• 简体版 | 繁體版
  • 联系我们
  • 加入我们
  • 关于我们
  •  
  • 首页
  • 快讯
  • 价值号
  • 视频
  • 专题
  • 深度
  • 入驻价值号
  • 碳链APP
    微信公众号

    扫码下载App

  • 登录
  • 微信公众号

    微信公众号

导航
  • 首页
  • 快讯
  • 区块链+
  • 价值号
  • 视频
  • 专题
  • DeFi优选
碳链价值APP
专注服务于金融科技和区块链
立即打开

a16z:通过去中心化随机信标构建Web3公共随机性

DaorayakiDaorayaki  •  2022-10-19
本文将探索通过分布式随机信标构建可公开验证的随机性的方法,然后讨论一些链上应用程序

创作者:Joseph Bonneau 和 Valeria Nikolaenko

翻译者:Shaun@DAOrayaki.org

审核者:DAOctor@DAOrayaki.org

原文:Public Randomness and Randomness Beacons

共随机性是许多现实世界安全协议的重要组成部分。在某些应用程序中,例如赌博和多人游戏,随机性会增加乐趣。在其他应用中,随机性提供了一种公平的方式来分配不可分割的资源,从绿卡到巡回法院法官的案件分配,再到体育比赛的种子。它还用于分配负面资源,例如税务审计或机场的二次安检。

传统上,我们依赖受信任的权威来为这些协议生成随机性,但在 web3 世界中,我们需要做得更好。在这篇文章中,我们将探索通过分布式随机信标构建可公开验证的随机性的方法,然后讨论一些链上应用程序。(即将发布的第二部分将特别关注领导人选举,同时提供对替代领导人选举方法的评估。)

预期属性

生成随机数是一项众所周知的微妙任务。例如,许多加密密钥已经泄露,因为它们依赖于一个有缺陷的随机数生成器(Cloudflare 的熔岩灯墙可以作为一种创造性的缓解措施)。然而,这只是私人随机性,只有一方需要生成和使用它。

相比之下,公共随机性是一个多方参与过程,这大大增加了难度。产生公共随机性的良好协议将具有以下安全属性:

  • 无偏倚:任何攻击者或攻击者联盟都不应该能够使输出产生偏差。可靠:任何攻击者都不能阻止协议产生输出。
  • 可验证:任何人都可以轻松验证协议输出,并且应该看到与其他人相同的输出。
  • 不可预测:如果协议在 T1 时间产生输出,那么在某个时间 T0<T1 之前,没有人应该能够预测关于输出的任何事情,理想情况下,T0 非常接近 T1。

无偏倚是比不可预测性更弱的属性,因为任何不可预测的协议都必须是无偏的。计算机科学家会说,无偏倚会降低为不可预测性,因为如果你有偏见,你就可以预测。但有时我们会想要分别推理它们,因为它们可能依赖于不同的假设——例如,不诚实的多数人可能会预测结果,但不会对其产生偏见。

除了这些属性之外,该协议还应该能够高效地运行并产生大量随机位。(在实践中,应用程序生成 128 个随机位通常就足够了,使用它们来播种伪随机数生成器 [PNRG] 以根据需要输出更多位。但是,对于输出的每个单独位都应保持不可预测性,以用于此类应用程序作为彩票或资源分配。)理想情况下,该协议在通信和计算成本方面也应该是有效的。

不同的协议可能会在不同的条件下实现这些属性。例如,某些协议可能不受任何 f1 恶意节点联盟的偏见,并且无法被任何 f2<f1 恶意节点联盟预测。也有不同程度的偏见。例如,在某些协议中,参与者可能能够将输出偏置“一位”——这意味着他们可以在两个可能的输出之一之间进行选择。其他攻击可能允许他们完全修复输出。然而,通常情况下,我们根本不想容忍任何偏见(或可预测性)。

密码学理想:随机信标

密码学家通常从考虑问题的理想解决方案开始。在公共随机性的情况下,随机信标是一种理想化的服务,它定期产生满足所有必要安全要求的随机输出。

这种理想化的随机信标,类似于其他加密抽象——例如随机预言或通用组模型——在现实世界中并不存在。但这是一个有用的目标,也是一个有用的模型来推理依赖公共随机性的协议。

我们可以考虑一些理想随机信标的近似值。

  • 集中式信标:产生良好随机性的最简单方法是通过具有 NIST 随机性信标或 random.org 等服务的集中式第三方,它从大气噪声中产生随机性,并经认证可用于赌博。这种对第三方的依赖完全破坏了去中心化的理念。实际上,在上面的示例中,我们必须相信相关组织正在正确地生成随机性,而无需任何加密证明。
  • 物理随机性展示:许多传统彩票依赖于公共展示,例如,可能包括有人伸手伸入一个装有不同数字的乒乓球容器。不幸的是,这些通常很容易操作。例如,某个球s 可以放在冰箱中,然后可以告诉选择器选择冷的。
  • 自然信标:一个常见的想法是使用随机的自然现象,如天气或宇宙背景辐射作为信标。不幸的是,所有提议的来源都没有提供强烈的共识。不同的观察者会看到略有不同的值,这需要重新引入可信方进行官方测量,具有中心化信标的所有缺点。
  • 半集中式信标:更好的方法是直接从比特币区块头或股票收盘价中获取随机性,这更容易公开验证,任何一方都更难以完全控制。然而,对工作量证明区块链随机性和股价随机性的微妙攻击仍然存在。例如,使用区块链标头,矿工可以选择保留标头产生他们不喜欢的信标值的块。或者,他们可以选择在根据首选信标输出找到两个碰撞块时打破平局。

去中心化随机信标 (DRB)

解决集中式信标问题的一种自然方法是设计一个分散的密码协议来产生公共随机性。这个问题有点像设计去中心化的共识协议,只是更难。不仅所有参与者都需要就输出(随机性)达成一致,而且协议中的恶意参与者也不应该对输出产生偏见或预测。

旨在模拟随机信标的协议称为分布式随机信标 (DRB)。(其他名称包括“distributed coin-flipping”。)这个问题已经研究了几十年,在 1980 年代证明了著名的不可能结果,但在区块链时代重新点燃了兴趣。DRB 可用于提供链上随机性,这将是公平、安全和透明的链上应用程序的关键要素。

经典方法:承诺-披露协议

在乐观情况下,一个非常简单的两轮协议足以满足 DRB 的需求。在第 1 轮中,每个参与者 i 生成一个随机值 ri 并发布一个密码承诺 ci=Commit(ri)。在这个应用程序中,承诺可以简单地是一个像 SHA-256 这样的哈希函数。在每个参与者的承诺发布后,他们被锁定在他们选择的 ri 中,但承诺不会透露有关其他参与者贡献的任何信息。在第 2 轮中,每个参与者通过发布 ri 来“开启他们的承诺”。然后组合所有随机值,例如通过对它们进行异或或(最好)散列它们的连接。

该协议很简单,只要其中一个参与者随机选择他们的 ri,就会产生随机信标输出。不幸的是,它存在一个典型的缺陷:当所有参与者都透露了他们的随机值时,最后一个参与者能够计算假定的信标输出。如果他们不喜欢它,他们可以拒绝发布他们的值,中止协议。忽略错误参与者的贡献并不能解决问题,因为这仍然让攻击者在两个信标输出之间进行选择(一个用他们的贡献计算,一个不计算)。

区块链为这个问题提供了一种自然的补救措施:每个参与者都可能被要求将一些资金放入托管中,如果他们不透露他们的随机贡献,这些资金就会被没收。这正是以太坊上经典的 RANDAO 信标所采用的方法。这种方法的缺点是输出仍然可能有偏差,如果托管中的资金少于信标结果上的资金量,这对攻击者来说可能是值得的。更好地抵御偏向攻击的安全性需要将更多的代币放入托管中。

承诺-披露-恢复协议

一些协议不是试图强迫所有各方透露他们的随机贡献,而是包含一个恢复机制,这样即使少数参与者退出,其余参与者也可以完成协议。重要的是,协议在任何一种情况下都产生相同的结果,这样各方就不能通过选择是否退出来偏向结果。

实现这一目标的一种方法是让每个参与者向其他参与者提供其秘密的共享,以便他们中的大多数人可以使用例如 Shamir 的秘密共享来重建它。然而,一个重要的属性是其他人可以验证提交的秘密是否已被正确共享,这需要使用更强大的原语,称为可公开验证的秘密共享 (PVSS)。

其他几种恢复机制也是可能的,但它们都有相同的限制。如果有 N 个参与者,并且如果任何最多 f 个节点的组退出,我们想要弹性,那么任何 N-f 个参与者组都必须能够计算最终结果。但这也意味着 N-f 参与者的恶意联盟可以通过私下模拟恢复机制来提前预测结果,这也可能发生在协议的第一轮,在此期间,这样的联盟可以修改他们自己的随机性选择并使结果产生偏差。

换句话说,这意味着任何 N-f 个节点的联盟必须至少包含一个诚实节点。通过简单的代数,N-f > f,所以 f < N/2,这些协议本质上需要诚实的多数。这与原始的 commit-reveal 安全模型有很大不同,后者只需要 f< N(至少一个诚实的参与者)。

这些协议通常还需要大量的通信成本来在协议的每次运行中在所有节点之间共享额外的 PVSS 信息。在过去的几年里,研究界在这个问题上做了相当多的工作,研究提案包括 RandShare、Scrape、SecRand、HERB 或 Albatross,但似乎都没有看到实际部署。

可验证的基于随机函数的协议

意识到一组 N-f 个参与者可以计算上述协议中的随机信标值,导致了一种更简单的方法:在 N 方之间共享一个长期密钥,并让他们使用它来评估可验证随机函数 (VRF)。密钥通过 t-out-of-N 阈值方案共享,因此任何 t 参与者都可以计算 VRF(但较小的联盟不能)。对于 t=N-f,这为 f 个恶意节点提供了与上面讨论的 commit-reveal-recover 协议相同的弹性。

DFINITY 率先使用这种方法作为其共识协议的一部分,使用阈值 BLS 签名(用作 VRF)。独立的 drand 随机信标使用基本相同的方法,一组参与者阈值-BLS-在每一轮中签署一个计数器。熵联盟是 drand 的开源实例,它使用 16 个参与节点(截至 2022 年 9 月)每 30 秒产生一次随机性,由公司和大学研究小组共同运行。

这些方法的缺点是初始化阈值密钥相对复杂,当节点加入或离开时重新配置密钥也是如此。但是,在常见情况下,协议非常有效。

如上所述,简单地签署一个计数器值并不会在每轮中增加任何新的随机性,因此如果足够数量的参与者密钥被泄露,那么该协议将在未来的每一轮中都是可预测的。

Chainlink VRF 将这种方法(使用 NSEC5 VRF)与请求随机性的各方指定的外部随机源相结合,通常是实践中最近的区块链标头。然后,此数据通过 VRF 馈送,该 VRF 由一方运行或阈值化到一组。

以太坊的信标链目前使用基于 BLS 的 VRF:每一轮的提议者将他们的 VRF 值添加到组合中。与 commit-reveal 范例相比,这节省了一轮通信(假设长期 BLS 公钥注册一次),尽管这种设计继承了 commit-reveal 方法的一些警告,包括通过保留输出来偏置信标输出的可能性.

基于可验证延迟函数的协议

最后,一个有前途的新方向是使用基于时间的密码学,特别是可验证延迟函数 (VDF)。这种方法有望提供良好的通信效率和鲁棒性,并具有对 N-1 个恶意节点的弹性。

回到最初的 commit-reveal 协议,传统的承诺可以用定时承诺代替,以消除参与者拒绝透露他们的随机贡献的问题。定时提交可以由原始提交者或任何愿意计算慢函数(本质上是 VDF)的人有效地打开。因此,如果任何参与者退出提交-显示协议,他们的承诺仍然可以被其他人打开。至关重要的是,打开承诺的最短时间足够长,以至于不能在协议的第一轮(提交阶段)完成,否则恶意参与者可以足够快地打开其他人的承诺,从而修改自己的贡献并偏向结果.

现代 VDF 可以实现更优雅的一轮协议:完全放弃承诺。每个参与者可以简单地发布他们的随机贡献 ri,最终结果是每个参与者的贡献的组合,通过 VDF 运行。计算 VDF 的时间延迟确保没有人可以选择他们的承诺以使最终输出有偏差。这种方法由 Arjen Lenstra 和 Benjamin Wesolowski 在 2015 年提出为 UNICORN,并且确实是 VDF 开发中的关键激励应用。

这种方法已经看到了一些实际的部署。Chia 实现了一个版本作为其共识协议的一部分,在类组中使用重复平方的 VDF。Starkware 使用基于 SNARK 的 VDF 实现了基于概念验证的 VDF 信标。以太坊也计划使用这种方法,构建一个专用的 ASIC 来计算 VDF,以在共识层生成随机性。

公共随机性是许多协议的重要组成部分,但我们仍然缺乏任何提供高安全性的标准 DRB。设计空间很大,上述方法的许多混合和组合都是可能的。例如,可以将基于 VRF 的协议与基于 VDF 的协议结合起来,这会增加新的熵,例如 RandRunner 提出的。以太坊的信标链目前使用 VRF,但未来可能会添加 VDF,以消除区块扣留攻击的偏见可能性。

当诚实多数协议可以接受时,这也是一个悬而未决的问题。对于一个相对较小的、经过审查的参与者群体——比如熵联盟——诚实的多数假设是合理的。另一方面,只需要一个诚实参与者的协议有一个固有的优势——更多的参与者只能提高安全性。这意味着这些协议可能会在开放的、无需许可的参与下进行部署。

在第二部分中,我们将讨论随机领导者选举在共识协议中的具体应用,其设计目标略有不同,因此提出了更多的协议和方法。

本文作者简介

Joseph Bonneau 是 a16z crypto 的研究合伙人。研究重点是应用密码学和区块链安全。曾在墨尔本大学、纽约大学、斯坦福大学和普林斯顿大学教授加密货币课程,并获得了剑桥大学的计算机科学博士学位和斯坦福大学的学士/硕士学位。

Valeria Nikolaenko 是 a16z crypto 的研究合伙人。研究重点是密码学和区块链安全、PoS 共识协议中的远程攻击、签名方案、后量子安全和多方计算等主题。Valeria Nikolaenko 在 Dan Boneh 教授的指导下获得了斯坦福大学的密码学博士学位,并作为核心研究团队的一员从事 Diem 区块链工作。

展开全文
打开碳链价值APP  查看更多精彩资讯
声明:本文内容为作者独立观点,不代表碳链价值立场,且不构成任何投资理财建议。
0 0
密码学A16Z

扫一扫,分享到微信

相关推荐

慢雾:盘点 ZKP 主流实现方案技术特点 价值号

慢雾:盘点 ZKP 主流实现方案技术特点

慢雾科技 2023-02-13 价值号
ZKP零知识证明密码学
本文将为大家盘点各种 ZKP 实现的技术特点,希望能给大家的学习研究和工程开发带来帮助。
a16z、Web3 创业者推荐:Web3 入门必读书单 价值号

a16z、Web3 创业者推荐:Web3 入门必读书单

TinTinLand 2023-01-19 价值号
A16ZWeb3 书单
为大家盘点了年度优质 Web3 书籍,这些茶余饭后的文学读物,涵盖科幻、文学、哲学、自然科学等方方面面。
FTX 的崩溃不应该是区块链技术来背锅 深度

FTX 的崩溃不应该是区块链技术来背锅

去中心化金融社区 2022-11-14 深度
密码学FTX
我们可以使用密码学和默克尔树来建立一个更值得信赖的世界。

碳链快讯更多 ›

2023-03-28

美亚柏科:公司将对各类AIGC内容的检测、AI生成文本的检测技术及产品进行布局

2023-03-28

Galaxy Digital 披露在 2022 年净亏损达 10 亿美元

2023-03-28

慢雾:批准未知来源的代币时请仔细检查交易的 gas limit

2023-03-28

蚂蚁集团:于隽曾是外派至A&T Capital的工作人员,目前已办结离职手续

2023-03-28

香港金管局和证监会将于 4 月 28 日联合举办加密企业和银行家之间的圆桌会议

2023-03-28

英国财政部取消由政府支持的 NFT 计划

2023-03-28

欧盟将于 3 月 28 日投票表决是否禁止匿名自托管钱包转账大额加密资产

2023-03-28

日经亚洲:美 SEC 对孙宇晨的指控或将影响 Huobi 香港牌照申请及扩张计划

2023-03-28

CFTC提起诉讼后价值近15亿美元的加密资产从币安相关钱包流出

2023-03-27

CFTC 诉币安及其 CEO 违法以寻求民事货币罚款和其他衡平救济

2023-03-27

CFTC指控Binance概述:涉及向美国投资者提供的交易服务及其合规性问题

2023-03-27

Polygon zkEVM 主网 Beta 版本即将上线,Vitalik 将于 22:30 执行首笔象征性交易

2023-03-27

Microstrategy 购入价值约 1.5 亿美元的比特币,均价为 23238 美元

2023-03-27

马云谈ChatGPT:要用人工智能去解决问题

2023-03-27

Gucci 与 Yuga Labs 达成合作,并计划于本周参与 Otherside

2023-03-27

知情人士:交通银行、中国银行、浦发银行香港分行或向加密公司提供银行服务

2023-03-27

上周有将近1.9亿美元投入加密行业初创公司

2023-03-26

马斯克对推特最新估值仅为 200 亿美元,不及收购价的一半

2023-03-25

美财长耶伦主持召开紧急金融稳定会议

2023-03-25

94岁的英特尔联合创始人戈登·摩尔去世,为「摩尔定律」提出者

2023-03-24

欧盟反洗钱法案对加密货币支付的限制恢复到最初版本

2023-03-24

Tether CTO:Tether Q1 利润约 7 亿美元,超额储备将达 16.6 亿美元

2023-03-24

CNBC 披露币安员工及志愿者引导用户规避 KYC 限制,币安回应会对违规人员采取行动

2023-03-24

Do Kwon 在塞尔维亚成立加密公司,检方正调查该公司是否用于洗钱

2023-03-24

OpenAI正为ChatGPT添加插件支持,允许使用第三方服务

2023-03-24

Cathie Wood 旗下方舟基金购买 1780 万美元 Coinbase 股票

2023-03-24

Character.AI完成1.5亿美元融资,a16z领投

2023-03-23

Do Kwon 已在黑山被逮捕

2023-03-23

美众议院:工作量证明挖矿是美国实现能源独立和持续国家安全能力的重要组成部分

2023-03-23

美国银行:区块链软件的下一步发展才刚刚开始

2023-03-23

中办、国办:加快推进区块链等在医疗卫生领域中的应用

2023-03-23

马斯克:需支付3 DOGE来参观飞船发射

2023-03-23

做市商Wintermute Trading已收到4000万枚ARB,并少量转入到交易所测试

2023-03-23

Coinbase首席法务官:美国SEC仍没有关于加密货币的明确规则手册

2023-03-23

美CFTC技术咨询委员会已在今日会议中听取加密公司对DeFi领域关键问题的介绍

2023-03-23

胜利证券获香港证监会同意可管理投资虚拟资产的投资组合

2023-03-23

Coinbase、Justin Sun今日均遭美SEC指控,希望寻求更透明的监管准则

2023-03-23

香港特区政府委任Nano Labs创始人孔剑平为香港数码港管理有限公司董事

2023-03-23

高盛正用ChatGPT风格的AI工具来协助编写代码

2023-03-23

币安恢复收取比特币交易手续费

2023-03-23

Coinbase 已收到美 SEC 的韦尔斯通知,称其可能违反证券法

2023-03-23

美 SEC 指控孙宇晨及其三家全资公司,称其涉嫌非法销售证券和操控市场

2023-03-23

美联储宣布加息25个基点

2023-03-23

Uniswap 推出 Mini Portfolio 功能,用户可以查看和管理自己资产

2023-03-22

Telegram 支持用户在聊天中发送 USDT

2023-03-22

英媒:硅谷银行首席风险官空缺长达8个月

2023-03-22

BitRock Capital 拟于第三季度完成 1 亿美元新基金募集,将投资 SaaS 及 Web3 领域

2023-03-22

俄罗斯加密交易所 Bitzlato 现允许用户最多提取 50% 比特币

2023-03-22

Race Capital 完成 1.81 亿美元二期基金募资,已投资 10 个项目

2023-03-22

OneCoin 前合规负责人被引渡美国受审,恐面临 40 年监禁

推荐文章

  • 互联网大厂竞逐千亿虚拟人市场:打造虚拟人IP,投新锐企业

    2022-10-18

  • 万字详解LayerZero Labs:普及全链资产,抢占多链生态核心

    2022-10-18

  • 中国投资人在新加坡

    2022-10-18

  • 解析:EIP-4337如何用账户抽象来改善以太坊复杂的用户体验问题

    2022-10-18

  • 多地政府打造元宇宙「城市新名片」

    2022-10-18

价值号更多 ›

吉时通信
吉时通信
文章: 138
  • 从DNS到ENS:域名的Web3时代
  • Web3开发者的盛宴:斯坦福区块链周见闻
  • 以太坊生态之Layer2:技术融合,应用为王
链集市ChainMarket
链集市ChainMarket
文章: 205
  • 区块链产业周刊丨百度区块链版权保护专利获授权;香港理工大学开设区块链技术理学硕士学位;2023 年北京全市重点工程启动征集
  • 区块链将改变会计行业游戏规则?
  • 区块链产业周刊|链游公司Horizon完成4000万美元A轮融资;马来西亚将建立国家公共区块链;上海推出《区块链证据审查指南》
Unitimes
Unitimes
文章: 403
  • 以太坊 MEV 黑暗森林:从 Gas 战争到 PBS
  • 对话 Vitalik:合并后 以太坊的下一步是什么?
  • 为什么以太坊是最好的选择?
换一批

热门标签

新基建 比特币 以太坊 矿业 DeFi 共识对话 区块链+ 研报 美联储 央行数字货币 无限QE 加密衍生品 AI 云计算 大数据 5G 政策 交易所 稳定币 电子支付 Libra 算力产业 联盟链 公链 区块链 加密货币 Nervos Cosmos EOS STO

邮件订阅

及时、全面、专业、准确的资讯与数据,致力于为区块链爱好者以及数字货币投资者提供最好的服务。

App内打开

邮件订阅

及时、全面、专业、准确的资讯与数据,致力于为区块链爱好者以及数字货币投资者提供最好的服务。

Moshou

碳链价值是集资讯、行情、数据于一身的区块链信息服务平台,我们追求及时、全面、专业、精确的资讯与数据,致力于为区块链创新者和数字货币投资者提供优质的服务。

关于我们 加入我们 联系我们 隐私条款
微信公众号

扫一扫关注微信公众号

Copyright © 2018-2020 碳链价值 京ICP备18046423号
下载碳链App

下载碳链App

微信公众号

微信公众号

微信公众号

微信公众号

打赏文章作者

支付宝打赏二维码 支付宝扫一扫打赏
微信打赏二维码 微信扫一扫打赏

# 热门搜索 #

CBDC 比特币 DeFi 以太坊 区块链