宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 比特币 > 正文

如何利用门限签名来生成随机信标?

作者:

时间:1900/1/1 0:00:00

编者按:本文来自:以太坊爱好者,作者:ALEXANDERSKIDANOV,翻译&校对:IANLIU&阿剑,Odaily星球日报经授权转载。

回顾2015,DFinity项目提出了令整个社区都为之兴奋的随机信标方案——使用BLS门限签名产生随机输出,同时保证输出的无偏性及不可预测性。然而,时至2020年的今天,构建无偏且不可预测的随机信标仍然困难重重,还在研究的项目少之又少。其实门限签名只是构建随机信标的可行方法之一,我们前面发表过一篇概览文章,介绍其他可能的解决方法,其中包含本文要重点提到的一种。其他细节——随机信标是什么?什么是无偏性及不可预测性?除了门限签名还有什么方法——这些问题都能在上述概览中得到解答。经过了多次设计迭代,我们最终提出类似DFinity的方案,这也是我们进一步深入理解随机信标的大好契机。本文将以浅显的形式,讲述门限签名生成随机数的一系列协议。密码学基础知识

为了更好地了解本文中提到的随机信标,我们需要掌握一些基础密码学知识。首先,我们必须区分两个概念:1.在本文中以小写字母表示标量,或者说普通常量;2.用大写字母表示椭圆曲线上的点。我们不需要对椭圆曲线点了解得很透彻,只要掌握下面两点:椭圆曲线点可以相加,也可以跟标量相乘,然后得到另一个椭圆曲线点。即使知道G和xG的值,也不可能计算出x的值。在本文中,我们还将用到k-1阶多项式p(x);关于p(x),你不用想太多,只要把它当成一个方程就好,而且:只要你知道在k个不同的x下p(x)的值,你就能推导出所有x的p(x)值。以此类推,对于同一个函数p(x)和基点G,如果你知道p(x)G代入k个不同的x值后的值,就可以推导出所有x所对应的p(x)G值。只要明白了有关椭圆曲线点的这些属性,就能深度理解随机信标的工作原理了。随机信标

路透社:SBF欺诈指控回避了关于美国法律如何看待加密货币的争论:1月9日消息,Sam Bankman-Fried可能会发现很难辩诉应该撤销针对他的欺诈指控,因为美国法律如何对待加密货币存在不确定性,就像涉及数字资产的刑事案件中其他被告一样完成了。法律专家表示,这是因为曼哈顿联邦检察官对现已破产的加密货币交易所 FTX 创始人的指控在很大程度上回避了正在进行的关于加密货币是否应作为证券或商品进行监管的辩论。但据专家称,这种不确定性与针对SBF的大部分指控无关。虽然他面临一项串谋证券欺诈的指控,但该指控称他误导了FTX的股票投资者,并未涉及交易所交易资产的性质。[2023/1/9 11:02:36]

假设1:系统中有n个参与者,至少需要其中的k位才能产生随机数。就算控制其中的k-1人,你也不能预知随机信标的输出结果、无法操纵结果。

假设2:现在有个k-1阶多项式p(x),参与者1知道p(1)的值、参与者2知道p(2)的值、……、参与者n知道p(n)的值;大家约好使用G作为椭圆曲线基点,所有参与者都知道p(x)G代入所有x的值。我们将p(i)视为参与者i的“私人份额”,而p(i)G是其“公开份额”要设计好的随机信标,最困难的部分,就是要找到这么一个多项式,使得每个参与者都能知道自己的私人份额,但是无法知道他人的私人份额——这也被称为分布式密钥生成。DKG会放在下个章节讨论,现在就先假设存在这么个多项式,而所有人都知道各自的私人份额。我们接着讨论,如何使用这套假设在区块链协议中产生一个随机信标?假设网络产生一个区块,区块哈希为h。现在参与者们想用h作为种子以生成随机数,首先用约定好的函数,将h转换为某条椭圆曲线上的一个点:H=scalarToPoint(h)对于参与者i来说,因为他知道p(i)和H,所以可以自行计算出H_i=p(i)H。对外公布H_i并不会导致参与者i的私人份额p(i)暴露,因此在每个区块中都能重用同样的私人份额,因此DKG只需要进行一次。根据前面提到的第三点特性,当至少有k位参与者公布他们各自的H_i=p(i)H之后,其他人就能知道代入任何一个x之后,H_x=p(x)H是什么。然后所有参与者都可以在自己本地计算H_0=p(0)H,并以这个结果的哈希值作为随机信标的输出;请注意,因为没有参与者知道p(0),所以唯一能得到p(0)H的方法就是对p(x)H进行内插法计算,要完成内插计算需要知道至少k个p(i)H的值。如果公布的人不足k位,则其他人无法推出p(0)H的值。

数据:谷歌搜索“如何购买NFT”兴趣值达到100 全球对NFT兴趣在八月飙升426%:金色财经报道,根据区块链中心对谷歌趋势数据的分析显示,2021年8月,全球对非同质化代币(NFT)的兴趣增加了426%。2021年8月1日,谷歌搜索关键字“如何购买NFT”的次数为19,但到2021年8月29日,该数字已经上升到100。谷歌的搜索兴趣以点数来衡量,100分最高,0分最低。由于谷歌搜索“如何购买NFT”兴趣值已达到100,这表明创下了2021年迄今为止的最大搜索量。另外根据国家区块链,对数字艺术作品兴趣最高的是新加坡,谷歌搜索值为100,澳大利亚以86分位居第二,尼日利亚紧随其后(70分)。(finbold)[2021/9/8 23:10:29]

基于此技术构建的信标延续了这些我们所需的特性:如果攻击者只掌控了少于k-1位参与者,则他无法操控随机信标的输出;其他k位参与者才能计算出最终输出,他们的子集或其他更多的参与者,都能得出相同的输出。我们还忽略了一件事。为了使用插值法计算p(0)H,必须保证参与者i所公开的H_i真的等于p(i)H。但是因为除了参与者i,其他参与者都不知道p(i)是什么,所以没法直接验证参与者i公布的H_i是否的确等于p(i)H;如果不要求为H_i附上密码学证明,攻击者可以直接声称某个H_i的值,而其他人没有办法辨别真伪。

声音 | 陈纯:除了研究区块链技术本身外 还需要研究如何监管:1月12日,中国工程院院士陈纯在CCF通讯刊文《联盟区块链关键技术与区块链的监管挑战》,文中提到,区块链作为重要的底层基础设施,在其快速发展的过程中,我们要高度重视安全问题。因此,我们除了研究区块链技术本身外,还需要研究区块链如何监管。公有链已经成为新媒体的传播媒介,因为公有链本身具有去中心化、不可篡改、不可删除、低成本的特点。利用区块链去传播有害信息、网络谣言、煽动性与攻击性信息,会给区块链技术的产业布局和发展带来不利影响,同时给监管部门带来很大的挑战。[2020/1/13]

有至少两种密码学证明办法,可以用来判别H_i的真伪。我们会在聊完DKG之后介绍。分布式密钥生成

根据前面章节对随机信标的介绍,我们需要n位参与者共同使用某个k-1阶多项式p(x),使得每个参与者i知道自己的p(i),而其他人无法得知。下一步,需要所有参与者都知道:给定G时,所有的x所对应的p(x)g值。在本章节,我们假设每个人都有自己的私钥x_i,而且其他人都知道x_i对应的公钥X_i。那么运行DKG的一种方式如下:

声音 | 矿海学院创始人Andy:如何利用金融工具锁定利润是新时代矿工必须补的一门课:在今日TokenInsight对话首席第20期《比特币挖矿,你真的懂吗?》的直播中,针对“是否在未来会出现更加智能的丰枯水期预测工具以辅助矿工进行决策?的提问,矿海学院创始人Andy指出:枯水期来临,电力资源减少,势必会淘汰小算力的机器,受影响的将是这部分矿工群体。2019年四川沣水期延迟,这让很多矿工机器停放在矿场无电可挖,如果有准确的沣枯水期预测工具,相信会为矿工提供更好的决策参考。现在大部分矿工考虑的是如何能够找到低价合规稳定的电力资源,然后大部分矿工应该都希望比特币的价格可以涨起来,早期矿工依靠囤币就可以赚钱,这在币价上涨行情下可行,可是2018年持续下行,如何利用金融工具锁定利润是新时代矿工必须补的一门课。[2019/9/6]

每个参与者i在本地运行k-1阶多项式p_i(x)的计算。接着用公钥X_j将每个p_i(j)加密,并发送给对应的参与者j。如此一来,只有参与者j能解密出p_i(j);参与者i还要公布所有p_i(j)G,j∈1~k。所有参与者要对一个至少由k个多项式组成的集合达成共识。因为有些参与者可能掉线,所以他们不可能等到n个验证者都作出如此承诺再进行下一步;只要至少k个验证者都作出“收到至少k个这样的多项式”的承诺之后,他们就可以使用某种形式的共识算法对他们所收到多项式的子集Z达成共识。所有参与者共同验证加密的p_i(j)与公开的p_i(j)G是否对应,并从Z中移除不合格的多项式。对于集合Z中的每个多项式p_i(x),每个参与者j自行计算p_i(j)的总和作为私人份额p(j);同样的,对于集合Z中的每个p_i(x)G,参与者可以计算p_i(x)G的总和作为公开份额p(x)G。

声音 | Circle首席执行官:加密和区块链产业是对公民社会最终如何运作基础的再设计:据Cointelegraph消息,Circle首席执行官Jeremy Allaire在世界银行集团和国际货币基金组织(IMF)2019年春季会议上表示,加密和区块链产业是对公民社会最终如何运作的基础根本性的重新设计。Allaire认为,加密和区块链产业不仅关乎数字支付,还关乎一种新的基础设施,用于记录重要信息,并为构建解决方案提供一个更加去中心化、更具弹性的基础。[2019/4/12]

因为p(x)是每个独立的p_i(x)的总和,每个p_i(x)都是k-1阶多项式,所以要观察p(x)是否也是k-1阶多项式。其次要注意,每个参与者j只知道p(j)的值,但不知道其他p(x)的值。实际上,为了知道p(x)的值,TA需要知道所有的p_i(x),只要至少一个被承诺多项式的值属于未知,TA就不可能知道p(x)。上述步骤组成了完整的DKG过程。步骤1、2、4相对直观,但第3步就比较复杂了。具体来解释第三步——我们需要找个方法,证明每个加密的p_i(j)与公开的p_i(j)G存在对应关系。如果没有这种验证,攻击者i可以向参与者j胡乱发送消息,而不是发送正确的加密p_i(j),导致参与者j无法进一步计算自己的私人份额。虽然有办法可以制作出加密份额的形式正确性密码学证明。但是,这样的证明数据过大,并且要向全网公布这样的证明,时间复杂度可能高达O(nk),证明的size是严重的瓶颈。在NEAR协议中,我们不去证明p_i(j)与公开的p_i(j)G的关系,而是在DKG过程中给予每个参与者充分的时间,去证明“他们收到的p_i(j)与公开广播的p_i(j)G对不上”。协议中假设每个参与者在窗口期内至少会上线一次,而他们提交的挑战就能进入区块链。对于区块生产者来说,这两个假设都很合理,因为要做区块生产者,一般来说在整个epoch中都要在线;如果大多数区块生产者密谋不接收这条消息,其实整个系统就已经不安全,攻击者其实有更好的方式攻击整个系统。

假如某个区块生产者收到无效的公开份额,而且没有及时在DKG过程中提出挑战,则该矿工也无法在该时段中参与随机数生成。请注意,只要其他k个诚实的参与者都能正确计算出份额,协议仍将正常运作。证明

还剩下最后一个问题:我们如何以不透露p(i)为前提,证明自己公布的H_i等于p(i)H?回想一下,每个参与者都知道H、G、p(i)G的值。在给定p(i)G和G的情况下回推p(i)的运算被称为离散对数问题,又简称为dlog。那么每个参与者想做的都是:既能向他人证明dlog(p(i)G,G)=dlog(H_i,H),又不会透露p(i)。的确存在这么一种方法构建上述证明,其中之一就是——Schnorr协议;通过Schnorr协议,参与者能在发布H_i时附上H_i的正确性证明。回想一下,随机信标连的输出是H_0的内插值。对于没有参与生成随机信标输出的人来说,除了H_0,还需要哪些信息来验证这个值的正确性?因为每个人都能自行在本地计算中加入G_0,所以只要证明dlog(G_0,G)=dlog(H_0,H)就行了。但因为信标的特性,我们无法得知p(0),也就无法通过Schnorr协议生成这样的证明。所以如果你要向其他人证明H_0的正确性,就必须保留所有H_i的值及其相应的证明。不过,好消息是,如果有些计算类似于椭圆曲线点乘法,则只需验证H_0×G=G_0×H即可证明H_0的计算正确无误。如果所选的椭圆曲线支持椭圆曲线配对运算,则这种证明是可行的。在这种情况下,任何知道G,H和G_0的人都可以核实H_0;而且H_0也可视作一个集体的多重签名,证明区块n的正确性得到至少k位参与者的检查认证。目前我们还未在NEAR中使用椭圆曲线配对运算,但未来我们可能会使用,然后利用上文讨论的小技巧取代我们当前使用的单一签名方法。另一方面,DFinity使用BLS签名,可以利用配对运算来实现上述签名。

标签:区块链NFTDLO加密货币有人拉你做区块链xNFTYieldLock加密货币持续下跌

比特币热门资讯
币圈新爆仓故事

这是加密世界的至暗时刻。短短24小时内,比特币价格从7600多美元跌到3900美元,市值蒸发550亿美元,全网爆仓230多亿人民币.

1900/1/1 0:00:00
股市崩盘引比特币暴跌,牛市不再来?

前天全球股市的重要指数全数崩盘,就连比特币也一度跌破7,700美元,日内失血1,000点。由于新冠肺炎疫情影响,能源市场抢先崩盘,美国原油期货于3月9日短线暴跌30%,美股跳空开低,投资者再度见证历史.

1900/1/1 0:00:00
黑客松风投基金?初探MetaCartel Ventures的模式创新

3月3日凌晨,MetaCartelVentures正式上线,这是全球第一个基于DAO构建和运行的风投基金。它的启动也标志着之前一直被大家诟病无商业应用场景的DAO向商业化迈出了第一步.

1900/1/1 0:00:00
比特币为何暴跌?我们可能需要重新认识比特币的避险属性

编者按:本文来自LongHash区块链资讯,作者:LongHashYeruiZhang,Odaily星球日报经授权转载。自从2008年中本聪创建比特币以来,比特币点对点,无监管等特性让大家认为这是和传统资产完全背道而驰的资产.

1900/1/1 0:00:00
极端行情,主流交易所谁家强?

编者按:本文来自加密谷Live,作者:Kaiko,翻译:子铭,Odaily星球日报经授权转载。 3月12日至13日,加密市场所有交易所和交易资产均经历了近乎前所未有的市场抛售.

1900/1/1 0:00:00
星球前线 | 减产仅仅数小时,ETC社区惊现“内斗”

Odaily星球日报译者|AzumaEthereumClassicCollective董事会成员JamesWo今日宣布,其已决定离开这家专注于以太经典网络的非盈利研究组织.

1900/1/1 0:00:00