Доказательство с нулевым разглашением? Новый подход к технологии Zcash может привести к поистине конфиденциальному блокчейну.

«Миф»

— так описал новый подход один из крипто-разработчиков.

На прошлой неделе, на собрании разработчиков криптовалюты Monero, была проявлена озабоченность, насчет внедрения так называемой технологии – “zk-starks” (доказательство с нулевым разглашением, — прим. ред.). Данный подход охарактеризовали как “ненадежный” способ решения проблемы, которая давно является слабым звеном технологии блокчейн, для некоторых разработчиков данный подход скорее звучал как фантастика.

Хотя индустрии блокчейна не чужды странные требования разработчиков, однако новый криптографический метод, не столько вызвал неодобрение, сколько по-настоящему взбесил участников собрания. Назвав zk-starks, усовершенствованной версией zk-snarks, создатели данного метода утверждают, что их криптографический подход может устранить необходимость в спорных “доверительных установках”, зависимых от предыдущего соглашения в цепи блокчейн.

Вернувшись немного назад, стоит сказать, что технология zk-snarks — это эволюция криптографического метода, впервые описанного в 1980-х годах. Несмотря на кажущуюся сложность, сама идея довольно проста — доказательства с нулевым разглашением позволяют сторонам проверять правильность нового элемента в цепочке блокчейн, не получая ничего больше, чем утверждение “истина” или “ложь”. В блокчейн сообществе, идея наиболее часто ассоциируется с zcash, первой крупномасштабной блокчейн технологией, которая внедрила криптографический инструмент на уровень протокольного шифрования.

Хотя zk-snarks и был прорывом в 1980-х годах, использование метода предоставляет обширные возможности для его улучшения и по сей день. Однако, существует факт, что нет возможности сказать с какой-либо уверенностью, что такая сложная процедура, как zk-snarks, используемая для настройки криптовалюты, не была каким-то образом скомпрометирована.

Через год после запуска, команда zcash все еще проводит аудит по данному вопросу. Хотя, как отмечают критики, их результаты хоть и эффективны для смягчения ситуации, однако полностью от сомнений они не избавятся.

Если методу zk-starks все же удастся избавиться от этого нюанса — к подходу могут начать относиться менее критично. И все же этого может быть недостаточно, поскольку, похоже, что для разработчиков, осуществляющих свою деятельность с частными и публичными криптовалютами, конфиденциальность стала, пожалуй, универсальной точкой соприкосновения.

Различные группы, такие как банковский консорциум R3 и ethereum, присматриваются к методу zk-snarks, для его изучения, несмотря на различие их потребностей и технологий.

Zk-starks могли бы найти также широкие возможности для применения — новая технология обещает быть дешевле, быстрее, более масштабируемой и безопаснее, чем предыдущая версия zk-snarks.

Замедленное появление

Но, несмотря на имеющиеся перспективы, на сегодняшний день существует крайне мало информации о zk-starks.

Команда, впервые представленная на встрече разработчиков эфирирума еще в январе, занимающаяся разработкой нового метода и состоящая из Иддо Бентова, Инона Хореша, Майкла Рябцева и Эли Бен-Сассона из zcash, все еще работает над кодом для его публикации. На сегодняшний день, в Интернете доступен только один аспект, называемый алгоритмом FRI (https://eccc.weizmann.ac.il/report/2017/134/, — прим.ред.).

Главным исследователем технологии является Бен-Сассон, профессор Израильского технологического института, который помог новоиспеченному методу zk-snarks еще в 2015 году и чья работа основывается на выводах большого количества компьютерных ученых, занимающихся доказательствами с нулевым разглашением.

Выступая перед CoinDesk, Бен-Сассон сообщил, что он “большой сторонник прозрачных доказательств”, и “страстно исследует” эту тему уже на протяжении 15 лет. Также он отмечает, что при создании проектов, доказательство с нулевым разглашением является основой для криптографии.

Как он объясняет:

“Скрыть информации довольно просто с использованием метода шифрования. Вся сложность заключается в верификации и поддержке целостности под самой завесой шифрования”.

Возможно, именно из-за этого Бен-Сассон признает огрехи, присущие методу zk-snarks, используемый для создания блокчейна zcash, полагая, что технология будет “крайне сложной” для ценной или деловой информации.

Однако, он видит в методе zk-snarks большой потенциал.

Ставки

По словам Бен-Сассона, одна из ключевых проблем, которую может решить zk-starks, связана с необходимостью алгоритма нулевого разглашения для создания “главного ключа”.

В случае с zcash предполагается, что “главный ключ” был разделен, однако подобное решение не находит массовой поддержки. Во-первых, такое разделение позволило бы злоумышленнику подделать ложные платежи и полностью разрушить целостность цепочки. Во-вторых, чтобы разделить ключ, требуется скоординированное усилие в так называемой доверенной установке.

Но эта настройка крайне сложна для надежной работы. Именно поэтому, трудно проверить, действительно ли это произошло, потому что нет никаких свидетелей данного

разделения (любой, кто следит за активностью в сети zcash, может заново сгенерировать ключ).

Когда команда zcash осуществила разделения ключа, ей пришлось пойти на многое, чтобы доказать, что разделение не было скомпрометировано, поскольку “главный ключ” практически невозможно было полностью защитить. И для крупного субъекта, например, для банка, принятое решение спровоцирует вероятность диверсии по отношению к zcash.

Бен-Сассон сказал:

“Будет огромный стимул для правительств и центральных организаций, попытаться приложить руку на разделенный ключ, который позволит им создать чек на любую сумму … при увеличении стоимости увеличивается и стимул к диверсии”.

Zk-starks стремится устранить данный риск, и для этого процесса задействует множество “тяжелого” оборудования, связанного с zk-snarks. В отличие от zk-snarks, zk-starks вообще не полагается на криптографию с публичным ключом.

На самом деле, все, что нужно для функционирования zk-starks, это один алгоритм, аналогичный тому, который выполняется на компьютерах при майнинге.

Тем не менее, несмотря на то, что в процессе майнинга неоднократно используется один и тот же шаблон шифрования, zk-starks используют рандомные числа, поэтому формирование блоков невозможно будет предугадать.

Использование одного емкого алгоритма по сравнению с zk-snarks прибыльно, поскольку, в отличие от zk-snarks, алгоритм использует кластер инструментов. Это связано с тем, что в то время как zk-snark занимает около 28 минут и 18,9 Гбайт для вычисления, zk-stark обещает сократить время вычисления до доли секунды и хранить до 1,2 МБ.

Мотивы Monero

Даже интерес Monero к этому методу, хоть и малый, но может быть доказательством того, что существует дальнейшее развитие концепции в сообществах блокчейнов.

Один из самых инновационных блокчейн проектов, связанных с безопасностью — Monero, использует совершенно другую криптографию, чем Zcash, на основе комбинации скрытых адресов и сигнатур вызовов. Вместо того, чтобы использовать систему с алгоритмом нулевого разглашения, криптовалюта обеспечивает конфиденциальность, сильно искажая информацию.

Поскольку сегодня система все еще хорошо функционирует, она, возможно, не нуждается в доказательстве нулевого разглашения, однако сама идея того, что сеть может еще более усилить меры по обеспечению конфиденциальности, заставляет команду разработчиков рассматривать алгоритм нулевого разглашения.

В настоящее время zk-snarks рассматривается только для сайдчейна, что увеличит конфиденциальность, позволяя осуществлять платежи из отдельных блок-цепочек, и затем саморазрушаться после транзакции.

Но для реализации идеи, Monero пришлось бы столкнуться с проблемой доверительного отношения — сделать концепцию zk-starks заманчивой.

Настолько заманчивой, что ведущий разработчик Риккардо Спаньи, который сначала назвал Zcash “полным фарсом безопасности”, — похоже, уже желает взглянуть, несмотря на соперничество, на результат общей цели. Он описывает zk-starks как “предпочтительный” и сказал CoinDesk, что Monero будет стремиться интегрировать технологию, если и когда она будет готова для использования.

И не только они столкнулись с проблемой доверительного отношения. Если Ethereum хочет реализовать у себя технологию zk-snarks, как это ранее и планировалось, необходимо будет выполнить эквивалент разделения “главного ключа” безопасности как у Zcash, но так, чтобы масштабирование разделения увеличилось до тысячи участников.

Такие осложнения свидетельствуют о том, что концепция, вероятно, будет развита в новом техническом документе, который опубликуют в следующем году.