MK
Size: a a a
2020 October 22
ST
Так можно любой некастодиальный продукт тогда закрыть
Вот я этого и боюсь( не уверен,что некастодиальность сама по себе 100 % защищает от длинных лап властей США
PK
Кто-нибудь знает как Exodus удалось реализовать покупку крипты через Apple Pay с легальной точки зрения?
https://support.exodus.io/article/1334-ios-buy-bitcoin-with-fiat-currency-in-exodus#buy
https://support.exodus.io/article/1334-ios-buy-bitcoin-with-fiat-currency-in-exodus#buy
MK
Вот я этого и боюсь( не уверен,что некастодиальность сама по себе 100 % защищает от длинных лап властей США
Мы тоже консультируемся с американскими юристами, и они примарно рассматривают именно некастодиальность.
A
Iurii Shyshatskyi
Критика по сути.
Допустим у них есть нода которая располагает “блокчейном” размером в 22KB=176000 bit и снарком (или пятью снарками) с помощью которого в частности может
a) проверить валидность любой транзакции и/или баланс аккаунта в аккаунт модели не полагаясь запросы информации от других “полных нод” и нод “блок продюсеров”.
b) Проверить что имеющийся в распоряжении “блокчейн” соответствует главной цепочке. (пункт b обсуждать не будем)
Допустим пространство допустимых аккаунт балансов / допустимых транзакций имеет размер порядка N=2^250 из которых некоторое подмножество размером не более M=2^20 являются валидными в данный момент времени.
Не буду приводить все выкладки, но проблема в том что “снарка” который бы выдавал требуемый результат без “ложноположительный срабатываний” в природе быть не может. (Если для каких-то аккаунтов будут “ложноотрицательные срабатывания” то про деньги на них можно забыть, а потому этот кейс куда неприятнее)
Таким образом есть некоторый “шум” из аккаунтов, которых никогда не было, но если кто-то случайно подберет “правильный ключ” он сможет скормить “полным нодам” несуществующие монеты и снарк им никак не поможет. Если вероятность подобрать “правильный ключ” небольшая, то бояться как бы нечего. Но к сожалению, как правило снарки имеют нехорошие свойства. После многократного эффективного рекурсивного и гомоморфного упаковывания данных в снарки и снарков в снарки, шум начинает быстро расти и, в какой-то момент, проверка снарком становится не более эффективна чем подбрасывание монеты. Это цена многократного упаковывания.
Если сравнить первый и второй вайтпейпер Коды, то в первом пейпере были какие-то попытки выписать эти самые снарки и даже сделать какие-то оценки шума. Во второй же версии все “самые интересные вопросы” куда-то уплыли или утонули между новыми примитивами, алгоритмами и т.д.
Допустим у них есть нода которая располагает “блокчейном” размером в 22KB=176000 bit и снарком (или пятью снарками) с помощью которого в частности может
a) проверить валидность любой транзакции и/или баланс аккаунта в аккаунт модели не полагаясь запросы информации от других “полных нод” и нод “блок продюсеров”.
b) Проверить что имеющийся в распоряжении “блокчейн” соответствует главной цепочке. (пункт b обсуждать не будем)
Допустим пространство допустимых аккаунт балансов / допустимых транзакций имеет размер порядка N=2^250 из которых некоторое подмножество размером не более M=2^20 являются валидными в данный момент времени.
Не буду приводить все выкладки, но проблема в том что “снарка” который бы выдавал требуемый результат без “ложноположительный срабатываний” в природе быть не может. (Если для каких-то аккаунтов будут “ложноотрицательные срабатывания” то про деньги на них можно забыть, а потому этот кейс куда неприятнее)
Таким образом есть некоторый “шум” из аккаунтов, которых никогда не было, но если кто-то случайно подберет “правильный ключ” он сможет скормить “полным нодам” несуществующие монеты и снарк им никак не поможет. Если вероятность подобрать “правильный ключ” небольшая, то бояться как бы нечего. Но к сожалению, как правило снарки имеют нехорошие свойства. После многократного эффективного рекурсивного и гомоморфного упаковывания данных в снарки и снарков в снарки, шум начинает быстро расти и, в какой-то момент, проверка снарком становится не более эффективна чем подбрасывание монеты. Это цена многократного упаковывания.
Если сравнить первый и второй вайтпейпер Коды, то в первом пейпере были какие-то попытки выписать эти самые снарки и даже сделать какие-то оценки шума. Во второй же версии все “самые интересные вопросы” куда-то уплыли или утонули между новыми примитивами, алгоритмами и т.д.
Первая половина вашего аргумента применима к деревьям меркла. Если я знаю корень дерева, то я могу доказать баланс любого аккаунта за меньше чем 22К. Если я правильно понимаю ваш аргумент, для которого вы не приводите выкладки, доказательства в дереве меркла не может работать.
В частности, в Кода доказательство баланса на аккаунте — это не снарк, а путь в дереве меркла. Снарк используется только чтобы доказать что корень в дереве соответствует состоянию канонической валидной цепи.
Про накапливаемый шум — где почитать подробнее?
В частности, в Кода доказательство баланса на аккаунте — это не снарк, а путь в дереве меркла. Снарк используется только чтобы доказать что корень в дереве соответствует состоянию канонической валидной цепи.
Про накапливаемый шум — где почитать подробнее?
DK
Первая половина вашего аргумента применима к деревьям меркла. Если я знаю корень дерева, то я могу доказать баланс любого аккаунта за меньше чем 22К. Если я правильно понимаю ваш аргумент, для которого вы не приводите выкладки, доказательства в дереве меркла не может работать.
В частности, в Кода доказательство баланса на аккаунте — это не снарк, а путь в дереве меркла. Снарк используется только чтобы доказать что корень в дереве соответствует состоянию канонической валидной цепи.
Про накапливаемый шум — где почитать подробнее?
В частности, в Кода доказательство баланса на аккаунте — это не снарк, а путь в дереве меркла. Снарк используется только чтобы доказать что корень в дереве соответствует состоянию канонической валидной цепи.
Про накапливаемый шум — где почитать подробнее?
Безопасность merkle tree тоже в каком то смысле уменьшается с его ростом, и при приближении размера к корню из числа возможных корней возможны всякие неприятные эффекты. У снарков просто эта потеря стойкости быстрее идет
DK
но я конечно сам ничего не считал, это просто из здравого смысла
A
Безопасность merkle tree тоже в каком то смысле уменьшается с его ростом, и при приближении размера к корню из числа возможных корней возможны всякие неприятные эффекты. У снарков просто эта потеря стойкости быстрее идет
Если хеш Preimage resistant, то высота дерева (в пределах разумных чисел) не понижает надежность.
DK
там preimage resistance в общем случае недостаточно
A
Почему?
DK
например, если я имею право добавить транзакцию в дерево, и я могу сгенерировать коллизию на этом шаге, то очевидно будет два пруфа к одному корню
A
например, если я имею право добавить транзакцию в дерево, и я могу сгенерировать коллизию на этом шаге, то очевидно будет два пруфа к одному корню
для этого должно быть можно создать две транзакции с одинаковым хешом
A
что невозможно если хеш preimage resistant
DK
что невозможно если хеш preimage resistant
нет для этого требуется более сильное свойство, а именно collision resistance. Поясню на примере:
определим
f(x) =
0 если x=0 или x=1
SHA-256(x) в противном случае.
Как вы думаете, является ли результат Preimage resistant? а можно ли составить два входа с одинаковым хэшем?
определим
f(x) =
0 если x=0 или x=1
SHA-256(x) в противном случае.
Как вы думаете, является ли результат Preimage resistant? а можно ли составить два входа с одинаковым хэшем?
A
нет для этого требуется более сильное свойство, а именно collision resistance. Поясню на примере:
определим
f(x) =
0 если x=0 или x=1
SHA-256(x) в противном случае.
Как вы думаете, является ли результат Preimage resistant? а можно ли составить два входа с одинаковым хэшем?
определим
f(x) =
0 если x=0 или x=1
SHA-256(x) в противном случае.
Как вы думаете, является ли результат Preimage resistant? а можно ли составить два входа с одинаковым хэшем?
Если я правильно читаю пример, то нельзя найти два входа с одинаковым хешом?
DK
конечно можно, это входы 0 и 1
A
А, я не так прочитал. Я прочитал как "0 если 0, и 1sha256(x) иначе"