Перевод Журнал встречи исследовательской лаборатории Monero от 2020-05-06

Тема в разделе "Журналы о Monero", создана пользователем Unholy, 17 май 2020.

  1. Unholy

    Unholy Well-Known Monerano

    Регистрация:
    6 мар 2018
    Сообщения:
    156
    Симпатии:
    12
    Когда: Среда, 6 мая 2020 г., 17:00 UTC
    Где: #monero-research-lab (freenode/matrix)

    Повестка дня:
    1. Приветствия
    2. Круглый стол
    3. Вопросы
    4. Ключевые моменты
    Журнал встречи:

    <sarang> Все правильно! Время еженедельной исследовательской встречи!
    <sarang> Как всегда, начинаем с ПРИВЕТСТВИЯ
    <ArticMine> Hi
    atoc подключился (2fb9d2fc@47.185.210.252)
    <UkoeHB_>
    hi
    <atoc> hi
    <sarang> окей, давайте двигаться дальше, к КРУГЛОМУ СТОЛУ
    <sarang> кто-то хочет поделиться своими исследованиями?
    adhux0x0f0x3f вышел (~adhux0x0f@gateway/tor-sasl/adhux0x0f0x3f): Удаленный хост закрыл подключение
    <sarang>
    хорошо, тогда начнем с меня
    <sarang> я сделал PR с обновленной схемой шифрования ключей в памяти
    <sarang> это также затрагивает и то, как они хранятся на диске. Немного позже я сделаю еще несколько обновлений и добавлю модульные тесты
    <sarang> еще я заканчиваю тестовую реализацию Arcturus, если точнее, расширение Triptych, которое предлагает еще более компактные размеры для доказательств
    <sarang> я хочу понять, насколько существенна разница между ними, в первоначальных своих предположениях я думал, что они должны быть очень похожи, но на деле все выглядит немного иначе
    adhux0x0f0x3f подключился (~adhux0x0f@gateway/tor-sasl/adhux0x0f0x3f)
    <kenshamir[m]>
    Прощу прощения, а есть какие-то тесты или сравнение Arcturus, Triptych и CLSAG ?
    <sgp_> привет
    <sarang> kenshamir[m]: у меня есть данные для CLSAG и Triptych, фактические данные Arcturus я добавлю немного позже
    <kenshamir[m]> о как, здорово!
    <sarang> размер данных уже известен, хоть и не совсем точный
    <sarang> в Arcturus очень много зависит от количества операций
    <sarang> и, следовательно, Arcturus немного по-другому обрабатывает транзакции
    <kenshamir[m]> в чем конкретно?
    <kenshamir[m]> или же у вас есть ссылка?
    <sarang> размер / время?
    <kenshamir[m]> Да, размер
    <sarang> Минуту, позвольте я найду
    <kenshamir[m]> Возможно, что это не относится к Monero, но недавно вышла новая статья на тему эндоморфизма, в ней описывается, как быстрее вычислять aG + bH, используя переменное время
    <sarang> страница 11: https://eprint.iacr.org/2020/312.pdf
    <kenshamir[m]> ссылка : https://eprint.iacr.org/2020/454.pdf
    <kenshamir[m]> Огромное спасибо
    kico вышел (~kico@gateway/tor-sasl/kico): Удаленный хост закрыл подключение
    <sarang>
    и вот на этом у меня, пожалуй, всё
    <sarang> у кого-нибудь еще есть интересные исследования?
    <UkoeHB_> в чем суть вашего обновления шифрования?
    <sarang> Шифрование ключей в памяти выполнялось протоколом chacha, который почему-то работал вместе с ключами XORed, вместо того чтобы просто шифровать ключи протоколом chacha
    <sarang> вот такой вот PR получился
    <sarang> и еще существующие модульные тесты шифрования кошелька и ключей также получают некоторые обновления
    <UkoeHB_> хм, интригующе
    <sarang> это изменение также затронет старые зашифрованные ключи и сконвертирует их в новый формат, который все еще требует дополнительного тестирования. Собственно, это в моей рабочей повестке
    TheoStorm вышел (~TheoStorm@host-p8vu8h.cbn1.zeelandnet.nl): Причина: Вышел
    <sarang>
    сегодня довольно тихо...
    <sarang> думаю, что если никто не против, то можно и закончить встречу раньше...
    <sgp_> Мне нечего добавить, но я хочу напомнить, что у меня все еще есть идея, чтобы выходы из монетной базы не использовались в стандартных кольцах, которые напрямую не связаны с тратой из базы :p
    <sarang> Вы имеете в виду, что если у кольца есть выходы из монетной базы, то и все другие выходы в кольце тоже должны быть из монетной базы, верно?
    <sarang> sgp_: вы можете представить краткое обоснование для такой идеи?
    <sgp_> да, все верно
    <sgp_> обоснование в том, что ни один нормальный пользователь не тратит выходы из монетной базы
    <sgp_> даже люди, которые занимаются майнингом в пуле, никогда не тратят эти выходы
    <sgp_> поэтому их использование повышает неразличимость пользователя при обычной трате
    <sarang> Когда я думал об этом раньше, я тоже был обеспокоен тем, что это выделяется на графике
    <sgp_> такое разделение увеличит эффективный размер кольца для большинства (> 99%) пользователей на 10-20%
    <sgp_> sarang: я бы отметил, что это ОЧЕНЬ сильно выделяется на графиках
    <ArticMine> очень интересно
    <sarang> эвристика будет выглядеть следующим образом: «эта выход, вероятно, не является истинным подписантом, но этот вывод, который получен из монетной базы»
    <sarang> Да, это, определенно, более лучший вариант, но он не полностью решает проблему эвристики
    <sarang> нужно использовать распределение, которое основывается на анализе самой цепочки
    <sgp_> по сути, это ведь один и тот же набор транзакций (одна кольцевая подпись, я просто пытаюсь объяснить это как можно проще)
    <sarang> чтобы понять, соответствует ли оно общему распределению
    <ArticMine> Выводы из пулов более вероятный вариант для обычного пользователя
    <sgp_> реальные траты на выводы монетной базы будут выглядеть так же, как и другие транзакций, которые выбирают этот вывод в качестве приманки
    <sarang> угу
    <sarang> а как же мое утверждение об анализе распределения?
    <ArticMine> Я согласен, что это смягчает, но не устраняет риск появления эвристик
    <sgp_> это просто объясняет поведение, в котором пользователь выступает в качестве майнера
    <sgp_> но все немного сложнее в глобальном смысле
    <sarang> алгоритмы выбора предполагают, что схемы трат в выходах из монетной базы и обычных тратах одинаковы
    <sarang> и мне будет интересно посмотреть, как мы должны отсекать выходы из монетной базы
    <sgp_> только соло майнеры могут использовать эти выходы, ну и еще, как вариант, их могут использовать пулы, когда находят блок
    <sarang> верно
    <sgp_> это самое практичное и логичное решение
    <sarang> я поговорю об этом с Isthmus, у его команды должны быть данные других аналогичных цепочек
    <sgp_> обсуждение этой идеи длится уже не первый год, но так и не сдвинулось с мертвой точки
    <sgp_> а это должно обеспечить от 10 до 20% оптимизации при построение колец
    TheoStorm подключился (~TheoStorm@host-p8vu8h.cbn1.zeelandnet.nl)
    <ArticMine>
    Это, конечно, решает описанную проблему, но я не вижу явного улучшения
    <sgp_> это, скорее, проблема для владельцев пулов, которые должны перед отправкой средств перемешивать все выходы
    <sgp_> в этом и заключается компромисс
    <sarang> Я думаю, что это какое-никакое улучшение, но при условии, что оно не приводит к непреднамеренным последствиям для алгоритма выбора и основано на данных распределения имеющихся трат, где это целесообразно (например, в Bitcoin)
    <zkao> Хей, может ли кто-нибудь оценить, насколько надежна эта ECDSA подпись адаптера? https://joinmarket.me/blog/blog/schnorrless-scriptless-scripts/, если эта ECDSA подпись адаптера работает, похоже, что атомарный своп можно сделать с помощью схемы andytoshi-sarang (в которой рассматриваются эквивалентные дискретные журналы), смешанной с теорией из предложения h4sh3d
    <sgp_> я частично согласен с этой идеей, но с единственной оговоркой
    <zkao> и, следовательно, возврат средств не рассматривается в этой схеме
    <sarang> zkao: я не смог заставить эту схему работать в ключе отдельно взятых журналов
    <zkao> да, я знаю, вы говорили
    <sarang> sgp_: если распределение выборки будет основано на монетах только из монетной базы, это будет сильно отличаться от общего распределения, что приведет к появлению новых эвристик
    <sarang> так как мы будем знать, что это распределение относиться к пулам или соло майнерам
    <sgp_> тогда следует придумать что-то другое, что не будет выделяться на фоне общего распределения
    <sgp_> но сейчас такой возможности нет
    <sarang> переделать само распределение не займет много времени
    <sgp_> особенно если эти схемы так кардинально отличаются
    <sgp_> нам потребуется придумать комплексную меру, которая будет применима к обеим выборкам
    <sarang> распределение из монетной базы будет просто фиксированной высотой блока по порядку, тогда нам не нужно будет использовать дополнительное смешивание
    <sarang> sgp_: правильно
    <sgp_> но моя интуиция подсказывает мне, что выборка из монетной базы происходит намного быстрее
    <sgp_> и обзавестись такими данными из Bitcoin было бы очень кстати
    tromp подключился (~tromp@2a02:a210:ca3:2800:41ae:b290:45bb:8746)
    <sarang>
    Правильно
    <sarang> поэтому я и хочу поговорить с командой Isthmus, у них должны быть такие данные
    <sgp_> я по-прежнему склонюсь к методу простого повторного перевыбора выходов из монетной базы, хотя я уверен, что это можно сделать иначе
    <sgp_> данные из Bitcoin должны помочь сделать более осмысленный выбор
    <sarang> а если бы у нас не было возможности получить данные из Bitcoin, тогда к кому варианту распределения вы отдали бы свой голос?
    <sarang> повторный перевыбор звучит разумно для колец с выходами не из монетной базы, но ведь должен быть рассмотрен вариант, где все выходы могут быть из монетной базы
    <sgp_> наверное тот, что я описывал ранее. Повторюсь, я согласен, что это не лучший вариант
    <sarang> текущий подход еще учитывает плотность самого кольца
    <sgp_> имейте в виду, что большинство публичных пулов все равно публикуют эти данные в открытом доступе
    <sgp_> и честно, я думаю, что такие кольца из монетной базы будут восприимчивы к публичным данным, что может повлечь высокую долю мертвых эвристически выходных данных
    <sgp_> так что если брать в расчет то, что ~90% хешрейта приходится на майнинг пулы, это не сильно изменит общую ситуацию
    <sarang> в данный момент мы можем только добавить исключение для таких колец
    <sarang> но у нас останется простой статистический анализ, с помощью которого можно найти истинного подписанта
    <sgp_> а как быть с пулами для пулов, в таком случае кольца не обеспечивают никакой защиты
    <sgp_> получается, что всё равно мы возвращаемся к тому, что монетный выход подвержен появлению новой эвристики
    <sarang> Ох, мы выбились из графика
    <sgp_> хорошо, давайте на этой ноте возьмем паузу
    <sarang> быстро пройдемся по КЛЮЧЕВЫМ МОМЕНТАМ, обсуждение может продолжиться после окончания основной части встречи
    <sarang> я займусь обновлением модульных тестов для PR с шифрованием ключей и надеюсь, что смогу заставить код Arcturus работать на C ++ с получением новых данных о времени синхронизации, которые мне так нужны для дальнейшего сравнения
    <sarang> другие обновления или ключевые моменты на предстоящую неделю?
    <sarang> Если нет, то объявляю перерыв!
    <sarang> Журнал встречи будет опубликован в ближайшее время

    Источник: Research meeting: 6 May 2020 @ 17:00 UTC #459

    Перевод:
    Unholy (@Unholy)
    Редактирование:
    Mr. Pickles (@v1docq47)
    Коррекция:

    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.