29/03/2019
В этом эпизоде мы ответим на несколько вопросов, полученных от наших зрителей.
Книги и источники:
Введение в математическую криптографию
Введение в современную криптографию
Интенсивное введение в криптографию
Monero Konferenco
Стенограмма эпизода:
Джастин: Добро пожаловать на одиннадцатый эпизод Breaking Monero. Это специальный эпизод, в рамках которого мы ответим на вопросы, присланные нам на почту людьми в связи с прошлыми эпизодами. Мы — это я, Джастин, Брендон и Саранг. На самом деле, вопросов довольно много, и мы надеемся, что у нас получится восполнить некоторые пробелы или разъяснить некоторые серии Breaking Monero, или же коснуться проблем, которые, по вашему мнению, имеют отношение к контрибьюторам Исследовательской лаборатории Monero. Итак, Брендон, Саранг, начнём, пожалуй.
Джастин: В первом полученном нами вопросе, касающимся темы, затронутой во втором эпизоде, говорится о том, что во время одного из эпизодов Monero Talk Эндрю Поэлстра высказал идею, согласно которой Monero может либо обеспечивать совершенную анонимность, используя свои механизмы сокрытия средств, либо твёрдую гарантию невозможности создания таких средств. Не мог бы ты сравнить идеальное связывание с идеальным сокрытием, Саранг?
Саранг: Я могу только догадываться, о чём тут идёт речь. Я не смотрел того эпизода, поэтому мне точно не известно, что именно сказал Эндрю, но идея, видимо, состоит в том, что Monero и некоторые другие типы цифровых активов обычно скрывают сумму транзакции, используя так называемое обязательство Педерсена, и это является единственным способом «замаскировать» сумму алгебраически практическим путём. И под «алгебраической практичностью» я подразумеваю наличие операций, которые мы можем провести с транзакциями, использующие алгебру и арифметику на эллиптической кривой, чтобы гарантировать, что средства не будут создаваться из воздуха, и что транзакции будут сбалансированы. И эти так называемые схемы обязательств или схемы сокрытия обладают двумя свойствами. Есть свойство сокрытия, что означает, что даже очень сильный злоумышленник либо сможет, либо не сможет определить скрытую сумму транзакции. Также есть свойства, которое иногда называют связыванием, и это свойство означает, что всемогущая проверяющая сторона или пользователь системы будет способен или не будет способен открыть обязательство по различным активам. Таким образом, в основном всё зависит от того, привязывает вас или нет обязательство к определённой сумме, и выходит, что математически оба этих механизма далеко не совершенны. Так что обязательства Педерсена, по сути, являются идеальным механизмом сокрытия. Я хочу сказать, что очень мощный, не ограниченный в плане вычислительных мощностей злоумышленник, никогда не сможет определить, какая сумма была скрыта, здесь всегда будет сохраняться возможность отрицания. Но обязательства Педерсена фактически не обеспечивают связываемости, они, как говорится, связывают с вычислительной точки зрения, что означает, что при определённых вычислительных ограничениях вы, как правило, ограничены одной определённой суммой. Но они не обеспечивают идеального связывания, что означает, что достаточно мощная доказывающая сторона или пользователь системы теоретически могут открыть обязательство, чтобы умножить сумму. И это совсем нехорошо, если вы хотите гарантировать, что никогда, никогда не появится возможность создавать средства или транзакции, которые будут выглядеть сбалансированными, но на самом деле таковыми являться не будут. С практической точки зрения это понятные конструкции, и эти вычислительные ограничения вполне оправданы, но поэтому мы и называем их вычислительно связывающими и связывающими не идеально. Существуют другие схемы обязательств, и одна из них, довольно часто используемая, называется схемой обязательств Эль-Гамаля, в целом она также всё переворачивает, так что если проект и решит использовать схему обязательств Эль-Гамаля, это, по сути, будет означать, что сокрытие суммы более не будет идеальным, а значит, злоумышленник, не ограниченный в вычислительных ресурсах, сможет узнать скрытую сумму, но в то же время вы будете идеально связаны, то есть не сможете позднее открыть это обязательство для другой суммы. Идея концепции, к которой мог бы перейти или не перейти проект Monero, которая бы изменила ситуацию, довольно сложна. Такое решение должно соответствовать типам используемых нами подписей, а также используемому нами виду доказательств диапазона. В работе по Bulletproofs, например, рассматривалась возможность изменения протокола таким образом, чтобы он бы стал более сложным с вычислительной точки зрения и в количестве требуемого места, что могло бы подтолкнуть к переходу к обязательствам Эль-Гамаля. Но, опять же, это должно было бы соответствовать другим используемым нами схемам. В сущности, этот вопрос особо не рассматривается, потому как мы накладываем определённые вычислительные ограничения на злоумышленников и пользователей системы. Брендон, может, ты что-то добавишь по теме схем обязательств?
Шурэ: Конечно. Тим Рот уже рассматривал нечто под названием «обязательства с переключением» (Switch Commitments), о которых, я уверен, ты упоминал. Идея таких обязательств состоит в том, что они используют механизм, идеально скрывающий сумму до тех пор, пока за дело не берутся квантовые компьютеры, чтобы взломать эти обязательства, и тогда они переключаются на что-то, что уже не обеспечивает идеального сокрытия, но идеально связывает, не позволяя квантовым компьютерам мудрить с балансом. Одним из возможных направлений, которому Monero могла бы следовать в будущем, и я не утверждаю, что скоро так и будет, но одним из возможных для нас направлений является использование обязательств с переключением, которые могут обеспечить сразу оба преимущества. Мы можем пользоваться свойством идеального сокрытия сейчас и до тех пор, пока нам не понадобится свойство связывания.
Джастин: Как вы думаете, в случае с людьми, привыкшими к абсолютно прозрачной системе, такой как Bitcoin, уверенными в доступной сумме поступления Bitcoin, когда масштаб связывания проще продвинуть, и которые считают анонимность важным фактором, но скорее принесут её в жертву вычислительной конкурентоспособности, чтобы решать соответствующие задачи. Не считаете ли вы, что подобные схемы обязательств наиболее вероятно будут реализованы в таких системах, как Bitcoin?
Шурэ: Я определённо уверен, что что-то вроде обязательств с переключением будет проще реализовать в таком проекте, как Bitcoin. Bitcoin — очень консервативный проект, так как они являются лидерами по многим направлениям. Они находятся на переднем крае исследований, но они и шагу не сделают, если не будут абсолютно уверены в том, что не сломают всё, что можно, что, на самом деле, является великолепным и достойным восхищения подходом к разработке вещей, подобных криптовалютам. Дело в том, что боязнь пост-квантового апокалипсиса, когда квантовые компьютеры смогут с лёгкостью взломать любой баланс Monero и увидеть, сколько средств имеется у вас, это нереально сейчас, и, как по мне, такие опасения нельзя рассматривать всерьёз, поскольку если пост-квантовые компьютеры станут реальностью, каждая транзакция Amazon станет небезопасной, вообще развалится весь интернет. Я хочу сказать, что всё, что делается, неплохо, но сейчас страх пост-квантовых компьютеров преувеличен, так что даже если проще будет реализовать нечто вроде обязательств с переключением, то это будет подготовкой к Апокалипсису, который может и не наступить.
Саранг: Мне кажется, также стоит отметить, что, в случае с Bitcoin, необходимость в обязательствах по сумме отсутствует, так как они не скрывают сумм, всё уже открыто на всеобщее обозрение.
Джастин: Хорошо, здорово. Есть ещё, что добавить по этому вопросу, Саранг или Брендон?
Шурэ: Просто хочу отметить, что даже несмотря на то, что Bitcoin не скрывает транзакций, в прошлом предлагалось ввести конфиденциальные транзакции в рамках проекта, но без кольцевых подписей, а просто скрывать суммы, и это было оригинальное предложение по созданию конфиденциального актива, которое озвучил Грег Максвелл.
Саранг: Да, было такое предложение для Bitcoin, а затем его реализовали мы, но в форме колец.
Джастин: В нашей серии эпизодов Breaking Monero мы не касались лежащей в основе математики, мы говорили только о верхнем концептуальном уровне, чтобы люди могли понять, что происходит на самом деле, и один человек спросил нас, даже если мы не станем вдаваться в математические подробности, какие учебники лучше всего помогут ознакомиться с этими основами, чтобы узнать больше конкретно по этой теме? Итак, я снова начну с тебя, Саранг. Что бы ты порекомендовал людям, которые начинают, возможно, со студенческого уровня и хотят узнать больше об этих криптографических схемах?
Саранг: Ну, скажем так, тебе повезло, потому что совершенно случайно у меня есть с собой пара книг. Специально ли я принёс их, или они постоянно лежат у меня под рукой — вам решать.
Шурэ: Боооотан… бооооотан…
Саранг: А, это да. Итак, многое здесь зависит от уровня, с которого вы готовы начать, а также знаний, которые у вас уже имеются на текущий момент. Если вы знакомы и справляетесь с алгеброй на студенческом уровне и хотите начать с этого, то есть одна хорошая книга, вот она, книга написана Хофштейном, Пифером и Сильверманом и называется Введение в математическую криптографию. Есть издания поновее, есть постарше, в зависимости от того, что вам нужно. Конкретно это издание даёт хорошее представление о некоторых классических и современных методах шифрования. Предполагается, что для начала у вас уже имеется базовое знание алгебры уровня средней школы или колледжа. Это хорошая книга для начала. То есть с точки зрения продвинутых методов она не так хороша, равно как и для создания безопасных решений. В ней рассказывается о математике, стоящей за такими решениями, но я бы не полагался на её содержание при создании безопасного варианта реализации. Тем не менее это очень хорошая книга. Следующая книга пригодится тем, кто больше заинтересован в формальном подходе, и она не для слабонервных. Это Введение в современную криптографию Каца и Линделла. Эта книга предназначена для продвинутых студентов и начинающих аспирантов. В ней описаны формальные варианты реализации определённых конструкций. Это очень-очень хорошая и очень-очень полная книга. Я бы не советовал браться за неё новичкам. В ней очень хорошо описаны формальные варианты. Есть ещё множество хороших книг, но эти две охватывают два важных уровня. Они будут полезны тем, кто начинает разбираться с математикой и действительно хочет усилить доказательства безопасности и заняться подобными вещами.
Шурэ: Я только на днях узнал о существовании документа под названием Интенсивное введение в криптографию, который представляет собой набор слайдов, и который был написан в Гарварде. В настоящее время документ используется в Университете Клемсона в рамках курса по криптографии.
Джастин: И что в нём хорошо, так это то, что он выложен в свободный доступ в формате PDF, так что вы совершенно спокойно можете ознакомиться с ним.
Шурэ: Всегда приятно скачивать бесплатные PDF. Я не знаю другого способа бесплатного получения PDF, кроме как напрямую у самих авторов.
Джастин: Итак, я думаю с этим достаточно, давайте переходить к следующему вопросу. Он связан с нашим пятым эпизодом и касается того, как люди будут использовать искусственный интеллект и другие технологии для усиления эвристического анализа блокчейна Monero. Мы установили, что нет предела уровню эвристического анализа, к которому могут прибегнуть люди, чтобы получить информацию, касающуюся транзакций Monero, и у зрителей возник вопрос, основан ли выбор выходов Monero на факторах, связанных с реальным выходом, или же ложные выходы выбираются совершенно независимо от них?
Саранг: Мне известно, что далее будет вопрос, связанный с темой данных в пределах или вне блокчейна, но сейчас обсудим вопрос, касающийся того, как выбираются выходы. Как мы выбираем выходы и ложные выходы для транзакций, конечно же, мы говорили об этом в одном из предыдущих эпизодов, и вопрос поднимался снова и снова, но ответ на вопрос, выбираются ли ложные выходы на основе факторов, напрямую связанных с выходом, который тратится, будет отрицательным. При выборе мы используем определённые распределения, которые намеренно никак не зависят от реально выбранного выхода. Статистика выбора ложных выходов должна быть максимально хорошей и максимально независимой. Как уже нами обсуждалось, со временем происходит итерация, фактически очередная произойдет при выходе очередной версии, небольшое изменение в способе выбора, что поможет решить некоторые вопросы с оценкой выходов в зависимости от размера блоков, например. То есть происходит постоянная итерация, и мы постоянно возвращаемся к этой теме в течение всей серии этих эпизодов, и мы говорим, что таки да, доступны самые разнообразные виды эвристического анализа, и мы стараемся нейтрализовать самые серьёзные, и эвристический подход, основанный на выборе выходов, является одним из них.
Джастин: Несколько исследователей порекомендовали по крайней мере реализовать в Monero что-то вроде биннинга, и под этим я понимаю некий выбор выходов в связи с реальным выходом. Допустим, выход был сгенерирован в определённом блоке, и, возможно, тут можно было бы ввести правило, чтобы один ложный выход выбирался из того же блока, или же ложный выход из любого другого заданного периода времени, и тут играет роль ещё ряд обстоятельств. Насколько мы далеко от того, чтобы определить те совокупные преимущества, которые могут дать такие решения, что можно улучшить и в конечном счёте реализовать в Monero?
Шурэ: Ну, на самом деле, это довольно забавно. Сейчас я работаю над бюллетенем номер 11 Исследовательской лаборатории Monero. В настоящее время мы занимаемся моделированием различных методов, чтобы узнать, как нам сделать так, чтобы выбор выходов гарантированно минимизировал вероятность того, что кого-то можно было выделить в качестве действительного отправителя. К сожалению, с этим связан целый ряд проблем. Сейчас мы запускаем масштабные модели, чтобы попытаться выявить методы, дающие наихудшие результаты при попытке взлома блокчейна Monero. Основной вопрос состоит в том, будет или нет сортировка полезна, и если да, то до какого уровня. В настоящее время это область наших активных исследований, и у нас есть только некоторые предварительные результаты, и мне не хотелось бы слишком много говорить об этом, но, возможно, Саранг поделится своими мыслями.
Саранг: В течение долгого времени вносились предложения по реализации некоторого рода биннинга, который позволит выбирать членов кольца в зависимости друг от друга, в зависимости от блока, времени и ряда других вещей. Частично это сводится к практическому элементу. Если размер нашего кольца предполагает определённое количество участников, и мы хотим, чтобы выбор происходил определённым образом по времени, чтобы сначала выбирались выходы поновее, а затем выходы постарше в зависимости от используемого вами алгоритма. И если вам также хочется выбирать определённые ложные выходы, бины или какие-то другие, в зависимости от используемой вами схемы, в конечном счёте у вас закончится место. Это что-то вроде гонки вооружений между тем, что вам хотелось бы сделать с выбором выходов, и тем, что действительно будет приемлемо для нас с точки зрения размера кольца. Как мы часто повторяем, чем больше размер кольца, тем лучше, и всё должно быть равноценно, да, так оно и есть. А что насчёт биннинга? В целом с бинами можно сделать гораздо больше. Но это также повлияет на расход пространства и времени. Другой проект, как мне известно, использует иной подход к размеру кольца частично именно по этой причине. До тех пор пока мы будем ограничены в действиях, мы сможем многое сделать с биннингом. Если мы придём к этому в определённый момент, нам нужно будет быть уверенными в правильности того, что мы делаем, а также сохранить текущий баланс сил.
Шурэ: И не только это. Эти вопросы имеют скрытую и подразумеваемую подноготную, и есть один наилучший способ всё сделать правильно. В зависимости от модели угрозы иногда вообще не требуется никакого биннинга. Пока это ещё не ясно, с моделями угрозы какого масштаба мы имеем дело, когда дело доходит до принятия решений, как в случае с выбором выходов и биннингом в целом. Если коротко, всё зависит и всегда будет рассматриваться в контексте, зависимом от конкретно вашей модели угрозы. Возможно, вам вообще не нужен никакой биннинг для создания кольцевых подписей. Как следствие, мы как команда разработчиков должны сфокусировать своё внимание на тех пользователях, которые действительно получат максимальное преимущество от биннинга, а всем остальным просто необходимо субсидировать затраты на блокчейн, если в конечном счёте нами будет сделан какой-то новый протокол. Или же нам следует обратить внимание на то, с чем имеет дело среднестатистический пользователь, с какой моделью угрозы. Поскольку в конечном счёте, если кто-то занимается целевым фишингом и следит за вами, то нужно понимать, что конкретно вас выбрали в качестве цели, и все исследования в области обеспечения анонимности и схем выбора выходов не особо вам помогут. С другой стороны, если вас беспокоит широкомасштабное наблюдение в пассивном стиле даркнета, то, возможно, Monero уже сейчас отвечает вашим потребностям. Трудно сказать наверняка.
Джастин: Спасибо вам обоим. Мы перейдём к другим вопросам, а к моделям угроз вернёмся позже. Сейчас я собираюсь рассмотреть вопрос, связанный с седьмым эпизодом и требующий более подробного разъяснения разницы между анонимностью, обеспечиваемой Monero, и анонимностью в Lightening Network. Также нас просят подробнее рассказать о том, как реализация Lightening Network и других «оффчейн» решений может сказаться на Monero? Саранг, не мог бы ты немного поделиться, какое влияние оказывают эти оффчейн решения?
Саранг: Важно различать транзакции, проводимые в блокчейне, и оффчейн транзакции. Мы хорошо знакомы с первым типом транзакций и соответствующими подходами. Bitcoin проводит транзакции в блокчейне, и так было вплоть до последнего времени. У Monero свой подход к проведению транзакций в блокчейне, к которому мы как пользователи прибегаем изо дня в день. Но идея оффчейн решений состоит в том, чтобы в случае, когда различные стороны могут заблокировать какие-то средства в блокчейне каким-то образом, предусмотренным протоколом, чтобы потом провести между собой или между множеством сторон верифицируемые транзакции, используя какой-то более широкий подход сетевого уровня, а потом вернуться в блокчейн, чтобы убедиться в том, что баланс верен, и никто ни у кого ничего не украл. Идея состоит в том, чтобы разгрузить часть вычислений и освободить место, что положительно скажется на времени верификации, а также на времени проведения платежа, масштабирования места, занимаемого блокчейном, и других подобных вещах. В случае с Bitcoin всё происходит проще, а когда речь заходит о Monero, то всё немного усложняется. Частично причиной этому служит необходимость в определённой блокировке. Например, когда вы блокируете Bitcoin, чтобы прибегнуть к оффчейн решению, используя нужный вам протокол, если что-то пойдёт не так, вам понадобится способ прервать процесс и вернуть средства тому, кто заблокировал их. В случае с Bitcoin это работает вполне хорошо, поскольку вы знаете, чьи это средства. Протокол просто и неинтерактивно укажет, что средства должны быть возвращены. Но в случае с Monero в идеале вам неизвестно, откуда пришли средства, поэтому, несмотря на простоту интерактивного возмещения, при котором я просто могу отправить средства обратно вам, если я знаю, кто вы, сейчас это невозможно сделать неинтерактивно, и только протокол автоматически может позаботиться об этом. Есть некоторые предложения, касающиеся новых способов блокировки, и они помогут решить эту проблему, но математическая и криптографическая составляющие довольно непросты, и есть множество тонкостей, связанных с решением. Это один из факторов, почему в случае с Monero всё серьёзно усложняется, дело доходит до математики, блокирования и до наших решений, которые совершенно отличаются от множества других. Нам бы хотелось сделать нечто подобное, но реализация будет более специфической, чем в случае с другими проектами, которые, возможно, также придут к этому.
Джастин: Есть что добавить, Брендон?
Шурэ: В основном отмечу, что по сравнению с тем, что делается при помощи Lightning Network вне блокчейна, и тем, что происходит в блокчейне, Саранг справился превосходно. Суть в том, что многие оффчейн решения Monero должны работать совершенно по-другому, и это область активных исследований, как и в случае со многими другими вещами. К сожалению, это мой обычный ответ на возникающие у людей вопросы, то есть я говорю, что всё зависит от обстоятельств, и что скоро мы найдём решение.
Джастин: Хорошо, ещё раз спасибо. Следующий вопрос касается нашего девятого эпизода. Многие наблюдали, как мы втроём обсуждали и тестировали эвристический подход, как мы делились эвристическим подходом, применимым к блокчейну Monero, и зрители были очень разочарованы, они начали говорить: «Ух ты! Оказывается, есть так много способов получить информацию о том, как люди пользуются Monero». Будет ли когда-нибудь найдено решение, которое позволит нам совершенно забыть об этой проблеме, появится ли тот чёрный ящик, который скроет от всех происходящее внутри него? Так как разговор идёт о компромиссах, начнём с тебя, Шурэ. Что бы ты ответил людям на их заявления вроде: «Я разочарован таким обилием ограничений у существующих криптовалют, появится ли когда-нибудь совершенная криптовалюта?»
Шурэ: Коротким ответом было бы: смотря, что считать совершенством. Как и минуту назад, я повторю: всё зависит от обстоятельств и от контекста. Людям нравится сорить словом «взаимозаменяемость», так давайте поговорим о взаимозаменяемом товаре, унцию которого буквально можно будет поменять на такую же унцию, происхождение которой вы никогда не сможете определить точно. Классическим примером взаимозаменяемого товара является нефть, бочки с нефтью. Ну, мы можем отследить этот продукт, можем либо отследить саму бочку, либо, если я захочу отследить саму нефть, находящуюся в бочке, я смогу пометить её радиоактивным изотопом и позднее путём проверки определить, что нефть в новой бочке является именно той нефтью, которую я отслеживал изначально. Таким образом, если вы пытаетесь устранить возможность отслеживания какого-либо товара, в целом вам придётся признать, что существуют определённые ограничения. Из чёрной дыры вытекает информация о том, что находится за горизонтом событий. Мы не можем надеяться на то, что в следующем году появятся какие-нибудь волшебные доказательства SNARKs и навсегда защитят вашу финансовую информацию от любопытных глаз. Я думаю, что есть определённый практический уровень, который мы можем ожидать от этих проектов. Если вы пытаетесь разработать совершенную систему шифрования, но выдаёте приватные ключи, то вообще не важно, насколько хороша сама система шифрования. Когда люди пользуются услугами бирж, практикующих правило «знай своего клиента» (KYC), когда люди пользуются интернетом, не защищая себя при помощи Tor или VPN, или чего-то в этом роде, они просто способствуют утечке своих данных. И все такие данные являются оффчейн данными, не имеющими ничего общего с тем, что попадает в блокчейн, всё, как говорил Саранг минуту назад. Я думаю, что в данном случае практическая проблема состоит в том, что люди хотят идеальной анонимности, а её не существует. Тем не менее мы можем надеяться, что такие вещи, как возможность правдоподобного отрицания, будут применимы в суде, например. Наличие доступных средств обеспечения анонимности в разумной мере вовсе не означает идеальной защиты абсолютно всех от всех возможных угроз, это просто практически нереализуемо. Возможно, Саранг думает иначе.
Саранг: Мне нравится размышлять об отличиях данных в блокчейне, которые доступны, от оффчейн данных, которые могут быть доступны. Данные блокчейна предполагают, что у вас есть флешка исключительно с данными блокчейна и ничего более, у вас нет никакой другой информации, вы заходите в опечатанную комнату и смотрите, какую информацию вы могли бы извлечь. Мы много говорили о путях развития Monero в течение этих лет, как менялась информация в блокчейне. В некоторых случаях можно извлечь определённое количество информации о структуре блокчейна, но мы пытаемся сделать всё возможное, чтобы исключить это. Как мы неоднократно повторяли, это итеративный подход. Внесение множества исправлений создаёт другие слабые стороны, которые мы стараемся понять, чтобы оценить соответствующие риски и преимущества. Оффчейн данные — гораздо более широкое понятие. Вашему провайдеру интернет-услуг известно о вас многое, если вы работаете с биржами, они также могут заполучить информацию о вас в зависимости от решений сетевого уровня, используемых вами, таких как Tor, I2P или VPN, способа ретрансляции транзакций между узлами, — всё это теоретически влияет на утечку информации. Нам бы хотелось, чтобы и все эти вещи работали, но с этим также есть ряд проблем. Мы стараемся исключить те модели угроз, которые мы, как нам кажется, можем реально устранить, в противном случае мы используем итерационный подход при проработке решений, чтобы оценить соотношение возможных рисков и преимуществ.
Джастин: Мне кажется, вы оба достаточно хорошо ответили, спасибо. Как, опять же, вы оба отметили, всем хочется идеальной анонимности, но мы не в состоянии обеспечить её. Тем не менее мы можем попытаться сделать всё возможное в зависимости от вариантов использования, так что я думаю, всё обрисовано достаточно хорошо. Следующий заданный вопрос: что если ведущие разработчики Bitcoin решат реализовать все характеристики Monero? Устареет ли Monero в этом случае? Не утратит ли Monero свой смысл, если Bitcoin, допустим, с сегодняшнего дня начнёт использовать кольцевые подписи или перейдёт на RingCT? Что думаете по этому поводу? Начнём с Саранга.
Саранг: Мы говорили об этом незадолго до этого, и я сказал: «О Боже, это стало бы изумительной проблемой». Я по-прежнему придерживаюсь такого мнения. Я был бы рад, если бы люди стали относиться к своей анонимности подобным образом. Сейчас многие преспокойно используют прозрачные валюты типа Bitcoin, так как либо их модель угрозы позволяет делать это, либо они просто не задумываются над этим. Если бы Bitcoin или какой-нибудь другой актив добавили бы фантастические характеристики анонимности, и люди начали бы пользоваться цифровыми активами, обеспечивающими более высокий уровень анонимности, я думаю, это было бы великолепно. Я никогда не думал об этом, как об игре с нулевым исходом в некотором случае. Если один проект или актив работает лучше, все остальные обязательно будут хуже. Не думаю, что всё именно так и должно происходить. Здесь много схожего с миром академических и компьютерных наук и математики, где информация и идеи используются совместно, если это действительно имеет смысл. Так это и работает. У нас есть множество идей, приходящих из самых разных источников. И многие из них воплощаются в Monero. Мы надеемся, что что-то из того, что мы делаем, будет реализовано в других проектах и сделает их лучше. Я думаю, что всё пространство разрастается по мере того, как приходит понимание способов повышения уровня анонимности.
Шурэ: Я дополню. Этот вопрос напомнил мне о философском парадоксе Тесея, или же если вы возьмёте метлу, и у неё сломается черенок, вы замените его, а потом износится непосредственно та часть, которой вы метёте, и вы замените её тоже, будет ли метла той же, что была у вас раньше? Если вы замените каждую доску на корабле, будет ли это тот же самый корабль? Если основы Monero будут реализованы Bitcoin, это всё ещё будет Bitcoin? Или же его новая реализация просто станет другим вариантом реализации Monero? Я не знаю, как это будет работать. Это всё равно что спросить, а что будет, если небо станет фиолетовым? Я не знаю, правда, «если бы да кабы». Это интересный вопрос, но как уже сказал Саранг, с этой проблемой было бы интересно столкнуться. Если подход Monero к использованию кольцевых подписей или механизмов обеспечения анонимности, или к сокрытию сумм при помощи обязательств понравится ведущим разработчикам Bitcoin, и они станут использовать его в интересах анонимности, я бы сказал, что ситуация будет выигрышной для всех участников игры.
Саранг: Все эти активы в некоторой мере являются инструментами решения определённых проблем. Если Monero подходит для решения вашей проблемы, то любыми средствами старайтесь использовать эту монету. Если вы в конце концов решите, что что-то ещё может помочь вам решить другую проблему или же решит предыдущую проблему, но сделает это лучше, то используйте и этот другой инструмент. Наша цель состоит в том, чтобы постоянно являться наилучшим из доступных инструментов.
Шурэ: Даже несмотря на то, что я представляю Monero и принадлежу к лагерю «верующих» в Bitcoin, на самом деле я не представляю и не являюсь максималистом в отношении какого-либо из этих проектов. Дело в том, что даже если каждая отдельно взятая криптовалюта будет выполнять только свои функции, то такая валюта может работать в качестве банка. Это же абсурд утверждать, что во всём окружающем нас мире есть только один банк.
Саранг: Тем не менее иногда кажется, что всё так и есть, по-моему. Когда всё пошло не так?
Шурэ: Я был в аэропорте Денвера, когда понял, что вокруг меня сплошь и повсюду символика иллюминатов, то есть мне сразу показалось, что за мной следят Ротшильды или белые англосаксонские протестанты.
Джастин: Ладно, переходим к следующему вопросу. Он на самом деле хорош. Нас спрашивают, есть ли что-то, что люди даже в сообществе Monero не понимают, и что вам бы хотелось лучше донести до таких людей? Это может быть как положительная, так и отрицательная сторона, что-то отличающее Monero от других проектов. Итак, я помню, что Брэндон уже говорил об этом ранее, но, например, в моём случае, я бы хотел, чтобы люди действительно поняли идею взаимозаменяемости, и как взаимозаменяемость Monero обеспечивается возможностью правдоподобного отрицания, а не идеальной анонимностью. С моей точки зрения, так как нам не удаётся достигнуть идеальной анонимности, мы также не сможем достичь и идеальной взаимозаменяемости, мы не можем достичь уровня, когда она ничего не будет значить, поэтому нам нельзя сбрасывать взаимозаменяемость со счетов, как что-то, о чём не стоит беспокоиться, как что-то неважное. Подобным образом нельзя сказать, что взаимозаменяемость является идеальным свойством, подходящим каждому и в любой ситуации. Вот в этом суть моего примера. А какой у тебя пример, Брендон? Что, по-твоему, людям следовало бы знать немного лучше о Monero?
Шурэ: Monero, на самом деле, это не техническая вещь, поскольку большинство людей не знает технических сторон Monero. Я разговаривал с людьми, они, возможно, и слышали о кольцевых подписях и об образах ключей, но даже в криптовалютном пространстве наша технология представляется новой, если сравнивать её с тем, что использует Bitcoin. Мне нравится рассказывать о децентрализованной природе проекта Monero. У нас совершенно отсутствует какая-либо иерархия, мы очень серьёзно относимся к этому, и это создаёт некоторые проблемы. Когда разговариваешь с университетскими профессорами, они пытаются понять структуру управления Monero и не могут, потому что пытаются сделать это с точки зрения профессора университета — над ними стоят деканы и проректоры, а ниже — аспиранты, то есть у них есть чёткая иерархия. По сути, всё сводится к тому, что Monero — самое демократичное из сообществ, с которыми мне посчастливилось столкнуться. Кажется, что тут у каждого есть право голоса, и если чей-то голос и потонет в общем хоре, то это будет означать, что большинство сочло его не слишком умным или решило, что он заблуждается, или же что он просто тролль, в общем, что-то в этом духе. Отсутствие структуры и отсутствие юридического лица, стоящего за Monero, является одной из тех вещей, на объяснение которых я трачу уйму времени даже для сторонников Bitcoin, твёрдо убеждённых в том, что их проект децентрализован и открыт.
Джастин: Спасибо, Брэндон. А что скажешь ты, Саранг?
Саранг: Я свожу всё к идее итеративных изменений. Если что-то и следует из всех эпизодов, уже снятых нами, так это то, что в случае с цифровыми децентрализованными активами мы имеем дело с очень большим пространством для проведения потенциальной атаки и анализа. Это один из важных уроков. Особенно в случае с таким децентрализованным активом, как Monero, целью которого является обеспечение свойств анонимности и взаимозаменяемости. Это означает, что изменения, которые мы вносим в одну из частей протокола или клиентского программного обеспечения, например, сильно скажутся на других частях протокола или клиентского программного обеспечения. Это также часто означает, что кажущееся фантастическим исправление может иметь совсем другой эффект, который либо окажется не так хорош, как ожидалось, либо вовсе отрицательным. В результате всё, что делается нами при внесении изменений, анализируется с точки зрения рисков/преимуществ, чтобы определить, каков будет эффект от таких изменений и перевесят ли получаемые преимущества недостатки, связанные с вносимым изменением. Существует масса вещей, которые просто лежат на поверхности, которые мы могли бы сделать, и ряд вещей, которые мы делаем, оказывается гораздо меньше ожидаемого отчасти из-за этого. Но это не означает, что нам не надо даже пытаться улучшать что-то, это одна из целей — постоянно итерационно по возможности вносить улучшения. Мне бы хотелось, чтобы больше людей понимало эту идею, так как это очень большое сложное пространство для проведения потенциальной атаки, и существует множество компромиссов, на которые нам приходится идти, и я надеюсь, что мы и в дальнейшем будем хорошо справляться с этими компромиссами.
Джастин: Какими вам видятся перспективы Monero через пять или десять лет, и что по-вашему произойдёт за это время? Каковы будут изменения?
Саранг: Ох, вот что я хотел бы увидеть в краткосрочной перспективе, касаемо лично нас, так это больше работы над устранением любых остающихся клочков метаданных, которые могут быть обнаружены. Полностью удалить метаданные просто невозможно, но мы можем продолжать работу над оптимизацией алгоритма выбора выходов, а также исследовать возможность ретрансляции транзакций и искать новые решения сетевого уровня, что сделает системы доказательства немного меньше и более эффективными, что, в свою очередь, сэкономит место и сократит время верификации. В долгосрочной перспективе, как я и говорю всегда, это уход от кольцевых подписей, а небольшие механизмы обеспечения анонимности были бы просто великолепны, причиной множества вопросов, возникающих вокруг диаграммы наших транзакций, является ограниченность механизма обеспечения анонимности с использованием кольцевых подписей. Очень сложно уйти от этого, существует множество ограничений, поскольку мы не желаем принимать такие вещи, как доверенные настройки, и, безусловно, любое принятое нами решение должно быть совместимым с существующими протоколами, чтобы каждый смог перейти на новую систему. Мне бы хотелось, чтоб мы пришли к этому, а видна ли эта цель на горизонте или нет — вопрос остаётся открытым.
Шурэ: Одной из действительно интересных вещей, произошедших за последние несколько лет, является всплеск активности в области криптографических исследований и прикладной криптографии. Было опубликовано множество работ с абсолютно новыми системами доказательства с нулевым раскрытием конфиденциальной информации, параллелизуемыми и линейными, обладающими всеми этими замечательными свойствами. Обычно один раз в месяц я нахожу новую статью, которая просто взрывает мне мозг. Так что даже страшно представить, что нас ждёт через пять-десять лет. Я чувствую, что мы близко к чему-то, и я не хочу показаться футуристом, рассуждать о сингулярности, но происходит столько всего, что я не могу предсказать, что будет в следующем году, и сравнить с тем, что случится через пять лет, начиная с этого момента. Я хочу сказать, что лично мне хотелось бы увидеть, как кольцевые подписи Monero заменят более масштабными механизмами обеспечения анонимности, не усугубляя наших проблем, связанных с эффективностью. Если мы сможем сделать это, то будут решены вопросы с выбором выходов, которые нами обсуждались ранее. Если люди станут проводить транзакции, используя Tor или что-то подобное, это решит уйму проблем, касающихся возможности привязки метаданных к информации из блокчейна. Мне бы хотелось, чтобы концепция Monero была полностью пересмотрена, чтобы она стала максимально эффективной и при этом масштабировалась наилучшим образом по умолчанию, всегда была анонимной. Это такое зыбкое правило, не знаю, через пару лет кто-нибудь предложит какую-то схему, которая перепишет всё. В отношении Monero я считаю одну вещь очень важной: это составляющая прав человека, стоящая за элементом анонимности Monero, и если уж быть честными, то и ZCash тоже. Эти два проекта во многих странах мира, в Венесуэле, все приводят в качестве примера Венесуэлу, но я считаю, что в мире также существует множество других стран, которые сейчас испытывают проблемы с инфляцией, в которых установлен тиранический режим, контролирующий капитал с целью управления экономической жизнью людей. Я считаю, что составляющая таких инструментов, как Monero, связанная с правами человека, в последующие пять-десять лет будет становиться всё более актуальной. Я не совсем уверен в уровне технологии Monero, на котором она окажется за эти годы, но я точно знаю, что в течение пяти-десяти лет, начиная с этого момента, повсеместно будут обсуждаться вопросы анонимности, а также то, что стоит ожидать рядовому гражданину. Лично мне хотелось бы запустить ряд проектов, которые подняли бы уровень технологии обеспечения анонимности и которые бы помогли людям в эти пять-десять лет покупать запрещённые книги. Если вы захотите купить экземпляр Библии в Северной Корее, вероятно, вы не станете пользоваться кредитной картой или той кредитной системой, которая реализована в этой стране. Я думаю, что не столько технология, сколько именно этот компонент Monero, связанный с правами человека, на самом деле станет драйвером дискуссий в последующий пару лет. Возможно, это немного противоречивое мнение, немного расходящееся с основной тенденцией.
Джастин: Лично мне нечего добавить к этому, поэтому, как мне кажется, теперь можно перейти к следующему вопросу, на который мы уже частично ответили в случае с предыдущим. Чтобы вы хотели улучшить, не лично вы, как если бы у вас в руках оказался волшебный переключатель, позволяющий мгновенно улучшить Monero, а в рамках достижения консенсуса сообществом? Ведь всегда могут найтись несогласные с практической реализацией. Что касается лично меня, я бы хотел здесь поговорить о паре вещей. Во-первых, это идентификаторы (ID) платежей. Мне бы очень хотелось избавиться от них, чтобы использовались только подадреса. Давайте избавимся от них по возможности быстрее. А во-вторых, мне бы хотелось, чтобы сообщество Monero стало чуть более агрессивным в отношении тупого поведения на уровне консенсуса, чтобы оно быстрее реагировало, как только таковое проявляется. Такие вещи, как запрет транзакций с одним выходом, должны более открыто обсуждаться сообществом Monero, а не становиться опциями, используемыми кошельком по умолчанию. Я думаю, что Monero — одно из лучших сообществ с точки зрения согласования изменений, но мне бы хотелось побольше агрессии в отношении этих малозаметных тупых вещей уровня метаданных, которым люди не предают особого значения, но которые им вообще не стоит делать. Саранг, есть ли вещи, которые раздражают тебя, вот чтобы щёлкнуть пальцами, и чтобы они изменились, какой-нибудь «диетический» форк Monero от Саранга или что-то ещё?
Саранг: В целом я согласен, необходимо проявить больше агрессии и сделать транзакции более единообразными в максимально разумной мере через консенсус. Просто чтобы гарантировать, что различные технические решения кошельков и различные подходы в конечном счёте не скажутся негативно на анонимности людей. Кроме того, мы по-прежнему работаем над потенциальными изменениями, которые будут внесены в схемы кольцевых подписей, и как только они будут готовы и своевременны, я не хочу сказать, что они несовместимы с тем, что мы имеем сейчас, или что-то в этом роде, но я вижу, что эти решения улучшат масштабирование используемого места и время верификации и обеспечат определённые преимущества. Эти изменения не будут глобальными, просто небольшая оптимизация. Мне нравится оптимизировать.
Шурэ: Если говорить об оптимизации, Саранг отвечает за 99% повышение скорости благодаря Bulletproofs, а это именно та оптимизация, о которой он говорит, и это просто великолепно. Чтобы я хотел бы изменить в Monero в одностороннем порядке, вот так просто щёлкнув пальцами? Вместо того чтобы отвечать именно на такой вопрос, я бы переформулировал его так: чему я завидую в других проектах? Я завидую гибкости Grin и их отношению к доказательству работы. Другой механизм доказательства работы, используемый Grin с расчётом на переход с GPU на ASIC через несколько лет при их графике майнинга, я нахожу всё это интересным. И, несмотря на то, что я также считаю и подход Monero к доказательству работы очень интересным, я бы предпочёл сделать что-то, что позволило бы перейти к возможности использования общедоступных ASIC, а не блокировать ASIC по возможности дольше. Но это долгий и не прекращающийся разговор, и у меня нет решения. В противном случае я бы уже написал предложение, а затем бы в одностороннем порядке попытался бы реализовать изменение. Так что это вообще как бы не вопрос, так ведь?
Джастин: Спасибо. Мы прошлись по всем основным вопросам. Брендон, есть что-то, чем ты хотел бы в конце поделиться со зрителями, что ты считаешь важным?
Шурэ: Ну, по сути, здесь есть одна важная вещь, и одна абсолютно неважная. Сначала о неважном: кто-то спросил, чем мы увлекаемся, и я бы хотел рассказать о моём личном хобби. Мне нравятся деревья бонсай. Мне нравится выращивать их. Круто, когда пересаживаешь растение и обнаруживаешь, что корни имеют длину 5 футов, и понимаешь, что давно уже стоило пересадить его. Это забавно. Но есть действительно важная вещь, которую я хочу осуществить в июне. Это Monero Konferenco. 22 и 23 июня в Денвер, штат Колорадо, слетятся люди со всего мира, чтобы поговорить о Monero и обо всём, связанном с Monero. Приедут разработчики аппаратных средств, приедут люди из венчурных компаний и криптографы. Будет по крайней мере два исторических и потрясающих основы выступления, но пока я не могу о них рассказывать. Мне бы не хотелось поднимать лишний хайп, но вы ребята обязательно должны быть там, особенно учитывая, что билеты будут, то есть я хочу сказать, что сама конференция станет самой дешёвой в городе, то есть в принципе дешёвой. Если вы соберётесь посетить Consensus в Нью-Йорке, то вы потратите там безумное количество денег. Гораздо дешевле прилететь в Денвер и посетить эту конференцию, чем жить в Нью-Йорке и посещать Consensus.
Саранг: Брендон, это чертовски заманчивое предложение, где можно получить больше информации?
Шурэ: Посетите monerokon.com.
Саранг: Я займусь этим прямо сейчас, Брендон.
Шурэ: Саранг — один из докладчиков, ребята, чему я несказанно рад, и я хотел бы всех пригласить на это увлекательное мероприятие.
Джастин: Могу добавить один повод для посещения: одна из сессий будет посвящена теме взлома Monero. Не мог бы ты рассказать об этом чуть больше?
Шурэ: Да, идея состоит в том, чтобы серия Breaking Monero стала площадкой для обсуждения белых и чёрных сторон, откровенного рассмотрения компромиссов, неполадок, вещей, связанных с Monero и требующих исправления, улучшения. На конференции целая сессия будет посвящена отрицательным сторонам Monero. И всё это для того, чтобы сделать Monero лучше. В одной из последних статей, написанных мной для Исследовательской лаборатории Monero, были критически проанализированы процесс цепной реакции, а также увеличение размера кольца, которое мы производим с течением времени. Наилучшим способом усовершенствования Monero является критика, поскольку мы сначала занимаем оборонительную и даже надменную позицию, а затем понимаем, что человек говорит дело, и нам необходимо что-то менять. Это будет положительный опыт, мы будем целую сессию обсуждать слабые стороны, позволяющие взломать Monero, и я надеюсь, что Джастин выступит модератором именно этой сессии. Посмотрим, как всё получится. Да, там ещё будет межконтинентальная «живая» панель, которую мы проведём совместно с участниками Zcon1, конференции, которая будет проходить в Хорватии. Фонд ZCash и сообщество Monero внесли свои пожертвования в Систему общественного краудфандинга, чтобы проведение Monero Konferenco стало возможным, а межконтинентальная панель будет посвящена вопросам правительственного регулирования и анонимности. В панели примут участие ребята из CoinCenter, Эрик Вурхис из ShapeShift, а также один из разработчиков ZCash. Мы отлично проведём время. Всё, я прекращаю болтать об этом.
Джастин: Круто, это просто фантастическое предложение, мимо которого я не стал бы проходить даже как просто зритель. Отлично, спасибо вам большое, Саранг и Брэндон, за то, что присоединились к сегодняшнему эпизоду и помогли ответить на письма. Спасибо всем, кто задал нам вопросы, я надеюсь, вы получили ответы в течение этого эпизода, который, к сожалению, так задержался, но в скором времени мы, наконец, представим вашему вниманию ещё ряд эпизодов Breaking Monero. Спасибо, что оставались с нами, берегите себя и продолжайте критиковать Monero. Пока.
Перевод: Mr. Pickles
Редактирование: Agent LvM
Коррекция: Kukima