ICA:a16z：Cicada如何利用時間鎖謎題和ZK證明實現鏈上投票_PICA價格

作者：Michael Zhu  編譯：Lynn，MarsBit

所有無論以何種有意義的方式運作的投票系統都依賴于完整性和透明度。從表面上看，這使得區塊鏈成為構建這些系統的理想平臺——事實上，許多去中心化的組織已經接受了無許可投票來表達集體意圖，通常是在揮舞大量財富或調整關鍵協議參數的情況下。但是鏈上投票也有缺點，隱私仍未被探索和開發，對 Web3 投票系統不利——在目前使用的大多數鏈上投票協議中，選票和投票結果是完全公開的。如果沒有隱私，投票結果很容易被操縱和選民激勵錯位，可能會導致不民主的結果。

這就是為什么我們要發布 Cicada：一個新的、開源的 Solidity 庫，利用時間鎖謎題和零知識證明來實現私人鏈上投票。與現有的系統相比，Cicada 具有新穎的隱私屬性，最大限度地減少了信任假設，并且足夠高效，可以在以太坊主網上使用。

在這篇文章中，我們調查了投票隱私的情況，并提供了關于 Cicada 如何工作的高層次描述（正式的證明即將到來）。我們還鼓勵開發者查看 GitHub 倉庫——Cicada 可以通過許多方式進行調整和擴展，以支持不同的投票方案和功能，我們希望與社區合作，探索這些可能性。

在任何投票系統（鏈上或其他）中，有許多不同層次的隱私需要考慮。個別選票的披露、運行中的計票和選民身份都會以不同方式影響選民的積極性。哪些隱私屬性是必要的，取決于投票的背景。在密碼學和社會科學文獻中經常出現的幾個：

a16z crypto引入Lasso和Jolt工具來增強零知識證明:金色財經報道，風險投資公司 Andreessen Horowitz 的加密貨幣部門 a16z crypto 推出了 Lasso 和 Jolt，這是一對基于簡潔非交互式知識論證（SNARK）的新工具。SNARK 是一種零知識證明，有可能促進第 2 層空間中的可擴展 ZK Rollup，這通常被視為計算密集型。Lasso 是 a16z 兩篇研究論文的主要創新，它采用了“查找參數”機制，有利于更快的零知識證明。它將特定的輸入與相應的輸出相匹配，而不泄露額外的信息。該團隊指出，Lasso 引入了一種簡化的方法來驗證 SNARK，通過對大量結構化表執行查找來避免繁瑣的手動優化電路。[2023/8/11 16:18:58]

選票隱私：秘密選票，也被稱為「澳大利亞選票」，是為現實世界的投票系統開發的，作為保持個人選民的偏好的一種方式，并減輕賄賂和脅迫（在鏈上設置，我們可能需要一個比選票隱私更強大的屬性——見下文的「無收據性」）。選票隱私還可以減輕社會期望偏差——某人基于他人對其選擇的看法而投票的壓力較小。

正在進行中計票的隱私：許多投票系統在選民仍在投票時隱藏正在進行中的計票，或每個選項已經投了多少票，以避免影響投票率和選民激勵。我們已經在現實世界中看到了這種情況；例如，較晚投票的美國參議員比較早投票的參議員更有可能與他們的政黨保持一致。而在鏈上：在代幣加權投票中，鯨魚可以通過讓對手保持領先來哄騙他們的虛假安全感（有些人可能懶得投票，假設他們無論如何都會贏），然后在最后一刻投出自己的選票來左右結果。

a16z宣布放棄實體總部并遷移到云端，硅谷正逐漸失去網絡效應:7月22日消息，Andreessen Horowitz（a16z）創始合伙人Ben Horowitz撰寫最新文章，宣布未來a16z的總部將設在云端，在公司的新運營模式中，主要以虛擬方式工作，但是可以根據實際需求設立實體辦公室，幫助企業家更好地發展。[2022/7/22 2:30:28]

選民的匿名性：在許多現實世界的投票系統中，你的投票是不公開的，但你投了票的事實往往是公開的。這對于防止選民欺詐很重要，因為公布投票者的記錄可以讓人們檢查是否有其他人以他們的名義投票。然而，在鏈上，我們可以防止選民欺詐，同時使用加密基元保留匿名性——例如，通過 Semaphore，你可以在零知識中證明你是一個還沒有投過票的合格的選民。

無收據性：個人選民提供其選票的「收據」，以證明他們是如何向第三方投票的，否則可能導致賣票。一個密切相關但更強大的屬性是抗脅迫，它可以防止有人脅迫選民以某種方式投票。這些屬性在去中心化的環境中特別有吸引力，因為投票權可以通過智能合約市場實現流動性。不幸的是，它們也很難實現——事實上，Juels 等人指出，在沒有可信硬件的情況下，這在無許可的環境下是不可能的。

Cicada 專注于正在進行中計票隱私，但（正如我們在后面討論的）它可以與零知識組成員證明聯合，以達成選民的匿名性和選票隱私。

a16z聯合創始人：加密貨幣對世界的改變太徹底，太底層了:金色財經報道，麥肯錫官網刊登了對a16z聯合創始人Marc Andreessen的專訪，在訪談中，Marc Andreessen分享了自己對新技術發展前景的預測，以及a16z的重點投資領域。Andreessen表示，現在，我們認為已經搜索到了三個非常有發展可能的新山，正好可以縮寫成ABC。A是AI，B是Biotech（生物科技），C是Crypto（加密貨幣）和Web3。巴菲特剛剛在奧馬哈的年度會議上抨擊了整個行業。我認為這些批評不是作秀，是發自肺腑的（visceral），但他們沒有認真思考。針對這些批評，我認為有兩種可能的解釋。

第一，他們可能是對的。也許See's Candies（巴菲特投資的糖果公司）就是未來，而不是區塊鏈。

第二，加密貨幣對世界的改變太徹底，太底層了。每當人們想到，“這是一種新的貨幣形式”，或者“這是一個關于貨幣的新理論”，甚至“這是一個跟貨幣相關的新科技”時，人們會變得緊張，變得情緒化。作為關注非共識項目，一向逆向思考的投資人，這些批評讓我們很高興。如果所有其他人都不看好，但同時我們是對的，我們投資的創始人和公司將有巨大機會。[2022/7/3 1:47:37]

為了實現正在進行中計票的隱私，Cicada 利用了（據我們所知）以前從未在鏈上使用過的密碼學基元。

Azra Games完成1500萬美元融資，a16z領投:金色財經報道，P2E游戲工作室Azra Games完成1500萬美元融資，a16z領投，FX、Coinbase Ventures、Play Ventures 和 Franklin Templeton參投，據悉a16z是通過昨天剛剛推出的加密游戲基金投資的這家公司。Azra 將利用這筆最新融資擴大旗下 24 人的團隊，專注于游戲產品、開發和品牌建設，該公司將在未來幾個月內發布第一款具有游戲化功能的 PFP 游戲。[2022/5/19 3:28:44]

首先，時間鎖謎題（Rivest, Shamir, Wagner, 1996 ）是一個加密謎題，它封裝了一個秘密，只有在一些預定的時間過后才能被揭示——更具體地說，這個謎題可以通過重復進行一些非平行計算來解密。時間鎖定謎題在投票的背景下對于實現運行統計的隱私很有用： 用戶可以將他們的選票作為時間鎖謎題提交，這樣他們在投票過程中是保密的，但在投票后可以被揭露。與其他大多數私人投票結構不同的是，這使得運行統計隱私不需要依賴統計機構（如選舉工作人員計算紙質或數字選票）、閾值加密（幾個受信任方必須合作解密一個消息）或任何其他受信任方：任何人都可以解決一個時間鎖謎題，以確保投票后結果被揭示。

其次，一個同構的時間鎖謎題（Malavolta Thyagarajan, 2019 ）具有額外的屬性，即在知道秘密密鑰、解密謎題或使用后門的情況下，對加密值的一些計算是可能的。特別是，一個線性同態的時間鎖謎題允許我們將謎題組合在一起，產生一個新的謎題，封裝了原始謎題的秘密值的總和。

去中心化金融平臺Celo完成2000萬美元融資，a16z參投:2月10日消息，去中心化金融平臺Celo已完成2000萬美元的融資，同時基于Celo平臺的首個點對點支付及移動支付應用Valora正式上線。此輪融資的投資者包括Andreesen Horowitz、Greenfield One和Electric Capital。此輪融資使得Celo的融資總額達到6500萬美元，而Celo此前的投資者包括Jack Dorsey和Coinbase Ventures。（The Block）[2021/2/10 19:28:06]

正如論文作者所指出的，線性同態的時間鎖謎題是一種特別適合于私人投票的基元： 選票可以被編碼為謎題，并且它們可以被同態地組合起來，以獲得一個編碼最終計票的謎題。這意味著只需要一次計算就可以揭示出最終結果，而不是為每張選票解決一個獨特的謎題。

要使投票方案在鏈上實用，還需要考慮幾個問題。首先，攻擊者可能會試圖通過投一個不正確的編碼的選票來操縱投票。例如，我們可能希望每張選票的時間鎖謎題都編碼為一個布爾值：「 1 」表示支持被投票的提案，「 0 」表示反對。一個熱心的提案支持者可能會試圖編碼，例如「 100 」來擴大他們的有效投票權。

我們可以通過讓選民在提交選票本身的同時提交一份關于選票有效性的零知識證明來防止這種攻擊。不過零知識證明的計算成本很高——為了盡可能降低選民參與的成本，證明應該是（1 ）可有效計算的客戶端和（2 ）可有效驗證的鏈上證明。

為了使證明盡可能高效，我們使用了定制的 sigma 協議——為特定代數關系設計的零知識證明，而不是通用的證明系統。這使得證明者的時間非常快：用 Python 生成一個選票有效性證明，在一臺現成的筆記本電腦上需要 14 ms.

雖然該 sigma 協議的驗證器在概念上很簡單，但它需要相當一部分大的模冪。Malavolta 和 Thyagarajan 的線性同態方案使用 Paillier 加密，因此這些求冪將對某些 RSA 模 N 以 N^ 2 為模執行。對于合理大小的 N，在大多數 EVM 鏈上，取冪非常昂貴（數百萬 gas）。為了降低成本，Cicada 使用 指數 ElGamal——指數 ElGamal 仍然提供加性同態，但在更小的模數上工作（N 而不是 N^ 2 ） 。

使用 ElGamal 的一個缺點是解密計數的最后一步需要暴力破解離散日志（請注意，這是在鏈下完成并在鏈上有效驗證）。因此，它僅適用于預期的最終票數相當小的情況（例如小于 2 ^ 32 ，或大約 430 萬票）。在最初的基于 Paillier 的方案中，無論其大小如何，計數都可以被有效地解密。

選擇 RSA 模數 N 也涉及權衡。 我們的實現使用 1024 位模數來提高 gas 效率。雖然這遠高于有史以來公開分解的最大 RSA 模數（829 位），但低于 通常推薦的大小為 2048 位，用于 RSA 加密或簽名。但是，我們的應用程序不需要長期安全性：一旦選舉結束，如果將來考慮 N 就沒有風險。假定計票和選票在時間鎖定期滿后公開，因此使用相對較小的模數是合理的。 （如果分解算法改進，這也可以在未來輕松更新。）

如上所述，Cicada 提供了運行計票隱私——時間鎖定謎題屬性在投票期間保持計票的私密性。然而，每個單獨的選票也是一個時間鎖難題，在相同的公共參數下加密。這意味著就像可以解密計數（通過執行必要的計算）一樣，每張選票也可以。換句話說，Cicada 僅在投票期間保證選票隱私——如果好奇的觀察者希望解密特定選民的選票，他們可以這樣做。解密任何個人選票與解密最終計票一樣昂貴，因此天真地需要 O(n) 的工作來完全解密有 n 名選民的選票。但是所有這些選票都可以并行解密（假設有足夠多的機器），花費的掛鐘時間與解密最終計票所需的時間相同。

對于某些選票，這可能是不可取的。雖然我們對臨時運行計票隱私感到滿意，但我們可能希望無限期投票隱私。為實現這一點，我們可以將 Cicada 與匿名選民資格協議結合起來，通過零知識組成員身份證明進行實例化。這樣，即使選票被解密，它所揭示的只是某人以這種方式投票——我們已經從計票中知道了這一點。

在我們的存儲庫中，我們包含一個使用 Semaphore 進行選民匿名的示例合約。但是請注意，Cicada 合約本身沒有對如何確定或執行選民資格做出任何假設。特別是，您可以將 Semaphore 替換為例如 Semacaulk 或 ZK 狀態證明（如此處和此處所建議的）。

我們在設計 Cicada 時的首要任務之一是避免需要統計機構：許多私人投票結構需要一個半信任的統計機構（或授權委員會，通過安全的多方計算進行協調）接收和匯總選票。在區塊鏈環境中，這意味著這些方案不能僅由智能合約執行，需要一些人為干預和信任。

在大多數結構中，計票當局在完整性方面不受信任（他們無法操縱選票計數），但在活性方面值得信任——如果他們離線，則無法計算最終結果，從而無限期地拖延投票結果。在某些結構中，他們也被信任維護隱私——也就是說，他們了解每個人如何投票，但預計會在不透露此信息的情況下公布投票結果。

盡管在許多現實世界的場景中，統計當局是一個合理（且必要）的假設，但它們在區塊鏈環境中并不理想，我們的目標是最大限度地減少信任并確保審查阻力。

Cicada 探索了鏈上投票隱私領域的眾多方向之一，并補充了其他團隊正在進行的大部分研究。如上所述，Cicada 與信號量、ZK 存儲證明和限速無效器等匿名組成員技術密切相關。Cicada 還可以集成 Nouns Vortex 團隊提出的 optimistic 證明檢查器，以減輕選民的 gas 負擔。

還有機會調整 Cicada 以支持不同的投票方案（例如代幣加權投票、二次投票）——更復雜的方案對于以太坊主網來說可能計算成本太高，但它們在 L2 上可能是實用的。考慮到這一點，我們歡迎您就下一步將 Cicada 帶到哪里做出貢獻、分叉和建議。

MarsBit

媒體專欄

閱讀更多

金色早8點

金色財經 子木

歐科云鏈

比推BitpushNews

-R3PO

深潮TechFlow

Biteye

肖颯lawyer

PANews

Odaily星球日報

Foresight News

Tags：BSPNBSCADICABSP價格nbs幣發行量CADINU幣PICA價格

LTC