作者：Michael Zhu? 編譯：Lynn，MarsBit

所有無論以何種有意義的方式運作的投票系統(tǒng)都依賴于完整性和透明度。從表面上看，這使得區(qū)塊鏈成為構(gòu)建這些系統(tǒng)的理想平臺——事實上，許多去中心化的組織已經(jīng)接受了無許可投票來表達集體意圖，通常是在揮舞大量財富或調(diào)整關(guān)鍵協(xié)議參數(shù)的情況下。但是鏈上投票也有缺點，隱私仍未被探索和開發(fā)，對 Web3 投票系統(tǒng)不利——在目前使用的大多數(shù)鏈上投票協(xié)議中，選票和投票結(jié)果是完全公開的。如果沒有隱私，投票結(jié)果很容易被操縱和選民激勵錯位，可能會導致不民主的結(jié)果。

這就是為什么我們要發(fā)布 Cicada：一個新的、開源的 Solidity 庫，利用時間鎖謎題和零知識證明來實現(xiàn)私人鏈上投票。與現(xiàn)有的系統(tǒng)相比，Cicada 具有新穎的隱私屬性，最大限度地減少了信任假設(shè)，并且足夠高效，可以在以太坊主網(wǎng)上使用。

在這篇文章中，我們調(diào)查了投票隱私的情況，并提供了關(guān)于 Cicada 如何工作的高層次描述（正式的證明即將到來）。我們還鼓勵開發(fā)者查看 GitHub 倉庫——Cicada 可以通過許多方式進行調(diào)整和擴展，以支持不同的投票方案和功能，我們希望與社區(qū)合作，探索這些可能性。

私人投票的簡要調(diào)查

在任何投票系統(tǒng)（鏈上或其他）中，有許多不同層次的隱私需要考慮。個別選票的披露、運行中的計票和選民身份都會以不同方式影響選民的積極性。哪些隱私屬性是必要的，取決于投票的背景。在密碼學和社會科學文獻中經(jīng)常出現(xiàn)的幾個：

• 選票隱私：秘密選票，也被稱為「澳大利亞選票」，是為現(xiàn)實世界的投票系統(tǒng)開發(fā)的，作為保持個人選民的偏好的一種方式，并減輕賄賂和脅迫（在鏈上設(shè)置，我們可能需要一個比選票隱私更強大的屬性——見下文的「無收據(jù)性」）。選票隱私還可以減輕社會期望偏差——某人基于他人對其選擇的看法而投票的壓力較小。

• 正在進行中計票的隱私：許多投票系統(tǒng)在選民仍在投票時隱藏正在進行中的計票，或每個選項已經(jīng)投了多少票，以避免影響投票率和選民激勵。我們已經(jīng)在現(xiàn)實世界中看到了這種情況；例如，較晚投票的美國參議員比較早投票的參議員更有可能與他們的政黨保持一致。而在鏈上：在代幣加權(quán)投票中，鯨魚可以通過讓對手保持領(lǐng)先來哄騙他們的虛假安全感（有些人可能懶得投票，假設(shè)他們無論如何都會贏），然后在最后一刻投出自己的選票來左右結(jié)果。

• 選民的匿名性：在許多現(xiàn)實世界的投票系統(tǒng)中，你的投票是不公開的，但你投了票的事實往往是公開的。這對于防止選民欺詐很重要，因為公布投票者的記錄可以讓人們檢查是否有其他人以他們的名義投票。然而，在鏈上，我們可以防止選民欺詐，同時使用加密基元保留匿名性——例如，通過 Semaphore，你可以在零知識中證明你是一個還沒有投過票的合格的選民。

• 無收據(jù)性：個人選民提供其選票的「收據(jù)」，以證明他們是如何向第三方投票的，否則可能導致賣票。一個密切相關(guān)但更強大的屬性是抗脅迫，它可以防止有人脅迫選民以某種方式投票。這些屬性在去中心化的環(huán)境中特別有吸引力，因為投票權(quán)可以通過智能合約市場實現(xiàn)流動性。不幸的是，它們也很難實現(xiàn)——事實上，Juels 等人指出，在沒有可信硬件的情況下，這在無許可的環(huán)境下是不可能的。

Cicada 專注于正在進行中計票隱私，但（正如我們在后面討論的）它可以與零知識組成員證明聯(lián)合，以達成選民的匿名性和選票隱私。

介紹 Cicada： 來自同態(tài)時間鎖難題的計票隱私

為了實現(xiàn)正在進行中計票的隱私，Cicada 利用了（據(jù)我們所知）以前從未在鏈上使用過的密碼學基元。

首先，時間鎖謎題（Rivest, Shamir, Wagner, 1996?）是一個加密謎題，它封裝了一個秘密，只有在一些預定的時間過后才能被揭示——更具體地說，這個謎題可以通過重復進行一些非平行計算來解密。時間鎖定謎題在投票的背景下對于實現(xiàn)運行統(tǒng)計的隱私很有用： 用戶可以將他們的選票作為時間鎖謎題提交，這樣他們在投票過程中是保密的，但在投票后可以被揭露。與其他大多數(shù)私人投票結(jié)構(gòu)不同的是，這使得運行統(tǒng)計隱私不需要依賴統(tǒng)計機構(gòu)（如選舉工作人員計算紙質(zhì)或數(shù)字選票）、閾值加密（幾個受信任方必須合作解密一個消息）或任何其他受信任方：任何人都可以解決一個時間鎖謎題，以確保投票后結(jié)果被揭示。

其次，一個同構(gòu)的時間鎖謎題（Malavolta Thyagarajan, 2019?）具有額外的屬性，即在知道秘密密鑰、解密謎題或使用后門的情況下，對加密值的一些計算是可能的。特別是，一個線性同態(tài)的時間鎖謎題允許我們將謎題組合在一起，產(chǎn)生一個新的謎題，封裝了原始謎題的秘密值的總和。

正如論文作者所指出的，線性同態(tài)的時間鎖謎題是一種特別適合于私人投票的基元： 選票可以被編碼為謎題，并且它們可以被同態(tài)地組合起來，以獲得一個編碼最終計票的謎題。這意味著只需要一次計算就可以揭示出最終結(jié)果，而不是為每張選票解決一個獨特的謎題。

一個新的結(jié)構(gòu)：效率和權(quán)衡

要使投票方案在鏈上實用，還需要考慮幾個問題。首先，攻擊者可能會試圖通過投一個不正確的編碼的選票來操縱投票。例如，我們可能希望每張選票的時間鎖謎題都編碼為一個布爾值：「?1?」表示支持被投票的提案，「?0?」表示反對。一個熱心的提案支持者可能會試圖編碼，例如「?100?」來擴大他們的有效投票權(quán)。

我們可以通過讓選民在提交選票本身的同時提交一份關(guān)于選票有效性的零知識證明來防止這種攻擊。不過零知識證明的計算成本很高——為了盡可能降低選民參與的成本，證明應(yīng)該是（1?）可有效計算的客戶端和（2?）可有效驗證的鏈上證明。

為了使證明盡可能高效，我們使用了定制的 sigma 協(xié)議——為特定代數(shù)關(guān)系設(shè)計的零知識證明，而不是通用的證明系統(tǒng)。這使得證明者的時間非?？欤河?Python 生成一個選票有效性證明，在一臺現(xiàn)成的筆記本電腦上需要 14?ms.

雖然該 sigma 協(xié)議的驗證器在概念上很簡單，但它需要相當一部分大的模冪。Malavolta 和 Thyagarajan 的線性同態(tài)方案使用 Paillier 加密，因此這些求冪將對某些 RSA 模 N 以 N^?2 為模執(zhí)行。對于合理大小的 N，在大多數(shù) EVM 鏈上，取冪非常昂貴（數(shù)百萬 gas）。為了降低成本，Cicada 使用 指數(shù) ElGamal——指數(shù) ElGamal 仍然提供加性同態(tài)，但在更小的模數(shù)上工作（N 而不是 N^?2?） 。

使用 ElGamal 的一個缺點是解密計數(shù)的最后一步需要暴力破解離散日志（請注意，這是在鏈下完成并在鏈上有效驗證）。因此，它僅適用于預期的最終票數(shù)相當小的情況（例如小于 2?^?32?，或大約 430 萬票）。在最初的基于 Paillier 的方案中，無論其大小如何，計數(shù)都可以被有效地解密。

選擇 RSA 模數(shù) N 也涉及權(quán)衡。 我們的實現(xiàn)使用 1024 位模數(shù)來提高 gas 效率。雖然這遠高于有史以來公開分解的最大 RSA 模數(shù)（829 位），但低于 通常推薦的大小為 2048 位，用于 RSA 加密或簽名。但是，我們的應(yīng)用程序不需要長期安全性：一旦選舉結(jié)束，如果將來考慮 N 就沒有風險。假定計票和選票在時間鎖定期滿后公開，因此使用相對較小的模數(shù)是合理的。 （如果分解算法改進，這也可以在未來輕松更新。）

匿名和選民資格

如上所述，Cicada 提供了運行計票隱私——時間鎖定謎題屬性在投票期間保持計票的私密性。然而，每個單獨的選票也是一個時間鎖難題，在相同的公共參數(shù)下加密。這意味著就像可以解密計數(shù)（通過執(zhí)行必要的計算）一樣，每張選票也可以。換句話說，Cicada 僅在投票期間保證選票隱私——如果好奇的觀察者希望解密特定選民的選票，他們可以這樣做。解密任何個人選票與解密最終計票一樣昂貴，因此天真地需要 O(n) 的工作來完全解密有 n 名選民的選票。但是所有這些選票都可以并行解密（假設(shè)有足夠多的機器），花費的掛鐘時間與解密最終計票所需的時間相同。

對于某些選票，這可能是不可取的。雖然我們對臨時運行計票隱私感到滿意，但我們可能希望無限期投票隱私。為實現(xiàn)這一點，我們可以將 Cicada 與匿名選民資格協(xié)議結(jié)合起來，通過零知識組成員身份證明進行實例化。這樣，即使選票被解密，它所揭示的只是某人以這種方式投票——我們已經(jīng)從計票中知道了這一點。

在我們的存儲庫中，我們包含一個使用 Semaphore 進行選民匿名的示例合約。但是請注意，Cicada 合約本身沒有對如何確定或執(zhí)行選民資格做出任何假設(shè)。特別是，您可以將 Semaphore 替換為例如 Semacaulk 或 ZK 狀態(tài)證明（如此處和此處所建議的）。

統(tǒng)計當局

我們在設(shè)計 Cicada 時的首要任務(wù)之一是避免需要統(tǒng)計機構(gòu)：許多私人投票結(jié)構(gòu)需要一個半信任的統(tǒng)計機構(gòu)（或授權(quán)委員會，通過安全的多方計算進行協(xié)調(diào)）接收和匯總選票。在區(qū)塊鏈環(huán)境中，這意味著這些方案不能僅由智能合約執(zhí)行，需要一些人為干預和信任。

在大多數(shù)結(jié)構(gòu)中，計票當局在完整性方面不受信任（他們無法操縱選票計數(shù)），但在活性方面值得信任——如果他們離線，則無法計算最終結(jié)果，從而無限期地拖延投票結(jié)果。在某些結(jié)構(gòu)中，他們也被信任維護隱私——也就是說，他們了解每個人如何投票，但預計會在不透露此信息的情況下公布投票結(jié)果。

盡管在許多現(xiàn)實世界的場景中，統(tǒng)計當局是一個合理（且必要）的假設(shè)，但它們在區(qū)塊鏈環(huán)境中并不理想，我們的目標是最大限度地減少信任并確保審查阻力。

Cicada 探索了鏈上投票隱私領(lǐng)域的眾多方向之一，并補充了其他團隊正在進行的大部分研究。如上所述，Cicada 與信號量、ZK 存儲證明和限速無效器等匿名組成員技術(shù)密切相關(guān)。Cicada 還可以集成 Nouns Vortex 團隊提出的 optimistic 證明檢查器，以減輕選民的 gas 負擔。

還有機會調(diào)整 Cicada 以支持不同的投票方案（例如代幣加權(quán)投票、二次投票）——更復雜的方案對于以太坊主網(wǎng)來說可能計算成本太高，但它們在 L2 上可能是實用的?？紤]到這一點，我們歡迎您就下一步將 Cicada 帶到哪里做出貢獻、分叉和建議。

熱點：利用比特幣 利用元宇宙 鏈上比特幣 鏈上NFT 比特幣實現(xiàn)