Aptos 主网将很快启用 🔒 机密资产 💸 !! 即，加密余额和交易金额 🔐，尽管发送者和接收者地址是公开可见的 🌍 ! （一步一步来，大家...） 它们是如何工作的！ 🤓👇

Aptos 机密资产建立在之前工作的基础上并加以扩展。 我们使用 Twisted ElGamal 对链上的余额进行加密，类似于 PGC ()。 这与 Bulletproofs 组合良好，以证明在机密发送/提取后，加密余额被正确扣除。

或者，正如我常常说的[此时我被取笑]... "看看我的博客！"

*特性 1:* 与 PGC 和 Solana 不同，我们的扭曲 ElGamal 密文是 _激进分块_ 的，以确保在处理约 256 位的余额和金额时实现超快解密。 我们称之为 *分块'扭曲 ElGamal.* 顺便说一下，Aptos 只需要 128 位余额和 64 位金额。

对于Aptos，分块保证在解密过程中需要解决的最大离散对数（DL）实例在最坏情况下为32位（平均情况下要小得多）。 => 使用简单的算法，如婴儿步-巨人步（BSGS），可以轻松地通过2^16次椭圆曲线加法解决👇

*特性 2:* 我们通过批量压缩加速我们选择的 Ristretto255 椭圆曲线的 BSGS。 我们还将其预计算表的大小减少了 4 倍（=> 减少机密 dapps 的 SDK 大小和延迟） 我们称这个新算法为 *截断 BSGS-k (TBSGS-k).*

我之前对这个算法进行了讨论： ……但未能强调*为什么*： TBSGS-k 是确定性的 => 更容易实现和测试。 TBSGS-k 仅比更复杂的 [BL12] 算法慢 ~2 倍（10.6 毫秒对比 4.8 毫秒），并且表格仅大 2 倍。

*功能 3:* 当审计启用时，我们在审计员的加密密钥 (EK) 下维护每个用户（可用）余额的可证明正确的加密。 这防止审计员扫描用户的交易记录以重建他们的余额。 关键：它使审计员的 EK 轮换成为可能 👌

*功能 4:* 在 Aptos 中，用户 _签名_ 密钥轮换是一个核心安全特性。 所以：我们还设计了机密资产以支持用户 *解密* 密钥轮换！ 目前，密钥管理政策由应用程序/钱包自行决定（著名的最后一句话 🤞）。

好消息：无钥匙的机密去中心化应用可以安全地将它们的🌶️作为解密密钥！ ==> 这样的应用不会引入额外的密钥管理负担 ==> 构建机密去中心化应用的最简单方法是作为无钥匙去中心化应用；不需要钱包 [支持]！

*特性 5:* 实施加密(*图形学*)以保护真实用户资金是令人恐惧的。 为了减少错误 (🤞)，我们使用一种被大多数人忽视的方法论来安全地设计和构建 Sigma 协议： *同态框架*，我在 @danboneh 的书中发现的 🙏

*功能 6:* 第一个准备投入生产的机密资产实现，使用 Move 语言。 代码目前是私有的，正在进行审计，但很快会发布。 这里有一个关于机密转账可以多简单的预告 👇

此外，因为我无法控制自己，这里是我们在 Move 中实现的 Sigma 协议同态框架的一部分 😍

*特点 7:* 完整的密码学规范和安全证明。（嘿，也许我们可以在 @leanprover 中进行代码编写？） 即将推出，带有刺激的细节，在你旁边的 eprint 👇

最后，功劳归于应得的人：Aptos 机密资产建立在之前工作的基础上并扩展了这些想法 👇 1. Zether (): 通过待处理余额解决固定账户模型的“前置交易”问题

2. PGC (): 提出了 Twisted ElGamal + Bulletproofs 作为 \Sigma-bullets 的更简单替代方案。 这大大降低了实现复杂性：我们只需专注于正确设计我们的 Sigma 协议！ 安全组合在下面进行了论证 👇

3. Solana (): 通过将待处理余额拆分为一个 "高" 32 位块和一个 "低" 16 位块，允许传输 48 位金额。 我们通过使用更多的块以及额外拆分可用余额来允许更大的金额。

最后但同样重要的是，我想感谢@mstrakastrak和@distributedlab的团队，他们帮助设计了机密资产协议的初始版本，并在Move和TypeScript中实现了它 🖖 请关注我们即将发布的联合论文！