Chainlink DECO :阅读秘密守护的预言机

作家： kokii.eth

IntroWeb3虽然重构了数据的价值，但分布式组织的区块链是块确定性定性系统，智能合约并没有完成外部API挪用的功能，进而产生了帮助智能合约猎取外部数据的预言机体制。

连锁数据的连锁并不容易，很难通过本领和体制来消耗信任。 预言机课题是束缚从数据源的各处理到供应价格的信赖课题。

成为大众推荐的预言机的根本条件之一是聚焦，是否禁止单点故障和数据验证。 链上聚焦的一般束缚计划是多个数据节点成为散焦预言机收集，各节点将数据网络化，完成共鸣后输入区块链上的智能合约。

目前，预言机的主要使用方式是向DeFi提供Price Feed (供应价格)，以安全、及时、准确地更新基础房产为代价。 根据DefiLlama的数据，Chainlink是墟市最大的预言机束缚计划之一，在撰写本文期间确保的总价值约为$11B，占墟市整体的46%。

随着区块链的蓬勃发展，对链下数据的需求越来越强，只为DeFi而提价却不能满足开垦者的需求。 虽然现实世界和Web2的大规模普遍数据不能秘密借用，但是对于构建Web3的改革利用场景(虚假信用、外交、DID、KYC/AML、etc.)是必要的。 因此，新一代预言机必须用可能破坏隐私的方式来尖锐智能合同接触数据的复杂用例。

DECO是Chainlink在这个方向上的束缚计划，通过零学识验证本领，用户或许可以在智能合约上拥有隐私数据进行验证，而不是向大众或预言机节点本身展示数据doco可能会访问现有的API。 即使需要最终用户的认证，例如猎取银行账户的余额也需要登录。 API数据供应商不需要做任何更改。 目前，已经实施到阿尔法阶段，正在与多个单干火统一进行概念验证。

1. Background方面提供了对TLS及ZKP的必要背景，DECO是在这些协议的基础上建立的。

1.1传输层安全(transportlayersecurity，TCP/IP )位于法国协议层和TCP/IP层之间，主要使用情形是用于加密web使用法国式和事务局之间的通信的SSL。

通过HTTP进行的通信全部在纯文本的大局中进行，可以简单地窃听、变更、伪装。 使用TLS，用户发送到站点(点击、填写表格等)的HTTP数据和站点发送到用户的HTTP数据被加密，接受方必须用密钥解密加密的数据。 HTTPS在HTTP协议的基础上安装了TLS加密，是网站的规范做法。 站点必须在其源服务器上安装TLS证书，欣赏器假设所有非HTTPS站点符号都不安全。

TLS的基础思想是选择公钥加密方法，站点秘密共享的TLS/SSL证书包括公钥，密钥装置位于源办公室，站点全部拥有。 客户首先从事务局方面请求数字证书的公钥，然后用公钥加密信息，事务局在收到秘密币安登录地址的文件后，用自己的私钥解密。

这里有课题。 公钥加密计算量太大了。 为了减少会话所需的时间，会话客户端和工作方都有一个会话密钥(session key )，用于加密信息。 由于“会话密钥”称为加密，因此运算速度非常快，事务局的公钥只用于加密“会话密钥”本身，减少了加密运算的消耗时间。

所以TLS协议可能主要分为两层：

建立认证密钥计划的握手(handshake protocol )明文通信经过非对称加密相互确认认证，建立利用的加密算法，将天生统一的会话密钥用于记录协议的对称加密

针对被称为加密传输的日志协议(record protocol )，协议主体对数据传输进行机密性和完整性的破坏

TLS的加密套件(CipherSuite )是四种算法的组合。

认证(Authentication ) :确定身份的可靠性。 主流是RSA/DSA/ECDSA

计划在密钥交换(Key exchange )通信的两侧用于加密的密钥，主流是ECDHE

加密：用于通信的所谓加密倾向于利用GCM

MAC(messageauthenticationcode，动态认证码)用于验证数据的完整性和数据是否发生了变更，以SHA256/SHA384/SHA1等为主流

TLS很弱，但没有禁止用户向第三方证明其希望的数据来自特定站点。 由于数据传输利用了被称为加密的东西，所以用户和事务局可以在数据上露一点面。 作为不雅的例子，很多网站办公室都保存有Alice的身份信息，如果Alice超过18岁可能会被轻轻验证，但Alice很难向Bob证明。 Alice可能会从网站上拍摄截图，但截图很容易虚拟化。 即使截图被证实可靠，不仅是她超过18岁的事实，信息——Alice也确实截止了出生日期。

预言机必须去聚焦，(不依赖于像网站办公桌那样的一点)证明了链下隐私数据的根源(Provenance )，在不泄露隐私的情况下被智能合约利用。 零学识的证明可能有助于完善这些功能。

1.2 ZKP零学识证明(Zer

o Knowledge Proof, ZKP）正在区块链受到精深存眷，主要利用为ZK-Rollup（为了进步扩容效用正在算法妄图上做了没有少和解，没有 zk 的 Validity Proof）与隐私本领 (真正的 zk)。零学识证实禁止Prover向Verifier证实其拥有一个解（Witness）恐怕束缚某个算计课题（Statement），而无需展示一切对于该解（Witness）的极度信息。

一个规范的ZK系统也许分为前端以及后端。

前端：编译器，将须要验证的Statement写成范畴一定语言（DSL），再编译为ZK友爱的花样，比如算数电路；

后端：证实系统，反省电路正确性的交互式论证系统，比如Marlin,币安官网登录 Plonky2, Halo2；

正在区块链这样的封闭系统上组织交互提问的过程很繁复，证实须要一切人都能随时施行验证，所以区块链利用上的ZK系统常常利害交互式的，交互式也许利用Fiat–Shamir-heuristic变换为非交互式。

2. How DECO works

DECO正在HTTPS/TLS协议根底上施行了扩充，使得办事器端无需改动就能利用。

DECO的当中思维是正在Prover (用户或运行DECO Prover的Dapp)，Verifier (运行DECO Verifier的Chainlink预言机)，Server (数据供给商) 之间构建一个现代的三方握手协议。

Provenance：当Prover从Web Server盘诘信息时，Verifier见证交互历程，并收到由Prover就TLS会话数据建立的一个许诺（Commitment），由此Verifier就能验证信息的可靠起因；

Privacy：假设数据无需隐私，Prover也许直接向Verifier供给也许解密数据的密钥，供开垦者正在Dapp中参加数据；假设须要隐私，Prover运用ZKP天生没有泄漏数据的证实，供开垦者正在Dapp中参加。

全部来讲，DECO协议由三个阶段组成：

三方握手，Prover，Verifier以及Server建立寻常花样的会话密钥，保险数据弗成虚拟；

盘诘施行，Prover利用带有她的公有参数 θs（比如账号明码，API key）的Query，向Server盘诘数据 ；

证实天生，Prover证实反映满意所需条件。

2.1 Three-party handshake

注：以下阐明基于AES-CBC-HMAC加密算法，TLS 1.3 只保全了更安全的AEAD算作加密算法，利用一个密钥用作加密以及MAC，没有须要MAC密钥。但因为TLS 1.3 的密钥独立性，异样也也许构建一个繁复度一致的三方握手协议。

Prover P 没有能正在猎取MAC密钥后再作出许诺，不然他就也许虚拟或改动数据，所以三方握手的思维是将Prover P 以及Verifier V 独特算作TLS客户端，与TLS server S 建立一个共享MAC密钥。MAC密钥 k 正在客户端侧被切分，Prover持有 kp，Verifier持有 kv，k=kp+kv。同时， P 还持实用于对于称加密算法的加密密钥 k^{Enc}。假设Verifier没有坐法，三方握手协议就能确保数据是弗成虚拟的。

2.2 Query execution

正在握手之后， 因为MAC密钥是奇奥共享的，P 以及 V 施行一个交互式协议（两方安全算计），并利用公有参数 θs 来构建一个加密盘诘的TLS动态 Query Q。然后 P 算作一个规范的TLS客户端将 Q 发送给 S，这个历程中只要 P 与 S 通信，其发送的一切盘诘都没法泄漏给 V 。

正在从 S 收到反映 R 后，P 经过向 V 发送密文 Rˆ 许诺会话，并收到 V 的 kv ，验证反映 R 的可靠性。

2.3 Proof generation

接下来，P 须要证实密文 Rˆ 对于应的明文 R 满意某些属性，假设没有须要隐私也许直接露出加密密钥 k^{Enc}，正在须要隐私的状况下须要利用零学识证实。

假使明文由多少个数据块组成 R=(B1,...,Bn)， DECO利用挑选性秘密（Selective Opening）来天生零学识证实：

只露出一定的数据行：正在没有露出其他数据块的基础下，证实 R 的第 i 个数据块是 Bi

潜伏蕴含隐私数据的数据行：证实 R_{-i} 以及 R 相配，除了 Bi 被节略

然而，良多时分 Verifier 须要验证所露出的子字符串是否呈现正在正确的左右文币安官网入口中，下面提到方式没有足以供给左右文的齐全性损坏。为了补救这一点，DECO运用了一种名为零学识两阶段剖析（Two-stage Parsing）的本领：Prover正在要地剖析其会话数据，决定能说服Verifier的最小子字符串，再向Verifier发送数据。由此完结了隐私性。

简明的非交互式（NIZK）零学识证实正在算计以及内存方面常常正在Prover侧拥有很高的支出。因为DECO施行的ZKP的Verifier是指定的（Chainlink的预言机），所以也许利用更高效的交互式零学识证实，比如更小的内存利用，避免可托树立，廉价的算计等。

今朝的Alpha Test中DECO仍然是利用Dapp正在充任Prover，正在他日的迭代中，讨论Prover也许由终端用户要地摆设（比如手机），或正在可托施行境况（TEE）中摆设。

3. Application

DECO也许验证用户链上身份信息的无效性，同时还能保险数据隐私，进而解锁良多Web3改革利用场景，从经济到外交。

自托管外交恢复/公法身份证实（你是谁）：利用DECO，运用一经拥有幼稚身份验证体制的机构网站（银行，外交媒体）充任外交恢复个中一个守卫人。

诺言假贷/资金证实（你有几许钱） ：Teller是一个DeFi诺言假贷协议，利用DECO协议证实用户正在链下银行账户中的物业余额逾越了贷款所要求的动静最低门槛。

粉丝证实/交互证实（你与谁互动过）：Clique是一个外交预言机，在开垦一种束缚规划，供给对于跨各类外交媒体平台（比如利用Twitter API）的链下用户作用力、诚恳度以及奉献的深度分解。

数字身份/外交身份证实（你拥有某个线上账户）：PhotoChromic是一个数字身份束缚规划，利用DECO将Web3用户与其Twitter或Discord外交账户绑定，并正在历程中没有显露下层集体身份数据，使利用恐怕过滤出可靠的用户。

DAO的抗少女巫打击，SBT，KYC/AML，etc.

4. Other Players

Axiom为Uniswap TWAP构建ZK预言机，采用全面来自链上的可验证数据源，更一致于Indexing（eg. Hyper Oracle）；以及DECO更像是互补而非合作联系：越来越多的经济震动会产生正在链上，纯链上预言机是一个方向；越来越多的链下数据须要上链，链下隐私预言机也是一个方向。

Empiric Network 运用zk算计将整体预言机放正在链上，没珍稀据必需流过的链下根底办法，以及DECO没有是一个方进取。

5. Conclusion

Chainlink算作现在预言机的一致龙头，经过DECO预言机，海量链下公有数据将能正在隐私损坏的基础下被链上智能合约挪用，也许解锁从金融到身份到外交等诸多利用场景。潜伏的隐患是Prover的证实天生速率，以及Verifier的焦点化课题。