode ver onde isso está indo.

Bulletproofs, sendo provas curtas que não exigem uma configuração confiável, são uma ótima opção para o papel de preservação da privacidade em contratos inteligentes expressivos.

Embora como um drop-in direto, os bulletproofs não sejam baratos a esse respeito, em combinação com um modelo de delegação de incentivo, a validade de uma prova não precisa ser realizada, a menos que uma parte conteste sua verificação.

As partes que apresentarem desafios defeituosos serão punidas e, além disso, esse design pode ser suportado com computação multipartidária eficiente.

Conclusão

Bulletproofs são uma inovação importante e amplamente aplicável em um importante campo de pesquisa de provas de conhecimento zero e outros protocolos usados ​​para proteger e ofuscar os valores das transações.

A compensação inerente com transações confidenciais tem sido seu tamanho maior. Com a prova de balas, a oportunidade de reduzir significativamente essa troca, preservando a privacidade e a segurança, é um grande passo à frente.

À medida que mais ênfase é colocada nos protocolos subjacentes usados ​​para proteger transações e fornecer anonimato, será fascinante observar como a academia responde e continua a desenvolver tecnologias na vanguarda de um campo que já está na vanguarda da inovação.