Когда: Понедельник, 25 ноября 2019 г., 17:00 UTC Где: #monero-research-lab (freenode/matrix) Повестка дня: Приветствия Круглый стол Вопросы Ключевые моменты <suraeNoether> Рад видеть вас <sarang> Оу! * suraeNoether посёрбывает кофе <suraeNoether> Доброе утро - mikerah подключился <suraeNoether> ну что, давайте приступим <suraeNoether> повестка дня: <suraeNoether> https://github.com/monero-project/meta/issues/414 <suraeNoether> начнём с очевидного - ПРИВЕТСВИЯ! <suraeNoether> это еженедельная исследовательская встреча MRL, где мы обсуждаем прогресс (или его отсутствие, да, такое тоже бывает) за прошедшую неделю, документы, в чтении которых мы заинтересованы, и, конечно, проекты, над которыми мы работаем <sarang> В последнее время, мы довольно много времени уделяли модели безопасности CLSAG и обсуждению связываемости <sarang> suraeNoether: также я занимался поиском определений оптимальных оракулов, которые будут как минимум корректно работать с определением Бэкса <sarang> и, что логично, я рассматривал другие модификации Бэкса, где не будет участвовать оракул <suraeNoether> Извини, интернет отвалился <suraeNoether> хорошо, так как сегодня весьма тихо, я предлагаю поговорить о CLSAG - cada подключился <suraeNoether> итак, мы собрали довольно много новых комментариев в ключе CLSAG от аудиторов: мы использовали новое определение анонимности / двусмысленности, потому что в предыдущих определениях не хватало того, что мы искали, и один из рецензентов указал нам на статью, которую мы не знали в то время, когда мы написали статью <suraeNoether> в этой статье есть определение связываемости, и именно поэтому мы начали адаптировать само доказательство <suraeNoether> к сожалению, способ, которым доказательства безопасности работают в криптографии, можно описать как: «если в этом доказательстве присутствует решение *проблемы* X, тогда просто поместите этот алгоритм в *черный ящик* и превратите его в Y» * needmonero90 занимает место в дальнем углу комнаты... <suraeNoether> Таким образом, любая проблема, которую мы считаем криптографически сложной, может быть положена в основу доказательства. Если я могу показать, что существует алгоритм, который может нарушить анонимность и который подразумевает, что сам алгоритм может решить проблему дискретного логарифма <suraeNoether> определение: https://eprint.iacr.org/2019/196.pdf (страница 25) <suraeNoether> казалось, что это определение противоречит нашему методу доказательства: если алгоритм X должен повреждать ключи, то алгоритм Y должен иметь возможность имитировать повреждение ключа <suraeNoether> я провел все выходные, думая над этой проблемой и способом ее решения: определение связности в Backes имеет доступ к оракулу и возможности выбора целого ключа <suraeNoether> это позволяет нам ограничить доступ злоумышленника к оракулу <suraeNoether> следовательно, это полностью решает нашу проблему, то есть Y может имитировать повреждение ключа <suraeNoether> первоначальная идея Саранга состояла в том, чтобы разделить ключевое пространство внутри алгоритма Y так, чтобы X мог только повредить ключи при вызове процедуры <sarang> В каком смысле? <suraeNoether> порядок, в котором это всё работает: <suraeNoether> Y инициирует большое количество DDH вызовов. Затем Y моделирует DDH, для которых он знает истину. Затем Y передаёт X совокупность этих двух наборов ключей. X вызывает процедуру повреждения для двух целевых ключей; в то время как Y может прервать этот процесс, если X выведет какие-либо ключи, для которых он не знает главный секретный ключ <suraeNoether> в противном случае X выведет два правильных ключа и набор ключей для повреждения, известных Y <suraeNoether> размеры этих двух наборов прямо пропорционально указывают на вероятность этих двух событий <sarang> Итак, полагаю, что вы инициируете прерывание, если: (а) набор анонимности не создан претендентом; и (б) целевая пара является истинным DDH <suraeNoether> да, и мы можем снизить вероятность, при которой это случается <sarang> Кажется, что в случае с `Y` это будет весьма частое явление <suraeNoether> *пожимает плечами*, если он не прерывается с вероятностью, большей, чем 1-negl(), то доказательство все еще будет работать <suraeNoether> хорошо, посмотрим на это с другой стороны — если я дам вам несущественное преимущество в решении DLP для 1 из каждых 10 ключей или 1 из каждых 10 000 ключей, то, вероятно, что DLP прерывается <suraeNoether> Итак, это то, чем я занимался на прошлой неделе, но на выходных я буду работать над проверками CLSAG и еще завершу работу над соответствующим кодом, и также полагаю, что к этому моменту уже будет запущен скрипт с примером пространства-времени <sarang> Будет ли это формализировано с изменением размера анонимности и набором DDH отдельно? <suraeNoether> думаю, что вы можете его просто формализировать в соотношении с размером этих двух наборов <sarang> (я бы хотел видеть чёткие границы) <suraeNoether> тогда да <suraeNoether> теперь, когда я потратил 20 минут, пытаясь объяснить, что твоя идея работает, Саранг, я буду рад продолжить нашу встречу <sarang> хех <sarang> Ну, я работал над моделями безопасности для CLSAG, а также над формой агрегации ключей, формализованной в код Triptych - rex4539_ подключился - rex4539_ вышел (Причина: Приложение закрыто) <sarang> Теперь, когда мы поняли, что Backes является хорошим определением связываемой анонимности, я хочу добавить его к кольцевым подписям, которые использует Groth <sarang> у Groth получилось использовать преимущества базовой системы проверки для сигма-протоколов (SHVZK, etc.) <suraeNoether> О, это весьма интересно <suraeNoether> кроме того, я задумываюсь вернуться к thring-подписям, чтобы переделать доказательство анонимности для мета-ссылок; если я снизойду до этого, то, скорее всего, будет соответствующее сообщение в блоге - rex4539 вышел (Причина: Бездействие в течении 246 секунд) <sarang> С другой стороны, то, что Groth сейчас топчется на месте, не так уж и плохо <sarang> (просто это весьма критическое мышление) - ferretinjapan вышел (Причина: Приложение закрыто) <suraeNoether> хорошо, больше у меня нет вопросов <suraeNoether> сейчас будет весьма тихо <suraeNoether> новогодние праздники, как-никак - peach34 подключился <sarang> Угу <suraeNoether> в следующий понедельник я, скорее всего, буду в разъездах, так что велика вероятность, что я пропущу нашу встречу <sarang> Понял, без проблем <suraeNoether> было бы идеально, если бы мы просто перенесли встречу на вторник или среду <suraeNoether> как вам такой вариант - Common-Deer подключился <sarang> кстати, я хотел напомнить, что скоро будет последний срок для подачи заявок на конференцию <sarang> самым идеальным вариантом будет, если мы успеем довести до ума документ CLSAG <sarang> крайний срок в этом году - 30 ноября, следующий и, скорее всего, уже последний - 29 февраля - Common_Deer вышел (Причина: Бездействие в течении 276 секунд ) <suraeNoether> Хорошо, я услышал вас. Полагаю, что CLSAG будет закончен к 30 ноября <sarang> отлично, можно немного сократить комментарии и детали о LSAG/MLSAG <sarang> будет не лишним <sarang> это будет отличная возможность приберечь что-то из вырезанного материала для сравнения конструкций <sarang> что мы можем сделать, так это уменьшить количество материала в ключе конкретных конструкции и вместо этого добавить различия в моделях безопасности <sarang> это также отобразит улучшения <sarang> (еще мы должны добавить примечание, где выразим благодарность всем анонимным рецензентам) <sarang> что думаете об этом, suraeNoether ? - rex4539 подключился - gets вышел (Причина: Приложение закрыто) - rottensox подключился <sarang> suraeNoether, должно быть, отошел <sarang> Ну, тогда я продолжу работу над документами и доказательствами <suraeNoether> Ой, извини, я думал, мы закончили Я так-то все еще здесь, хотя... Думаю, что можно просто перенести всё в приложения документа <suraeNoether> приложения - это такой полезный трюк, вам не стоит думать об этом, пока размер ваших документов не вырастет до 20+ страниц: P <sarang> а как быть с преимуществами? <suraeNoether> я пытаюсь поставить себя на место рецензента, который интерпретировал приложения CLSAG как «выдуманные», который, возможно, просто скептически относится к другим протоколам и не хочет взглянуть на реальную альтернативу или пытаться всё понять вне контекста. Как по мне, это делает анализ документа однобоким... <suraeNoether> если нас снова не пропустят, тогда мы отдадим этот документ под скальпель общественности <sarang> я думаю, что более детальный взгляд и обсуждение изменений в модели безопасности было бы кстати <sarang> улучшения также относятся к основным доказательствам <sarang> если вы хотите, я могу включить изменения в приложения <sarang> и мы можем повторно обновить определения / доказательства <sarang> что думаете, suraeNoether ? <sarang> я всего лишь хочу избежать противоречивых правок <suraeNoether> да, отличный план <sarang> Я имею в виду, что должен ли я продолжить редактирование без добавления приложений? <sarang> (это позволит избежать конфликтов в дальнейшем) <suraeNoether> О, я неправильно понял. Нет, продолжайте в том же ключе <suraeNoether> хотя я бы советовал вам заняться документом triptych <sarang> без проблем <suraeNoether> Полагаю, что на сегодня хватит! Всем спасибо! Источник: Research meeting: 25 November 2019 @ 17:00 UTC #414 Перевод: Unholy (@Unholy) Редактирование: Mr. Pickles (@v1docq47) Коррекция: Kukima (@Kukima)