本稿について
BlockStream開発のLiquid(Strong Federations)のホワイトペーパー、最終更新日: 2017/1/6時点のものを対象とします。本稿では「V. Innovations」の「E. Peg-out Authorization」の日本語訳を掲載します。
原文はこちらになります。
スポンサードサーチ
5. イノベーション(続き)
E. ペッグアウトオーソリゼーション
Bitcoinよりも強固なプライバシー特性を保ちながら一定のメンバシップセットを有するプライベートチェーンからアセットを移動する場合、宛先となるBitcoinアドレスは証明可能な方法でサイドチェーンユーザの管理下にある方が望ましい。これはサイドチェーン上での悪意あるふるまいや誤ったふるまいが(サイドチェーン上の参加者が解決できる可能性はあるが)不可逆的でより広域のBitcoinネットワークで盗難に繋がってしまうのを防ぐ。
Bitcoin側でトランザクションの生成を行う警備員のセットが仲介によりBitcoinへアセットを戻すことになるため、オーソライズされた鍵の動的かつプライベートなホワイトリストが必要である。つまり固定の署名鍵を持つグループのメンバは、あるBitcoinアドレスを管理していることをそのアドレスに対する自らのアイデンティティに関連することなくグループに所属しているという事実だけで証明できる必要がある。これをペッグアウトオーソリゼーション証明(peg-out authorization proofs)といい、以下の設計で作られる。
- セットアップ(Setup):各参加者iは2つの公開鍵と秘密鍵のペア(Pi, pi)と(Qi, qi)を選ぶ。ここで、piは"オンラインの鍵"であり、qiは"オフラインの鍵"である。参加者はPiとQiを警備員に付与する。
- オーソリゼーション(Authorization):ある鍵W(各人が管理するBitcoinアドレスに対応することになる)をオーソライズするために、ある参加者が以下を行う。
- 参加者のインデックスjごとに Lj = Pj + H(W + Qj)(W + Qj)を計算する。ここでHはグループの要素とスカラをマッピングするランダムオラクルハッシュである。
- Liの離散対数を知っている(Piの離散対数を知っておりWを選んでいるので、W + Qiも知っている)ので、Liに対するリング署名を生成できる。リング署名を生成すると、Wとともにオンライン鍵とオフライン鍵の完全なリストに署名したことになる。
- 最終的にできたリング署名を警備員に送信するか、サイドチェーンに埋め込む。
- トランスファー(Transfer):警備員がサイドチェーンからBitcoinへの送金を実行するトランザクションを生成すると、トランザクションのアウトプットごとにそのアウトプットが(a)所有されているか、あるいは(b)そのアドレスに関連するオーソリゼーション証明があるかのどちらかを確約する。
このスキームのセキュリティは直観的な議論で描くことができる。まず、オーソリゼーション証明は参加者ごとに一様に演算された鍵セットに対するリング署名なので、参加者が生成したリング署名に対するリング署名である。次に、鍵の等価性Lj = Pj + H(W + Qj)(W + Qj)はLiで署名した誰かが次のいずれかを知っていることを満たす構造である。
- Wの離散対数とpi、qiを知っている。
- piを知っているが、qiとWの離散対数の両方を知らない。
言い換えれば、攻撃者が鍵piの侵害により可能になるのは、誰も離散対数を知らない"ゴミ鍵"のオーソライズである。鍵piとqiの両方(このiは同一)を侵害した場合に限り、攻撃者は任意のかぎをオーソライズ可能になる。
しかしqiの侵害は困難だ。なぜならこのスキームはWのオーソライズのためにqiをオンラインにする必要はなく、署名時に和W + Qiだけを用いるように設計されているからである。あとで参加者iが実際にWを使いたくなった場合は、qiを使ってその離散対数を計算する。これはオフラインで、より高いセキュリティ要件下で実行できる。
(Liquidホワイトペーパー日本語訳7 ←← 前)|(次 →→ Liquidホワイトペーパー日本語訳9)
免責
邦訳には誤りがある場合がございます。予めご承知おき下さい。
確実な情報を知るためには冒頭に示した原文をご参照くださいますようお願いいたします。