Quỹ Ethereum, Nhóm nghiên cứu mật mã: Gottfried Herold, George Kadianakis, Dmitry Khovratovich, Mary Maller, Mark Simkin, Antonio Sanso, Arantxa Zapico, Zhenfei Zhang
Phân tích báo cáo MinRoot: https://crypto.ethereum.org/events/minrootanalysis2023.pdf
Ethereum có một tín hiệu ngẫu nhiên hiệu quả và đơn giản được gọi là RANDAO. Người ta thừa nhận rằng tính ngẫu nhiên của đèn hiệu này có thể bị sai lệch ở một mức độ nhỏ. Theo hiểu biết tốt nhất của chúng tôi, sự thiên vị này hiện không được khai thác trong giao thức Consensus của Ethereum (nguồn: https://eth2book.info/capella/part2/building_blocks/randomness/ ). Tại Ethereum Foundation, chúng tôi đã cố gắng và ở một mức độ nào đó, đang đối mặt với những thách thức trong việc xây dựng VDF chức năng kể từ khi thành lập nhóm nghiên cứu mật mã vào năm 2019. Mục tiêu luôn là khám phá giải pháp tốt hơn RANDAO để tạo ra tính ngẫu nhiên chung.
Nỗ lực ban đầu của chúng tôi nhằm xây dựng VDF liên quan đến cách tiếp cận dựa trên RSA, đòi hỏi phải có thiết lập đáng tin cậy. Tuy nhiên, trong quá trình kiểm tra do ZenGo thực hiện, tính toán an toàn của nhiều bên theo kế hoạch cho quá trình thiết lập đã bị tấn công. Do đó, chúng tôi đã chuyển sang MinRoot VDF. Trong bối cảnh VDF, điều cần thiết là phải đảm bảo rằng không kẻ tấn công nào có thể tính toán hàm nhanh hơn đáng kể so với người dùng trung thực. Do đó, người dùng trung thực phải sử dụng ASIC cao cấp để thiết lập đường cơ sở nhanh chóng. Trong khi cố gắng làm cho giải pháp RSA hoạt động được, chúng tôi đã nhận ra tầm quan trọng cốt yếu của phần cứng. Do đó, MinRoot được thiết kế với sự đơn giản về phần cứng là ưu tiên hàng đầu. Điều đáng chú ý là MinRoot chưa trải qua mức độ xem xét kỹ lưỡng như các giả định cũ hơn, chẳng hạn như các giả định về khóa thời gian dựa trên RSA.
MinRoot ban đầu được thiết kế dưới dạng VDF với mục tiêu bảo mật là không kẻ tấn công nào có thể tính toán hàm nhanh hơn hệ số c=2 so với triển khai tham chiếu, ngay cả khi sử dụng song song lớn. Cuộc tấn công được đề cập trong báo cáo thể hiện đỉnh cao của nỗ lực kéo dài ba ngày được thực hiện bởi các nhà phân tích và mật mã hàng đầu thế giới. Giả định rằng các hàm tròn của MinRoot (2021), cũng như của Sloth++ (Boneh et al., 2018) và VeeDo (StarkWare, 2020), không thể song song hóa đã bị bác bỏ. Cụ thể, phần lũy thừa của hàm tròn có thể được song song hóa, nhờ vào cấu trúc của trường nguyên tố, khiến nó dễ bị tấn công bởi phép tính chỉ số — loại tấn công tương tự được sử dụng để tính logarit rời rạc trên số nguyên. Cuộc tấn công chứng minh rằng việc tính toán gốc trong trường 256 Bit có thể đạt được bằng cách sử dụng 2^25 bộ xử lý và bộ nhớ 2^40 nhanh hơn so với sử dụng một bộ xử lý. Mức độ tăng tốc phụ thuộc vào mô hình truyền thông có độ trễ đã chọn. Mặc dù về mặt lý thuyết, cuộc tấn công cụ thể này có thể được chống lại bằng cách tăng kích thước của trường chính, tuy nhiên, nó cho thấy sự thiếu hiểu biết của chúng ta về những cuộc tấn công cần tìm khi thiết kế VDF.
Từ góc độ thực tế, rõ ràng là chúng tôi có rất ít mẫu thiết kế đã được thử nghiệm để xây dựng VDF hiệu quả cụ thể và tương tự, chúng tôi cũng không có nhiều kế hoạch tấn công mà chúng tôi có thể sử dụng để đánh giá tính bảo mật của các công trình ứng cử viên mới một cách đáng tin cậy. Tình huống này khác với các Hash thực tế và các sơ đồ mã hóa đối xứng. Ở đó, chúng tôi đã nỗ lực nghiên cứu trong nhiều thập kỷ để tạo ra SHA-3 và AES, chúng tôi có các mẫu thiết kế và có nhiều công cụ tấn công khác nhau giúp chúng tôi đánh giá các ứng viên mới một cách hiệu quả. Những công cụ này không hữu ích cho việc đánh giá tính bảo mật của VDF vì các thuộc tính của Hash chống trễ và chống va chạm không liên quan đến nhau.
Thật vậy, MinRoot được coi là an toàn dựa trên giả định rằng các cuộc tấn công cổ điển được phát triển cho Hash và sơ đồ mã hóa cũng phù hợp để đánh giá tính bảo mật của VDF. Hội thảo VDF cho thấy VDF dễ gặp phải các kiểu tấn công rất khác nhau mà vẫn chưa được khám phá kỹ lưỡng.
Một phần có liên quan của bề mặt tấn công, bao gồm cả cuộc tấn công được tìm thấy tại xưởng, xuất phát từ khả năng tăng tốc một chút ngay cả các tính toán cơ bản bằng tính song song lớn. Vì đây là cách sử dụng lãng phí các tài nguyên song song nên cách sử dụng đó chưa được khám phá và chúng tôi thiếu kinh nghiệm cần thiết để đánh giá tác động của nó đối với các VDF dự kiến.
Nhóm nghiên cứu mật mã đồng ý rằng việc hiểu rõ hơn về VDF là điều cần thiết nếu chúng ta muốn tiếp tục con đường thiết kế này. Hiện tại, chúng tôi không khuyến nghị sử dụng VDF trong Ethereum. Nghiên cứu liên tục và những cải tiến đáng kể là những yếu tố quan trọng có khả năng xem xét lại quan điểm của chúng tôi về chủ đề này trong tương lai.
