Что такое пуленепробиваемость? Руководство по конфиденциальным транзакциям с криптовалютой

Конфиденциальность транзакций является неотъемлемым компонентом криптовалют и одним из самых важных для многих пользователей. Хотя основные средства массовой информации часто характеризуют Биткойн как анонимное средство передачи стоимости, правда в том, что Биткойн является лишь псевдоанонимным.

Бухгалтерская книга Биткойн полностью прозрачный и хотя идентификаторы пользователей скрыты за буквенно-цифровыми адресами, существуют способы отслеживания и установления корреляций между адресами и идентификаторами. Сокрытие личности обеспечивает некоторую степень анонимности для пользователей, однако суммы, переводимые в каждой транзакции, видны, что оставляет определенную степень конфиденциальности утерянной.

В качестве решения этой проблемы некоторые криптовалюты, ориентированные на конфиденциальность, приняли использование Конфиденциальные транзакции (CT), которые скрывают сумму, переданную в транзакциях с использованием обязательств (В частности, Обязательства Педерсена) к сумме.

Без публичной прозрачности передаваемых значений при реализации CT проверка правильности транзакций требует использования пруфы диапазона чтобы сумма входов транзакции была больше, чем сумма выходов транзакции, а также чтобы все значения транзакции были положительными.

Эти доказательства диапазона прикрепляются к каждой транзакции и приводят к значительному увеличению размера транзакций, что может привести к транзакциям с несколькими выходами, требующими нескольких доказательств диапазона, еще больше увеличивая размер транзакции и снижая эффективность проверки и хранения. Войти пуленепробиваемые.

Пуленепробиваемый фон

Bulletproofs были предложены Стэнфордской группой прикладной криптографии (ACG) в декабре 2017 г. академическая работа при участии Университетского колледжа Лондона и Blockstream.

Пуленепробиваемые «новый аргумент системы знаний с нулевым разглашением, чтобы доказать, что секретное зафиксированное значение находится в заданном интервале». Пуленепробиваемое имя приписывают Шашанку Агравалу за то, что он описал их как «короткий, как пуля, с пуленепробиваемыми предположениями о безопасности.

Bulletproofs, получившие высокую оценку как эффективный и полезный прогресс в проверке обязательств CT, представляют собой короткие неинтерактивные доказательства с нулевым разглашением, которые не требуют надежной настройки. По сути, они представляют собой гораздо более эффективную и безопасную форму доказательств диапазона, в которой используются методы проверки с нулевым разглашением, как это видно в zk-SNARKS и STARK, но не требуется доверенная настройка, как это требуется с ZK-SNARKS и не такие большие, как STARK. Их применение может быть полезным в различных системах и ситуациях, многие из которых описаны непосредственно в научной статье.

Bulletproofs особенно подходят для распределенной и ненадежной природы блокчейнов и могут обеспечить существенную долгосрочную экономию средств, огромную экономию места, более низкие сборы и более быстрое время проверки, чем текущие реализации доказательств диапазона. Прежде чем углубляться в то, как работают пуленепробиваемые доказательства, важно сначала понять два термина: доказательства диапазона и доказательства с нулевым разглашением.

Доказательства диапазона

По сути, доказательства диапазона — это форма проверки обязательств, которая позволяет любому убедиться, что обязательство представляет собой сумму в указанном диапазоне, не раскрывая ничего другого о его значении (известном как секретное значение).

Например, простое доказательство диапазона можно использовать для подтверждения того, что чей-то возраст составляет от 28 до 52 лет, без фактического раскрытия точного возраста человека.

Это имеет важные последствия для проверки конфиденциальных транзакций. В криптовалюте, ориентированной на анонимность, такой как Monero, он используется для проверки положительности суммы платежа, фактически не раскрывая сумму, переведенную в транзакции.

В частности, в системе, основанной на транзакционных выходных данных, он доказывает, что зафиксированные входные данные больше, чем сумма зафиксированных выходных данных, без фактического раскрытия зафиксированных входных или выходных данных.

Согласно стэнфордской газете того времени, «Все текущие реализации конфиденциальных транзакций используют доказательства диапазона по зафиксированным значениям, где размер доказательства линейен по n.

Ключевой частью в отношении пуленепробиваемости является «линейность в н», Это означает, что доказательства диапазона масштабируются линейно по размеру с количеством выходных данных и битов в диапазоне доказательства.

В результате в CT доказательства диапазона занимают большую часть размера транзакции. До появления пуленепробиваемых устройств это было серьезной проблемой, поскольку размер блокчейна ориентированной на анонимность криптовалюты, использующей CT, такой как Monero, растет намного быстрее, чем типичная криптовалюта, не использующая CT.

В конце концов, размер блокчейна, использующего CT, станет очень непрактичным для многих пользователей, у которых нет необходимого дискового пространства для загрузки всего блокчейна, что косвенно повлияет на децентрализацию полных узлов.

Доказательства с нулевым знанием

Если вы читаете это, то вы, вероятно, уже слышали о доказательствах с нулевым разглашением в сфере криптовалют, поскольку они представляют собой очень интересную концепцию, основанную на пугающей математике. Концепцию сложно понять, но их реализация в сочетании с тем фактом, что академические институты продолжают развивать эту концепцию применительно к криптовалютам, является очень обнадеживающим признаком для отрасли.

По сути, доказательство с нулевым разглашением — это метод в криптографии, при котором одна сторона может доказать другой стороне, что она знает значение переменной. y не сообщая никакой другой информации, кроме того факта, что они знают ценность y.

Традиционно это подразумевает, что верификатор и доказывающий имеют некоторую форму взаимодействия между собой. Однако пуленепробиваемые неинтерактивный с нулевым знанием аргументы знания, которые представляют собой особый вариант доказательств с нулевым разглашением, когда взаимодействие между доказывающим и проверяющим не требуется.

Это позволяет доказать, что зафиксированное значение находится в определенном диапазоне, полагаясь на предположение дискретного логарифма и используя Эвристика Fiat-Shamir сделать их неинтерактивными.

Так что же такое пуленепробиваемые?

Вернемся к пуленепробиваемым. Как только что упоминалось, пуленепробиваемые устройства полагаются на предположение о дискретном логарифме для обеспечения безопасности и используют эвристику Fiat-Shamir, чтобы стать неинтерактивными.

Это приводит к увеличению размера пуленепробиваемости только логарифмически с количеством выходных данных и размером доказательства диапазона. В результате размер транзакций, реализующих CT, может быть существенно уменьшен.

Monero заявляет, что они достигли сокращения размера транзакции на 80%. использование пуленепробиваемых материалов, что также приводит к снижению сборов на 80%.

Пуленепробиваемость не только может помочь уменьшить размер транзакций, использующих CT, но и позволяет доказывающей стороне объединять несколько доказательств диапазона для транзакций с несколькими выходами в одно короткое доказательство.

Вместо транзакций с несколькими выходами, требующих проверки диапазона для каждого выхода, все они могут быть объединены в один. Кроме того, проверка пуленепробиваемости более эффективна не только по размеру, но и по времени.

Вне ZK-SNARKS, которые проверяют быстрее, чем пуленепробиваемые, время проверки пуленепробиваемых меньше, чем существующие доказательства диапазона, что приводит к более быстрой проверке блокчейна.

Важно отметить, что пуленепробиваемые устройства не требуют доверенной установки. Надежная установка — это неоднозначная одноразовая установка, которая требуется при использовании zk-SNARKS с защитой от нулевого разглашения.

Проблема в том, что эта одноразовая настройка требует, чтобы пользователи неявно доверяли тому, кто создал ключи для одноразовой настройки, чтобы уничтожить их после их завершения, в противном случае их можно использовать. для создания Неограниченный количество нативного токена, незамеченной.  Очевидно, что есть серьезные проблемы с доверенной настройкой.

Доказательства пуленепробиваемости намного короче, чем другие доказательства дальности, и «позволяют исходным данным быть обязательствами Педерсена по отношению к элементам свидетеля.

Вытекающие из этого последствия того, что они являются короткими, неинтерактивными доказательствами с нулевым разглашением, позволяют оптимизировать пуленепробиваемые доказательства и применять их к различным ситуациям, таким как поддержка эффективных протоколов многосторонних вычислений (MPC), а также реализация сложных смарт-контрактов, сохраняющих конфиденциальность.

Применение пуленепробиваемых материалов

Bulletproofs эффективно поддерживает простой протокол MPC, который «позволяет нескольким сторонам с секретными зафиксированными значениями совместно генерировать одно небольшое доказательство диапазона для всех своих значений, не раскрывая свои секретные значения друг другу.

По сути, при сложной конфиденциальной транзакции, в которую входят входные данные от нескольких сторон, предлагаемый ими протокол MPC сможет объединить все необходимые доказательства в одно короткое доказательство для всей транзакции.

Эффективность и экономия, обеспечиваемые этим, нельзя недооценивать.

Протокол Provisions — это инновация, которая позволяет биржам биткойнов доказывать свою платежеспособность, не раскрывая никакой другой информации.

Это важный шаг в проверке платежеспособности бирж, которые в противном случае считались бы ненадежными и неплатежеспособными, без фактического открытия биржами своих книг для общественности.

Протокол основан на доказательствах дальности».чтобы обмен не вставлял поддельные учетные записи с отрицательным балансом.Эти размеры доказательств очень велики и линейны по количеству клиентов.

Bulletproofs представляют собой естественную замену неинтерактивным доказательствам с нулевым разглашением, используемым в протоколе Provisions, и могут уменьшить размер общего размера доказательства для обмена почти в 300 раз.

Высоковыразительные смарт-контракты в Ethereum являются общедоступными и не обеспечивают определенной степени конфиденциальности параметров контрактов.

Неинтерактивные доказательства с нулевым разглашением были предложены в качестве механизма конфиденциальности в контрактах, однако вычисления контракта ограничены и дороги в сети блокчейна. SNARK — еще одно потенциальное решение, но, к сожалению, требующее надежной установки. Вы можете видеть, куда это идет.

Пуленепробиваемые доказательства, являющиеся короткими доказательствами, не требующими доверенной настройки, отлично подходят для роли сохранения конфиденциальности в выразительных смарт-контрактах.

Несмотря на то, что пуленепробиваемые доказательства в этом отношении недешевы, в сочетании с моделью поощрительного делегирования подтверждение достоверности доказательства не требуется, если только сторона не оспаривает его проверку.

Стороны, представляющие ошибочные вызовы, будут наказаны, и, кроме того, этот дизайн может поддерживаться эффективными многосторонними вычислениями.

Заключение

Bulletproofs — важная и широко применимая инновация в важной области исследований доказательств с нулевым разглашением и других протоколов, используемых для защиты и сокрытия сумм транзакций.

Неотъемлемым компромиссом с конфиденциальными транзакциями был их больший размер. Благодаря пуленепробиваемым продуктам возможность значительно уменьшить этот компромисс при сохранении конфиденциальности и безопасности является важным шагом вперед.

Поскольку все больше внимания уделяется базовым протоколам, используемым для защиты транзакций и обеспечения анонимности, будет интересно наблюдать за тем, как академические круги реагируют и продолжают развивать технологии на переднем крае области, которая уже находится в авангарде инноваций.