ug环球官网www.ugbet.us)开放环球UG代理登录网址、会员登录网址、环球UG会员注册、环球UG代理开户申请、环球UG电脑客户端、环球UG手机版下载等业务。

原文作者:Valeria Nikolaenko 和 Sam Ragsdale

原文编译:Amber,Foresight News

可信设置仪式(Trusted Setup Ceremony)虽然一直向加密社区提议挑战,但这绝对也是最能让加密社区兴奋的环节。仪式的目的是天生可靠的加密密钥,用于珍爱加密钱包、区块链协议或零知识证实系统。这些程序是项目平安性的信托之根,因此确保分绝不差的操作和执行可信设置仪式至关主要。

现在区块链项目举行可信设置仪式的形式多种多样,包罗但不限于 blowtorches、radioactive dust 以及 airplanes 等,而这几种形式都有一个配合点,也就是他们都依赖于一其中央化的协调器。本文将展示若何通过智能合约替换中央化协调器来让流程实现去中央化,与此同时我们还会开源一个库,允许任何人在以太坊上运行被加密从业者称为 Kate-Zaverucha-Goldberg(KZG)或「powers-of-tau」的仪式。

我们的去中央化方式有局限性,但它仍然有用。由于当前的链上数据限制,加密参数的巨细必须保持不跨越 64 KB。然则介入者的数目没有上限,任何人在任何时刻都能提交孝顺。这些短参数的应用包罗小型零知识 SNARK、数据可用性采样和 Verkle 树等。

可信设置仪式的历史和机制

在典型的可信设置仪式中,一组介入者将协作天生一组加密参数。每个介入方都使用内陆天生的加密信息来天生有助于确立这些参数的数据。适当的设置可以确保加密信息不会泄露,加密信息仅能被根据协议指定使用,而且这些加密信息在仪式竣事时会被完全销毁。只要仪式中至少有一方保证老实而且(在仪式竣事后)销毁了加密信息,那么整个流程就可以被视作是平安的。(固然,条件是代码没有错误)

一些最突出的仪式是由 Zcash 推出的,这是一个以隐私为导向的区块链项目。这些仪式的介入者天生了公共参数,旨在允许 Zcash 用户构建和验证私人加密生意。六名介入者在 2016 年举行了第一届 Zcash 仪式 Sprout。两年后,加密研究员 Ariel Gabizon,现在是 Aztec 的首席科学家,在仪式的设计中发现了一个扑灭性的错误,这个错误是从一篇基础研究论文中继续下来的。该破绽可能使攻击者能够在不被检测到的情形下确立无限的 Zcash 硬币。Zcash 团队将这个破绽保密了七个月,直到系统升级 Sapling(其仪式涉及 90 名介入者)解决了这个问题。虽然基于平安破绽的攻击不会影响用户生意的隐私,但无限伪造的远景损坏了 Zcash 的平安条件。(从理论上讲,不能能知道是否发生了攻击。)

可信设置的另一个值得注重的例子是永远的「tau-power-of-tau」仪式,该仪式主要为 Semaphore 设计,Semaphore 是一种用于以太坊上匿名信令的隐私珍爱手艺。该设置使用 BN254 椭圆曲线,到现在为止已有 71 名介入者。其他着名的项目厥后使用这种设置在顶部运行自己的仪式,包罗 Tornado.Cash、Hermez 网络和 Loopring。 Aztec 在 BLS12_381 椭圆曲线上举行了类似的仪式,有 176 名介入者加入 zkSync,这是一个「第二层」以太坊扩展解决方案,使用零知识汇总。 Filecoin 是一种涣散的数据存储协议,划分在第一阶段和第二阶段与 19 名和 33 名介入者一起举行了仪式,分叉了原始存储库。 Celo 是一个 1 层区块链,也为他们的轻量级客户端 Plumo 举行了一个仪式。

永远仪式对介入者人数没有限制。换句话说,任何人都可以介入任何水平的平安,而不是信托其他人来运行受信托的设置仪式。一个值得信托的介入者确保所有用果参数的平安性;链条与其最强的环节一样壮大。顾名思义,永远仪式可以永远举行,就像原始的 tau 权力仪式的条件一样。也就是说,项目通常会决议仪式的详细最先和竣事时间,这样他们就可以将天生的参数嵌入到协议中,而不必郁闷不停更新它们。

以太坊设计为即将到来的 ProtoDankSharding 和 DankSharding 升级运行一个较小的可信设置仪式 。这两次升级将增添以太坊链提供应客户端举行存储的数据量。此数据的有用期为建议的 30 到 60 天。该仪式正在努力开发中,设计于明年头延续运作六周左右的时间。(请参见 kzg-ceremony-specs 领会更多详情)而它正在成为迄今为止最大的区块链可信设置仪式。

偏执是一种「美德」,尤其当涉及到可信的设置仪式时。若是机械的硬件或软件受到损害,则可能会损坏其天生的隐秘的平安性。泄露隐秘的偷偷摸摸的侧信道攻击也很难清扫。例如,手机可以通过纪录 CPU 振动的声波来监视盘算机的操作。在实践中,由于很难消除所有可能的侧信道攻击 - 包罗那些尚未发现或披露的攻击 - 甚至有人提议将机械飞到太空在那里举行仪式。

现在,严谨的仪式介入者的剧本通常如下。购置新机械(未受污染的硬件)。通过移除所有网卡(以防止内陆隐秘泄露)来举行风险隔离。在法拉第笼中远程未果然的位置运行机械(以挫败潜在的窥探者)。为伪随机加密信息天生器设定大量熵和硬复制数据,如随机输入或视频文件的种子(以使加密信息难以被破解)。最后,通过将一切燃烧成灰烬来销毁加密信息 - 以及任何关于加密信息的痕迹。

协调可信设置仪式

所有可信设置仪式都依赖于一其中央化的协调者。协调者是小我私人或私人服务器或其他实体,他们被委托注册和订购介入者,通过将信息早年一个介入者转发到下一个介入者来充当中继,并保留所有通讯的集中日志以用于审计。协调员通常还卖力永远向民众提供日志,不外必须要认可的是,这种中央化的系统很容易由于治理不善或者一些非人为因素导致信息丢失。

具有取笑意味的是,当去中央化是加密精神的焦点原则时,加密项目必须依赖于中央化的可信设置仪式。因此,我们决议证实直接在以太坊区块链上为永续的 powers-of-tau 举行一个小型仪式的可行性。该设置是完全去中央化的,无需允许的,抗审查的,而且只要任何一个介入者是老实的,都是平安的。根据当前价钱盘算,加入仪式的用度仅为 7 至 400 美元,详细取决于所需效果参数的巨细(在这种情形下,介于 8 和 1024 次 tau 之间)。

到现在为止,我们建议不要将代码用于实验目的以外的任何目的。若是发现代码有任何问题的人向我们讲述,我们将不胜谢谢。我们很愿意网络有关我们方式的反馈和审核。

领会 KZG 或「powers-of-tau」仪式

让我们来探索一下最受迎接的可信设置之一,它被称为 KZG,或「powers-of-tau」仪式。谢谢以太坊团结首创人 Vitalik Buterin,他关于可信设置的博客文章为我们在本节中的想法提供了信息。该设置天生 powers-of-tau 的编码,之以是这样命名,是由于「tau」正好是用于示意介入者天生的隐秘的变量:

对于某些应用(例如 Groth16,Jens Groth 在 2016 年设计的盛行的 zkSNARK 证实方案),设置的第一阶段之后是第二阶段,即多方盘算(MPC)仪式,为特定的 SNARK 电路天生参数。然则,我们的事情仅集中在第一阶段。第一阶段 - 天生 tau 的幂 - 已经可以用作通用 SNARK(例如 PLONK 和 SONIC)以及其他加密应用程序(例如 KZG 准许,Verkle 树和数据可用性采样)的基础构建块。 (DAS)。通常,通用 SNARK 参数应该异常大,以便它们可以支持大而有用的电路。包罗更多门的电路通常更有用,由于它们可以捕捉大型盘算;tau 的幂数大致对应于电路中的栅极数。因此,典型的设置巨细为|pp|= ~40 GB,能够支持 ~2 的电路 28 Gas。鉴于以太坊现在的约束,将云云大的参数放在链上是不能行的,然则对于小型 SNARK 电路,Verkle 树或 DAS 有用的较小的可信设置仪式可以在链上运行。

以太坊基金会设计 为巨细为 200 KB 至 1.5 MB 的 powers-of-tau 运行几个较小的仪式。虽然更大的仪式可能看起来更好,但思量到更大的参数可以确立更有用的 SNARK 电路,现实上,更大的并不总是更好。某些应用程序(如 DAS)稀奇需要一个较小的应用程序![缘故原由异常手艺性,但若是你很好奇,那是由于具有 n 次幂的设置(在 G 中)1) 仅允许 KZG 对≤ n 次多项式的准许,这对于确保 KZG 准许下的多项式可以从任何 n 次评估中重修至关主要。此属性支持数据可用性采样:每次乐成获得(采样)多项式的随机评估时,它保证多项式可以用概率 t/n 完全重构。若是你想领会更多关于 DAS 的信息,请查看 Buterin 在以太坊研究论坛上的这篇文章。

我们设计了一个智能合约,可以部署在以太坊区块链上,以运行可信设置仪式。该合约将公共参数完全存储在链上,并通过用户的生意网络介入。

新介入者首先读取这些参数:

然后对随隐秘钥 τ' 举行采样并盘算更新的参数:

并将它们公布在链上,并附上证实三件事:

智能合约验证证实,若是它是准确的,它会更新它存储的公共参数。您可以在存储库中找到有关数学及其背后推理的更多详细信息。

盘算 Gas 成本

在链上运行设置的主要挑战是使受信托的设置仪式尽可能高效。理想情形下,提交捐钱的用度不跨越 50 美元。(大型项目可能能够为孝顺者津贴 Gas,在这种情形下,数百名介入者每人破费 100 美元更容易想象)。下面,我们提供有关设置中最昂贵部门的更多详细信息。较低的 Gas 成本将降低孝顺成本,并允许构建更长的参数(更多的 tau 功率和更大的 SNARK 电路)!

我们的设置适用于椭圆曲线 BN254(也称为 BN256,BN128 和 alt_bn128),它支持 以太坊上的以下预编译合约:

ECADD 允许添加两个椭圆曲线点,即盘算[α+ β]1 来自 [α]1 和 [β]1: 汽油费 150

,

以太坊开奖网

,

皇冠现金网appwww.hg108.vip)是一个开放皇冠现金网代理APP下载、皇冠现金网会员APP下载、皇冠现金网线路APP下载、皇冠现金网登录APP下载的皇冠现金网平台。皇冠现金网APP上最新登录线路、新2皇冠现金网更新最快。皇冠现金网APP开放皇冠现金网会员注册、皇冠信用网代理开户等业务。

,

www.326681.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。

,

ECMULT 允许椭圆曲线点乘以标量,即盘算 [a*α]1 从 a 和 [α]1: 汽油费 6,000

ECPAIR 允许检查椭圆曲线对的乘积,即盘算 e([α1]1, [β1]2)* ... *e([α1]1, [β1]2) = 1,相当于检查α1*β1+ ... + αk*βk= 0 : Gas 成本 34,000 * k + 45,000

若是以太坊能够启用 BLS12_381(如 EIP-2537 中所建议的那样),我们的设置条约也可以很容易地用于其他曲线。

让我们估量将设置更新为

验证证实的 Gas 成本。 如上所述,每个介入者都市更新设置并提交包罗三个组件的证实。证实的组件 1 和 3 - 「离散日志知识」和「更新是非擦除的」 - 验证起来异常廉价。挑战在于验证组件 2,「pp 的优越成形性」1「,在链上。它需要一个大的多标量乘法(MSM)和两个配对:

其中 ρ0,...,?n-1 是伪随机采样标量。就预编译的智能合约而言,需要:

存储数据的 Gas 成本。 每个介入者还将链上更新存储为挪用数据(每字节 68 gas),占 n * 64 * 68 gas。(对于那些熟悉椭圆曲线密码学的人来说,需要注重一点:凭证我们对 n = 256 的丈量,存储压缩点将使解压缩主导总体成本。

以此估算出的 Gas 成本如下:

固然我们也还在探索降低 Gas 成本的解决方案。

开源库:evm-powers-of-tau

我们已经在 github.com/a16z/evm-powers-of-tau 开源了基于 EVM 的 powers-of-tau 仪式。使用我们的计谋举行仪式既简朴又透明:

  • 介入者从以前的事务挪用数据中读取仪式参数

  • 介入者在内陆天生一个密钥,盘算更新的参数

  • 孝顺者天生他们的证实:pi1,pi2

  • 孝顺者通过 KZG.potUpdate()将更新的参数提交给公共区块链上部署的智能合约

  • 智能合约将验证更新的有用性,在提交名堂错误的情形下恢复

  • 多个孝顺者可以永远执行步骤 2-5,每个步骤都可以提高仪式的平安性

  • 每当开发职员对提交的数目和质量有信心时,他们就可以在区块链中查询当前参数,并将这些值用作加密密钥。

我们的存储库使用 arkworks-rs 来盘算步骤 2 和 3(rust 盘算可以在 src / pot_update.rs 中找到),但用户可能想要编写自己的。更新提交的整个端到端流程可以在 tests/integration_test.rs 的集成测试中找到。

请注重,我们选择使用 calldata 在链上存储更新的 powers-of-tau 参数,由于它比存储廉价几个数目级。可以在 src/query.rs 中找到此数据的基于 ethers-rs 的查询。

最后,证实和详细的方程式可以在 techreport/main.pdf 的手艺讲述中找到。

未来事情设计

在将这种可信设置仪式用于生产环境之前,我们建议首先对数学证实和示例实现举行周全审核。

随着实行,更新仪式的生意成本随着设置巨细而线性增进。对于大多数应用程序(SNARKs,DAS),我们希望设置 n > = 256,现在每次更新的用度为 73 美元。

我们也许能够通过有用更新盘算的 STARK 证实和对更新值的向量准许来实现亚线性验证成本增进。这种结构还将消除对以太坊 L1 BN254 预编译的依赖性,从而可以使用更盛行的 BLS12-381 曲线。

所有的仪式计谋都是经由频频权衡和测试的。我们以为这种结构是可靠的,而且具有很好的可验证和抗审查性。但同样,在完成更多事情来验证我们方式的合理性之前,直接使用文中提到的这一方案仍然需要高度郑重。

查看更多 usdt收款平台声明:该文看法仅代表作者自己,与本平台无关。转载请注明:皇冠现金网app:联博api接口(www.326681.com)_a16z:详谈去中央化链上可信设置仪式的可行性
发布评论

分享到:

Telegram好玩的bot(www.tel8.vip):以太坊高度数据(www.326681.com)_已往7天,RTFKT铸造了跨越1100万美元的NFT
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。