Введение

В мире криптографии и конфиденциальности доказательства с нулевым разглашением (ZKPs) стали мощным инструментом для подтверждения подлинности информации без раскрытия лежащих в ее основе данных. В этой статье исследуются концепция доказательств с нулевым разглашением, их применение и то, как они работают. К концу этой статьи у вас будет четкое представление о том, что такое ZKPs, и почему они являются важным компонентом современной криптографии.

Раздел 1: Краткая история доказательств с нулевым разглашением

Концепция доказательств с нулевым разглашением восходит к 1980-м годам, когда Шафи Голдвассер, Сильвио Микали и Чарльз Ракофф представили эту идею в исследовательской работе. Этот прорыв в криптографии с тех пор нашел применение в различных областях, таких как безопасное голосование, криптовалюта, улучшения recaptcha и обмен данными с сохранением конфиденциальности.

Раздел 2: Что такое доказательства с нулевым разглашением?

Доказательство с нулевым разглашением — это криптографический метод, который позволяет одной стороне, известной как доказывающий, продемонстрировать другой стороне, известной как проверяющий, что они обладают определенным знанием, не раскрывая никакой информации о самом знании. Другими словами, ZKPs позволяют доказать правильность утверждения, не раскрывая его содержание.

Представьте себе сценарий, в котором вы хотите доказать, что знаете пароль к защищенной системе, фактически не раскрывая его. Доказательство с нулевым разглашением позволит вам доказать, что вы знаете пароль, никогда не раскрывая сам пароль. Это криптографическое новшество обеспечивает более безопасный способ взаимодействия между сторонами.

Раздел 3: Типы доказательств с нулевым разглашением

Существует два основных типа доказательств с нулевым разглашением:

Интерактивные ZKPs: В интерактивных ZKPs доказывающий и проверяющий участвуют в серии взаимных обменов или "раундов" общения. Во время этих раундов проверяющий задает доказывающему ряд вопросов, и доказывающий отвечает необходимой информацией, чтобы убедить проверяющего в достоверности доказательства, не раскрывая лежащего в его основе секрета.

Неинтерактивные ZKPs: Неинтерактивные ZKPs не требуют какого-либо взаимодействия между проверяющим и верификатором. Если вы слышали о zk-SNARK, то это краткие неинтерактивные аргументы знаний с нулевым разглашением, которые попадают в эту категорию ZKPs. Доказывающий генерирует единственное доказательство, которое проверяющий может проверить независимо. Неинтерактивные ZKPs более практичны в определенных приложениях, поскольку они снижают затраты на связь между вовлеченными сторонами.

Раздел 4: Как работают доказательства с нулевым разглашением

Чтобы понять, как работают доказательства с нулевым разглашением, давайте рассмотрим простой пример, известный как аналогия с "пещерой Али-Бабы".

Представьте себе пещеру, которая имеет единственный вход и разделяется на два пути, образуя круг с массивной дверью, блокирующей соединение между двумя путями. Дверь можно открыть только с помощью секретного пароля. Пегги, доказывающий, хочет доказать Виктору, проверяющему, что она знает секретный пароль, не раскрывая его.

Вот как работает этот процесс:

1. Пегги идет в пещеру, выбирая наугад один из двух путей (A или B), в то время как Виктор ждет снаружи.
2. Виктор кричит Пегги, чтобы она возвращалась из пути А или В, также выбранного наугад.
3. Пегги возвращается из пути, указанного Виктором. Если она знает секретный пароль, она может открыть дверь, чтобы выйти из любого пути.
4. Этот процесс повторяется несколько раз. Если Пегги знает секретный пароль, она всегда может вернуться из пути, указанного Виктором. Если она не знает пароль, у нее есть 50%-ная вероятность каждый раз угадывать правильный путь.
5. После нескольких повторений Виктор становится все более уверенным в том, что Пегги знает секретный пароль. Однако он никогда не узнает сам пароль, поскольку Пегги лишь демонстрирует свою способность возвращаться из указанного пути, не раскрывая, как она открыла дверь.

Раздел 5: Применение доказательств с нулевым разглашением

Доказательства с нулевым разглашением имеют множество применений в различных отраслях и областях. Некоторые из наиболее заметных из них:

Криптовалюта: ZKPs играют значительную роль в повышении конфиденциальности и безопасности криптовалют. Например, Zcash, криптовалюта, ориентированная на конфиденциальность, использует тип доказательства с нулевым разглашением, называемый zk-SNARKs (краткий неинтерактивный аргумент знания с нулевым разглашением), чтобы скрыть детали транзакции, такие как отправитель, получатель и сумма транзакции.

Безопасное голосование: Доказательства с нулевым разглашением могут быть использованы для создания безопасных систем электронного голосования. Избиратели могут подтвердить свое право голоса, не раскрывая своей личности, обеспечивая как конфиденциальность избирателей, так и целостность процесса голосования.

Проверка личности: ZKPs можно использовать для создания систем цифровой идентификации, сохраняющих конфиденциальность. Пользователи могут подтвердить свою личность поставщику услуг, не раскрывая конфиденциальную личную информацию, такую как дата их рождения или номер социального страхования.

Безопасные многосторонние вычисления: В случаях, когда нескольким сторонам необходимо совместно работать над конфиденциальными данными, не раскрывая свои индивидуальные входные данные, ZKPs может облегчить безопасные вычисления. Например, группа компаний может захотеть рассчитать свой общий доход, не раскрывая друг другу свои индивидуальные доходы.

Аутентификация: Системы аутентификации на основе паролей могут использовать ZKPs для проверки пароля пользователя без необходимости передачи пользователем своего пароля через Интернет, что снижает риск перехвата и кражи пароля.

Раздел 6: Проблемы и ограничения доказательств с нулевым разглашением

Несмотря на свои многообещающие возможности, доказательства с нулевым разглашением не лишены проблем и ограничений:

Вычислительная сложность: Создание и проверка доказательств с нулевым разглашением может потребовать больших вычислительных затрат, что приводит к снижению производительности по сравнению с традиционными криптографическими методами. Эта проблема привела к продолжающимся исследованиям и разработкам для создания более эффективных алгоритмов и реализаций ZKP.

Надежная настройка (Trusted Setup): Для некоторых систем ZKP, таких, как система проверки Marlin, требуется начальный этап "надежной настройки". Эта настройка создает секреты, которые, в свою очередь, генерируют общие параметры; они будут использоваться во многих различных доказательствах для многих различных программ. Эти секреты должны быть забыты; в противном случае безопасность системы будет поставлена под угрозу. Сбой в безопасности процедуры настройки может быть сложно обнаружить, что вызывает опасения по поводу надежности созданных общих параметров.

Настройка без доверия (Trustless Setup): Непосредственный вопрос, следующий за проблемами надежной настройки, заключается в том, почему бы вместо этого не использовать алгоритмы, использующие настройку без доверия? Во всех системах ZKP существуют компромиссы в скорости, сложности, требуемых вычислениях, времени проверки и самоконтроля. Надежные настройки обычно выполняются намного быстрее и создают более краткие доказательства, чем настройки без доверия. Церемонии настройки без доверия обычно должны выполняться для каждой отдельной программы, для которой должны быть сгенерированы доказательства, в то время как надежная настройка выполняется один раз.

Внедрение: Внедрение доказательств с нулевым разглашением в реальных приложениях все еще относительно невелико из-за сложности внедрения систем ZKP и необходимости специальных знаний для их интеграции в существующие системы.

Вывод

Доказательства с нулевым разглашением превратились в мощный криптографический инструмент, обеспечивающий безопасный и сохраняющий конфиденциальность обмен данными и аутентификацию в различных приложениях. Несмотря на сохраняющиеся проблемы с точки зрения вычислительной эффективности и широкого внедрения, потенциальное влияние ZKPs на конфиденциальность и безопасность в цифровом мире является значительным. По мере продолжения исследований и разработки новых методов доказательства с нулевым разглашением будут играть все более важную роль в обеспечении безопасности нашей цифровой жизни.

Введение

Эллиптические кривые (EC) получили широкое признание в качестве инструментов для криптографии. Они предлагают ряд преимуществ по сравнению с другими методами, такими как RSA, обеспечивая равные уровни безопасности с более короткими ключами (например, 228-битные ключи в криптографии EC так же хороши, как 2300-битные ключи RSA). Это является преимуществом, поскольку все больше и больше криптографии выполняется на смартфонах, которые менее мощны, чем компьютеры. Это кривые, определяемые уравнением

над каким-либо полем (например, полем действительных чисел). Их форма зависит от a и b, но более или менее они выглядят как на следующем рисунке:

В криптографии нас не интересуют кривые, определенные над действительными числами. Мы работаем с кривыми над некоторым конечным полем Fp (то есть множеством с конечным числом элементов, таких как 53, 101 или 2^(255)−19), потому что это дает нам математическую структуру (конечную группу), которая очень удобна. Кривая выглядит как разбросанные без четкого рисунка точки на конечном поле:

Эллиптические кривые играют роль в обмене ключами при подключении через SSH к серверу или для подтверждения владения bitcoin. Они также поригождаются при выполнении цифровых подписей, генерации случайных чисел (хотя с этим и были некоторые проблемы), и они полезны даже для факторных чисел (метод Ленстры). Например, в алгоритме цифровой подписи с эллиптической кривой (ECDSA) у вас есть следующие шаги (не волнуйтесь, если вы не понимаете всех терминов сейчас, мы рассмотрим их один за другим позже):

1. Вычислить E=hash(message), где hash — надежная хеш-функция.

2. Принять Z равным n крайним левым битам E, где n — порядок группы (то есть количество элементов, составляющих группу).

3. Выбрать криптографически защищенное случайное число k (никогда не используйте одно и то же k дважды, иначе вы раскроете свой ключ).

4. Вычислить (x1, y1) = kg, где g — генератор группы.

5. Пусть r = x1.

6. Вычислить

где sk — секретный ключ.

7. Подпись — это пара (r, s).

В этом примере на шаге 4 мы должны выполнить сложение на кривой, чтобы прийти к точке (x1, y1), которая даст нам r. В общем случае, k — это огромное число (например, имеющее 256 бит), так что эта операция может быть довольно дорогостоящей. Кроме того, если реализация не выполнена должным образом, криптография эллиптической кривой может стать мишенью для атак по сторонним каналам, таких как атак по времени и атаки на кэш. Некоторые эллиптические кривые обладают свойствами, которые допускают реализацию в постоянном времени, что делает их устойчивыми к этим стратегиям.

Эллиптические кривые также появляются в zk-SNARKs (кратких не интерактивных аргументах знания с нулевым разглашением; мы отправимся на охоту за SNARK в другом посте), чтобы обеспечить гомоморфное скрытие. Слово звучит важно, но идея, лежащая в его основе, проста. Предположим, что есть две переменные, x и y, и вы хотите (или вам нужно) узнать x + y. Проблема в том, что вы не знаете их напрямую, но знаете их зашифрованную форму E(x) и E(y). Если у вас есть гомоморфное скрытие, вы можете вычислить E(x + y) = E(x) × E(y), где × — операция над зашифрованными переменными. Таким образом, даже если вы не знаете самих переменных, вы можете выполнять с ними математические операции (и, к счастью, это именно то, что вам нужно). На практике это достигается с помощью двух эллиптических кривых (это называется сопряжением; не все эллиптические кривые настолько общительны или достаточно хорошо ладят с другими). Чтобы быть хорошей парой, нам нужно, чтобы операции выполнялись как можно быстрее (среди прочего). Простым примером является экспоненциальная функция, f:

Если x = 2,303, exp(2,303) ≈ 10, y = 3, exp(3) ≈ 20,09, тогда exp(x + y) = exp(x)exp(y) = 10 × 20,09 = 200,9, что равно exp(5,303) и x + y = 5,303. Конечно, в данном случае очень легко вернуться назад и узнать точные числа x, y и x + y; в случае эллиптических кривых это очень сложно из-за особой структуры группы.

Чтобы иметь возможность работать с эллиптическими кривыми, нам нужно определить операцию, включающую точки на кривой. Мы можем сделать это, используя конструкцию хорды и касательной: имея две точки на кривой, мы можем провести соединяющую их линию; линия пересекает кривую в третьей точке, и мы отражаем её вокруг оси x, чтобы получить сумму (вспомните изображение кривой, определенной над действительными числами). Формулы следующие:

Есть некоторые особые случаи, например, когда мы хотим добавить точку к самой себе (мы называем это "удвоением"). Чтобы все заработало, нам нужно добавить особую точку O, точку на бесконечности. Кривая вместе с операцией образуют конечную циклическую группу. Простыми словами, каждый раз, когда мы добавляем две точки, мы получаем третью, которая принадлежит кривой (она закрывается при выполнении операции). У нас также есть точка идентичности (нулевая точка, P + O), а также каждая точка P имеет обратную P′ такую, что P + P′ = O. Более того, элементы группы могут быть сгенерированы путем многократного добавления точки g (генератора) самой к себе. Другими словами, для P в группе имеется некое k такое, что kg = P. Если нам дано k, мы можем быстро вычислить P, но выполнение операции в обратную сторону (то есть, имея P, найти k) может быть очень сложно (это известно как задача дискретного логарифмирования), и мы использовали эту идею в предыдущем параграфе.

Все эти вычисления выполняются с помощью операций конечного поля Fp. Мы видим, что на каждом шаге сложения мы должны вычислить наклон линии, что включает в себя деление на элементы конечного поля. Это можно переписать как

где

— мультипликативная инверсия x2 − x1. В более простой форме, b(x2 − x1) ≡ 1 (mod p) (Когда мы пишем a ≡ b (mod p), мы имеем в виду, что существует такое целое число q, что a = pq + b. Это выражение читается, как a соответствует b по модулю p). Вычисление обратных чисел возможно, но стоит гораздо дороже, чем умножение. Существует результат теории чисел, называемый малой теоремой Ферма, который сообщает нам, что

если a и p не имеют общих делителей, отличных от 1 (мы говорим, что a и p взаимно просты). Мы можем записать это по-другому

и мы видим, что

(мы можем упростить себе задачу и свести b к

). Итак, чтобы получить мультипликативную обратную величину, мы должны выполнить много умножений. (Иногда сделать это гораздо проще. Возьмем p = 5 и попытаемся найти 4^(−1). Мы можем заметить, что 4 × 4 = 16 ≡ 1 (mod 5), поэтому 4^(−1) = 4. Это довольно странно, но мы должны помнить, что операции над конечным полем ведут себя по-другому.) На самом деле, p − 1 определяет верхнюю границу степени n, которую мы должны применить к элементу поля a, чтобы получить его обратную величину, то есть a^n ≡ 1 (mod p). Мы называем наименьший (положительный) показатель n такой, что a^n ≡ 1 (mod p), порядком элемента. Теорема Лагранжа свидетельствует, что n является делителем p − 1. Например, возьмем p = 7, следовательно, p − 1 = 6. Мы видим, что 4^3 = 64 ≡ 1 (mod 7), поэтому 4^2 ≡ 2 (mod 7) — инверсия от 4 (2 × 4 = 8 ≡ 1 (mod 7)). Таким же образом, 2^3 ≡ 1 (mod 7). В случае с 3, 3^6 ≡ 1 (mod 7) и 3^5 ≡ 5 (mod 7), а также 5^6 ≡ 1 (mod 7). Из этого мы видим, что порядки n входят в число делителей p − 1 = 6.

Таким образом, даже если уравнения для сложения точек по эллиптическим кривым выглядят действительно простыми, они требуют большого количества вычислений, и они могут быть дорогостоящими. Если каждый раз, когда мы хотим добавить две точки, нам приходится находить мультипликативную обратную величину по модулю большого простого числа, мы заметим, что операция дорого нам обходится. Есть пара трюков, которые мы можем выполнить, например, преобразовать кривую, чтобы увеличить скорость или избежать некоторых других проблем, таких как атаки по сторонним каналам.

Если вы один из тех, кто не готов платить за поиск обратных величин и хочет сэкономить время, или просто любите скорость в подобных вычислениях, тогда следующий раздел для вас.

Проективные координаты

Мы можем избавить себя от дорогостоящих инверсий, если перейдем из нашего приятного 2-мерного пространства в 3-мерное пространство. Это было введено Мёбиусом и помогает нам также представить свойство точки на бесконечности. Мы можем перенести четыре точки с нашей эллиптической кривой (x, y) в точки на проекции (X, Y, Z) следующим образом (x, y) → (X = x, Y = y, Z = 1) и O → (0, 1, 0). Мы можем вернуться назад, используя преобразование (X, Y, Z) → (x = X/Z, y = Y/Z), за исключением точки на бесконечности там, где она плохо определена. Мы можем визуализировать этот процесс с помощью следующего рисунка, где мы берем три точки из эллиптической кривой и преобразуем их в трехмерные.

Мы можем думать об этом как о преобразовании наших двумерных точек в линии, проходящие через начало координат в трехмерном пространстве. Например, двумерная точка (x1, y1) преобразуется в линию (μx1, μy1, μ), где μ — элемент поля. Таким образом, две точки P1 = (X1, Y1, Z1) и P2 = (X2, Y2, Z2) одинаковы в двумерном пространстве (точнее, конгруэнтны), если мы можем найти такой η, что (ηX1, ηY1, ηZ1) = (X2, Y2, Z2). Эти линии не проходят через начальную точку (0, 0, 0). Обычно точки в проективном пространстве записываются как (X : Y : Z) вместо (X, Y, Z). На нашем рисунке точка A (желтая) сопоставляется с точкой D (красная над ней). Все точки, которые лежат на одной прямой, проходящей через начало координат и D (розовая пунктирная линия), считаются эквивалентными D. Аналогично, точка B (синяя) сопоставляется с точкой F (светло-синяя), а все точки над светло-зеленой пунктирной линией (кроме начала координат) эквивалентны F. Когда мы добавляем точки в это пространство, компоненты (X, Y, Z) будут меняться, но мы можем вернуться к точке, принадлежащей кривой, просто проследив наши шаги до Z = 1 вдоль линии, проходящей через начало координат. Зачем идти так далеко? Вскоре мы увидим, что мы избегаем инверсий на каждом шаге сложения и делаем только одну инверсию во время нахождения точки в двумерном пространстве (например, когда нам нужно найти r = x1 в ECDSA). Конечно, нам это ничего не даст, если мы должны вычислить P = 2g; но если нам нужно вычислить P = kg, где k порядка 256 бит, мы сэкономили бы на множестве дорогих инверсий.

Внесем подстановки в уравнение эллиптической кривой

Умножим на Z^3 и получим следующее уравнение

Если мы хотим сложить P и Q, чтобы получить R = P + Q на проекции, мы можем использовать следующие формулы:

Это выглядит более сложным, чем простые формулы для 2-мерного (2-d) пространства. Однако нам не нужно вычислять никаких обратных чисел! Чтобы получить сумму, мы должны выполнить 12 умножений и 2 возведения в квадрат. В 2-d у нас есть 2 умножения, одно возведение в квадрат и одна инверсия. Инверсии могут быть в 20 или более раз дороже, чем умножения, поэтому мы сэкономили по крайней мере 10 умножений (некоторые авторы говорят, что инверсии обходятся примерно в 80 раз дороже, чем умножения).

Некоторые кривые могут вычисляться даже быстрее. Если x^3 + ax + b имеет решение в Fp, мы можем работать с эквивалентной кривой Якоби v^2 = a′u^4 + du^2 + 1, где a′ и d зависят от решения. Мы можем отобразить кривую (u, v) в 3-d пространстве (U, V, W), используя u = U/W и v=V/(W^2) и получить следующее уравнение

Если мы захотим сложить P3 = P1 + P2 в данных координатах, мы получим:

Это позволяет нам еще больше снизить затраты на сложение до 6 умножений и 4 возведений в квадрат. Другими моделями с быстрой реализацией являются кривые Эдвардса и кривые Монтгомери, которые имеют одни из самых быстрых реализаций.

Кривые Монтгомери удовлетворяют следующему уравнению

где B(A^2 − 4) ≠ 0. Это выражение может быть приведено к форме Вейерштрасса путем некоторого преобразования. Если мы возьмем (x, y) и перенесём в (x′, y′), зная, что (x, y) → (x/B + A/3B, y/B), мы получим

Однако преобразование кривой Вейерштрасса в кривую Монтгомери не всегда возможно. Порядок группы должен быть кратен 4 и уравнение x^3 + ax + b = 0 должно иметь решение.

Кривые Монтгомери также могут быть связаны со скрученными кривыми Эдвардса, которые подчиняются следующему уравнению

Параметры соотносятся через A = 2(a + d)/(a − d) и B = 4/(a − d). Мы говорим, что эти две кривые бирационально эквивалентны. Например, хорошо известная кривая Эдвардса 25519 , в которой p = 2^255 − 19 — (бирационально) эквивалентна кривой Монтгомери

Сопоставления следующие

Кривые Монтгомери обладают некоторыми интересными свойствами, которые поддаются реализации с постоянным временем. Мы можем работать в проективных координатах, просто используя компонент x с переносом x = X/Z. Удвоение точки принимает простую форму:

Скрученные кривые Эдвардса также имеют свои преимущества. Выражения для сложения и удвоения точек одинаковы. Имея P1 = (x1, y1), P2 = (x2, y2), мы получаем

Если мы примем x1 = x2 и y1 = y2, мы получим выражение для удвоения точки. Существует несколько альтернатив для ускорения вычислений, таких как проективные, инвертированные или расширенные координаты.

Существуют и некоторые другие приемы для добавления и умножения точек над эллиптическими кривыми, такие как техника Галланта, Ламберта и Ванстоуна (GLV) и обобщенная Гэлбрейтом, Лином и Скоттом (GLS).

Заключение

Эллиптические кривые получили признание в криптографии, потому что они обеспечивают хороший уровень безопасности при короткой длине ключа и позволяют выполнять более быструю реализацию, чем другие методы, такие как RSA. Это позволяет смартфонам и другим менее мощным устройствам выполнять криптографические операции быстро и надежно.

Используя метод хорды и касательной, мы можем генерировать конечные циклические группы; на практике нас обычно интересует вычисление kg, где k — целое число, а g — точка эллиптической кривой. Главный недостаток заключается в том, что нам нужно найти мультипликативные инверсии элементов поля, что включают в себя множество умножений.

Мы можем повысить скорость этих вычислений, выполнив преобразования между кривыми (например, приведя кривую Вейерштрасса к форме Монтгомери) и используя проективные координаты. Таким образом, мы избегаем вычисления мультипликативных инверсий на каждом шаге за счет нескольких дополнительных умножений (эти дополнительные затраты обычно незначительны по сравнению с общей стоимостью инверсии). Существуют также более продвинутые методы, позволяющие нам прыгать из одной точки в другую, очень удаленную, например, GLS.

Эллиптические кривые (EC) стали одним из самых полезных инструментов для современной криптографии. Они были предложены в 1980-х годах и стали широко использоваться после 2004 года. Их главное преимущество заключается в том, что они предлагают меньшие размеры ключей для достижения того же уровня безопасности, что и другие методы, что приводит к меньшим требованиям к хранению и передаче. Например, для криптографии EC (ECC) требуются 256-битные ключи для достижения того же уровня безопасности, что и 3000-битный ключ при использовании RSA (еще одна криптографическая система с открытым ключом, появившаяся в конце 70-х годов). ECC и RSA работают, скрывая вещи внутри определенной математической структуры, известной как конечная циклическая группа (мы скоро объясним это). Сокрытие делается скорее на виду: вы могли бы взломать систему, если бы смогли отменить математический трюк (предупреждение о спойлере: если все сделано правильно, это заняло бы у вас несколько жизней). Это как если бы вы положили 1 000 000 долларов в небьющуюся стеклянную коробку, и любой мог бы взять деньги, если бы смог её разбить.

Чтобы понять эти объекты и почему они работают, нам нужно зайти за кулисы и взглянуть на математические принципы (мы не будем вдаваться в сложные детали или доказательства, а скорее сосредоточимся на концепциях или идеях). Мы начнем с объяснения конечных полей и групп, а затем перейдем к эллиптическим кривым (над конечными полями) и посмотрим, все ли кривые были созданы равными для криптографических целей.

Конечные поля

Мы знаем примеры полей из элементарной математики. Рациональные, вещественные и комплексные числа с обычными понятиями сложения и умножения являются примерами полей (хотя они не конечны).

Конечное поле — множество, снабженное двумя операциями, которые мы будем называть + и ×. Чтобы это действительно являлось полем, эти операции должны обладать определенными свойствами:

1. Если a и b принадлежат одному множеству, то c = a + b и d = a × b должны также принадлежать одному множеству. В математике это называется множеством, замкнутым относительно операций +, ×.
2. Имеется нулевой элемент, 0, такой, что a + 0 = a для любого a в множестве. Данный элемент называется аддитивной идентичностью.
3. Имеется элемент, 1, такой, что 1 × a = a для любого a в множестве. Данный элемент называется мультипликативной идентичностью.
4. Если a принадлежит множеству, то имеется такой элемент b, что a + b = 0. Мы называем такой элемент противоположным и обычно записываем как −a.
5. Если a принадлежит множеству, то имеется такой элемент c, что a × c = 1. Такой элемент называется мультипликативной обратной величиной и записывается как

Прежде чем мы сможем поговорить о примерах конечных полей, нам нужно ввести арифметику по модулю.

Мы узнали, что, учитывая натуральное число или ноль a и ненулевое число b, мы могли бы записать a следующим образом: a = q × b + r, где q — частное, а r — остаток от деления a/b. Это r может принимать значения 0, 1, 2, ..., b−1. Мы знаем, что если r равно нулю, то a кратно b. Это может показаться не новым, но это дает нам очень полезный инструмент для работы с числами. Например, если b = 2, тогда r = 0, 1. Когда оно равно 0, a — чётное (делится на 2), а когда 1, a — нечётное. Простой способ перефразировать это (благодаря Гауссу):

если a — нечётное, и

если a — чётное. Можно увидеть, что если мы сложим два нечётных числа a1 и a2

Это показывает нам, что, если мы хотим знать, чётна сумма чисел или нет, мы можем просто суммировать остатки от деления этих чисел на 2 (применение этого заключается в том, что для проверки делимости на два мы должны смотреть только на последний бит двоичного представления).

Другая ситуация, с которой мы встречаемся каждый день, связана со временем. Если в понедельник в 10 утра у нас есть 36 часов до крайнего срока проекта, мы должны сдать его к 10 часам вечера вторника. Это потому, что 12 помещается в 36 ровно 3 раза, откуда получается пн-10 вечера, вт-10 утра, вт-10 вечера. Если бы у нас было 39 часов, мы бы перешли к часу ночи среды.

Простой способ взглянуть на это соотношение (формально известное как сравнение по модулю p) заключается в том, что если a ≡ b(mod p), то p делит a − b или a = k × p + b для целого числа k.

Если подходить более неформально, мы видим, что действующая операция (mod p) оборачивается вокруг результатов определенных вычислений, всегда выдавая числа в ограниченном по p − 1 диапазоне.

Мы видим, что, если a1 ≡ b1 (mod p) и a2 ≡ b2 (mod p), тогда a1 + a2 ≡ b1 + b2 (mod p) (если b1 + b2 > p мы можем обернуться вокруг результата). Аналогичные результаты применимы при использовании вычитания и умножения. Деление предоставляет определенные трудности, но мы можем немного изменить ситуацию и заставить ее работать следующим образом: вместо того, чтобы представлять деление как a ÷ b, мы можем вычислить

где b^(−1) — мультипликативная обратная величина от b, вспомните

Представим, что p = 5,следовательно элементами группы являются 0, 1, 2, 3, 4.

Мы можем видеть, что 1 является своей собственной мультипликативной обратной величиной, поскольку 1 × 1 = 1 ≡ 1 (mod 5). Если мы возьмем 2 и 3, тогда 2 × 3 = 6 ≡ 1 (mod 5) (поэтому 3 — обратное число 2) и 4 × 4 = 16 ≡ 1 (mod 5). Определенные множество и операции удовлетворяют условиям поля.

Мы также можем простым способом определить целочисленные степени элементов поля. Если мы хотим возвести число a в квадрат, мы можем просто выполнить a × a и взять mod p. Если мы хотим возвести в куб, мы выполняем a × a × a и берем mod p. RSA использует возведение в степень для выполнения шифрования. Легко увидеть, что если показатель степени довольно велик (или основание очень велико, или и то, и другое), числа становятся действительно большими. Например, мы захотим вычислить

то когда мы дойдем до 1000, мы будем получать более, чем 300-значные числа, и это будет даже не конец вычисления. Мы можем провести это вычисление гораздо проще, поняв, что 65536=2^(16), каждый раз возводя число в квадрат и беря его остаток. В итоге мы выполняем только 16 подобных операций вместо первоначальных 65536! таким образом, избегая огромных чисел. Аналогичная стратегия будет использоваться при работе с EC!

Группы

Мы видели, что всякий раз, когда мы складываем два чётных целых числа, мы получаем еще одно. Кроме того, поскольку 0 является чётным, если мы сложим a и −a, мы получим 0, элемент идентичности суммы. Многие различные объекты имеют схожее поведение при выполнении определенной операции. Например, умножение двух обратимых матриц приводит к обратимой матрице. Если мы рассмотрим множество обратимых матриц из N × N, оснащенных умножением, мы увидим, что, если A принадлежит множеству, то A^(−1) — тоже; матрица идентичности принадлежит множеству (и играет роль элемента идентичности по отношению к умножению). Другими словами, некоторые множества, оснащенные определенной операцией, обладают некоторыми общими свойствами, и мы можем воспользоваться знаниями об этой структуре. Множество вместе с операцией образует группу. Формально группа — это множество G, оснащенное бинарной операцией × так, что:

1. Операция является ассоциативной, то есть (a × b) × c = a × (b × c).
2. Имеется элемент идентичности, e: e × a = a и a × e = a.
3. Для каждого элемента a в множестве имеется элемент b такой, что a × b = e и b × a = e. Мы обозначаем его b = a^(−1) для простоты.

Мы можем легко увидеть, что любое поле является, в частности, группой по отношению к каждой из двух его операций (условия 1, 2 и 4 для поля указывают, что оно также является группой по отношению к сумме, а 1, 3 и 5 — к умножению). Если операция коммутативна (то есть a × b = b × a), то группа известна как абелева (или коммутативная). Например, обратимые матрицы из N × N образуют группу, но она не является абелевой, поскольку A × B ≠ B × A для некоторых матриц A и B.

Мы будем рассматривать конечные группы (те, в которых множество содержит конечное число элементов) и, в частности, циклические группы. Такие группы могут быть сгенерированы путем многократного применения операции к элементу g, генератору группы. n-й корень из единицы в комплексных числах образует пример циклической группы при умножении; это множество решений

которые формируют exp(2πik/n), где k = 0, 1, 2..., n−1. Эта группа может быть сгенерирована путем взятия целых степеней exp(2πi/n). Корни единицы играют важную роль в вычислении быстрого преобразования Фурье (БПФ), которое имеет множество применений.

Эллиптические кривые в двух словах

Эллиптические кривые — очень полезные объекты, потому что они позволяют нам получить групповую структуру с интересными свойствами. С данным полем F, эллиптическая кривая является множеством точек (x, y), которые удовлетворяют следующему уравнению:

Оно известно как общее уравнение Вейерштрасса. Во многих случаях это уравнение может быть записано в более простой форме

которая является краткой формой (Вейерштрасса). В зависимости от выбора параметров a и b и области кривая может обладать некоторыми желаемыми свойствами или не обладать. Если

то такая кривая не является сингулярной.

Мы можем задать операцию, которая позволит нам суммировать элементы, принадлежащие эллиптической кривой, и получить группу. Это делается с помощью геометрической конструкции, правила хорды и касательной. Имея две точки на кривой, P1 = (x1, y1) и P2 = (x2, y2), мы можем нарисовать линию, соединяющую их. Эта линия пересечёт кривую в третьей точке, P3 = (x3, y3). Мы устанавливаем сумму P1 и P2 как (x3, −y3), то есть точка P3 перевёрнута вокруг оси x. Формулы следующие:

Мы легко можем заметить, что встречаемся с проблемой, когда пытаемся суммировать P1 = (x1, y1) и P2 = (x1, −y1). Нам нужно добавить в систему дополнительную точку, которую мы называем точкой на бесконечности, O. Это включение необходимо для определения структуры группы и работает как элемент идентификации для групповой операции.

Другая проблема появляется, когда мы хотим сложить P1 и P1, чтобы получить P3 = 2P1. Но, если мы проведем касательную линию к кривой в P1, мы увидим, что она пересекает кривую в другой точке. Если мы хотим выполнить эту операцию, нам нужно найти наклон касательной линии и найти пересечение:

Это требует небольшой работы, но мы можем доказать, что эллиптическая кривая с помощью этой операции обладает свойствами группы. Мы будем использовать конечные поля для работы с этими кривыми, и группы, которые мы получим, будут являться конечными циклическими группами, то есть группами, которые могут быть сгенерированы путем повторного использования операции над генератором g: g, 2g, 3g, 4g, 5g...

Если мы нанесем совокупность точек на график, то увидим, что точки распределены довольно "случайным" образом. Например, 2g может находиться очень далеко от 3g, которая в свою очередь находится очень далеко от 4g. Если бы мы хотели знать, сколько раз k мы должны добавить генератор, чтобы достичь определенной точки P (то есть решить уравнение kg = P), мы бы увидели, что у нас нет простой стратегии, и мы вынуждены выполнять грубый поиск по всем возможным k. Эта проблема известна как проблема дискретного логарифмирования (эллиптической кривой) (log для друзей) (другие друзья предпочитают ECDLP).

С другой стороны, если мы знаем k, мы можем очень быстрым способом вычислять P = kg. Это дает нам способ скрыть (на виду) вещи внутри группы. Конечно, если бы вы могли сломать DLP, вы могли бы получить k, но это довольно неосуществимо. Если мы хотим вычислить 65536g, мы можем сделать это , поняв , что g + g = 2g, 2g + 2g = 4g, 4g + 4g = 8g...до 32768g + 32768g = 65535g, так мы сузили бы количество операций от 65536 до 16. Существует множество полезных алгоритмов, которые позволяют нам ускорить операции над эллиптическими кривыми, избегая дорогостоящих вычислений, таких как инверсии, которые пригождаются, когда мы хотим вычислить наклон.

Все ли эллиптические кривые полезны для криптографии?

Сила криптографии эллиптических кривых заключается в сложности решения задачи дискретного логарифмирования. Это связано с количеством элементов (порядком множества), составляющих циклическую группу. Если число является очень большим простым числом или оно содержит очень большое простое число в своей факторизации (то есть число кратно большому простому числу), то задача становится неосуществимой. Однако, если порядок состоит из малых простых чисел, можно выполнить поиск по подгруппам и восстановить ответ с помощью китайской теоремы об остатках. Это связано с тем, что сложность зависит от размера самого большого задействованного простого числа.

Некоторые кривые обладают желаемыми свойствами, и им были даны имена. Например, Bitcoin использует secp256k1, которая имеет следующие параметры:

Чтобы получить представление о количестве элементов группы можно представить, что они составляют около r ≈ 10^(77). Даже если бы у нас были 10^(12) суперкомпьютеров, выполняющих более 10^(17) поисков точек в секунду в течение ста миллионов лет мы даже близко не подошли бы к проверке всех возможностей.

Чтобы гарантировать 128-битную безопасность, ECs нужны порядки групп, близкие к 256-битным (то есть порядки с простыми множителями около 10^(17)). Это связано с тем, что существуют алгоритмы, которые могут решить задачу, выполняя операции вокруг √r. Если длина самого большого простого числа меньше 94 бит, его можно разбить с помощью настольного компьютера. Конечно, даже если ваша группа достаточно велика, ничто не может спасти вас от плохой реализации.

Возникает вопрос: как мы можем узнать количество элементов нашей EC? К счастью, математика снова приходит нам на помощь, например, граница Хассе, алгоритм Шуфа и способ проверки, является ли число простым или нет. В следующий раз мы продолжим раскрывать математические принципы, лежащие в основе полезных инструментов в криптографии.

Введение

zk-SNARKs — это мощные криптографические примитивы, позволяющие одной стороне, известной как доказывающий, доказать второй стороне, известной как проверяющий, что первая знает определенный секрет, не раскрывая ничего о данном секрете. Это применяется, например, в децентрализованных приватных вычислениях, когда мы можем делегировать дорогие вычисления серверу, которому не доверяем, не раскрывая значимой информации, и получить криптографическое доказательство, подтверждающее верность этих вычислений. Мы также можем использовать zk-SNARKs для решения проблем конфиденциальности и масштабируемости, от которых страдает большинство децентрализованных реестров. В случае с реестром каждая нода должна выполнить вычисление самостоятельно, чтобы проверить его достоверность. Это означает, что менее мощные устройства в реестре могут выступать в качестве слабых мест, что влияет на масштабируемость, особенно когда вычисления являются дорогостоящими. Однако вместо того, чтобы заставлять каждую ноду повторно выполнять каждое вычисление, мы могли бы дать им проверить короткое доказательство, которое показывает, что вычисление правильное, тогда мы сможем уменьшить нагрузку на всю систему.

Одной из главных проблем с zk-SNARKs является время генерации доказательства. Как правило, генерация доказательств включает в себя преобразование вычислений в некоторую NP-полную задачу, в которой мы можем доказать правильность вычисления, например, в выполнимость арифметической схемы или в систему квадратичных ограничений (система ограничений первого ранга, R1CS), включающих выполнение некоторых дорогостоящих вычислений, таких как мультискалярные умножения (MSM) и совмещение эллиптических кривых... Для снижения вычислительных затрат было принято несколько стратегий, таких как составление доказательств, пакетирование, рекурсия, попытка справиться с увеличенным числом доказательств меньшего размера и использование преимуществ схем полиномиальных обязательств.

В предыдущей статье, мы рассмотрели пошагово проверяемые вычисления (IVC) и схемы сворачивания, которые дают нам способы реализовать IVC на практике. Мы рассмотрели основы Nova и то, как работает схема сворачивания. Теперь мы обратим наше внимание на схемы агрегирования доказательств: SNARKPack и aPlonK. Они позволяют нам уменьшить общий размер доказательств и связанное с ними время проверки: для n доказательств размер и время проверки агрегированного доказательства будут O(n), что является значительным сокращением, особенно для большого количества доказательств. SNARKPack создан поверх Groth16 SNARK, в то время как aPlonk работает с системой доказательства Plonk. Оба являются одними из наиболее широко используемых SNARKs и используют trusted setups, которые являются результатом церемоний настройки, включающих многосторонние вычисления.

SNARKPack

В схеме Groth16 доказательство π состоит из трёх элементов групп эллиптических кривых, A, B, C. И A, и B принадлежат к группе G1, а C принадлежит к группе G2. Группы имеют одинаковый порядок (количество элементов), p, и входят в число групп кручения порядка p эллиптической кривой над полем расширения. Можно определить билинейное отображение (или операцию сопряжения), взяв по элементу от каждой группы и выведя элемент в третьей группе Gt : e: G1 × G2 → Gt так, что

где a, b — числа, а g, h — генераторы групп G1 and G2, соответственно (элемент группы g называют генератором, если любой элемент в группе может быть получен путем многократного его добавления). Верификация доказательства в Groth16 производится с помощью операции сопряжения

где D — это элемент G2, а Y — элемент Gt. Основная идея, лежащая в основе агрегирования n доказательств Groth16 заключается в том, что мы можем проверить их все одновременно, используя случайную линейную комбинацию (с точностью до некоторой очень небольшой ошибки). Таким образом, нам нужно выполнить только одну операцию сопряжения вместо n операций

где r — случайно выбранное число, а ∏ означает, что мы берем результаты всех возможных сопряжений.

Чтобы упростить задачу, определены следующие термины:

После проверки того, что это последнее уравнение выполняется, нам остается удостовериться в том, что для некоторых начальных зафиксированных векторов A = (A1, A2, ..., An), B = (B1, B2, ..., Bn) и C = (C1, C2, ..., Cn), ZAC, ZB соответствуют этим спецификациям. Это делается с помощью двух внутренних аргументов сопряжения:

1. Целевой результат внутреннего сопряжения (TIPP) показывает, что

2. Результат внутреннего сопряжения с многократным возведением в степень (MIPP) показывает, что

Чтобы иметь возможность реализовать эти продукты внутреннего сопряжения, нам нужны эффективные схемы обязательств с гомоморфными свойствами и свойствами сворачивания. Можно сказать, что обязательство аддитивно гомоморфно, если с двумя данными элементами, a, b, схема обязательств удовлетворяет cm(a+b) = cm(a) + cm(b). Для примера, обязательства Pedersen и Kate-Zaverucha-Goldberg обладают этим свойством. Чтобы добиться логарифмического размера доказательства, авторы SNARKPack используют ту же стратегию, что и bulletproofs, которая основывается на аргументе внутреннего продукта. Эти обязательства также и гомоморфны в ключевой области: с данными k1, k2 для любого сообщения m мы получаем, что cm(m, k1 + k2) = cm(m, k1) + cm(m, k2).

Данный протокол использует trusted setups с двух значимый церемоний установки: Filecoin и Zcash. В Groth16 структурированная ссылочная строка (SRS), которая является результатом церемонии, состоит из степеней случайного элемента τ, спрятанных внутри групп G1, G2. Учитывая генераторы g, h, SRS задаётся через

и

Это позволит нам зафиксировать многочлены и проверить утверждения по ним.

Теперь мы можем создавать парные групповые обязательства, используя две SRS. Чтобы упростить обозначение, мы будем называть

1. w1 = (g, g11, h12, ...) и v1 = (h, h11, h12, ...) SRS для церемонии 1.
2. w2 = (g, g21, h22, ...) и v2 = (h, h21, h22, ...) SRS для церемонии 2.

Существует две версии этих обязательств: одиночная группа и двойная группа. Первая принимает в качестве ключа обязательства ks = (v1, v2), а вторая — kd = (v1, w1, v2, w2).

Обязательство одиночной группы принимает вектор A и ключ ks и получает два элемента группы:

где

Двойное обязательство принимает векторы A и C, сформированные из элементов в G1 и G2 соответственно, а также kd и получает два элемента:

где

Двойное обязательство будет использоваться в сопряжении с TIPP, чтобы показать, что

в то время, как MIPP будет использоваться с одиночным обязательством, чтобы убедиться, что

Имеются две зависимости, которые необходимо проверить:

Простыми словами, в каждой зависимости мы убеждаемся, что значение правильно, и обязательство достоверно.

Для того, чтобы узнать точные детали для алгоритмов доказательства и верификации, мы предлагаем читателю ознакомиться с источником.

В показанных примерах схема агрегирования превосходит пакетную проверку как по размеру, так и по времени при чуть более чем 100 доказательствах.

aPlonk

aPlonk основывается на идеях SNARKPack, используя различные системы доказательств (Plonk) и вводя многополиномиальные обязательства для достижения сублинейного размера числа полиномов. Основная идея заключается в том, что мы можем верифицировать несколько доказательств, выполнив случайную линейную комбинацию обязательств и проверив её. Обозначения немного отличаются, поскольку авторы aPlonk используют аддитивную форму при работе с группами, в то время как авторы SNARKPack используют мультипликативную форму. Если cm(pk) — обязательство полинома pk (который является элементом эллиптической кривой, если мы используем обязательства KZG), то мы можем проверить все обязательства, выполнив

и удостовериться, что β в точке z открывается (равняется)

где vk — значение в точке pk(z). Если бы мы использовали мультипликативную форму, предыдущее уравнение имело бы следующий вид

Чтобы добиться сублинейного размера, доказывающий должен зафиксировать обязательства полиномов следующим образом

Поскольку мы вычисляем линейную комбинацию, используя степени r, естественно будет использовать полиномиальную схему обязательств такую, как KZG, или аргументы внутреннего продукта (IPA).

Система ограничений Plonk выражена как

и может быть расширена, чтобы включать условия более высокой степени или пользовательские логические операции. Для каждого qk мы можем определить одномерный полином qL(x), qR(x), qO(x), qM(x), qC(x) путем приравнивания каждого полинома к их соответствующим qki в n примитивный корнях единства ωi. Мы называем ωi примитивным n-ым корнем единства, если

и

если k < n. Кроме того, доказывающий должен показать, что отношения между индексами ai, bi, ci связаны перестановками; эти перестановки также выражаются в терминах многочленов. Это дает в общей сложности 8 полиномов, которые нужно зафиксировать.

Одним из ключевых строительных блоков является схема многополиномиальных обязательств. Она включает в себя 5 эффективных алгоритмов,
настройка, обязательство — полином, обязательство — вычисление, открыть, проверить; главное отличие заключается в добавлении алгоритма обязательство — вычисление. Многополиномиальные обязательства основаны на двух схемах полиномиальных обязательств: KZG и IPA.

Одна важная оптимизация заключается в том, что все многочлены вычисляются при одном и том же случайном вызове r, заданном эвристикой Фиата-Шамира. Для этого r должен быть получен из частичной расшифровки всех доказательств, требующей, чтобы доказательства каждого утверждения выполнялись согласованно. Даже если это предотвращает построение вычислений, поддающихся пошаговой проверке (IVC), поскольку в этом случае доказательства генерируются одно за другим, конструкция хорошо работает для свёркти верификации.

Заключение

Схемы агрегирования доказательств являются альтернативой для уменьшения размера и времени проверки многих zk-SNARKs. Ключевым фактом является то, что можно получить доказательства размеров и времени проверки порядка O(log(n)) для n доказательств, что превосходит методы пакетной обработки чуть более чем для 100 доказательств и имеет существенную разницу, когда мы складываем вместе более 1000 доказательств. Основными строительными блоками для достижения этих свойств являются гомоморфные полиномиальные обязательства (такие как KZG), два trusted setups и тот факт, что мы можем проверить многие доказательства, взяв случайную линейную комбинацию, используя в качестве коэффициентов степени некоторого числа r.

Мы в Mysten Labs рады объявить о запуске 1-й Волны Тестнета Sui, первого экземпляра сети Sui, работающей с операторами, не входящими в состав Mysten Labs, и важного шага на пути к децентрализованному Майннету Sui. 1-я Волна Тестнета позволит нам понять взаимодействие между валидаторами, в то время как Devnet остается подходящей сетью для разработчиков. Мы будем поддерживать работу сети Testnet Wave 1 в течение примерно двух-трех недель.

Testnet Wave 1 ориентирована на операторов. В августе мы начали открытый набор в операторы Sui и получили ошеломляющий отклик — более 28 000 заявок. Мы отобрали несколько сотен выдающихся специалистов для работы с Валидаторами Sui и Полными Нодами. Во время этой первой волны мы надеемся нарастить мышечную память для децентрализованной координации и реагирования на инциденты, а также найти основную группу специализированных операторов, имеющих опыт развертывания, мониторинга и отладки Sui. Мы почти наверняка столкнемся с некоторыми трудностями во время нашей первой попытки управлять децентрализованной сетью, но эти инциденты станут учебным опытом, который обеспечит ценную практику для реальной работы.

Как Волна Стимулируемого Тестнета, эта сеть будет временной и закроется, как только мы достигнем наших целей. Мы будем выдерживать последовательные Волны Тестнетоы по мере перехода к Майннету.

С помощью Sui мы намерены установить новый стандарт для инфраструктуры web3. В отличие от других блокчейнов, Sui использует объектно-ориентированную модель данных для представления цифровых активов. Мы запустили Sui Devnet 6 мая 2022 года, чтобы проверить наши теории о блокчейне следующего поколения. По мере того как наше сообщество из более чем 300 000 участников изучало различные аспекты Devnet, мы улучшали инструментарий, усиливали мониторинг и оповещения, устраняли узкие места в основной логике, тестировали возможность повторного запуска и аварийного восстановления, а также профилировали использование памяти и CPU различными компонентами системы.

Сообщество Sui является нашим самым большим активом, поскольку мы продолжаем тестировать инфраструктуру Sui, и мы благодарим вас и с нетерпением ждем вашего участия!

Sui Devnet против Testnet

Самым большим достижением в переходе от Devnet к Testnet Wave 1 является включение независимых валидаторов. В рамках Devnet Mysten Labs использует четыре валидатора для проверки транзакций в сети. Testnet Wave 1 включает в себя сторонних валидаторов и полные ноды, выбранные в ходе нашего открытого процесса подачи заявок.

Управление инцидентами перейдет от контроля Mysten Labs, осуществляемого в Devnet, к управлению сообществом в Testnet. Это изменение дает членам сообщества больший вклад и ответственность за поддержание здоровья Sui.

Примечание для наших разработчиков: Из-за временной и ориентированной на оператора среды Testnet Wave 1, Devnet остается предпочтительной средой для разработчиков для создания и тестирования приложений. Тестнет может подвергаться оперативным проверкам, и из-за его географически распределенного характера могут возникать более длительные задержки с координацией исправлений. На faucet также могут распространяться ограничения по тарифам, чтобы обеспечить бесперебойную работу наших операторов. Проблемы с опытом разработчиков будут решаться более оперативно в Devnet, а программное обеспечение для валидаторов будет обновляться чаще.

Кроме того, перемещение пакетов с использованием недавно введенных новых целочисленных типов (u16, u32 и u256) не будет работать в этой Testnet Wave. Публикация их завершится неудачей с ошибкой верификации.

Как Можно Взаимодействовать

Создание инфраструктуры блокчейна требует прозрачности и вовлечения общественности. По мере продвижения к Майннету сообщество Sui будет продолжать расти и играть все большую роль в работе Sui. Следите за новостями о Волне 2, которая будет посвящена управлению эпохами, токеномике и делегированию стейка. Мы объявим сроки, основываясь на наших результатах и извлеченных уроках из Волны 1.

В настоящее время нет планов об аирдропе SUI, и взаимодействие с Тестнетом не принесет вам никаких призов. Мы ценим значимое взаимодействие, которое помогает нам тестировать Sui!

Чтобы узнать, что происходит в Testnet, Devnet и более широком сообществе Sui, посетите канал Sui в Discord, канал Sui Discourse, @SuiNetwork в Twitter и Sui Foundation.

Узнайте Больше о Sui

• Веб-Сайт Sui
• Портал Разработчика Sui
• Язык Программирования Move
• Sui Whitepaper
• Форумы Сообщества

Создавайте с Нами!!

Мы в восторге от того, что несёт в себе будущее, и приглашаем создателей и разработчиков присоединиться к нам.

В данной статье мы рассмотрим различные инструменты, которые мы разрабатываем, чтобы вы могли начать разработку ваших собственных приложений в Aleo. Кроме того, мы запустим локальную ноду для майнинга блоков всего за несколько шагов, чтобы позже использовать её для связи нашего нового приложения с реестром.

1. Запуск локальной ноды

Чтобы собрать всё необходимое в Aleo SDK и запустить ноду, вам понадобится установленный компилятор rust. Чтобы установить его, вы можете выполнить следующую команду:

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

Если он у вас уже есть, мы рекомендуем проверить, есть ли какие-либо обновления в компиляторе rust, чтобы быть уверенными, что все будет верно работать для Aleo SDK. Чтобы проверить, вы можете выполнить:

rustup update stable

Возможно вам потребуется закрыть и заново открыть терминал, чтобы должным образом завершить процесс установки.

Теперь вы готовы клонировать репозиторий Aleo SDK и начать полную настройку. На самом деле, вы клонируете форк Entropy1729 от Aleo SDK, который содержит все последние изменения и функции.

# Загрузить исходный код
git clone https://github.com/Entropy1729/aleo.git

# Перейти в root проекта
cd aleo

# Установить Aleo
cargo install --path .

Чтобы проверить, все ли вы сделали правильно, выполните:

aleo -h

вы должны будете увидеть следующее:

Все готово.

Aleo SDK идёт в комплекте с несколькими примерами программ, которых будет достаточно для наших целей, поэтому нет необходимости создавать новую программу. Некоторое время назад мы опубликовали статью под названием "Aleo Development Starter Pack", в которой создали и объяснили программу токенов, а затем развернули ее на локальной ноде.

Для этой статьи нам нужно будет лишь перейти к одному из примеров программ и запустить ноду, так что давайте сделаем это.

Для данного руководства мы будем использовать программу simple_token. Перед запуском ноды важно просмотреть содержимое следующего файла:

# Перейти к примеру программы
cd examples/simple_token

Там вы увидите файл с именем program.json, который выглядит следующим образом:

Данный файл содержит учетные данные (private key и address) аккаунта, который будет майнить и развертывать программы на нашей локальной ноде. Они будут полезны позже в этой статье, так что запомните их.

Теперь, чтобы продолжить запуск ноды, просто вводите следующие команды в каталоге simple_token, в котором вы уже находитесь:

# Развернуть программу и запустить майнер
aleo node start

И это все; вы должны увидеть подобный результат:

⏳ Starting a local development node for 'token.aleo' (in-memory)... 

• Executing 'credits.aleo/genesis'... 
• Executed 'genesis' (in 1979 ms) 
• Verified 'genesis' (in 7 ms) 
• Verified 'genesis' (in 6 ms)

🌐 Server is running at http://0.0.0.0:4180 

📦 Deploying 'token.aleo' to the local development node...

• Loaded universal setup (in 1580 ms) 
• Built 'mint' (in 9325 ms) 
• Certified 'mint': 254 ms
• Built 'transfer' (in 13848 ms) 
• Certified 'transfer': 509 ms 
• Calling 'credits.aleo/fee'...
• Executed 'fee' (in 2560 ms) 
• Verified certificate for 'mint': 65 ms 
• Verified certificate for 'transfer': 103 ms 
• Verified 'fee' (in 6 ms) 
• Verified certificate for 'mint': 66 ms 
• Verified certificate for 'transfer': 101 ms 
• Verified 'fee' (in 6 ms)
• Verified certificate for 'mint': 77 ms 
• Verified certificate for 'transfer': 102 ms 
• Verified 'fee' (in 6 ms) 
• Verified certificate for 'mint': 73 ms 
• Verified certificate for 'transfer': 144 ms 
• Verified 'fee' (in 6 ms)

🛡️ Produced block 1 (ab12slup04u3z84l6qsw06y6l85ryacxsjtymalf4f7p8c8gkguxvxsk44x5f)

{
    "previous_state_root": "2817610268342789758153341947932865525763648224638186354448819908118351259277field",
    "transactions_root": "3171802377909394876352269413600808592571527618205118587254721468779703127650field",
    "metadata": {
      "network": 3, 
      "round": 1, 
      "height": 1, 
      "coinbase_target": 18446744073709551615, 
      "proof_target": 18446744073709551615, 
      "timestamp": 1667595496
    } 
}

✅ Deployed 'token.aleo' in transaction 'at1xu40mu9g7y7atrjg8wtt9mzcr2t06wehdmt2lxmhvcrlsmclgyyskdhtqd'

• Executing 'credits.aleo/transfer'... 
• Executed 'transfer' (in 3245 ms) 
• Verified 'transfer' (in 6 ms) 
• Verified 'transfer' (in 6 ms) 
• Verified 'transfer' (in 6 ms)

🛡️ Produced block 2 (ab10qjn638rnq0rzzq0qgvnujerx9kekxwfs6jcktqdcftcnntjmvxq2m2dy2)

...

Теперь у вас есть локальная нода, которая майнит блоки. Как вы можете видеть в результате запуска, нода по умолчанию будет работать на http://0.0.0.0:4180.

Это все, что вам понадобится для этого руководства. Давайте двигаться дальше.

2. Отправка токенов

Чтобы протестировать и воспроизвести функции, которые имеются в Aleo-JS, нам понадобится много токенов. Прямо сейчас самый простой способ получить их — отправить запрос cURL ноде с помощью private key, который используется для майнинга блоков на локальной ноде, и с помощью address, на который мы хотим получить токены.

Итак, первое, что нам нужно сделать, это создать Account, который мы будем использовать для разработки; для этого мы клонируем Aleo-JS и начнем его использовать.

## Клонировать репозиторий AleoJS
git clone https://github.com/Entropy1729/aleo-js.git

Внутри репозитория вы найдете каталог под названием dev_site, который содержит все необходимые конфигурации для запуска тестового веб-сайта и начала использования функционала Aleo-JS.

Чтобы создать и запустить тестовый веб-сайт, выполните следующие команды:

## Перейти в каталог dev_site
cd dev_site

## Создать зависимости
npm run build

## Запустить локальный веб-сайт
npm run dev

Вы должны увидеть следующий вывод или нечто на него похожее:

<i> [webpack-dev-server] Project is running at:
<i> [webpack-dev-server] Loopback: http://localhost:4000/
<i> [webpack-dev-server] On Your Network (IPv4): http://192.168.0.34:4000/
<i> [webpack-dev-server] On Your Network (IPv6): http://[fe80::1]:4000/
<i> [webpack-dev-server] Content not from webpack is served from '~/Documents/aleo_repos/aleo-js/dev_site/dist' directory
asset cc9f07ba5b4549f3396a.module.wasm 484 KiB [emitted] [immutable] (auxiliary name: index)
asset index.bundle.js 292 KiB [emitted] (name: index)
asset index.html 185 bytes [emitted]
runtime modules 30.2 KiB 15 modules

Результат указывает на то, что новый веб-сайт запущен на http://localhost:4000/.

Если мы откроем эту ссылку, мы должны будем увидеть веб-сайт с белым фоном и надписью "Aleo JS Test Site". Отныне мы будем использовать веб-консоль в инструментах разработчика нашего веб-браузера для тестирования каждой функции. Как мы упоминали ранее, нам нужен аккаунт, чтобы начать получать деньги с нашей ноды. В веб-консоли выполните следующие команды:

// Точка входа для использования Account и NodeConnection
const { Account } = await AleoJS

// Создать новый Account
const myAcc = new Account()

// Получить ключи аккаунта
myAcc.keys()

вы должны будете увидеть нечто похожее на следующее:

Отлично! Мы создали новый аккаунт. Теперь у нас есть все, что нам нужно для перевода токенов.

cURL, который мы собираемся использовать, выглядит следующим образом

Вам нужно будет заменить поле "from" тела запроса на упомянутый при запуске ноды private key, который мы использовали в program.json. Это закрытый ключ, который содержит "намайненные" токены нашей ноды. Наконец, address должен быть тем, который мы сгенерировали с помощью Aleo-JS. Для этого шага это должно быть всё.

Мы запустили локальную ноду, узнали, как переводить деньги на наш созданный аккаунт, так что теперь пришло время поиграть с библиотекой и ее функциями.

3. Поиграем с Aleo-JS

Библиотека Aleo-JS включает в себя множество полезных функций для нашей разработки; мы уже научились запускать тестовый веб-сайт и увидели первые шаги по созданию подключения к ноде и настройке аккаунта на ней.

Aleo-JS в основном разделяет функционал между NodeConnection и Account. Изначально всё выглядит следующим образом:

// Точка входа для использования Account и NodeConnection
const {Account, NodeConnection} = await AleoJS

// Создать новый Account
const myAcc = new Account({privateKey:"<private-key-account>"})

// Создать соединение с нашей нодой
const myConn = new NodeConnection("http://127.0.0.1:4180")

// Установить учетную запись для нашего подключения
myConn.setAccount(myAcc)

Теперь вместо того, чтобы создавать новый аккаунт, мы импортировали уже существующий с помощью сгенерированного ранее privateKey. Теперь вы можете использовать два разных класса в зависимости от того, что вы хотите сделать; вот несколько примеров функций, которыми обладает соединение:

// Получить последний блок
myConn.getLatestBlock()

// Получить блок с высоты
myConn.getBlock(1)

// Получить все транзакции в блоке
myConn.getTransactions(1)

Теперь давайте рассмотрим некоторые примеры функций, связанных с учетной записью:

Подписание

Все, что вам нужно сделать, чтобы подписать и подтвердить сообщение:

// Подписать и подтвердить подпись без аккаунта
let signature = myAcc.sign("a message to sign")
myAcc.verify("a message to sign", signature)

Расшифровывание записей

Чтобы расшифровать свои записи, сначала вам нужно будет получить от ноды ваш Unspent Ciphertexts, вы можете сделать это с помощью следующей функции:

// Расшифровать записи
const ciphers = await myConn.getUnspentCiphertexts()

[ "record1qyqsqlrpzaje45yalyycgqz5p3furdk8ltuj3dek4fum7tpxr9dze6gdqyqsp4azr4ch86n25crcj8tr9ck37m20e07xtd88wpwjgjt6e2w9jug0qqq9mgzd752llfgvy93qlnukxyzcys7ve6kd0mvknms7aacg4qx3cyglrwzgx"
]

Теперь давайте расшифруем эти шифротексты:

ciphers.map(c => myAcc.decryptRecord(c)).map(r => r.to_string()).pop()

И после этого вы должны увидеть, что ваша запись отправки была расшифрована со стороны клиента!:

"{
    owner: aleo19jr4shhpfusy7y5zm7g56hspe4hus6p84m5c9k3rqh77c43gfgqsyjqcgx.private,
    gates: 100u64.private,
    _nonce: 7738884396647363829465636137955226807109756206255384966048643179446086246493group.public
}"

Чтобы ознакомиться со всеми доступными функциями и некоторыми примерами каждой из них, вы можете обратиться к документации Aleo-JS. Кроме того, у вас есть документация Aleo-SDK, поскольку это зависимость Aleo-JS, некоторые её типы и функции могут быть полезны для разработки более сложных программ.

Счастливого написания кода!

Мой Discord: useless_dorozhkina#1394
Ссылка на оригинал: https://www.leo.app/blog/say-hello-to-the-new-leo-wallet

Мы считаем, что конфиденциальность — это право человека. Leo Wallet был создан для защиты финансовой свободы и идентичности людей.

Принципы, о которых мы заботимся, — это безопасность, надежность, конфиденциальность, простота и защита.

Наш новый внешний вид воплощает эти принципы в жизнь таким образом, чтобы находить отклик в нашем раннем сообществе, а также охватить миллиарды пользователей.

Мы рады представить новое лицо кошелька Leo.

Мы называем этот новый логотип "Leo Lock", он создает замок из двух букв “L” в слове "waLLet".

Leo Wallet уже начал доходить до разработчиков, программистов и энтузиастов конфиденциальности. Мы будем продолжать расширять охват Leo по мере дальнейшего развития основополагающего блокчейна Aleo.

Мы хотим создать безопасное пространство, в котором люди могли бы процветать. Наша цель — продолжать увеличивать пользу и строить будущее, в котором мы все хотим жить.

Leo - это кошелек с приватностью на первом месте для сети с приватностью на первом месте.

Запишитесь в waitlist раннего доступа здесь или присоединяйтесь к нашему Discord.

Мой Discord: useless_dorozhkina#1394
Ссылка на оригинал: https://www.leo.app/blog/top-zero-knowledge-experts-2022

Доказательства с нулевым разглашением (ZKPs) — это интерактивные математические доказательства, которые раскрывают только ограниченную информацию об утверждении, не раскрывая каких-либо конкретных деталей. Другими словами, ZKPs позволяют одной стороне (доказывающему) убедить другую сторону (проверяющего), что утверждение истинно, не раскрывая никакой основной информации об этом утверждении. Термин "нулевое разглашение" происходит из того, что эти доказательства не раскрывают ничего, кроме того факта, что утверждение действительно.

ZKPs используют передовые технологии математики и криптографии. Благодаря новейшим разработкам они используются для того, чтобы сделать блокчейны приватными и более масштабируемыми.

Данная статья познакомит вас с пятью главными экспертами в области доказательств с нулевым разглашением. Эти профессионалы внесли выдающийся вклад в доказательства с нулевым разглашением и криптографию в целом посредством исследовательских работ, семинаров, книг и практических приложений.

Alessandro Chiesa

Alessandro Chiesa — доцент Калифорнийского университета в Беркли и соавтор Zerocash, соучредитель Zcash и StarkWare, одной из фирм, разрабатывающих решения для масштабирования на основе нулевого разглашения. В настоящее время он является профессором криптографии, компьютерных наук и теории сложности вычислений. В 2020 году его исследование цитировалось более 1200 раз. Он много исследовал, как улучшить технологию нулевого разглашения. Одним из примеров его исследований является Zexe, приватный и децентрализованный вычислительный протокол, который использует SNARKs с единой настройкой. Он также работал над квантово-устойчивыми, прозрачными рекурсивными доказательствами, которые особенно подходили бы для блокчейнов.

Eli Ben-Sasson

С тех пор как в 2001 году Eli получил докторскую степень в области теоретических компьютерных наук в Еврейском университете, он изучал криптографические доказательства и доказательства с нулевым разглашением вычислительной целостности. Он был соавтором протоколов STARK, FRI, Zerocash и Zcash Company. До того как уйти, чтобы основать StarkWare, он несколько лет был профессором компьютерных наук в Технионе. Он также занимал исследовательские должности в Институте перспективных исследований г. Принстона, в Гарварде и в Массачусетском технологическом институте.

Shafi Gold-Shafran

Shafi Goldwasser — директор Института теории вычислений Саймонса и профессор C. Lester Hogan электротехники и компьютерных наук в Калифорнийском университете в Беркли. Она также является профессором электротехники и компьютерных наук в Массачусетском технологическом институте и профессором компьютерных наук и прикладной математики в Институте науки Вейцмана в Израиле. Goldwasser получила степень бакалавра прикладной математики в Университете Карнеги-Меллон в 1979 году и степень магистра и доктора в области компьютерных наук в Калифорнийском университете в Беркли в 1984 году. Она является одним из авторов "The knowledge complexity of interactive proof-systems", одной из самых фундаментальных опубликованных по интерактивным доказательствам работ. Её вклад в область криптографии делает её одним из наиболее цитируемых авторов в этой области.

Howard Wu

Howard Wu является соучредителем Aleo, блокчейна, который использует криптографию с нулевым разглашением для обеспечения конфиденциальности и программируемости, и Decrypt Capital, ведущей инвестиционной компании в области блокчейнов для протоколов сохранения конфиденциальности и предприятий на ранних стадиях. Howard впервые заинтересовался Bitcoin в 2011 году и внес свой вклад в криптографические библиотеки, используемые в Ethereum и Zcash. Он является советником по блокчейну в Беркли, первой университетской экосистеме для блокчейна. Он является активным исследователем в области теоретической информатики и компьютерной безопасности, и работает с профессором Alessandro Chiesa, соучредителем Zcash, и профессором Dawn Song, преподавателем Инициативы по криптовалютам и контрактам (IC3). Howard является кандидатом в магистры электротехники и компьютерных наук и получил степень бакалавра прикладной математики и бакалавра компьютерных наук в Калифорнийском университете в Беркли.

Dan Boneh

Dan Boneh — американо-израильский профессор прикладной криптографии и компьютерной безопасности в Стэнфордском университете. Исследования Боуна сосредоточены на применении криптографии к компьютерной безопасности. Его работа включает криптосистемы с новыми свойствами, веб-безопасность, безопасность для мобильных устройств и криптоанализ. Он является автором более ста публикаций в этой области и стипендиатом Packard и Alfred P. Sloan. Он является лауреатом премии ACM 2014 года и премии Гёделя 2013 года. В 2016 году Boneh был избран членом Национальной инженерной академии США за вклад в криптографию и компьютерную безопасность.

Ben Fisch

Ben Fisch — доцент кафедры компьютерных наук Йельского университета и соучредитель Espresso Systems, блокчейн-компании, работающей над настраиваемыми решениями для обеспечения конфиденциальности. Он защитил докторскую диссертацию в Стэнфордском университете, работая с Dan Boneh в исследовательской группе прикладной криптографии. Исследования Ben в первую очередь сосредоточены на конфиденциальности и проверяемости в Интернете. Он опубликовал множество статей о нулевом разглашении, и его цитировали более 1200 раз.

Вывод

Доказательства с нулевым разглашением — важная и захватывающая область исследований в криптографии. Они позволяют сторонам доказать, что они что-то знают, не раскрывая того, что именно они знают. Они полезны во многих областях, включая голосование, онлайн-рекламу и онлайн-знакомства. Они также используются в блокчейнах для подтверждения действительности транзакции без раскрытия информации о совершающих транзакцию сторонах. Доказательства с нулевым разглашением — это сложная и техническая область исследований, но они имеют множество применений и полезны во многих реальных ситуациях. Это захватывающая область исследований, которая в будущем будет иметь гораздо больше применений и открытий.

Мы рады представить Leo, лучший сохраняющий конфиденциальность кошелек для Aleo.

Мой Discord: useless_dorozhkina#1394
Ссылка на оригинал: https://www.leo.app/blog/leo-aleo-wallet

Aleo

Aleo — это первый в своем роде сосредоточенный на конфиденциальности блокчейн, возможный благодаря доказательствам с нулевым разглашением (ZKPs). Aleo использует ZKPs для обеспечения масштабируемых и приватных платежей, имея при этом полноценную платформу смарт-контрактов.

Функционал

Leo станет главным пунктом назначения для выполнения любых действий на блокчейне Aleo: отправка/получение токенов, стейкинг, трейдинг, игры и многое другое будут возможны либо изначально через кошелёк, либо через партнерские dApp. У нас также есть SDK для беспрепятственной интеграции разработчиков, которые хотят охватить больше пользователей Aleo. Мы продолжим добавлять функционал для масштабного внедрения ориентированных на конфиденциальность приложений, чтобы расширить экосистему Aleo.

Запишитесь в наш waitlist, чтобы получить ранний доступ: https://join.leo.app/signup

Команда

Мы — команда разработчиков, которые основали, масштабировали и продали множество предприятий. При сильной поддержке инвесторов и гранте от команды Aleo мы рады разработать наилучший из возможных кошельков, ориентированных на конфиденциальность.

Видение

Будущее публичных блокчейнов, сохраняющих конфиденциальность, светло. У них есть потенциал разрушить существующие блокчейны, поскольку они собирают в себе все хорошее, но при этом позволяют пользователям иметь больше контроля над тем, чем они делятся. Пожалуйста, свяжитесь с нами, если вы заинтересованы в сотрудничестве, являетесь ранним пользователем или верите в будущее, где конфиденциальность является приоритетом по умолчанию.

Waitlist для раннего доступа: https://join.leo.app/signup

Веб-сайт: https://leo.app/

‍Twitter: https://twitter.com/theLeoWallet

‍Discord: https://discord.gg/BNBzZQAd66

Свяжитесь с нами по электронной почте: Barron@leo.app

После почти двух месяцев успешного тестирования в сети Celo Alfajores Testnet мы рады запустить Masa Soulbound Identity в тестовой сети Ethereum Goerli! Это знаменует собой важный этап и следующий шаг на пути к запуску нашей основной сети на Ethereum в ближайшем будущем.

Торгуйте своим .soul именем в тестовой сети OpenSea: Это еще не все: теперь вы можете торговать своим уникальным .soul именем Masa на OpenSea! Мы прислушались к отзывам нашего сообщества о том, что они хотят сделать свои имена .soul редкими, забавными и доступными для торговли — и мы добавили такую возможность.

Подобно ENS домену, сообщество может определять ценность своего уникального .soul имени и торговать созданным для них NFT на вторичном рынке OpenSea.

Сминтите свое уникальное .soul имя и начните торговать на OpenSea, пока они не закончились! С помощью Masa в тестовой сети Goerli вы можете сминтить .soul имя, сгенерировать децентрализованный кредитный рейтинг в web3 и торговать своим .soul именем в тестовой сети OpenSea.

Переходите по https://beta.claimyoursoul.masa.finance/ и начните минтить Masa SBT прямо сейчас.

Вот пошаговая инструкция о том, как это сделать:

Шаг 1: Подключите свой кошелек Metamask к тестовой сети Goerli (источник)

1. Войдите в свой кошелек Metamask и нажмите на выпадающий список сетей.

2. Нажмите на кнопку "Add Network" (необязательно).

3. Появится новое окно (необязательно).

4. Теперь в левой боковой панели нажмите на “Networks”, появится новое окно. Там вы можете увидеть все сети Testnet, которые доступны, но не видны (необязательно).

Теперь нажмите "Advanced" в левой колонке (необязательно).

6. На вкладке "Advanced" при прокрутке вниз вы найдете опцию "Show test networks", включите ее (необязательно).

7. После выполнения этих шагов вы можете найти пользовательскую сеть в выпадающем списке.

Шаг 2: Как получить тестовый Ethereum

1. Перейдите на https://goerlifaucet.com/.

2. Введите адрес своего кошелька или домен ENS. Возможно, вам придется зарегистрировать учетную запись Alchemy или найти другой faucet в Интернете

3. Как только транзакция будет подтверждена, вы сможете увидеть 0.1 Goerli ETH в вашем кошельке Metamask

Шаг 3: Получайте удовольствие от минта Masa SBTS в тестовой сети Goerli!

1. Перейдите на https://beta.claimyoursoul.masa.finance/

2. Подсоедините и авторизуйте свой кошелек

3. Посетите информационную панель Masa, чтобы сминтить свое .soul имя и сгенерировать децентрализованную кредитную историю в web3

4. Вы также можете начать торговать своими именами .soul в тестовой сети OpenSea!

В течение следующих нескольких недель мы продолжим быстро создавать и еженедельно тестировать новые функции в тестовой сети с членами сообщества. Мы ждем отзывов от сообщества, и мы награждаем тестировщиков местами в списке допущенных в основную сеть, чтобы они могли получить ранний доступ к клейму .soul имени после завершения этапа тестирования.

Вам придется перерегистрировать свое .soul имя в каждом релизе тестовой сети, и имена soul не перейдут в основную сеть.

Помогите нам улучшиться, сообщив об ошибках или оставив отзыв в Masa Discord в ветке # 🐛 │sbt-bugs.

С благодарностью,

Команда Masa 🌽

Вы можете связаться с нами по следующим ссылкам:

Website | Discord | Telegram | Twitter | Facebook