im体育官网

im体育官网在线:综上所述,2015年,DFinity项目明确提出了激发整个社区的随机信标方案——,并将其用于为BLS门限签名生成随机输入,同时保证输入的无偏性和不可预测性。然而,到2020年,仍然很难构建一个估计的和不可预测的随机信标,很少有项目仍在研究中。然而,阈值签名只是构建随机信标的不切实际的方法之一。我们发表了一篇概述文章,解释了其他可能的问题解决方案,包括一个应该在本文中强调的解决方案。

其他细节——什么是随机信标?什么是不偏不倚,不可预测?除了门槛签名,还有哪些方法?——以上概述可以回答这些问题。经过多次设计递归,我们终于提出了一个类似于DFinity的方案,这也是我们进一步了解随机信标解读的一个岌岌可危的机会。本文将以简单的形式描述一系列通过阈值签名分解随机数的协议。

密码学基础知识为了更好的理解本文提到的随机信标,必须掌握一些密码学的基础科学知识。首先要区分两个概念:1。本文用小写字母(如X、Y)来回应标量或普通常数;2.用大写字母回应椭圆曲线点。我们不必把椭圆曲线的点理解清楚,只要控制好以下两点:1。

im体育官网

椭圆曲线点可以用标量相乘或相加(本文用xG来响应,很少用Gx来响应),然后可以得到另一个椭圆曲线点。2.即使你说出g和xG的值,也不可能计算出x的值,本文中我们还会用到k-1多项式p(x);关于p(x),你不用想太多,就当它是一个方程,如果你把k不同x下p(x)的值讲出来,就可以推导出p(x)的值都有。以此类推,对于同一个函数p(x)和基点G,如果你把x的k个不同值代入后的值告诉p(x)G,就可以推断出x对应的p(x)G的值都有,只要了解椭圆曲线点的这些属性,就能深刻理解随机信标的工作原理。

随机信标假设1:系统有N个参与者,生成随机数至少需要K位。即使k-1人在控制,你也无法预见随机信标的输入结果,也无法控制结果。

im体育官网在线

假设二:有一个k-1阶的多项式p(x),其中参与者1告诉p(1)的值,参与者2告诉p(2)的值,…,参与者n告诉p(n)的值。大家用G作为椭圆曲线的基点,所有参与者告诉p(x)G代入x的所有值,我们把p(i)看作参与者I的“私人份额(不公开发表,只由参与者自己告诉)”,而p(i)G是它的“公开发表的份额”(所有参与者都能说出这个值)(回忆前面的文章,我们说p(i)不能从p(i)G中卖出,所以只有参与者I告诉了p(i)的值)来设计。

就是找到这样一个多项式,让每个参与者可以说出自己的私有份额,但不能说出别人的私有份额——,也叫分布式密钥生成(DKG)。DKG不会在下一章辩论。

现在假设没有这样的多项式,每个人都说出自己的私分。然后我们讨论如何使用这组假设在区块链协议中生成随机信标。假设网络生成一个块,该块的hash为H,现在参与者想要H作为种子来分解随机数。

首先,他们使用承诺函数将H切换到椭圆曲线上的一个点:H=标量点(H)。对于参与者I,因为他告诉p(i)和H,所以他可以自己计算H_i=p(i)H。H_i的发布会暴露参与者I的私有股p(i),所以私有股在每个区块都可以有一定的估值,所以DKG只能推出一次。
根据上面提到的第三个特征,当至少有k个参与者公布各自的H_i=p(i)H时,其他人可以在代入任意x后说出H_x=p(x)H是什么,然后所有参与者可以在本地计算H_0=p(0)H,并将这个结果的哈希值作为随机信标的输入;请注意,因为没有参与者告诉p(0),得到p(0)H的唯一方法是用整数计算p(x)H。

如果嵌入的计算已经完成,至少必须告知p(i)H的K值。如果出版者严重缺k位,其他人就卖不出p (0) h的价值。|im体育官网在线。

本文来源:im体育官网-www.evolveave.com

相关文章

网站地图xml地图