다중 당사자 계산 및 영지식을 위한 두 개의 해시 함수 비교
Burcu Yıldız (Anoma - https://anoma.network/) 및 Mary Maller (이더리움 재단 - https://ethereum.foundation/)
요약: 우리의 보고서 다중 당사자 계산 및 영지식을 위한 두 개의 해시 함수 비교에서 우리는 다중 당사자 계산(MPC) 및 영지식 증명(ZKP)을 위한 해시 함수 Poseidon과 Hydra를 비교합니다. 우리의 관찰 결과에 따르면 Hydra를 사용하는 것이 더 효율적입니다.
MPC 및 ZKP
영지식 증명(ZKP)과 MPC는 모두 프라이버시와 무결성을 위해 유용한 고급 암호화 응용 프로그램의 예입니다. 영지식 증명에서 단일 당사자는 비밀 입력 값을 공개하지 않고 계산 출력이 올바르게 계산되었음을 입증합니다. MPC에서 여러 당사자는 서로에게 비밀 입력 값을 공개하지 않고 계산 출력을 계산합니다. ZKP와 MPC 솔루션의 공동 사용은 Anoma의 프라이빗 솔빙 프로토콜을 포함한 다양한 응용 프로그램에 유망합니다. 주요 효율성 척도는 ZKP의 R1CS 제약 조건 수와 MPC의 라운드 수 및 곱셈 삼중체 수이며, 이 모두는 기본적으로 비선형 연산 수에 따라 달라집니다. 그러나 비선형 연산에 대한 정확한 의존도와 그에 따른 최적화는 MPC와 ZKP에 대해 다릅니다.
해시 함수
암호화 해시 함수는 암호학의 핵심 구성 요소이며 다양한 응용 프로그램에 사용됩니다. 해시 함수 Poseidon은 영지식 응용 프로그램(예: FileCoin, Dusk Network, 루프링)에 널리 선호되며 이 목적으로 맞춤 설계되었습니다. 해시 함수 Hydra는 MPC에서 계산되도록 제안되고 최적화되었습니다. Hydra는 Eurocrypt 2023에서 발표되었으며 경쟁자들보다 총 라운드 수와 전송 데이터가 적습니다. 우리는 다음과 같은 질문에 답합니다:
영지식과 MPC 응용 프로그램에 각각 최적화된 Poseidon 및 Hydra 해시 함수가 다른 응용 프로그램에서 어떤 성능을 보이는가?
우리의 기법
Poseidon과 Hydra의 비교에는 이론적 및 실험적 구성 요소가 포함되며, Pallas 곡선(255비트 소수 필드)에서 128비트의 보안을 목표로 합니다. 알고리즘의 곱셈 깊이와 곱셈 복잡성을 계산하여 ZKP의 R1CS 제약 조건 수, MPC에 필요한 라운드 수와 곱셈 삼중체 수로 해시 함수의 효율성을 이론적으로 추정합니다. 우리의 실험 결과에는 총 실행 시간, 교환된 데이터 양 및 각 당사자의 CPU 시간을 추정하기 위한 MPC 프로토콜의 벤치마크가 포함됩니다. 우리는 출력 길이, 당사자 수 및 Poseidon 매개변수가 적용 가능한 경우 이를 시각적으로 제시합니다.
또한 우리는 Poseidon과 Hydra를 대칭 키 암호화의 구성 요소로 조사합니다. Poseidon의 경우 Duplex Sponge 인증 암호화 프레임워크를, Hydra의 경우 Hydra 소개 논문에서 제안한 스트림 암호를 고려합니다. 앞서 설명한 것과 유사한 비교를 보고합니다.
결과
일반적으로 Hydra가 우리가 관심있는 효율성 척도에서 Poseidon을 능가한다는 것을 관찰했습니다. 예를 들어 다이제스트 길이가 길 경우(예: PRNG로 사용되는 경우) Hydra가 특히 효율적입니다. 반면 Hydra는 특정 입력 길이로 제한되지만 Poseidon은 다양한 입력 길이를 허용합니다. Poseidon의 다양한 매개변수를 통해 입력/출력 길이가 고정되어 있고 사전에 알려진 경우 성능을 최적화할 수 있지만, Hydra가 여전히 더 나은 성능을 보입니다.
긴 평문을 암호화해야 하는 경우 Hydra가 더 효율적입니다. 그러나 Hydra 기반 인증 암호화의 이론적 또는 실용적 구현은 아직 존재하지 않습니다. 다만 해당 논문에서 방법이 언급되었습니다. 우리의 Poseidon 고려 사항은 이미 인증 암호화를 위한 것입니다.
자세한 내용은 우리의 보고서를 확인하시기 바랍니다(MPC 및 ZKP 응용 프로그램을 위한 해시 함수 구축에 대한 고려 사항 포함).
