删除官网加密货币表述,
a16z:Cicada如何利用时间锁谜题和ZK证明实现链上投票
2023.05.26
原文作者:Michael Zhu
原文编译:Lynn,MarsBit
所有无论以何种有意义的方式运作的投票系统都依赖于完整性和透明度。从表面上看,这使得区块链成为构建这些系统的理想平台——事实上,许多去中心化的组织已经接受了无许可投票来表达集体意图,通常是在挥舞大量财富或调整关键协议参数的情况下。但是链上投票也有缺点,隐私仍未被探索和开发,对 Web3 投票系统不利——在目前使用的大多数链上投票协议中,选票和投票结果是完全公开的。如果没有隐私,投票结果很容易被操纵和选民激励错位,可能会导致不民主的结果。
这就是为什么我们要发布 Cicada:一个新的、开源的 Solidity 库,利用时间锁谜题和零知识证明来实现私人链上投票。与现有的系统相比,Cicada 具有新颖的隐私属性,最大限度地减少了信任假设,并且足够高效,可以在以太坊主网上使用。
在这篇文章中,我们调查了投票隐私的情况,并提供了关于 Cicada 如何工作的高层次描述(正式的证明即将到来)。我们还鼓励开发者查看 GitHub 仓库——Cicada 可以通过许多方式进行调整和扩展,以支持不同的投票方案和功能,我们希望与社区合作,探索这些可能性。
私人投票的简要调查
在任何投票系统(链上或其他)中,有许多不同层次的隐私需要考虑。个别选票的披露、运行中的计票和选民身份都会以不同方式影响选民的积极性。哪些隐私属性是必要的,取决于投票的背景。在密码学和社会科学文献中经常出现的几个:
选票隐私:秘密选票,也被称为「澳大利亚选票」,是为现实世界的投票系统开发的,作为保持个人选民的偏好的一种方式,并减轻贿赂和胁迫(在链上设置,我们可能需要一个比选票隐私更强大的属性——见下文的「无收据性」)。选票隐私还可以减轻社会期望偏差——某人基于他人对其选择的看法而投票的压力较小。
正在进行中计票的隐私:许多投票系统在选民仍在投票时隐藏正在进行中的计票,或每个选项已经投了多少票,以避免影响投票率和选民激励。我们已经在现实世界中看到了这种情况;例如,较晚投票的美国参议员比较早投票的参议员更有可能与他们的政党保持一致。而在链上:在代币加权投票中,鲸鱼可以通过让对手保持领先来哄骗他们的虚假安全感(有些人可能懒得投票,假设他们无论如何都会赢),然后在最后一刻投出自己的选票来左右结果。
选民的匿名性:在许多现实世界的投票系统中,你的投票是不公开的,但你投了票的事实往往是公开的。这对于防止选民欺诈很重要,因为公布投票者的记录可以让人们检查是否有其他人以他们的名义投票。然而,在链上,我们可以防止选民欺诈,同时使用加密基元保留匿名性——例如,通过 Semaphore,你可以在零知识中证明你是一个还没有投过票的合格的选民。
无收据性:个人选民提供其选票的「收据」,以证明他们是如何向第三方投票的,否则可能导致卖票。一个密切相关但更强大的属性是抗胁迫,它可以防止有人胁迫选民以某种方式投票。这些属性在去中心化的环境中特别有吸引力,因为投票权可以通过智能合约市场实现流动性。不幸的是,它们也很难实现——事实上,Juels 等人指出,在没有可信硬件的情况下,这在无许可的环境下是不可能的。
Cicada 专注于正在进行中计票隐私,但(正如我们在后面讨论的)它可以与零知识组成员证明联合,以达成选民的匿名性和选票隐私。
介绍 Cicada: 来自同态时间锁难题的计票隐私
为了实现正在进行中计票的隐私,Cicada 利用了(据我们所知)以前从未在链上使用过的密码学基元。
首先,时间锁谜题(Rivest, Shamir, Wagner, 1996 )是一个加密谜题,它封装了一个秘密,只有在一些预定的时间过后才能被揭示——更具体地说,这个谜题可以通过重复进行一些非平行计算来解密。时间锁定谜题在投票的背景下对于实现运行统计的隐私很有用: 用户可以将他们的选票作为时间锁谜题提交,这样他们在投票过程中是保密的,但在投票后可以被揭露。与其他大多数私人投票结构不同的是,这使得运行统计隐私不需要依赖统计机构(如选举工作人员计算纸质或数字选票)、阈值加密(几个受信任方必须合作解密一个消息)或任何其他受信任方:任何人都可以解决一个时间锁谜题,以确保投票后结果被揭示。
其次,一个同构的时间锁谜题(Malavolta Thyagarajan, 2019 )具有额外的属性,即在知道秘密密钥、解密谜题或使用后门的情况下,对加密值的一些计算是可能的。特别是,一个线性同态的时间锁谜题允许我们将谜题组合在一起,产生一个新的谜题,封装了原始谜题的秘密值的总和。
