Когда: Понедельник, 9 декабря 2019 г., 17:00 UTC Где: #monero-research-lab (freenode/matrix) Повестка дня: Приветствия Круглый стол Вопросы Ключевые моменты <sgp_> suraeNoether: загляните в Wire после встречи <sgp_> все, кто прочитал это, — нет, это не связано с проблемой безопасности TheoStorm вышел (Причина: Вышел) <sarang> Встреча начнется через 5 минут <sarang> пинг suraeNoether <sarang> Текущая повестка дня: https://github.com/monero-project/meta/issues/417 <suraeNoether> всем привет <sarang> Hi <sarang> Давайте продолжим и перейдём к ПРИВЕТСТВИЯМ <kinghat> o/ * suraeNoether запускает волну из рук <sgp_> привет * sarang выжидает появления других участников в течение нескольких минут DryStorm вышел (Причина: Бездействие в течение 250 секунд) <sarang> Так! Достаточно! <sarang> давайте сразу перейдем к КРУГЛОМУ СТОЛУ <sarang> suraeNoether, что с это с тобой? <suraeNoether> С сегодняшнего утра (и до текущего времени) я довольно паршиво себя чувствую, поэтому мое обновление будет очень коротким. Моя работа на прошлой неделе была связана с тремя незавершенными задачами: <suraeNoether> 1) доказательство анонимности CLSAG потребовало некоторых переосмыслений. У меня с Сарангом есть стратегия, чтобы закончить работу над этими доказательствами. Sarang: вы хотите внести изменения в LA определение или хотите, чтобы я сделал это? <sarang> suraeNoether: У меня уже есть кое-какие наброски для LA в *записной книжке*, которую я сейчас переношу в TeX <suraeNoether> забыл упомянуть о доказательствах* <sarang> как по мне, всё работает отлично <sarang> по крайней мере на *бумаге* <sarang> возможно, что у вас есть какие-либо мысли о связываемости (не LA) <sarang> и мне не особо нравится определение Backes <suraeNoether> эммм, одну секунду <sarang> у Triptych есть версия которая работает со связываемостью + неразличимостью, и она нравится мне намного больше <suraeNoether> Что-то не так с определением, которое мы выбрали изначально? <suraeNoether> чёрт побери... <sarang> по мнению одного из рецензентов, оно не достаточно формализовано <sarang> Я думаю, что это потребует незначительных исправлений <sarang> Triptych формализует это *немного* лучше <sarang> Да, я могу добавить это упоминание в рецензию, если хотите <suraeNoether> ну что ж.…. <suraeNoether> для аудитории — можете ли вы описать 3 разных определения, которые вы хотите рассмотреть? или как минимум 2, но при условии, что вы хотите отказаться от backes <sarang> для LRS Backes потребуется следующее: полнота, связываемость и неразличимость <sarang> Прямо сейчас мы пытаемся объединить связываемость и неразличимость с нестандартным подходом в терминологии <sarang> Backes использует конкретное определение связываемости: может ли злоумышленник использовать ключи `q` для генерации несвязанных подписей `q + 1`? <sarang> Где `q` будет масштабироваться через параметр безопасности <sarang> Мне не нравится сама концепция этого определения по сравнению с «обычным» определением о создании двух связываемых подписей, но я думаю, что важно сформулировать определение как взаимодействие претендента с пользователем <sarang> Наш текущий метод делает это очень «неформально» <sarang> Я предлагаю комбинировать определение связываемости из моей рецензии Triptych, которая представляет собой небольшую формализацию того, что сейчас уже работает в CLSAG. <sarang> (оно может быть легко разделено в ключе связываемости и неразличимости) <suraeNoether> хмммм... как по мне — масштабирование `q` одновременно с параметром безопасности является весьма спорным моментом: если параметр безопасности увеличивается, то и `q` тоже... как вариант, это означает, что злоумышленник не может выдать 3 сигнатуры с использованием 2 ключей без какого-либо связывания... Это всё выглядит намного *хуже*, чем утверждение — «невозможно создать две подписи, используя один и тот же ключ» <sarang> Да, именно поэтому мне это и не нравится <sarang> все не складывается <suraeNoether> в любом случае нам нужно прийти к q=1, чтобы предотвратить возможность двойной траты <sarang> Поэтому я и предлагаю не использовать определение Backes, а просто формализовать то, что мы сейчас имеем, в смысле — Triptych <sarang> тогда всё встанет на свои места <suraeNoether> хорошо, я перечитаю документ <sarang> это довольно простая формализация <sarang> на практике всё еще проще <suraeNoether> как по мне, определение Backes с q=1, подразумевает определение Backes с куда большим q, но возможно, что оно не будет работать, как я думаю. Мне нужно взять пару дней на вариации для данной реализации <sarang> Это определение не производит формулировку о том, что ссылки тегов будут равны <sarang> в то время как наш метод уже позволяет это на данном этапе <sarang> я о том, что это уже входит в его состав <sarang> просто вы говорили о работе, которую вы доделали, прежде чем я смог вам помочь <suraeNoether> Хорошо, двигаемся дальше, моя следующая незавершенная задача - рассмотреть варианты доказательства безопасности triptych, тут я имею в виду, какие именно доказательства будут лучше работать в нём <sarang> Да, отличный вариант <suraeNoether> я работаю над сопоставлением симуляций, и у меня возникла проблема с управлением данными, и я надеюсь, что в конце дня появится график, показывающий *производительность Евы* в зависимости от размера кольца и глубины вспенивания. <sarang> здоровски! <suraeNoether> немного позже я сделаю пуш в свой репозиторий, также внутри будет располагаться код для генерации и подробные объяснения, чтобы люди могли воспроизвести его самостоятельно <sarang> понял <suraeNoether> вот и все, если бы я представил всё в другом порядке, то ваше «ворчание» было бы отличным переходом к *вашей* работе на предстоящую неделю <sarang> Мы можем сделать всё иначе <sarang> я завершил черновик препринта документа Triptych, который сейчас находится в цепких лапках suraeNoether <sgp_> suraeNoether: я с нетерпением жду этого графика <sarang> он включает в себя мое предложенное определение связываемости + неразличимости <sarang> связное определение анонимности в CLSAG, не такое хорошее, как используется в Backes, но оно выполняет свою работу <sarang> я также работал с Арамом из Zcoin над материалами, связанными с системой доказательств Groth. <sgp_> вопрос — в чем недостаток определения связываемой анонимности, даже если между ними нет практической разницы? <sarang> в скором времени у них выйдет соответствующая документация, которую, я, конечно же, уже прочел <sarang> sgp_: Backes разрешает повреждение ключа, что не работает с нашим предположением о DDH <sarang> в нашей вариации, мы предполагаем, что злоумышленник может получить образы ключей <sarang> и что злоумышленник может работать с кольцами при помощи *вредоносных* ключей <sgp_> sarang: спасибо <sarang> (которые, как вы можете предположить, уже испорчены) <sarang> это лучше, чем существующее определение, которое уже использовалось <sarang> я также хотел бы обновить документ DLSAG (который будет представлен в следующем году в материалах конференции) с моделью безопасности CLSAG, поскольку они структурно похожи <sarang> в общем, как всегда, много утомительного (но все же интересного) материала, включающего формальные определения и доказательства <sarang> Когда suraeNoether закончит обзор препринта Triptych, он будет размещён в архиве IACR <sarang> и, вероятно, все обновления CLSAG / DLSAG <suraeNoether> Хм... Определение в Backes - это загадка, в ключе которой не работает моя интуиция <sarang> злоумышленник сам выбирает, с какими ключами он будет работать, верно? <suraeNoether> да, злоумышленник может использовать KeyGen или любой другой способ <suraeNoether> а может вообще ничего не знать о секретном ключе <sarang> угусь <sarang> выбор злоумышленника на самом деле не играет большой роли, поскольку разумность его поступка подразумевает, что выбранный злоумышленником ключ удовлетворяет требования в уравнении <sarang> а затем вы полагаетесь на одностороннее картирование <suraeNoether> на самом деле не обязательно; каждый ключ должен быть в \mathcal{VK}, и самое главное, что не указано, откуда он берется <suraeNoether> в этом случае злоумышленник должен воспользоваться ключами претендента, чтобы разорвать связность, для противника недостаточно заполнить все кольца поддельными ключами <sarang> Backes отмечает, что генерирование `q` в случае таких подписей тривиально, так как вы просто используете отдельные ключи <sarang> и в этом случае должны работать поддельные публичные ключи <sarang> поскольку злоумышленник делает все это в автономном режиме, в смысле генерирует публичные ключи в своих (казалось бы) допустимых транзакциях <sarang> `q = 1` воспринимается как некая целевая атака связываемости, где ` q` выглядит как атака в попытке «найти камень преткновения» rubdos подключился <sarang> suraeNoether: ваши мысли? <suraeNoether> ничего конкретного на ум не приходит, но то, как именно написано это уравнение, противоречит тому, что мы с вами разбирали в прошлом <sarang> Да, согласен <sarang> Опять же я не вижу необходимости использовать именно это уравнение <sarang> но оно очень грамотно построено в плане определения «участник-претендент» <suraeNoether> согласен <sarang> принял <sarang> Хорошо, это мое обновление <sarang> У кого-нибудь еще есть интересные (или не очень) исследования, которыми можно поделиться? <suraeNoether> слушай, похоже, я понял корень зла <suraeNoether> в этом уравнении <suraeNoether> ну или часть его <sarang> ОоООо, продолжайте * sarang делает шаг назад <suraeNoether> cвязываемость - это свойство, которым наделён компонент «правильность» и компонент «обоснованность». Связать две вещи означает связать и два этих компонента <suraeNoether> когда-то мы дали этому свойству имя - положительно-отрицательная связанность <suraeNoether> это нужно было для формализации определения Febo вышел (Причина: Бездействие в течение 260 секунд) <suraeNoether> на этом у меня, пожалуй, всё <sarang> Backes использует свойство неразличимости, чтобы показать, что вы не можете создать подпись, которая свяжет подписанта и ключ, без должного уровня знания <sarang> и возможность связывания означает, что вы не можете создавать сигнатуры с одним и тем же ключом (ключами), но разными тегами DryStorm подключился <sarang> Проверяющим не понравилось использование в CLSAG положительного / отрицательного или вообще обоснованного соответствия <suraeNoether> хммм <suraeNoether> хорошо, мы уделим этому немного больше внимания <suraeNoether> всё, вот теперь я точно закончил <sarang> Во многом это просто терминология для определений выбора <sarang> и мне нравится оперировать двумя возможными вариантами <sarang> оно само всё получается <sarang> но это две разные концепции <sarang> ХОРОШО, давайте пройдемся и по другим пунктам встречи <sarang> дальше у нас будут ВОПРОСЫ * sarang терпеливо ждет * sarang ждет с нетерпением... <suraeNoether> у меня есть общее наблюдение <suraeNoether> что может иметь значение с точки зрения независимых интересов <suraeNoether> свойство типа связанности применяется ко всем доказательствам ZK. Например, наши кольцевые подписи являются подтверждением для секретного ключа ZK, но они являются *связанными * доказательством знаний, так что если одни и те же данные (ключи) используются для двух разных доказательств (подписей), то их может связать сторонний наблюдатель <suraeNoether> так же, как доказательства ZK имеют свойство правильности (если вы знаете свидетеля, доказательство является верным) и свойство обоснованности (если вы не знаете свидетеля и ваше доказательство недействительно), связываемое доказательство ZK будет иметь двойную пару понятий в ключе связываемости <suraeNoether> я поднимаю это на всеобщее обозрение потому, что у следующей версии snarks есть L <sarang> В сигма-протоколах есть свойство related-ish и quasi-unique ответы <sarang> это относится к ответам на вызов верификатора <suraeNoether> мне нужно прочитать об этом, я не понимаю о чем идет речь :\ <sarang> это всё имеет тонкое отношение к (SHV) ZK <sarang> и поэтому всё свидетельствует о неразличимости <sarang> (что следует из SHVZK) <suraeNoether> в любом случае <sarang> предоставление двух доказательств не должно раскрывать отличительную информацию о свидетелях <suraeNoether> верно <sarang> Надеюсь, вам понравится статья Triptych, которая строит связываемую конструкцию поверх протокола sigma <suraeNoether> я давно не получал такое удовольствие от чтения документации, правда переваривание всех описанных процессов занимает некоторое время <suraeNoether> хорошо, давайте закругляться, я не совсем хорошо себя чувствую. Мои ключевые моменты сосредоточены вокруг моего списка действий <sarang> понял вас <sarang> Мои КЛЮЧЕВЫЕ ДЕЙСТВИЯ включают в себя доработку новых определений и доказательств, определения DLSAG, несколько других организационных вопросов в ключе документа CLSAG для подготовки его к повторной подаче и представление документа Triptych на рассмотрение <sarang> заключительные мысли, комментарии или вопросы? <moneromooo> У меня есть вопрос <sarang> ? <moneromooo> Мне интересно, возможны ли сейчас атомные перестановки между двумя протоколами cryptonotes с одинаковой кривой <moneromooo> в том случае, если у нас есть инструмент для переноса <moneromooo> в теории конечно <sarang> Я не знаю такого способа, который сохраняет анонимность так же, как, например, DLSAG. Но и у него все еще имеет проблемы с трассировкой midipoet вышел (Причина: Вышел) <sarang> Если вы были готовы принять или согласиться с проблемой анонимности, то этот метод должен сработать <sarang> под этим я подразумеваю DLSAG <moneromooo> Что является проблемой анонимности? <sarang> Фиксированная базовая точка, используемая для двухадресных образов ключей, позволяет определять связываемые подписи <sarang> Не совсем понятно, как сделать конструкцию по типу DLSAG с использованием образа ключа в переменной базовой точки <sarang> использование фиксированной точки и наличие выходных приватных ключей, используемых в качестве соответствующего образа ключа (этого нет в более поздних конструкциях, которые используют фиксированную базовую точку) <sarang> кстати, suraeNoether, как вы думаете, насколько безопасно включать в определении LA тег оракула и ссылки отдельно от самого оракула подписи? <sarang> пользователь может получить результат оракула с тегом, просто запросив у оракула подпись открытого ключа, используя случайное кольцо и сообщение <sarang> наличие отдельного оракула дает понять, что пользователю не обязательно нужно уговаривать другого пользователя подписать сообщение <sarang> (хотя в этой модели безопасности, должны работать два варианта) Источник: Research meeting: 9 December 2019 @ 17:00 UTC #417 Перевод: Unholy (@Unholy) Редактирование: Mr. Pickles (@v1docq47) Коррекция: Kukima (@Kukima)