交易隐私 是加密货币不可或缺的组成部分,也是许多用户最重要的组成部分之一。 虽然比特币通常被主流媒体描述为一种匿名的价值转移媒介,但事实是比特币只是伪匿名的。
比特币账本是 完全透明 尽管用户身份隐藏在字母数字地址后面,但仍有一些方法可以跟踪地址和身份之间的相关性。 身份的混淆为用户提供了一定程度的匿名性,但是,每笔交易中转移的金额都是可见的,从而丢失了一定程度的保密性。
作为该问题的解决方案,一些以隐私为中心的加密货币采用了 机密交易(CT), 这混淆了交易中转移的金额,使用 承诺 (特别 彼德森承诺) 到金额。
在实施 CT 时,如果转移价值没有公开透明,验证交易是否有效需要使用 范围证明 确保交易输入的总和大于交易输出的总和以及所有交易值都是正数。
这些范围证明附加到每笔交易中,并导致更大的交易规模,这可能导致具有多个输出的交易需要多个范围证明,进一步增加交易规模,并降低验证和存储效率。 进入 防弹.
防弹背景
Bulletproofs 由斯坦福大学应用密码学小组 (ACG) 于 2017 年 XNUMX 月在 学术论文 伦敦大学学院和 Blockstream 的贡献。
防弹是 “知识系统的新零知识论证,证明秘密承诺值位于给定区间内。” 防弹名称归功于 Shashank Agrawal 将它们描述为“像子弹一样短,具有防弹安全假设。=
被称赞为验证 CT 承诺的有效和有用的进步,防弹是简短的、非交互式的零知识证明,不需要可信设置。 它们实际上是一种更有效、更安全的范围证明形式,它利用 zk-SNARKS 和 STARK 中所见的零知识证明方法,但不需要像 ZK-SNARKS 并且没有 STARK 大。 它们的应用在各种不同的系统和情况下都是有益的,其中许多在学术论文中直接进行了概述。
Bulletproofs 特别适合区块链的分布式和去信任特性,与当前的范围证明实现相比,可以节省大量的长期成本、节省大量空间、降低费用和更快的验证时间。 不过,在深入研究防弹的工作原理之前,首先了解两个术语很重要,范围证明和零知识证明。
范围证明
基本上,范围证明是承诺验证的一种形式,它允许任何人验证承诺是否代表指定范围内的金额,而无需透露有关其价值的任何其他信息(称为秘密值)。
例如,可以使用简单的范围证明来验证某人的年龄在 28 到 52 岁之间,而无需实际透露该人的确切年龄。
这对机密交易的验证具有重要影响。 在以匿名为中心的加密货币(如门罗币)中,它用于验证支付金额是否为正,而不会实际透露交易中转移的金额。
更具体地说,在基于事务输出的系统中,它证明了已提交的输入大于已提交的输出的总和,而实际上并未透露已提交的输入或输出。
根据当时的斯坦福论文,“所有当前的机密交易实现都使用承诺值的范围证明,其中证明大小在 n 中是线性的。=
关于防弹的关键部分是“线性 n”, 这意味着范围证明的大小与证明范围内的输出和比特数呈线性关系。
结果是,在 CT 中,范围证明占据了交易规模的大部分。 在防弹设计之前,这是一个很大的问题,因为使用 CT 的匿名加密货币(如 Monero)的区块链大小比不使用 CT 的典型加密货币增长得快得多。
最终,使用 CT 的区块链的大小对于许多没有必要磁盘空间来下载整个区块链的用户来说将变得非常不切实际,从而间接影响全节点的去中心化。
零知识证明
如果您正在阅读本文,那么您之前可能听说过加密货币领域的零知识证明,因为它们代表了一个非常有趣的概念,该概念基于一些令人生畏的数学。 这个概念很难掌握,但它们的实施与学术机构正在进一步推进这一概念的事实相结合,应用于加密货币,对于该行业来说是一个非常令人鼓舞的迹象。
本质上,零知识证明是密码学中的一种方法,其中一方可以向另一方证明他们知道变量的值 y 没有传达任何其他信息,除了他们知道 y.
传统上,这意味着验证者和证明者之间有某种形式的交互。 然而,防弹衣是 非互动 零知识 知识论据, 这是零知识证明的一种特定变体,证明者和验证者之间不需要交互。
这可以通过依赖离散对数假设并使用 菲亚特-沙米尔启发式 使它们不具有交互性。
那么什么是防弹?
回到防弹材料。 如前所述,防弹文件依赖于离散对数假设来保证安全性,并使用 Fiat-Shamir 启发式算法来实现非交互性。
这导致防弹文件的大小仅与输出数量和范围证明的大小成对数增长。 结果是可以大大减少实现 CT 的交易规模。
Monero 表示他们已经将交易规模减少了 80% 使用防弹材料也可以减少 80% 的费用。
防弹证明不仅可以帮助减少使用 CT 的交易规模,它们还允许证明者将具有多个输出的交易的多个范围证明聚合到一个单一的、简短的证明中。
与具有多个输出的事务需要为每个输出进行范围证明不同,它们都可以聚合为一个。 此外,防弹文件的验证不仅在尺寸上更有效,而且在时间上也更有效。
在外面 ZK-SNARKS,比防弹验证更快,验证防弹的时间比现有的范围证明要短,从而加快区块链验证。
重要的是,防弹文件不需要受信任的设置。 可信设置是使用零知识证明 zk-SNARKS 时需要的有争议的一次性设置。
问题在于,这种一次性设置要求用户需要隐式信任为一次性设置创建密钥的人,以便在完成后销毁它们,否则可以使用它们 创建一个 无限 原生代币的数量, 未发现. 显然,可信设置存在严重问题。
防弹的证明比其他范围证明短得多,并且“允许输入是 Pedersen 对见证元素的承诺。=
它们所产生的影响是简短的、非交互式的零知识证明,使防弹文件能够被优化并应用于各种情况,例如支持高效的多方计算 (MPC) 协议以及实施复杂的、保护隐私的智能合约。
防弹的应用
Bulletproofs 有效地支持一个简单的 MPC 协议,该协议“允许具有秘密承诺值的多方共同为其所有值生成单个小范围证明,而无需向彼此透露其秘密值。=
从本质上讲,对于一个包含多方输入的复杂机密交易,他们提出的 MPC 协议将能够将所有需要的证明聚合成一个完整的交易的简短证明。
由此带来的效率和节省是不可低估的。
Provisions 协议是一项创新,它允许比特币交易所在不透露任何其他信息的情况下证明他们有偿付能力。
这是验证交易所的偿付能力的重要一步,否则交易所被认为是不可信和无力偿债的,而交易所实际上不必向公众公开账簿。
该协议依赖于范围证明“以防止交易所插入余额为负的虚假账户。” 这些样张尺寸非常大,并且与客户数量呈线性关系。
Bulletproofs 是 Provisions 协议中使用的非交互式零知识证明的自然替代品,可以将交易所的整体证明大小减少近 300 倍。
以太坊中高度表达的智能合约是公开的,不会为合约的参数提供一定程度的隐私。
已经提出了非交互式零知识证明作为合约内的隐私机制,但是,合约的计算在整个区块链网络中是有限且昂贵的。 SNARK 是另一种潜在的解决方案,但有问题的是,它需要一个可信的设置。 你可以看到这是怎么回事。
Bulletproofs 是不需要可信设置的简短证明,非常适合在表达性智能合约中保护隐私的作用。
尽管作为一个直接的插件,防弹在这方面并不便宜,但结合激励委托模型,除非一方对其验证提出质疑,否则不需要执行证明的有效性。
提出错误挑战的各方将受到惩罚,此外,这种设计可以通过高效的多方计算得到支持。
结论
Bulletproofs 在零知识证明和其他用于保护和混淆交易金额的协议的重要研究领域中是一项重要且广泛适用的创新。
与机密交易的内在权衡是它们的规模更大。 有了防弹,在保护隐私和安全的同时显着减少这种权衡的机会是向前迈出的重要一步。
随着越来越多的重点放在用于保护交易和提供匿名性的基础协议上,观察学术界如何响应并继续在已经处于创新前沿的领域的前沿发展技术将是一件令人着迷的事情。
