Перейти к публикации
GlavFish

4read

Рекомендованные сообщения

Хорошая статья объясняющая что такое Secure multi-party computation (smpc, безопасное многостороннее вычисление) и схема секретного обмена Шамира (en): https://hackernoon.com/what-is-secure-multi-party-computation-232caef900b9

Поделиться сообщением


Ссылка на сообщение

Одно из самого интересного, что слушал за последнее время в криптопространстве на русском: 

 

О подходах к масштабированию, выходу из Y-Combinator, подходах к шардингу и какие проблемы возникают при этом и многом другом.

 

Поделиться сообщением


Ссылка на сообщение

Дмитрий Ховратович, создатель алгоритма Equihash и криптограф в Evernym и Dusk Network, обсуждает/спорит с Александром Скидановым, кофаундером Near, о целесообразности использования тех или иных протоколов консенсуса, а потом медленно переходят на возможные атаки на биткоин:

Скрытый текст

Alex Skidanov (A): а что на самом деле такое Semux? например, почему он использует некоторый Semux BFT а не Tendermint? вообще если протокол использует BFT но не Tendermint на это должна быть какая-то строгая мотивация 🙂

 

Dmitry Khovratovich (Dm): Это очень интересное утверждение учитывая что первые bft протоколы это теоретически 1984 год, за 25 лет до тендерминта, а практически 1999

A: у Tendermint есть ряд приятных свойств по сравнению с ними, таких как очень простой view-change, и доказанная liveness

например я все еще не уверен что существует доказательство liveness для PBFT

а еще Tendermint год запущен в production и работает, и его можно просто форкнуть и использовать, поэтому кажется что придумывать свой BFT консенсус в 2019 — это просто странно.

и я очень много разбирался с консенсусами типа PBFT, Tendermint и HotStuff, и не накосячить в Liveness Proof очень сложно. Например тот же Tendermint изначально не был live, и там заняло время понять это и исправить.

Dm: Ну все зависит от assumptions. При некоторых параметрах и простой протокол с одним лидером - bft

A: кажется что это не правда? ведь лидер может быть byzantine

Dm: Это тоже assumption 🙂

A: ну я думаю можно договориться что участников которые точно не byzantine не сущесвует 🙂

и что их не больше чем f из 3f+1. А какие еще assumptions релевантны?

Dm: Ну честно говоря f из 3f+1 не знаю насколько релевантно

If at all

A: это assumption без которого PBFT и Tendermint не работают, поэтому кажется релевантным

Dm: Ну это довольно произвольное предположение

Потому что непонятно что это за система такая где четверть  может быть коррумпирована а треть уже нет

Примеров нет в реальности

A: А вот в Bitcoin например треть может быть коррумпирована а половина уже нет.
Это не обозначает что мы верим что четверть может быть коррумпирована, но есть assumption что треть точно не может быть, или safety и liveness теряются

Dm: В биткоине нет коррумпированности

A: почему? если 51% коррумпирован, тебяется safety

Dm: Если треть то тоже теряется

A: кажется что это неправда?

Dm: Ну как же

Последние версии selfish mining

A: где почитать детали?

Dm: Не знаю

Но вообще биткоин протокол гарантирует safety только до чекпоинта

А он может быть довольно далеко

A: неужели на самом деле selfish mining теряет safety при 33%? я быстро погуглил и не могу найти ни одного подтверждения этому.

Dm: Даже в первой версии терял

В этом был весь contribution

A: есть хоть какая-то, даже не trustworthy ссылка, которая это подтверждает?

вот статья Ittay Eyal например просто говорит что miner получает disproportioate upside

Dm: График из статьи

Там прямо нарисована вероятность взлома как функция хэшпауера

A: там показывается процент который позволяет диспропорционально получать coinbase, а не переписывать историю

Dm: Вся атака она про перепись истории

Типа мы зажимаем хэшпауер пока не повезет

A: и тем самым получаем диспропорционально много fees.
мы не можем зажимать 10 блоков подряд если у нас нет почти 50%, так что на safety это никак не влияет

ну точнее влияет, там надо чуть меньше 50%, но не 33%

Dm: Можем

Там разные стратегии есть

И в самой первой статье было ~35 процентов

А потом и меньше

A: это конечно не правда, но я не буду вас переубеждать
selfish mining не позволяет переписывать историю

Dm: Меня не надо переубеждать, я сам знаю как можно переписывать историю с selfish mining или без него

A: там вся атака в том что если есть selfish miner, то другим участникам выгоднее работать с ним чем не с ним, и он постепенно наберет 50%

пока у него нет 50% он ничего не может переписать

Dm: Это так думали до появления статьи

A: Это то что написано в абстракте в статье?

Dm: Ну вы же не считаете что мы про selfish mining только что узнали

Уже сколько лет прошло

A: если бы 33% могли переписывать историю, то спустя столько лет всем было бы известно что биткоин может быть переписан 33% участников, но такого знания в обществе нет

Dm: в обществе еще нет знания что при половине византийских участников тоже можно жить при весьма разумных предположениях

A: ну и это даже легко понять. если я вижу блок, вижу 10 блоков поверх него, и не вижу никакого форка, то единственный шанс для selfish miner переписать блок — это иметь в кармане спрятанные 11 блоков на форке, но у него только 33% hashpower, шанс что он мог 1.5 часа строить длиннее цепь ничтожный

не важно selfish он или нет

Dm: если пересчитать вероятность за несколько дней или месяцев, то она вовсе не ничтожна, даже не вдаваясь в детали selfish mining а

а самое интересное, что биткоин уже неоднократно был переписан, причем инициатива исходила от участников с нулевым хэшпауером

вот, как говорится, даже китайцы накопали что уже и 23 процента хватит https://arxiv.org/pdf/1811.08263.pdf

при релизе блоков атакующими, конечно же, засирается история, см. процедуру release

A: она затирается настолько далеко насколько атакующие намайнили блоков

Dm: ну да

A: вероятность переписать историю в 10 блкоов одинаковая у selfish и не у selfish miners. не очевидно как selfish mining помогает с этим?

Dm: не знаю что имеется в виду под словом вероятность

но стратегии могут быть разные если ты намайнил свои 10 блоков, про них вообще говоря статья и есть

A: пусть есть блок Б для которого какой-то участник для себя как-то решил что Б финазирован, и некоторый злой пул хочет перепистаь этот блок. При оптимальной стратегии у них есть некоторый шанс это сделать (убедить остальную сеть что Б не на каноничной цепи).
кажется что selfish mining никак не помогает увеличить этот шанс

Dm: это намного более сильное требование - переписать конкретный блок

и safety - это не оно

A: Конкретный instance: пусть есть блок Б поверх которого есть 10 блоков, и нет видимых форков. Пусть есть гипотетический я который считает что 10 блоков достаточно для finality. Утверждается что selfish и не selfish adversaries имеют одинаковую вероятность переписать этот блок

кажется что safety — это свойство консенсуса которое утверждает что если некоторый блок финализирован, то не может в будущем оказаться что он не финализирован?

Dm: в этом сценарии никакой вероятности нет потому что selfish mining начинается до публичного майнинга а не после

не некоторый а любой

A: что любой *финализированный* блок не может стать не финализированным

Dm: ну да. в биткоине финализированный блок это тот, после которого появился чекпоинт. Это случается несколько раз в год, поэтому можно представить что там означает safety

не всем подходит финализация транзакций раз в три месяца

Вообще я не знаю как сейчас, но в 2014 чекпоинты вообще не были описаны в биткоин вики. То есть люди которые анализировали протокол чисто по вики, получали очень странные, если не сказать необычные результаты

С другой стороны, люди анализировавшие код и выяснившие что достаточно послать через Тор-экзит 50 байт какой то фигни, чтобы вообще отсоединить биткоин от Тора, получали необычные комментарии от тех, кто ограничился сатошным пейпером

 

источник: tg - ББ-чат

Поделиться сообщением


Ссылка на сообщение

Интересное расследование Медузы о том какие возможности имеют системы для отслеживания людей, что делают с данными людей, кто разрабатывает эти продукты, и как они вынуждены даже продавать их коммерческим предприятиям в связи с нехваткой финансирования (ру): https://meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh

Поделиться сообщением


Ссылка на сообщение

Серия постов от Степана Снигерева о подписях: рассматриваются подписи Шнорра, BLS-подписи, и почему подписи ECDSA, которые используются в Биткоине и Ethereum, не так уж плохи (en): 

How Schnorr signatures may improve Bitcoin - https://medium.com/cryptoadvance/how-schnorr-signatures-may-improve-bitcoin-91655bcb4744

BLS signatures: better than Schnorr - https://medium.com/cryptoadvance/bls-signatures-better-than-schnorr-5a7fe30ea716

ECDSA is not that bad: two-party signing without Schnorr or BLS - https://medium.com/cryptoadvance/ecdsa-is-not-that-bad-two-party-signing-without-schnorr-or-bls-1941806ec36f

 

Поделиться сообщением


Ссылка на сообщение

Интересный вотч-лист от serejandmyself, где объединены проекты, white paper'ы от них, команда, доки, и прочее прочее, созданное с удобной навигацией: https://docs.google.com/spreadsheets/d/1tYx4OygKh9Bz3EAVT2Ewe4eqUK8cVubSZRQGY5FSp2c/edit#gid=251398812

Поделиться сообщением


Ссылка на сообщение

Стенограмма выступления Эндрю Поэлстра с MoneroKon 2019 о  проблемах реализации пороговых подписей, связанных с реализацией подписей Шнорра, таких как тщательного рассмотрения с точки зрения единообразной генерации случайных чисел, возможности проведения DoS-атак, атак повторного воспроизведения и других (ру): https://xmr.ru/threads/1029/

Поделиться сообщением


Ссылка на сообщение

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


×
×
  • Создать...