(譯者注:本文所介紹的技術在密碼學社區里一般稱為 “KZG10 承諾”,得名于論文三位作者的姓氏首字母。但在介紹到以太坊生態中時,被簡化成了 “Kate 承諾”,甚至連核心開發者也是這么稱呼的。這是對另外兩位作者的不尊重,不應該繼續下去。在本譯文中,凡原作者使用 “Kate commitment” 的地方,都一律譯為 “KZG10 承諾”。)
免責聲明 :本文僅僅是匯集、鏈接了許多已經公開的成果,對應的榮譽(包括本文所鏈接的圖片)應歸屬于相應的 作者/開發者。
P.S. :特別感謝 Ethereum R & D discord 頻道(尤為感謝 @vbuterin 和 @piper)幫助我理解 KZG10 承諾的某些方面。此外,還要感謝 @vbuterin 幫忙審校本文。
PPS :本文是出于 lodestar 團隊的利益而撰寫的;lodestar 是一個很棒的 ETH PoS 客戶端,基于 typescript,可以讓以太坊的服務 無處不在,也開啟了作者對以太坊生態和創新的理解。
我希望本文也能對全世界的其他 開發者/技術人員 有所幫助。本文遵循 CC0 自由創作公約,作者已放棄所有權利。
作為一個有益的指南,幫助讀者熟悉、總結以太坊背景下 KZG10 承諾的提議用法,并提供深入理解的指南。
本文的目的更多是總結,而非嚴謹,不過,您可以點擊文中所附的鏈接,它們會有更詳細的解釋。
注-1:哈希值就是一個對被哈希的原像的承諾,用于檢驗被哈希的數據的完整性。(譯者注:這話其實不是很嚴謹。因為哈希函數往往難以滿足 “承諾方案” 所需的性質。)
監測:FTX攻擊者地址將超340萬枚USDT以及近400萬枚USDC交易為以太坊:11月19日消息,PeckShield監測數據顯示,0x2cfe開頭的FTX攻擊者地址將3435470.91 USDT及3999600枚USDC通過Cow Protocol交易為總計6148.68枚以太坊,并向0x59ab開頭的FTX攻擊者地址轉入9263.43枚以太坊。目前0x59ab開頭地址共持有約250735.1枚以太坊,為第27大以太坊持幣地址。[2022/11/19 22:06:55]
舉個例子,假設 h1 = H(t1, t2, t3..),然后把 h1 交給驗證者(比如,把它放在區塊頭內),然后給出一個偽造的區塊 (t1,t2',t3...),對方快速計算這個偽造區塊的哈希值之后,發現兩者對不上,就可以合理地拒絕你的偽造區塊。
類似的,一棵默克爾樹的根節點,就是對按特定索引(路徑)組織起來的所有葉子節點的承諾。或者簡單來說,是對 indexes => values(從索引值到數值)的映射的承諾。
而這里的 “證明” 就是一個葉子的 默克爾分支(merkle branch) 以及(這個分支在每一層上的) 兄弟哈希值(sibling hashes),憑借這些數據,可以逐級向上哈希,并通過最終的哈希值是否與根節點一致來判斷該葉子是否與這棵默克爾樹一致(存在于這棵默克爾樹上)。
數據:88%的執行層客戶端已為以太坊合并做好準備:9月15日消息,EtherNodes披露的最新數據顯示,當前88%的執行層客戶端已為以太坊PoS合并做好準備,仍有12%的執行層客戶端尚未升級到支持合并的最新版本。四個執行層客戶端中:Go-Ethereum(Geth)已做好合并準備的客戶端占比為87%、Erigon為92%、Besu 99%、Nethermind為91% 。[2022/9/15 6:57:53]
可看看這里的介紹 : )。
注-2:數據映射與一個多項式的對應關系
indexes => values 這樣的數據映射可以表示為一個多項式 f(x),并且 f(index)=value(由拉格朗日插值法可知滿足這個條件的多項式必定存在)。“ f(index)=value ”通常被稱為 求值形式,而 “ f(x)=a0+ a1.x + a2.x^2... ” 則是其 系數形式。直觀來說,我們其實是根據映射中所有的 (index,value) 點,擬合出了一個多項式。
為了簡便計算,并確保多項式與數據映射的一一匹配,我們不使用索引值來作為 f(x) 的 x,用的是 w^index,也就是 f(w^index)=value,其中 w 是 d 次單位根(即 w^d = 1 且 w 是一個復數),而 d 是該多項式的次數(也是我們能夠包含的索引值的個數上限)。因此,我們可以使用快速傅立葉變換來實現高效的多項式計算,比如乘法和除法,在求值形式下其計算復雜度會是 O(d),而且可以在 O(d*log(d)) 的復雜度內轉化回系數形式。所以保持 d 數值較小還是很有好處的。
本體將為以太坊和波卡的DeFi項目提供 DID 解決方案:據官方推特消息,本體計劃為以太坊和波卡的DeFi項目提供DID解決方案,包含本體信任分、可復用KYC和電子簽名等功能。[2020/7/27]
注-2.1:以太坊的狀態是一個從地址到賬戶狀態(addresses => (version,balance,nonce,codeHash,storageRoot))的映射。
以太坊當前使用默克爾樹(更具體一些是 “帕特里夏默克爾樹”)作為 EVM 數據(EVM 狀態、區塊事務及事務收據,也許還有最近的合約代碼)的承諾。此種承諾方式可以:
逐個區塊地 插入/更新 數據,以增量的方式產生新的根哈希(即承諾)
驗證者可以逐個區塊(甚至逐筆事務)地校驗和證明
前綴樹結構在這里提供了這種逐塊更新的特性。
給定一個 d 叉的、有 N 個葉子的前綴樹,任意更改一個葉子節點,都需要更新 O(log-d(N)) 個節點(也就是該葉子與根節點相連路徑上的節點數量)以計算反映新狀態的新根值;而這需要額外的 (d-1)*O(log-d(N)) 個 兄弟節點哈希值/承諾 來用作時間和空間(假設要服務于輕節點)的見證數據(witness)。一個區塊可視為一個需要更改 m 個隨機葉子的批量更新,且 m<<N。因為預計只有一小部分的節點可以共享 witness 和計算,所以,每次更新的 Order(復雜度)不會有太大改變。
Cardano創始人:不希望再被稱為以太坊聯合創始人,Cardano更讓我自豪:Cardano創始人、以太坊聯合創始人Charles Hoskinson發推稱:“總有一天,加密貨幣媒體將不再稱我為以太坊聯合創始人,而只會提到Cardano,那將是非常美好的一天。在我的整個人生中,沒有任何一個項目或努力比Cardano更讓我感到自豪。”(ZyCrypto)[2020/4/25]
在下列情況下,問題還會變得更加嚴重(因為見證數據的規模):
部分采用快速同步的協議,比如 beam sync(光子同步),會下載并快速驗證區塊頭來追上最新的主鏈頂端并參與網絡的共識,注意,它不會先行構建好完整的狀態再參與共識,而是(在共識中)通過獲取 錯過的/未加載的 狀態的見證數據,來逐步構建出完整的狀態
為 輕節點 服務的時候,他們只關心自己,只想獲得區塊鏈狀態的特定部分
網絡走向完全無狀態時,所有的事務和合約操作,都要附帶相關的見證數據,來證明數據輸入和輸出的正確性(譯者注:粗體為譯者所加)
在驗證者會被混洗到不同分片的區塊鏈分片模型中,要讓驗證者每到一個分片就構建完整狀態是不現實的
代碼默克爾化,訪問代碼時需要附帶這些代碼塊的見證數據
在狀態保質期協議中,訪問過期的賬戶需要重新附帶狀態見證數據,以便重建該賬戶的狀態
(譯者注:需要解釋的是,在當前的以太坊網絡中,事務和區塊不會附帶上文所述的見證數據。即,網絡所傳播的見證數據規模與 事務/區塊 的規模無恒定的關系。前兩種情形恰好是在當前以太坊協議下為數不多的、需要傳播見證數據的情形。我們關心狀態數據的規模,完全是出于一種協議改進方向 —— “無狀態性” 的需要。后面四種情形都跟無狀態性有關,當然都比理論上要傳播的數量更多。但是,以上述的理論計算來作為基準點去比較,本身是不合適的 —— 連代碼默克爾化這種在無狀態下節省狀態數據的方案,也會被歸為讓情況更嚴重的方案。)
Vitalik為以太坊分片技術發布部分概念驗證:據coindesk報道,以太坊創始人Vitalik Buterin在發布 “分片即將到來”時分享了一個新的代碼庫,該代碼庫記錄了所謂的“分支選擇規則”的部分概念驗證,這是“以太碎片”如何與主區塊鏈相互作用的代碼。分片技術旨在將以太坊分成幾個并發網絡,從而使整個網絡更加高效地擴展。這將有助于 緩解 網絡面臨的擁塞,從而提高交易速度并降低成本。[2018/5/2]
在無狀態以太坊項目的一個實驗中,出現了 1 MB 的區塊證據(其中大部分都是默克爾證據),在發生攻擊的時候還會膨脹好幾倍。
其中一種解決辦法是轉為使用 “二進制默克爾樹”,也就是把 d 降下來,這樣雖然樹的深度(高度)會增加,但仍然是 O(log(N)) 的規模。
對于要放在區塊頭內承諾數據的承諾方案來說,以下特點是理想屬性:
證據的數據量較小,可以塞進區塊頭里,且仍具有很強的安全保證
易于證明某個承諾是使用分組化數據(chunkified data)的一個子集生成出來的
足夠小,最好證據的數據量是恒定的
為了跟蹤數據,承諾應當易于以增量的形式變更
基于KZG10 承諾的方案就是大家一番搜尋的結果。
譯者注:可以看到,作者有三個
KZG10 承諾可以視為另一種哈希方案,只不過它哈希的不是 “字節”(數據),而是多項式。
實際上,它就是 計算(evaluation) 多項式 f(x) 在秘密的定點 s 上的值,只不過 它們都是表示在一條橢圓曲線上的,也即 [f(s)]=f([s])。這需要一個受信任的啟動設置(跟 zcash 區塊鏈的創世活動一樣),來生成[s]、[s^2]、… [s^d](以便在多項式需要 x^i 的地方插入),而 d 就是多項式的最大階數。
這里的 [t] 表示點 t 處的橢圓曲線值,也就是 t,是橢圓曲線加法群的生成點()相加 t 次(等同于對 Fp 求模,modulo Fp )。橢圓曲線上的所有計算都是對 Fp 求模,Fp 給曲線施加了一定的范圍(譯者注:Fp 是一個由 p 個元素組成的有限域,限制了該橢圓曲線值的范圍)。
注 3.0:在 indexes=>values 的映射中,所有的 值 都要表示為一條橢圓曲線上的元素,即 [value],以便計算承諾(后文有詳述)。這就使得 value 的大小有了限制(為了要成為 modulo Fp 的值)。在 BLS 曲線上,大概在 31~32 字節之間。為了簡便,value 的大小就限制在 31 字節,任意更大的 值 都要分塊化,并用其索引值來恰當地表示(或者截斷)。
注 3.1:[t] 可以被視為 t 的哈希值,因為從 [t] 找回 t 是個離散對數問題(discrete log problem),對于安全的曲線來說,是很難做到的。
注 3.2:s 是一個秘密的數值,永遠不應泄漏給 任何人/所有人,但橢圓曲線點 [s], [s^2]…[s^d] 及其在另一條橢圓曲線上的值 [s]' (其生成點為 ' 且只需知道 [s]' )則應生成并公開出來,讓所有人知道。這就是啟動設置要做的事。
這些 系統參數 定義了整個系統的安全性,因為 s 暴露會使得攻擊者可以構建任意內容的 證據。因此,一個有 N 個參與者共同參與的啟動設置儀式中,他們要通過協議把本地的 s 結合起來,這樣只要有 1 個參與者是誠實的、在參與之后就銷毀掉了自己提供的 s,這個系統就會是安全的。即,信任模型是 1/N 模型,N 越高,風險就越低。
注 3-3:[] 是一個線性的操作,即[x]+[y]=[x+y],而且 a[x]=[ax]。
如果上所述,我們將數據映射(索引值 => 數值)表示為 f(w^index)=value,即一個多項式的求值形式,也可說,我們用這些 (w^index,value) 點擬合出了一條曲線(多項式)。
所以,一個多項式 f(x) 的 KZG10 承諾c(f) 是一個橢圓曲線點 f([s]),這個點可以靠在 f(x) 的展開式中插入 [s],[s^2] … 計算得出。
注 3-4:f(s) 是無法計算的,因為 s 是個秘密值。但是 C(f)=[f(s)]=f([s]) 是可以計算的。
注 3-5:f(x)的承諾 C(f)=[f(s)] 也是一個線性的運算符,即,C(f+g)=C(f)+C(g)。
Rollup/聚合器 可以使用這一屬性來更新承諾。在求值形式下,更新一個求值點將導致 f(x) 完全改變,但因為有這個屬性,其承諾 c(f) 仍然是易于更新的。
(未完)
北京剛剛又發放了 20 萬份數字人民幣紅包,領到紅包的幸運者可以在京東、滴滴等應用內體驗數字人民幣的支付.
1900/1/1 0:00:00《覓新》是金色財經推出的一檔區塊鏈項目觀察類項目,覆蓋行業各領域項目發展情況,具體設計到項目概況、技術進展、募資情況等,力圖為您呈現熱門新潮的項目合輯.
1900/1/1 0:00:00最近這段時間,黑客組織在各大媒體頻繁刷臉,似乎預示著不久的將來,可能有大事發生。就在前兩天,有人以國際黑客組織“匿名者”的身份發布了一個視頻,公開指責國際帶單一哥馬斯克不顧工薪階層的死活,攪亂虛.
1900/1/1 0:00:00看下加密貨幣總市值的走勢,今年1月初總市值便已突破了17年牛市的頂點,形態上構筑一個大圓弧結構,后面走勢總市值繼續向上攀升,然后迎來了這波跌幅超過50%的大調整,最低跌至周線MA30均線一帶.
1900/1/1 0:00:001 簡介 Swarm的使命,是通過為去中心化的互聯網提供可擴展的底層基礎設施,去塑造自我主權的全球化社會和無需許可的開放市場.
1900/1/1 0:00:006月13日,比特幣全網支持 Taproot 升級的礦池算力超過 90%,達到鎖定升級的最低要求,這也意味著 Taproot 升級將于今年11月正式激活.
1900/1/1 0:00:00