Объяснение Bulletproofs+: как Monero сокращает размеры транзакций

Что такое доказательства диапазона и почему они имеют значение?

В основе каждой частной криптовалюты лежит фундаментальная проблема: как доказать, что транзакция действительна, не раскрывая при этом ее суммы? В Monero эта проблема решается с помощью криптографической конструкции, называемой доказательством диапазона. Доказательства диапазона демонстрируют, что выходные данные транзакций содержат неотрицательные значения, но не раскрывают, каковы эти значения на самом деле. Без доказательств диапазона злоумышленник может создавать транзакции с отрицательными результатами, эффективно печатая деньги из воздуха, в то время как скрытые суммы не позволят никому обнаружить мошенничество.

Доказательства диапазона необходимы для целостности системы конфиденциальных транзакций Monero, известной какКольцоCT. Каждый раз, когда вы отправляете XMR, в транзакцию включаются доказательства диапазона, чтобы гарантировать сети, что суммы действительны. Однако за эти доказательства приходится платить: они добавляют важные данные к каждой транзакции, увеличивая размер блокчейна и комиссию, которую должны платить пользователи. Именно здесь на помощь приходит Bulletproofs+, представляющий собой значительный шаг вперед в обеспечении максимальной эффективности этих доказательств.

Эволюция: от Борромео к пуленепробиваемым и пуленепробиваемым+

Система проверки диапазона Monero прошла через три различных поколения, каждое из которых принесло существенные улучшения в эффективности. Понимание этой эволюции помогает понять, почему Bulletproofs+ представляет собой такую ​​важную веху для сети.

Кольцевые подписи Борромео (2017 г. и ранее)

Первоначальная реализация проверки диапазона Monero использовала метод Борромео.кольцевые подписис. Хотя эти доказательства были криптографически обоснованными, они были чрезвычайно обширными. Типичная транзакция с двумя выходами требовала подтверждения диапазона размером примерно 13 КБ. Это сделало транзакции Monero довольно тяжелыми по сравнению с прозрачными криптовалютами, что привело к более высоким комиссиям и замедлению роста блокчейна. Размер масштабировался линейно с количеством выходов, а это означало, что транзакции с несколькими выходами были непомерно дорогими.

Пуленепробиваемые (октябрь 2018 г.)

Внедрение Bulletproofs в октябре 2018 года изменило правила игры для Monero. Разработанная Бенедиктом Бунцем, Джонатаном Бутлом, Дэном Бонехом, Эндрю Поэльстра, Питером Вуйлем и Грегом Максвеллом, Bulletproofs заменила подписи Борромео гораздо более компактной системой доказательств. Размеры транзакций сократились примерно на 80%, и пропорционально снизились комиссии. Стандартная транзакция с двумя выходами увеличила объем данных проверки диапазона примерно с 13 КБ до примерно 2,5 КБ. Более того, Bulletproofs допускал пакетную проверку, а это означает, что несколько доказательств можно было проверять вместе более эффективно, чем по отдельности.

Bulletproofs+ (август 2022 г.)

Bulletproofs+ — это новейшая разработка, представленная в ходе хард-форка Monero в августе 2022 года. Основываясь на исследовательской работе 2020 года Хивон Чунг, Кёхён Хан, Чаньян Джу, Мёнсун Ким и Джэ Хон Со, Bulletproofs+ дополнительно оптимизирует процесс генерации и проверки доказательств. Эти улучшения носят более постепенный характер, чем переход от Борромео к пуленепробиваемости, но, тем не менее, они важны для сети, обрабатывающей тысячи транзакций ежедневно.

Как работает Bulletproofs+: технический обзор

Bulletproofs+ построен на той же математической основе, что и оригинальные Bulletproofs, используя задачу дискретного логарифмирования и аргументы внутреннего произведения, но вводит несколько ключевых оптимизаций, которые уменьшают как размер доказательства, так и время проверки.

Аргумент взвешенного внутреннего продукта

Основным нововведением в Bulletproofs+ является использование аргумента взвешенного внутреннего продукта (WIPA) вместо стандартного аргумента внутреннего продукта, используемого в оригинальных Bulletproofs. Эта модификация меняет внутреннюю структуру доказательства, обеспечивая более компактное представление без ущерба для каких-либо свойств безопасности. Взвешенный подход уменьшает количество групповых элементов и скалярных значений, которые необходимо включить в доказательство, что напрямую приводит к меньшим размерам транзакций в блокчейне.

Уменьшение размера: цифры

Bulletproofs+ уменьшает размер доказательств дальности примерно на 6% по сравнению с оригинальными Bulletproofs. Хотя это может показаться скромным, совокупное воздействие на блокчейн, который ежедневно обрабатывает тысячи транзакций, является существенным. Для стандартной транзакции с двумя выходами доказательство диапазона сокращается примерно с 2560 байт до примерно 2400 байт. Благодаря миллионам транзакций это экономит гигабайты пространства блокчейна, сокращая требования к хранилищу для операторов узлов и время синхронизации для новых узлов, присоединяющихся к сети.

• Доказательство с одним выходом:примерно на 5-7% меньше, чем Bulletproofs
• Доказательство с двумя выходами:примерно на 6% меньше, чем Bulletproofs
• Пакетные доказательства (несколько выходов):экономия выгодно зависит от размера партии
• Скорость проверки:примерно на 6% быстрее, чем оригинальные Bulletproofs

Улучшения скорости проверки

Помимо уменьшения размера, Bulletproofs+ также повышает скорость проверки. Аргумент взвешенного внутреннего продукта требует меньшего количества вычислительных шагов для проверки, а это означает, что узлы могут быстрее проверять транзакции. Это особенно важно во время первоначальной синхронизации блокчейна, когда новый узел должен проверять каждую историческую транзакцию. Улучшение скорости проверки примерно на 6% приводит к значительному сокращению времени синхронизации для всей сети Monero.

Отношения с RingCT

Bulletproofs+ не существует изолированно; это компонент более широкой системы кольцевых конфиденциальных транзакций Monero. RingCT сочетает в себе три технологии конфиденциальности: кольцевые подписи (которые скрывают отправителя),скрытые адресаes (которые скрывают получателя) и конфиденциальные суммы транзакций (которые скрывают значения). Bulletproofs+ специально обрабатывает компонент конфиденциальной суммы, предоставляя математическое доказательство того, что скрытые суммы действительны.

Когда вы отправляете транзакцию Monero, процесс работает следующим образом: ваш кошелек создает транзакцию со скрытыми суммами, используя обязательства Педерсена, генерирует доказательства диапазона Bulletproofs+, чтобы продемонстрировать, что все выходные данные неотрицательны и что входные данные равны выходным, применяет кольцевые подписи, чтобы скрыть истинные входные данные среди приманок, и создает скрытые адреса для каждого получателя. Доказательства Bulletproofs+ затем включаются в данные транзакции, которые транслируются в сеть и сохраняются в блокчейне.

Как Bulletproofs+ снижает комиссии

Структура комиссий Monero напрямую связана с размером транзакции. Включение меньших транзакций в блок обходится дешевле, поэтому любое уменьшение размера транзакции напрямую приводит к снижению комиссий для пользователей. Уменьшение размера доказательства диапазона примерно на 6% благодаря Bulletproofs+ означает, что пользователи платят примерно на 6% меньше комиссий за каждую транзакцию. Хотя это скромная экономия на каждую транзакцию, она значительно возрастает для частых пользователей, предприятий и служб, которые ежедневно обрабатывают множество транзакций.

Для пользователейMoneroSwapperБолее низкие внутрисетевые комиссии означают, что больше ваших средств доберутся до места назначения. Независимо от того, конвертируете ли вы биткойны в Monero или обмениваете XMR на другую криптовалюту, сниженные сетевые комиссии, обеспечиваемые Bulletproofs+, обеспечивают максимальную эффективность передачи средств.

Сравнение с другими системами доказательства с нулевым разглашением

Bulletproofs+ — не единственная система доказательства с нулевым разглашением в криптовалютном пространстве. Понимание его сравнения с альтернативами помогает объяснить, почему Monero выбрал именно этот подход.

zk-СНАРК (Zcash)

Монеро против Zcashиспользует zk-SNARK (краткие неинтерактивные аргументы знания с нулевым разглашением) для своих защищенных транзакций. zk-SNARK предоставляют очень маленькие доказательства и их очень быстро проверить, но они требуют доверенной церемонии установки. Если параметры, сгенерированные во время этой церемонии, будут скомпрометированы, становится возможной необнаружимая подделка. Выбор Monero Bulletproofs+ полностью исключает это требование доверенной настройки, что делает систему ненадежной по своей сути.

zk-STARKs

zk-STARK (масштабируемые прозрачные аргументы знаний с нулевым разглашением) не требуют надежной настройки и предлагают квантовую устойчивость, но они предоставляют значительно более крупные доказательства, чем zk-SNARK и Bulletproofs+. Длялучшие монеты конфиденциальностигде каждая транзакция включает в себя доказательства, накладные расходы на размер zk-STARK будут непомерно высокими для варианта использования Monero.

Грот16

Groth16 — это особая конструкция zk-SNARK, которая дает минимально возможные доказательства (всего три элемента группы), но требует доверенной настройки для каждой схемы. Несмотря на то, что он чрезвычайно эффективен для проверки, требование доверенной установки и жесткость конструкции каждого канала делают его непригодным для меняющихся требований конфиденциальности Monero.

Почему Bulletproofs+ — правильный выбор для Monero

Bulletproofs+ обеспечивает прагматичный баланс для конкретных потребностей Monero. Он не требует доверенной настройки, обеспечивает достаточно компактные доказательства, обеспечивает эффективную пакетную проверку и официально доказал свою безопасность при стандартных криптографических предположениях. Компромисс заключается в том, что доказательства больше, чем zk-SNARK, и проверка происходит медленнее, но устранение проблем с доверенной настройкой делает этот обмен выгодным обменом на валюту, ориентированную на конфиденциальность, где минимизация доверия имеет первостепенное значение.

Часто задаваемые вопросы

Нужно ли мне что-то делать, чтобы воспользоваться преимуществами Bulletproofs+?

Нет. Bulletproofs+ был активирован для всей сети во время хардфорка в августе 2022 года. Все транзакции в сети Monero теперь автоматически используют Bulletproofs+ для проверки диапазона. Вы получаете выгоду от меньших размеров транзакций и более низких комиссий, просто используя Monero, как обычно, без каких-либо дополнительных действий.

Влияет ли Bulletproofs+ на уровень конфиденциальности Monero?

Нет. Bulletproofs+ предоставляет те же гарантии конфиденциальности, что и оригинальные Bulletproofs. Обновление связано исключительно с эффективностью: меньше доказательств и быстрее проверка. Свойства криптографической конфиденциальности, в частности то, что суммы транзакций остаются скрытыми, хотя их доказуемость действительна, идентичны в обеих версиях.

Может ли Monero в будущем использовать zk-SNARK для еще более мелких доказательств?

Хотя теоретически это возможно, сообщество Monero последовательно отдает предпочтение ненадежным конструкциям над максимальной эффективностью. Требование доверенной установки большинства конструкций zk-SNARK противоречит философии Monero по минимизации предположений о доверии. Будущие улучшения, скорее всего, будут связаны с дальнейшей оптимизацией семейства Bulletproofs или с новыми системами проверки, не требующими доверия, которые достигают большей эффективности, не требуя доверенных церемоний.

Как Bulletproofs+ влияет на синхронизацию блокчейна?

Bulletproofs+ улучшает синхронизацию блокчейна двумя способами. Во-первых, каждая транзакция меньше, поэтому требуется загружать меньше данных. Во-вторых, каждое доказательство проверяется быстрее, поэтому время вычислений, необходимое для проверки истории блокчейна, сокращается. Оба фактора способствуют ускорению синхронизации новых узлов, присоединяющихся к сети Monero.