💬 Использование Taproot и FROST для улучшения конфиденциальности биткойнов

Использование Taproot и FROST для улучшения конфиденциальности биткойнов

Это редакционная статья Дэна Гулда и Ника Фэрроу. Гулд — разработчик, работавший над приложениями TumbleBit, PayJoin и Chaincase, спонсируемый Human Rights Foundation и Geyser Grants. Фэрроу — австралийский биткойн-инженер, наиболее известный своим платежным процессором SatSale с открытым исходным кодом.

«Привет, я только что получил приглашение на хакатон в Малайзии», — сказал Эван Лин, прервав мой разговор о моем ноутбуке в Taipei Hackerspace. — Звучит волшебно, — огрызнулся я. «Можно приехать?»

Несколько недель я бился головой о стол. Лин разрушал мое представление о том, что такое конфиденциальность биткойнов. «Это частное мероприятие, а не типичный хакатон. Я могу спросить».

Один рейс, две недели и шесть минут логистики голосовых сообщений спустя мы гуляли по усаженным дурианом улицам Куала-Лумпура, Малайзия, с Ллойдом Фурнье, размышляя об общей страсти к сохранению конфиденциальности биткойнов. Теперь мы были командой. Мы решили обновить Fedimint, используя неполную криптографию, несколько набросанных заметок, а затем продемонстрировать его на первой встрече BitDevs в Малайзии через пять дней.

Несколько месяцев назад Фурнье присоединился к Нику Фэрроу для разработки FROST, новой пороговой криптографии, использующей преимущества Taproot. Будучи источником кадровых ресурсов Биткойн, Фурнье также тесно сотрудничал с Лином, который является участником Bitcoin Dev Kit (BDK). Он и я провели последние несколько недель, улучшая конфиденциальность PayJoin при флуоресцентном освещении в предрассветные часы в Тайбэе, Тайвань, поэтому мы установили доверие, чтобы вместе прыгнуть в глубокий конец проекта. Приглашение Фурнье было шагом к краю. Чтобы продемонстрировать миру передовую криптографию, нам пришлось поместить FROST в приложение. Fedimint привлекла внимание всех своей новой моделью порогового хранения. Он подходил для квеста.

Самостоятельное хранение — это новая и пугающая концепция для большинства людей. Так много людей хранят биткойны на хранении у третьих лиц на биржах, подвергая их цензуре и непристойному надзору. Федеративные монетные дворы предлагают третий способ: федерация известных опекунов обеспечивает сохранность средств сообщества. Итак, как это работает?

Любой желающий может отправить биткойны на Fedimint в обмен на токены E-cash. Опекуны совместно хранят биткойны сообщества в кошельке с мультиподписью. Токены E-cash — это всего лишь некоторые данные: слепые подписи, которые позже можно обменять на некоторое количество биткойнов. Это сверхмощные банкноты. Отправьте счет-фактуру Lightning и свои токены E-cash для «привязки». Вы можете получить E-cash в текстовом сообщении, и федерация перевыпустит подписи, чтобы никто другой не смог их взять. Подписи ослеплены, поэтому их можно использовать в условиях полной анонимности. Любой может отправить E-cash на Fedimint, чтобы получить биткойны.

Чтобы разделить хранение между опекунами, Fedimint использует устаревшие адреса с мультиподписью на основе биткойн-скриптов. Пороговое количество опекунов подписывается для перевода средств. Эти средства легко найти в блокчейне, поскольку Script multisig записывает количество подписантов и общее количество опекунов в блокчейн, чтобы все могли их увидеть. Несмотря на то, что электронные деньги являются анонимными, компании, занимающиеся наблюдением, могут идентифицировать входные и выходные привязки и кластерные фонды сообщества. С помощью последнего обновления Биткойн, Taproot, наша команда решила эту проблему конфиденциальности, переключив мультиподпись Script на FROST.

Введите МОРОЗ

FROST (Flexible Round Optimized Schnorr Threshold) — это новый мощный тип мультиподписи, который объединяет ключевые доли членов федерации в общий ключ FROST. Чтобы потратить под этим ключом, пороговое количество членов должно каждый создать долю подписи. Затем доли объединяются для формирования единой подписи, которая действительна для общего ключа FROST. Члены координируют вне сети. Транзакции FROST неотличимы от обычных односторонних транзакций Taproot, поэтому прекращение жуткой слежки. Кроме того, FROST позволяет создавать гибкие федерации, позволяя новым опекунам присоединяться без координирования каждого члена федерации для повторного создания новых ключей.

Нашим первым шагом было понять, как федерация достигала консенсуса в каждом раунде подписания. Алгоритм консенсуса Fedimint может терпеть плохое поведение до трети федерации и при этом достигать консенсуса. Целый день у доски расшифровывали алгоритм консенсуса, а еще один — на настройку первоначальной генерации ключа FROST.

Мы обманули генерацию ключей, сделав все это в памяти одного доверенного устройства. В соответствии с передовой практикой церемония, состоящая из двух раундов, сохраняет секретные доли общего ключа FROST, которые когда-либо существовали только на устройстве этого человека. Общий секрет никогда не восстанавливается.

Мы протестировали транзакцию с привязкой до того, как изменили код кошелька Fedimint, и пришли в замешательство. Из-за ограничения слепых подписей токены Fedimint E-cash (похожие на выходы CoinJoin) ограничены предустановленными номиналами, поэтому каждый перевод токена E-cash имеет установленную анонимность. Ждать, ждать и ждать, Лин рассмеялся, что мы, должно быть, что-то напутали.

Оказалось, что стандартные номиналы банкнот, которые мы установили, требовали, чтобы монетный двор сгенерировал около 300 000 подписей, чтобы выпустить достаточно электронных денег, чтобы покрыть сумму привязки. Есть предложения исправить это, используя вместо этого анонимные учетные данные. Мы перезагрузили монетный двор, чтобы использовать гораздо более высокие номиналы по умолчанию, так как мы просто тестировали. В конце концов, хакатоны предназначены для хакеров.

По счастливой случайности команда Bitcoiner Malaysia только что сформировалась и была готова к своему первому мероприятию. Четверо из нас, хакеров, ведущий крупнейшего китайского подкаста о биткойнах и ученый на пути к получению первой степени доктора наук о биткойнах. в Малайзии мы планировали показать наше доказательство работы на BitDevs в конце недели.

Самая сложная задача осталась впереди: федеративные подписи. Чтобы создать общий ресурс FROST, подписавшие должны согласиться на общую случайность, называемую одноразовыми номерами. В случае Fedimin подписывающие стороны используют консенсус, чтобы договориться об уникальном одноразовом номере для каждого члена федерации, присоединяющегося к сеансу подписи. Затем подписывающие участники объединяют доли в полную подпись.

Пока мы готовили демонстрационную версию для встречи, нам удалось добиться полуработы при обмене одноразовыми номерами, а также исправить некоторые ошибки с оплатой. Несмотря на нашу тяжелую работу, ужин подошел еще до того, как наш код заработал. Мы переступили порог самой глубокой территории хакатона, сгрудившись вокруг телевизора для трехпарного программирования в гостиничном номере Фэрроу.

Когда наши водопроводные воды были готовы, а дека Unreal Tournament заработала, Фурнье сел за клавиатуру, а мы с заднего сиденья швыряли исправлениями ошибок, именами переменных и командами. Наступило 1:30 ночи, и наши веки отяжелели. Несколько нажатий спустя, как по волшебству, колышек сработал. Каждый подписавший будет получать доли подписи от других и выкупать электронные деньги анонимных пользователей в обмен на биткойны. Из деки раздалось «Безупречная победа». Мы недоверчиво обрадовались.

За исключением того, что это не сработало. На следующий день мы запустили код и сразу увидели проблемы. Нам повезло только накануне. Сработало только один раз из трех-четырех попыток. Мы часами прочесывали код качества хакатона. Хорошо после обеда мы все еще беспокоились, что нам придется втискивать еще одну ночь. К нашей пользе, мы нашли проблему: классическую ошибку индексации. В 17:00 FROSTimint был готов к презентации.

После того, как мы обратились к BitDevs, местные жители приняли формат самопровозглашенной «группы поддержки» для знакомства. Фурнье вернул нас к реальности технически. На первой встрече с восторгом обсуждались вопросы будущего и слабости хранителей. Как бы мы выбрали опекунов? Могут ли они иметь частичные резервы? Самое главное, как мой магазин супа с лапшой лакса может выйти за рамки фиата с помощью Fedimint?

Это гостевой пост Дэна Гулда и Ника Фэрроу. Высказанные мнения являются полностью их собственными и не обязательно отражают точку зрения BTC Inc. или Bitcoin Magazine.