Leia o protocolo EVM criptografado totalmente homomórfico fhEVM em um artigo

Autor: ZAMA, Tradutor: Golden Finance xiaozou

fhEVM é um protocolo de contrato inteligente confidencial EVM desenvolvido pela ZAMA, um projeto de criptografia totalmente homomórfico.

O blockchain, como um mecanismo descentralizado de armazenamento e processamento de dados, requer transparência para permitir que os membros da rede cheguem a um consenso sobre o estado do sistema. Esta transparência representa, por si só, um enorme desafio em matéria de privacidade, uma vez que todos os dados em cadeia são amplamente distribuídos e publicamente visíveis, mesmo quando escondidos atrás de endereços anónimos.

Como resolver esse desafio garantindo a forte segurança das blockchains existentes é uma área de pesquisa que está sendo explorada. Sem uma solução, a transparência do blockchain pode dificultar a adoção de algumas aplicações úteis, então o uso generalizado do blockchain depende de como esse desafio de privacidade é abordado.

O objetivo do fhEVM é resolver esse desafio com blockchains de uso geral (Turing-complete), como o Ethereum. Acreditamos que a única maneira de o desenvolvimento de contratos inteligentes ser escalável é não exigir que os desenvolvedores tenham experiência em criptografia. É por isso que nossas soluções são projetadas para fornecer uma experiência de desenvolvedor suave e intuitiva. Além disso, uma solução bem-sucedida de preservação da privacidade deve suportar casos de uso e padrões de design comuns de blockchain, como combinar facilmente dados de diferentes usuários, manter dados criptografados on-chain e combinações de contratos inteligentes.

A solução que propomos baseia-se numa combinação de encriptação totalmente homomórfica (FHE) e um protocolo de limiar. Todos os dados estão on-chain e disponíveis para todos, e alguns deles estão em forma criptografada. Devido à natureza determinística da avaliação de funções homomórficas, todos podem realizar cálculos em dados criptografados e usar protocolos de consenso típicos. Isso também preserva intencionalmente um benefício fundamental da transparência do blockchain: os cálculos realizados permanecem públicos, enquanto apenas os dados que estão sendo computados estão ocultos.

1, fhEVM

Neste artigo, veremos os componentes inovadores do blockchain e como eles podem ser usados para construir um blockchain baseado em Ethereum Virtual Machine (EVM) que suporta a computação de valores criptográficos. As contribuições específicas são as seguintes:

· fhEVM, que será a biblioteca FHE de código aberto da Zama, TFHE-rs [Zam22] Integrado em um EVM típico que expõe operações homomórficas como contratos pré-compilados.

· Mecanismo de desencriptação baseado no protocolo de limiar distribuído [DDE+23].[Sma23] , que previne o mau funcionamento de contratos inteligentes maliciosos, mas é flexível e amigável para desenvolvedores de contratos inteligentes honestos.

· A biblioteca Solidity torna mais fácil para os desenvolvedores de contratos inteligentes usarem dados criptografados em seus contratos sem alterar a ferramenta de compilação.

Observe que, embora a apresentação dada aqui seja baseada no blockchain EVM, nossa abordagem é muito versátil e também pode suportar outros blockchains, como blockchains baseados em WASM. Além disso, os mecanismos de desencriptação de classes sem limiar podem ser facilmente utilizados.

2, exemplos

Melhorias de valor criptográfico on-chain revelaram até mesmo muitos casos de uso para blockchains, alguns dos quais estão listados abaixo.

2.1 Tokens Crypto ERC-20

O padrão de token fungível ERC-20 é um padrão importante para blockchains. No entanto, devido à natureza pública do sistema blockchain, os saldos pessoais dos detentores de tokens ERC-20 são públicos, e simplesmente fornecer um endereço anônimo pode levar a problemas de privacidade pessoal. Como o fhEVM suporta o uso de valores criptográficos em contratos inteligentes, é possível construir uma versão criptográfica do padrão de token ERC-20. Para fazer isso, basta alterar o tipo de dados do saldo de inteiro para inteiro criptográfico e substituir cada operação por sua respetiva contraparte FHE.

2.2 Tiro às cegas

Os leilões selados de primeiro preço permitem que os licitantes apresentem licitações de forma privada para que ninguém saiba o que estão a licitar. Quando o lance é fechado, o maior lance é determinado e declarado o vencedor. Os leilões cegos incentivam os licitantes a licitar apenas o valor do lote. Esta forma de leilão pode ser implementada inteiramente on-chain usando valores criptográficos naturalmente, sem a necessidade de uma entidade confiável para realizar cálculos em lances de texto simples, ao contrário de soluções baseadas em promessas ou baseadas em provas de conhecimento zero. Com os tokens criptográficos ERC-20, os licitantes simplesmente transferem o valor criptográfico para um contrato inteligente de leilão cego e, em seguida, comparam os lances para determinar e anunciar o vencedor.

2.3DAO para Privacidade Melhorada

As Organizações Autônomas Descentralizadas (DAOs) estão se tornando cada vez mais populares no espaço blockchain como uma forma de criar comunidades autônomas sem uma autoridade central. Eles dependem de contratos inteligentes para aplicar regras e tomar decisões com base nos votos dos membros. Em geral, as DAOs têm seus próprios cofres, que são administrados por seus membros por meio de propostas. As propostas são votadas pelos membros e só podem ser implementadas depois de terem sido votadas. O sistema de votação aqui pode ser implementado através de um contrato de token ERC-20, onde o número de tokens detidos pelos membros reflete seu poder de voto. Assim, os valores criptográficos on-chain permitem que os membros da DAO votem secretamente.

Usando cofres de criptomoedas, as DAOs também podem competir de forma justa em leilões, impedindo que outros saibam os detalhes dos fundos (ou seja, a capacidade de licitar) com antecedência.

2.4 Identificadores descentralizados

Os identificadores descentralizados (DIDs) são um novo tipo de identificador que fornece a indivíduos e organizações identidades digitais verificáveis e autônomas. Aproveitando dados criptografados, os contratos inteligentes localizados no fhEVM são capazes de armazenar e processar com segurança informações confidenciais relacionadas às identidades dos usuários, protegendo a privacidade do usuário durante todo o processo.

Por exemplo, uma autoridade central ou governo pode publicar uma data criptográfica de nascimento de um usuário autorizado em um contrato inteligente. Posteriormente, a parte autorizada pode consultar o contrato inteligente, se necessário, para obter informações sobre a idade do usuário (por exemplo, se ele é maior de idade).

3, trabalho relacionado

Há várias maneiras de realizar cálculos de contratos inteligentes em insumos privados. Embora algumas soluções possam usar mais de uma tecnologia, dividimos amplamente essas tecnologias em quatro categorias:

Provas de conhecimento zero (ZK), ambiente de execução confiável (TEE), computação multipartidária segura (MPC) e criptografia homomórfica (HE).

3.1 Provas de conhecimento zero (ZK)

As provas ZK abordam os desafios de privacidade mantendo apenas os dados enviados on-chain e computando corretamente as provas. No entanto, esses dados devem estar em texto simples para que os cálculos sejam realizados, o que significa que uma cópia em texto simples dos dados deve ser mantida em algum lugar. Essa abordagem funciona bem quando a computação requer apenas dados de uma parte, mas e os aplicativos que exigem dados de várias partes?

ZCash [BCG+14] e Monero [Mon23] [Ped92]Fornecer anonimato ao emissor e ao destinatário na transação, usando o compromisso Pedersen Proteção de privacidade para o número de tokens negociados.

Zexe [BCG+20] e VeriZexe [XCZ+23] permitem o uso de zkSNARKs para avaliar scripts arbitrários em blockchains do tipo zero-cash. A restrição é que, como vários contratos inteligentes ou várias partes não têm acesso ao estado criptográfico na cadeia, os dados de entrada devem ser conhecidos por pelo menos uma parte para gerar um zkSNARK. Atualmente, não é possível atualizar o estado de criptografia sem revelá-lo usando esse método.

Hawk [KMS+16] usa provas ZK onde a entrada para o contrato inteligente é exibida para um gerente confiável que executa o cálculo.

Nossa solução é realizar cálculos diretamente em dados criptografados, o que significa que é simples agregar e misturar dados de vários usuários, e os cálculos podem ser realizados on-chain.

3.2 Ambiente de Execução Confiável (TEE)

O sistema blockchain baseado em TEE apenas armazena os dados criptografados on-chain e executa o cálculo descriptografando os dados dentro do enclave seguro contendo as chaves de descriptografia [YXC+18, KGM19, CZK+19, SCR23, Oas23, Pha23]. A segurança de tal solução depende se a chave de desencriptação está contida de forma segura no Enclave Seguro. Isso torna os usuários dependentes do hardware do Enclave Seguro e de seus fabricantes que dependem de mecanismos de atestado remoto.

O método do enclave tem sido repetidamente mostrado para ser suscetível a vários ataques de canal lateral [VMW+18, LSG+18, KHF+19, vMK+21, TKK+22, vSSY+22], incluindo ataques que olham apenas para vazamentos de padrão de acesso à memória [JLLJ+23].

3.3Computação Multipartidária (MPC)

zkFalcão [BCT21] [BT22]e V-zkHawk Usando o protocolo MPC em vez do gerenciador confiável no Hawk [KMS+16], todas as partes de entrada precisam participar online.

Águia [BCDF23] A estrutura do Hawk foi melhorada para permitir que os clientes terceirizem suas entradas para o motor MPC, que fará os cálculos para eles. A Eagle também adicionou recursos como abortamentos identificáveis e verificabilidade pública ao motor MPC terceirizado. Embora no Eagle, o lado de entrada não precisa estar online o tempo todo, eles precisam interagir com o motor MPC por pelo menos uma rodada para fornecer a entrada [DDN+16].

Embora seu livro amarelo seja muito detalhado, não há nada sobre Partisia nele [Par23] Como implementar a proteção de privacidade das informações armazenadas.

3.4Encriptação homomórfica (HE)

Várias soluções criptográficas homomórficas foram propostas com base na criptografia homomórfica parcial, que limita os tipos de operações que podem ser executadas, de modo que apenas classes específicas de contratos inteligentes e aplicativos são suportados. Por exemplo, Zether [BAZB20] O uso do esquema de criptografia baseado em ElGamal garante a transferência confidencial de fundos. Mas quando se trata de contratos inteligentes mais complexos, isso não é suficiente para alcançar o sigilo total.

Zkay [SBG+19] define como executar contratos inteligentes Ethereum usando FHE, mas usando um terceiro confiável que detém a chave de descriptografia. smartFHE [SWA23] [FV12]BFV é usado FHE é construído como um bloco de camada de base (HE). Em sua configuração, cada carteira executa o processo de geração de chaves BFV localmente para obter um par de chaves públicas. Várias carteiras têm chaves diferentes, portanto, para executar contratos inteligentes mais complexos, como leilões cegos, um protocolo de geração de chaves distribuídas precisa ser executado e um conjunto (PK, SK) é gerado. O texto cifrado envolvido na computação precisa então ser re-criptografado sob uma nova PK, e após a execução homomórfica do tiro cego, um protocolo de descriptografia distribuído precisa ser executado para obter o resultado (embora o protocolo de descriptografia distribuída não seja detalhado em sua documentação).

PESCAS [Dai22] Usando uma arquitetura semelhante à nossa, uma PK de chave pública global é usada, que todos usam para criptografar seus próprios saldos, e um protocolo FHE de limite é usado para ajudar a descriptografar a saída. Uma grande diferença é que suas operações de módulo de protocolo limiar são realizadas com q = p como número primo, enquanto o nosso se aplica ao anel zq, onde q é geralmente uma potência de 2. Outra diferença é que, no PSCA, o limiar FHE módulo q está exponencialmente relacionado com o número de partes participantes n; Ou seja, o módulo de texto cifrado deve aumentar (n!) em comparação com o esquema não-limiar 3 vezes.

Houve uma série de Propostas de Melhoria do Ethereum (EIPs) que exploraram a ideia de adicionar armazenamento criptográfico homomórfico ao EVM.