Aptos mainnet zal binnenkort 🔒 vertrouwelijke activa 💸 mogelijk maken!! d.w.z. versleutelde saldi & transactiebedragen 🔐, hoewel met openbaar zichtbare 🌍 afzender- & ontvangeradressen! (Eén stap tegelijk, mensen...) Zo werken ze! 🤓👇

Aptos vertrouwelijke activa bouwen voort op en breiden eerder werk uit. We versleutelen saldi on-chain met behulp van Twisted ElGamal, zoals PGC (). Dit werkt goed samen met Bulletproofs om te bewijzen dat een versleuteld saldo correct is afgeschreven na een vertrouwelijke verzending/opname.

Of, zoals ik vaak zeg [en waar ik op dit moment om word uitgelachen]... "Bekijk mijn blog!"

*Kenmerk 1:* In tegenstelling tot PGC en Solana zijn onze Twisted ElGamal-cijfers _agressief opgedeeld_ om super-snelle decryptie te garanderen bij het verwerken van saldi en bedragen van ~256 bits. We noemen dit *chunked'n'twisted ElGamal.* Voor wat het waard is, heeft Aptos alleen 128-bits saldi en 64-bits bedragen nodig.

Voor Aptos garandeert chunking dat de maximale discrete log (DL) instantie die tijdens de decryptie moet worden opgelost 32-bits is, in het slechtste geval (en gemiddeld veel kleiner). => gemakkelijk oplosbaar in 2^16 elliptische kromme toevoegingen met behulp van eenvoudige algoritmen zoals baby-step giant-step (BSGS)👇

*Kenmerk 2:* We versnellen BSGS voor onze keuze van de Ristretto255 elliptische kromme via gebatchte compressies. We verminderen ook de grootte van de vooraf berekende tabel met 4x (=> vermindert de SDK-grootte en latentie van vertrouwelijke dapps) We noemen dit nieuwe algoritme *afgeknotte BSGS-k (TBSGS-k).*

Ik heb eerder al op dit algoritme ingespeeld: ...maar ik heb niet genoeg de *waarom* benadrukt: TBSGS-k is deterministisch => eenvoudiger te implementeren en te testen. TBSGS-k is slechts ~2x langzamer (10,6 ms vs 4,8 ms) dan het complexere [BL12] algoritme, en heeft slechts 2x grotere tabellen.

*Kenmerk 3:* Wanneer auditing is ingeschakeld, behouden we een aantoonbaar correcte encryptie van het (beschikbare) saldo van elke gebruiker onder de encryptiesleutel van de auditor (EK). Dit voorkomt dat auditors de TXN's van gebruikers scannen om hun saldo te reconstrueren. Sleutel: het maakt auditor EK-rotaties mogelijk 👌

*Kenmerk 4:* In Aptos is het _rotatie_ van de gebruikershandtekening sleutel een centrale beveiligingsfunctie. Dus: we hebben ook vertrouwelijke activa ontworpen om de rotatie van de gebruikers *ontsleutelings* sleutel te ondersteunen! Voor nu zijn de sleutelbeheerbeleid overgelaten aan applicaties/wallets (beroemde laatste woorden 🤞).

Het goede nieuws: Sleutelloze vertrouwelijke dapps kunnen hun 🌶️ veilig hergebruiken als een decryptiesleutel! () ==> geen extra sleutelbeheerlast voor dergelijke toepassingen ==> de gemakkelijkste manier om een vertrouwelijke dapp te bouwen is als een sleutelloze dapp; geen [ondersteuning] van een portemonnee nodig!

*Kenmerk 5:* Het implementeren van crypto(*grafie*) die echte gebruikersfondsen beveiligt, is angstaanjagend. Om fouten te minimaliseren (🤞), gebruiken we een grotendeels over het hoofd geziene methodologie voor het veilig ontwerpen en samenstellen van Sigma-protocollen: Het *homomorfisme raamwerk,* dat ik ontdekte in @danboneh's boek 🙏

*Kenmerk 6:* De eerste productieklare implementatie van vertrouwelijke activa in Move. De code is momenteel privé terwijl deze wordt gecontroleerd, maar zal binnenkort worden vrijgegeven. Hier is een teaser voor hoe eenvoudig een vertrouwelijke overdracht kan zijn 👇

Ook, omdat ik het niet kan helpen, hier is een deel van ons Sigma-protocol homomorfisme framework geïmplementeerd in Move 😍

*Kenmerk 7:* Volledige cryptografische specificatie met beveiligingsbewijzen. (Misschien kunnen we het wel coderen in @leanprover?) Binnenkort, met de spannende details, in een eprint naast je 👇

Tot slot, krediet waar krediet verschuldigd is: Aptos vertrouwelijke activa bouwen voort op en breiden ideeën uit die in eerder werk zijn geïntroduceerd 👇 1. Zether (): probleem van "front-running" van het vaste accountmodel via uitstaande saldi

2. PGC (): voorgesteld Twisted ElGamal + Bulletproofs als een eenvoudiger alternatief voor \Sigma-bullets. Dit vermindert de implementatiecomplexiteit drastisch: we hoeven ons alleen maar te concentreren op het correct ontwerpen van onze Sigma-protocollen! Veilige samenstelling wordt hieronder betoogd 👇

3. Solana (): staat 48-bits overgedragen bedragen toe door het uit te splitsen van het uitstaande saldo in een "hoog" 32-bits stuk en een "laag" 16-bits stuk. We staan grotere bedragen toe door een hoger aantal stukken te gebruiken en door ook het beschikbare saldo verder op te splitsen.

Last but not least, wil ik @mstrakastrak en de mensen van @distributedlab bedanken, die hebben geholpen met het ontwerpen van de eerste versie van het vertrouwelijke activaprotocol en het implementeren ervan in Move en TypeScript 🖖 Houd onze gezamenlijke paper in de gaten die binnenkort uitkomt!