2025-11-19T17:40:14.815126

Adding All Flavors: A Hybrid Random Number Generator for dApps and Web3

Chodavarapu, Karanjai, Fan et al.
Random numbers play a vital role in many decentralized applications (dApps), such as gaming and decentralized finance (DeFi) applications. Existing random number provision mechanisms can be roughly divided into two categories, on-chain, and off-chain. On-chain approaches usually rely on the blockchain as the major input and all computations are done by blockchain nodes. The major risk for this type of method is that the input itself is susceptible to the adversary's influence. Off-chain approaches, as the name suggested, complete the generation without the involvement of blockchain nodes and share the result directly with a dApp. These mechanisms usually have a strong security assumption and high complexity. To mitigate these limitations and provide a framework that allows a dApp to balance different factors involved in random number generation, we propose a hybrid random number generation solution that leverages IoT devices equipped with trusted execution environment (TEE) as the randomness sources, and then utilizes a set of cryptographic tools to aggregate the multiple sources and obtain the final random number that can be consumed by the dApp. The new approach only needs one honest random source to guarantee the unbiasedness of the final random number and a user can configure the system to tolerate malicious participants who can refuse to respond to avoid unfavored results. We also provide a concrete construction that can further reduce the on-chain computation complexity to lower the cost of the solution in practice. We evaluate the computation and gas costs to demonstrate the effectiveness of the improvement.
academic

すべてのフレーバーを追加する:dAppsおよびWeb3向けハイブリッド乱数生成器

基本情報

  • 論文ID: 2510.12062
  • タイトル: Adding All Flavors: A Hybrid Random Number Generator for dApps and Web3
  • 著者: Ranjith Chodavarapu (Kent State University)、Rabimba Karanjai (University Of Houston)、Xinxin Fan (IoTex)、Weidong Shi (University Of Houston)、Lei Xu (Kent State University)
  • 分類: cs.CR (暗号化とセキュリティ)
  • 発表日: 2024年10月20日
  • 論文リンク: https://arxiv.org/abs/2510.12062v1

要約

乱数は分散型アプリケーション(dApps)、特にゲームと分散型金融(DeFi)アプリケーションにおいて重要な役割を果たしています。既存の乱数生成メカニズムは、大きく分けてオンチェーンとオフチェーンの2つのカテゴリに分類されます。オンチェーン方式は通常、ブロックチェーンを主要な入力源として依存していますが、入力が対手に影響を受けやすいというリスクに直面しています。一方、オフチェーン方式はブロックチェーンノードに依存していませんが、通常は強力なセキュリティ仮定と高い複雑性を持っています。これらの制限を緩和するため、本論文は、信頼できる実行環境(TEE)を備えたIoTデバイスを乱数性の源として利用し、複数の源を集約するための暗号化ツールセットを使用してハイブリッド乱数生成ソリューションHRNGを提案しています。この方法は、わずか1つの正直な乱数源で最終的な乱数の不偏性を保証でき、悪意のある参加者によるサービス拒否攻撃に対応するようにシステムを構成できます。

研究背景と動機

問題定義

乱数はブロックチェーンとdAppsにおいて重要な役割を果たしており、ブロックチェーン自体の構築(プルーフオブステークの実装など)と、その上に展開されるdApps(ゲームやNFTなど)の両方で使用されます。優れた乱数は2つの基本的な要件を満たす必要があります:

  1. 予測不可能性:公開前にその値を知ることができず、また履歴情報から将来の乱数を推測することもできない
  2. 不偏性:値は均一分布に従うべきであり、つまり各値が選択される確率は同じである

既存方法の制限

オンチェーン乱数生成

  • ブロック内容(ブロックヘッダ、ブロック高さ、タイムスタンプなど)を乱数源として使用
  • 利点:dAppが生成された乱数を容易に検証および消費できる
  • 欠点:シードが対手の影響を受けやすく、攻撃者に悪用されるリスクがある

オフチェーン乱数生成

  • ブロックチェーン内容に依存せずに乱数を生成し、結果をdAppと直接共有
  • 利点:チェーン上のデータが操作されるリスクを回避
  • 欠点:プロセスがdAppに対して不透明であり、強力なセキュリティ仮定が必要で、複雑性が高い

研究動機

既存の方法はすべて顕著な制限を持っており、セキュリティ、検証可能性、実用性の要件を同時に満たすことができません。本論文は、異なるタイプの乱数生成器の利点を組み合わせながら、関連する制限を最小化するハイブリッドソリューションを設計することを目的としています。

核心的貢献

  1. HRNGハイブリッド乱数生成フレームワークの提案:TEE搭載IoTデバイスを真乱数生成器(TRNG)として利用し、暗号化ツールを組み合わせて複数源の集約を実現
  2. 堅牢なセキュリティメカニズムの設計:わずか1つの正直な乱数源で最終的な乱数の不偏性を保証でき、悪意のある参加者に対応可能
  3. 具体的な最適化構成の提供:Pedersen承諾スキームの準同型特性を利用して、チェーン上の計算複雑度とガス費用を大幅に削減
  4. 完全なセキュリティとパフォーマンス分析:理論的なセキュリティ証明と詳細なパフォーマンス評価を提供

方法の詳細

タスク定義

dAppsに安全で検証可能、費用対効果の高い乱数サービスを提供する分散型乱数生成システムを設計します。システムは以下を必要とします:

  • 入力:dAppの乱数リクエスト(源の数と集約方法の仕様を含む)
  • 出力:不偏性と予測不可能性を満たす最終的な乱数
  • 制約:一部の悪意のある参加者に対応し、検証可能性を保証

システムアーキテクチャ

HRNGシステムは5つの主要な参加者で構成されています:

  1. IoTデバイス:TEE搭載で、ハードウェアを利用して真乱数を生成
  2. ゲートウェイ(Gateway):IoTデバイスグループの代理として機能し、より強力な計算/通信能力を持つ
  3. 乱数プール:ゲートウェイが提出した情報を保存し、ブロックチェーンノード/ゲートウェイが情報を取得することを許可
  4. dApp:ブロックチェーン上に展開されたアプリケーション、入力として乱数が必要
  5. ブロックチェーン:必要な情報を保存する不変台帳として機能し、プロトコル実行をサポートする特定の計算を実行

プロトコルフロー

第1段階:乱数プールの公開

  • IoTデバイスはTEEを利用して乱数 nin_i とデジタル署名 σdi(ni)\sigma_{d_i}(n_i) を生成
  • ゲートウェイは接続されたIoTデバイスが生成した乱数を収集し、承諾スキームを使用して処理
  • ゲートウェイは承諾アルゴリズムを実行:ci=Commit(ni,ri)c_i = \text{Commit}(n_i, r_i)
  • (k,t)(k,t)-閾値秘密共有スキームを使用して、承諾の開示情報をシステム内のゲートウェイに配布

第2段階:dAppリクエスト

  • dAppは乱数リクエストを作成し、源の数と集約方法の仕様を含む
  • システムはリクエストの2つの基準を検証:
    1. 十分な数のゲートウェイが関与している(セキュリティ仮定に基づく)
    2. 集約アルゴリズムが偏ったな入力に対応できる(XOR操作など)

第3段階:リクエストへの応答

  • ゲートウェイはdAppリクエストに協力して応答
  • 閾値特性を利用して承諾された乱数を復元
  • 少数の悪意のあるゲートウェイが存在しても、承諾番号は正しく開示できる

第4段階:最終乱数の構成

  • ブロックチェーンはdAppリクエストで定義された事前定義の集約方法に従って最終乱数を構築
  • 任意の第三者は最終乱数が定義された方法に従って取得されたことを検証できる

技術的革新点

  1. ハイブリッドアーキテクチャ設計:TRNG、PRNG、オンチェーンおよびオフチェーン方式の利点を組み合わせ
  2. TEE+DePIN技術の融合:分散型物理インフラストラクチャネットワークを利用して物理的乱数性源の導入問題を解決
  3. 承諾スキーム+閾値秘密共有:隠蔽性と拘束力を保証しながら、フォールトトレランス能力を提供
  4. 準同型集約の最適化:Pedersen承諾の加法準同型特性を利用して計算コストを大幅に削減

実験設定

セキュリティ仮定

  • 侵害されたIoTデバイス:TEEハードウェアは攻撃される可能性がありますが、大規模な侵害は困難であり、システム内のIoTデバイスのサブセットのみが侵害されると仮定
  • 侵害されたゲートウェイ:システム内のゲートウェイのサブセットは悪意のあるものですが、すべてではないと仮定
  • 信頼できる乱数プール:乱数プールは信頼できるストレージシステムであると仮定
  • 信頼できるブロックチェーン:ブロックチェーンシステムの一般的な仮定に従う

評価指標

  • セキュリティ:能動的および受動的攻撃への耐性
  • 計算コスト:チェーン上およびチェーン外の計算複雑度
  • 通信コスト:閾値秘密共有に関連する通信オーバーヘッド
  • ガスコスト:イーサリアムEVM上の実際の展開コスト

実装の詳細

  • 楕円曲線上のPedersen承諾スキームを使用
  • alt_bn128楕円曲線に基づくプリコンパイル済みコントラクト
  • XOR集約アルゴリズムは単一の不偏入力が出力の不偏性を保証することを確保

実験結果

セキュリティ分析

能動的攻撃からの保護

  • システムはdAppの乱数リクエストをチェックして、対手がすべての入力を制御できないようにする
  • XOR集約操作は、単一の入力が集約出力の不偏性に影響を与えることができないことを保証

受動的攻撃からの保護

  • 2段階設計により、第1段階では対手はどの乱数が集約に含まれるかを知らない
  • 閾値秘密共有は、一部のゲートウェイが応答を拒否しても乱数を復元できることを保証

パフォーマンス評価

計算コスト分析

  • チェーン外計算:ng×ni×nrn_g \times n_i \times n_r回の承諾操作と秘密共有操作
  • チェーン上計算:\ell回の承諾開示操作と1\ell-1回のXOR操作

最適化効果: Pedersen承諾の準同型特性を使用した後:

  • 非最適化版:12,158812,158 \cdot \ell - 8 ガス
  • 最適化版:166+11,984166 \cdot \ell + 11,984 ガス

12個の乱数を集約する場合、最適化版は非最適化版のガスコストの約10%のみを消費します。

主要な実験発見

  1. 線形対定数複雑度:非最適化HRNGのガスコストは集約乱数の数に応じて線形に増加しますが、最適化HRNGはほぼ一定のままです
  2. セキュリティと効率のバランス:より多くの乱数が集約に参加するとセキュリティが向上し、最適化設計によってこのセキュリティ向上のコストが管理可能になります
  3. 実用性の検証:イーサリアム環境での実際の展開コストは、スキームの実行可能性を証明しています

関連研究

オフチェーン乱数生成

  • Randao:イーサリアム2.0ビーコンチェーンで使用される乱数生成メカニズム、承諾-開示方法を採用
  • Nearプロトコル:RanShare乱数特性を継承する乱数ビーコンスキーム、最大2/3の悪意のある参加者に対応可能
  • Chainlink VRF:検証可能乱数関数に基づく分散型オラクルネットワークスキーム

オンチェーン乱数生成

  • ERC721R標準:チェーン上メタデータ(ブロックヘッダ、ブロック高さ、タイムスタンプなど)を使用して乱数を生成
  • 既存スキームの問題:攻撃者に悪用されやすく、セキュリティが不十分

本論文の利点

既存の方法と比較して、HRNGは真乱数源、完全な検証可能性、および対手への対応能力の完全な組み合わせを提供します。

結論と考察

主要な結論

  1. ハイブリッドスキームの実行可能性:HRNGは異なるタイプのRNGの利点を成功裏に組み合わせながら、各々の制限を最小化しています
  2. セキュリティ保証:合理的なセキュリティ仮定の下で、システムは能動的および受動的攻撃に対応できます
  3. 効率最適化の効果は顕著:準同型集約技術はチェーン上の計算コストを大幅に削減します
  4. 実用性が検証されました:イーサリアム環境での実際の評価は、スキームの展開可能性を証明しています

制限事項

  1. TEE依存性:TEEが侵害される場合を考慮していますが、TEE技術の基本的なセキュリティに依存する必要があります
  2. ネットワーク仮定:十分な数の正直なゲートウェイとIoTデバイスが必要です
  3. 複雑性:単純なオンチェーンスキームと比較して、システムの複雑性が高い
  4. 遅延の考慮:多段階プロトコルは追加の遅延をもたらす可能性があります

今後の方向性

  1. より効率的な集約スキーム:良好な数学的特性を持つ他の集約方法を探索
  2. 動的参加者管理:参加者の動的な参加と退出のメカニズムを研究
  3. クロスチェーン互換性:他のブロックチェーンプラットフォームに拡張
  4. インセンティブメカニズム設計:参加者の正直な行動を確保するための経済的インセンティブを設計

深い評価

利点

  1. 革新性が強い:DePIN技術と乱数生成を初めて組み合わせ、新しいハイブリッドアーキテクチャを提案
  2. 理論的基礎が堅実:完全なセキュリティ分析と数学的証明を提供
  3. 実用性の考慮が十分:準同型集約の最適化により実際の展開コストを大幅に削減
  4. システム設計が完全:アーキテクチャ設計から具体的な実装まで詳細な説明がある
  5. 評価が包括的:セキュリティ、パフォーマンス、コストの多次元評価を含む

不足している点

  1. 実験検証が限定的:大規模な実際の展開の検証が不足
  2. 比較実験が不足:既存の主流スキーム(Chainlink VRFなど)との直接的な比較が少ない
  3. 攻撃モデルの仮定:一部のセキュリティ仮定は実際の環境では理想化されすぎている可能性がある
  4. ユーザー体験の考慮:最終ユーザーの使用便利性についての議論が不足

影響力

  1. 学術的貢献:ブロックチェーン乱数生成分野に新しい研究方向を提供
  2. 実用的価値:dApp開発者に新しい乱数サービスの選択肢を提供
  3. 技術推進:TEE技術のブロックチェーン分野への応用を促進
  4. 再現可能性:後続研究をサポートするための十分な技術詳細を提供

適用シナリオ

  1. 高いセキュリティ要件のdApps:大額のDeFiプロトコル、高価値NFTゲームなど
  2. 検証可能な乱数性が必要なシナリオ:分散型ロトリー、公正なゲーム
  3. コストに敏感なアプリケーション:最適化されたガスコストにより、頻繁な乱数要求が必要なシナリオに適用可能
  4. クロスチェーン乱数サービス:通用的な乱数基盤施設として機能可能

参考文献

主要な参考文献には以下が含まれます:

  • Pedersen承諾スキームの原論文 (Pedersen, 1991)
  • 閾値秘密共有に関連する研究
  • Chainlink VRF技術ドキュメント
  • イーサリアム乱数生成メカニズム研究
  • TEEセキュリティ分析に関連する文献

総合評価:本論文で提案されたHRNGスキームは、理論的革新と実用性の両面で顕著な貢献を持っています。巧妙なハイブリッド設計により、既存の乱数生成スキームの主要な問題を解決しています。一部の側面ではまだ改善の余地がありますが、全体的には高品質の研究成果であり、ブロックチェーン乱数生成技術の発展を推進する上で重要な意義を持っています。