mirror of
https://github.com/mimblewimble/grin.git
synced 2025-01-21 03:21:08 +03:00
5cb8025ddd
* cleanup legacy "3 dot" check (#2625)
* Allow to peers behind NAT to get up to preferred_max connections (#2543)
Allow to peers behind NAT to get up to preffered_max connections
If peer has only outbound connections it's mot likely behind NAT and we should not stop it from getting more outbound connections
* Reduce usage of unwrap in p2p crate (#2627)
Also change store crate a bit
* Simplify (and fix) output_pos cleanup during chain compaction (#2609)
* expose leaf pos iterator
use it for various things in txhashset when iterating over outputs
* fix
* cleanup
* rebuild output_pos index (and clear it out first) when compacting the chain
* fixup tests
* refactor to match on (output, proof) tuple
* add comments to compact() to explain what is going on.
* get rid of some boxing around the leaf_set iterator
* cleanup
* [docs] Add switch commitment documentation (#2526)
* remove references to no-longer existing switch commitment hash
(as switch commitments were removed in ca8447f3bd
and moved into the blinding factor of the Pedersen Commitment)
* some rewording (points vs curves) and fix of small formatting issues
* Add switch commitment documentation
* [docs] Documents in grin repo had translated in Korean. (#2604)
* Start to M/W intro translate in Korean
* translate in Korean
* add korean translation on intro
* table_of_content.md translate in Korean.
* table_of_content_KR.md finish translate in Korean, start to translate State_KR.md
* add state_KR.md & commit some translation in State_KR.md
* WIP stat_KR.md translation
* add build_KR.md && stratum_KR.md
* finish translate stratum_KR.md & table_of_content_KR.md
* rename intro.KR.md to intro_KR.md
* add intro_KR.md file path each language's intro.md
* add Korean translation file path to stratum.md & table_of_contents.md
* fix difference with grin/master
* Fix TxHashSet file filter for Windows. (#2641)
* Fix TxHashSet file filter for Windows.
* rustfmt
* Updating regexp
* Adding in test case
* Display the current download rate rather than the average when syncing the chain (#2633)
* When syncing the chain, calculate the displayed download speed using the current rate from the most recent iteration, rather than the average download speed from the entire syncing process.
* Replace the explicitly ignored variables in the pattern with an implicit ignore
* remove root = true from editorconfig (#2655)
* Add Medium post to intro (#2654)
Spoke to @yeastplume who agreed it makes sense to add the "Grin Transactions Explained, Step-by-Step" Medium post to intro.md
Open for suggestions on a better location.
* add a new configure item for log_max_files (#2601)
* add a new configure item for log_max_files
* rustfmt
* use a constant instead of multiple 32
* rustfmt
* Fix the build warning of deprecated trim_right_matches (#2662)
* [DOC] state.md, build.md and chain directory documents translate in Korean. (#2649)
* add md files for translation.
* start to translation fast-sync, code_structure. add file build_KR.md, states_KR.md
* add dandelion_KR.md && simulation_KR.md for Korean translation.
* add md files for translation.
* start to translation fast-sync, code_structure. add file build_KR.md, states_KR.md
* add dandelion_KR.md && simulation_KR.md for Korean translation.
* remove some useless md files for translation. this is rearrange set up translation order.
* add dot end of sentence & translate build.md in korean
* remove fast-sync_KR.md
* finish build_KR.md translation
* finish build_KR.md translation
* finish translation state_KR.md & add phrase in state.md to move other language md file
* translate blocks_and_headers.md && chain_sync.md in Korean
* add . in chain_sync.md , translation finished in doc/chain dir.
* fix some miss typos
* Api documentation fixes (#2646)
* Fix the API documentation for Chain Validate (v1/chain/validate). It was documented as a POST, but it is actually a GET request, which can be seen in its handler ChainValidationHandler
* Update the API V1 route list response to include the headers and merkleproof routes. Also clarify that for the chain/outputs route you must specify either byids or byheight to select outputs.
* refactor(ci): reorganize CI related code (#2658)
Break-down the CI related code into smaller more maintainable pieces.
* Specify grin or nanogrins in API docs where applicable (#2642)
* Set Content-Type in API client (#2680)
* Reduce number of unwraps in chain crate (#2679)
* fix: the restart of state sync doesn't work sometimes (#2687)
* let check_txhashset_needed return true on abnormal case (#2684)
* Reduce number of unwwaps in api crate (#2681)
* Reduce number of unwwaps in api crate
* Format use section
* Small QoL improvements for wallet developers (#2651)
* Small changes for wallet devs
* Move create_nonce into Keychain trait
* Replace match by map_err
* Add flag to Slate to skip fee check
* Fix secp dependency
* Remove check_fee flag in Slate
* Add Japanese edition of build.md (#2697)
* catch the panic to avoid peer thread quit early (#2686)
* catch the panic to avoid peer thread quit before taking the chance to ban
* move catch wrapper logic down into the util crate
* log the panic info
* keep txhashset.rs untouched
* remove a warning
* [DOC] dandelion.md, simulation.md ,fast-sync.md and pruning.md documents translate in Korean. (#2678)
* Show response code in API client error message (#2683)
It's hard to investigate what happens when an API client error is
printed out
* Add some better logging for get_outputs_by_id failure states (#2705)
* Switch commitment doc fixes (#2645)
Fix some typos and remove the use of parentheses in a
couple of places to make the reading flow a bit better.
* docs: update/add new README.md badges (#2708)
Replace existing badges with SVG counterparts and add a bunch of new ones.
* Update intro.md (#2702)
Add mention of censoring attack prevented by range proofs
* use sandbox folder for txhashset validation on state sync (#2685)
* use sandbox folder for txhashset validation on state sync
* rustfmt
* use temp directory as the sandbox instead actual db_root txhashset dir
* rustfmt
* move txhashset overwrite to the end of full validation
* fix travis-ci test
* rustfmt
* fix: hashset have 2 folders including txhashset and header
* rustfmt
*
(1)switch to rebuild_header_mmr instead of copy the sandbox header mmr
(2)lock txhashset when overwriting and opening and rebuild
* minor improve on sandbox_dir
* add Japanese edition of state.md (#2703)
* Attempt to fix broken TUI locale (#2713)
Can confirm that on the same machine 1.0.2 TUI looks great and is broken on
the current master. Bump of `cursive` version fixed it for me.
Fixes #2676
* clean the header folder in sandbox (#2716)
* forgot to clean the header folder in sandbox in #2685
* Reduce number of unwraps in servers crate (#2707)
It doesn't include stratum server which is sufficiently changed in 1.1
branch and adapters, which is big enough for a separate PR.
* rustfmt
* change version to beta
396 lines
26 KiB
Markdown
396 lines
26 KiB
Markdown
# MimbleWimble と Grin 概論
|
||
|
||
*この文章を他の言語で読む: [English](intro.md), [简体中文](intro_ZH-CN.md), [Español](intro_ES.md), [Nederlands](intro_NL.md), [Русский](intro_RU.md), [日本語](intro_JP.md), [Deutsch](intro_DE.md), [Portuguese](intro_PT-BR.md), [Korean](intro_KR.md).*
|
||
|
||
MimbleWimble は、極めてよいスケーラビリティ、プライバシー、そして代替可能性(fungibility)の解決法を提供
|
||
するブロックチェーンのフォーマット・プロトコルである。MimbleWimble は、ほとんどすべてのブロックチェーンの
|
||
実装に存在する課題を解決する。
|
||
|
||
Grin は、その Mimblewimble ブロックチェーンを実装する OSS プロジェクトであり、完全なブロックチェーン、
|
||
暗号通貨のデプロイメントに必要なギャップを埋めるものである。
|
||
|
||
Grin プロジェクトの主なゴールと特徴は以下:
|
||
|
||
* デフォルトでプライバシーが保たれていること。これにより、選択的に必要な情報を開示する能力を排除することなく、完全な代替可能性を実現できる。
|
||
* ユーザー数を最大限に、トランザクション数を最小限にスケールさせることができるため、 [TODO: enhance translation]
|
||
他のブロックチェーンに比べて大きなスペース節約が可能である。
|
||
* 強固で証明された暗号技術。 MimbleWimble は、数十年にも渡る攻撃やテストに耐えてきた楕円曲線暗号に
|
||
のみ依存する。
|
||
* デザインがシンプルなため、長年に渡って監査・メンテナンスが容易である。
|
||
* コミュニティドリブンであり、ASIC耐性のあるマイニングアルゴリズム(Cuckoo Cycle)
|
||
を採用しているのでマイニングの非中央集権化を促す。
|
||
|
||
## Tongue Tying for Everyone
|
||
|
||
本ドキュメントは、ブロックチェーンと基礎的な暗号学の理解を前提としている。
|
||
それに留意しながら、我々は MimbleWimble の技術的なビルドアップと、それがどのように Grin に
|
||
応用されているかの説明を試みる。本ドキュメントが多くの技術に慣れ親しんだ読者にとって理解しやすい
|
||
ものであることを願う。我々の目的は、読者に Grin について興味をもってもらい、可能な方法で Grin に
|
||
貢献していただくことである。
|
||
|
||
この目的を達成するため、MimbleWimble の実装としての Grin を理解するための主要なコンセプトを
|
||
いくつか紹介する。まずはじめに、Grin を基礎づける楕円曲線暗号(ECC)のいくつかの関係する性質についての簡単な説明を
|
||
し、その後、MimbleWimble ブロックチェーンのトランザクションとブロクについてのキーとなる要素について説明する。
|
||
|
||
### Tiny Bits of Elliptic Curves
|
||
|
||
まずは楕円曲線暗号の概要から見ていく。ECCの複雑な部分を掘り下げすぎないように、MimbleWimble の仕組みを理解する
|
||
のに必要な分のみ。より詳細な掘り下げた部分を知りたい読者は、[こちらのリンク](http://andrea.corbellini.name/2015/05/17/elliptic-curve-cryptography-a-gentle-introduction/)が助けになるだろう。
|
||
|
||
楕円曲線を暗号にもちいる目的は、単純に大きな点の集合のためである。これを _C_ と呼ぶことにする。
|
||
この集合に属する点は、足し算、引き算、またスカラー倍の演算をすることが可能です。 _k_ を整数としたとき、
|
||
スカラー倍の演算をすることで `k*H` を計算することが可能だ。そしてこの計算結果も曲線 _C_ 上の点になる。
|
||
_j_ をもう一つの整数としたとき、`(k+j)*H` を計算することもできる。そしてこれは `(k*H + j*H)` の値
|
||
と等しい。楕円曲線上の点の足し算とスカラー倍演算はそれぞれ交換法則と結合法則を満たす。即ち:
|
||
|
||
(k+j)*H = k*H + j*H
|
||
|
||
楕円曲線暗号では、十分に大きな数 _k_ を秘密鍵として選んだ時、 `k*H` が公開鍵とされる。
|
||
公開鍵 `k*H` の値を誰かが知ったとしても、それから _k_ を推測することは不可能に近い(
|
||
別の言い方をすると、掛け算は trivial なのに対し、曲線上での「割り算」は極端に難しい)。
|
||
|
||
上の式 `(k+j)*H = k*H + j*H` を見ると、 _k_, _j_ を共に秘密鍵とした時、秘密鍵同士の和から
|
||
得られる公開鍵は、それぞれの秘密鍵から得られる公開鍵の和と等しいことが分かる。Bitcoin では、
|
||
HDウォレットがこの原理を大いに利用している。そして MimbleWimble と Grin もこの性質を利用する。
|
||
|
||
### Transacting with MimbleWimble
|
||
|
||
トランザクションの構造には MimbleWimble の核となる信条を見ることができる:
|
||
強固なプライバシーと機密性の保証だ。
|
||
|
||
MimbleWimble トランザクションのバリデーションは以下の2つの性質に依る:
|
||
|
||
* **ゼロサムの検証** outputs に -inputs を足した値は常にゼロであること。
|
||
これはトランザクションが新たなコインを作っていないことを証明する。 _実際の送金額を露呈することなしに_。
|
||
* **秘密鍵の所有** 他のほとんどの暗号通貨と同様に、トランザクションアウトプットの所有は、楕円曲線暗号の
|
||
秘密鍵を持っていることによって保証される。しかし、秘密鍵の所有の証明は、直接トランザクションに署名
|
||
することで行われるわけではない。
|
||
|
||
後の章では残高、所有権、おつりと証明について説明するが、ここでこれらの2つの性質がどのように達成されるか
|
||
が詳述される。
|
||
|
||
#### 残高
|
||
|
||
上述した楕円曲線暗号の性質を利用しているので、トランザクションの value を秘匿化することができる。
|
||
|
||
_v_ を トランザクション input または output の value とし、_H_ を楕円曲線としたとき、 [TODO: 「楕円曲線上の点」では?]
|
||
トランザクションに直接 _v_ を書き込むのではなく、 `v*H` を代わりに書き込むことができる。これは、ECC演算を用いることで、
|
||
トランザクションの outputs の和は inputs の和に等しいことを検証できるからである:
|
||
|
||
v1 + v2 = v3 => v1*H + v2*H = v3*H
|
||
|
||
この性質をトランザクション毎に検証することによって、プロトコルはトランザクションがなにもない空中からお金を作り出していないことを、
|
||
実際の value を知ることなく検証できる。しかし、使用できる value の数は有限であり、それらをすべて試すことでトランザクションの
|
||
value を推測することは可能である。加えて、 v1 とそれから導出できる `v*H` を知っているということは、ブロックチェーン上のすべての
|
||
value が v1 の output からわかってしまうということを意味する。これらの理由から、2つ目の楕円曲線 _G_ (実際には、 _H_ と同じ
|
||
曲線上の他の生成元である)と秘密鍵 _r_ を *目くらまし因子(blinding factor)*として導入することにする。
|
||
|
||
今、トランザクションの input/output value は次のように表すことができる:
|
||
|
||
r*G + v*H
|
||
|
||
ここで、
|
||
|
||
* _r_ は blinding factor として用いられる秘密鍵で、 _G_ は楕円曲線暗号の生成元、これらの積 `r*G` は対応する公開鍵である。
|
||
* _v_ は input/output value で _H_ は別の生成元である。
|
||
|
||
楕円曲線暗号の基本的な性質により、_v_, _r_ は共に推測不可能である。 `r*G + v*H` は _Pedersen Commitment_ と呼ばれる。
|
||
|
||
例として、input 2つ、output 1つのトランザクションを作成したいとしよう。
|
||
手数料はここでは無視する。値はそれぞれ:
|
||
|
||
* input value を vi1, vi2
|
||
* output value を vo3
|
||
|
||
とする。これらは以下の等式を満たす:
|
||
|
||
vi1 + vi2 = vo3
|
||
|
||
それぞれの value に対して blinding factor として秘密鍵を生成し、それぞれの value を対応する Pedersian Commitment で
|
||
置き換えると、以下の等式が得られる:
|
||
|
||
(ri1*G + vi1*H) + (ri2*G + vi2*H) = (ro3*G + vo3*H)
|
||
|
||
結果として以下の等式が成り立つ必要がある:
|
||
|
||
ri1 + ri2 = ro3
|
||
|
||
これが MimbleWimble の第一の柱である。すなわち、トランザクションを検証するための演算は
|
||
value を知ることなくして実行可能であるということだ。
|
||
|
||
最後に、本アイディアは実際には Greg Maxwell の [Confidential Transactions](https://elementsproject.org/features/confidential-transactions/investigation), から派生したものである。
|
||
更にこれは Adam Back の Bitcoin に応用されている準同型暗号に関する提案から派生したものである。
|
||
|
||
#### 所有権
|
||
|
||
前の章において、秘密鍵を blinding factor として導入することでトランザクションの value を
|
||
秘匿化した。MimbleWimble の第二のポイントは、この秘密鍵を活用して value の所有権を証明できる
|
||
ということです。
|
||
|
||
Alice があなたに 3 coin を送金し、その額を秘匿化するために、あなたは 28 を blinding factor
|
||
として選択した(実用では秘密鍵である blinding factor は十分に大きい数であることに注意)。
|
||
するとブロックチェーンのどこかに次の output が現れ、あなたによってのみ使用可能である:
|
||
|
||
X = 28*G + 3*H
|
||
|
||
加算の結果である _X_ は誰からも見ることができる。送金額 3 は Alice とあなただけが知っていて、
|
||
28 はあなただけが知っている。
|
||
|
||
この 3 coin を再び転送するには、プロトコルは 28 の値をどうにかして知っている必要がある。
|
||
これがどのような仕組みかを説明するために、送金された同じ 3 coins を Carol に転送したいとしよう。
|
||
次のようなシンプルなトランザクションを作成する:
|
||
|
||
Xi => Y
|
||
|
||
ここで、_Xi_ は output _X_ を使用した input で、 _Y_ は Carol の output である。
|
||
秘密鍵である 28 の値を知ることなしにこのようなトランザクションを作成し残高を移動させる方法はない。
|
||
実際、Carol がこのトランザクションによって残高を移動させるには、彼女は送金された金額(value)と
|
||
あなたの秘密鍵を知る必要がある。すなわち:
|
||
|
||
Y - Xi = (28*G + 3*H) - (28*G + 3*H) = 0*G + 0*H
|
||
|
||
すべての計算結果がゼロになることをチェックすることで、新しいコインが作られていないことを再確認できる。
|
||
|
||
待て待て。今、あなたは Carol のアウトプットの秘密鍵を知っている(今回の場合、あなたの残高を移すための秘密鍵と同じものだ)
|
||
から、あなたは Carol からお金を盗むことができてしまう!
|
||
|
||
この問題を解決するためには、 Carol は自分で選んだ秘密鍵を用いる。
|
||
例えば彼女が 113 を選んだとして、ブロックチェーンに書き込まれるのは:
|
||
|
||
Y - Xi = (113*G + 3*H) - (28*G + 3*H) = 85*G + 0*H
|
||
|
||
こうすると、トランザクションの値は今や合計がゼロにならなくなり、 _excess value_ が _G_ の項として
|
||
残る(85)。これはすべての blinding factors の和である。しかし `85*G` は楕円曲線 _G_ 上の有効な
|
||
公開鍵であるので、秘密鍵 85 のとき、任意の x, y について `x*G + y*H` が _G_ 上の有効な公開鍵
|
||
であるのは `y = 0` の場合のみである。
|
||
|
||
よって検証に必要なプロトコルは (`Y - Xi`) が _G_ 上の有効な公開鍵であることと、取引している
|
||
関係者が全員秘密鍵を知っていることである(Carolのトランザクションの例では 85)。これを実現する
|
||
最もシンプルな方法は、 excess value (85) で作成した署名を条件とすることである。そうすると、
|
||
以下のことがバリデートできる:
|
||
|
||
* 取引中の関係者が全員秘密鍵を知っていて、
|
||
* (transaction outputs) - (transaction inputs) がゼロになること
|
||
(秘密鍵にマッチする有効な公開鍵のみが署名を検証可能であるため)。
|
||
|
||
すべてのトランザクションに付属している署名は、マイニング手数料などの他のデータと合わせて、
|
||
_transaction kernel_ と呼ばれ、バリデーターにチェックされる。
|
||
|
||
#### いくつかの細かい点について
|
||
|
||
この章では、お釣りがどのように導入されるか、またすべての値が非負であることの証明となる range proof
|
||
の要件について議論することで、トランザクションの構成についての詳細を詳しく述べる。これらの両方とも、
|
||
MimbleWimble と Grin を理解するために必ず必要というわけではない。したがって、もし急いでいるのならば
|
||
[まとめ](#まとめ) まで読み飛ばしてもらって構わない。
|
||
|
||
##### お釣り
|
||
|
||
Alice から受け取った 3 coins のうち 2 coins を Carol に送金したいとする。
|
||
そのためには、残りの 1 coin を自らにお釣りとして送金する。もう一つの秘密鍵(12 とする)を
|
||
blinding factor として生成しお釣りの output を保護する。Carol は以前の例と同じように
|
||
自らの秘密鍵を使用する。
|
||
|
||
Change output: 12*G + 1*H
|
||
Carol's output: 113*G + 2*H
|
||
|
||
ブロックチェーンに最終的に残るのは以前の例とよく似ている。
|
||
そして今回も署名は excess value を使って作成される。この例では 97 である。
|
||
|
||
(12*G + 1*H) + (113*G + 2*H) - (28*G + 3*H) = 97*G + 0*H
|
||
|
||
##### Range Proofs
|
||
|
||
上記の計算はすべて、トランザクションの value が常に正であるという前提に依存している。
|
||
負の金額を導入してしまえば、すべてのトランザクションにおいて新しい資金を作ることが
|
||
できてしまい極めて重要な問題である。
|
||
|
||
例えば、input value が 2、output value が 5 のトランザクションを作成できる。
|
||
そして -3 は、前の章の定義によると有効なトランザクションである。
|
||
もし _x_ が負だとしても対応する `x*H` を他と見分けることはできないので、
|
||
これを用意に検知することはできない。
|
||
|
||
この問題を解決するため、MimbleWimble は(これも Confidential Transaction に由来しているが)
|
||
range proofs と呼ばれるさらに他の暗号学的概念を利用する。 range proofs とは、その数字を知ること無く
|
||
その数字が特定の範囲の大きさであることを証明するものである。ここでは range proof について詳細には
|
||
記さないが、任意の `r*G + v*H` について _v_ がゼロ以上であること、さらにオーバーフローしないこと
|
||
を証明できるということだけを知っていれば十分である。
|
||
|
||
また、上のような例から有効な range proof を作り出すためには、excess value 作り署名するために使われる
|
||
113 と 28 の両方の value を知っている必要がある、ということも重要です。この理由と、より詳細な range proofs
|
||
の説明は [range proof paper](https://eprint.iacr.org/2017/1066.pdf) を参照。
|
||
|
||
#### まとめ
|
||
|
||
MimbeWimbe のトランザクションは以下の要素を持つ:
|
||
|
||
* inputs の組。1つ前の outputs を参照・使用する。
|
||
* 以下を含む新しい outputs の組:
|
||
* value と blinding factor(新しい秘密鍵)を曲線上で掛け算し、足したもの。
|
||
r*G + v*H
|
||
* v が非負であることを示す range proof
|
||
* 明示的なトランザクション手数料
|
||
* excess blinding value(outputs の合計から inputs の合計を引いたもの)
|
||
を取り、それを秘密鍵として計算することで作成される署名データ。
|
||
|
||
### Block と Chain State
|
||
|
||
これまでに、MimbleWimble のトランザクションが、有効なブロックチェーンに
|
||
必要な性質を満たす一方で、強い匿名性を提供する方法を説明しました(
|
||
i.e. トランザクションは新たなお金を作らない、所有権の証明は秘密鍵によって
|
||
行われる)。
|
||
|
||
MimbleWimble のブロックフォーマットはこれに新たなコンセプトを1つ追加することで導入
|
||
される: _cut-through_ である。これを追加することによって、MimbleWimble chain は
|
||
以下の特徴を得る:
|
||
|
||
* 極めて良いスケーラビリティ。これは、セキュリティを犠牲にすることなく大量のトランザクションデータ
|
||
を省略することによって向上する。
|
||
* トランザクションデータをミキシングし、除くことによるさらなる匿名性の向上
|
||
* とても効率的に新しいノードがネットワークと動機することのできる能力
|
||
|
||
#### Transaction の集約
|
||
|
||
トランザクションは以下の要素から成り立つことを思い出そう -
|
||
|
||
* inputs の集合、1つ前の outputs の集合を参照・使用する
|
||
* 新しい outputs の集合(Pedersen commitments)
|
||
* transaction kernel。以下の要素から成る
|
||
* kernel excess (Pedersen commitment to zero)
|
||
* トランザクション署名(kernel excess を公開鍵として使用)
|
||
|
||
tx は署名され、署名は _transaction kernel_ に含まれる。署名は _kernel excess_ を用いて
|
||
生成され、公開鍵はトランザクションの値の合計が 0 になることの証明となる。
|
||
|
||
(42*G + 1*H) + (99*G + 2*H) - (113*G + 3*H) = 28*G + 0*H
|
||
|
||
この例えは公開鍵は `28*G` となっている。
|
||
|
||
任意の有効なトランザクションについて、以下が言える(簡単のため手数料は無視する) -
|
||
|
||
sum(outputs) - sum(inputs) = kernel_excess
|
||
|
||
ブロックは単に inputs, outputs, transaction kerbels を集約したものであるということに気がつけば、同じことがブロックに関しても言える。
|
||
tx outputs の和から tx inputs の和を引いて、その結果である Pedersen commitment を kernel excesses の和と比較できる -
|
||
|
||
sum(outputs) - sum(inputs) = sum(kernel_excess)
|
||
|
||
少し単純化して言うならば(ここでも手数料は無視することにする)、MimbleWimble のブロックはトランザクションと同様に扱うことが可能である・
|
||
|
||
##### Kernel Offsets
|
||
|
||
上で説明した MimbleWimble のブロックとトランザクションには、小さな問題がある。ブロックの中の構成要素から、トランザクションを再構成することが可能(ときには容易)であるということだ。これは明らかにプライバシーの観点から良くないことだ。これは、「部分集合」の問題である - inputs, outputs, transaction kernels の集合が与えられた時、これらの部分集合によって有効なトランザクションが再構築できてしまう。
|
||
|
||
例えば、次の2つのトランザクションがあるとする -
|
||
|
||
(in1, in2) -> (out1), (kern1)
|
||
(in3) -> (out2), (kern2)
|
||
|
||
これらを以下のようにブロックに集約することができる -
|
||
|
||
(in1, in2, in3) -> (out1, out2), (kern1, kern2)
|
||
|
||
(inputs と outputs の差がゼロとなるように)トランザクションを再現するためにすべてのあり得る順列を試すことは、ごく簡単である -
|
||
|
||
(in1, in2) -> (out1), (kern1)
|
||
|
||
そして、我々は、残りの要素で他の有効なトランザクションを組み立て直すことが可能であることを知っている -
|
||
|
||
(in3) -> (out2), (kern2)
|
||
|
||
この問題を和らげるため、transaction kernel 毎に _kernel offset_ という値を含めることにする。これは、コミットメントの和がゼロであることを検証するために、kernel excess に追加する必要がある blinding factor (秘密鍵)である -
|
||
|
||
sum(outputs) - sum(inputs) = kernel_excess + kernel_offset
|
||
|
||
トランザクションをブロックに集約する時、ブロックヘッダに_一つだけ_ aggregate offset を保存する。これにより、一つ一つの transaction kernel offsets に分解できない一つの offset を作ることができた。そしてトランザクションは再構成できない -
|
||
|
||
sum(outputs) - sum(inputs) = sum(kernel_excess) + kernel_offset
|
||
|
||
トランザクションを構成する際、鍵 `k` を `k1+k2` に分割する。transaction kernel `(k1+k2)*G` については、`k1*G` (excess)と `k2`(offset)をパブリッシュし、トランザクションに `k1*G` で署名をする。
|
||
ブロックを構成する際には、単純に `k2` を足し合わせて一つの集約した `k2` offset を生成でき、それによりブロックの中のすべてのトランザクションをカバーできる。個々のトランザクションの `k2` offset を再構成するのは不可能である。
|
||
|
||
#### Cut-through
|
||
|
||
ブロックは、マイナーに複数のトランザクションを1つの集合に集め、チェーンに追加させる働きがある。
|
||
次のブロックの表現では、トランザクションを3つ含み、inputs と outputs のみ表記することにする。
|
||
inputs はそれらが使用する outputs への参照である。以前のブロックに含まれる output を小文字の
|
||
x で表記する。
|
||
|
||
I1(x1) --- O1
|
||
|- O2
|
||
|
||
I2(x2) --- O3
|
||
I3(O2) -|
|
||
|
||
I4(O3) --- O4
|
||
|- O5
|
||
|
||
すると、以下の2つの性質に気づく:
|
||
|
||
* いくつかの outputs は直接ブロック内の inputs によって使用されている(I3 は O2, I4 は O3 を使用している)
|
||
* それぞれのトランザクションの構造は実際にはあまり意味をなさない。個々のトランザクションの和がゼロなので、それらの合計であるすべてのトランザクションの inputs と outputs の和はゼロでなければならない。
|
||
|
||
トランザクションにおいても似たように、ブロックの中でチェックする必要があるのは所有権が証明されているという
|
||
こと(_transaction ketnels_ によって可能)と、ブロック全体が(coinbase 以外で)新たなコインを加えて
|
||
いないということである。
|
||
したがって、全体的な和に対する寄与が相殺されるので、 inputs と outputs の組合わせを排除することができる。それにより以下のようなよりコンパクトなブロックになる:
|
||
|
||
I1(x1) | O1
|
||
I2(x2) | O4
|
||
| O5
|
||
|
||
トランザクション構造が排除され、inputs と outputs の順番がもはや意味をなさないことに注目されたい。
|
||
しかしながらこの場合でも、このブロック内のすべての outputs の和から inputs を引いた結果は、ゼロで
|
||
あることが保証されている。
|
||
|
||
ブロックは、単純に以下の要素から成っている:
|
||
|
||
* ブロックヘッダ
|
||
* cut-through 後に残っている inputs のリスト
|
||
* cut-through 後に残っている outputs のリスト
|
||
* ブロック全体をカバーする一つの kernel offset
|
||
* それぞれのトランザクションに対して transaction kernels が存在し以下の要素から成る:
|
||
* すべての commitment の和から得られる公開鍵 `r*G`
|
||
* excess value によって生成された署名
|
||
* マイニング手数料
|
||
|
||
このように構成された時、MimbleWimble ブロックは極めて良いプライバシーを提供する:
|
||
|
||
* transaction kernel のみによって中間(cut-through)トランザクションが表現される
|
||
* すべての outputs が同じに見える:互いに区別することのできないとても大きな数だけである。
|
||
いくつか outputs を除きたいと考えたとき、すべてを取り除かなければならない。
|
||
* すべてのトランザクション構造が取り除かれ、どの output がどの input と組になっているかを
|
||
知るのは不可能である。
|
||
|
||
それでもなお、バリデートすることができる!
|
||
|
||
#### Cut-through All The Way
|
||
|
||
前の例のブロックに戻ろう。I1 と I2 によって使用された outputs x1 と x2 はそれ以前にブロックチェーン
|
||
に出現していなければならない。したがってこのブロックが追加された後は、これらの outputs、そして
|
||
I1, I2 もチェーン全体から取り除くことができる。それらは総額には影響しないからだ。
|
||
|
||
一般化すると、任意の時点において(ヘッダーを除いて)チェーンの状態は以下の情報によって要約される:
|
||
|
||
1. マイニングによって作られたコインの総額
|
||
2. utxo の完全な集合
|
||
3. それぞれのトランザクションに対する transaction kernel
|
||
|
||
はじめの情報はブロック高(ジェネシスブロックからの距離)から推定することができる。
|
||
そして、utxo と transaction kernel は共に極めてコンパクトだ。これは2つの重要な結果を持っている:
|
||
|
||
* MimbleWimble ブロックチェーンのノードが保持する必要のある状態はとても少量である(
|
||
bitcoinサイズのブロックチェーンでは数ギガバイトのオーダーなのが、数百メガバイトにまで最適化
|
||
され得る)。
|
||
* MimbleWimble チェーンのネットワークに新しいノードがジョインする時、送信する必要のある
|
||
情報の量もまたとても少量である。
|
||
|
||
さらに、output を足したり除いたりするだけでも、 utxo の完全な集合は改ざんできない。そうすると
|
||
transaction kernel 内の blinding factor の和と outputs 内の blinding factor の和が
|
||
違ってしまうからである。
|
||
|
||
### 結論
|
||
|
||
このドキュメントでは、MimbleWimble ブロックチェーン根底にある基本的な原理を
|
||
説明した。楕円曲線暗号の加算の性質を用いることで、完全に不透明な、しかし validate
|
||
することのできるトランザクションを構築することができた。そしてこの性質をブロックに
|
||
一般化することによって、大量のブロックチェーンのデータを節約することができ、素晴らしいスケーリング、新しいピアの高速な同期が可能となった。
|