侧链:私密交易

昕阳小编 102 0

本文翻译自元素链官网:http://elementsproject.org?上的链接:

https://people.xiph.org/~格雷戈/confidential _ values.txt?2015/06/11

译者:申屠青年,新浪微博博士,深圳大学国防科学技术ATR重点实验室@我看比特币

注:本文可随意转发,请留下译者信息,如果您认为本文对您有用,请捐给译者,以便翻译更多比特币核心资料。捐赠地址:1 avjjjrchqdj 8 rhvz 9 xyc 422 ikuyja 12

比特币在国内已广为人知,但技术研究并未有效开展。大部分人都是在知道和了解的层面。一个重要原因是比特币的核心资料大部分都是英文的,很少有人能在冥想中读懂这么复杂的英文资料。我打算在研究其英文技术的同时翻译一些重要资料,让更多业内人士对比特币有更好的了解。

本文涉及侧链技术,是元素链Alpha版本中重要特性“私有交易”的技术说明文章。

元素链中最有用的新特性之一是私密交易,这是一种用于提高比特币隐私性和安全性的加密工具。此功能仅允许交易的参与者(或其指定人员)了解交易金额。

比特币区块链的安全性由统一验证来保证:每个参与者独立自动验证每笔交易的合法性,不信任第三方。另一个不利影响是,所有交易数据都必须公开,才能公开验证,这对于传统金融机构的正常需求来说,确实很奇怪。

侧链:私密交易-第1张图片-昕阳网

不充分的金融隐私会给企业和个人带来严重的安全和隐私问题。如果没有足够的隐私保护,窃贼和欺诈者会将注意力集中在高价值的目标上,商业竞争对手会知道商业细节,他们的谈判地位也会被泄露。因为公共信息需要交易,隐私机制的缺失使得其他人可以免费获得相关信息。隐私不足还会导致可替代性的丧失——一些货币比其他货币更容易被接受——进一步削弱比特币作为货币的功能。

比特币使用地址部分来解决隐私问题。如果人们不知道哪个用户拥有某些地址,隐私就可以得到保证。但是只要和别人交易,至少知道对方一个地址。从这个地址,您可以追踪到其他相关地址,并评估交易金额和保留金额。举个例子,假设你的老板用比特币支付你的工资,你后来用这些比特币支付你的房租和食物。你的房东和超市知道你的收入。当你的收入增加时,他们可能会提高给你的价格,或者把你当作盗窃的目标。

目前有一些进一步提高比特币私密性的技术(比如CoinJoin,通过联合支付的方式组合交易),但是这些技术的应用并不多,因为可以追溯金额。

在竞争链中还提出了其他密码技术来改善隐私,但它们都破坏了“修剪”(比特币创建文章的第7部分),使得用户需要不断增长的数据库来验证新的交易,因为这些系统不知道硬币是否已经被花掉。大多数密码隐私系统的性能很差,负载很高或者需要很强的密码假设(并且不容易理解)。

私密交易使交易金额更加私密。同时,它允许公共网络验证剩余的区块链交易。要做到这一点,不需要在比特币系统中加入新的密码假设,系统开销可控。

CT(私密交易)由于加性同态承诺的密码技术是可行的。另一方面,CT还实现了额外私有“备忘录”数据(如发票号或取款地址)的交换,通过回收大部分CT密码证明的开销,交易规模不会增加。

以下工作由亚当贝克(Adam Back)第一篇关于比特币的帖子《具有同态价值的比特币》完成:【https://bitcointalk.org/index.php?Topic=305791.0】。 为了创建CT,我们实现了几个新的密码系统,发明了环签名的推广和几个新的优化方法,使得结果更加高效。

2.1彼得森承诺

CT的基本密码工具是彼得森承诺。

promise场景允许您将一部分数据作为私有数据,但是要保证您以后不能更改这些数据。用hash函数构造一个简单的promise场景如下:

promise=SHA256(盲因子||数据)

如果你只告诉别人你的承诺,别人无法确定你承诺了什么数据(给定一些哈希表的性质假设)。但是你后来透露了致盲因素和数据,别人可以运行哈希函数来验证是否符合你之前的承诺。致盲因素肯定是存在的,不然别人也可以试着去猜测数据。如果你的数据少而简单,成功的概率就高。

pedersen的承诺与上述场景中的类似,但增加了一个特性:承诺可以相加,多个承诺的和等于数据的和(盲化因子的集合是盲化因子的和):

C (BF1,DATA1) C (BF2,DATA2)==C (BF1BF2,DATA1 DATA2) C (

if data _ n={1,1,2} and BF _ n={5,10,15}则:C (BF1

通常,ECC公钥是由私钥X乘以基点g生成的

PUB=xG

结果通常保存为33字节的数组。

ECC公钥服从之前描述的加法同态:

pub1publ2=(x1x2 (mod n)) g

(以上特性被BIP32分层确定性钱包用来允许第三方生成新的比特币地址)

pedersen承诺了额外的基点(我们称之为H点)生成方法所以没有人知道H vs G我们用g hash选择H:

H=to _ point(sha 256(encode(g))]

Here to _ point取

给定两个基点,我们可以构造如下承诺场景:

promise=xgah

其中x是隐私致盲因子,a是我们想要承诺的金额。可以用加法交换律来验证加法同态许诺场景中的相关性。

彼得森的承诺是信息理论的隐私。你看到的所有承诺,总能找到一些致盲的因素,这些因素可以配以任何数额的金钱。如果你的致盲因子真的是随机的,就算是拥有无限计算能力的攻击者也说不出你承诺的数量。这些承诺对于假承诺在计算上是安全的,实际上你不能计算任意的映射。如果你做到了,就意味着你可以找到两个基点相对于彼此的离散对数,也就意味着承诺组的安全性受到了损害。

2.2彼得森承诺应用

借助这个工具,我们将比特币交易中的8字节整数替换为32字节彼得森承诺的金额。

如果交易的发起者仔细选择它们的盲因子以便正确地添加它们,则网络可以通过将承诺添加到0来验证交易。

(in 1in 2 in 3 lain text _ input _ amount * h.)-(out1out2out3.费用* h)==0

以上公式要求交易成本明确,在实际交易中没有问题。

生成承诺和承诺验证非常简单。不幸的是,如果没有额外的措施,这种情况是不安全的。

问题是群是循环群,加法需要mod 尚力财经小编2022 P(一个用来定义群秩的256位素数)。这样一来,大数相加就会“溢出”,从而类似于负数。因此,当一些输出量为负时,承诺加起来为0的特征仍然存在,导致凭空产生了5个比特币。

(1 ^ 1)-(-5 ^ 7)==0

上面的公式可以解释为“有人花了2个比特币,得到了-5个比特币,7个比特币”。

为了防止这种情况发生,当交易中有多个产出时,我们必须证明每个承诺的产出量都在允许的范围内(如[0,2 64]),并且没有溢出。

我们可以公开金额和致盲因子,以便网络进行检查,但这样我们就失去了所有隐私。因此,我们必须证明承诺的金额在允许的范围内,不要透露任何信息,除了:我们需要一个额外的密码系统来证明彼得森的承诺范围。我们使用了一种类似于Schoenmakers的二进制分解的技术,但是做了很多优化(包括不使用二进制)。

我们从基本的EC签名开始。如果生成了签名,签名的“消息”就是公钥的散列,证明签名人知道私钥,也就是公钥对某些基点的离散对数。

对于P=xG这样的“公钥”啊,因为基点H的存在,没有人知道P对基点g的离散对数,因为除非a为0,否则没有人知道x使xG=H。如果a是0,那么P=xG,离散对数正好是x,会有人签署公钥的。

以承诺为公钥,对承诺的哈希值进行签名。通过这种方法,可以证明彼得森承诺是一个零价值的承诺。在签名中使用公钥是为了防止签名被设置为任何值,以及破解承诺。签名的私钥是盲因子。

进一步,假设我想证明C是对1的量的承诺,但是不告诉你致盲因子。你能做的就是计算:

C'=C-1H

然后向我要公钥C '(相对于基点G的签名)的签名。如果我能做到,那么C一定是对金额1的承诺(否则我就破解EC离散对数)

2.3环签名

为了避免给出金额,我们还需要另一种密码学技术:环签名。环是存在两个(或多个)公钥的签名场景,签名证明签名人知道至少一个公钥的离散对数。

使用环签名,我们可以构造另一尚力财经小编2022个场景。我证明承诺是金额为0或1的承诺。我们称这种情景为“或证明”。

首先,我给你C,你计算C'

C'=C-1H

。然后我提供{c,c'}上的环签名。

如果C是对金额1的承诺,那么我不知道它的离散对数,但是C '变成了对金额0的承诺,我知道它的离散对数(也就是致盲因子)。如果C是承诺量0,我知道它的离散对数;我不知道C '是对1的量的承诺时的离散对数。如果这是其他任何金额的承诺,没有一个结果是0,所以我不能签。

以上机制对任何数对都有效,只需将量经过适当预处理后放入环中,或者2个以上的数。

假设我要证明C在区间[0,32]内。现在我们有证据了。想象一下,我给你发一组承诺,每个承诺都有一个或证明:

C1 is 0或1c 2 is 0或2c 3 is 0或4c 4 is 0或8 C5 is 0或16

如果我为C1-C5选择正确的盲因子,它可以使我建立一些有效的二进制数,以及一个只能在[0,32]范围内的5位数。

许多优化方法可以使证明过程更有效:

首先,我提出一个新的更有效的环签名公式,Borromean环签名,每个公钥只需要32个字节,加上其他不同环可以共享的32个字节。与以前的构造方法相比,这种环签名可以提供两倍的效率。

https://github.com/blockstream/borromean _ paper/raw/master/borromean _ draft _ 0.01 _ 34241bb.pdf

CT金额不是直接用金额表示,而是用十进制浮点数表示。每个数都要乘以一个基数为10的指数,

例如:11.2345和0.0112345可以有相同大小的证书,即使这两个数相差一千倍。

还有一种非私送“最低金额”。如果用户愿意披露一些最低金额信息(最低金额信息将被公开),它允许较小的证据覆盖更大范围的金额,也允许在使用指数时最小有效数字为非零。将最小金额减去交易中的第一笔尚力财经小编2022金额,然后证明该值不为负。

浮点尾数采用四进制编码,而不是二进制编码,因为可以降低要发送的承诺的值,使签名数据大小相当于二进制。

对最后一个尾数的承诺可以跳过,对证明值的承诺可以从前到后创建,其他数也可以。

最后,通过在证明中小心地使用非随机化签名,硬币的接收者(由于ECDH密钥协议,接收者与发送者共享一个秘密)可以“倒回”证据,并使用它来提取发送者发送的消息,这是证据大小的80%。我们利用这个原理向接收方提供金额和盲因子,但也可以用来加载参考号或取款地址等信息。

2.4实现

结果,32位量的证明长2564字节,同时传输2048字节的报文。一个32位的证据最多可以覆盖42.94967296BTC,精度为1e-8,429.29629947476我的代码在i7-4770R计算机上每秒可以验证1300个32位的证书,可以进行多方面的优化。

该实现支持任何尾数大小或指数大小。通过发送方掌握的参数,性能和大小通过尾数位数线性相关;支持奇数位(最后一位转换为基数2)。

在要素链中,只有在导出多个私有金额(包括费用)时才需要范围证明。将多个私有金额合并为一个输出的事务不需要范围证明,因为所有的输入金额都是正确的。

扫描密钥用于验证可重写作用域证书的共享私钥。通过共享扫描密钥,这种方法与监控钱包完全兼容,用户可以与审计人员共享这些密钥,以便他们可以看到交易金额。

证据可以支持最低金额。如果只有一个私有输出,甚至在支付后,允许跳过范围证明,或允许节点跳过或使用欺诈性证据来延迟大规模证据的验证。以上事实将用于今后的工作中。

这里描述的系统不依赖于任何基本的新同态密码学假设,只有secp256k1椭圆曲线离散对数问题的难度假设,以及随机预言假设,就像比特币的正常签名一样。

当证明范围的大小非常规时,与其他替代方案(如零币)相比,它们占用的空间更少,验证速度更快。它们占用的大部分空间可以回收用于用户之间的额外数据通信,这是公共通信网络中经常需要但难以验证的功能。与签名类似,范围证明可以单独放在区块链的分支机构上,这样客户就不必关注(例如,以前的区块)以避免收到这些区块。

最重要的是,这个场景兼容区块链剪枝,不会让比特币的验证状态永远增长;同时兼容CoinJoin和CoinSwap,允许交易链的隐私性,纠正这些技术在隐私性方面的严重缺陷(交易金额泄露隐私)

与其他建议不同,本系统不仅是技术预测,也不是是纯密码学研究,而是已经与比特币系统整合。

私密交易在元素链中启用,并且作为常规交易的默认形式。

标签: 2022

抱歉,评论功能暂时关闭!

微信号已复制,请打开微信添加咨询详情!