Lễ thiết lập đáng tin cậy trên chuỗi

Buổi lễ thiết lập đáng tin cậy là một trong những nỗi đau – và sự phấn khích – của cộng đồng tiền điện tử. Mục tiêu của buổi lễ là tạo ra các khóa mật mã đáng tin cậy để bảo mật ví tiền điện tử, giao thức chuỗi khối hoặc hệ thống chứng minh không có kiến ​​thức. Các quy trình này (đôi khi khoa trương) thường là gốc rễ của sự tin cậy đối với tính bảo mật của một dự án nhất định và do đó chúng cực kỳ quan trọng để thực hiện đúng.

Các dự án chuỗi khối tổ chức các buổi lễ theo nhiều cách sáng tạo – liên quan đến đèn hàn, bụi phóng xạ và máy bay – nhưng tất cả đều có điểm chung: tất cả đều liên quan đến một điều phối viên tập trung. Với công việc này, chúng tôi trình bày cách phân cấp quy trình bằng cách thay thế điều phối viên tập trung bằng hợp đồng thông minh. Ngoài ra, chúng tôi đang cung cấp mã nguồn mở cho một thư viện cho phép mọi người tổ chức một buổi lễ như vậy – được những người thực hành tiền điện tử biết đến như một Kate-Zaverucha-Goldberg (KZG) hoặc buổi lễ “quyền lực củatau” – trên chuỗi Ethereum. Bất cứ ai cũng có thể tham gia chỉ bằng cách trả phí giao dịch!

Cách tiếp cận phi tập trung của chúng tôi có những hạn chế nhưng vẫn hữu ích. Do những hạn chế về dữ liệu trên chuỗi hiện tại, kích thước của các tham số mật mã phải được giữ ở mức ngắn, tức là không quá 64 KB. Nhưng số lượng người tham gia không có giới hạn và mọi người có thể tiếp tục gửi đóng góp vĩnh viễn. Các ứng dụng cho các tham số ngắn này bao gồm các SNARK nhỏ không có kiến ​​thức, lấy mẫu dữ liệu sẵn cóvà Cây Verkle.

Lịch sử và cơ chế của buổi lễ thiết lập tin cậy

Trong một buổi lễ thiết lập đáng tin cậy điển hình, một nhóm người tham gia sẽ cộng tác tạo ra một tập hợp các tham số mật mã. Mỗi bên tham gia sử dụng thông tin bí mật được tạo cục bộ để tạo dữ liệu giúp tạo các tham số này. Thiết lập phù hợp đảm bảo bí mật không bị rò rỉ, bí mật chỉ được sử dụng theo chỉ định của giao thức và những bí mật này sẽ bị hủy hoàn toàn khi kết thúc buổi lễ. Miễn là ít nhất một bên trong buổi lễ cư xử trung thực, không bị xâm phạm và phá hủy bí mật cục bộ của mình thì toàn bộ thiết lập có thể được coi là an toàn. (Tất nhiên, đó là giả sử phép toán đúng và mã không có lỗi.)

Một số nghi lễ nổi bật nhất là được điều hành bởi Zcash, một dự án blockchain hướng tới quyền riêng tư. Những người tham gia các buổi lễ này đã tạo ra các tham số công khai được thiết kế để cho phép người dùng Zcash xây dựng và xác minh các giao dịch tiền điện tử riêng tư. Sáu người tham gia đã thực hiện buổi lễ Zcash đầu tiên, Sprout, vào năm 2016. Hai năm sau, nhà nghiên cứu tiền điện tử Ariel Gabizon, hiện là Nhà khoa học trưởng tại Aztec, tìm một lỗi tàn phá trong thiết kế của buổi lễ được kế thừa từ một tài liệu nghiên cứu cơ bản. Lỗ hổng này có thể cho phép kẻ tấn công tạo ra đồng Zcash không giới hạn mà không bị phát hiện. Nhóm Zcash đã giữ bí mật về lỗ hổng này trong bảy tháng cho đến khi nâng cấp hệ thống, Sapling, buổi lễ có sự tham gia của 90 người tham gia, đã giải quyết được vấn đề. Mặc dù một cuộc tấn công dựa trên lỗ hổng bảo mật sẽ không ảnh hưởng đến quyền riêng tư trong giao dịch của người dùng, nhưng nguy cơ xảy ra hàng giả vô hạn đã làm suy yếu tiền đề bảo mật của Zcash. (Về mặt lý thuyết, không thể biết liệu một cuộc tấn công có diễn ra hay không.)

Một ví dụ đáng chú ý khác về thiết lập đáng tin cậy là lễ trao quyền vĩnh viễn được thiết kế chủ yếu cho đèn hiệu, một công nghệ bảo vệ quyền riêng tư để gửi tín hiệu ẩn danh trên Ethereum. Quá trình thiết lập sử dụng đường cong elip BN254 và cho đến nay đã có 71 người tham gia. Các dự án nổi bật khác sau đó đã sử dụng thiết lập này để tổ chức các buổi lễ của riêng họ, bao gồm Lốc xoáy.Cash (gần đây đã bị chính phủ Hoa Kỳ trừng phạt), Hermes mạng và Loopring. Aztec đã tổ chức một buổi lễ tương tự trên đường cong elip BLS12_381 với 176 người tham gia cho zkSync, một giải pháp mở rộng quy mô Ethereum “lớp hai” sử dụng bản tổng hợp kiến ​​thức bằng XNUMX. Filecoin, một giao thức lưu trữ dữ liệu phi tập trung, đã tổ chức một buổi lễ với 19 và 33 người tham gia, trong giai đoạn đầu tiên và thứ hai, lần lượt phân nhánh repo ban đầu. Celo, một blockchain lớp 1, cũng đã tổ chức một buổi lễ cho client nhẹ Plumo của họ.

Lễ thường niên không giới hạn số lượng người tham gia. Nói cách khác, thay vì tin tưởng người khác thực hiện buổi lễ thiết lập đáng tin cậy, BẤT CỨ AI đều có thể tham gia vào bất kỳ mức độ bảo mật nào đáp ứng được sự hài lòng của họ. Một người tham gia đáng tin cậy duy nhất đảm bảo tính bảo mật của tất cả các tham số kết quả; chuỗi mạnh mẽ như liên kết mạnh nhất của nó. Các nghi lễ vĩnh viễn có thể diễn ra, như tên gọi của nó, vĩnh viễn, giống như tiền đề của nghi lễ power-of-tau ban đầu. Điều đó có nghĩa là các dự án thường quyết định thời gian bắt đầu và kết thúc cụ thể cho các buổi lễ của mình, bằng cách đó, họ có thể nhúng các tham số kết quả vào giao thức của mình và không phải lo lắng về việc liên tục cập nhật chúng.

Ethereum có kế hoạch tổ chức một buổi lễ thiết lập đáng tin cậy nhỏ hơn cho sắp tới ProtoDankSharding và DankSharding nâng cấp. Hai nâng cấp đó sẽ tăng lượng dữ liệu mà chuỗi Ethereum cung cấp cho khách hàng để lưu trữ. Dữ liệu này sẽ hết hạn đề xuất 30 đến 60 ngày. Buổi lễ là đang được phát triển tích cực, và là kế hoạch sẽ chạy trong sáu tuần vào đầu năm tới. (Nhìn thấy kzg-lễ-thông số kỹ thuật để biết thêm chi tiết.) Đây được coi là buổi lễ thiết lập đáng tin cậy lớn nhất cho các chuỗi khối được thực hiện cho đến nay.

Hoang tưởng là một đức tính tốt khi nói đến các nghi lễ thành lập đáng tin cậy. Nếu phần cứng hoặc phần mềm của máy bị xâm phạm, điều đó có thể làm suy yếu tính bảo mật của các bí mật mà nó tạo ra. Các cuộc tấn công kênh bên lén lút làm rò rỉ bí mật cũng có thể khó loại trừ. Điện thoại có thể theo dõi hoạt động của máy tính bằng cách ghi lại sóng âm ví dụ như rung động của CPU. Trong thực tế, vì rất khó để loại bỏ tất cả các cuộc tấn công kênh bên có thể xảy ra - kể cả những cuộc tấn công vẫn chưa được phát hiện hoặc tiết lộ - nên thậm chí còn có đề xuất đưa máy bay lên vũ trụ để tiến hành. nghi lễ ở đó.

Hiện tại, cẩm nang dành cho những người tham gia buổi lễ nghiêm túc thường diễn ra như sau. Mua một máy mới (phần cứng không bị lỗi). Khe hở nó bằng cách tháo tất cả các card mạng (để ngăn các bí mật cục bộ rời khỏi máy). Chạy máy trong lồng Faraday ở một địa điểm xa không được tiết lộ (để ngăn chặn những kẻ rình mò). Tạo trình tạo bí mật giả ngẫu nhiên với nhiều dữ liệu entropy và khó sao chép, chẳng hạn như thao tác nhấn phím ngẫu nhiên hoặc tệp video (để làm cho bí mật khó bị bẻ khóa). Và cuối cùng, phá hủy cỗ máy – cùng với mọi dấu vết của bí mật – bằng cách đốt mọi thứ thành tro. 😀

Phối hợp các nghi lễ thiết lập đáng tin cậy

Dưới đây là tuyển tập các trích dẫn thú vị từ một số người tham gia buổi lễ thiết lập đáng tin cậy trước đó:

• "…đèn hàn được dùng để đốt nóng từng phần một của các thiết bị điện tử một cách có phương pháp cho đến khi mọi thứ cháy đen…Mùi - Peter Todd về việc phá hủy vật lý các bí mật địa phương.
• “Ở đây tôi có một mảnh vải có chứa bụi than chì [từ] lõi của lò phản ứng [Chernobyl]… Bạn đếm bốn xung một lần [từ máy đếm Geiger được nối với một vi điều khiển] và bạn so sánh khoảng thời gian giữa xung một và xung hai và khoảng thời gian giữa xung ba và xung bốn và nếu nó lớn hơn thì bạn nhận được số 0, nếu nhỏ hơn thì bạn nhận được một.” “…chúng ta chuẩn bị lên chiếc máy bay này và tạo ra những con số ngẫu nhiên…” - Ryan Pierce và Andrew Miller về thế hệ bí mật.

• "Nhân viên bán hàng cho biết họ có 13 [máy tính]. Tôi hỏi liệu chúng tôi có thể chọn một trong 13 cái không. Anh ấy hỏi liệu tôi có đang tìm kiếm thứ gì cụ thể không (bối rối vì chúng đều giống nhau) và tôi nói tôi chỉ muốn chọn một cái ngẫu nhiên. Anh ấy nói anh ấy không thể cho chúng tôi vào nhà kho phía sau. Tôi hỏi liệu anh ấy có mang hai người ra ngoài để chúng tôi chọn một trong hai không. Anh ta mang hai chiếc xe đẩy tay ra ngoài. Jerry đã chọn một trong hai máy tính và chúng tôi mang nó đến quầy đăng ký để kiểm tra.Mùi - Peter Van Valkenburgh khi nhận được một chiếc máy mới.
• "Vài giờ đầu tiên của buổi lễ được thực hiện trong một chiếc lồng Faraday tạm bợ làm bằng giấy nhôm và màng bọc thực phẩm. Tôi đã di chuyển máy tính xách tay ra khỏi lồng Faraday vì nó có hệ thống thông gió kém và khi chạm vào rất nóngMùi - Koh Wei Jie về bảo vệ kênh bên.
• ".. thực hiện một phần nghi lễ ở vùng núi không có hàng xóm.Mùi - Micheal Lapinski về bảo vệ kênh bên.
• "Tôi đã chọn sử dụng video về môi trường xung quanh để tạo ra đủ entropyMùi - Muhd Amrullah về việc tạo ra các giá trị ngẫu nhiên.

Tất cả các buổi lễ này đều dựa vào một điều phối viên tập trung. Điều phối viên là một máy chủ cá nhân hoặc riêng tư hoặc một số thực thể khác được giao nhiệm vụ đăng ký và ra lệnh cho người tham gia, đóng vai trò là người chuyển tiếp bằng cách chuyển tiếp thông tin từ người tham gia trước đó sang người tham gia tiếp theo và lưu giữ nhật ký tập trung của tất cả các thông tin liên lạc cho mục đích kiểm toán. Điều phối viên thường chịu trách nhiệm cung cấp nhật ký vĩnh viễn cho công chúng; tất nhiênHệ thống tập trung luôn có khả năng dữ liệu bị mất hoặc bị quản lý sai. (Ví dụ: Perpetual-powers-of-tau được lưu trữ trên Microsoft Azure và Github.)

Chúng tôi thật mỉa mai khi các dự án tiền điện tử phải dựa vào các nghi thức thiết lập đáng tin cậy tập trung khi phân cấp là nguyên lý cốt lõi của đặc tính tiền điện tử. Vì vậy, chúng tôi quyết định chứng minh tính khả thi của việc tổ chức một buổi lễ nhỏ trao quyền lực vĩnh viễn trực tiếp trên chuỗi khối Ethereum! Quá trình thiết lập hoàn toàn phi tập trung, không cần cấp phép, chống kiểm duyệt và được bảo mật miễn là bất kỳ người tham gia nào đều trung thực [xem từ chối]. Việc tham gia vào buổi lễ chỉ tốn 292,600 đến 17,760,000 gas (khoảng 7 đến 400 USD theo giá hiện tại), tùy thuộc vào kích thước của các tham số kết quả mong muốn (trong trường hợp này là từ 8 đến 1024 power-of-tau). (Xem Bảng bên dưới để biết chi phí cụ thể - chúng tôi sẽ đi sâu vào chi tiết hơn về những tính toán này ở phần sau của bài viết.)

Tuy nhiên, chúng tôi khuyên bạn không nên sử dụng mã cho bất kỳ mục đích nào khác ngoài mục đích thử nghiệm! Chúng tôi sẽ đánh giá rất cao nếu bất kỳ ai phát hiện bất kỳ vấn đề nào với mã sẽ báo cáo cho chúng tôi. Chúng tôi mong muốn thu thập phản hồi và kiểm tra phương pháp tiếp cận của chúng tôi.

Tìm hiểu về lễ KZG hay lễ 'quyền lực của tàu'

Hãy cùng khám phá một trong những thiết lập đáng tin cậy phổ biến nhất, được gọi là buổi lễ KZG, hay “quyền hạn của tau”. Tín dụng cho người đồng sáng lập Ethereum Vitalik Buterin, người có bài đăng trên blog về các thiết lập đáng tin cậy thông báo ý tưởng của chúng tôi trong phần này. Quá trình thiết lập tạo ra các mã hóa của power-of-tau, được đặt tên như vậy vì “tau” tình cờ là biến được sử dụng để thể hiện các bí mật do người tham gia tạo ra:

pp = [[𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂]

Đối với một số ứng dụng (ví dụ: Groth16, sơ đồ chứng minh zkSNARK phổ biến do Jens Groth thiết kế vào năm 2016), giai đoạn thiết lập đầu tiên này được theo sau bởi giai đoạn thứ hai, buổi lễ tính toán nhiều bên (MPC), tạo ra các tham số cho một mạch SNARK cụ thể . Tuy nhiên, công việc của chúng tôi chỉ tập trung vào giai đoạn một. Giai đoạn đầu tiên này – tạo ra sức mạnh của tau – đã hữu ích như một khối xây dựng nền tảng cho SNARK phổ quát (ví dụ PLONK và SONIC), cũng như các ứng dụng mật mã khác, chẳng hạn như KZG cam kết, Cây Verkle và lấy mẫu dữ liệu sẵn có (DAS). Nói chung, các tham số SNARK phổ quát phải rất lớn để chúng có thể hỗ trợ các mạch lớn và hữu ích. Các mạch chứa nhiều cổng thường hữu ích hơn vì chúng có thể thực hiện được các phép tính lớn; số lượng lũy ​​thừa của tau gần tương ứng với số lượng cổng trong mạch. Vì vậy, một thiết lập thông thường sẽ có kích thước |pp| = ~40 GB và có khả năng hỗ trợ các mạch có ~2²⁸ cổng. Với những hạn chế hiện tại của Ethereum, sẽ không thể đưa các tham số lớn như vậy vào chuỗi, nhưng một nghi thức thiết lập đáng tin cậy nhỏ hơn hữu ích cho các mạch SNARK nhỏ, cây Verkle hoặc DAS có thể khả thi được chạy trên chuỗi.

Ethereum Foundation đang có kế hoạch điều hành một số dự án nhỏ hơn nghi lễ dành cho power-of-tau có kích thước từ 200 KB đến 1.5 MB. Mặc dù các buổi lễ lớn hơn có vẻ tốt hơn, vì các thông số lớn hơn có thể tạo ra các mạch SNARK hữu ích hơn, nhưng trên thực tế, lớn hơn không phải lúc nào cũng tốt hơn. Một số ứng dụng nhất định, chẳng hạn như DAS, đặc biệt cần một ứng dụng nhỏ hơn! [Lý do rất kỹ thuật, nhưng nếu bạn tò mò thì đó là do thiết lập có lũy thừa n (trong G₁) chỉ cho phép các cam kết KZG đối với đa thức bậc ≤ n, điều này rất quan trọng để đảm bảo rằng đa thức bên dưới cam kết KZG có thể được xây dựng lại từ bất kỳ đánh giá n nào. Thuộc tính này cho phép lấy mẫu tính sẵn có của dữ liệu: mỗi lần t đánh giá ngẫu nhiên của đa thức được lấy thành công (lấy mẫu), nó đảm bảo rằng đa thức có thể được xây dựng lại hoàn toàn với xác suất t/n. Nếu bạn muốn tìm hiểu thêm về DAS, hãy xem bài đăng này của Buterin trên diễn đàn Nghiên cứu Ethereum.]

Chúng tôi đã thiết kế một hợp đồng thông minh có thể được triển khai trên chuỗi khối Ethereum để thực hiện buổi lễ thiết lập đáng tin cậy. Hợp đồng lưu trữ các tham số công khai – sức mạnh của tau – hoàn toàn trên chuỗi và thu thập sự tham gia thông qua các giao dịch của người dùng.

Người tham gia mới lần đầu tiên đọc các thông số đó:

pp₀ = ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂, [𝜏²]₂, …, [𝜏^k]₂),

sau đó lấy mẫu bí mật ngẫu nhiên 𝜏' và tính toán các tham số được cập nhật:

pp₁ = ([𝜏𝜏']₁, [(𝜏𝜏')²]₁, [(𝜏𝜏')³]₁, …, [(𝜏𝜏')ⁿ]₁; [𝜏𝜏']₂, [(𝜏𝜏')²]₂, …, [(𝜏𝜏')^k]₂),

và xuất bản chúng trên chuỗi với bằng chứng chứng minh ba điều:

1. Kiến thức về log rời rạc: người tham gia biết 𝜏'. (Bằng chứng cho thấy đóng góp mới nhất cho buổi lễ thành lập đáng tin cậy được xây dựng dựa trên công việc của tất cả những người tham gia trước đó.)
2. Sự hình thành tốt của trang₁: các yếu tố thực sự mã hóa sức mạnh gia tăng. (Xác nhận tính đúng đắn của sự đóng góp của người tham gia mới cho buổi lễ.)
3. Bản cập nhật không xóa được: 𝜏' ≠ 0. (Phòng thủ chống lại những kẻ tấn công đang cố gắng phá hoại hệ thống bằng cách xóa tất cả công việc trước đây của người tham gia.)

Hợp đồng thông minh xác minh bằng chứng và nếu đúng, nó sẽ cập nhật các tham số công khai mà nó lưu trữ. Bạn có thể tìm thêm chi tiết về phép toán và lý do đằng sau nó trong phần repo.

Tính toán chi phí gas

Thách thức chính của việc chạy thiết lập trên chuỗi là làm cho buổi thiết lập đáng tin cậy tiết kiệm gas nhất có thể. Lý tưởng nhất là việc gửi đóng góp sẽ không tốn quá ~$50. (Các dự án lớn có thể trợ cấp khí đốt cho những người đóng góp, trong trường hợp đó có hàng trăm người tham gia, mỗi người chi 100 đô la thì dễ hình dung hơn). Dưới đây, chúng tôi cung cấp thêm chi tiết về các phần đắt nhất của thiết lập. Chi phí khí đốt thấp hơn sẽ giảm chi phí đóng góp và cho phép xây dựng các thông số dài hơn (nhiều công suất tau hơn và mạch SNARK lớn hơn)!

Thiết lập của chúng tôi hoạt động với đường cong elip BN254 (còn được gọi là BN256, BN128 và alt_bn128), có hỗ trợ cho các hợp đồng biên soạn trước sau đây trên Ethereum:

• ECADD cho phép cộng hai điểm trên đường cong elip, tức là tính toán [𝛼+𝛽]₁ từ [𝛼]₁ và [𝛽]₁: tiền xăng 150
• ECMULT cho phép nhân các điểm trên đường cong elip với một đại lượng vô hướng, tức là tính [a*𝛼]₁ từ a và [𝛼]₁: tiền xăng 6,000
• ECPAIR cho phép kiểm tra tích của các cặp đường cong elip, tức là tính e([𝛼₁]₁, [𝛽₁]₂)* … *e([𝛼₁]₁, [𝛽₁]₂) = 1 tương đương với việc kiểm tra 𝛼₁*𝛽₁+ … + 𝛼_k*𝛽_k = 0 : tiền xăng 34,000 * k + 45,000

Ethereum có thể kích hoạt BLS12_381 (như được đề xuất trong EIP-2537), hợp đồng thiết lập của chúng ta cũng có thể dễ dàng được thực hiện để hoạt động cho đường cong khác này.

Hãy ước tính chi phí gas để cập nhật thiết lập thành ([𝜏]₁, [𝜏²]₁, [𝜏³]₁, …, [𝜏ⁿ]₁; [𝜏]₂):

1. Chi phí xăng để xác minh bằng chứng. Mỗi người tham gia cập nhật thiết lập và gửi bằng chứng gồm ba thành phần như mô tả ở trên. Thành phần 1 và 3 của bằng chứng – “kiến thức về nhật ký rời rạc” và “cập nhật không bị xóa” – rất rẻ để xác minh. Thách thức nằm ở việc xác minh thành phần 2, “tính đúng đắn của trang₁”, trên dây chuyền. Nó đòi hỏi một phép nhân đa vô hướng (MSM) lớn và hai cặp:
   e(𝝆₀[1]₁ + 𝆆₁[𝜏]₁ + 𝆆₂[𝜏²]₁ + … + 𝆆_n-1[𝜏^n-2]₁, [𝜏]₂) = e([𝜏]₁ + 𝆆₁[𝜏²]₁ + … + 𝆆_n-1[𝜏^n-1]₁, [hai]₂),
   ở đâu 𝝆₀,…,𝝆_n-1 là các đại lượng vô hướng lấy mẫu giả ngẫu nhiên. Về mặt hợp đồng thông minh được biên dịch trước, sẽ cần:
   (2n-4) x ECADD + (2n-4) x ECMULT + ECPAIR_{k = 2} = (2n-4) x 6,150 + 113,000 khí.
2. Chi phí gas lưu trữ dữ liệu. Mỗi người tham gia cũng lưu trữ bản cập nhật trên chuỗi dưới dạng calldata (68 gas mỗi byte) tính theo n*64*68 gas. (Lưu ý dành cho những người quen thuộc với mật mã đường cong elip: việc lưu trữ các điểm nén sẽ khiến cho việc giải nén chiếm ưu thế về chi phí tổng thể theo phép đo của chúng tôi với n=256.)

Điều này đưa chúng ta đến bảng ước tính chi phí gas sau đây để cung cấp thông tin tối ưu hóa trong tương lai:

Chúng tôi đang khám phá các giải pháp để giảm chi phí gas, vì vậy hãy chú ý theo dõi!

Thư viện mã nguồn mở: evm-powers-of-tau

Chúng tôi đã mở nguồn kho lưu trữ buổi lễ power-of-tau dựa trên EVM của mình tại github.com/a16z/evm-powers-of-tau. Việc tiến hành buổi lễ với chiến lược của chúng tôi rất dễ dàng và minh bạch:

1. Triển khai hợp đồng lưu trữ và xác minh (contracts/KZG.sol)
2. Người đóng góp đọc thông số buổi lễ từ dữ liệu cuộc gọi giao dịch trước đó
3. Người đóng góp tạo bí mật cục bộ, tính toán các tham số được cập nhật
4. Người đóng góp tạo ra bằng chứng của họ: pi1, pi2
5. Người đóng góp gửi các tham số được cập nhật qua KZG.potUpdate() tới hợp đồng thông minh được triển khai trên chuỗi khối công khai
6. Hợp đồng thông minh sẽ xác minh tính hợp lệ của bản cập nhật, hoàn nguyên trong trường hợp gửi không đúng định dạng
7. Nhiều người đóng góp có thể thực hiện vĩnh viễn các bước 2-5, mỗi bước sẽ tăng tính bảo mật cho buổi lễ
8. Bất cứ khi nào nhà phát triển tự tin với số lượng và chất lượng gửi, họ có thể truy vấn chuỗi khối để tìm các tham số hiện tại và sử dụng các giá trị này làm khóa mật mã của mình

Sử dụng repo của chúng tôi Arkworks-rs để tính toán bước hai và ba (có thể tìm thấy phép tính rỉ sét trong src/pot_update.rs), nhưng người dùng có thể muốn tự viết. Bạn có thể tìm thấy toàn bộ quy trình gửi bản cập nhật từ đầu đến cuối trong thử nghiệm tích hợp ở kiểm tra/tích hợp_test.rs.

Lưu ý rằng chúng tôi đã chọn sử dụng calldata để lưu trữ các tham số cường độ tau được cập nhật trên chuỗi vì nó rẻ hơn nhiều so với việc lưu trữ. Có thể tìm thấy truy vấn dựa trên ethers-rs cho dữ liệu này trong src/query.rs.

Cuối cùng, bằng chứng và phương trình chi tiết có thể được tìm thấy trong báo cáo kỹ thuật ở techreport/main.pdf.

Công việc tương lai

Trước khi buổi lễ thiết lập đáng tin cậy này có thể được sử dụng trong sản xuất, trước tiên chúng tôi khuyên bạn nên kiểm tra toàn diện cả bằng chứng toán học và việc triển khai mẫu.

Khi triển khai, chi phí giao dịch cập nhật buổi lễ tăng tuyến tính với quy mô thiết lập. Đối với hầu hết các ứng dụng (SNARK, DAS), chúng tôi muốn thiết lập n >= 256, hiện có giá 73 USD cho mỗi bản cập nhật. 

Chúng tôi có thể đạt được mức tăng trưởng chi phí xác minh tuyến tính bằng bằng chứng STARK về tính toán cập nhật hợp lệ và cam kết vectơ đối với các giá trị được cập nhật. Cấu trúc này cũng sẽ loại bỏ sự phụ thuộc vào tiền biên dịch Ethereum L1 BN254, cho phép sử dụng đường cong BLS12-381 phổ biến hơn.

Tất cả các chiến lược buổi lễ đều có sự cân bằng. Chúng tôi cho rằng công trình này vững chắc và có khả năng chống kiểm duyệt rất tốt, có thể kiểm chứng được. Nhưng một lần nữa, chúng tôi thận trọng không nên sử dụng phương pháp này cho đến khi hoàn thành nhiều công việc hơn để xác minh tính đúng đắn của phương pháp của chúng tôi.

Lời cảm ơn

• Dan Boneh – vì những phản hồi hữu ích ở giai đoạn đầu của công việc này
• Joe Bonneau – vì đã làm rõ phần trình bày trong phiên bản đầu tiên của báo cáo kỹ thuật
• William Borgeaud – để thảo luận về BLS trong TurboPlonk / Plonky2
• Mary Maller – về những suy nghĩ về cơ chế chung của phương pháp này

Biên tập viên: Robert Hackett @rhhackett

***

Các quan điểm được thể hiện ở đây là quan điểm của từng nhân viên AH Capital Management, LLC (“a16z”) được trích dẫn và không phải là quan điểm của a16z hoặc các chi nhánh của nó. Một số thông tin nhất định trong đây đã được lấy từ các nguồn của bên thứ ba, bao gồm từ các công ty danh mục đầu tư của các quỹ do a16z quản lý. Mặc dù được lấy từ các nguồn được cho là đáng tin cậy, a16z đã không xác minh độc lập thông tin đó và không đưa ra tuyên bố về tính chính xác hiện tại hoặc lâu dài của thông tin hoặc sự phù hợp của nó đối với một tình huống nhất định. Ngoài ra, nội dung này có thể bao gồm các quảng cáo của bên thứ ba; a16z đã không xem xét các quảng cáo đó và không xác nhận bất kỳ nội dung quảng cáo nào có trong đó.

Nội dung này chỉ được cung cấp cho mục đích thông tin và không được dựa vào như lời khuyên về pháp lý, kinh doanh, đầu tư hoặc thuế. Bạn nên tham khảo ý kiến ​​của các cố vấn của riêng mình về những vấn đề đó. Các tham chiếu đến bất kỳ chứng khoán hoặc tài sản kỹ thuật số nào chỉ dành cho mục đích minh họa và không cấu thành khuyến nghị đầu tư hoặc đề nghị cung cấp dịch vụ tư vấn đầu tư. Hơn nữa, nội dung này không hướng đến cũng như không nhằm mục đích sử dụng cho bất kỳ nhà đầu tư hoặc nhà đầu tư tiềm năng nào và không được dựa vào bất kỳ trường hợp nào khi đưa ra quyết định đầu tư vào bất kỳ quỹ nào do a16z quản lý. (Đề nghị đầu tư vào quỹ a16z sẽ chỉ được thực hiện bởi bản ghi nhớ phát hành riêng lẻ, thỏa thuận đăng ký và các tài liệu liên quan khác về bất kỳ quỹ nào như vậy và phải được đọc toàn bộ.) Bất kỳ khoản đầu tư hoặc công ty danh mục đầu tư nào được đề cập, đề cập đến, hoặc được mô tả không phải là đại diện cho tất cả các khoản đầu tư vào xe do a16z quản lý và không thể đảm bảo rằng các khoản đầu tư sẽ sinh lời hoặc các khoản đầu tư khác được thực hiện trong tương lai sẽ có các đặc điểm hoặc kết quả tương tự. Danh sách các khoản đầu tư được thực hiện bởi các quỹ do Andreessen Horowitz quản lý (không bao gồm các khoản đầu tư mà tổ chức phát hành không cho phép a16z tiết lộ công khai cũng như các khoản đầu tư không thông báo vào tài sản kỹ thuật số được giao dịch công khai) có tại https://a16z.com/investments /.

Các biểu đồ và đồ thị được cung cấp bên trong chỉ nhằm mục đích cung cấp thông tin và không nên dựa vào khi đưa ra bất kỳ quyết định đầu tư nào. Hiệu suất trong quá khứ không cho thấy kết quả trong tương lai. Nội dung chỉ nói kể từ ngày được chỉ định. Mọi dự đoán, ước tính, dự báo, mục tiêu, triển vọng và / hoặc ý kiến ​​thể hiện trong các tài liệu này có thể thay đổi mà không cần báo trước và có thể khác hoặc trái ngược với ý kiến ​​của người khác. Vui lòng xem https://a16z.com/disclosures để biết thêm thông tin quan trọng.