Газові постквантові сигнатури з Truncator

Кожна транзакція та частина збережених даних спричиняє витрати на блокчейн. Незалежно від того, чи йдеться про комісії за здійснення платежів, витрати на газ для виконання операцій смарт-контрактів або ресурси, необхідні для зберігання даних, розмір залучених змінних відіграє вирішальну роль у визначенні цих витрат. Зменшення розміру цих змінних без шкоди для їхньої функціональності чи безпеки може призвести до значної економії плати за зв’язок, зберігання й транзакції.

Представляємо Truncator

Truncator — це техніка на основі майнінгу, призначена для зменшення розміру різних криптографічних виходів, які часто зустрічаються в системах блокчейн. Ключова інновація Truncator передбачає досягнення цього скорочення без шкоди для безпеки.

Як працює Truncator

Truncator додає кілька додаткових кроків під час створення транзакції в обмін на значні переваги у зменшенні розміру транзакції та пов’язаних витрат на газ. Хоча цей час додавання зазвичай становить секунди, а не мілісекунди, це особливо корисно для транзакцій, де зменшений розмір змінної переважує потребу в швидкості. Застосовуючи цей підхід, відправник транзакцій отримує такі переваги, як зниження комісії за транзакції, а також переваги всієї екосистеми завдяки зменшенню витрат на зберігання та зв’язок.

Техніка Truncator

Цей підхід передбачає ітеративний пошук (або видобуток) у вхідних даних криптографічних примітивів або випадковість, щоб знайти більш ефективний зашифрований вихід. Цей метод створює вихід кожного примітиву певним чином, який задовольняє загальнодоступні параметри зміненої системи, наприклад, вимагає, щоб деякі конкретні біти виводу були постійними. Це схоже на те, як механізми підтвердження роботи вимагають від майнерів постійного аналізу одних і тих самих даних із різними випадковими значеннями, поки не задовольнять конкретну потребу системи. У випадку Truncator системна мета полягає в тому, щоб певною мірою спростити вихід.

Наприклад, розглянемо застосування Truncator в алгоритмі генерації ключів для ключів на основі дискретного логарифму (dlog). Припускаючи, що всі прийнятні відкриті ключі мають заздалегідь визначений ℓ-бітний префікс, ми можемо виконати ітеративний пошук секретного ключа \( sk \), щоб формат його похідного відкритого ключа \( pk = g^{sk} \) задовольняє заздалегідь визначений ℓ-бітовий префікс. Отримані відкриті ключі будуть на ℓ біт меншими, що зменшить витрати на зв’язок і зберігання.

Забезпечення безпеки

Звичайно, безпека має першочергове значення, і структура безпеки бітів показує, що Truncator не знижує безпеку ключів. Структура бітової безпеки стверджує, що примітив \( P \) має κ-бітовий захист, якщо для його зламу потрібні дії противника \( 2^{κ} \). Це означає, що для будь-якої атаки з обчислювальною вартістю \( T \) і ймовірністю успіху \( ϵ \) має виконуватися \( T /ϵ > 2^{κ} \). Інтуїція полягає в тому, що підхід видобутку для скорочення спричиняє вищі витрати на атаку, що в цілому компенсує зменшений простір ключів, зберігаючи той самий рівень безпеки.

Реальні програми

Ідея ітераційного пошуку для зменшення розміру ключів і адрес з’являлася раніше в просторі блокчейну, особливо в пропозиціях Ethereum для адрес з префіксом із багатьох нулів для зменшення плати за газ (відомий як «газовий гольф»). У цій роботі Truncator ми формалізуємо та розширюємо цю ідею до кількох криптографічних примітивів, таких як хеш-дайджести, відкриті ключі криптографії з еліптичною кривою (ECC) і вихідні дані підпису. Наприклад, приблизно 7-відсоткове стиснення (на 2 байти менше) було досягнуто менш ніж за секунду для сигнатур ed25519 і менше ніж за 10 мілісекунд для стиснутих дайджестів Blake3. Ми також досліджували усікання в шифруванні ElGamal і шифруванні на основі Діффі-Хеллмана, яке зазвичай використовується для прихованих адрес блокчейну.

Новий підхід до постквантових підписів на основі гешу

Існує захоплююча можливість побудувати нові криптографічні схеми, які використовують методи Truncator на етапі розробки протоколу, особливо в контексті постквантової безпеки. Схеми підпису на основі хешування, такі як підписи Лемпорта та їх варіанти, за своєю суттю є квантово стійкими, оскільки їхня безпека залежить від властивостей хеш-функцій, а не від складності таких проблем, як розкладання великих цілих чисел або обчислення дискретних логарифмів, які можуть ефективно виконувати квантові комп’ютери. вирішити.

У майбутніх схемах можна розглянути можливість майнінгу та безпечно налаштувати генерацію ключів або інші криптографічні операції для їх адаптації, таким чином підвищуючи стійкість до атак квантових обчислень. Шляхом оптимізації процесу виведення ключів у схемах підпису на основі хешу можна досягти кращої продуктивності та ефективності. Це передбачає зменшення обчислювального навантаження та вимог до зберігання, що має вирішальне значення для підтримки безпеки та зручності використання криптографічних систем у постквантовому світі. Високопродуктивні методи майнінгу можуть сприяти більш ефективній генерації та перевірці підписів, гарантуючи, що криптографічні системи залишатимуться надійними та масштабованими перед обличчям нових квантових загроз.

Оптимізація підписів Lamport

Один із цікавих напрямків передбачає оптимізацію сигнатур на основі хешування на рівні виведення ключів з метою високопродуктивного майнінгу зі значно кращими результатами, ніж підбір. Наприклад, у традиційних підписах Лампорта закритий ключ складається з 256 незалежних пар 256-бітних випадкових значень (початкових значень), що складається з 512 елементів і 16 КіБ. Кожен субприватний ключ відповідає відкритому ключу, його хешу, що в результаті містить 512 елементів. Як правило, ми підписуємо хешовані повідомлення, де кожен біт у хеші відповідає субприватному значенню.

У той час як для стиснення підписів Лампорта зазвичай потрібні такі методи, як варіант хеш-ланцюга Winternitz, цього також можна досягти шляхом отримання приватних частин у структурі моди дерева, а не вибору їх незалежно.

Спробуйте підписати повідомлення, яке складається з усіх нулів. Використовуючи верхній ключ, верифікатори можуть отримати всі підключі через операції дерева Merkle. Для суміжних подібних бітів ми можемо використовувати відповідний шлях дерева, щоб зменшити кількість ключів, необхідних для подання. Цей принцип також застосовується до сусідніх встановлених бітів. Збільшуючи кількість суміжних бітів через повторні спроби хешування, ми можемо зменшити корисне навантаження підпису, що призведе до більш оптимізованої верифікації за Лампортом і коротших доказів.

Збільшуючи кількість суміжних бітів через повторні спроби хешування, ми можемо зменшити корисне навантаження підпису, що призведе до більш оптимізованої верифікації за Лампортом і коротших доказів. Висновок

Truncator представляє інноваційний підхід до скорочення вихідного розміру криптографічних примітивів, пропонуючи обчислювальний компроміс, який відкриває нові шляхи для дослідження. Ми висвітлили його застосування до базових криптографічних примітивів і представили захоплюючий напрямок для оптимізації підписів на основі хешу на рівні виведення ключів.

Забігаючи наперед, ми бачимо потенціал у розширенні Truncator до більш просунутих криптографічних примітивів і створенні нових протоколів, які використовують методи майнінгу в різних криптографічних протоколах. Ці зусилля обіцяють підвищити ефективність і зменшити витрати на зберігання в екосистемі блокчейн і за її межами.

Ми в Sui особливо раді включити такі оптимізації в нашу дорожню карту постквантової безпеки, гарантуючи, що наша платформа залишається на передньому краї інновацій, зберігаючи надійні стандарти безпеки. Truncator потенційно може допомогти у створенні постквантових сигнатур, сприяючи більш ефективному та безпечному середовищу блокчейну.

Щоб глибше вивчити Truncator, перегляньте наш GitHub.