Обновление на этом, фактические цифры для размера и его немного лучше, чем мысли. Это из приведенных выше ссылок торговых марок, алгоритма из-за Шоэнмакерс. Позволяет Bitcoins вызова точности т = 51. х секретное значение и р приверженность стоимости монет (например, Педерсен обязательства) р = г ^ V * ч ^ х. г и ч является основанием, таким, что дискретный логарифм ч WRT г неизвестен (log_g (ч) = у ака г ^ Y = H, у неизвестна). Я использую обозначение возведения в степени, потому что я предпочитаю его, но один и ту же работу в ЕС.

v = Bitcoin значение, биты V являются v0 ... v50 (т.е. так, что V = сумма 0..50 (2 ^ я * v_i) с v0 является LSB.

Выбрать м = 51 случайных значений в Zn (где п порядок группы) вызов x0, ..., x50, и установить х = сумму 0..50 (2 ^ я * x_i) по модулю п. Первичное обязательство у = г ^ v * ч ^ х.

Теперь проделайте т = 51 вспомогательных обязательств я = 0..50 вычислить h_i = г ^ v_i * ч ^ x_i.

Докажите, для каждого дополнительного обязательства, которое v_i = 0 или 1 следующим образом. Если v_i = 0 вычислить v_i = 0 доказательства и подделать V_i = 1 доказательство, таким образом, что вы можете только подделать суб-доказательство, если v_i = 1 вычислительного v_i = 1 доказательство и подделать v_i = 0 доказательства.

Если v_i = 0:

доказать v_i = 0: к = случайным образом, а = ч ^ к, с = Н (а, h_i), с '= случайная, г = к + с' * x_i мод п.
подделать v_i = 1: R '= случайная, с"= С-С», а '= Н ^ г' * (h_i / г) ^ - гр",

иначе, если v_i = 1:

подделать v_i = 0: C '= случайная, г = случайная, A = H ^ г * h_i ^ -c', с = Н (а, h_i)
доказать v_i = 1: к = случайная, а '= Л ^ к, с"= С-С», г„= к“+ с"x_i

суб-доказательство сообщение: (h_i, а, с «г, а», г") 6х 32 байтовых значений.

суб-доказательство проверки является одинаковым для v_i = 0 или v_i = 1 (как верификатор не должен быть в состоянии сказать значение v_i).

? Проверить а = Н ^ г * h_i ^ -c»и A '= H ^ г' * (h_i / г) ^ -? Гр"

Наконец верификатор проверяет у =? подталкивать 0..50 h_i ^ (2 ^ I) по модулю п.

Это работает, потому что х = сумма 2 ^ я * x_i и v = сумма 2 ^ я * V_i.

Так суммирование! Каждое значение составляет 32 байта (для 256-битовых значений / сжатых точек и 128-бит запасом безопасности), где М представляет собой мантисса в битах мы предполагая на текущий г и ч являются общими параметрами. Мы имеем час, плюс т раз (h_i, а, с 'R, A', R"), Так что 1 + 6m = 307 * 32 = 9824 байт. Другие значения с = Н (а, h_i), с"= С-С вычисляются.

Тем не менее, я провел выходные по оптимизации размера:

1. Отметим, либо г = случайная (v_i = 0 случай) или г = случайная (v_i = 1 случай) и оба являются общественные ценности, поэтому вместо того, выбирая их случайным образом мы можем использовать г '= г (v_i = 0 случай) или г '= г (v_i = 1 случай). Мы не можем использовать семена и KDF для создания г»или г соответственно, потому что раскроет ли v_i = 0 или 1. Таким образом, мы получаем 1 + 5m = 8192 байт.  

2. Те же рассуждения для с»быть случайным и общественности, в этом случае мы можем использовать общедоступный семя всех не зависимых значений, так, то мы имеем 1 + 4m = 6560bytes.

3. мы можем послать Н (а) и Н (а ') вместо (H усекаются до 128 бит согласно Шнорру хотя Brands предупреждает, что нужно быть осторожным с этим в зависимости от сложности формулы доказанной, так еще некоторые вещи, которые имеют должны быть проверены) и модифицировать суб-доказательство этап проверки, чтобы проверить Н (а) =? Н (Н ^ г * h_i ^ -c «) и Н (а») =? Н (Н ^ г * (h_i / г ) ^ - с"). Итак 1 + 3m = 4928bytes

4. вместо Н (а) от 3 отправить (косяк делать и Н (а) и Н (а '), как нам нужно), мы можем вычислить открытый ключ h_i из расширенной Шнорры подписи / представления доказательства (аналогичного как вы можете вычислить открытый ключ подписи DSA). Как мы проверка ч ^ г = а * h_i ^ -c 'можно переставить и вычислить h_i = (а * ч ^ -r) ^ {с' ^ - 1}?. Нам нужно проверить h_i значения, но мы можем сделать это с одной хэш-ч '= Н (р, h_0, ..., h_50). Итак, мы имеем 1,5 + 2,5м = 4128bytes (или 2 + 3 м = 4960 байт с оптимизацией из 3).


Резюме в этом пункте доказательство сообщение {а, Н (а «), г} или {а, а», г} остальные 3 значения г»(копируется из г или наоборот), ч вычисляется из суб доказательство (v_i = 0 доказательство / подлог) проверка отношение, и перекрестная проверка с дополнительным доказательством 2 (v_i = 1 доказательство / подлог) проверка отношения. с вычисляется как Н (а, h_i) и с»от KDF высевают с не зависимых значений.


Существует еще один многообещающий оптимизации, которые могли бы принять его к 3 + 2м, мне нужно проверить для возможности зависимостей.


Также отметим, можно уменьшить, например, м до 24 бит, и включают в себя показатель степени е и так, что значение Bitcoin равна т ^ (2 ^ е). 24 бита является достаточной точностью для 1c точности для до $ 1,6 млн. Показатель может быть открытым (и подписан в качестве вспомогательного сообщения на доказательства). Некоторые неоднозначности о диапазоне стоимости могут быть достигнуты путем использования в незашифрованном виде мантиссы смещения O = случайный (-4,4) и из исходных мантисс вместо того, чтобы кодирующий: т «= т * 2, х» = е + о так монет значение равно т '^ (2 ^ е') == т ^ (2 ^ е).

Показатель сам по себе может быть даже гомоморфно зашифрованы и доказано в диапазоне, и сравнить на равенство с использованием равенства Доказательство доказать значения e1 и e2 являются одинаковыми или отличаются друг от друга незашифрованном смещения q1 = г ^ е1 * H ^ z1 и q2 = г ^ е2 * ч ^ z2. Для сравнения смещения сделать диапазон доказательства на e1 и e2, как описано выше, и зашифрованный диапазон может быть, например, о / 3 (в упаковке 8 бит), а остальные биты от общественности смещения. Для проверки смещения вы доказать q1 имеет то же значение, как е q2 / г ^ о. Поскольку нам нужно только, чтобы покрыть 25 бит, 3-разрядный диапазон доказательства для показателя достаточно, который достаточно мал. ссылаясь на (2 + 3m) * 32 = 352bytes.

Вероятно, можно установить т = 20 и е = 31/8 = 4 для 2 + 3m + 2 + 3e = 2432 байт.


Наконец, некоторые интересные последствия, возникающие: Вы можете добавить монеты, не имея их (владеющие им это знание частных ключей ХI.) Вы можете заплатить кому-то, добавив монету в свою монету и радиовещанию (или отправки в частном порядке) закрытый ключ, зашифрованный с их помощью открытого ключа , Любой желающий может проверить, публично, что монета складывает. Вы наклоняете oveflow мод п к атакам, потому что по определению меньше, чем 21mil BTC. Вы можете рандомизации монеты, добавив 0-значение, например, г ^ 0 * ч ^ х. Как добавить умножают монету вместе (или пункт дополнение в терминологии ЕС). Новый секретный ключ является дополнением старого закрытого ключа и нового. Ни один человек не участвует могу сказать, если это не было в 0-оцененный красно-сельдь или 1c платеж или $ 100. Сеть сами по себе может упреждающую добавить монету без получателя делать что-либо и уплотнить их, если шифрование тоже является доказательство. (То есть я пытаюсь добавить новое значение V к вашей монете г ^ v * ч ^ х, которая идет с диапазоном доказательства испытательным против положителен и оленья кожи обернуть моды п и делать, что я зашифровать с рк ключа шифрования (который был подписан лицом, который отправил вам вход) ключа х, и я также доказать, что человек с закрытым ключом, соответствующим рк может расшифровать и то же значение, как х (что любой может проверить), подтверждающего равенство дискретного журнала. Если вы был вам, вероятно, может повторно использовать открытый ключ шифрования для монет (например, разделения открытого ключа подписи Шнорры и Elgamal открытого ключа, нужно быть осторожными, но есть некоторый анализ).

Для входов, вам нужно всего лишь обратиться к выходам (и доказать знание секретного ключа) без того, чтобы сделать новый диапазон доказательства, потому что, по определению, весь Bitcoins в существовании не может завернуть, если суммируются. Вам нужно свежие диапазоны доказательство, когда вы разбиваете монету (потратить часть). Вы можете разделить закрытый ключ тоже (х = x1 + x2).

Для создания монет получения адреса вы просто производить нулевую стоимость монеты и доказать знание дискретного журнала WRT ч (потому что г ^ 0 * ч ^ х = Л ^ х). Тогда люди могут посылать вам монеты, не имея возможности их потратить.

Для добычи вы доказать знание представления г ^ 25 * ч ^ х, который является эффективным (без доказательства, так как диапазон 25 является общедоступным). Тогда вы разделяете монету с доказательствами диапазона, когда вы проводите (или когда майнинг делит вознаграждение работников бассейна).

Вы уже, возможно, не нужен адрес (хэш открытого ключа), что признаки, потому что закрытый ключ монеты является ключом подписи, но вам нужен открытый ключ шифрования.

Тип смягчения меченого тратит на некоторое статистическое количество адресов 0 или низкое значение проводит вместе с вашим реальным потратить.

Мне действительно нужно реализовать криптографию в качестве библиотеки или автономные демонстрационная программа и двойной проверки нечто не путать, но это, кажется, весьма практично.

Навороты причины может быть не так много, потому что есть некоторые усиления конфиденциальности, которые могут уменьшить стимул иметь несколько адресов или использовать смеси.

Адам