以太坊基金會,密碼學研究團隊: Gottfried Herold、George Kadianakis、Dmitry Khovratovich、Mary Maller、Mark Simkin、Antonio Sanso、Arantxa Zapico、Zhenfei Zhang
MinRoot報告分析: https://crypto.ethereum.org/events/minrootanalysis2023.pdf
以太坊有一個高效且直接的隨機性信標,稱為 RANDAO。眾所周知,這個信標的隨機性可能會有很小的偏差。據我們所知,以太坊的共識協議目前尚未利用這種偏見(來源:https: //eth2book.info/capella/part2/building_blocks/randomness/ )。在以太坊基金會,自 2019 年密碼學研究團隊成立以來,我們一直在嘗試構建功能性 VDF,並且在某種程度上面臨著挑戰。我們的目標始終是發現比 RANDAO 更好的解決方案來生成共享隨機性。
我們最初構建 VDF 的嘗試涉及基於 RSA 的方法,這需要可信的設置。然而,在 ZenGo 進行的審計期間,計劃的安全多方計算設置遭到了攻擊。因此,我們過渡到 MinRoot VDF。在 VDF 的上下文中,必須確保攻擊者無法比誠實用戶更快地計算函數。因此,誠實的用戶必須使用高端 ASIC 來建立快速基線。在嘗試使 RSA 解決方案發揮作用時,我們認識到硬件的重要性。因此,MinRoot的設計以硬件的簡單性為首要考慮。值得注意的是,MinRoot 並未經過與舊假設(例如基於 RSA 的時間鎖假設)相同級別的審查。
MinRoot 最初被設計為 VDF,其安全目標是,即使使用大規模並行性,攻擊者也不能比參考實現更快地計算該函數超過 c=2 倍。報告中提到的攻擊是世界領先的密碼分析師和密碼學家三天努力的成果。 MinRoot (2021)、Sloth++ (Boneh et al., 2018) 和 VeeDo (StarkWare, 2020) 的輪函數無法並行化的假設已被駁斥。具體來說,由於素數域的結構,輪函數的求冪部分可以並行化,這使得它容易受到索引演算攻擊——與計算整數上的離散對數的攻擊相同。該攻擊表明,使用 2^25 個處理器和 2^40 內存可以比使用單個處理器更快地計算 256 位字段中的根。加速程度取決於所選的延遲通信模型。雖然理論上可以通過增加主域的大小來應對這種特定的攻擊,但它仍然凸顯了我們對設計 VDF 時要尋找哪些攻擊缺乏瞭解。
從實踐的角度來看,很明顯,我們幾乎沒有經過嘗試和測試的設計模式來構建具體高效的 VDF,同樣,我們也沒有很多攻擊藍圖可以用來可靠地評估新候選結構的安全性。這種情況與實際的哈希函數和對稱加密方案不同。我們進行了數十年的研究工作,最終產生了 SHA-3 和 AES,我們擁有設計模式,我們擁有各種攻擊工具來幫助我們有效地評估新的候選者。這些工具對於評估VDF的安全性沒有幫助,因為延遲和抗碰撞散列函數的屬性是不相關的。
事實上,MinRoot 被認為是安全的,基於這樣的假設:為哈希函數和加密方案開發的經典攻擊也適合評估 VDF 的安全性。 VDF 研討會表明,VDF 很容易遭受不同類型的攻擊,這些攻擊尚未得到徹底探索。
攻擊面的一個相關部分,包括在研討會上發現的攻擊,來自於通過大規模並行性稍微加速基本計算的可能性。由於這是對並行資源的浪費,因此這種用法尚未得到充分探索,並且我們缺乏必要的經驗來評估其對候選 VDF 的影響。
密碼學研究團隊一致認為,如果我們要繼續沿著這條設計道路前進,更好地理解 VDF 至關重要。目前我們不建議在以太坊內使用 VDF。持續的研究和實質性的改進是可能改變我們未來對該主題的看法的重要因素。
