CIC:a16z ：Cicada 利用時間鎖謎題和零知識證明實現鏈上投票_ada幣發行總量

原文標題：《BuildingCicada:Privateon-chainvotingusingtime-lockpuzzles》

作者：MichaelZhu，a16z?

編譯：Lynn，MarsBit

所有無論以何種有意義的方式運作的投票系統都依賴于完整性和透明度。從表面上看，這使得區塊鏈成為構建這些系統的理想平臺——事實上，許多去中心化的組織已經接受了無許可投票來表達集體意圖，通常是在揮舞大量財富或調整關鍵協議參數的情況下。但是鏈上投票也有缺點，隱私仍未被探索和開發，對Web3投票系統不利——在目前使用的大多數鏈上投票協議中，選票和投票結果是完全公開的。如果沒有隱私，投票結果很容易被操縱和選民激勵錯位，可能會導致不民主的結果。

這就是為什么我們要發布Cicada：一個新的、開源的Solidity庫，利用時間鎖謎題和零知識證明來實現私人鏈上投票。與現有的系統相比，Cicada具有新穎的隱私屬性，最大限度地減少了信任假設，并且足夠高效，可以在以太坊主網上使用。

在這篇文章中，我們調查了投票隱私的情況，并提供了關于Cicada如何工作的高層次描述。我們還鼓勵開發者查看?GitHub倉庫——Cicada可以通過許多方式進行調整和擴展，以支持不同的投票方案和功能，我們希望與社區合作，探索這些可能性。

a16z創始人：比特幣創新“基本上停止發展”，將重點關注以太坊:金色財經報道，a16z 創始人 Marc Andreessen 在最新接受采訪時表示，比特幣雖然是一種技術創新，但“基本上已停止了發展”，他現在將目光投向了以太坊并認為以太坊將會成為轉型核心。Marc Andreessen 解釋說：“現在最大的項目是以太坊，不是比特幣，或者我會說是加密貨幣或 Web3 而不是比特幣。Web3 中可以開展業務、可以獲利、可以進行交易并獲得信任，隨著區塊鏈技術突破，我們現在知道該怎么做，現在已擁有能夠做到這一點的技術基礎。”（blockworks）[2023/2/9 11:57:31]

私人投票的簡要調查

在任何投票系統中，有許多不同層次的隱私需要考慮。個別選票的披露、運行中的計票和選民身份都會以不同方式影響選民的積極性。哪些隱私屬性是必要的，取決于投票的背景。在密碼學和社會科學文獻中經常出現的幾個：

選票隱私：秘密選票，也被稱為“澳大利亞選票”，是為現實世界的投票系統開發的，作為保持個人選民的偏好的一種方式，并減輕賄賂和脅迫。選票隱私還可以減輕社會期望偏差——某人基于他人對其選擇的看法而投票的壓力較小。

a16z推出首個游戲基金GAMES FUND ONE，Riot、騰訊等合作支持:金色財經消息，a16z成立首個創造游戲產業的基金GAMES FUND ONE。該基金將投資一系列游戲服務和應用程序，以及為元宇宙構建技術的公司。Riot games、Twitch、EA、騰訊和Oculus等游戲行業資深人士參與合作。a16z將根據游戲生態系統幫助投資公司建設數字社區，管理虛擬經濟以及建立自己的開發團隊。此前報道，5月18日，a16z推出一項專用于游戲初創公司的6億美元基金。[2022/5/20 3:30:19]

正在進行中計票的隱私：許多投票系統在選民仍在投票時隱藏正在進行中的計票，或每個選項已經投了多少票，以避免影響投票率和選民激勵。我們已經在現實世界中看到了這種情況；例如，較晚投票的美國參議員比較早投票的參議員更有可能與他們的政黨保持一致。而在鏈上：在代幣加權投票中，鯨魚可以通過讓對手保持領先來哄騙他們的虛假安全感，然后在最后一刻投出自己的選票來左右結果。

選民的匿名性：在許多現實世界的投票系統中，你的投票是不公開的，但你投了票的事實往往是公開的。這對于防止選民欺詐很重要，因為公布投票者的記錄可以讓人們檢查是否有其他人以他們的名義投票。然而，在鏈上，我們可以防止選民欺詐，同時使用加密基元保留匿名性——例如，通過?Semaphore，你可以在零知識中證明你是一個還沒有投過票的合格的選民。

Web3游戲發行商Carry1st完成2000萬美元融資，a16z領投:1月19日消息，Web3 和社交游戲發行商 Carry1st 在 A 輪融資中籌集了 2000 萬美元，以進一步擴大在非洲的產品開發，本輪投資由硅谷風險投資公司 Andreessen Horowitz （A16z）領頭， Avenir 和谷歌母公司 Alphabet 參投，Carry1st 的現有支持者，包括 Riot Games、Konvoy Ventures、Raine Ventures 和 TTV Capital 繼續支持，一些著名的個人投資者也參與其中，包括Nas和Chipper Cash、Sky Mavis 和Yield Guild Games的創始人。

Carry1st 將利用這筆現金注入來擴大其內容組合，壯大內部開發團隊，并引領新的增長戰略以吸引數千萬新用戶。Carry1st 表示，它提供了一個全棧發布解決方案，為其合作伙伴處理用戶獲取、現場運營、社區管理和貨幣化。其增長戰略的一個關鍵支柱是開發基礎設施以支持“玩賺”（P2E）游戲，這使用戶可以通過他們的游戲體驗獲利。（Cointelegraph）[2022/1/20 9:00:06]

無收據性：個人選民提供其選票的“收據”，以證明他們是如何向第三方投票的，否則可能導致賣票。一個密切相關但更強大的屬性是抗脅迫，它可以防止有人脅迫選民以某種方式投票。這些屬性在去中心化的環境中特別有吸引力，因為投票權可以通過智能合約市場實現流動性。不幸的是，它們也很難實現——事實上，Juels等人指出，在沒有可信硬件的情況下，這在無許可的環境下是不可能的。

a16z合伙人Chris Dixon：區塊鏈是可以做出承諾的計算機:12月18日消息，a16z合伙人Chris Dixon發推表示，“區塊鏈比傳統計算機慢”是事實，這是在性能和對用戶和開發者做出長期承諾之間的權衡。區塊鏈是可以做出承諾的計算機，它和不能做出承諾的計算機（谷歌/AWS服務器）之間的性能差距將隨著時間的推移而縮小。區塊鏈的一個了不起的特點是，任何人都可以不經許可加入，并成為網絡中的礦工/驗證者。但我們也需要一些系統來篩選參與者，以避免垃圾郵件/攻擊。因此，有了工作量證明和權益證明。[2021/12/18 7:47:43]

Cicada專注于正在進行中計票隱私，但它可以與零知識組成員證明聯合，以達成選民的匿名性和選票隱私。

介紹Cicada：來自同態時間鎖難題的計票隱私

為了實現正在進行中計票的隱私，Cicada利用了以前從未在鏈上使用過的密碼學基元。

首先，時間鎖謎題是一個加密謎題，它封裝了一個秘密，只有在一些預定的時間過后才能被揭示——更具體地說，這個謎題可以通過重復進行一些非平行計算來解密。時間鎖定謎題在投票的背景下對于實現運行統計的隱私很有用：用戶可以將他們的選票作為時間鎖謎題提交，這樣他們在投票過程中是保密的，但在投票后可以被揭露。與其他大多數私人投票結構不同的是，這使得運行統計隱私不需要依賴統計機構、閾值加密或任何其他受信任方：任何人都可以解決一個時間鎖謎題，以確保投票后結果被揭示。

Forta Protocol完成2300萬美元融資 A16Z領投:10月1日消息，去中心化安全協議Forta Protocol宣布完成2300萬美元融資，A16Z領投，Coinbase Ventures、True Ventures、OpenZeppelin和Blockchain Capital 跟投。

據悉，Forta Protocol 提供針對智能合約的安全服務。Forta Protocol 的核心是代理開發社區，社區成員在 Layer1、Layer2 甚至是側鏈上尋找包括網絡、財務、運營以及治理在內的風險。[2021/10/1 17:19:33]

其次，一個同構的時間鎖謎題具有額外的屬性，即在知道秘密密鑰、解密謎題或使用后門的情況下，對加密值的一些計算是可能的。特別是，一個線性同態的時間鎖謎題允許我們將謎題組合在一起，產生一個新的謎題，封裝了原始謎題的秘密值的總和。

正如論文作者所指出的，線性同態的時間鎖謎題是一種特別適合于私人投票的基元：選票可以被編碼為謎題，并且它們可以被同態地組合起來，以獲得一個編碼最終計票的謎題。這意味著只需要一次計算就可以揭示出最終結果，而不是為每張選票解決一個獨特的謎題。

一個新的結構：效率和權衡

要使投票方案在鏈上實用，還需要考慮幾個問題。首先，攻擊者可能會試圖通過投一個不正確的編碼的選票來操縱投票。例如，我們可能希望每張選票的時間鎖謎題都編碼為一個布爾值：“1”表示支持被投票的提案，“0”表示反對。一個熱心的提案支持者可能會試圖編碼，例如“100”來擴大他們的有效投票權。

我們可以通過讓選民在提交選票本身的同時提交一份關于選票有效性的零知識證明來防止這種攻擊。不過零知識證明的計算成本很高——為了盡可能降低選民參與的成本，證明應該是可有效計算的客戶端和可有效驗證的鏈上證明。

為了使證明盡可能高效，我們使用了定制的?sigma協議——為特定代數關系設計的零知識證明，而不是通用的證明系統。這使得證明者的時間非常快：用Python生成一個選票有效性證明，在一臺現成的筆記本電腦上需要14ms.

雖然該sigma協議的驗證器在概念上很簡單，但它需要相當一部分大的模冪。Malavolta和Thyagarajan的線性同態方案使用?Paillier加密，因此這些求冪將對某些RSA模N以N^2為模執行。對于合理大小的N，在大多數EVM鏈上，取冪非常昂貴。為了降低成本，Cicada使用?指數ElGamal——指數ElGamal仍然提供加性同態，但在更小的模數上工作。

使用ElGamal的一個缺點是解密計數的最后一步需要暴力破解離散日志。因此，它僅適用于預期的最終票數相當小的情況。在最初的基于Paillier的方案中，無論其大小如何，計數都可以被有效地解密。

選擇RSA模數N也涉及權衡。我們的實現使用1024位模數來提高gas效率。雖然這遠高于有史以來公開分解的最大RSA模數，但低于通常推薦的大小為2048位，用于RSA加密或簽名。但是，我們的應用程序不需要長期安全性：一旦選舉結束，如果將來考慮N就沒有風險。假定計票和選票在時間鎖定期滿后公開，因此使用相對較小的模數是合理的。

匿名和選民資格

如上所述，Cicada提供了運行計票隱私——時間鎖定謎題屬性在投票期間保持計票的私密性。然而，每個單獨的選票也是一個時間鎖難題，在相同的公共參數下加密。這意味著就像可以解密計數一樣，每張選票也可以。換句話說，Cicada僅在投票期間保證選票隱私——如果好奇的觀察者希望解密特定選民的選票，他們可以這樣做。解密任何個人選票與解密最終計票一樣昂貴，因此天真地需要O(n)的工作來完全解密有n名選民的選票。但是所有這些選票都可以并行解密，花費的掛鐘時間與解密最終計票所需的時間相同。

對于某些選票，這可能是不可取的。雖然我們對臨時運行計票隱私感到滿意，但我們可能希望無限期投票隱私。為實現這一點，我們可以將Cicada與匿名選民資格協議結合起來，通過零知識組成員身份證明進行實例化。這樣，即使選票被解密，它所揭示的只是某人以這種方式投票——我們已經從計票中知道了這一點。

在我們的存儲庫中，我們包含一個使用?Semaphore?進行選民匿名的示例合約。但是請注意，Cicada合約本身沒有對如何確定或執行選民資格做出任何假設。特別是，您可以將Semaphore替換為例如Semacaulk或ZK狀態證明。

統計當局

我們在設計Cicada時的首要任務之一是避免需要統計機構：許多私人投票結構需要一個半信任的統計機構接收和匯總選票。在區塊鏈環境中，這意味著這些方案不能僅由智能合約執行，需要一些人為干預和信任。

在大多數結構中，計票當局在完整性方面不受信任，但在活性方面值得信任——如果他們離線，則無法計算最終結果，從而無限期地拖延投票結果。在某些結構中，他們也被信任維護隱私——也就是說，他們了解每個人如何投票，但預計會在不透露此信息的情況下公布投票結果。

盡管在許多現實世界的場景中，統計當局是一個合理的假設，但它們在區塊鏈環境中并不理想，我們的目標是最大限度地減少信任并確保審查阻力。

Cicada探索了鏈上投票隱私領域的眾多方向之一，并補充了其他團隊正在進行的大部分研究。如上所述，Cicada與信號量、ZK存儲證明和限速無效器等匿名組成員技術密切相關。Cicada還可以集成NounsVortex團隊提出的?optimistic證明檢查器，以減輕選民的gas負擔。

還有機會調整Cicada以支持不同的投票方案——更復雜的方案對于以太坊主網來說可能計算成本太高，但它們在L2上可能是實用的。考慮到這一點，我們歡迎您就下一步將Cicada帶到哪里做出貢獻、分叉和建議。

Tags：ADACICICACADada幣發行總量CICO幣SHIBMERICANMCADE幣

幣安app下載