引介 | 詳解信任初始化階段的5種設置_以太坊

編者注：關于“trusted”一詞，常見的翻譯是“可信”，例如“trustedthirdparty”翻成“可信第三方”，“trustedsetup”翻譯成“可信初始化”。然而我以為，翻譯成“可信”恰恰錯失了這個詞原本的意思，因為“trusted”一詞表達的并不是一種價值判斷，而是一種事實判斷，即協議的運行需要信任；作為一種修辭，它的作用是標記信任的錨點。舉例而言，帶有trustedthirdparty的協議，意味著協議的安全性依賴于一些第三方，他們的作為會影響協議的安全性，用戶在使用協議時也實質上信任了這些第三方不會違反協議。正因為如此，在翻譯尼克·薩博的《TrustedThirdPartiesareSecurityHoles》一文時，我就把“trusted”翻譯成“受信任的”。同樣地，在這篇文章中，我們同樣使用被動語態來翻譯“trusted”。

如果你沒有做好準備，那就是準備失敗。——《圣經世界》，1919

當你想要了解一個去中心化系統時，必須搞清楚的問題之一是：這個系統有要被信任的初始化階段么？

一個問題隨之而來：比特幣和以太坊有要被信任的初始化階段么？

許多分布式計算和密碼學協議都設計了一個初始化階段。對于一個多階段協議而言，被信任的初始化設置有其特殊性。我們稱第一個階段為初始化階段，第二個階段為主階段。通常有兩個性質將初始化階段與主階段區分開來。

主階段通常會執行許多重復的任務。而初始化階段只需執行一次，就能開啟重復運行許多實例的主階段。

初始化階段通常都是輸入無關的，也就是說，它根本不會使用來自各參與方的私有輸入。此外，有時候初始化階段甚至是函數無關的，跟主階段各參與方想要計算什么函數根本無關；這一階段每個參與方都只知道自己想要計算某些函數。因此，我們通常將初始化階段和主階段分別稱為離線階段和在線階段

BlockFi破產計劃披露聲明獲美國破產法院的有條件批準:金色財經報道，BlockFi及其附屬公司宣布，其破產計劃披露聲明已獲得美國新區破產法院有條件批準并于2023年8月2日生效。BlockFi的第11章計劃最大限度地為客戶提供恢復，并為客戶提供盡可能快的分配。BlockFi和無擔保債權人官方委員會均建議所有有權投票的各方應在2023年9月11日投票截止日期之前投票接受該計劃。該計劃將為這些第11章案件得出公平且價值最大化的結論，從而盡快返還客戶資金。

BlockFi 表示如果該計劃得到確認，將集中精力在針對 Alameda、FTX、Three Arrows Capital、Emergent、Marex 和 Core Scientific 的訴訟中尋求索賠，以最大限度地為客戶爭取賠償，并抗辯第三方的索賠，BlockFi 的合格債權人有機會投票贊成該計劃，并將收到 BlockFi 的披露聲明和計劃、詳細的投票說明以及其他重要信息。[2023/8/3 16:15:30]

你可以將初始化階段看作一個由完全可信的實體T運行的理想函數，理想到我們覺得無可挑剔。例如，假設公鑰基礎設施的安全性就意味著：我們假設存在一個完全可信的實體，每個參與方都向該實體提交自己的公開加密密鑰，然后該實體會把這些公鑰廣播給所有的參與方。在本文中，我們將通過研究各種初始化假設所用的理想函數，來回顧一下信任初始化的常見類型。

可以這樣來建模被信任的實體：存在一組初始的參與方P1，...，Pn和被信任的實體T交互。這些參與方可以發送輸入x1，...，xn給T，而T反過來運行一些函數F，產生輸出y1，...，yn，并將yi發送給Pi。這一過程可能是“交互性”的，也就是說它可能重復許多次。由于這是在描述一個理想中的世界，因為我們總是假設各參與方與受信任的實體之間的通信信道是安全的。

Elastic Swap項目遭到閃電貸攻擊:金色財經報道，據CertiK監測，Elastic Swap項目遭到閃電貸攻擊，共計損失約37.4萬美元（約18.74萬USDC和4.06萬TIC）。

AVAX合約地址：0x75739a693459f33B1FBcC02099eea3eBCF150cBe[2022/12/13 21:41:13]

在下文中，我們認為絕大多數函數都屬于以下五種類型之一：

沒有設置：這是最簡單的一種情況，我們實際上并不需要信任某些實體或某些初始化設置。最小通信假設是參與方可以訪問某種類型的通信媒介。不過，沒有設置很多時候也指代參與方的身份是全局知曉的這種設定。

成對設置：在這種設置下，我們假設存在一些初始的參與方P1，...，Pn，并且每兩個參與方之間都有可靠的通信信道。特別是，在最簡單的成對設置假設中，當參與方Pi在通道中收到一條消息時，它可以確認這條消息來自參與方Pj。

廣播設置：在這類設置中，我們假設不需要用到秘密。PKI設置就是一個典型的例子，它只需要用廣播來傳遞公鑰。

部分公開設置：經常被稱為公共參考串模型。許多密碼學協議都利用這一設置來提升效率。其中一個特殊的例子就是隨機信標。

完全私有設置：在安全多方計算協議的語境中通常被稱為離線階段。這一類型中的初始化階段需要計算一個相當復雜的依賴各參與方的輸出。在SPDZ-2中創建OT和乘法三元組的階段就是一個例子。

我們來詳細介紹一下這五種設置的變體，舉出一些案例并討論其優缺點。最后，我們也會討論一些初始化階段的潛在替代方案。我們使用n來表示系統中的參與方數量，使用f來表示故障的參與方數量。

以太坊在過去4年的復合年增長率超過比特幣2倍:金色財經報道，Glassnode數據顯示，自2019年10月以來，以太坊的表現優于比特幣。以太坊的復合年增長率數據始于2019年7月，自那以后，以太坊和比特幣之間的相關性一直相對較低。比特幣的CAGR峰值出現在2014年，而以太坊的CAGR峰值出現在2019年10月20日。

比特幣的峰值CAGR接近800%，而以太坊的歷史CAGR約為350%。此外，以太坊的復合年增長率自6月以來一直在穩步攀升，而比特幣全年的年復合年增長率在36%至61%之間徘徊。（cryptoslate）[2022/10/30 11:57:12]

1.沒有設置

當一個協議沒有需要被信任的初始化設置時，也就沒什么需要擔心的了。這類協議比較容易取得我們的信任。但另一方面，它們也存在固有的局限性。

沒有設置的環境有兩種形式：1）假設參與方之間彼此一無所知，有時也被稱為匿名通道模型，2）假設所有參與方的身份信息都是全局知曉的，這個假設在許多現實世界的應用中是完全可以接受的。但是，這兩種方式都缺乏經過認證的信息通道，敵人可以隨意地發起中間人攻擊。

在傳統的密碼學中，這類模型的開創性研究是由Dolev、Dwork和Naor提出的，用于不可延展的加密算法和零知識等特定任務，后來被Barak等人推廣到了任意計算。

匿名模型的另一個研究方向基于對敵手能力的更精確假設，也就是說，該假設限制了敵人和誠實參與方的計算能力比例。已有研究證明，在這樣的模型中，從頭開始構建一個有限的PKI模型是有可能的。案例可以參見Aspnes,Jackson和Krishnamurthy，以及少數直接受到比特幣類型謎題啟發的方法。

巴西加密貨幣交易所Mercado Bitcoin將擴展到墨西哥:7月22日消息，總部位于巴西的加密貨幣交易所 Mercado Bitcoin 最近透露，它將進軍墨西哥市場，并于今年第二季度開始運營。Mercado Bitcoin 首席執行官 Reinaldo Rabelo 表示，該公司正在等待監管部門的批準，以便在墨西哥啟動業務。擴張的具體細節尚不清楚，但 Rabelo 在 4 月份表示，購買加密貨幣交易所是進入新市場的一種更簡單的方式，而不是經歷建立新市場的嚴酷考驗。[2022/7/22 2:32:02]

2.成對設置

在成對設置中，我們假設每一對參與方之間的通信信道是經過認證的。這是分布式密碼學和分布式計算中的經典假設。Fisher、Lynch和Merritt在1985年研究了在這種設置下，參與者數量相對于敵手數量的下界：當n<=3f時，即便使用了這種設置，即便敵手的資源假設是傳統的多項式有界假設，也不可能達成哪怕是弱形式的拜占庭共識。而另一方面，當n>3f時，成對設置可以完美實現任何函數。這是Ben-Or、Goldwasser和Widgerson在1988年發表的著名研究成果，詳細的證明請看Asharov和Lindell。

3.廣播設置

廣播意味著即便可信實體是“透明的”，也就是說，該實體所接收/發送的所有輸入/輸出以及它的隨機字符串都是公開的，系統的安全性也不會受到損害。典型的例子就是那些使用一個被信任的實體來廣播所有參與方公鑰的協議。

使用PKI既可以提高異步拜占庭協議的復雜性，也可以將同步拜占庭協議的容錯能力提升至n=2f+1。

Osmosis選擇Axelar作為跨鏈服務提供商，啟動跨生態系統交易功能:6月17日消息，基于Cosmos的跨鏈自動做市商Osmosis宣布推出跨生態系統代幣交易功能，這是DEX上第一個由跨鏈通信基礎設施提供商Axelar啟用的產品，Osmosis DAO已投票選為連接以太坊生態系統的跨鏈橋。Osmosis已經支持以太坊和基于Cosmos的代幣之間的交換，并將很快利用Axelar支持Avalanche、BNB Chain、Polkadot和Polygon生態系統，為通用跨鏈交易創建一鍵式應用程序。[2022/6/17 4:33:43]

請注意，此處存在循環論證的風險：有了PKI設置，就可以分別在n=2f+1時實現同步模型中的拜占庭共識，還能在n=f+1時實現拜占庭廣播。但如果沒有PKI設置，那么初始化PKI的廣播環境需滿足n>3f。

優點：完全公開設置的一個重要優點就是它相對簡單，并且可以減少受攻擊面。

風險：這類設置的失敗通常會導致模棱兩可。給不同的參與方提供不同的密鑰可能會導致未來的協議失敗。

4.部分公開設置

部分公開意味著來自受信任實體T的輸出對所有參與方都公開，然而可能要求參與方的輸入x1，...，xn和T的隨機字符串r應當保密。例如，設想一個持續接受用戶消息、并需要在未來那么某個時間t將所有消息一次性全部顯示出來的系統。這樣一個系統可以使用如下初始化設置：函數F不接收任何來自參與方的輸入，并執行如下操作：生成用于加密機制的密鑰對，然后生成一個Rivest、Shamir和Wagner時間鎖謎題p，用于在到達時間t之前隱藏sk；最后，向各參與方輸出謎題p和加密密鑰pk，從而結束初始化階段。在主階段，用戶可以使用pk加密他們的消息并廣播。此外，他們開始解決謎題以在時間t內獲得解密密鑰sk，從而解密所有消息。請注意函數F的所有輸出都是對參與方公開的，但這個被信任的實體的內部狀態的隨機字符串）必須保密。

信任一個帶有秘密值的預計算流程通常效益顯著。此類設置的風險是，系統的屬性現在依賴于初始化階段的隱私性。而在初始化過程中想要檢測信息泄漏事件是非常困難的。

要求初始化過程公開一個公共值的好處是更容易確保這一屬性。這一模型通常被稱為公共參考串模型。這里我們舉兩個例子：

針對高效可驗證秘密共享的設置——Kate、Zaverucha和Goldberg提出了一種機制，該機制要求一個信任初始化階段來生成一個隨機的公開生成器g和一個私鑰α。然后，初始化階段以g(ai)的形式廣播冪。使用這一設置，可以獲得最高效的異步可驗證秘密共享機制。

針對高效零知識證明的設置——少數高效的零知識協議要求CRS設置。要讓這種初始化過程值得被信任，通常需要一些難度較大的MPC協議。比如，參見Bowe、Gabizon和Miers。實際上，僅僅運行一個MPC協議是遠遠不夠的，通常來說，必須進行一個完整的初始化儀式才能建立公開的可驗證性。

5.完全私有設置

這是最通用的一種初始化形式，即便是函數發送給各參與方的輸出也是彼此保密的。顯然，該設置最大的優點就是允許在它們之上運行強大的協議。此類初始化的實例化相當復雜，并且面臨更大的受攻擊面。

我們在這里集中討論兩種實例：分布式密鑰生成和安全多方計算的離線階段。

分布式密鑰生成和門限簽名設置

門限簽名機制通常在降低詞語復雜度和減少總計算開銷上表現突出。而門限簽名的問題在于該機制要求有個初始化過程，通常被稱為分布式密鑰生成初始化。

DKG函數只從每個參與方那里接收隨機的比特，生成一個密鑰對，然后輸出pk給所有人并單獨分享sk給每個參與方，使得參與方Pi收到ski，sk在每個參與方之間必須保密。

風險：在這一初始化過程中，有兩個地方可能會失敗。一是當共謀者數量達到門限值時秘密將會泄漏，二是某些參與方可能會收到錯誤的sk。參與方有多種方式來驗證其收到的sk的有效性，因此主要的風險發生在參與方掉線時。

安全計算的可信設置

安全多方計算協議允許一組數量為n的參與方P1，...，Pn基于他們私有輸入x1，...，xn去計算一個電路C，然后只顯示輸出y=C。例如，電路C可以計算所有輸入之和。

最新的MPC協議都被設計成離線-在線兩階段運作，其中離線是用于初始化階段的，通常是完全保密的。一個常見的例子就是向各參與方共享乘法三元組的信任初始化階段。具體來說，該初始化過程隨機將ai、bi和ci發給參與方Pi，且(a1+…+an)·(b1+…+bn)=(c1+…+cn)。然后，在協議的主階段，參與方分享他們的輸入，也就是說，參與方Pi通過向Pj發送x'j使得x'1+...+x'n=x'來分享他的輸入x'。現在，各個參與方都可根據被共享的數值進行任何算術運算，也就是說，給定一個共享的秘密值x和y，如果參與方Pi持有xi和yi使得x1+...+xn=x且y1+...+yn=y，那么各參與方可以執行以下流程：

開始——給定一組共享的x1，...，xn，使得每個參與方都可以獲得x=x1+...+xn。

加法/減法——各參與方Pi通過在本地計算zi=xi+yi，可以計算出一個共享的z=x+y。因為這遵循z1+...+zn=+。

縮放——給定一個所有參與方都知曉的值c，他們就可以通過每個參與方在本地計算zi=cxi來計算一個共享的z=cx。同樣的，它也遵循z1+...+zn==c=cx。

乘法——各參與方通過放棄來自初始化階段的單個乘法三元組可以計算出一個共享的z=xy。簡單起見，我們用來表示。參與方都擁有共享的、和來自初始化階段的三元組、、。各參與方分別計算=-和=-。由于a和b的值是由初始化設置統一選擇的，因此s和t的值也是統一的，所以該過程不會泄漏任何關于x和y的信息。然后，這些參與方計算=s+t+st?。此過程僅包括縮放和加/減法計算，因此可以由每個參與方在本地計算來獲得共享的=。

風險和優勢：如上所述，這樣一個初始化階段的受攻擊面極大。初始化階段的輸出必須保密，也就是說，在上面的乘法過程中，要注意如果一些持有t的參與方結盟，獲得了所有參與方共享的a1，…，an，那么他們就可以通過計算=-算出秘密值x。請注意，在此類初始化階段中并不是只要做好保密就萬事大吉了，我們還必須確保三元組都是正確的，也就是說，ab必須等于c，否則計算的輸出就會出錯。保護三元組不被泄漏以及不受到惡意參與方的影響是一項艱巨的任務，因此會給MPC協議帶來巨大的成本。另一方面，由于初始化階段已經輸出了乘法三元組，因此協議的主階段將變得非常快。

存在對被信任的初始化階段的替代方案么？

在最后，我們提及幾種潛在的替代方案：

一次性將大量的信任從系統中的在線階段轉移到了某個歷史性的離線階段。這引入了新的風險和安全漏洞。一種潛在的替代方案是使用一個永不停歇的初始化階段。在此類機制中，存在一種不斷可更新的CRS。最近的一個案例是SONIC。

另一種方案是使用多次初始化來生成多個公共參考串。在這種方案中，我們只假設一部分設置是忠實完成的。參見GrothandOstrovsky。

歡迎來我的推特留言評論。

原文鏈接:

https://decentralizedthoughts.github.io/2019-07-18-setup-assumptions/

作者:IttaiAbraham&AvishayYanai

翻譯&校對:Zengmi&Shengchao

Tags：以太坊TRUUST比特幣以太坊和瑞波幣在中國合法嗎Strudel FinanceTrustRiseV2比特幣錢包手機版app

DOGE