編集者注: フィールド ノートは、重要な業界、研究、およびその他のイベントの現場を報告するシリーズです。 このエディションでは、a16z クリプト リサーチ パートナーの Joe Bonneau が、特にブロックチェーンに関連するハイライトを共有します。 アジアクリプト、6 月 9 ~ XNUMX 日に台湾で開催されました。 また、出席していたのは 16 年の夏に a2022z 暗号研究インターンであった Arasu Arun も論文を発表しました (以下を参照)。 Asiacrypt は理論的な暗号化カンファレンスであり、結果の多くは今日の実際の業界の懸念よりもはるかに進んでいますが、この要約では、web3 に潜在的な影響を与える講演に焦点を当てています。 完全なプログラムを見ることができます こちら.
Asiacrypt の論文はオンラインで無料で、各著者は 論文を要約した 5 分間のビデオ. これらの多くは、プレゼンターに技術的な詳細を省略させ、彼らが取り組んでいた問題を高レベルで説明させるため、非常に便利です。 逆説的に言えば、私は完全な講演よりもいくつかの短いビデオから多くのことを学びました (そして、長い講演よりも著者が準備するのが難しい場合があります)。 短いビデオから始めることをお勧めします (完全な講演または完全な論文の前に)。 (一部のビデオは非常にクリエイティブです: XNUMX 人の著者 ラップ動画を作りました そして別の人がした 劇的な制定 彼らの署名スキーム攻撃の.)
Asiacrypt はブロックチェーンに焦点を当てているわけではありませんが、驚くほど多くの講演で、新しいプリミティブを設計するためのアプリケーションの動機付けとしてブロックチェーンが挙げられました (ソリューションの多くは実用的ではなく理論的なものですが)。 関連トピック、特にゼロ知識と SNARK に関する多くの講演もありました。 その他の人気のあるトピックには、ポスト量子暗号と、関数型暗号化や証人暗号化 (現在は実用的ではない) などの高度なプリミティブが含まれていました。
いくつかの論文は、ブロックチェーン空間で生まれたアイデアを採用し、概念を形式化し、より厳密なセキュリティ定義を提供したり、基本的な限界を証明したりしています。 従来の暗号化コミュニティとブロックチェーン研究コミュニティの間でアイデアや概念が行き来していることは明らかです。
最優秀論文受賞者
Group Action DLog と CDH の完全な量子等価性など ハート・モンゴメリー、マーク・ザンドリー
私たちが知っている最も効率的で強力な暗号化方式の多くは、離散対数の硬さと有限群 (CDH や DDH など) における関連する問題に基づいています。 残念ながら、これらの仮定は量子的に安全ではありません。Shor のアルゴリズムは、量子コンピューターを使用して離散ログを一般的に (任意のグループで) 計算できるからです。 ただし、よりリラックスした概念があります。 グループアクション、アイソジェニやラティスなどの他の設定で定義できます。 群べき乗は、ほとんどの古典的な暗号が基づいている群アクションの一例ですが、SIDH (現在は壊れています)、CSI-Fish、および CSIDH のようなポスト量子であると思われる最新の提案があります。 集団行動モデルには、離散対数 (GA-DL) と他の古典的な仮定 (GA-CDH、GA-DDG) の並列問題があります。 この講演の主な貢献は、GA-DL と GA-CDH が量子攻撃者と同等であることを示すことです。そのため、CDH に基づく従来の暗号システムには、GA-DL が困難な場合に安全な GA-CDH と同等のものがあります。 これはいくぶん理論的な結果ですが、群作用問題が古典的な等価物と同じように振る舞うことを示すことは重要です。 このホワイト ペーパーでは、他にも多くの有用な結果が証明されており、グループ アクションの抽象化の概要を説明しています。
SwiftEC: 楕円曲線に対する Shallue–van de Woestijne の微分不可能な関数 ホルヘ・チャベス=サーブ フランシスコ・ロドリゲス=ヘンリケス メディ・ティボウチ
楕円曲線へのハッシュは、多くの暗号操作 (BLS 署名や VRF を含む) において重要なステップです。 古典的な方法は、ハッシュし、ポイントに到達してから繰り返すことですが、これは効率的ではなく、サイドチャネル耐性もありません (タイミングはデータに依存します)。 このホワイト ペーパーでは、以前の最先端技術である Elligator^2 を改善する新しい方法を紹介しますが、実際には効率的で一定時間であり、ランダムと見分けがつかないまま、より多くの曲線で機能します (基礎となるハッシュがランダムオラクル)。
直接ブロックチェーン関連の論文
非対話型ミンブルウィンブル トランザクションの再検討 ゲオルク・フックスバウアー、ミケーレ・オルルー
MimbleWimble は、プライベートで効率的な暗号通貨トランザクションの興味深い提案であり、一部採用されています (MimbleWimbleCoin、Grin)。 MimbleWimble トランザクションは機密トランザクションから構築され、各入力と出力の量を隠します。 また、効率的なカットスルーもサポートしています。つまり、入力/出力が一致する 2019 つのトランザクションを非対話的に組み合わせて、XNUMX つの単純化されたトランザクションにすることができます。 実際、ブロックチェーン全体はいつでも、一連の入力 (コイン鋳造トランザクション) から出力 (現在有効なすべての UTXO) までの単一のトランザクションとして表すことができ、他のすべてのチェーン アクティビティが集約されます。 元の MimbleWimble トランザクションの欠点は、トランザクションの作成が、トランザクションを作成するために両方ともオンラインである必要がある送信者と受信者の間の対話型プロトコルであることでした。 XNUMX 年には、非対話型トランザクション (ほとんどの暗号通貨のサポートと同様) を有効にする提案がありました。 この論文では、そのプロトコルの欠陥について説明し、それを修正し、結果が安全であることを証明します。 これは実用的な構造であり、固定プロトコルはすでに実装されています。 MWEB拡張機能 ライトコイン用。
普遍的に構成可能な非インタラクティブな集計現金システム Yanxue Jia、Shi-Feng Sun、Hong-Sheng Zhou、Dawu Gu
このホワイト ペーパーは、MimbleWimble (上記参照) にも取り組み、MimbleWimble を例とする「総現金システム」の抽象的な定義を紹介します。 また、この論文では、ユニバーサル コンポーザビリティ (UC) モデルの正確なセキュリティ定義を紹介し、この厳密な定義の下で、MimbleWimble の修正バージョンが安全であることを証明しています。 この研究はやや理論的であり、Fuchsbauer らの研究のように非対話型トランザクションを考慮していません。 紙はそうします。
ブロックチェーンのための実用的で証明可能な安全なフラッディング Chen-Da Liu-Zhang、Christian Matt、Ueli Maurer、Guilherme Rito、Søren Eller Thomsen
このホワイト ペーパーでは、すべてのブロックチェーン コンセンサス プロトコルの基礎となるピア ツー ピア ネットワーク層 (または「フラッディング層」) について考察します。 これは、正式なセキュリティ プロパティなしで最善を尽くすことだけを望んでいるブロックチェーン分析の観点からは、常にバックウォーターのようなものでした. 膨大な数の sybil ノードを作成する攻撃者が、正直な当事者間のメッセージの配信を妨害することでコンセンサスを混乱させるリスクが常にあります (たとえば、Bitcoin ノードをスピンアップし、接続するすべてのピアが悪意のある場合はどうなるでしょうか?)この論文では、ネットワーク層に「重み」(ハッシュパワーまたはステークのパーセンテージ)を組み込むことにより、これを回避する方法を提案しています。 コアとなるアイデアは、ノードが重みの高いパーティとのピアリングを優先するということです。 このように、重みの大部分が正直である限り (コンセンサス層で想定されているように)、ネットワーク層は安全である必要があります。 この論文は、その結果を厳密に証明しています。 これは、ほとんどの人が十分に考えていなかった問題について、最も創造的で独創的な講演の XNUMX つだと思いました。 これは、実用的なプロジェクトを追求するのに興味深いかもしれないと思います。
SNACKs: ブロックチェーン ライト クライアント向けのシーケンシャル ワークの証明の活用 ハムザ・アブサラ、ゲオルク・フックスバウアー、ピーター・ガジ、カレン・クライン
このホワイト ペーパーでは、超軽量クライアントがブロックチェーン ネットワークに参加し、現在の最長チェーンの長さの証明を検証する必要があるという問題について考察します。 この証明は SNACK (チェーン知識の簡潔で非対話的な議論) と呼ばれます。 この問題は、FlyClient (そのバージョンは現在 Ethereum 2.0 によって実装されています) および NiPoPoW (非対話型プルーフ オブ ワークプルーフ) によって研究されている問題に似ています。 これは、ミナのような簡潔なブロックチェーンとは異なり、SNACKs/FlyClient のプルーフはトランザクションの有効性を証明せず、ワーク/スペースの集計プルーフのみを証明するだけです。 (これらのアイデアがプルーフ オブ ステークにどのように拡張されるかは明らかではありません。) SNACK は、この問題を Proofs of Sequential Work の構造に関連付けます。これは興味深い二重性です。PoSW 構造は、一般的に SNACK を構築するのに十分であることが判明しています。 このホワイト ペーパーでは、クライアントがチェーンの証明を受け入れるが、証明者がデータをリリースしないという実際的な攻撃についても説明します。
コンセンサスプロトコルに関する論文
YOLO YOSO: YOSO モデルにおける高速でシンプルな暗号化と秘密の共有 イグナシオ・カスクード、ベルナルド・ダヴィッド、リディア・ガームズ、アンデルス・コンリング
「You only speak once」という設計原則は、アルゴランド コンセンサスなどのプロトコルから発展しました。 通信効率の高いプロトコル (コンセンサスなど) で適応攻撃者を回避するために、プロトコルの各ステップ (提案、確認、確定など) ごとにランダムな委員会が選択され、委員会のメンバーはそれぞれ XNUMX つのメッセージのみをブロードキャストします。 そのため、委員会のメンバーであることが判明するまでには、彼らは適応型攻撃者の標的ではなくなります。 それ以来、暗号学者はこのモデルを形式化するいくつかの論文を作成しました。 このホワイト ペーパーでは、匿名の YOSO 委員会 (まだ選択されていない可能性もあります) へのメッセージを暗号化するための新しい効率的な手法を紹介します。これは、このモデルでプロトコルを設計するための便利なツールです。
長いメッセージのための効率的で適応的に安全なビザンチン協定 Amey Bhangale、Chen-Da Liu-Zhang、Julian Loss、Kartik Nayak
分散コンセンサスに関するほとんどの作業は、長いメッセージ (たとえば、XNUMX つのブロック内の大きなトランザクション) に同意することの影響を気にせず、メッセージを任意に小さいものとして扱います。 このホワイト ペーパーは、メッセージ サイズを考慮したモデルで機能し、既知の境界を再検討して改善します。 結果は漸近的ですが、非常に大きなメッセージを説明すると、分散コンセンサスの形式的な境界が変わることが興味深いです。
変化するネットワーク条件でのステート マシンのレプリケーション アンドレア・アレクサンドル、エリカ・ブラム、ジョナサン・カッツ、ジュリアン・ロス
ステート マシン レプリケーション (SMR) は、関係者がステート マシンを維持するビザンチン コンセンサスの抽象化であり、本質的にすべてのブロックチェーンが達成しようとしていることです。 従来、ほとんどの BFT プロトコルは、同期ネットワーク (最大 N/2 の破損を許容できる) または非同期ネットワーク (最大 N/3 の破損を許容できる) のいずれかを前提としています。 このホワイト ペーパーでは、次のように問いかけています。どちらの条件下でも機能し、どちらの場合でも最適なフォールト トレランスを実現するプロトコルを設計できるでしょうか。 それが可能であることが判明したため、このホワイト ペーパーでは 3 つのプロトコル (Update と Upstate) を紹介します。これらのプロトコルは、同期から非同期へのネットワークの変動を許容することもできます (ネットワークが非同期になると攻撃者の能力が低下する場合)。 残念ながら、通信の複雑さは O(N^2) および O(N^XNUMX) であるため、小規模な固定委員会で実行する場合にのみ実用的です。 興味深い将来の方向性は、同様に変化するネットワーク モデルに耐える最新のプルーフ オブ ステーク プロトコルのような、通信効率の高い SMR プロトコルを設計または分析することかもしれません。
未来への暗号化: 未来の (匿名の) 委員会に秘密のメッセージを送るためのパラダイム マッテオ・カンパネッリ、ベルナルド・ダヴィッド、ハミドレザ・ホシャフラー、アンデルス・コンリング、イェスパー・ブス・ニールセン
このホワイト ペーパーでは、YOSO モデルの輪番委員会を持つプロトコルについて検討します。 つまり、エポックごとに新しい匿名委員会が無作為選択によって形成されます。 現在の委員会はどのようにして秘密の状態 (署名鍵など) を次の委員会に渡すことができますか? この論文は、将来の委員会がまだ知られていない場合でも、現在の委員会が将来の委員会のメンバーが解読できるように暗号化できるプリミティブである、暗号化から未来への暗号化を提案します。 これは証人の暗号化に依存しているため、(まだ) 実用的な解決策ではありませんが、この問題をモデル化する強力な方法です。 残念ながら、いくつかの条件下では、この問題は証人の暗号化と同じくらい難しいことも示しているため、効率的な一般的な解決策はありそうにありません.
ZK プルーフに関する論文
フラッシュプルーフ: 透明なセットアップによる範囲と多項式評価の効率的なゼロ知識引数 ナン・ワン、シド・チーキン・チャウ
プライベート コミットされた値が特定の範囲内にあることを示す範囲証明 (または技術的には範囲引数) は、機密トランザクションから支払能力の証明、封印された入札オークションまで、多くのブロックチェーン プロトコルで使用されます。 このホワイト ペーパーでは、Pedersen Commitments のレンジ プルーフの新しいバリアントを紹介します。これは、以前の作業よりも効率的で、信頼できるセットアップはありません。 著者はそれをSolidityに実装し、32ビット範囲プルーフ(約230kガス)を検証するためのガスコストは、Groth16 SNARKを検証するのと同様です. 複数の範囲証明を検証するための償却バージョンもあります。 これは、Groth16 で信頼されたセットアップをスキップしようとする実装にとって便利なツールになる可能性があります。 この論文では、正しい多項式評価の関連する証明も紹介しています。
署名集約への適用によるランダム Oracle モデルでの改善された直線抽出 ヤシュバント・コンディ、アビ・シェラット
この論文では、署名の集約の問題を再考します。 証明者 (潜在的にブロックの作成者) は、公開鍵のセットがメッセージのセットに署名したことを示したいと考えています。検証者は、各キー/メッセージ/署名タプルの線形検証を行うよりも少ない作業で済みます。 BLS 署名はこのユース ケースを簡単にサポートし、これは多くのブロックチェーン プロトコル設計でますます一般的になっていますが、この作業は Schnorr やその他の署名 (EdDSA など) の集約に焦点を当てていることに注意してください。 以前の最もよく知られているアプローチ (Fischlin '05) の実際のパフォーマンスを約 XNUMX 桁向上させるいくつかの新しい理論的手法が導入されています。
短期間のゼロ知識証明と署名 アラス・アルン、ジョセフ・ボノー、ジェレミー・クラーク
この作業の目標は、健全性が失われる短命のゼロ知識証明を設計することです。そのため、短期間は説得力があり、その後は偽造された可能性があるため説得力がなくなります。 潜在的なアプリケーションには、電子メールの署名や検証可能な選挙投票に否認性をもたらすことが含まれます。 この論文は、実際に非常に実用的なプルーフと署名の構造を提案しています。 ブロックチェーン空間にアプリケーションがあるかどうかは興味深い質問です。
Rotatable Zero Knowledge Sets: Post Compromise セキュリティで保護された Auditable Dictionaries と Key Transparency への適用 ブライアン・チェン、エフゲニー・ドディス、イーシャ・ゴーシュ、イーライ・ゴールディン、バラシャンダル・ケサバン、アントニオ・マルセドネ、メリー・エンバー・モー
検証可能なランダム関数 (VRF) は、ブロックチェーンでランダムに選択するための強力なツールです。 また、公開透明性ログのプライバシーにも使用されます。たとえば、CONIK のような鍵の透明性に関する提案や、DNSSEC の NSEC5 拡張機能です。 ただし、これらのプロトコルは固定の VRF キーを永久に想定しています。 大きなディレクトリで VRF キーを変更するのは面倒です。新しい VRF 出力のすべてが古い出力に正しく対応していることを証明する必要があるからです。 この論文では、新しいVRF構造である回転可能なVRFを提案します。これは、VRF出力の大規模なセットで一貫性のあるコンパクトな証明を作成することにより、このプロセスをより効率的にするように設計されています。 これは、VRF を使用するコンセンサス プロトコルにも適用される可能性がありますが、これは論文/講演では検討されていません。
線形マップ ベクトル コミットメントとその実用化 マッテオ・カンパネッリ、アンカ・ニツレスク、カーラ・ラフォルス、アレクサンドロス・ザチャラキス、アランチャ・ザピコ
ベクトル コミットメントは、各リーフの値のベクトルにコミットし、たとえばスマート コントラクトのストレージにコミットするために使用されるマークル ツリーを含む抽象化です。 この概念は Merkle の時代から存在していましたが、2013 年に正式化されました。 ストレージ内の値の内容を証明しようとする複数のスマート コントラクト トランザクションがブロックに含まれている場合、集約可能なベクトル コミットメント スキームは、個々の証明を検証するよりも効率的にこれらの証明を組み合わせることができます (検証者にとって)。 この講演はブロックチェーンに焦点を当てたものではありませんでしたが、集約の定義 (集約された証明自体を集約できる場合の無制限の集約を含む) と、Verkle ツリーの仕組みと同様に、ベクトル コミットメントのベクトル コミットメントを再帰的に構築するための抽象化を紹介しました。
PointProofs、再訪 ブノワ・リベール、アラン・パッセレーグ、マシュド・リアヒニア
PointProofs は、2022 年に導入された効率的な集約可能なベクトル コミットメント スキーム (上記を参照) です。これは、ブロックチェーン プロジェクトで役立つ可能性のある興味深い提案です。 このホワイト ペーパーでは、PointProofs をまったく変更していませんが、より弱い仮定を使用して、より優れたセキュリティ証明を提供しています。
代数群モデルの分析 ジョナサン・カッツ、コン・チャン、ホンシェン・チョウ
代数群モデル (AGM) は、暗号プロトコルのセキュリティ証明の最近の一般的な抽象化です。 ハッシュ関数のランダム オラクル モデルと同様に、このモデルは実際には達成できませんが (考えられる攻撃の自然なサブセットのみを考慮しているため)、効率的で洗練されたセキュリティ証明を可能にします。 AGM 証明は、GGM 証明も存在することを意味するという意味で、以前のバージョンである Generic Group Model (GGM) よりも強力であると主張されてきました。 この論文では、反例を通じてこれが真実ではないことを示し、更新されたAGMを提案しています。 これが、AGM の下で安全であることが証明されているスキーム (デプロイされたブロックチェーン プロトコルで使用されているものもある) のいずれかに実際に影響するかどうかは不明です。
***
ジョセフ・ボノー a16z crypto のリサーチ パートナーです。 彼の研究は、応用暗号とブロックチェーン セキュリティに焦点を当てています。 メルボルン大学、ニューヨーク大学、スタンフォード大学、プリンストン大学で暗号通貨コースを教え、ケンブリッジ大学でコンピューター サイエンスの博士号を取得し、スタンフォード大学で理学士/修士号を取得しています。
***
ここに示されている見解は、引用された個々のAH Capital Management、LLC(「a16z」)の担当者の見解であり、a16zまたはその関連会社の見解ではありません。 ここに含まれる特定の情報は、a16zが管理するファンドのポートフォリオ企業を含むサードパーティの情報源から入手したものです。 a16zは、信頼できると思われる情報源から取得したものですが、そのような情報を独自に検証しておらず、情報の永続的な正確性や特定の状況に対するその適切性について表明していません。 さらに、このコンテンツにはサードパーティの広告が含まれる場合があります。 a16zはそのような広告をレビューしておらず、そこに含まれる広告コンテンツを推奨していません。
このコンテンツは情報提供のみを目的として提供されており、法律、ビジネス、投資、または税務に関するアドバイスとして信頼されるべきではありません。 これらの問題については、ご自身のアドバイザーにご相談ください。 証券またはデジタル資産への言及は、説明のみを目的としたものであり、投資の推奨または投資顧問サービスの提供を構成するものではありません。 さらに、このコンテンツは、投資家または将来の投資家による使用を目的としたものではなく、a16zが管理するファンドへの投資を決定する際にいかなる状況においても信頼されない場合があります。 (a16zファンドへの投資の申し出は、私募覚書、サブスクリプション契約、およびそのようなファンドの他の関連文書によってのみ行われ、その全体を読む必要があります。)言及、参照、または記載されているのは、a16zが管理する車両へのすべての投資を代表するものではなく、投資が有益である、または将来行われる他の投資が同様の特性または結果をもたらすという保証はありません。 アンドリーセンホロウィッツが管理するファンドが行った投資のリスト(発行者がa16zに公開を許可していない投資、および公開されているデジタル資産への未発表の投資を除く)は、https://a16z.com/investmentsで入手できます。 /。
記載されているチャートおよびグラフは、情報提供のみを目的としており、投資を決定する際に信頼することはできません。 過去の実績は将来の結果を示すものではありません。 内容は、示された日付の時点でのみ話されています。 これらの資料に記載されている予測、推定、予測、目標、見通し、および/または意見は、予告なしに変更される場合があり、他の人が表明した意見と異なる場合があります。 その他の重要な情報については、https://a16z.com/disclosuresを参照してください。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://a16zcrypto.com/asiacrypt-22-field-notes/
