Vai ir iespējams ģenerēt nejaušus skaitļus, ja mēs viens otram neuzticamies? 2. daļa

Čau Habr!

В pirmā daļa Šajā rakstā mēs apspriedām, kāpēc varētu būt nepieciešams ģenerēt nejaušus skaitļus dalībniekiem, kuri neuzticas viens otram, kādas prasības tiek izvirzītas šādiem nejaušo skaitļu ģeneratoriem, un aplūkojām divas pieejas to ieviešanai.

Šajā raksta daļā mēs sīkāk aplūkosim citu pieeju, kas izmanto sliekšņa parakstus.

Mazliet kriptogrāfijas

Lai saprastu, kā darbojas sliekšņa paraksti, jums ir jāsaprot nedaudz pamata kriptogrāfija. Mēs izmantosim divus jēdzienus: skalāri vai vienkārši skaitļus, kurus apzīmēsim ar mazajiem burtiem (x, y) un eliptiskās līknes punkti, kurus apzīmēsim ar lielajiem burtiem.

Lai saprastu sliekšņa parakstu pamatus, jums nav jāsaprot, kā darbojas eliptiskās līknes, izņemot dažas pamata lietas.

1. Punktus uz eliptiskās līknes var pievienot un reizināt ar skalāru (reizināšanu ar skalāru mēs apzīmēsim kā xG, lai gan apzīmējums Gx arī bieži lietots literatūrā). Saskaitīšanas un reizināšanas ar skalāru rezultāts ir eliptiskās līknes punkts.

2. Zinot tikai būtību G un tā reizinājums ar skalāru xG nevar aprēķināt x.

Mēs izmantosim arī polinoma jēdzienu p(x) grāds k-1. Jo īpaši mēs izmantosim šādu polinomu īpašību: ja mēs zinām vērtību p(x) jebkuram k atšķirīgs x (un mums nav vairāk informācijas par p(x)), mēs varam aprēķināt p(x) kādam citam x.

Interesanti, ka jebkuram polinomam p(x) un kādu punktu uz līknes Gzinot nozīmi p(x)G jebkuram k dažādas nozīmes x, mēs varam arī aprēķināt p(x)G jebkuram x.

Šī ir pietiekami daudz informācijas, lai izpētītu, kā darbojas sliekšņa paraksti un kā tos izmantot nejaušu skaitļu ģenerēšanai.

Nejaušo skaitļu ģenerators uz sliekšņa parakstiem

Teiksim tā n dalībnieki vēlas ģenerēt nejaušu skaitu, un mēs vēlamies, lai tajā piedalās ikviens k viņu bija pietiekami daudz, lai ģenerētu numuru, bet tā, lai uzbrucēji, kas kontrolē k-1 vai mazāk dalībnieku nevarēja paredzēt vai ietekmēt ģenerēto skaitu.

Pieņemsim, ka pastāv šāds polinoms p(x) grāds k-1, ko zina pirmais dalībnieks p (1), otrs zina p(2), un tā tālāk (n- tas zina p(n)). Mēs arī pieņemam, ka kādam iepriekš noteiktam punktam G visi zina p(x)G visām vērtībām x. Mēs piezvanīsim p(i) "privātā sastāvdaļa" idalībnieks (jo tikai idalībnieks viņu pazīst), un p(i)G "publiskais komponents" i-tā dalībniece (jo visi dalībnieki viņu pazīst). Kā jūs atceraties, zināšanas p(i)G nepietiek, lai atjaunotu p(i).

Izveidojot šādu polinomu, lai tikai i-Pirmais dalībnieks un neviens cits nezināja viņa privāto komponentu - šī ir vissarežģītākā un interesantākā protokola daļa, un mēs to analizēsim tālāk. Pagaidām pieņemsim, ka mums ir šāds polinoms un visi dalībnieki zina savus privātos komponentus.

Kā mēs varam izmantot šādu polinomu, lai ģenerētu nejaušu skaitli? Vispirms mums ir nepieciešama virkne, kas iepriekš nav izmantota kā ģeneratora ievade. Blokķēdes gadījumā pēdējā bloka hash h ir labs kandidāts šādai līnijai. Ļaujiet dalībniekiem izveidot nejaušu skaitli, izmantojot h kā sēklas. Dalībnieki vispirms konvertē h uz punktu uz līknes, izmantojot jebkuru iepriekš definētu funkciju:

H = skalārs uz punktu(h)

Pēc tam katrs dalībnieks i aprēķina un publicē Hi = p(i)H, ko viņi var darīt, jo viņi zina p(i) un H. Informācijas atklāšana Hes neļauju citiem dalībniekiem atjaunot privāto komponentu ith dalībnieks, un tāpēc vienu privāto komponentu komplektu var izmantot no bloka uz bloku. Tādējādi tālāk aprakstītais dārgais polinomu ģenerēšanas algoritms ir jāizpilda tikai vienu reizi.

Kad k dalībniekiem tika veikta autopsija Hi = p(i)H, katrs var izskaitļot Hx = p(x)H visiem x pateicoties polinomu īpašībām, par kurām mēs runājām pēdējā sadaļā. Šobrīd visi dalībnieki aprēķina H0 = p(0)H, un šis ir iegūtais nejaušais skaitlis. Lūdzu, ņemiet vērā, ka neviens to nezina p(0), un tāpēc vienīgais veids, kā aprēķināt p(0)H – tā ir interpolācija p(x)H, kas ir iespējams tikai tad, kad k vērtības p(i)H zināms. Atverot jebkuru mazāku daudzumu p(i)H nesniedz nekādu informāciju par p(0)H.

Iepriekš minētajam ģeneratoram ir visas vēlamās īpašības: tikai uzbrucēji kontrolē k-1 vai mazāk dalībniekiem nav informācijas vai ietekmes uz secinājumu, savukārt jebkura k dalībnieki var aprēķināt iegūto skaitli un jebkuru tā apakškopu k dalībnieki vienmēr sasniegs vienu un to pašu rezultātu ar vienu un to pašu sēklu.

Ir viena problēma, no kuras mēs iepriekš rūpīgi izvairījāmies. Lai interpolācija darbotos, ir svarīgi, lai vērtība Hi, kuru publicēja katrs dalībnieks i tas tiešām bija tas pats p(i)H. Tā kā neviens, izņemot i-th dalībnieks nezina p(i), neviens, izņemot i-dalībnieks to nevar pārbaudīt Hi faktiski aprēķināts pareizi un bez kriptogrāfiska pareizības pierādījuma Hes uzbrucējs var publicēt jebkuru vērtību kā Sveiki, un patvaļīgi ietekmēt nejaušo skaitļu ģeneratora izvadi:

Dažādas H_1 vērtības, ko nosūtījis pirmais dalībnieks, rada atšķirīgu rezultātu H_0

Ir vismaz divi veidi, kā pierādīt pareizību Hi, mēs tos apsvērsim pēc polinoma ģenerēšanas analīzes.

Polinomu paaudze

Pēdējā sadaļā mēs pieņēmām, ka mums ir šāds polinoms p(x) grāds k-1 ka dalībnieks i zina p(i), un nevienam citam nav nekādas informācijas par šo vērtību. Nākamajā sadaļā mums tas būs vajadzīgs arī kādam iepriekš noteiktam punktam G visi zināja p(x)G visiem x.

Šajā sadaļā mēs pieņemsim, ka katram dalībniekam lokāli ir kāda privātā atslēga xi, tā, lai visi zinātu atbilstošo publisko atslēgu Xi.

Viens no iespējamiem polinoma ģenerēšanas protokoliem ir šāds:

1. Katrs dalībnieks i lokāli izveido patvaļīgu polinomu pi(x) pakāpe k-1. Pēc tam viņi nosūta katru dalībnieku j vērtība pi(j), šifrēts ar publisko atslēgu Xj. Tādējādi tikai i-th и j-th dalībnieks zina pi(j). Dalībnieks i arī publiski paziņo pi(j)G visiem j no 1 līdz k iekļaujošs.

2. Visi dalībnieki izmanto zināmu vienprātību, lai izvēlētos k dalībnieki, kuru polinomi tiks izmantoti. Tā kā daži dalībnieki var būt bezsaistē, mēs nevaram gaidīt, līdz visi n dalībnieki publicēs polinomus. Šīs darbības rezultāts ir komplekts Z kas sastāv vismaz no k 1. solī izveidotie polinomi.

3. Dalībnieki pārliecinās, ka vērtības viņi zina pi(j) atbilst publiski paziņotajam pi(j)G. Pēc šīs darbības Z tikai polinomi, par kuriem nosūtīti privāti pi(j) atbilst publiski paziņotajam pi(j)G.

4. Katrs dalībnieks j aprēķina savu privāto komponentu p(j) kā summa pi(j) visiem i в Z. Katrs dalībnieks arī aprēķina visas vērtības p(x)G kā summa pi(x)G visiem i в Z.

Lūdzu, ņemiet vērā, ka p(x) – tas tiešām ir polinoms k-1, jo tā ir indivīda summa pi(x), no kuriem katrs ir pakāpes polinoms k-1. Pēc tam ņemiet vērā, ka, kamēr katrs dalībnieks j zina p(j), viņiem nav informācijas par p(x) par x ≠ j. Patiešām, lai aprēķinātu šo vērtību, viņiem ir jāzina viss pi(x), un tik ilgi, kamēr dalībnieks j nezina vismaz vienu no atlasītajiem polinomiem, viņiem nav pietiekamas informācijas par p(x).

Šis ir viss polinoma ģenerēšanas process, kas bija nepieciešams pēdējā sadaļā. Iepriekš minētā 1., 2. un 4. darbība ir diezgan acīmredzama. Bet 3. solis nav tik triviāls.

Konkrēti, mums ir jāspēj pierādīt, ka tas ir šifrēts pi(j) tiešām atbilst publicētajiem pi(j)G. Ja nevaram pierādīt, uzbrucējs i tā vietā var nosūtīt atkritumus pi(j) dalībniekam j, un dalībnieks j nevarēs iegūt īsto nozīmi pi(j), un nevarēs aprēķināt savu privāto komponentu.

Ir kriptogrāfijas protokols, kas ļauj izveidot papildu ziņojumu pierādījumsi(j), tā, ka jebkurš dalībnieks, kam ir kāda vērtība e, kā arī pierādījums(j) и pi(j)G, var to lokāli pārbaudīt e - tas tiešām ir pi(j), šifrēts ar dalībnieka atslēgu j. Diemžēl šādu pierādījumu apjoms ir neticami liels, un, ņemot vērā to, ka tas ir jāpublicē O(nk) Šādus pierādījumus nevar izmantot šim nolūkam.

Tā vietā, lai to pierādītu pi(j) atbilst pi(j)G polinomu ģenerēšanas protokolā varam atvēlēt ļoti ilgu laika periodu, kura laikā visi dalībnieki pārbauda saņemto šifrēto pi(j), un ja atšifrētais ziņojums neatbilst sabiedrībai pi(j)G, viņi publicē kriptogrāfisku pierādījumu tam, ka saņemtais šifrētais ziņojums ir nepareizs. Pierādiet, ka ziņa nē atbilst pi(G) daudz vieglāk, nekā pierādīt, ka tas atbilst. Jāņem vērā, ka tas paredz, ka katram dalībniekam vismaz vienu reizi ir jāparādās tiešsaistē laikā, kas atvēlēts šādu pierādījumu izveidei, un paļaujas uz pieņēmumu, ka, publicējot šādu pierādījumu, tas sasniegs visus pārējos dalībniekus tajā pašā atvēlētajā laikā.

Ja dalībnieks šajā laika periodā nav ieradies tiešsaistē un viņam ir bijis vismaz viens nepareizs komponents, tad konkrētais dalībnieks nevarēs piedalīties turpmākajā numuru ģenerēšanā. Tomēr protokols joprojām darbosies, ja tāds būs k dalībnieki, kuri vai nu tikko saņēma pareizās sastāvdaļas, vai arī spēja atstāt pierādījumus par nepareizību noteiktajā laikā.

H_i pareizības pierādījumi

Pēdējā daļa, kas vēl jāapspriež, ir tas, kā pierādīt publicētā pareizību Hes, proti, tas Hi = p(i)H, bez atvēršanas p(i).

Atcerēsimies, ka vērtības H, G, p(i)G publiski un visiem zināmi. Saņemšanas darbība p(i) zinot p(i)G и G sauc par diskrēto logaritmu vai dlog, un mēs vēlamies pierādīt, ka:

dlog(p(i)G, G) = dlog(Hi, H)

bez izpaušanas p(i). Piemēram, pastāv konstrukcijas šādiem pierādījumiem Šnores protokols.

Ar šo dizainu katrs dalībnieks kopā ar Hi nosūta pareizības apliecinājumu atbilstoši projektam.

Kad nejaušs skaitlis ir ģenerēts, tas bieži ir jāizmanto citiem dalībniekiem, nevis tiem, kas to ģenerēja. Šādiem dalībniekiem kopā ar numuru jānosūta visi Hi un saistītie pierādījumi.

Ziņkārīgs lasītājs var jautāt: tā kā galīgais nejaušais skaitlis ir H0 un p(0)G – Tā ir publiska informācija, kāpēc mums vajag pierādījumus katram atsevišķi Hes, kāpēc gan tā vietā nenosūtīt pierādījumus

dlog(p(0)G, G) = dlog(H0, H)

Problēma ir tāda, ka šādu pierādījumu nevar izveidot, izmantojot Schnorr protokolu, jo neviens nezina vērtību p (0), kas nepieciešams, lai izveidotu pierādījumu, un vēl jo vairāk, viss nejaušo skaitļu ģenerators ir balstīts uz faktu, ka neviens nezina šo vērtību. Tāpēc ir vajadzīgas visas vērtības Hi un viņu individuālie pierādījumi, lai pierādītu pareizību H0.

Tomēr, ja ar eliptisku līkņu punktiem tika veikta darbība, kas semantiski ir līdzīga reizināšanai, pareizības pierādījums H0 tas būtu triviāli, mēs vienkārši par to pārliecinātos

H0 × G = p(0)G × H

Ja izvēlētā līkne atbalsta eliptiskās līknes pāri, šis pierādījums darbojas. Šajā gadījumā H0 ir ne tikai nejaušu skaitļu ģeneratora izvade, ko var pārbaudīt jebkurš zinošs dalībnieks G, H и p(0)G. H0 ir arī paraksts uz ziņojuma, kas tika izmantots kā sēkla, kas to apstiprina k и n dalībnieki parakstīja šo ziņojumu. Tādējādi, ja sēklas - ir bloka jaucējvērtība blokķēdes protokolā, tad H0 ir gan daudzparaksts uz bloka, gan ļoti labs nejaušs skaitlis.

Noslēgumā

Šis raksts ir daļa no tehnisko emuāru sērijas NEAR. NEAR ir blokķēdes protokols un platforma decentralizētu lietojumprogrammu izstrādei ar uzsvaru uz izstrādes un lietošanas ērtumu galalietotājiem.

Protokola kods ir atvērts, mūsu realizācija ir rakstīta Rustā, to var atrast šeit.

Jūs varat redzēt, kā izskatās NEAR izstrāde, un eksperimentēt tiešsaistes IDE šeit.

Visiem jaunumiem krievu valodā var sekot līdzi plkst telegrammu grupa un grupa vietnē VKontakte, un angļu valodā oficiālajā twitter.

Uz drīzu redzēšanos!

Avots: www.habr.com