【科普】机密资产Confidential Asset白皮书(4)

08-28 14:19 发布
0 0



-2020年的第236天-

文章来源:LAVA(中国)

 官网:http://lavatech.org/


// 前言

/// 

Confidential Asset

【机密资产(Confidential Assets)】是由Blockstream于2017年公布的前沿比特币隐私保护技术。Blockstream发布了一份白皮书,由其开发员Andrew Poelstra、Adam Back、Mark Friedenbach、Greg Maxwell、Pieter Wuille联合署名。


利用机密资产技术,区块链浏览者可以看到交易发送方和接收方,但无法看到交易资产类型,例如也许是比特币、股票、黄金或其他类型,保护了链上交易内容的隐私性。同时,机密资产也是2020年Lava的重要技术发展之一。


Lava作为首个运用机密资产技术的PoC共识项目,有责任也有义务对其概念在国内进行推广和科普。因此,Lava将对机密资产的英文白皮书进行翻译和整理发布,成为国内机密资产技术的布道者。


*白皮书内容将分为几期在公众号及各平台内进行翻译,欢迎大家转发及推广,最终会在官网上传一份完整中文文档以供所有人查看。


Confidential Assets

机密资产

*由于英文原文中有大量公式及花体字母作为符号区分,因微信公众号编辑格式无法实现,英文部分采用图片形式进行对照展示,方便各位对照阅读。



3.2机密交易

我们现在调整比特币交易的定义(定义1)。


定义10。我们将机密交易定义为以下数据:


–输出列表,包含验证密钥,某个金额的派德森承诺,以及Back Maxwell范围证明其其位于[0,2^n-1]的范围内,n明显小于承诺值大小的位长度组。

–输入列表,明确引用其他交易的输出,并使用这些输出的验证密钥签名。

–费用f,明确列出。


我们的有效条件改为:费用必须是非负的(除了coinbase交易),所有输入承诺减去所有

输出条件必须等于fH,并且必须有包含所有输入的验证密钥。这个等式很重要,可以给它取个名字。



定义11。验证方程是:投入量减去产出量等于费用(乘以H,这些金额被视为承诺)。


总而言之,机密交易和比特币交易的区别包括:

–显式金额被同态承诺金额取代。

–不是计算费用,而是明确给出并检查输入减去输出。


支付授权是通过输入签名来实现的,这些签名与比特币不同,本文不讨论。然而,我们需要指出的是,这种变化不允许代币被无效地创造出来。



定理3。考虑一个带有费用f的机密交易,,输入承诺金额{Ii}i=0→k,输出承诺金额{Oi}i=0→l。并且k+l+1<|C|/R,其中输出范围证明在[0,R-1]和f∈[0,R-1]^2的范围内.如果范围证明承诺是可靠的,那么没有 {Oi}的子集承诺超过


我们发现简单探讨


是不够的:

例如,在零输入和零费用的情况下,攻击者可以提交两个输出量{1,-1},并且即使总等式平衡,也可以从任何地方制造出硬币。


证明:由于所有的范围证明都是有效的,并且承诺是有约束力的,对于每个i,我们有0≤Oi≤R。同样地,对于输入,是以前(有效)交易的输出。



其次,由于输入承诺减去输出承诺等于fH,我们得到



对于某个整数m,既然k+l+1<|C |/R,根据我们对单个项的界,我们可以把这个方程的左边限定为


但这意味着m = 0, i.e.也就是输入量加上输出量的金额(加上费用)。


最后,由于所有输出量都是正的,输出的每个子集必须总和小于或等于



3.3性能


考虑一组 G,其中标量和组内元素都在1个空间单位(实际上是32字节或256位)中编码。我们对比了三种方案:一种是朴素的范围证明,每个数字都使用单独的AOS环签名;一种是在Elements Alpha[2]中实现的Borromean环签名[15];另一种是我们上面描述的方案。我们比较了渐近性,也看了具体案例2^38≈3^24。传统的和Alpha方案在基4是空间最优的,而我们的方案在基3是空间最优的。


(如上图)

在这个范围,我们观察到Alpha范围证明和传统范围证明分别减少了24%和36%在更大一点的范围内。


4 机密资产


4.1资产承诺及附随证明

在继续之前,我们需要更多的原始证明。


定义12。给定某个资产描述A(其精确形式在第4.4节中给出),关联的资产标签是一个元素HA∈G,通过使用A作为辅助输入执行派德森承诺设置获得。


当使用多个派德森承诺方案时,我们通过添加第二个生成器作为其算法的下标来区分它们,比如OpenHA或CommitHA。特别是,在随机预言模型中,资产标签是一致随机曲线点,其离散对数相对于G或任何其他资产标签是未知的。



定义13。给定一个资产标记HA,,对于一随机r看作一个(短暂的)资产承诺是H=HA+rG形式的一个点。我们有时滥用术语认为H是资产HA的承诺。


在下一节中,我们将使用这些资产承诺来代替派德森承诺中的制造器H。下面的定理证明了这一点。



定理4。设H是对资产标记HA的资产承诺,并且C是打开H(v,r,C)接受的承诺。如果HA=H+sG,打开HA(v,r sv,C)接受。


这个定理很清晰,它意味着对某一金额(以某个资产承诺为生成者)进行派德森承诺同时对基础资产标签的生成器进行承诺。此外,任何人只要知道一个发生器的盲因子和开启信息,就可以确定另一个发生器的开启信息。

这种派德森承诺不仅承诺了承诺金额,还承诺了潜在资产标签。


原文链接

https://blockstream.com/bitcoin17-final41.pdf



了解更多

【科普】机密资产Confidential Asset白皮书(1)

【科普】机密资产Confidential Asset白皮书(2)

【科普】机密资产Confidential Asset白皮书(3)

【科普】CA方案能为Lava带来什么好处?

【科普】CA方案有哪些应用场景?

【剖析】为什么Lava选择Confidential Asset作为STO解决方案?


加入我们 

LAVA的去中心化金融生态


Twitter

https://twitter.com/LavaConsortium

Facebook

https://www.facebook.com/LavaStorage/


Medium

https://medium.com/@Lavatech


Github

https://www.github.com/lavaio


Telegram 

https://t.me/lavatech


Weibo

https://weibo.com/p/1005055334107726


Wechat

LAVA_Community




合作伙伴
  • 币讯网
  • IPFS中国社区
  • HPOOL
  • HDPOOL
  • UUPOOL
  • BHD Community
  • POC Community
  • FileCash