e🦀
не знаю про патенты, но ECDSA - это исчадие ада
Да, как раз в обход патентов Шнорра был сделан костыль
Size: a a a
2019 December 25
AD
ECDSA это же просто подписи..
e🦀
Мы на работе столкнулись с тем, что относительно вкусные MP ECDSA оказались запатентованными, но я уже точно не помню, какая именно реализация
OA
Ну вообще pairing based ECC очень новая штука и ей мало доверяют
штука не совсем в том, что она новая, а в том, что там DDH проблема сломана по дизайну
OA
и во-вторых, твоя вторая группа - это discrete log group, где DLP суб-экспоненциальна
OA
в отличие от ECDLP
OA
Да, как раз в обход патентов Шнорра был сделан костыль
Я про это сделал ток в сентябре в Риге: https://www.youtube.com/watch?v=2IpZWSWUIVE&t=6456s
e🦀
От начала до конца посмотрел уже
OA
ECDSA это же просто подписи..
ECDSA - это не просто подписи, а сырокопченая ебанина
OA
вот, я сделал протокол слепых подписей на ECDSA
e🦀
от него не так уж и много пользы в блокчейнах, а assumptions не такие строгие как DLP на curve25519
Чуваки из DFINITY пытались на их свойстве уникальности подписей сделать randomness beacon, см. “Threshold relay”. Проблемы начались как раз с trustless DKG
OA
Чуваки из DFINITY пытались на их свойстве уникальности подписей сделать randomness beacon, см. “Threshold relay”. Проблемы начались как раз с trustless DKG
не знаю че там с рендомнесс, в статье honeybadgerBFT есть неплохой обзор того, что требуется для генерации случайной монетки
OA
я знаю почему BLS просто как подписи не позволяет волшебно скомпрессировать блокчейн
OA
тут идея в том, что подписи BLS можно слепить вместе асинхронно - без координации сайнеров (в отличие от шнорра). Т.е. если майнер собрал транзакции от 100 юзеров, их индивидуальные подписи он может слепить в одну, и дальше другим майнерам и узлам передавать более компактный пруф
OA
во-первых, тебе все равно нужно передавать 100+ указателей на аккаунты/utxo, каждый по 32 байта. И для приватности люди не будут переиспользовать публичные ключи (а если будут, у тебя так много пользователей, что любые 100 из них - случайные), так что ты сможешь склеить только подписи, но не закешировать публичные ключи. Т.е. еще 100+ публичных ключей.
OA
на этом фоне, выигрыш от компрессии составляет 1.5-2x, в зависимости от формата транзакций. А не 10x.
OA
если же ты делаешь приватность через интерактивный coinjoin, то ты по-любому агрегируешь шнор-подписи (это ничего не стоит сделать, раз уж ты coinjoin делаешь), так что ты получаешь тот же выигрыш без BLS и на консервативной кривой