привет всем добро пожаловать в тэту уверенности, как сегодня Я собираюсь сделать первый доклад, и это будет обзорный доклад где я собираюсь обсудить некоторые недавние достижения в доказательствах с нулевым разглашением так что шутки и доказательства с нулевым разглашением - это то, что было вокруг с 80-х годов, но я бы сказал, что они действительно стали практически достаточно эффективен для использования в системы реального мира с буратино, и это произошло в 2013 году. в основном они полагались на разные предположения, которые они вложить много работы в фазу предварительной обработки чтобы они проделали большую часть работы до того, как система заработает, что означало что им не нужно было снова делать работу, когда она была вживую и результатом этого было то, что когда появился зед и э-э с приложение анонимных транзакций, пытаясь убедиться, что каждый может сохранить свою личность в секрете, делая эти эм переводы криптовалюты, у них была система, на которую они могли положиться, чтобы на самом деле сделать это реальным так что прошло пять лет с тех пор, как это случилось и с тех пор наши знания об их знаниях о нулевом знании были движется очень-очень быстро, потому что сейчас все очень заинтересованы мы видим, что это реальная вещь, которую мы действительно можем использовать, мы можем получить эти классные приложения и это просто мотивация для множества исследователей, которые могут изучить это множество разработчиков, чтобы посмотреть гм в это и просто убедитесь, что мы делаем все возможное может так в этом разговоре я сосредоточусь в основном за последние два года, так что мы не возвращаясь очень далеко назад, я мог бы добавить лишнюю статью или два что как бы дальше назад, но в целом я будет пытаться поддерживать его в актуальном состоянии в современном поэтому как исследователи, так и разработчики ряд проблем и вопросов, о которых вы, возможно, думаете, когда ты пытаешься использовать нулевое знание ммм очевидно, что наиболее важным является то, что мы на самом деле работает со схемами, которые безопасны гм, но я бы сказал, что, может быть, немного менее важно то, что происходит, если наши предположения о безопасности нарушаются, я имею в виду, очевидно это важно, но это, возможно, менее вероятно, чем мы что-то придумаем который фундаментально сломан, тогда мы могли бы думать о хорошо, мы можем обрабатывать чудо-деревья, мы можем обрабатывать анонимные транзакции как насчет того, если мы хотим разобраться с чем-то более сложным, что, если мы иметь очень очень большую систему и мы хотим доказать, что можем это сделать когда мы упрощаем реализацию, конечно, когда кеш сначала запустил, все должны были использовать библиотеку оснастки lib, и это не было самая простая вещь, и я бы сказал, что мы продвинулись довольно далеко вполне возможно, с тех пор очевидно, что эффективность всегда, если ты можешь быть более эффективным, ты можешь делать больше вещей, это всегда хорошо гм, а затем еще вопрос, как мы решаем, какие протоколы мы используем и какие протоколы мы не хотим использовать последний вопрос, возможно, скорее вопрос стандартов а затем вопрос об исследовании, потому что как исследователь вы всегда будете говорить Вы должны использовать мою схему, вы просто эм, но когда дело доходит до стандарты, которые собрали бы все сообщество вместе и глядя на протоколы и говоря, хорошо, что они действительно работают для этих цели и эти работают для этих целей поэтому я попытался удалить как можно больше драконов из этой презентации, вероятно я все еще вкладываю слишком много я всегда слишком много вписываюсь но есть три вида модных словечек, которые скоро появятся на изрядную сумму, так что, если вы хотите, скажите, что они для тех, кто не знает сначала, так что вы, надеюсь, все еще можете следуйте, и это о разных типах настройка, которую вы можете использовать, когда генерируете свой нулевой краткие знания, поэтому существует три основных типа настройка нажмите, чтобы настроить универсальную настройку прозрачная настройка, когда схема есть когда вы говорите о том, какую схему вы используете, вы бы придется выбирать между одним из этих трех, и надежная установка, вероятно, самый сложный для фактического создания экземпляра идет с большинством вызовы для практикующих, конечно, потому что это означает, что вы схема безопасна, только если вы начните и начните работать с вашей системой, у вас есть группа из n сторон, которые совместно генерировать некоторые параметры, которые затем используются всякий раз, когда вы создаете доказательство, и сложность здесь Дело в том, что эти параметры очень специфичны к приложению, которое вы имеете в виду, поэтому, если вы хотите сделайте обновления, если вы, возможно, столкнетесь с некоторыми ошибками и хотите их исправить вам придется снова запустить всю настройку, которая означает найти, скажем, 200 человек снова, чтобы принять участие, чтобы убедиться, что они принимали участие, возможно опубликуйте в твиттере сообщение о том, что я принял участие, а потом вам нужно будет найти людей на самом деле тогда проверка расшифровки стенограммы уверен, что ты снова все сделал правильно просто вся работа, которую вы проделали в первую очередь этап начальной настройки необходимо будет переделать это проблема, которая полностью уходит если у вас прозрачная настройка, если у вас прозрачная настройка, то это начальная фаза, когда у вас есть группа конечных сторон, совместно создающих параметров просто не существует, вы можете сгенерировать параметры просто из-за вылупления, просто из-за того, что я сказал, что я не знаю изображение неба я собираюсь применить хеш-функцию в в конце я получаю некоторые параметры, которые выглядят случайными, и этого достаточно для мне, чтобы получить нулевой опыт, тип промежуточного фаза между этими вещами - универсальная установка и здесь снова вам понадобится то, что мы называем мультикомпонентным вычисление или надежная установка, которая должна произойти, но однажды вы сделали это, вы можете использовать ту же настройку для нескольких различные приложения, поэтому это, например, будет означать, что с настройка zcash, которую могут повторно использовать другие компании если они имеют в виду другое приложение он также может быть повторно использован Zed Cash, если они найти способ, которым они могут что-то доказать немного быстрее и они хотят этого улучшения или даже если они хотят переключиться на другая универсальная схема проверки установки в этом отношении по-видимому, zed cash работает на 16-м выпуске, у которого есть полностью доверенная настройка Я считаю, что основная цель обновления сада - попытаться перейти на прозрачная установка, чтобы удалить этот слой тяги Итак, теперь у нас есть разные типы настройки и мы как бы говорим, что схемы, которые у нас есть, возможно ли это вообще? чтобы получить их быстрее, можем ли мы сделать даже лучше, чем мы делаем сейчас моя интуиция заключается в том, что если мы используем надежный установка проверенная временем возможно есть улучшения это можно сделать, но для пробного размера и время верификатора кажется маловероятным, я даже нижние границы как бы говорят, что урожай 16 настолько низкий, насколько вы можете только через элементы группы, что идеально в последнее время была работа, в которой говорится, что на самом деле это не совсем так если вы допускаете схему, которая не полностью завершена поэтому изредка утверждающий может не убедить проверяющего то вы действительно можете сделать это с помощью двух элементов доказательства но если вы, если мы говорим о трех элементах группы, два элемента группы это не то, что я могу представить ниже, потому что это почти размер вашей безопасности параметр действительно, когда речь идет о прозрачных настройках и универсальные настройки, но картина выглядит иначе потому что инструменты, которые мы должны использовать, меньше по размеру, и поэтому возможно, что мы могли бы внести улучшения, а также возможно, что мы не можем в любом случае не было много результатов ну кажется, с универсальной настройкой трех больших работ в эм-сонике не было за последние годы э-э, марлин и планк были примерно гм, которые улучшили современное состояние, поэтому идея всех этих схем в том, что когда мы беремся за проблему, мы хотим доказать, что это анонимная транзакция или что-то еще, что мы собираемся представить, используя так называемые полиномиальные обязательства kcg У полиномиальных обязательств kcg есть особенное свойство: иметь очень маленькие открыто Я написал время открытия Я имел в виду размер пробной копии и уточнение затрат поэтому, если мы хотим создать что-то с небольшими размерами пробных отпечатков, они идеально подходят и еще одна приятная вещь в них заключается в том, что если вы можете представить свою схему чисто с использованием полиномиальных обязательств, тогда полиномиальные обязательства на самом деле не скажите что-нибудь о форме схемы, которую они представляют возражая, они ничего не знают о том, что вы пытаетесь доказать таким образом, он создает способ сделать вещи действительно универсальными, чтобы не в зависимости от ваших схем их можно повторно использовать в разных приложениях нарезка пробного размера и затраты на верификатор в основном определяется количеством обязательств, которые вы должны отправить, и количеством обязательства, которые вы должны открыть, и возможно, что мы могли бы отправлять меньше обязательств, и, возможно, мы могли бы открыть эти обязательства, чтобы чтобы немного уменьшить размер пробных отпечатков одна вещь, которую я лично пытался сделать, чтобы повысить эффективность этой линии и полностью вышла из строя очевидно, что с универсальной настройкой у нас есть эти постоянные размеры пробных отпечатков но на самом деле все схемы, которые у нас есть, с постоянными размерами проб имеют нечеткое линейное доказанное время, поэтому n log n, и это связано с тем, что они использовать ускоренные преобразования вперед, более или менее мы также используем в литературе, о которой схемы, которые имеют линейное доказательство времени, поэтому просто n они не используют быстрые преобразования Фурье, но логарифмически точные иметь линейный прувер действительно очень приятно не только потому, что это означает, что ваше доказательство, э-э, доказывающее, меньше, когда вы начните говорить более крупные утверждения, но также, если вы хотите распараллелить свой расстойный шкаф, так что запускайте его на множестве разных машин тогда это становится намного проще сделать в основном потому, что ускоренная перемотка вперед фильмы не так просто парализовать это выгодно но это немного сложная задача, поэтому у нас есть системы, которые имеют логарифмическую краткую линейную программу доказательства у нас нет систем, в которых есть лучшее из обоих поэтому у нас нет ничего, что имеет линейное доказательство и постоянный размер доказательства и я не знаю, фундаментально это или не все, что я действительно говорю вот что я пробовал, а я нет удалось когда дело доходит до прозрачных настроек, люди разные техники одна довольно забавная техника, которую люди изучали группы классов, поэтому это альтернативное предположение по сути пытаясь имитировать предположение rsa о наличии группы неизвестного порядка, но у RSA есть надежная настройка потому что мы не знаем, как сгенерировать параметры rsa без использования многосторонних вычислений, тогда как группы классов не группы классов, которые вы можете сгенерировать только из общедоступных параметров тем не менее, они все еще существуют уже давно, но они не были очень хорошо изучены большую часть того времени до сих пор когда люди нашли для них важные приложения не только включая орехи, более крупный, вероятно, проверяемые функции задержки поэтому мы знаем, что они существуют, но, возможно, нам нужно немного больше исследований просто и люди изучают это в настоящее время и просто убедитесь, что способ их создания вы знаете, что атаковать абсолютно сложно, размеры доказательства больше, чем универсальные закуски, так что мы говорим в газете откуда я взял числа, они говорили, что это стоил им 8,6 килобайт за два-двадцать ограничений тогда как когда мы говорим об универсальных закусках я считаю, что в настоящее время это около 500 байт, это определенно меньше, чем килобайт, так что есть конкретная разница в пробный размер еще один протокол, который рассматривал то, что мы можем сделать с прозрачной настройкой, это бартон это работает в дискретных группах собак, и у них есть квадратный корень. и верификатор квадратного корня, на самом деле, эта работа - это то, что вы можете масштабировать, чтобы вы могли уменьшить размер пробной копии и проверить время больше или пробный размер больше и проверьте время меньше, но если вы хотите что-то вроде, но я думаю, что квадратный корень квадратный корень - это хороший способ понять, какие компромиссы есть и они построены на полностью стандартных предположениях совсем недавно мы снова увидели работу под названием дори который в основном способен выполнять схему полиномиального обязательства в билинейные группы, которые имеют логарифмический размер доказательства и логарифмические верификаторы, использующие это полиномиальное обязательство um схема сети и ли смогли сгенерировать некоторые доказательства с нулевым разглашением, которые имеют прозрачную настройку стандартные допущения, верификаторы логарифмического размера гм и вообще когда дело доходит до асимптотики асимптотики отмечают все, что мы умеем делать снова они говорили о большем размере доказательства так что глядя на эту бумагу я не соревновался сам с собой он говорил от 39 килобайт на двоих до 20 ограничений гм, и я думаю, что большая часть этой стоимости связана с тем, что что доказательства, которые они отправляют, являются элементами целевой группы, а не источником элементы группы, и по сути это означает, что они в шесть раз больше, и если вы умножите все свои стоимость на шесть вещей вы немного подрастете эээ, третий, очевидно, о котором я уже слышал на этом конференция уже, так что я, вероятно, не собираюсь заполните всю мою презентацию, рассказывая об этом, но хотя я думаю, что это действительно круто, чтобы быть ясным, это гм гало и гало 2, которые также имеют прозрачная настройка, и они были специально предназначены для рекурсии, они должны быть эффективны для любых верификатор, где проблема, которую вы пытаетесь доказать больше, чем порог рекурсии, поэтому насколько эффективно это на самом деле представляют проверяющего, и снова он полагается на стандартные предположения переходя к немного иному ходу мыслей когда дело доходит до Сатурн, безусловно, в безопасности правильная разработка и реализация аргументов с нулевым разглашением это то, что мы действительно хотим исправить Я, если мы этого не сделаем, тогда мы сможем найти себя все в порядке, продолжить, есть вопрос гм, каково состояние дел по сжатию элементов целевой группы эм, поэтому я знаю, что мы можем представить их, используя в шесть раз больше размера одного элемента e1 ммм, я не могу вспомнить цитату для что я никогда не слышал о работе, которая может их сжать дальше, если бы мы могли сжимать их дальше, то это было бы напрямую повысить эффективность кварков на ту же величину возвращаясь к секретному вопросу, да, ошибки могут стоить очень дорого суммы денег очевидно, но что еще сложнее об этом пространство, в частности, заключается в том, что мы действительно хотим нулевого знания, которое мы хочу, чтобы хотя бы ряд доверенных стороны говорят, что сгенерировали эти доверенные параметры, которые тогда все используют для создания доказательств с нулевым разглашением, даже те люди не должны уметь говорить честно стороны с другой честной стороны никто не может этого сделать, поэтому это означает, что если ты не можешь отличить честную вечеринку от еще одна честная вечеринка, тоже может быть довольно сложно сказать честная вечеринка от злоумышленника, которому удалось подделать доказательства потому что, если доказательство выглядит идентично вашему обычному доказательству, и тогда вы не фактически связывая его с чем-либо публичным, например, кто-то может подойти и сказать, что этот человек украл от меня может быть очень трудно даже знать что на вас нападают, поэтому с этой точки зрения проектируя такие системы, что мы знаем, что нас атакуют, конечно лучше, если мы сможем это сделать, но если нет, то просто убедитесь, что что мы проверяем вещи настолько тщательно, насколько это возможно, и помещаем как много внимания к тому, чтобы все делать правильно, возможно, так же важно, как эффективность, если не больше поэтому исследователи изучали это, и они очень внимательно изучая аргументы безопасности, в частности и как бы говоря, как мы можем точно изобразить настоящую реализации в какой-то модели, где мы можем рассуждать об этих вещах и убедитесь, что нет тривиальных атакует хотя бы без ущерба для эффективности одна модель, которая оказалась действительно успешной в этом это модель алгебраической группы, и это идеализированная модель который способен доказать множество быстрых схем, в том числе группу 16 включая звук, включая бланк, включая марлина, включая ореол включая ореол 2. большинство прошлых схем, о которых я знаю фактически используются на практике, фактическое доказательство находится в алгебраической групповая модель, так что это очень дружелюбно к тому, чтобы убедиться, что вы может получить правильное доказательство безопасности, основная идея заключается в том, что злоумышленник может создать доказательство только в том случае, если он также знает, как они сгенерировали это доказательство, так что тогда вы получите представление, и вы могу сказать, используя это представление, если они обманывают, тогда я могу сломать это жестко проблема в марлине мы используем модель алгебраической группы, чтобы утвердить много разных версий схемы полиномиального обязательства kcg и, как упоминалось ранее, это очень полезно для создания закусок, универсальные настройки, если мы не хотим использовать agm и вместо этого используйте предположение о знании, тогда мы получим что-то что вдвое больше так что когда дело доходит до ktg, это своего рода оригинальная бумага, когда вы впервые посмотрите на это похоже, что вам не нужно полагаться на алгебраическая модель, и вы можете использовать что-то, возможно, более стандартное, например, непрограммируемая случайная модель оракула, которую мы действительно хотели бы иметь Чтобы доказать нам, что я пытался это сделать в частности, я посмотрел на сильное доказательство правильности в приложении 2.4, но из того, что я понял, и, возможно, кто-то понимает это лучше меня, что доказательство на самом деле использует тот факт, что злоумышленник знает представление многочлена, поэтому они вроде все еще полагаются на алгебраическую группу модель, если бы только неявно, так, если бы мы могли найти способ, чтобы доказать, что в нормальной модели это не повысит эффективность, это будет только вроде как весело, что мы могли это сделать, но это было бы весело, если бы мы могли это сделать модель алгебраической группы также использовалась для доказательства неинтерактивные аргументы внутреннего продукта безопасны поэтому неинтерактивные аргументы внутреннего продукта первое, о чем вы должны подумать, когда услышите это, - это пуленепробиваемые и это то, что люди часто используют для доказательства диапазона доказательств, например, исходные аргументы, которые были представлены, у них есть правильные доказательства безопасности, но безопасность доказательства находятся в интерактивной модели, которая предполагает наличие доказанного есть верификатор, и они разговаривают друг с другом взад и вперед собирается и бросает, и в конце проверяющий убеждается что доказывающий не обманул, чтобы сделать его не интерактивным это то, что нам действительно нужно, когда мы пытаемся использовать его, чтобы получить возможность публичной проверки, например, чтобы каждый мог посмотреть на это доказательство и будь там, как будто да, обычно правильно то, что мы сделать, если бы мы применили преобразование hmo и просто правило хеширования проверять все сообщения доказательства, чтобы получить проверенные задачи, однако с теоретической точки зрения фактически применяя эту эвристику html при вспышке в стандартной модели и модели не все так просто, в этой настройки и что на самом деле произойдет, если вы попробуете и сделай это наивным способом - в итоге получишь экстрактор, который не является полиномиальным временем, поэтому нам действительно нужно это делать доказательство в модели алгебраической группы Третья схема, надежность которой доказана в модели алгебраической группы, - это группа 16 и на самом деле мы также улучшили доказательство безопасности в том смысле, что мы удалось доказать, что грот 16, реализованный в zcash с этой доверенной церемонией установки не должен иметь наивных атак так что, если модель алгебраической группы верна и q предположение о дискретном журнале сохраняется, даже если у вас есть церемония обновления нет атак на брутто 16. когда мы вроде как думаем хорошо, это нормальная модель, мы все доказываем что мы используем в этой модели это хорошо но обнадеживает то, что мы действительно знаем, что они он существует в стандартной модели, но предполагается, что io достаточно сильное предположение гм как если бы ты хотел создайте его с помощью io holding, вы будете говорить широко группы и те, которые мы сейчас используем, но они все еще существуют мы не знаем ни одной атаки на саму модель что тоже неплохо, что еще и очень важно если бы мы знали о каких-либо атаках и, очевидно, не смогли бы его использовать и это включает дополнительные 10 лет, возможно, больше годы существования общей групповой модели еще до того, как люди начали атаковать модель алгебраической группы, в которой люди не смог найти ничего существенного, что подразумевают, что это не нормально, могу ли я определить io, я не буду пытаться и определите io извините ммм хорошо, это дает нам уверенность в модели с другой стороны, как человек, который активно работал с этой моделью, много моих исследований я действительно думаю, что мы могли бы сделать Лучше гм, так что главная цель безопасности снижение AGM не обязательно должно быть милая, это не обязательно быть произведением искусства, это просто повышенная безопасность того, что схема, которую вы используете, верна проблема с сокращением агм в более сложных системах например, когда мы делаем группу 16, и мы также добавляем фазу настройки в том, что сокращение начинается очень сильно, вы в конечном итоге каждая переменная, которая когда-либо появляется в системе, должна быть активно отслеживал и как бы включал в это большое матричное выражение что вы затем должны спорить об эм, и это своего рода означает, что от человека перспектива, шансы на то, что я что-то получу неправильно или кто-то другой делает что-то не так или приказ посмотреть на работу и не замечать того, что что-то не так, выше, чем проще, что мы можем получить снижение нашей безопасности тем легче проверить эти сокращения не просты, одно решение этого, конечно, было бы программное обеспечение для автоматической проверки документов, и я думаю, что это было бы замечательно в настоящее время есть некоторое программное обеспечение, которое может быть полезно для доказательства вещей в общей групповой модели что, я думаю, будет достаточно для наших целей, но на самом деле это не работает для снарков, потому что условие выигрыша не так ли хорошо определено то, что вы говорите, если я я могу предоставить подтверждающее доказательство, тогда кто-то другой сможет извлечь мои свидетель и, следовательно, я должен был знать свидетеля в первую очередь это не то же самое, что сказать, могу ли я создать доказательство, тогда я могу напрямую нарушить предположение поэтому на самом деле пытаясь преобразовать это таким образом, чтобы вы могли рассуждать о Программное обеспечение для проверки документов - это то, что я думаю, мы могли бы сделать но этого не было сделано поэтому, если мы нашли способ улучшить то, как мы это делаем на бумаге или используя программное обеспечение или их комбинацию, я думаю, что это было бы довольно полезный вклад - обязательство пропуска полинома kcg схемы, о которых я говорил с тех пор, как люди связали их как очень важен для создания универсальных закуски, также пришлось потрудиться, чтобы их более эффективный и действительно хороший результат, который вышла недавно, что не было официально описано ни в какой газете или конференция по безопасности - это то, что на самом деле можно открыть n доказательств, поэтому сгенерируйте n открывающих доказательств независимых открывающих доказательств в одно и то же раз n раз n раз войти n и я предоставил ссылку на PDF-файл, объясняющий, как это сделать на слайдах это, кстати, имеет некоторые последствия для оригинальная схема vss, представленная в оригинальной статье kcg потому что это означает, что время их испытателя для создания эти первые доказательства будут n log n, а не n в квадрате что делает это намного более возможным еще одно улучшение, которое было сделано, заключается в том, что одного доказательства стиля kcg на самом деле достаточно, чтобы показать, что то же самое многочлен открывает множество разных точек, и вы может в то же время, так что если вы просто разговаривая с одним проверяющим, и вы хотите убедить их, что все ваши открытия верны, вам нужно отправить только одно доказательство не нужно присылать разные доказательства для каждого открытия когда мы пытаемся найти полезные исследовательские работы интересный роман весело один из действительно хороших способов найти их - это просмотреть некоторые популярные конференции по криптографии где большинство серьезных исследователей попытались бы очень трудно опубликовать их работы, их ведущие конференции в некоторых из лучшие конференции для более теоретических целей были бы крипто-еврокрипт asiacrypt и tcc конференции по безопасности, как правило, больше практично это было бы больше думать, у вас есть реализация у вас есть вариант использования - это то, что мы хотели бы использовать в реальных систем, и здесь большая тройка будет безопасность и конфиденциальность ccs и использовать nyx и, как правило, для более криптографической темы бумага, я бы ожидал, что ccs будет более распространенной отправьте свою статью э-э, когда я говорю это, я, наверное, должен подчеркнуть, что когда мы говорим экспертная оценка этих конференций - это не то же самое, что сказать, что эти работы, которые появляются на этих площадках, готовы к производству это означает, что кто-то в комитете посмотрел на это и пошел, это интересно, это меня волнует, я хочу услышать больше о это да, мы должны проводить аудит да другие люди должны это прочитать это не значит, что они вроде как прошли через это хорошо режет карандаш или что-то в этом роде и просто убедился, что все правильно к сожалению, это не так сильно есть также немало людей, которые не нравится, как проводятся конференции в данный момент, что хотелось бы увидеть что-то, что принимает больше документов, может быть или который гм кроме маленьких бумаг - это самая обычная из тех, что у меня были на самом деле потому что мне не нравится, что одна и та же статья пересматривается снова и снова и снова с ним все в порядке, но просто просмотрите два, говоря, что я не как это то, что я думаю, эм на самом деле это серьезная проблема, я бы предупредил этих людей, когда они говоря это, решая, какие газеты читать, а какие бумаги, которые нельзя читать, - это очень политический процесс каждый исследователь собирается сказать прочтите мою статью, это лучшее, это лучшее когда-либо и когда вы входите как посторонний если у вас нет этих конференций, чтобы посмотреть тогда вам придется поверить людям на слово, и вы, вероятно, пойдете в больше известных предложений или вы пойдете к людям, о которых слышали так что если есть действительно хороший результат, который, возможно, пришел от кого-то, менее известен, становится намного труднее стали заметными, и я не говорю, что это означает, что мы следует придерживаться конференций в том виде, в каком они сейчас они, но я думаю, что признавая очень политический сторона вещей, если вы пытаетесь разработать новую систему, важна это не мнение, очевидно, хорошо, одна область, которая делает огромный прогресс последних лет пытается доказать что-то еще более сложное, чем то, что мы можем сделать в настоящее время так что, возможно, мы даже говорим о миллиардах ограничений и когда мы говорим о миллиардах ограничений, вполне вероятно, что брутто 16 не будет вашим лучшим вариантом у вас есть один вариант - переключиться на схемы, основанные на более симметричные примитивы и причина это происходит потому, что симметричные примитивы более эффективны, чем примитивы открытого ключа с точки зрения вычислений обратная сторона что вы получаете большие доказательства, тогда вы в конечном итоге получаете более длинные проверяющие другое, что эти типы протоколов необходимо учитывать, если они говорят о таком большом количестве составляющих действительно ли память становится фактором если вы говорите только из-за 20 ограничений, вы не закончите памяти в вашей схеме вам все равно, но если вы говорите о миллиардах ограничений, то очень вероятно, что у вас закончится память на вашем машина, поэтому вам нужно найти способ, чтобы генерировать доказательство там, где доказывающий не обязательно хранить все состояние одновременно другой метод, который неплохо подходит для работы с очень большими схемами искаженные схемы, и они обычно полагаются на незаметную передачу они особенно хороши для систем, которые естественно представлены логические схемы, так что возвращаемся к схемам с нулями и единицами и логическими операторы, и это часто бывает верно, например если вы доказываете много-много утверждений о примитивы с симметричным ключом но если мы говорим, что мы можем сделать с открытым ключом примитивов то ответ довольно много потому что даже если выражение может быть очень большим если то, что мы доказываем, на самом деле это та же проблема, снова и снова, снова и снова и мы можем начать использовать рекурсию, и это в основном это будет делать каждый раз, когда вы создаете доказательство, вы доказываете, что например, ваш переход состояния из предыдущего состояния правильный а также доказательство предыдущего перехода состояния подтверждает это означает, что вы можете начать с начального состояния и просто сделайте переход между состояниями, докажите, что это правильно, сделайте другое состояние переход докажите, что это правильно, и докажите, что предыдущее доказательство было правильным, другое один доказать, что это правильно и доказать это доказательство предыдущего было правильным, поэтому каждый момент времени вы только на самом деле доказывая довольно мелочь вы обновляете доказательство постепенно, так что это может помочь нам справиться с очень большими заявления, такие как, например, полный размер блокчейна если мы хотим формализовать это и что это значит в других системах, а не только для пешеходов одна формализация, которая появилась недавно, гм, работа - это схема раздельного накопления, и это охватывает идею о том, что у вас может быть эффективное накопление, даже если вы не иметь эффективный верификатор, пока время проверки вашей партии по сути быстро улучшение более сложных систем, ладно, так что я все еще говорю здесь о что, если мы доказываем одно и то же снова и снова, снова и снова еще раз, если мы просто хотим доказать то же самое снова и снова мы могли бы использовать только один слой рекурсия, если это не то, что обновляется постепенно, но если это что-то, что мы можем сделать сразу за один раз мода и, в частности, мы можем объединить Граф 16 доказательств действительно очень быстр, потому что нам не нужно представлять верификатор 16 класса как арифметическую схему нам не нужно сжимать до mp вместо этого мы можем работать более естественно с алгебраическая структура доказательства урожая 16, чтобы придумать одобрение который да является алгебраическим и так конкретно очень быстро, и этот подход на самом деле достаточно эффективен, чтобы его можно было использовать для приложения доказательства файловых монет, поэтому бумага на экране - это то место, где они говорят о том, как они действительно смогли реализовать это и заставить его работать для их конкретных приложение что здесь произошло на самом деле они пришли до нас, и они сказали в вашем предыдущем документе, что вы были говорить о том, как собрать 16 доказательств но на самом деле вам нужна другая надежная настройка, и мы не можем запустить разные доверенные лица, я думаю, мы уже запустили пассивный забыл 16 и просто сделать это снова будет сделать это не стоящим времени, поэтому цель этой работы состояла в том, чтобы сказать ладно, на самом деле вам не нужно делать другую настройку раствора 16, вы можете работать с той же настройкой grot16, если у вас их два, если вы иметь две настройки, этого должно быть достаточно, чтобы иметь возможность запускать эту агрегацию, пока эти две настройки находятся на та же кривая рекурсия также может работать для постквантовых систем гм, так фрактал делает это, он использует снарк, но из прочитанных кодов Соломона, чтобы применить рекурсию, чтобы иметь возможность доказать очень большой операторы в некотором роде обновляемой манеры здесь вы получите больший размер пробных отпечатков но у вас нет операций с открытым ключом, которые могут немного быстрее немного легче запустить еще один тип громких заявлений, которые люди часто пытаются доказать будут машинными вычислениями, поэтому они высоки, поэтому, если у вас очень сложный заявление, тогда вы, возможно, не захотите его представлять в качестве схемы вы можете вместо этого представить ее как что-то, что выглядит немного больше похоже на код c с переходами и с дополнениями и просто с набором операций, которые вы пытаетесь применить по очереди если вы хотите доказать машинное вычисление, то на каждом этапе, что вам нужно будет доказать, что вычисление было выполнено правильно, и тогда вам нужно будет доказать, что все обращения к памяти которые производятся в процессе исполнения согласуются друг с другом и с выполнение то, что он позволяет вам сделать, - это разделить проблема на множество более мелких проблем, что снижает требования к памяти на утверждающий и это именно то, что делает p lockup um поиск b очень многообещающий метод, когда дело доходит до доказательства э-э, если они находятся в переходах между виртуальными машинами, есть большая вероятность, что это может сработать, это также вариант использования, который они поднимают в статья, которая довольно интересна, заключается в том, что вы можете Эффективно группируйте много пробных отпечатков одновременно используя эту систему доказательств, а это означает, что если вы иметь много-много нулей и единиц в ваших схемах, по сути, из всех доказательства диапазона, где вы пытаетесь показать, что вам не нравится перегрузить поле, это становится чем-то эффективным для запуска превью [Музыка] Точно так же были работы, которые обсуждали можем ли мы парализовать машинные вычисления, и у них есть довольно полезные результаты Хорошо, я нахожусь в пятиминутной прогулке Предупреждение, так что я собираюсь немного просмотреть прошлую жизнь быстрее ну последняя тема, которую я буду обсуждать, действительно о решетке предположения, которые являются альтернативным предположением что может быть полезно, если, например, дискретный журнал проблема логарифмирования нарушается по квантовым причинам или по другим причинам еще одна приятная вещь в них - то, что они имеют очень полезные гомоморфные свойства, которые в отличие от алгоритмов шифрования могут быть добавлены, и вы можете добавить их много, а затем вы можете расшифровать в конце и быть может вычислить сумму добавленных шифров поэтому, если мы хотим что-то доказать о добавленных нами шифровках таким гомоморфным способом мы можем захотеть работать с предположением что более естественно для схемы, в которой мы используем схему шифрования мы можем не захотеть использовать что-то, что является дискретной базой журнала и не смотрит на все похожи на предположения, которые мы используем, и, например, он будет использовать работа по внедрению различных областей отстает от бит, и это может быть потому, что nist еще не завершил их стандартизацию они очень близки, и это должно быть в течение года, но это сделано, надеюсь, после того, как они начнут реализовывать, должно стать много Быстрее Я вообще-то думаю, что пропущу этот слайд более или менее чаще, чем просто что-то вроде того, что решетки автоматически не квантово безопасны гм, потому что они находятся в модели случайного оракула, а случайный оракул действительно странный вещи, когда вы начинаете знакомить квантовая способность справляться со странными вещами, которые происходит, когда вы начинаете вводить квантовые это то, что из крипто-повестки этого года выглядит так, как будто может быть проблема решена, но работа не еще не вышел, они утверждают, что могут создать экземпляр html таким способом, который стоит всего в два-три раза больше phma У меня есть несколько улучшений, которые я сортирую Думаю, я думаю, что мир должен знать о них я кратко упомяну еще раз. взрыв международного, и это очень быстрая библиотека для генерация множителей возведения в степень, которые обычно являются узким местом в дискретных закуски на основе блогов или парные закуски, поэтому, если вы используете взрыв, он должен фрагмент этого вычисления, другой - это дуга, которая является библиотека, написанная на ржавчине, которая стремится быть достаточно быстрой в чтобы дать вам хорошее представление о том, какие числа даже может использоваться на практике, но он очень удобен в использовании и должен быть то, что, как вы знаете, должно уметь большинство разработчиков использовать я имею в виду, что мне удалось его использовать, поэтому, если мне удастся его использовать, это выполнимо когда дело доходит до написания схем, это самая сложная часть эээ два из самых больших, которые люди используют в настоящее время, это Circon, где вы пишете их ограничения напрямую, и socrates, который более удобный вариант, если вы, возможно, не готовы писать ограничения напрямую также, если все, о чем вы беспокоитесь, это написание zap или приложение с нулевым разглашением на Ethereum который использует доказательства с нулевым разглашением, но вы не хотите вдаваться в подробности как они работают, то это проект, который пользовательский интерфейс работает над «звездным светом», который может помочь вам с что Окей, большое спасибо