Перевод Журнал встречи исследовательской лаборатории Monero от 2019-12-09

Тема в разделе "Журналы о Monero", создана пользователем Unholy, 16 дек 2019.

  1. Unholy

    Unholy Well-Known Monerano

    Регистрация:
    6 мар 2018
    Сообщения:
    188
    Симпатии:
    13
    Когда: Понедельник, 9 декабря 2019 г., 17:00 UTC
    Где: #monero-research-lab (freenode/matrix)

    Повестка дня:
    1. Приветствия
    2. Круглый стол
    3. Вопросы
    4. Ключевые моменты
    <sgp_> suraeNoether: загляните в Wire после встречи
    <sgp_> все, кто прочитал это, — нет, это не связано с проблемой безопасности :)
    TheoStorm вышел (Причина: Вышел)
    <sarang>
    Встреча начнется через 5 минут
    <sarang> пинг suraeNoether
    <sarang> Текущая повестка дня: https://github.com/monero-project/meta/issues/417
    <suraeNoether> всем привет
    <sarang> Hi
    <sarang> Давайте продолжим и перейдём к ПРИВЕТСТВИЯМ
    <kinghat> o/
    * suraeNoether запускает волну из рук
    <sgp_>
    привет
    * sarang выжидает появления других участников в течение нескольких минут
    DryStorm вышел (Причина: Бездействие в течение 250 секунд)
    <sarang>
    Так! Достаточно!
    <sarang> давайте сразу перейдем к КРУГЛОМУ СТОЛУ
    <sarang> suraeNoether, что с это с тобой?
    <suraeNoether> С сегодняшнего утра (и до текущего времени) я довольно паршиво себя чувствую, поэтому мое обновление будет очень коротким. Моя работа на прошлой неделе была связана с тремя незавершенными задачами:
    <suraeNoether> 1) доказательство анонимности CLSAG потребовало некоторых переосмыслений. У меня с Сарангом есть стратегия, чтобы закончить работу над этими доказательствами. Sarang: вы хотите внести изменения в LA определение или хотите, чтобы я сделал это?
    <sarang> suraeNoether: У меня уже есть кое-какие наброски для LA в *записной книжке*, которую я сейчас переношу в TeX
    <suraeNoether> забыл упомянуть о доказательствах*
    <sarang> как по мне, всё работает отлично
    <sarang> по крайней мере на *бумаге*
    <sarang> возможно, что у вас есть какие-либо мысли о связываемости (не LA)
    <sarang> и мне не особо нравится определение Backes
    <suraeNoether> эммм, одну секунду
    <sarang> у Triptych есть версия которая работает со связываемостью + неразличимостью, и она нравится мне намного больше
    <suraeNoether> Что-то не так с определением, которое мы выбрали изначально?
    <suraeNoether> чёрт побери...
    <sarang> по мнению одного из рецензентов, оно не достаточно формализовано
    <sarang> Я думаю, что это потребует незначительных исправлений
    <sarang> Triptych формализует это *немного* лучше
    <sarang> Да, я могу добавить это упоминание в рецензию, если хотите
    <suraeNoether> ну что ж.….
    <suraeNoether> для аудитории — можете ли вы описать 3 разных определения, которые вы хотите рассмотреть? или как минимум 2, но при условии, что вы хотите отказаться от backes
    <sarang> для LRS Backes потребуется следующее: полнота, связываемость и неразличимость
    <sarang> Прямо сейчас мы пытаемся объединить связываемость и неразличимость с нестандартным подходом в терминологии
    <sarang> Backes использует конкретное определение связываемости: может ли злоумышленник использовать ключи `q` для генерации несвязанных подписей `q + 1`?
    <sarang> Где `q` будет масштабироваться через параметр безопасности
    <sarang> Мне не нравится сама концепция этого определения по сравнению с «обычным» определением о создании двух связываемых подписей, но я думаю, что важно сформулировать определение как взаимодействие претендента с пользователем
    <sarang> Наш текущий метод делает это очень «неформально»
    <sarang> Я предлагаю комбинировать определение связываемости из моей рецензии Triptych, которая представляет собой небольшую формализацию того, что сейчас уже работает в CLSAG.
    <sarang> (оно может быть легко разделено в ключе связываемости и неразличимости)
    <suraeNoether> хмммм... как по мне — масштабирование `q` одновременно с параметром безопасности является весьма спорным моментом: если параметр безопасности увеличивается, то и `q` тоже... как вариант, это означает, что злоумышленник не может выдать 3 сигнатуры с использованием 2 ключей без какого-либо связывания... Это всё выглядит намного *хуже*, чем утверждение — «невозможно создать две подписи, используя один и тот же ключ»
    <sarang> Да, именно поэтому мне это и не нравится
    <sarang> все не складывается
    <suraeNoether> в любом случае нам нужно прийти к q=1, чтобы предотвратить возможность двойной траты
    <sarang> Поэтому я и предлагаю не использовать определение Backes, а просто формализовать то, что мы сейчас имеем, в смысле — Triptych
    <sarang> тогда всё встанет на свои места
    <suraeNoether> хорошо, я перечитаю документ
    <sarang> это довольно простая формализация
    <sarang> на практике всё еще проще
    <suraeNoether> как по мне, определение Backes с q=1, подразумевает определение Backes с куда большим q, но возможно, что оно не будет работать, как я думаю. Мне нужно взять пару дней на вариации для данной реализации
    <sarang> Это определение не производит формулировку о том, что ссылки тегов будут равны
    <sarang> в то время как наш метод уже позволяет это на данном этапе
    <sarang> я о том, что это уже входит в его состав
    <sarang> просто вы говорили о работе, которую вы доделали, прежде чем я смог вам помочь :p
    <suraeNoether> Хорошо, двигаемся дальше, моя следующая незавершенная задача - рассмотреть варианты доказательства безопасности triptych, тут я имею в виду, какие именно доказательства будут лучше работать в нём :p
    <sarang> Да, отличный вариант
    <suraeNoether> я работаю над сопоставлением симуляций, и у меня возникла проблема с управлением данными, и я надеюсь, что в конце дня появится график, показывающий *производительность Евы* в зависимости от размера кольца и глубины вспенивания.
    <sarang> здоровски!
    <suraeNoether> немного позже я сделаю пуш в свой репозиторий, также внутри будет располагаться код для генерации и подробные объяснения, чтобы люди могли воспроизвести его самостоятельно
    <sarang> понял
    <suraeNoether> вот и все, если бы я представил всё в другом порядке, то ваше «ворчание» было бы отличным переходом к *вашей* работе на предстоящую неделю :p
    <sarang> Мы можем сделать всё иначе
    <sarang> я завершил черновик препринта документа Triptych, который сейчас находится в цепких лапках suraeNoether
    <sgp_> suraeNoether: я с нетерпением жду этого графика
    <sarang> он включает в себя мое предложенное определение связываемости + неразличимости
    <sarang> связное определение анонимности в CLSAG, не такое хорошее, как используется в Backes, но оно выполняет свою работу
    <sarang> я также работал с Арамом из Zcoin над материалами, связанными с системой доказательств Groth.
    <sgp_> вопрос — в чем недостаток определения связываемой анонимности, даже если между ними нет практической разницы?
    <sarang> в скором времени у них выйдет соответствующая документация, которую, я, конечно же, уже прочел
    <sarang> sgp_: Backes разрешает повреждение ключа, что не работает с нашим предположением о DDH
    <sarang> в нашей вариации, мы предполагаем, что злоумышленник может получить образы ключей
    <sarang> и что злоумышленник может работать с кольцами при помощи *вредоносных* ключей
    <sgp_> sarang: спасибо
    <sarang> (которые, как вы можете предположить, уже испорчены)
    <sarang> это лучше, чем существующее определение, которое уже использовалось
    <sarang> я также хотел бы обновить документ DLSAG (который будет представлен в следующем году в материалах конференции) с моделью безопасности CLSAG, поскольку они структурно похожи
    <sarang> в общем, как всегда, много утомительного (но все же интересного) материала, включающего формальные определения и доказательства
    <sarang> Когда suraeNoether закончит обзор препринта Triptych, он будет размещён в архиве IACR
    <sarang> и, вероятно, все обновления CLSAG / DLSAG
    <suraeNoether> Хм... Определение в Backes - это загадка, в ключе которой не работает моя интуиция
    <sarang> злоумышленник сам выбирает, с какими ключами он будет работать, верно?
    <suraeNoether> да, злоумышленник может использовать KeyGen или любой другой способ
    <suraeNoether> а может вообще ничего не знать о секретном ключе
    <sarang> угусь
    <sarang> выбор злоумышленника на самом деле не играет большой роли, поскольку разумность его поступка подразумевает, что выбранный злоумышленником ключ удовлетворяет требования в уравнении
    <sarang> а затем вы полагаетесь на одностороннее картирование
    <suraeNoether> на самом деле не обязательно; каждый ключ должен быть в \mathcal{VK}, и самое главное, что не указано, откуда он берется
    <suraeNoether> в этом случае злоумышленник должен воспользоваться ключами претендента, чтобы разорвать связность, для противника недостаточно заполнить все кольца поддельными ключами
    <sarang> Backes отмечает, что генерирование `q` в случае таких подписей тривиально, так как вы просто используете отдельные ключи
    <sarang> и в этом случае должны работать поддельные публичные ключи
    <sarang> поскольку злоумышленник делает все это в автономном режиме, в смысле генерирует публичные ключи в своих (казалось бы) допустимых транзакциях
    <sarang> `q = 1` воспринимается как некая целевая атака связываемости, где ` q` выглядит как атака в попытке «найти камень преткновения»
    rubdos подключился
    <sarang>
    suraeNoether: ваши мысли?
    <suraeNoether> ничего конкретного на ум не приходит, но то, как именно написано это уравнение, противоречит тому, что мы с вами разбирали в прошлом
    <sarang> Да, согласен
    <sarang> Опять же я не вижу необходимости использовать именно это уравнение
    <sarang> но оно очень грамотно построено в плане определения «участник-претендент»
    <suraeNoether> согласен
    <sarang> принял
    <sarang> Хорошо, это мое обновление
    <sarang> У кого-нибудь еще есть интересные (или не очень) исследования, которыми можно поделиться?
    <suraeNoether> слушай, похоже, я понял корень зла
    <suraeNoether> в этом уравнении
    <suraeNoether> ну или часть его
    <sarang> ОоООо, продолжайте
    * sarang делает шаг назад
    <suraeNoether>
    cвязываемость - это свойство, которым наделён компонент «правильность» и компонент «обоснованность». Связать две вещи означает связать и два этих компонента
    <suraeNoether> когда-то мы дали этому свойству имя - положительно-отрицательная связанность
    <suraeNoether> это нужно было для формализации определения
    Febo вышел (Причина: Бездействие в течение 260 секунд)
    <suraeNoether>
    на этом у меня, пожалуй, всё
    <sarang> Backes использует свойство неразличимости, чтобы показать, что вы не можете создать подпись, которая свяжет подписанта и ключ, без должного уровня знания
    <sarang> и возможность связывания означает, что вы не можете создавать сигнатуры с одним и тем же ключом (ключами), но разными тегами
    DryStorm подключился
    <sarang>
    Проверяющим не понравилось использование в CLSAG положительного / отрицательного или вообще обоснованного соответствия
    <suraeNoether> хммм
    <suraeNoether> хорошо, мы уделим этому немного больше внимания
    <suraeNoether> всё, вот теперь я точно закончил :p
    <sarang> Во многом это просто терминология для определений выбора
    <sarang> и мне нравится оперировать двумя возможными вариантами
    <sarang> оно само всё получается
    <sarang> но это две разные концепции
    <sarang> ХОРОШО, давайте пройдемся и по другим пунктам встречи
    <sarang> дальше у нас будут ВОПРОСЫ
    * sarang терпеливо ждет
    * sarang ждет с нетерпением...
    <suraeNoether>
    у меня есть общее наблюдение
    <suraeNoether> что может иметь значение с точки зрения независимых интересов
    <suraeNoether> свойство типа связанности применяется ко всем доказательствам ZK. Например, наши кольцевые подписи являются подтверждением для секретного ключа ZK, но они являются *связанными * доказательством знаний, так что если одни и те же данные (ключи) используются для двух разных доказательств (подписей), то их может связать сторонний наблюдатель
    <suraeNoether> так же, как доказательства ZK имеют свойство правильности (если вы знаете свидетеля, доказательство является верным) и свойство обоснованности (если вы не знаете свидетеля и ваше доказательство недействительно), связываемое доказательство ZK будет иметь двойную пару понятий в ключе связываемости
    <suraeNoether> я поднимаю это на всеобщее обозрение потому, что у следующей версии snarks есть L
    <sarang> В сигма-протоколах есть свойство related-ish и quasi-unique ответы
    <sarang> это относится к ответам на вызов верификатора
    <suraeNoether> мне нужно прочитать об этом, я не понимаю о чем идет речь :\
    <sarang> это всё имеет тонкое отношение к (SHV) ZK
    <sarang> и поэтому всё свидетельствует о неразличимости
    <sarang> (что следует из SHVZK)
    <suraeNoether> в любом случае
    <sarang> предоставление двух доказательств не должно раскрывать отличительную информацию о свидетелях
    <suraeNoether> верно
    <sarang> Надеюсь, вам понравится статья Triptych, которая строит связываемую конструкцию поверх протокола sigma :)
    <suraeNoether> я давно не получал такое удовольствие от чтения документации, правда переваривание всех описанных процессов занимает некоторое время :p
    <suraeNoether> хорошо, давайте закругляться, я не совсем хорошо себя чувствую. Мои ключевые моменты сосредоточены вокруг моего списка действий
    <sarang> понял вас
    <sarang> Мои КЛЮЧЕВЫЕ ДЕЙСТВИЯ включают в себя доработку новых определений и доказательств, определения DLSAG, несколько других организационных вопросов в ключе документа CLSAG для подготовки его к повторной подаче и представление документа Triptych на рассмотрение
    <sarang> заключительные мысли, комментарии или вопросы?
    <moneromooo> У меня есть вопрос
    <sarang> ?
    <moneromooo> Мне интересно, возможны ли сейчас атомные перестановки между двумя протоколами cryptonotes с одинаковой кривой
    <moneromooo> в том случае, если у нас есть инструмент для переноса
    <moneromooo> в теории конечно
    <sarang> Я не знаю такого способа, который сохраняет анонимность так же, как, например, DLSAG. Но и у него все еще имеет проблемы с трассировкой
    midipoet вышел (Причина: Вышел)
    <sarang>
    Если вы были готовы принять или согласиться с проблемой анонимности, то этот метод должен сработать
    <sarang> под этим я подразумеваю DLSAG
    <moneromooo> Что является проблемой анонимности?
    <sarang> Фиксированная базовая точка, используемая для двухадресных образов ключей, позволяет определять связываемые подписи
    <sarang> Не совсем понятно, как сделать конструкцию по типу DLSAG с использованием образа ключа в переменной базовой точки
    <sarang> использование фиксированной точки и наличие выходных приватных ключей, используемых в качестве соответствующего образа ключа (этого нет в более поздних конструкциях, которые используют фиксированную базовую точку)
    <sarang> кстати, suraeNoether, как вы думаете, насколько безопасно включать в определении LA тег оракула и ссылки отдельно от самого оракула подписи?
    <sarang> пользователь может получить результат оракула с тегом, просто запросив у оракула подпись открытого ключа, используя случайное кольцо и сообщение
    <sarang> наличие отдельного оракула дает понять, что пользователю не обязательно нужно уговаривать другого пользователя подписать сообщение
    <sarang> (хотя в этой модели безопасности, должны работать два варианта)

    Источник: Research meeting: 9 December 2019 @ 17:00 UTC #417

    Перевод:
    Unholy (@Unholy)
    Редактирование:
    Mr. Pickles (@v1docq47)
    Коррекция:
    Kukima (@Kukima)
     
    #1 Unholy, 16 дек 2019
    Последнее редактирование модератором: 16 дек 2019
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.