พิธีติดตั้งบนเครือข่ายที่เชื่อถือได้

พิธีการติดตั้งที่เชื่อถือได้เป็นหนึ่งในความเจ็บปวดและความตื่นเต้นของชุมชนคริปโต เป้าหมายของพิธีคือการสร้างคีย์เข้ารหัสที่น่าเชื่อถือสำหรับการรักษาความปลอดภัยกระเป๋าสตางค์เข้ารหัสลับ โปรโตคอลบล็อกเชน หรือระบบพิสูจน์ความรู้ที่เป็นศูนย์ ขั้นตอน (บางครั้งมีสีสัน) เหล่านี้มักเป็นรากฐานของความไว้วางใจสำหรับการรักษาความปลอดภัยของโครงการที่กำหนด ดังนั้นจึงมีความสำคัญอย่างยิ่งในการดำเนินการให้ถูกต้อง

โครงการบล็อคเชนดำเนินพิธีด้วยรูปแบบที่สร้างสรรค์มากมาย – เกี่ยวข้องกับเครื่องเป่าลม ฝุ่นกัมมันตภาพรังสี และเครื่องบิน – แต่ทั้งหมดมีบางอย่างที่เหมือนกัน: ทั้งหมดเกี่ยวข้องกับผู้ประสานงานแบบรวมศูนย์ ด้วยงานนี้ เราสาธิตวิธีกระจายอำนาจกระบวนการโดยแทนที่ผู้ประสานงานจากส่วนกลางด้วยสัญญาอัจฉริยะ นอกจากนี้ เรากำลังเปิดห้องสมุดที่อนุญาตให้ทุกคนทำพิธีดังกล่าวได้ ซึ่งเป็นที่รู้จักในหมู่ผู้ปฏิบัติงานด้านการเข้ารหัสลับ a เคท-ซาเวรูชา-โกลด์เบิร์ก (KZG) หรือพิธี “พลังแห่งเอกภาพ” – บนเครือข่าย Ethereum ทุกคนสามารถเข้าร่วมได้โดยชำระค่าธรรมเนียมการทำธุรกรรม!

แนวทางการกระจายอำนาจของเรามีข้อจำกัด แต่ก็ยังมีประโยชน์ เนื่องจากข้อจำกัดของข้อมูลแบบ on-chain ในปัจจุบัน ขนาดของพารามิเตอร์การเข้ารหัสจะต้องสั้น กล่าวคือ ไม่เกิน 64 KB แต่จำนวนผู้เข้าร่วมไม่มีขีดจำกัด และผู้คนสามารถส่งเงินบริจาคได้ตลอดไป แอปพลิเคชันสำหรับพารามิเตอร์สั้นๆ เหล่านี้รวมถึง SNARK ที่ไม่มีความรู้เล็กน้อย การสุ่มตัวอย่างความพร้อมใช้งานของข้อมูลและ ต้นไม้ Verkle.

ประวัติและกลไกของพิธีติดตั้งที่เชื่อถือได้

ในพิธีการติดตั้งที่เชื่อถือได้โดยทั่วไป กลุ่มผู้เข้าร่วมจะร่วมมือกันสร้างชุดของพารามิเตอร์การเข้ารหัส ฝ่ายที่เข้าร่วมแต่ละฝ่ายใช้ข้อมูลลับที่สร้างขึ้นในเครื่อง เพื่อสร้างข้อมูลที่ช่วยสร้างพารามิเตอร์เหล่านี้ การตั้งค่าที่เหมาะสมช่วยให้แน่ใจว่าความลับจะไม่รั่วไหล ความลับนั้นถูกใช้ตามที่กำหนดโดยโปรโตคอลเท่านั้น และความลับเหล่านี้จะถูกทำลายอย่างสมบูรณ์เมื่อสิ้นสุดพิธี ตราบใดที่อย่างน้อยฝ่ายหนึ่งในพิธีปฏิบัติตนอย่างซื่อสัตย์ ไม่ประนีประนอม และทำลายความลับในท้องที่ การจัดฉากทั้งหมดก็ถือว่าปลอดภัย (แน่นอนว่าถือว่าคณิตศาสตร์ถูกต้องและโค้ดไม่มีข้อบกพร่อง)

พิธีกรรมที่โดดเด่นที่สุดคือ ดำเนินการโดย Zcash, โครงการบล็อกเชนที่เน้นความเป็นส่วนตัว ผู้เข้าร่วมในพิธีเหล่านี้สร้างพารามิเตอร์สาธารณะที่ออกแบบมาเพื่อให้ผู้ใช้ Zcash สามารถสร้างและตรวจสอบธุรกรรม crypto ส่วนตัวได้ ผู้เข้าร่วม 2016 คนทำพิธี Zcash ครั้งแรกที่ชื่อว่า Sprout ในปี XNUMX สองปีต่อมา Ariel Gabizon นักวิจัยด้านการเข้ารหัสลับ ซึ่งปัจจุบันเป็นหัวหน้านักวิทยาศาสตร์ที่ แอซเท็กพบ แมลงทำลายล้าง ในการออกแบบพิธีซึ่งสืบทอดมาจาก บทความวิจัยพื้นฐาน. ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถสร้างเหรียญ Zcash ได้ไม่จำกัดโดยไม่ถูกตรวจพบ ทีม Zcash ได้เก็บความลับของช่องโหว่นี้ไว้เป็นเวลาเจ็ดเดือนจนกระทั่งการอัปเกรดระบบ Sapling ซึ่งมีผู้เข้าร่วม 90 คนเข้าร่วมในพิธีได้กล่าวถึงปัญหานี้ แม้ว่าการโจมตีจากช่องโหว่ด้านความปลอดภัยจะไม่ส่งผลกระทบต่อความเป็นส่วนตัวของธุรกรรมของผู้ใช้ (เป็นไปไม่ได้ในทางทฤษฎีที่จะรู้ว่ามีการโจมตีเกิดขึ้นหรือไม่)

อีกตัวอย่างที่โดดเด่นของการตั้งค่าที่เชื่อถือได้คือ พิธี “พลังแห่งเอกภาพ” ตลอดไป ออกแบบมาเพื่อ สัญญาณซึ่งเป็นเทคโนโลยีการรักษาความเป็นส่วนตัวสำหรับการส่งสัญญาณแบบไม่ระบุตัวตนบน Ethereum การตั้งค่าใช้เส้นโค้งวงรี BN254 และมีผู้เข้าร่วมแล้ว 71 คน โครงการที่โดดเด่นอื่น ๆ ในภายหลังได้ใช้การตั้งค่านี้เพื่อดำเนินการพิธีของพวกเขาเองด้านบน รวมถึง ทอร์นาโดเงินสด (เพิ่งได้รับอนุมัติจากรัฐบาลสหรัฐฯ) เฮอร์เมซ เครือข่ายและ Loopring. แอซเท็ก ทำพิธีที่คล้ายกันบนเส้นโค้งวงรี BLS12_381 โดยมีผู้เข้าร่วม 176 คนสำหรับ zkSync ซึ่งเป็นโซลูชันการปรับขนาด Ethereum "เลเยอร์สอง" ที่ใช้การรวบรวมข้อมูลเป็นศูนย์ Filecoinซึ่งเป็นโปรโตคอลการจัดเก็บข้อมูลแบบกระจายศูนย์ ทำพิธีโดยมีผู้เข้าร่วม 19 และ 33 คน ในระยะที่หนึ่งและสองตามลำดับ โดยแยกจาก repo เดิม ความร้อนบล็อกเชนแบบเลเยอร์ 1 ได้จัดพิธีให้กับลูกค้า Plumo แบบเบาของพวกเขาด้วย

พิธีถาวรไม่จำกัดจำนวนผู้เข้าร่วม กล่าวอีกนัยหนึ่ง แทนที่จะไว้วางใจให้ผู้อื่นจัดพิธีการติดตั้งที่เชื่อถือได้ ทุกคนสามารถเข้าร่วมได้ในทุกระดับของการรักษาความปลอดภัยที่ตรงกับความพึงพอใจของพวกเขา ผู้เข้าร่วมที่น่าเชื่อถือเพียงคนเดียวจะรับรองความปลอดภัยของพารามิเตอร์ผลลัพธ์ทั้งหมด โซ่นั้นแข็งแรงพอๆ กับตัวเชื่อมที่แข็งแรงที่สุด พิธีกรรมถาวรอาจดำเนินไป ตามชื่อที่บอกเป็นนัย ในความเป็นอมตะ ตามหลักฐานที่มีพิธีมอบอำนาจแห่งเอกภาพดั้งเดิม ที่กล่าวว่า โครงการต่างๆ มักจะตัดสินใจเกี่ยวกับเวลาเริ่มต้นและสิ้นสุดที่เป็นรูปธรรมสำหรับพิธีของพวกเขา ด้วยวิธีนี้ พวกเขาสามารถฝังพารามิเตอร์ที่เป็นผลลัพธ์ลงในโปรโตคอลของพวกเขา และไม่ต้องกังวลกับการอัปเดตอย่างต่อเนื่อง

Ethereum วางแผนที่จะดำเนินการพิธีการติดตั้งที่เชื่อถือได้ขนาดเล็กลงสำหรับที่กำลังจะมีขึ้น ProtoDankSharding และ DankSharding การอัพเกรด การอัพเกรดทั้งสองครั้งจะเพิ่มปริมาณข้อมูลที่โซ่ Ethereum มอบให้กับไคลเอนต์สำหรับการจัดเก็บ ข้อมูลนี้จะหมดอายุตามที่แนะนำ 30 ถึง 60 วัน. พิธีคือ อยู่ระหว่างการพัฒนา, และคือ การวางแผน เพื่อดำเนินการเป็นเวลาหกสัปดาห์ในต้นปีหน้า (ดู kzg-พิธี-รายละเอียด สำหรับรายละเอียดเพิ่มเติม) กำลังจะกลายเป็นพิธีการติดตั้งที่เชื่อถือได้ที่ใหญ่ที่สุดสำหรับบล็อกเชนที่ทำงานอยู่

ความหวาดระแวงเป็นคุณธรรมสำหรับพิธีการติดตั้งที่เชื่อถือได้ หากฮาร์ดแวร์หรือซอฟต์แวร์ของเครื่องถูกบุกรุก สิ่งนั้นอาจบ่อนทำลายความปลอดภัยของความลับที่สร้างขึ้น การโจมตีช่องด้านข้างแบบลับๆล่อๆ ซึ่งทำให้ความลับรั่วไหลได้ยากเช่นกัน โทรศัพท์สามารถสอดแนมการทำงานของคอมพิวเตอร์โดย บันทึกคลื่นเสียง ของการสั่นสะเทือนของ CPU เช่น ในทางปฏิบัติ เนื่องจากเป็นการยากอย่างมากที่จะกำจัดการโจมตีช่องด้านข้างที่เป็นไปได้ทั้งหมด รวมถึงการโจมตีที่ยังไม่ถูกค้นพบหรือเปิดเผย จึงมีข้อเสนอให้บินเครื่องจักรไปยังอวกาศเพื่อดำเนินการ พิธีที่นั่น.

สำหรับตอนนี้ playbook สำหรับผู้เข้าร่วมพิธีอย่างจริงจังมักจะเป็นดังนี้ ซื้อเครื่องใหม่ (ฮาร์ดแวร์ที่ยังไม่เสีย) ช่องว่างอากาศโดยถอดการ์ดเครือข่ายทั้งหมด (เพื่อป้องกันความลับภายในเครื่องไม่ให้ออกจากเครื่อง) เรียกใช้เครื่องในกรงฟาราเดย์ในสถานที่ห่างไกลที่ไม่เปิดเผย เพาะตัวสร้างความลับสุ่มหลอกที่มีข้อมูลเอนโทรปีและการจำลองแบบยากจำนวนมาก เช่น การกดแป้นแบบสุ่มหรือไฟล์วิดีโอ (เพื่อทำให้ความลับแตกยาก) และสุดท้าย ทำลายเครื่องจักร พร้อมกับร่องรอยความลับ ด้วยการเผาทุกอย่างให้เป็นเถ้าถ่าน 😀

ประสานงานพิธีการติดตั้งที่เชื่อถือได้

นี่คือการเลือกคำพูดสนุกๆ จากผู้เข้าร่วมในพิธีตั้งค่าที่เชื่อถือได้ก่อนหน้านี้:

• "…เครื่องเป่าลมถูกใช้เพื่อให้ความร้อนแก่อุปกรณ์อิเล็กทรอนิกส์อย่างเป็นระบบทีละชิ้นจนทุกอย่างกลายเป็นสีดำ...” - Peter Todd ในการทำลายความลับของท้องถิ่น
• “ฉันมีผ้าชิ้นหนึ่งที่มีฝุ่นกราไฟต์ [จาก] แกนของเครื่องปฏิกรณ์ [เชอร์โนบิล]… คุณนับทุก ๆ สี่พัลส์ [จากตัวนับ Geiger ที่เชื่อมต่อกับไมโครคอนโทรลเลอร์] และคุณเปรียบเทียบช่วงเวลาระหว่างพัลส์หนึ่งกับ สองและช่วงเวลาระหว่างพัลส์สามและสี่ และถ้ามันมากกว่าคุณจะได้ศูนย์ ถ้าน้อยกว่าคุณจะได้หนึ่ง” “…เรากำลังจะขึ้นเครื่องบินลำนี้และสร้างตัวเลขสุ่มของเรา…” - Ryan Pierce และ Andrew Miller ในการสร้างความลับ

• "พนักงานขายบอกว่ามีคอมพิวเตอร์ 13 เครื่อง ฉันถามว่าเราจะเลือกหนึ่งใน 13 ได้ไหม เขาถามว่ามีบางสิ่งที่ฉันกำลังมองหาเป็นพิเศษหรือไม่ (สับสนเพราะเหมือนกันทั้งหมด) และฉันก็บอกว่าฉันแค่อยากสุ่มเลือก เขาบอกว่าเขาไม่อนุญาตให้เราเข้าไปในโกดังด้านหลัง ฉันถามว่าเขาจะเอาสองคนออกมาไหม เพื่อเราจะได้เลือกหนึ่งในสองคนนั้น เขานำสองออกมาบนรถลาก เจอร์รี่เลือกคอมพิวเตอร์เครื่องใดเครื่องหนึ่งจากสองเครื่อง และเรานำเครื่องนั้นไปลงทะเบียนเพื่อเช็คเอาท์” - ปีเตอร์ ฟาน วัลเคนเบิร์ก ในการออกเครื่องใหม่
• "สองสามชั่วโมงแรกของพิธีได้ดำเนินการในกรงฟาราเดย์ชั่วคราวที่ทำจากฟอยล์อลูมิเนียมและห่อแบบยึดติด ฉันย้ายแล็ปท็อปออกจากกรงฟาราเดย์ เนื่องจากมีการระบายอากาศไม่ดีและรู้สึกร้อนเมื่อสัมผัส” - เกาะเหว่ยเจี๋ย ในการป้องกันช่องด้านข้าง
• "..ทำพิธีส่วนหนึ่งบนภูเขาที่ไม่มีเพื่อนบ้าน” - มิเชล ลาพินสกี้ ในการป้องกันช่องด้านข้าง
• "ฉันเลือกใช้วิดีโอของสภาพแวดล้อมเพื่อสร้างเอนโทรปีที่เพียงพอ” - มุฮัมมัด อัมรุลลอฮ์ ในการสร้างค่าสุ่ม

พิธีทั้งหมดนี้อาศัยผู้ประสานงานจากส่วนกลาง ผู้ประสานงานคือเซิร์ฟเวอร์ส่วนบุคคลหรือส่วนตัว หรือหน่วยงานอื่นๆ ที่ได้รับมอบหมายให้ลงทะเบียนและสั่งให้ผู้เข้าร่วม ทำหน้าที่เป็นผู้ถ่ายทอดโดยการส่งต่อข้อมูลจากผู้เข้าร่วมคนก่อนไปยังบุคคลถัดไป และเพื่อเก็บบันทึกการสื่อสารทั้งหมดไว้ที่ส่วนกลางเพื่อวัตถุประสงค์ในการตรวจสอบ โดยทั่วไปแล้ว ผู้ประสานงานมีหน้าที่จัดทำบันทึกให้สาธารณชนทราบตลอดไป แน่นอนฉันมีความเป็นไปได้เสมอที่จะมีระบบรวมศูนย์สำหรับข้อมูลที่จะสูญหายหรือได้รับการจัดการที่ผิดพลาด (เช่น Perpetual-powers-of-tau ถูกเก็บไว้ใน Microsoft Azure และ Github)

เป็นเรื่องน่าขันที่โครงการเข้ารหัสลับต้องอาศัยพิธีการตั้งค่าที่เชื่อถือได้จากส่วนกลางเมื่อการกระจายอำนาจเป็นหลักการสำคัญของจริยธรรมการเข้ารหัสลับ ดังนั้นเราจึงตัดสินใจที่จะแสดงให้เห็นถึงความเป็นไปได้ของการจัดพิธีเล็ก ๆ สำหรับอำนาจถาวรของเอกภาพโดยตรงบน Ethereum blockchain! การตั้งค่ามีการกระจายอำนาจอย่างสมบูรณ์ ไม่ได้รับอนุญาต ต่อต้านการเซ็นเซอร์ และมีความปลอดภัยตราบใดที่ผู้เข้าร่วมคนใดคนหนึ่งซื่อสัตย์ [ดู ข้อจำกัดความรับผิดชอบ]. การเข้าร่วมในพิธีมีค่าใช้จ่ายเพียง 292,600 ถึง 17,760,000 ก๊าซ (ประมาณ $7 ถึง $400 ในราคาปัจจุบัน) ขึ้นอยู่กับขนาดของพารามิเตอร์ผลลัพธ์ที่ต้องการ (ในกรณีนี้ระหว่าง 8 ถึง 1024 พลังของเอกภาพ) (ดูตารางด้านล่างสำหรับค่าใช้จ่ายที่เป็นรูปธรรม – เราจะเข้าไปดูรายละเอียดเพิ่มเติมเกี่ยวกับการคำนวณเหล่านี้ในโพสต์ต่อไป)

ในตอนนี้ เราขอแนะนำว่าอย่าใช้รหัสนี้เพื่อวัตถุประสงค์อื่นนอกเหนือจากการทดลอง! เราจะยินดีเป็นอย่างยิ่งหากใครก็ตามที่พบปัญหาเกี่ยวกับรหัสรายงานให้เราทราบ เราชอบที่จะรวบรวมข้อเสนอแนะและตรวจสอบแนวทางของเรา

ทำความเข้าใจพิธี KZG หรือ 'พลังแห่งเอกภาพ'

มาสำรวจหนึ่งในการตั้งค่าที่เชื่อถือได้ซึ่งเป็นที่นิยมมากที่สุด ซึ่งเรียกว่า KZG หรือพิธี "พลังแห่งเอกภาพ" มอบเครดิตให้กับ Vitalik Buterin ผู้ร่วมก่อตั้ง Ethereum ซึ่ง บล็อกโพสต์เกี่ยวกับการตั้งค่าที่เชื่อถือได้ แจ้งความคิดของเราในส่วนนี้ การตั้งค่าสร้างการเข้ารหัสของพลังแห่งเอกภาพ ตั้งชื่อเพราะว่า "เอกภาพ" เป็นตัวแปรที่ใช้ในการแสดงความลับที่สร้างโดยผู้เข้าร่วม:

หน้า = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂]

สำหรับการใช้งานบางอย่าง (เช่น Groth16 ซึ่งเป็นรูปแบบการพิสูจน์ zkSNARK ที่ได้รับความนิยมซึ่งออกแบบโดย Jens Groth ในปี 2016) ขั้นตอนแรกของการตั้งค่านี้จะตามมาด้วยขั้นตอนที่ XNUMX ซึ่งเป็นขั้นตอนการคำนวณแบบหลายฝ่าย (MPC) ที่สร้างพารามิเตอร์สำหรับวงจร SNARK เฉพาะ . อย่างไรก็ตาม งานของเรามุ่งเน้นไปที่ระยะที่หนึ่งเท่านั้น ระยะแรกนี้ – การสร้างพลังแห่งเอกภาพ – มีประโยชน์อยู่แล้วในฐานะโครงสร้างพื้นฐานสำหรับ SNARKs สากล (เช่น PLONK และ SONIC) รวมถึงแอปพลิเคชั่นการเข้ารหัสอื่น ๆ เช่น ภาระผูกพันของ KZG, ต้นไม้ Verkle และ การสุ่มตัวอย่างความพร้อมใช้งานของข้อมูล (ดีเอเอส). โดยทั่วไป พารามิเตอร์ SNARK สากลควรมีขนาดใหญ่มาก เพื่อรองรับวงจรขนาดใหญ่และมีประโยชน์ วงจรที่มีเกทมากกว่ามักจะมีประโยชน์มากกว่า เนื่องจากสามารถจับการคำนวณขนาดใหญ่ได้ จำนวนกำลังของเอกภาพใกล้เคียงกับจำนวนเกทในวงจรคร่าวๆ ดังนั้นการตั้งค่าทั่วไปจะมีขนาด |pp| = ~40 GB และสามารถรองรับวงจรด้วย ~2²⁸ ประตู ด้วยข้อจำกัดในปัจจุบันของ Ethereum เป็นไปไม่ได้ที่จะวางพารามิเตอร์ขนาดใหญ่ดังกล่าวไว้บนสายโซ่ แต่พิธีการตั้งค่าขนาดเล็กที่เชื่อถือได้ซึ่งมีประโยชน์สำหรับวงจร SNARK ขนาดเล็ก Verkle tree หรือ DAS สามารถรันบนเครือข่ายได้

มูลนิธิ Ethereum กำลังวางแผนที่จะดำเนินการให้มีขนาดเล็กลงอีกหลายๆ ตัว พิธีกร สำหรับอำนาจของเอกภาพขนาด 200 KB ถึง 1.5 MB แม้ว่างานพิธีที่ใหญ่กว่าอาจดูดีกว่า แต่เนื่องจากพารามิเตอร์ที่ใหญ่กว่านั้นสามารถสร้างวงจร SNARK ที่มีประโยชน์มากกว่าได้ แต่ที่จริงแล้วใหญ่กว่านั้นก็ไม่ได้ดีเสมอไป แอปพลิเคชันบางอย่าง เช่น DAS ต้องการแอปพลิเคชันที่เล็กกว่าโดยเฉพาะ! [เหตุผลเป็นเทคนิคมาก แต่ถ้าคุณอยากรู้ก็เพราะการตั้งค่าด้วยพลัง n (ใน G₁) เปิดใช้งานเฉพาะพันธะ KZG กับพหุนามที่มีดีกรี ≤ n ซึ่งเป็นสิ่งสำคัญสำหรับการทำให้แน่ใจว่าพหุนามภายใต้พันธะ KZG สามารถสร้างใหม่ได้จากการประเมิน n ใดๆ คุณสมบัตินี้ช่วยให้สามารถสุ่มตัวอย่างข้อมูลได้: ทุกครั้งที่ได้รับการประเมินแบบสุ่มของพหุนามสำเร็จ (สุ่มตัวอย่าง) ซึ่งให้การรับประกันว่าสามารถสร้างพหุนามใหม่ทั้งหมดด้วยความน่าจะเป็น t/n หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ DAS โปรดดูโพสต์นี้โดย Buterin บนฟอรัมวิจัย Ethereum.]

เราออกแบบสัญญาอัจฉริยะที่สามารถนำไปใช้กับ Ethereum blockchain เพื่อดำเนินการตั้งค่าที่เชื่อถือได้ สัญญาจะจัดเก็บพารามิเตอร์สาธารณะ – อำนาจของเอกภาพ – ออนไลน์อย่างสมบูรณ์ และรวบรวมการมีส่วนร่วมผ่านธุรกรรมของผู้ใช้

ผู้เข้าร่วมใหม่อ่านพารามิเตอร์เหล่านั้นก่อน:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂),

จากนั้นสุ่มตัวอย่างความลับสุ่ม 𝜏' และคำนวณพารามิเตอร์ที่อัปเดต:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

และเผยแพร่บนเครือข่ายด้วยหลักฐานที่แสดงให้เห็นสามสิ่ง:

1. ความรู้เรื่อง discrete-log: ผู้เข้าร่วมรู้ 𝜏' (ข้อพิสูจน์ว่าการมีส่วนร่วมล่าสุดในพิธีติดตั้งที่เชื่อถือได้สร้างขึ้นจากผลงานของผู้เข้าร่วมก่อนหน้านี้ทั้งหมด)
2. รูปร่างดีของpp₁: องค์ประกอบเข้ารหัสอำนาจที่เพิ่มขึ้นอย่างแท้จริง (การตรวจสอบความสมบูรณ์ของการมีส่วนร่วมของผู้เข้าร่วมใหม่ในพิธี)
3. อัพเดทไม่ลบ: 𝜏' ≠ 0. (การป้องกันผู้โจมตีที่พยายามบ่อนทำลายระบบโดยการลบงานที่ผ่านมาของผู้เข้าร่วมทั้งหมด)

สัญญาอัจฉริยะจะตรวจสอบการพิสูจน์และหากถูกต้อง สัญญาจะอัปเดตพารามิเตอร์สาธารณะที่จัดเก็บไว้ คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับคณิตศาสตร์และเหตุผลเบื้องหลังได้ใน repo.

การคำนวณต้นทุนก๊าซ

ความท้าทายหลักของการดำเนินการติดตั้งแบบ on-chain คือการทำให้พิธีการติดตั้งที่เชื่อถือได้มีประสิทธิภาพการใช้ก๊าซมากที่สุด ตามหลักการแล้ว การส่งเงินบริจาคจะมีค่าใช้จ่ายไม่เกิน ~ 50 ดอลลาร์ (โครงการขนาดใหญ่อาจสามารถอุดหนุนค่าน้ำมันสำหรับผู้ร่วมสมทบได้ ซึ่งในกรณีนี้ การมีผู้เข้าร่วมหลายร้อยคนแต่ละคนใช้จ่าย 100 ดอลลาร์นั้นง่ายกว่าที่จะจินตนาการได้) ด้านล่างนี้ เราจะให้รายละเอียดเพิ่มเติมเกี่ยวกับส่วนที่แพงที่สุดของการตั้งค่า ต้นทุนก๊าซที่ลดลงจะช่วยลดต้นทุนของเงินสมทบและทำให้สามารถสร้างพารามิเตอร์ที่ยาวขึ้นได้ (พลังงานเอกภาพมากขึ้นและวงจร SNARK ที่ใหญ่ขึ้น)!

การตั้งค่าของเราใช้ได้กับเส้นโค้งวงรี BN254 (เรียกอีกอย่างว่า BN256, BN128 และ alt_bn128) ที่รองรับ สัญญาที่คอมไพล์ล่วงหน้าดังต่อไปนี้ บน Ethereum:

• ECADD อนุญาตให้เพิ่มจุดโค้งวงรีสองจุด กล่าวคือ คำนวณ [𝛼+𝛽]₁ จาก [𝛼]₁ และ [𝛽]₁: ค่าน้ำมัน 150
• ECMULT อนุญาตให้จุดเส้นโค้งวงรีคูณด้วยสเกลาร์ เช่น คำนวณ [a*𝛼]₁ จาก a และ [𝛼]₁: ค่าน้ำมัน 6,000
• ECPAIR อนุญาตให้ตรวจสอบผลคูณของการจับคู่เส้นโค้งวงรีได้ เช่น คำนวณ e([𝛼₁]₁, [𝛽₁]₂)* … *e([𝛼₁]₁, [𝛽₁]₂) = 1 ซึ่งเท่ากับตรวจสอบว่า 𝛼₁*𝛽₁+ … + 𝛼_k*𝛽_k = 0 : ค่าน้ำมัน 34,000 * k + 45,000

Ethereum อาจเปิดใช้งาน BLS12_381 (ตามที่เสนอใน อีไอพี-2537) สัญญาการติดตั้งของเราสามารถทำได้อย่างง่ายดายสำหรับเส้นโค้งอื่นนี้เช่นกัน

มาประมาณค่าน้ำมันเพื่ออัปเดตการตั้งค่าเป็น ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂):

1. ค่าแก๊สในการพิสูจน์หลักฐาน ผู้เข้าร่วมแต่ละคนอัปเดตการตั้งค่าและส่งหลักฐานพร้อมส่วนประกอบสามส่วนตามที่อธิบายไว้ข้างต้น ส่วนประกอบ 1 และ 3 ของการพิสูจน์ – “ความรู้เกี่ยวกับบันทึกที่ไม่ต่อเนื่อง” และ “การอัปเดตไม่สามารถลบออก” – มีราคาถูกมากในการตรวจสอบ ความท้าทายอยู่ในการตรวจสอบองค์ประกอบ 2 "ความสมบูรณ์ของpp₁” บนโซ่ มันต้องการการคูณหลายสเกลาร์ขนาดใหญ่ (MSM) และการจับคู่สองคู่:
   อี(𝝆₀[1]₁ +₁[𝜏]₁ +₂[𝜏²]₁ + … +_n-1[𝜏^n-2]₁, [𝜏]₂) = อี([𝜏]₁ +₁[𝜏²]₁ + … +_n-1[𝜏^n-1]₁, [สอง]₂),
   ที่ไหน 𝝆₀,…,_n-1 เป็นสเกลาร์สุ่มตัวอย่างสุ่ม ในแง่ของสัญญาอัจฉริยะที่คอมไพล์ล่วงหน้า จะใช้เวลา:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 น้ำมัน
2. ค่าแก๊สในการจัดเก็บข้อมูล ผู้เข้าร่วมแต่ละรายยังจัดเก็บการอัปเดตบนเชนเป็นข้อมูลการโทร (68 ก๊าซต่อไบต์) คิดเป็นก๊าซ n*64*68 (หมายเหตุสำหรับผู้ที่คุ้นเคยกับการเข้ารหัสแบบเส้นโค้งวงรี: การจัดเก็บจุดบีบอัดจะทำให้การบีบอัดมีผลเหนือต้นทุนโดยรวมตามการวัดของเราสำหรับ n=256)

สิ่งนี้นำเราไปสู่ตารางต่อไปนี้เพื่อประมาณการต้นทุนก๊าซซึ่งควรแจ้งการปรับให้เหมาะสมในอนาคต:

เรากำลังสำรวจวิธีแก้ปัญหาเพื่อลดต้นทุนน้ำมัน โปรดคอยติดตาม!

ไลบรารีโอเพนซอร์ส: evm-powers-of-tau

เราได้เปิดแหล่ง repo พิธีมอบอำนาจของเอกภาพตาม EVM ที่ github.com/a16z/evm-powers-of-tau. การทำพิธีด้วยกลยุทธ์ของเรานั้นง่ายและโปร่งใส:

1. ปรับใช้สัญญาการจัดเก็บและการตรวจสอบ (contracts/KZG.sol)
2. ผู้ร่วมให้ข้อมูลอ่านพารามิเตอร์ของพิธีจาก calldata ธุรกรรมก่อนหน้า
3. ผู้ร่วมให้ข้อมูลสร้างความลับในเครื่อง คำนวณพารามิเตอร์ที่อัปเดต
4. ผู้ร่วมให้ข้อมูลสร้างหลักฐาน: pi1, pi2
5. ผู้สนับสนุนส่งพารามิเตอร์ที่อัปเดตผ่าน KZG.potUpdate() ไปยังสัญญาอัจฉริยะที่ปรับใช้บนบล็อกเชนสาธารณะ
6. สัญญาอัจฉริยะจะตรวจสอบความถูกต้องของการอัปเดต โดยจะย้อนกลับในกรณีที่ส่งมีรูปแบบไม่ถูกต้อง
7. ผู้มีส่วนร่วมหลายคนสามารถทำตามขั้นตอนที่ 2-5 ได้ตลอดไป โดยแต่ละครั้งจะเพิ่มความปลอดภัยของพิธี
8. เมื่อใดก็ตามที่นักพัฒนามั่นใจในจำนวนและคุณภาพของการส่ง พวกเขาสามารถสอบถามบล็อคเชนสำหรับพารามิเตอร์ปัจจุบัน และใช้ค่าเหล่านี้เป็นคีย์การเข้ารหัส

repo ของเราใช้ arkworks-rs เพื่อคำนวณขั้นตอนที่ XNUMX และ XNUMX (ดูการคำนวณสนิมได้ใน src/pot_update.rs) แต่ผู้ใช้อาจต้องการเขียนเอง สามารถดูโฟลว์การส่งการอัปเดตแบบ end-to-end ทั้งหมดในการทดสอบการรวมใน การทดสอบ/integration_test.rs.

โปรดทราบว่าเราได้เลือกใช้ calldata เพื่อจัดเก็บพารามิเตอร์ powers-of-tau ที่อัปเดตไว้บนเชน เนื่องจากเป็นลำดับความสำคัญที่ถูกกว่าการจัดเก็บข้อมูลหลายระดับ แบบสอบถามตาม ethers-rs สำหรับข้อมูลนี้สามารถพบได้ใน src/query.rs.

สุดท้าย สามารถพบการพิสูจน์และสมการโดยละเอียดได้ในรายงานทางเทคนิคใน รายงานทางเทคนิค/main.pdf.

งานในอนาคต

ก่อนที่พิธีติดตั้งที่เชื่อถือได้นี้จะนำไปใช้ในการผลิตได้ อันดับแรก เราขอแนะนำให้คุณตรวจสอบทั้งการพิสูจน์ทางคณิตศาสตร์และการนำไปใช้ตัวอย่างอย่างครอบคลุม

เมื่อดำเนินการแล้ว ต้นทุนการทำธุรกรรมของการอัปเดตพิธีจะเติบโตเป็นเส้นตรงตามขนาดการตั้งค่า สำหรับแอปพลิเคชันส่วนใหญ่ (SNARK, DAS) เราต้องการตั้งค่า n >= 256 ซึ่งปัจจุบันมีราคา 73 ดอลลาร์ต่อการอัปเดต 

เราอาจสามารถบรรลุการเติบโตของต้นทุนการตรวจสอบเชิงเส้นตรงได้ด้วยการพิสูจน์ STARK ของการคำนวณการอัพเดทที่ถูกต้องและการผูกมัดเวกเตอร์ต่อค่าที่อัปเดต โครงสร้างนี้จะลบการพึ่งพาพรีคอมไพล์ Ethereum L1 BN254 ออกด้วย ทำให้สามารถใช้เส้นโค้ง BLS12-381 ที่เป็นที่นิยมมากขึ้นได้

กลยุทธ์พิธีทั้งหมดมีข้อแลกเปลี่ยน เราคิดว่าโครงสร้างนี้แข็งแกร่งและมีคุณสมบัติต้านทานการเซ็นเซอร์ที่ตรวจสอบได้ดีเยี่ยม แต่ขอเตือนอีกครั้งว่าอย่าใช้วิธีนี้จนกว่าจะมีงานทำเพื่อยืนยันความถูกต้องของแนวทางของเรา

กิตติกรรมประกาศ

• Dan Boneh – สำหรับข้อเสนอแนะที่เป็นประโยชน์ในช่วงเริ่มต้นของงานนี้
• Joe Bonneau – สำหรับการชี้แจงคำอธิบายในรายงานทางเทคนิคฉบับแรก
• William Borgeaud – สำหรับการสนทนาเกี่ยวกับ BLS ภายใน TurboPlonk / Plonky2
• Mary Maller – สำหรับความคิดเกี่ยวกับกลไกทั่วไปของแนวทางนี้

บรรณาธิการ: Robert Hackett @rhhackett

***

ความคิดเห็นที่แสดงในที่นี้เป็นความคิดเห็นของบุคลากร AH Capital Management, LLC (“a16z”) ที่ยกมาและไม่ใช่ความคิดเห็นของ a16z หรือบริษัทในเครือ ข้อมูลบางอย่างในที่นี้ได้รับมาจากแหล่งบุคคลที่สาม รวมถึงจากบริษัทพอร์ตโฟลิโอของกองทุนที่จัดการโดย a16z ในขณะที่นำมาจากแหล่งที่เชื่อว่าเชื่อถือได้ a16z ไม่ได้ตรวจสอบข้อมูลดังกล่าวอย่างอิสระและไม่รับรองความถูกต้องของข้อมูลในปัจจุบันหรือที่ยั่งยืนหรือความเหมาะสมสำหรับสถานการณ์ที่กำหนด นอกจากนี้ เนื้อหานี้อาจรวมถึงโฆษณาของบุคคลที่สาม a16z ไม่ได้ตรวจทานโฆษณาดังกล่าวและไม่ได้รับรองเนื้อหาโฆษณาใด ๆ ที่อยู่ในนั้น

เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น และไม่ควรใช้เป็นคำแนะนำทางกฎหมาย ธุรกิจ การลงทุน หรือภาษี คุณควรปรึกษาที่ปรึกษาของคุณเองในเรื่องเหล่านั้น การอ้างอิงถึงหลักทรัพย์หรือสินทรัพย์ดิจิทัลใดๆ มีวัตถุประสงค์เพื่อเป็นตัวอย่างเท่านั้น และไม่ถือเป็นการแนะนำการลงทุนหรือข้อเสนอเพื่อให้บริการที่ปรึกษาการลงทุน นอกจากนี้ เนื้อหานี้ไม่ได้มุ่งไปที่หรือมีไว้สำหรับการใช้งานโดยนักลงทุนหรือนักลงทุนที่คาดหวัง และไม่อาจเชื่อถือได้ไม่ว่าในกรณีใดๆ เมื่อตัดสินใจลงทุนในกองทุนใดๆ ที่จัดการโดย a16z (การเสนอให้ลงทุนในกองทุน a16z จะกระทำโดยบันทึกเฉพาะบุคคล ข้อตกลงจองซื้อ และเอกสารที่เกี่ยวข้องอื่นๆ ของกองทุนดังกล่าว และควรอ่านให้ครบถ้วน) การลงทุนหรือบริษัทพอร์ตการลงทุนใดๆ ที่กล่าวถึง อ้างถึง หรือ ที่อธิบายไว้ไม่ได้เป็นตัวแทนของการลงทุนทั้งหมดในยานพาหนะที่จัดการโดย a16z และไม่สามารถรับประกันได้ว่าการลงทุนนั้นจะให้ผลกำไรหรือการลงทุนอื่น ๆ ในอนาคตจะมีลักษณะหรือผลลัพธ์ที่คล้ายคลึงกัน รายการการลงทุนที่ทำโดยกองทุนที่จัดการโดย Andreessen Horowitz (ไม่รวมการลงทุนที่ผู้ออกไม่อนุญาตให้ a16z เปิดเผยต่อสาธารณะและการลงทุนที่ไม่ได้ประกาศในสินทรัพย์ดิจิทัลที่ซื้อขายในตลาดหลักทรัพย์) มีอยู่ที่ https://a16z.com/investments /.

แผนภูมิและกราฟที่ให้ไว้ภายในมีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ควรใช้ในการตัดสินใจลงทุนใดๆ ผลการดำเนินงานในอดีตไม่ได้บ่งบอกถึงผลลัพธ์ในอนาคต เนื้อหาพูดตามวันที่ระบุเท่านั้น การคาดการณ์ การประมาณการ การคาดการณ์ เป้าหมาย โอกาส และ/หรือความคิดเห็นใดๆ ที่แสดงในเอกสารเหล่านี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบและอาจแตกต่างหรือขัดแย้งกับความคิดเห็นที่แสดงโดยผู้อื่น โปรดดู https://a16z.com/disclosures สำหรับข้อมูลสำคัญเพิ่มเติม