STA:密碼貨幣難題 5 年回顧：密碼學

編者按：本文來自以太坊愛好者，作者：VitalikButerin，翻譯&校對:阿劍、陳亮&阿劍，Odaily星球日報經授權轉載。特別感謝JustinDrake和JinglanWang的反饋。2014年，我曾在一篇文章和一場演講中列出了一系列我認為對密碼學貨幣領域的成熟有重大意義的數學、計算機科學和經濟學難題。五年過去，滄海桑田，但在這些我們認定重要的事項上，到底取得了多少進展？在哪些挑戰上我們成功了，哪些事情上我們失敗了、又或者我們轉變了看法？本文中我會歷數2014年列舉出的16大問題，并檢視我們的進展。最后，我會給出2019年版的新難題。我把難題分成了三類：密碼學難題，如果可解，應有純數學形式的解決辦法；共識理論，基本上就是要求對工作量證明和權益證明做改進；經濟學問題，要求創造一種為不同參與方賦予經濟激勵的結構，并且一般都在協議層以外包含了應用層。雖然進度不一，但我們在所有類別中都看到了重大進展。密碼學問題

1.區塊鏈可擴展性

殺軟件McAfee創始人John McAfee去世后所發布圖并未帶密碼，為INS自動添加:6月23日，在殺軟件McAfee創始人JohnMcAfee的死訊被報道后，其本人的Instagram帳戶發布了一張字母Q的圖片，有網友發現該圖片內藏有一組神秘字符串，不久之后，McAfee賬號被關閉。一時間引發網友種種猜測，大量網友參與字符串解密。該字符串并非McAfee主動加入。字符串FBMD意為FacebookMetaData，系Instagram自動添加以便與圖片追蹤及數據統計，Instagram中所有上傳圖片均會被添加同類數據。[2021/6/24 0:03:18]

當前密碼學貨幣領域面臨的最大挑戰之一就是可擴展性問題……對“區塊鏈數據量過大”的擔心是有道理的：如果只有小一部分人才有能力運行全節點，那么這些實體就可以秘密勾結并給自己分配額外的比特幣，而其它用戶則無力為自己伸張正義，因為只有自己驗證區塊才能發現非法區塊。問題定義：創造一種區塊鏈結構，既能擁有比特幣級別的安全保障，同時用于保證網絡功能存續的最強大節點的規模上限會隨著交易數量的增加而呈次線性增長。現狀：有大量的理論進步，但有待生產環境檢驗。在可擴展性問題上，我們已經在理論上取得了大量進展。五年前，幾乎還沒有人思考過分片的可能性；現在，分片設計是大家司空見慣的東西了。除了以太坊2.0，還有OmniLedger、LazyLedger、Zilliqa，而且新論文幾乎每個月都會冒出幾篇來。我個人的觀點是，在這個點上出現的進展會越來越多。最基本來說，我們已經有多項技術可以讓驗證者群體對超過單個驗證者所能處理的數據安全地達成共識，同時技術還讓客戶端能夠間接地驗證區塊的完全有效性和可得性，即便是在51%攻擊的條件下。下面列舉出的可能是這些技術中最重要的一部分：隨機采樣：可以隨機選出一些驗證者組成委員會，使其在統計意義上代表整個驗證者群體：https://github.com/錯誤性證明：讓監測到錯誤的節點向其它節點廣播自己發現的錯誤：https://bitcoin.stackexchange.com/數據托管證明：讓驗證者可以概率性地證明自己下載并驗證了一些數據：https://ethresear.ch/數據可用性證明：當客戶端具備區塊頭的區塊體不可用時，讓客戶端可以探測到錯誤：https://arxiv.org/。也可以看看更新的編碼化默克爾樹提案。還有一些更小的進展，比如用收據實現跨分片通信，還有“常量因子”強化技術如BLS簽名聚合技術。雖說如此，完全分片的區塊還是沒能在現實中出現。理論上來說，剩下的爭議都是細節上的，圍繞著與分片組網穩定性、開發者體驗和緩解中心化風險的各項挑戰；基本的技術可行性看起來不再有疑問。但剩下的挑戰都是不可能僅靠理論來解決的問題；只有開發出這樣的系統、看到以太坊2.0或類似的鏈實際運行才能解決這些問題。2.時間戳

Nervos研究員論文被國際密碼學頂會歐密會收錄:近日，Nervos基金會密碼學研究員Alan Szepieniec的論文《Transparent SNARKs from DARK Compilers》被國際密碼學頂會歐密會收錄，同時，Alan也受邀在該會議上發表了主題演講。這項基礎性的工作為零知識證明領域貢獻了一種全新的無需Trusted Setup的通用工具，標志著 Nervos在2020年的研究工作又向前邁進了堅實的一步。

歐密會（Eurocrypt）是密碼學中最著名的學術會議國際密碼學協會所主辦的三大旗艦會之一，在CCF推薦列表和 CACR列表中均為A類會議，密碼學中最重要的文章一般都會在這三個會議中發布。Eurocrypt 2020是第39屆密碼技術理論與應用國際會議，首次在線上舉行。[2020/5/18]

問題：創建一種分布式的激勵兼容系統，無論它是區塊鏈上的覆蓋層還是區塊鏈本身，能夠以高準確度維護一個實時的時鐘。所有合法用戶的時鐘圍繞某個“真實時間”以20秒的標準差呈正態分布……沒有任何兩個節點的時間差會超過20秒。解決方案可以依賴現有的“N個節點”概念；可以通過權益證明或者non-sybiltoken來組織節點。這個系統應能不斷地提供時間，并且時間在超過99%的誠實參與者節點內部時間的120秒范圍內。外部系統可能最終會依賴這個系統；因此，它應該能在攻擊者無視激勵措施且控制25%的節點條件下保持安全性。現狀：有一些進展。以太坊在13秒的出塊時間、無特殊高級時間戳技術的條件下運作得非常好；這個網絡只是要求客戶端不要接受所引時間戳比本地時間更新的區塊。也就是說，這一技術還沒有在高強度攻擊下接受過檢驗。最新的網絡調整時間戳提案嘗試改變現狀，它讓客戶端本地可以在并不知道高精確度的當前時間時對時間達成共識；不過這也還沒有被檢驗過。總的來說，時間戳技術已從研究挑戰的前沿退了下來；也許這一點會在眾多權益證明區塊鏈上線之后改變，到時候我們就能更具體地定位問題了。3.通用的計算過程證明

聲音 | 日媒：中國施行密碼法為數字貨幣鋪路:中國于2020年1月1日施行密碼法，日媒稱，此舉旨在培育數字時代的核心技術——區塊鏈技術，為發行基于區塊鏈技術的數字人民幣提供法律依據。 日本經濟新聞12月31日報道，中國人民銀行正在為發行主要國家中的首個數字貨幣——數字人民幣做準備。據認為，此舉是為了減輕金融機構的工作負擔，在資金方面加強監管。作為發行數字貨幣所需的技術，中國很可能采用區塊鏈技術。為了防止數據被竄改，需要用密碼對每個數據進行保護。區塊鏈技術的發展離不開密碼技術的進步。報道稱，在通過密碼法之后，中國領導人提出了加速推動區塊鏈技術發展的方針。這是因為，密碼法施行將為推進區塊鏈技術發展和數字貨幣發行奠定基礎。[2020/1/2]

問題：創建程序POC_PROVE(P,I)->(O,Q)以及POC_VERIFY(P,O,Q)->{0,1}，使得POC_PROVE以I為輸入運行程序P，可以返回程序輸出O以及一段計算過程證明Q；當POC_VERIFY以P、O、Q為輸入時，可輸出結果，表明Q和O是不是POC_PROVE算法使用程序P生成出來的。現狀：大量理論進展和實際進展。這個基本上就是說，要構建一個SNARK。而且我們已經做到了！SNARKs越來越被充分理解了，甚至已經被用在多條區塊鏈中。而且SNARKs是非常有用的，無論是作為隱私保護技術，還是作為可擴展性技術。不過還是有些效率上的問題，創造一種算術友好型的哈希函數是一個；高效證明隨機內存存取是另一個。進一步來說，還有一個未解決的問題是，是不是此類方案的證明時間都遵循O(n*log(n))的限制，還是說，有某種辦法可以構建一個簡潔的證明，開銷僅呈線性增長，就像bulletproofs一樣。此外，這些現有方案有bug的風險也是一直存在的。總而言之，問題都是細節上的，在問題的基本層面已經沒有疑問了。4.代碼混淆

動態 | 北青網：密碼法疊加區塊鏈 中國數字經濟有了“金鑰匙”:北青網今日刊文《密碼法疊加區塊鏈 中國數字經濟有了“金鑰匙”》。文章表示，雖然區塊鏈技術具有去中心化的特點，這給集中監管的傳統治理模式帶來了挑戰，但其也同時具有不可篡改和透明開放的特點。如果將區塊鏈技術集成使用、系統治理，那么中國將掌握互聯網技術和產業集成發展的鑰匙。整個大數據系統，也不再是無序和不確定性的信息泛濫，而是變成了誠實與透明的生產力工具。密碼法讓網絡密碼使用有了法治基礎，加快區塊鏈技術的集成使用則讓互聯網變成了“信任機器”，兩相疊加會帶來令人期待的系統紅利。[2019/10/28]

密碼學難題的圣杯是創造一個混淆器O：對給定的任意程序P，該混淆器能產生一個次級的程序O(P)=Q，只要給出相同的輸入，P與Q會返回相同的輸出，并且更重要的是，Q不會暴露P的任何信息。這樣話，人們就可以在Q中隱藏口令、秘密的加密密鑰，或者僅僅是用Q來隱藏算法本身的工作方式。現狀：進展緩慢。翻譯成大白話，這個問題就是說，我們想要一種方式來“加密”一個程序，使得加密后的程序能對同樣的輸入給出相同的輸出，但原程序內部的機理又是完全隱藏起來的。這種技術的一種用場是一段包含一把私鑰的程序，僅允許這把密鑰對特定消息簽名。代碼混淆方案對區塊鏈協議來說是非常有用的，雖然用起來會比較微妙，因為我們必須面對這樣的可能性：一個在鏈上的混淆過的程序可能會被復制并用在一個完全不同的環境中，由此產生許多不同的結果。讓我很感興趣的點在這里：我們可以用包含一些工作量證明的、混淆后的程序來代替運營者，從而能在抗串謀工具中移除中心化的運營者，因為在確定單個參與者的行動時，使用多個輸入、運行多次程序的開銷會非常大。不幸的是，到目前為止，這還是一個難題。在這個問題上不斷有人付出努力，一方面是創造一些建構，嘗試減少對那些我們不知道其實用性的數學對象的假設，另一方面是嘗試做出有用數學對象的有用實現。不過，所有這些路徑距離我們的目的——創建出可行且在已知條件下安全的代碼混淆器——非常遙遠。請看https://eprint.iacr.org/2019/463.pdf。以了解對該問題的更一般化的概述。5.基于哈希的密碼學

分析 | 彭博社：極少的商業銀行為密碼貨幣行業提供服務:據彭博社報道稱，盡管像摩根大通這樣的華爾街傳統金融機構已經宣布將推出 JPM Coin 數字貨幣用于內部結算，但是實際上，像匯豐、摩根大通這樣的主流大型金融機構依然拒絕為密碼貨幣相關企業提供基本的銀行服務，只有極少的商業銀行可以為密碼貨幣行業提供服務，其中包括總部位于美國加州圣迭戈的 Silvergate 銀行，該銀行與密碼貨幣業務相關的存款已經達到 400 億美元，以及美國的 Signature 銀行和歐洲的 Frick 銀行。另外，區塊鏈項目只能尋找替代途徑解決基本的需求。比如總部在香港的交易所 CoinFLEX，只能選擇向員工發放穩定幣 Tether 為替代方案，解決發放薪酬的現金需要。[2019/3/4]

問題：創造一種簽名算法，除了依靠哈希函數的隨機特性以外沒有別的安全假設；哈希函數對古典計算機保持160比特的安全性，并且具有最優大小及其他屬性。現狀：有一些進展。自2014年以來，這個題目下出現了兩項進展：SPHINCS，一種“無狀態”的簽名方案。該方案在《難題》一文出版后不久就出現了，提供了一種僅基于哈希函數的簽名方案，簽名大小在41kB左右；STARKs也已經被開發出來了，所以人們可以基于STARK技術實現相近大小的簽名。不僅是簽名方案，連通用型零知識證明技術，都可以僅用哈希函數實現出來，這是我在5年前完全沒有料到的事，我很高興能見識到這一切。雖然說，簽名的大小仍然是一個問題，但人們也在不斷付出努力減少證明的大小，而且看起來進一步的進展效果會越來越強。基于哈希函數的密碼學中尚未解決的主要問題是簽名聚合，就是類似于BLS簽名方案所提供的功能。已知的是我們可以對許多Lamport簽名方案生成STARK，所以一個更有效率的簽名方案可能就快出來了。

Tags：區塊鏈ARKSTACAF玩區塊鏈的都是什么人群ark幣最新消息Star Wars CatThe Last McAfee Token

MEXC