Confidential Assets

• 描述了一種稱為“保密交易”的方案，該方案模糊了所有UTXO的金額，同時(shí)保持了不創(chuàng)建或銷毀硬幣的公共可驗(yàn)證性。
• 進(jìn)一步將此方案擴(kuò)展到“保密資產(chǎn)”，一種單一的基于區(qū)塊鏈的分類帳可以跟蹤多種資產(chǎn)類型的方案。
• 將保密交易擴(kuò)展到不僅模糊輸出金額，還模糊其資產(chǎn)類型，從而提高所有資產(chǎn)的隱私和可替代性。

文章結(jié)構(gòu)：

• Preliminaries：定義交易模型，承諾（特性）、范圍證明（安全性定義）
• 改進(jìn)的Confidential Transactions：將交易中的明文金額改成承諾的金額，改進(jìn)范圍證明，并證明改進(jìn)交易的安全性和性能優(yōu)化。
• Confidential Assets：機(jī)密資產(chǎn)協(xié)議。

Preliminaries

輸入輸出模型

定義1. 將比特幣交易定義為以下數(shù)據(jù)：

• 一個(gè)包含驗(yàn)證密鑰和金額的輸出列表。
• 一個(gè)包含對其他交易輸出的明確引用的輸入列表。這些輸入還具有使用其相應(yīng)輸出的驗(yàn)證密鑰的簽名。
• 一個(gè)fee，計(jì)算方式為總輸入金額減去總輸出金額，并由網(wǎng)絡(luò)捕獲。

（還需要coinbase交易，有輸出但沒有輸入；在本文的目的中，它們可以被視為具有負(fù)費(fèi)用的交易。）

用于隱藏交易數(shù)量的同態(tài)承諾

定義2. 給定一個(gè)消息空間$\mathcal{M}={\mathbb{Z}}_q$，承諾空間 $\mathcal{C}?\mathcal{M}$和公共參數(shù)空間 $\mathcal{PP}$，我們將同態(tài)承諾方案定義為一個(gè)包含三個(gè)算法的三元組：

• Setup:$?\to \mathcal{PP}$
• Commit: $\mathcal{PP}\times \mathcal{M}\times \mathcal{M}\to \mathcal{C}$
• Open: P P × M × M × C → { t r u e , f a l s e } \mathcal{PP} \times \mathcal M \times \mathcal M \times \mathcal C \rightarrow \{true, false\} PP×M×M×C→{true,false}
  滿足以下條件（對于 $pp\leftarrow Setup$）：
• 正確性：對于所有 $(m,r)\in \mathcal{M}\times \mathcal{M}$， $Open(pp,m,r,Commit(pp,m,r))$接受；
• （加）同態(tài)性：如果 $Open(pp,m_1,r_1,C_1)$ 和 $Open(pp,m_2,r_2,C_2)$ 都接受，那么 $Open(pp,m_1+m_2,r_1+r_2,C_1+C_2)$ 也接受。

承諾具有綁定性和隱藏性：

定義3. 如果對于所有 $m\ne m^{\prime }\in \mathcal{M}$，以及所有 $r,r^{\prime }\in \mathcal{M}$，都有 $Open(m,r,Commit(m^{\prime },r^{\prime }))$拒絕，那么承諾是完美綁定的。

如果對于所有概率多項(xiàng)式時(shí)間（p.p.t.）的對手 $\mathcal{A}$，使得 $\mathcal{A}$ 產(chǎn)生 $(m^{\prime },r^{\prime })$ 且 $m^{\prime }\ne m$ 以至于 $Open(m,r,Commit(m^{\prime },r^{\prime }))$ 接受的概率是可以忽略的，則承諾是計(jì)算上綁定的。

定義4. 如果給定 $pp$ 和 $m_1\ne m_2$，分布
U 1 = { C : C ← C o m m i t ( p p , m 1 , r ) , r ← M } U_1 = \{C : C \leftarrow Commit(pp, m_1, r), r \leftarrow M\} U1?={C:C←Commit(pp,m1?,r),r←M}
U 2 = { C : C ← C o m m i t ( p p , m 2 , r ) , r ← M } U_2 = \{C : C \leftarrow Commit(pp, m_2, r), r \leftarrow M\} U2?={C:C←Commit(pp,m2?,r),r←M}
是（相等的，統(tǒng)計(jì)上無法區(qū)分的，計(jì)算上無法區(qū)分的），那么承諾方案是（完全，統(tǒng)計(jì)上，計(jì)算上）隱藏的。

本文使用Pedersen承諾，它是滿足計(jì)算綁定，完美隱藏的同態(tài)承諾

Pedersen承諾

定義5. 取 $\mathcal{M}={\mathbb{Z}}_q$， $\mathcal{C}$ 為同構(gòu)的橢圓曲線群；進(jìn)一步， $\mathcal{H}$ 是一個(gè)以隨機(jī)預(yù)言模型為基礎(chǔ)的點(diǎn)值哈希函數(shù)。

• Setup 接受一個(gè)帶有區(qū)別生成元 $(\mathcal{G},G)$ 的循環(huán)群，以及輔助輸入 $\alpha$。它計(jì)算 $H=\mathcal{H}(\alpha )$ 并輸出 p p = { G , G , H } pp = \{\mathcal G, G, H\} pp={G,G,H}。
• $Commit(m,r)$ 輸出 $mH+rG$。
• $Open(m,r,C)$ 接受當(dāng)且僅當(dāng)$C=mH+rG$。
  （原始的Pedersen方案使用均勻隨機(jī)生成元 $G,H$，而不是將 $H$ 視為哈希函數(shù)的輸出。在隨機(jī)預(yù)言模型中，這兩者是等價(jià)的。）

range proof

定義6. 給定如上所述的同態(tài)承諾方案，以及 $0\le A\le B\le q$，我們將范圍$[A,B]$的范圍證明定義為一對隨機(jī)化算法：

• $Prov{e}_{[A,B]}$: $\mathcal{PP}\times \mathcal{M}\to \mathcal{C}\times \mathcal{M}\times \mathcal{S}$，接受一個(gè)值并生成對該值的承諾，同時(shí)生成打開信息和相關(guān)的范圍證明。
• $Verif{y}_{[A,B]}$: P P × C × S → { t r u e , f a l s e } \mathcal{PP \times C \times S} \rightarrow \{true, false\} PP×C×S→{true,false}，接受一個(gè)承諾和范圍證明，要么接受要么拒絕。
  其中 $\mathcal{S}$ 表示可能的范圍證明空間。要求對于所有 $v\in [A,B]$，$(C,r,\pi )\leftarrow Prov{e}_{[A,B]}(v)$，$$Verif{y}_{[A,B]}(C,\pi )andOpen(v,r,C)$$都接受。

范圍證明具有以下安全性質(zhì)：
定義7（Proving）。設(shè)$0\le A\le B\le q$，一個(gè)范圍證明方案證明了一個(gè)金額在范圍$[A,B]$內(nèi)，如果對于任何輸出 $(C,\pi )\in \mathcal{C}\times \mathcal{S}$的概率多項(xiàng)式時(shí)間算法$\mathcal{A}$使得 $Verify(C,\pi )$ 接受，存在一個(gè)模擬器 $B$，它在給定對 $A$ 的oracle訪問的情況下可以產(chǎn)生$(v,r)$，使得 $v\in [A,B]$ 并且 $Open(v,r,C)$ 接受。

兩個(gè)分布相同（不可區(qū)分）

（我們觀察到，由于承諾方案的binding，對$[A,B]$中的金額的open排除了對$[A,B]$以外的任何金額的open。根據(jù)定義7，給定一個(gè)具有有效范圍證明$\pi$的承諾$C$，我們可以在基于仿真的證明中明確地談?wù)摗?span id="ieo6y2aa" class="katex--inline">$C的open信息(v,r)$”，即使不知道它(因?yàn)檫@個(gè)知識(shí)原則上可以由模擬器獲得)。特別是，任何要求對手提供承諾公開信息的安全證明，如果公開信息被范圍證明所取代，將繼續(xù)有效。）

Confidential Transactions

Rangeproofs

首先描述一種在區(qū)間$[0，m^n?1]$上對Pedersen承諾進(jìn)行有效的范圍證明，其總大小與$1+nm$成比例，使用了一種基于民間傳說的基于二進(jìn)制分解(bit-decomposition)的范圍證明變體，其中數(shù)字以基$m$表示，每個(gè)數(shù)位都被證明在$[0，m?1]$之間，使用環(huán)簽名。

使用Borromean Ring Signatures的一種變體。

Schoenmakers [19]描述了一種使用每個(gè)數(shù)字的零知識(shí)OR證明的簡單基于$b$數(shù)位的范圍證明。我們的工作基于這個(gè)范圍證明，并做出以下更改：我們的OR證明基于Borromean Ring Signatures:

• 它允許在每個(gè)數(shù)字的證明中共享隨機(jī)挑戰(zhàn)
• 并通過一種新穎的技巧從每個(gè)證明中去除一個(gè)標(biāo)量
• 其中我們可以在生成證明的同時(shí)更改每個(gè)數(shù)字的承諾（而不更改數(shù)字本身）。

定義9（Back-Maxwell Rangeproof ）?？紤]一個(gè)Pedersen承諾方案，其中包含生成器$G、H$，并且$\mathcal{H}：\mathcal{C}\to \mathcal{M}$是一個(gè)random oracle hash。

（分析：證明的第一大塊可看作構(gòu)建最多$n$個(gè)規(guī)模為$m$的環(huán)。$e_0$作為Borromean簽名中多個(gè)環(huán)相結(jié)合的部分，下面的第二大部分是構(gòu)建每個(gè)環(huán)內(nèi)部結(jié)構(gòu)。特別地對于$v^i=0$，將其處理成與其他環(huán)不可區(qū)分的項(xiàng)；而對于$v^i\ne 0$的部分和原始Borromean簽名幾乎相同，除了對$e_j^i$的定義）


正確性：

• 對于$v^i\ne 0$的項(xiàng)， j = { 1 , . . . , v i ? 1 } j=\{1,...,v^i-1\} j={1,...,vi?1}的$e_j^i$和$R^i$的計(jì)算直接按定義恢復(fù)。
• 對于$v^i\ne 0$的項(xiàng)，$j=v^i$的項(xiàng)，
  $e_{v^i}^i=\mathcal{H}(s_{v^i}^{i}G?e_{v^i?1}^i[C^i?v^i{m}^{i}H])=\mathcal{H}(k^{i}G+e_{v^i?1}^i{r}^{i}G?e_{v^i?1}^i[m^i{v}^{i}H+r^{i}G?v^i{m}^{i}H])=\mathcal{H}(k^{i}G)$符合定義。
• 對于$v^i=0$的項(xiàng)，則需讓其也符合$v^i\ne 0$中的定義：
  • $e_j^i=\mathcal{H}(s_j^{i}G?e_{j?1}^i[C^i?j{m}^{i}H])=\mathcal{H}((k_j^i+\frac{k_0^i{e}_{j?1}^i}{e_{m?1}^i})G?e_{j?1}^i[\frac{k_0^i}{e_{m?1}^i}G?j{m}^{i}H])=\mathcal{H}(k_j^{i}G+e_{j?1}^i{m}^{i}jH)$
  • $R^i=e_{m?1}^i{C}^i=e_{m?1}^i\frac{R^i}{e_{m?1}^i}=k_0^{i}G$

（關(guān)于這個(gè)方案對原始的Borromean環(huán)簽名的改進(jìn)可參考比對：https://blog.csdn.net/jiongxv/article/details/125014841）

與Borromean環(huán)簽名兩個(gè)區(qū)別：

• 沒有$s_0^i$值，這在Borromean環(huán)簽名構(gòu)造中用于計(jì)算${\hat{e}}_0$，從而在總體證明中節(jié)省$i$個(gè)標(biāo)量。
• 承諾$C^i$不再包含在任何哈希中（在計(jì)算子承諾到數(shù)字$(m?1)$時(shí)，如Prove算法的第4(a)ii步所示，這是必要的）。不幸的是，由此產(chǎn)生的構(gòu)造在一般情況下不再是一個(gè)安全的環(huán)簽名；安全性的證明取決于所有密鑰都是綁定承諾而不是任意的公鑰。

（省略部分：證明這個(gè)改進(jìn)的range proof算法仍然是安全的，利用前面給出的定理7~8）

Confidential Transactions

修改比特幣交易的定義（定義1）。
定義10。我們將機(jī)密交易定義為以下數(shù)據(jù)：

• 一個(gè)輸出列表，包含驗(yàn)證密鑰、對金額的Pedersen承諾和Back-Maxwell范圍證明，證明它位于區(qū)間$[0,2^n?1]$，其中$n$明顯小于承諾值群的比特長度。
• 一個(gè)輸入列表，這些輸入是對其他交易輸出的明確引用，并使用這些輸出的驗(yàn)證密鑰進(jìn)行簽名。
• 一個(gè)明確列出的費(fèi)用$f$。

有效性條件更改如下：

• 費(fèi)用必須是非負(fù)的（除了coinbase交易）
• 所有輸入承諾減去所有輸出條件的總和必須等于$fH$，并且必須有所有輸入驗(yàn)證密鑰的有效簽名。

定義11。驗(yàn)證方程是：輸入金額減去輸出金額等于費(fèi)用（將這些金額視為承諾時(shí)，乘以H）。

總結(jié)一下，機(jī)密交易和比特幣交易之間的區(qū)別是：

• 明確的金額被同態(tài)承諾替代。
• 不是計(jì)算fee，而是明確給出并檢查輸入減去輸出是否對其進(jìn)行承諾。

通過輸入簽名實(shí)現(xiàn)付款授權(quán)，這與比特幣相同，但在本文中沒有詳細(xì)討論。然而，我們需要論證這種變化不會(huì)允許無效地創(chuàng)建硬幣。

定理3?？紤]一個(gè)有效的機(jī)密交易：

• 費(fèi)用為$f$，輸入對金額 { I i } i = 0 k \{I_i\}^k_{i=0} {Ii?}i=0k?進(jìn)行承諾，輸出對金額 { O i } i = 0 l \{O_i\}_{i=0}^{l} {Oi?}i=0l?進(jìn)行承諾。
• 假設(shè)$k+l+1<|\mathcal{C}|/R$，其中輸出范圍證明是在范圍$[0，R?1]$內(nèi)的，且$f\in [0,R?1]$
  (通常，群階為$\mathcal{C}\approx 2^{256},R\approx 264$，因此這一要求在實(shí)踐中是不可能違背的。)
• 如果范圍證明是proving的且承諾是綁定的，那么 { O i } \{O_i\} {Oi?}的任何子集都不會(huì)承諾多于${\sum }_{i=0}^k{I}_i?f$

觀察到，簡單地論證${\sum }_{i=0}^k{I}_i?f={\sum }_{i=0}^l{O}_i$是不夠的:例如，在輸入和費(fèi)用為零的情況下，攻擊者可以提交兩個(gè)輸出量{1，?1}，并且即使整個(gè)方程平衡，也可以憑空創(chuàng)建一個(gè)硬幣。

Proof：

1. 由于所有的范圍證明都是有效的，且承諾是綁定的，對于每個(gè)$i$，我們有$0\le O_i\le R$。對于輸入也是一樣的，它們是先前（有效）交易的輸出。
2. 接下來，由于輸入承諾減去輸出承諾等于$fH$，我們有${\sum }_{i=0}^k{I}_i?f?{\sum }_{i=0}^l{O}_i\equiv 0(mod|\mathcal{C}|)$，或者說存在某個(gè)整數(shù)$m$：
   
3. 因?yàn)?span id="ieo6y2aa" class="katex--inline">$k+l+1<|\mathcal{C}|/R$，根據(jù)每一項(xiàng)的邊界，我們可以把方程左邊的邊界設(shè)為：
   
   但這意味著$m=0$，即輸入金額加到輸出金額上(加上fee)=0。
4. 最后，由于所有的輸出量都是正的，輸出的每個(gè)子集的和必須小于或等于${\sum }_{i=0}^k{I}_i?f$，如所希望的那樣。證畢。

Performance

考慮一個(gè)群$\mathcal{G}$，其中標(biāo)量和群元素都在1個(gè)空間單位中編碼(實(shí)際上是32字節(jié)或256位)。我們對比了三種方案:

• 一種使用每個(gè)數(shù)字單獨(dú)的AOS環(huán)簽名的樸素的民間距離證明方案;
• 一種是使用在Elements Alpha[2]中實(shí)現(xiàn)的Borromean環(huán)簽名[15];
• 本文方案。
  進(jìn)行了漸進(jìn)比較，也看了具體情況$2^{38}\approx 3^{24}$。雖然naive和Alpha方案在基數(shù)4下是空間最優(yōu)的，但我們的方案在基數(shù)3下是空間最優(yōu)的。
  

Confidential Assets

給出資產(chǎn)標(biāo)簽的定義（承諾的形式）

資產(chǎn)承諾和擔(dān)保證明

定義12。給定某個(gè)資產(chǎn)描述A（其精確形式在第4.4節(jié)中給出），相關(guān)的資產(chǎn)標(biāo)簽是元素$H_A\in \mathcal{G}$，它是通過使用A作為輔助輸入執(zhí)行Pedersen承諾Setup得到的。

定義13。給定一個(gè)資產(chǎn)標(biāo)簽$H_A$，一個(gè)（暫時(shí)的）資產(chǎn)承諾是形式為$H=H_A+rG$的點(diǎn)，其中$r$是均勻隨機(jī)選擇的。

在下一節(jié)中，使用這些資產(chǎn)承諾來代替Pedersen承諾中的生成元$H$。下面的定理證明了這一點(diǎn)。

定理4。設(shè)$H$是對資產(chǎn)標(biāo)簽$H_A$的資產(chǎn)承諾，$C$是一個(gè)Pedersen承諾，使得$Ope{n}_H(v,r,C)$接受。那么如果$H_A=H+sG$，那么$Ope{n}_{H_A}(v,r?sv,C)$也會(huì)接受。

推導(dǎo)一下：$Ope{n}_H(v,r,C)=C=vH+rG=v(H_A?sG)+rG=v{H}_A+(r?sv)G$

這個(gè)定理是直接的，它意味著對某個(gè)資產(chǎn)承諾作為生成元的Pedersen承諾也是對同一金額以底層資產(chǎn)標(biāo)簽作為生成元的Pedersen承諾。此外，任何知道盲因子$s$和對于一個(gè)生成元的open信息的人都可以確定對于另一個(gè)生成元的open信息。

這樣的Pedersen承諾不僅對承諾的金額進(jìn)行承諾，還對底層資產(chǎn)標(biāo)簽進(jìn)行承諾，具體如下:

定理5。如果存在一個(gè)可以在以下游戲中以非可忽略概率取勝的ppt算法$\mathcal{A}$，那么存在一個(gè)模擬器$\mathcal{B}$，該模擬器可以以非可忽略的概率解離散對數(shù)問題（對于生成元$\mathcal{G}$）。

1. $\mathcal{A}$調(diào)用$Setu{p}_i$生成資產(chǎn)標(biāo)簽$H_i$，對于$i=0,1,...,n$。
2. $\mathcal{A}$生成承諾$C_i$和打開$(v_i,r_i)$，使得對于$i=1,...,n$，$Ope{n}_i(v_i,r_i,C_i)$接受。
3. $\mathcal{A}$生成打開$(v,r)$，使得$v\ne 0$且$Ope{n}_0(v,r,{\sum }_{i=1}^n{C}_i)$接受。

(證明略)

根據(jù)Definition 7后面的評論，如果要求敵手產(chǎn)生范圍證明而不是open信息，則相同的定理成立。

我們將向所有交易輸出附加新的隨機(jī)資產(chǎn)承諾，并且我們需要一種在不揭示映射的情況下鏈接輸入和輸出的方法。以下工具將是必不可少的。

定義14。資產(chǎn)滿射證明（ASP）方案包括以下算法。

• Prove接受“輸入”資產(chǎn)承諾的集合 { H i } i = 1 n \{H_i\}^n_{i=1} {Hi?}i=1n?，一個(gè)“輸出”承諾 $H=H_{i^{?}}+rG$（其中$1\le i^{?}\le n$），以及$r$。它輸出一個(gè)證明$\pi$。
• Verify接受集合 { H i } i = 1 n \{H_i\}^n_{i=1} {Hi?}i=1n?，$H$和一個(gè)證明$\pi$，然后要么接受要么拒絕。

我們經(jīng)常說ASP是從輸入承諾的集合 { H i } \{H_i\} {Hi?}到輸出承諾$H$的。

定義15。如果由Prove算法生成的證明$\pi$是盲因子$r$的零知識(shí)證明（zkPoK），則ASP是安全的。

這很容易通過環(huán)簽名構(gòu)造，環(huán)簽名是其其中一個(gè)密鑰的zkPoK，例如AOS環(huán)簽名。

定義16。AOS ASP如下：

• Prove計(jì)算$i=1，...，n$的$n$個(gè)差值$H?H_i$（其中之一將是$r$），并使用這些差異計(jì)算一個(gè)空消息的環(huán)簽名。
  $\pi$就是這個(gè)簽名。
• Verify計(jì)算相同的差值們并驗(yàn)證環(huán)簽名。
  如果底層的AOS環(huán)簽名方案是zkPoK，那么AOS ASP是安全的，這是顯而易見的 。

Confidential Assets

考慮在單個(gè)交易中支持多個(gè)不可互換的資產(chǎn)類型的方案的擴(kuò)展。

定義17。機(jī)密資產(chǎn)交易是以下數(shù)據(jù)：

• 一個(gè)輸入列表，有兩種形式之一：
  • 對另一筆交易輸出的明確引用，使用該輸出的驗(yàn)證密鑰簽名
  • 資產(chǎn)發(fā)行輸入，其具有明確的金額和資產(chǎn)標(biāo)簽；
• 一個(gè)輸出列表，包含：
  • 一個(gè)驗(yàn)證密鑰，
  • 具有從所有輸入資產(chǎn)承諾到$H_o$的ASP的資產(chǎn)承諾$H_o$；
  • 使用生成元$H_o$而不是$H$的Pedersen承諾，其金額使用Back-Maxwell范圍證明（也使用$H_o$而不是$H$）證明位于范圍$[0,2^n?1]$內(nèi)，其中$n$明顯小于承諾值群的比特長度。
• 一個(gè)fee$\{(f_i,H_i){\}}_{i=1}^n$，明確列出。
  • 這里$f_i$是對應(yīng)的tag為$H_i$的資產(chǎn)的標(biāo)量金額。為了簡單起見，要求所有的$H_i$都是不同的。（
  • 注意，用于支付費(fèi)用的資產(chǎn)類型必須被揭示。實(shí)際上，我們期望一個(gè)工作系統(tǒng)只使用一種資產(chǎn)，比如比特幣，作為計(jì)fee單位，因此不會(huì)失去隱私。）
  • 每個(gè)$f_i$必須始終是非負(fù)的；
  • 資產(chǎn)起源于資產(chǎn)發(fā)行輸入，這取代了機(jī)密交易中的coinbase交易。

有效性方程與機(jī)密交易的相同，只是費(fèi)用承諾的計(jì)算為${\sum }_{i=1}^n{f}_i{H}_i$，而不僅僅是$fH$。

Performance

在3.3節(jié)中，我們描述了附加到每個(gè)交易輸出的范圍證明的大小。這對于機(jī)密資產(chǎn)是不變的，但我們還需要兩個(gè)額外的數(shù)據(jù):資產(chǎn)承諾和顯示此承諾合法的ASP。

（例如，一個(gè)資產(chǎn)標(biāo)簽$H_A$的承諾$H$，AOS ASP用環(huán)簽名構(gòu)造，單個(gè)環(huán)簽名規(guī)模$n+1$）

在3.3節(jié)的單元中，資產(chǎn)承諾的規(guī)模為$1$,ASP的規(guī)模為$n+1$，其中$n$是給定輸出可能來自的輸入數(shù)量。對于任何具有$m$個(gè)輸出和$n$個(gè)輸入的整個(gè)交易，因此附加數(shù)據(jù)的大小為$m(n+2)$。

我們可以通過以隱私為代價(jià)來改進(jìn)這一點(diǎn)：使用較弱形式的ASP來改進(jìn)，$n=3$。那么附加的數(shù)據(jù)將只花費(fèi)$5m$，這樣漸進(jìn)性能更好。

Issuance 發(fā)行

在區(qū)塊鏈的上下文中，希望確保任何資產(chǎn)A只能被使用一次，以確保無法通過多個(gè)獨(dú)立的發(fā)行來膨脹資產(chǎn)。將發(fā)行與UTXO的花費(fèi)關(guān)聯(lián)起來，并確保每個(gè)特定UTXO最多只有一個(gè)發(fā)行，可以實(shí)現(xiàn)這種唯一性屬性。將花費(fèi)的UTXO的明確引用與發(fā)行者指定的值一起哈希，即Ricardian contract hash，生成Pedersen承諾的輔助輸入$A$。

定義18。給定要花費(fèi)的輸入$I$，它本身是對另一筆交易輸出的明確引用，以及發(fā)行者指定的Ricardian contract $C$，資產(chǎn)熵$E$定義為$Hash(Hash(I)||Hash(C))$。

Ricardian contract是一份機(jī)器可解析的法律文件，規(guī)定了資產(chǎn)的使用條件，尤其是贖回條件。這樣的合同可能如何設(shè)計(jì)或執(zhí)行的詳細(xì)信息超出了本文的范圍。在這里重要的是這樣的文件存在，并且其哈希在發(fā)行資產(chǎn)時(shí)被不可撤銷地承諾。

定義19。給定資產(chǎn)熵$E$，資產(chǎn)標(biāo)簽是通過使用$Hash(E||0)$作為輔助輸入執(zhí)行Pedersen承諾設(shè)置得到的元素$H_A\in \mathcal{G}$。每個(gè)非coinbase交易輸入最多可以關(guān)聯(lián)一個(gè)新的資產(chǎn)發(fā)行：

定義20。資產(chǎn)發(fā)行輸入包括:

• 一個(gè)UTXO花費(fèi)$I$（解釋為同一交易的非發(fā)行輸入）；
• 一個(gè)Ricardian合同$C$；
• 一個(gè)初始發(fā)行的顯式值$v_0$，或者Pedersen承諾$H$和BackMaxwell范圍證明$P_0$；
• 一個(gè)布爾字段，指示是否允許重新發(fā)行。重新發(fā)行將在下節(jié)中解釋。

重新發(fā)行和能力令牌

資產(chǎn)可以是固定發(fā)行的，或者可選擇重新發(fā)行：

• 這個(gè)功能是一個(gè)令牌，為其所有者提供在初始發(fā)行后的任何時(shí)點(diǎn)改變流通中的資產(chǎn)數(shù)量的能力。
• 當(dāng)創(chuàng)建一個(gè)支持重新發(fā)行的資產(chǎn)時(shí)，初始資產(chǎn)發(fā)行和重新發(fā)行能力令牌同時(shí)生成。

定義21。給定資產(chǎn)熵$E$，資產(chǎn)重新發(fā)行能力是通過使用$Hash(E||1)$作為輔助輸入執(zhí)行Pedersen承諾設(shè)置得到的元素$H_A\in \mathcal{G}$。

支持重新發(fā)行的資產(chǎn)在其資產(chǎn)發(fā)行輸入中指示這一點(diǎn)，并且交易包含一個(gè)額外的金額為$1$的輸出，承諾到資產(chǎn)標(biāo)簽$H_A$。

通過這種方式，資產(chǎn)標(biāo)簽與相應(yīng)的重新發(fā)行能力相關(guān)聯(lián)，持有這種能力的人可以通過揭示能力的盲因子以及原始資產(chǎn)熵來主張他們的重新發(fā)行權(quán)利。

定義22。資產(chǎn)重新發(fā)行輸入包括對包含資產(chǎn)重新發(fā)行能力的UTXO的花費(fèi)；原始資產(chǎn)熵E；正在花費(fèi)的UTXO的資產(chǎn)承諾的盲因子；以及顯式的重新發(fā)行金額vi，或者Pedersen承諾H和Back-Maxwell范圍證明Pi。

這種重新發(fā)行機(jī)制是通用基于能力的身份驗(yàn)證方案的一個(gè)特定實(shí)例。可以使用相同的方案來定義控制對其他受限操作的訪問的能力。

Performance

與機(jī)密交易不同，在機(jī)密資產(chǎn)中，每個(gè)輸出都必須附帶范圍證明，而且每個(gè)機(jī)密資產(chǎn)輸出還必須有一個(gè)資產(chǎn)標(biāo)簽和資產(chǎn)滿射證明。與第3.3節(jié)一樣，我們認(rèn)為曲線點(diǎn)和標(biāo)量具有相同的大小。
對于一個(gè)金額在范圍$[0，m^n)$內(nèi)并引用A個(gè)資產(chǎn)的輸出，因此范圍證明和ASP的總大小是$(1+mn)+(2+A)$，其中第一個(gè)術(shù)語是范圍證明的貢獻(xiàn)，第二個(gè)是資產(chǎn)標(biāo)簽和ASP的貢獻(xiàn)。
（范圍證明$1+mn$，資產(chǎn)標(biāo)簽1，ASP$A+1$）
對于一個(gè)$[0，3^{24})$范圍證明和三個(gè)輸入的原型示例，總共是78個(gè)標(biāo)量，或19968位。
（$1+3\times 24+2+3=78$）（注意不要把機(jī)密資產(chǎn)和機(jī)密交易混為一談）

“Small Assets” and “Big Assets”

• Big Assets：用ASP綁定輸入與輸出資產(chǎn)類型，使得機(jī)密資產(chǎn)能夠在支持無限多種資產(chǎn)類型的區(qū)塊鏈上運(yùn)行，這些資產(chǎn)類型可以在鏈定義之后添加。
• Small Assets：另一種方案，適用于一小組固定的資產(chǎn)標(biāo)簽，是在鏈的開始定義資產(chǎn)標(biāo)簽，并使每個(gè)輸出包含對全局資產(chǎn)標(biāo)簽列表的ASP。
• 還可以通過在每個(gè)交易中選擇其輸出具有ASP的資產(chǎn)標(biāo)簽子集來使用中間方案，具有全局動(dòng)態(tài)資產(chǎn)列表。一般來說，有很大的空間可以根據(jù)特定用例的ASP大小和隱私之間的最佳權(quán)衡進(jìn)行調(diào)整。

Future Research

• 范圍證明效率。
• ASP效率。限制輸入集規(guī)?？梢蕴岣咝?#xff0c;但這會(huì)以用戶隱私為代價(jià)，最好是避免這種權(quán)衡。
• 聚合范圍證明。如果能夠聚合范圍證明（例如，將$C_1$和$C_2$承諾在$[0，2^n?1]$中的值的證明合并成一個(gè)證明，證明$C_1+C_2$承諾在$[0，2^{n+1}?1]$中的值），這也將提高基于區(qū)塊鏈的系統(tǒng)的效率，因?yàn)樽C明可以放置在一個(gè)Merkle匯總樹中，其節(jié)點(diǎn)包含其子節(jié)點(diǎn)的聚合范圍證明。然后，驗(yàn)證者只需檢查根節(jié)點(diǎn)，以確保整個(gè)樹不會(huì)導(dǎo)致通貨膨脹，延遲對個(gè)別輸出上的證明的檢查，直到這些輸出被花費(fèi)。
• 量子抗性。本文中描述的原語都依賴于橢圓曲線離散對數(shù)假設(shè)，這被認(rèn)為在量子對手面前是不安全的。量子困難性的類似物需要替代Pedersen承諾、ASP使用的環(huán)簽名以及范圍證明。