以太坊基金会,密码学研究团队: Gottfried Herold、George Kadianakis、Dmitry Khovratovich、Mary Maller、Mark Simkin、Antonio Sanso、Arantxa Zapico、Zhenfei Zhang
MinRoot报告分析: https://crypto.ethereum.org/events/minrootanalysis2023.pdf
以太坊有一个高效且直接的随机性信标,称为 RANDAO。众所周知,这个信标的随机性可能会有很小的偏差。据我们所知,以太坊的共识协议目前尚未利用这种偏见(来源:https: //eth2book.info/capella/part2/building_blocks/randomness/ )。在以太坊基金会,自 2019 年密码学研究团队成立以来,我们一直在尝试构建功能性 VDF,并且在某种程度上面临着挑战。我们的目标始终是发现比 RANDAO 更好的解决方案来生成共享随机性。
我们最初构建 VDF 的尝试涉及基于 RSA 的方法,这需要可信的设置。然而,在 ZenGo 进行的审计期间,计划的安全多方计算设置遭到了攻击。因此,我们过渡到 MinRoot VDF。在 VDF 的上下文中,必须确保攻击者无法比诚实用户更快地计算函数。因此,诚实的用户必须使用高端 ASIC 来建立快速基线。在尝试使 RSA 解决方案发挥作用时,我们认识到硬件的重要性。因此,MinRoot的设计以硬件的简单性为首要考虑。值得注意的是,MinRoot 并未经过与旧假设(例如基于 RSA 的时间锁假设)相同级别的审查。
MinRoot 最初被设计为 VDF,其安全目标是,即使使用大规模并行性,攻击者也不能比参考实现更快地计算该函数超过 c=2 倍。报告中提到的攻击是世界领先的密码分析师和密码学家三天努力的成果。 MinRoot (2021)、Sloth++ (Boneh et al., 2018) 和 VeeDo (StarkWare, 2020) 的轮函数无法并行化的假设已被驳斥。具体来说,由于素数域的结构,轮函数的求幂部分可以并行化,这使得它容易受到索引演算攻击——与计算整数上的离散对数的攻击相同。该攻击表明,使用 2^25 个处理器和 2^40 内存可以比使用单个处理器更快地计算 256 位字段中的根。加速程度取决于所选的延迟通信模型。虽然理论上可以通过增加主域的大小来应对这种特定的攻击,但它仍然凸显了我们对设计 VDF 时要寻找哪些攻击缺乏了解。
从实践的角度来看,很明显,我们几乎没有经过尝试和测试的设计模式来构建具体高效的 VDF,同样,我们也没有很多攻击蓝图可以用来可靠地评估新候选结构的安全性。这种情况与实际的哈希函数和对称加密方案不同。我们进行了数十年的研究工作,最终产生了 SHA-3 和 AES,我们拥有设计模式,我们拥有各种攻击工具来帮助我们有效地评估新的候选者。这些工具对于评估VDF的安全性没有帮助,因为延迟和抗碰撞散列函数的属性是不相关的。
事实上,MinRoot 被认为是安全的,基于这样的假设:为哈希函数和加密方案开发的经典攻击也适合评估 VDF 的安全性。 VDF 研讨会表明,VDF 很容易遭受不同类型的攻击,这些攻击尚未得到彻底探索。
攻击面的一个相关部分,包括在研讨会上发现的攻击,来自于通过大规模并行性稍微加速基本计算的可能性。由于这是对并行资源的浪费,因此这种用法尚未得到充分探索,并且我们缺乏必要的经验来评估其对候选 VDF 的影响。
密码学研究团队一致认为,如果我们要继续沿着这条设计道路前进,更好地理解 VDF 至关重要。目前我们不建议在以太坊内使用 VDF。持续的研究和实质性的改进是可能改变我们未来对该主题的看法的重要因素。
