【译文】MimbleWimble协议（六）

4.扩展和未来研究

多签名输出。我们观察到，CT 范围证明可以以Schnorr签名生成多签名输出的相同方式交互生成。类似地，下沉签名可以以多方方式简单地生成。因此，虽然本文没有讨论对多方签名的支持，但它只是一个钱包支持的问题，不需要对系统进行进一步的更改。

支付渠道。比特币的脚本系统支持链外支付渠道，闪电网络[PD16]使用这些渠道在恒定的区块链空间中支持无限的交易容量。像Mimblewimble这样的以扩展为中心的区块链设计应该支持这样的方案。这是一个开放的问题，生产支付渠道作为符合人体工程学和灵活的比特币，但为了表明这应该是可能的，这里是一个例子的原始Mimblewimble支付渠道。假设甲方A希望向乙方B提供一系列最高价值V的付款。

1.首先，A创建一个花费V币的多签名输出，需要A和B的签名才能签名。A“时间锁”通过取当前块高h中最高的0位i，然后要求B签署高度h+2i的交易，将代币返回到A。只有在收到此签名后，A才会公布花费。签名构造确保这样的退款交易不会花费在h和h+2i之间的任何块中。另一方面，这意味着如果A想要2i块的锁定时间，他必须等待2i+1的倍数的块高来创建它。

2.既然所有的V币都是多重签名输出，需要A和B的签名才能使用（在失速的情况下，代币会在2i块后返回A），A可以通过在这个输出中签署一个事务来发送v到B和（V-n）到A，从而发送一个数量v到B。

3.为了增加值v，A只需用新值v签署一个新事务。B在通道接近关闭之前不会签署和发布，此时B可以发布一个事务，获取整个值v，即使它实际上是在许多交互过程中生成的。

侧链支持：如果Mimblewimble块提交到一个包含所有peg-in事务和所有peg-out事务的结构（与它们提交给UTXO集的方式相同，但这些结构永远不会收缩），那么Mimblewimble就有可能被实现为一个铆钉侧链。这将为其母链提供巨大的规模效益，因为大多数区块链交易都是Mimblewimble支持的简单价值类型转移，而且还降低了Mimblewimble用户从量子计算中转移代币的风险，因为从侧链中转移代币很容易。

在技术层面上，peg-ins和peg-outs都可能看起来像是交易超额值，而不是区块高度签名，目标链上的输出签名。然后，验证器将该超额值加上作为±vH的总utxo集值（其中v是输出值）。

解决这个问题的细节，争论安全问题，留给我们作为未来的研究，但从高层来看，似乎没有公开的问题。

量子抵抗：由于Mimblewimble依赖于离散对数问题来防止盗窃和通货膨胀，因此它很容易受到量子计算的攻击。找到与本文中使用的原语类似的量子安全类比，将允许具有与原语相同的渐近标度性质的量子安全模拟。这方面的一些研究包括：

?Pedersent提交可以被量子模拟物替代，如[CDG+15]。注意，在允许任意添加多个提交的强烈意义上，这些提交不是同态的，因为在固定的噪声阈值之后，提交将不再打开-但是，这不是问题，因为Mimblewimble只要求（未合并的）事务总和为（非隐藏的）提交为零。

?下沉签名可能会被基于LWE的候选者替换，或者是上述文件中给出的NIZK开口证明的变体。唯一有趣的特性是相同值上的签名可以相加形成多重签名，这在代数上应该很容易获得。

?作者不知道任何量子安全的范围证明。

?基于哈希的区块链提交已经是量子安全的，并且紧凑链的参数没有改变。

5.致谢

作者想感谢

?Avi Kulkarni，用于开发论文中描述的下沉签名结构（并打破作者的原始结构）。

?格雷戈里·桑德斯（Gregory Sanders）就Mimblewimble的担保提出了试探性的问题，直到其共识结构的清晰画面出现。

参考

[Bac02]A.Back，Hashcash-拒绝服务反措施，2002年，http://Hashcash.org/papers/hashcash.pdf。

[BCD+14]A.Back、M.Corallo、L.Dashjr、M.Friedenbach、G.Maxwell、A.Miller、A.Poelstra、J.Timon和P.Wuille，《使用铆钉侧链实现区块链创新》，2014年，https://www.blockstream.com/sidechains.pdf。

[CDG+15]D.Cabarcas、D.Demirel、F.Gopfert、J.Lancrenon和T.Wunder，无条件隐藏和长期绑定的后量子提交方案，密码学电子打印存档，2015/628报告，2015，http://ePrint.iacr.org/2015/628。

[Jed16]T.E.Jedusor，Mimblewimble，2016年，已失效的隐藏服务，http://5pdcbgndmprm4wud.onion/Mimblewimble.txt。Reddit讨论，网址：https://www.Reddit.com/r/Bitcoin/comments/4vub3y/mimblewimble_u noninteractive_ucoinjoin_uand_ubetter/。

[KLS16]A.Kiayias，N.Lamprou和A.-P.Stouka，《次线性复杂性工作证明，金融密码和数据安全：FC 2016国际研讨会，比特币，投票，和WAHC，基督教堂，巴巴多斯，2016年2月26日，修订论文（柏林，海德堡）（J.Clark，S.Meiklejohn，Y.A.P.Ryan D.Wallach，M. Brenner，K. Rohloff,编辑，斯普林格柏林海德堡，2016年，61-78页。

[Max13a]G.Maxwell，《CoinJoin：现实世界的比特币隐私》，2013年，比特币对话邮报，https://bitconitalk.org/index.php？topic=279249.0。

[Max13b]，交易切入，2013年，BitcoinTalk post，https://BitcoinTalk.org/index.php？topic=281848.0。

[M1515]，机密事务，2015，纯文本，HTTPS://No.XPH.Org/~greg/CuffialLayValue.txt。

[Max16]，首次成功的零知识或有支付，2016年，博客文章，https://bitcoincore.org/en/2016/02/26/zero-knowledge-contingent-payments-announcement/。

[Mou13]Y.M.Mouton，比特币的匿名性越来越高...（可能替代零币？），2013年，BitcoinTalk邮报，https://bitconitalk.org/index.php？topic=290971。

[Nak09]S.Nakamoto，《比特币：点对点电子现金系统》，2009年，https://www.Bitcoin.org/Bitcoin.pdf。

[Nol13] T. Nolan，回复：Alt链和原子交易，https://bitconitalk.org/index.php？topic=193281.msg2224949#msg2224949219013。

[PD16]J.Poon和T.Dryja，《比特币闪电网络》，2016年，https://lightning.network/lightning-network-paper.pdf。

[Ped01]T.Pedersen，非交互和信息论安全可验证秘密共享，计算机科学课堂笔记576（2001），129-140。

—-

编译者/作者：灰狼

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。