# Introducción a Mimblewimble y Grin *Lea esto en otros idiomas: [English](../intro.md), [Español](intro_ES.md), [Nederlands](intro_NL.md), [Русский](intro_RU.md), [日本語](intro_JP.md), [Deutsch](intro_DE.md), [Portuguese](intro_PT-BR.md), [Korean](intro_KR.md), [简体中文](intro_ZH-CN.md).* Mimblewimble es un formato y un protocolo de cadena de bloques que proporciona una escalabilidad, privacidad y funcionalidad extremadamente buenas al basarse en fuertes algoritmos criptográficos. Aborda los vacíos existentes en casi todas las implementaciones actuales de cadenas de bloques. Grin es un proyecto de software de código abierto que implementa una cadena de bloques Mimblewimble y rellena los espacios necesarios para una implementación completa de la cadena de bloques y moneda criptográfica. El objetivo principal y las características del proyecto Grin son: * Privacidad por defecto. Esto permite una funcionalidad completa sin excluir la posibilidad de revelar información de forma selectiva cuando sea necesario. * Se escala principalmente con el número de usuarios y mínimamente con el número de transacciones (`<100 bytes kernel`), lo que resulta en un gran ahorro de espacio en comparación con otras cadenas de bloques. * Criptografía robusta y probada. Mimblewimble sólo se basa en la criptografía de curvas elípticas que ha sido probada y comprobada durante décadas. * Simplicidad de diseño que facilita la auditoría y el mantenimiento a lo largo del tiempo. * Dirigido por la comunidad, utilizando un algoritmo de minería resistente a la ASICs (Cuckoo Cycle) que fomenta la descentralización de la minería. ## Tongue Tying para todos Este documento está dirigido a lectores con un buen conocimiento de cadenas de bloques y de la criptografía básica. Con esto en mente, tratamos de explicar el desarrollo técnico de Mimblewimble y cómo se aplica en Grin. Esperamos que este documento sea comprensible para la mayoría de los lectores con visión técnica. Nuestro objetivo es animarles a interesarse en Grin y contribuir de cualquier manera posible. Para lograr este objetivo, presentaremos los principales conceptos necesarios para una buena comprensión de Grin como implementación de Mimblewimble. Comenzaremos con una breve descripción de algunas propiedades relevantes de la Criptografía de Curva Elíptica (ECC) para sentar las bases sobre las que se basa Grin y luego describir todos los elementos clave de las transacciones y bloques de una cadena de bloques Mimblewimble. ### Pequeños Bits de Curvas Elípticas Comenzamos con una breve introducción a la Criptografía de Curva Elíptica, revisando sólo las propiedades necesarias para entender cómo funciona MimblewimbleWimble y sin profundizar demasiado en las complejidades de ECC. Para los lectores que deseen profundizar en estos supuestos, existen otras opciones para [aprender más](http://andrea.corbellini.name/2015/05/17/elliptic-curve-cryptography-a-gentle-introduction/). Una curva elíptica con el objetivo de criptografía es simplemente un gran conjunto de puntos que llamaremos _C_. Estos puntos pueden sumarse, restarse o multiplicarse por números enteros (también llamados escalares). Dado un entero _k_ y usando la operación de multiplicación escalar podemos calcular `k*H`, que es también un punto en la curva _C_. Dado otro entero _j_ también podemos calcular `(k+j)*H`, que es igual a `k*H + j*H`. Las operaciones de suma y multiplicación escalar en una curva elíptica mantienen las propiedades conmutativas y asociativas de suma y multiplicación: (k+j)*H = k*H + j*H En ECC, si escogemos un número muy grande _k_ como clave privada, `k*H` se considera la clave pública correspondiente. Incluso si uno conoce el valor de la clave pública `k*H`, deducir _k_ es casi imposible (o dicho de otra manera, mientras que la multiplicación es trivial, la "división" por puntos de curva es extremadamente difícil). La fórmula anterior `(k+j)*H = k*H + j*H`, con _k_ y _j_ ambas claves privadas, demuestra que una clave pública obtenida de la adición de dos claves privadas (`(k+j)*H`) es idéntica a la adición de las claves públicas para cada una de esas dos claves privadas (`k*H + j*H`). En la cadena de bloques Bitcoin, las carteras jerárquicas deterministas se basan en gran medida en este principio. Mimblewimble y la implementación de Grin también lo hacen. ### Transacciones con Mimblewimble La estructura de las transacciones demuestra un principio crucial de Mimblewimble: fuertes garantías de privacidad y confidencialidad. La validación de las transacciones de MimblewimbleWimble se basa en dos propiedades básicas: * **Verificación de importes nulos.** La suma de las salidas menos las entradas siempre es igual a cero, lo que demuestra que la transacción no creó nuevos fondos, _sin revelar los importes reales_. * **Posesión de las claves privadas.** Como con la mayoría de las otras monedas criptográficas, la propiedad de los resultados de las transacciones está garantizada por la posesión de claves privadas ECC. Sin embargo, la prueba de que una entidad es propietaria de esas claves privadas no se consigue firmando directamente la transacción. Las siguientes secciones sobre el saldo, la propiedad, el intercambio y las verificaciones detallan cómo se logran esas dos propiedades fundamentales. #### Balance Basándose en las propiedades de ECC que hemos descrito anteriormente, uno puede ocultar los valores en una transacción. Si _v_ es el valor de una transacción de entrada o salida y _H_ una curva elíptica, podemos simplemente insertar `v*H` en lugar de _v_ en una transacción. Esto funciona porque usando las operaciones ECC, todavía podemos validar que la suma de las salidas de una transacción es igual a la suma de las entradas: v1 + v2 = v3 => v1*H + v2*H = v3*H Verificar esta propiedad en cada transacción permite que el protocolo verifique que una transacción no crea dinero de la nada, sin saber cuáles son los valores reales. Sin embargo, hay un número finito de valores útiles y uno podría intentar cada uno de ellos para adivinar el valor de su transacción. Además, conocer v1 (de una transacción anterior por ejemplo) y el resultado `v1*H` revela todas las salidas con valor v1 a lo largo de la cadena de bloques. Por estas razones, introducimos una segunda curva elíptica _G_ (prácticamente _G_ es sólo otro punto del generador en el mismo grupo de curvas que _H_) y una clave privada _r_ utilizada como *factor de ocultación*. Un valor de entrada o de salida en una operación puede expresarse como: r*G + v*H Donde: * _r_ es una clave privada utilizada como factor de ocultación, _G_ es una curva elíptica y su producto `r*G` es la clave pública para _r_ en _G_. * _v_ es el valor de una entrada o salida y _H_ es otra curva elíptica. No se puede deducir ni _v_ ni _r_, aprovechando las propiedades fundamentales de la criptografía de curva elíptica. `R*G + v*H` se llama _Compromiso Pedersen_. Por ejemplo, supongamos que queremos construir una transacción con dos entradas y una salida. Tenemos (ignorando las cuotas): * vi1 and vi2 como valores de entrada. * vo3 como valores de salida. De tal forma que: vi1 + vi2 = vo3 Generando una clave privada como factor de ocultación para cada valor de entrada y sustituyendo cada valor por sus respectivos Compromisos de Pedersen en la ecuación anterior, obtenemos: (ri1*G + vi1*H) + (ri2*G + vi2*H) = (ro3*G + vo3*H) Lo cual, requiere como consecuencia que: ri1 + ri2 = ro3 Este es el primer pilar de Mimblewimble: la aritmética necesaria para validar una transacción se puede hacer sin conocer ninguno de los valores. Como nota final, esta idea se deriva en realidad de Greg Maxwell's [Transacciones confidenciales](https://elementsproject.org/features/confidential-transactions/investigation), que a su vez se deriva de una propuesta de Adam Back para valores homomórficos aplicados a Bitcoin. #### Propiedad En la sección anterior introducimos una clave privada como factor de ocultación para cubrir los valores de la transacción. La segunda idea de Mimblewimble es que esta clave privada puede ser utilizada para probar la propiedad del valor. Alice te envía 3 monedas y para ocultar esa cantidad, elegiste 28 como tu factor de ocultación (nota que en la práctica, siendo el factor de ocultación una llave privada, es un número extremadamente grande). En algún lugar de la cadena de bloques, la siguiente salida aparece y sólo debe ser utilizable por usted: X = 28*G + 3*H _X_, el resultado de la suma, es visible para todos. El valor 3 sólo lo conocen usted y Alice, y el valor 28 sólo lo conocerá usted. Para volver a transferir esas 3 monedas, el protocolo exige que se conozcan de alguna manera. Para demostrar cómo funciona esto, digamos que usted quiere transferir esas 3 mismas monedas a Carol. Es necesario construir una transacción simple como esa: Xi => Y Donde _Xi_ es una entrada que utiliza su salida _X_ e Y es la salida de Carol. No hay manera de construir tal transacción y equilibrarla sin conocer su clave privada de 28. De hecho, si Carol va a equilibrar esta transacción, necesita saber tanto el valor enviado como su clave privada para poder hacerlo: Y - Xi = (28*G + 3*H) - (28*G + 3*H) = 0*G + 0*H Comprobando que todo ha sido puesto a cero, podemos asegurarnos de nuevo de que no se ha creado ningún dinero nuevo. Espera! para! ahora ya conoces la clave privada en la salida de Carol (que, en este caso, debe ser la misma que la tuya para equilibrarla) y así podrías robarle el dinero a Carol! Para resolver esto, Carol utiliza una clave privada de su elección. Ella escoge 113, y lo que termina en la cadena es: Y - Xi = (113*G + 3*H) - (28*G + 3*H) = 85*G + 0*H Ahora la transacción ya no suma cero y tenemos un _exceso de valor_ en _G_ (85), que es el resultado de la suma de todos los factores de ocultamiento. Pero porque `85*G` es una clave pública válida en la curva elíptica _C_, con clave privada 85, para cualquier x e y, sólo si `y = 0` es `x*G + y*H` una clave pública válida en _G_. Así que todo lo que el protocolo necesita verificar es que (`Y - Xi`) es una clave pública válida en _G_ y que las partes que realizan la transacción conocen en conjunto la clave privada (85 en nuestra transacción con Carol). La forma más sencilla de hacerlo es requerir una firma construida con el valor excedente (85), que luego lo valida: * Las partes que realizan la transacción conocen colectivamente la clave privada, y * La suma de las salidas de transacción, menos las entradas, suma a un valor cero (porque sólo una clave pública válida, que coincida con la clave privada, se comprobará con la firma) Esta firma, que se adjunta a cada transacción, junto con algunos datos adicionales (como las tasas de explotación minera), se denomina _transacción de kernel_ y es comprobada por todos los validadores. #### Algunos puntos más precisos Esta sección explica con más detalle la creación de transacciones discutiendo cómo se introduce el cambio y el requisito de pruebas de rango para que se demuestre que todos los valores no son negativos. Ninguno de los dos es absolutamente necesario para entender MimblewimbleWimble y Grin, así que si tienes prisa, no dudes en ir directamente a [Poniendo todo junto](https://github.com/wimel/grin/blob/master/doc/intro.md#putting-it-all-together). ##### Cambio Digamos que sólo quieres enviar 2 monedas a Carol de las 3 que recibiste de Alice. Para hacer esto enviarías la moneda restante a ti mismo como cambio. Se genera otra clave privada (digamos 12) como un factor oculto para proteger la salida de modificación. Carol usa su propia clave privada como antes. Change output: 12*G + 1*H Carol's output: 113*G + 2*H Lo que termina en la cadena de bloques es algo muy similar a lo que había antes. Y la firma se construye de nuevo con el valor excedente, 97 en este ejemplo. (12*G + 1*H) + (113*G + 2*H) - (28*G + 3*H) = 97*G + 0*H ##### Pruebas de recorrido En todos los cálculos anteriores, confiamos en que los valores de las transacciones sean siempre positivos. La introducción de cantidades negativas sería extremadamente problemática, ya que se podrían crear nuevos fondos en cada transacción. Por ejemplo, se podría crear una transacción con una entrada de 2 y salidas de 5 y -3 y aún así obtener una transacción bien equilibrada, siguiendo la definición de las secciones anteriores. Esto no puede ser fácilmente detectado porque incluso si _x_ es negativo, el punto correspondiente `x.H` en la curva se ve como cualquier otro. Para resolver este problema, Mimblewimble utiliza otro concepto criptográfico (también procedente de Transacciones Confidenciales) llamado pruebas de rango: una prueba de que un número está dentro de un rango dado, sin revelar el número. No daremos más detalles sobre la prueba de rango, pero sólo necesitas saber que para cualquier `r.G + v.H` podemos construir una prueba que demuestre que _v_ es mayor que cero y no se sobrecarga. También es importante tener en cuenta que para crear una prueba de rango válida a partir del ejemplo anterior, deben conocerse tanto los valores 113 como 28 utilizados al crear y firmar el exceso de valor. La razón de ello, así como una descripción más detallada de las pruebas de rango, se detallan en la sección [range proof paper](https://eprint.iacr.org/2017/1066.pdf). #### Poniendo todo junto Una transacción Mimblewimble incluye lo siguiente: * Un conjunto de entradas, que hacen referencia y consumen un conjunto de salidas anteriores. * Un conjunto de nuevos resultados que incluyen: * Un valor y un factor oculto (que es sólo una nueva clave privada) multiplicados en una curva y sumados para ser `r.G + v.H`. * Una prueba de rango que muestra que v no es negativo. * Una comisión explícita de transacción, en compensación.. * Una firma, que se calcula tomando el exceso de valor oculto (la suma de todas las salidas más la tarifa, menos las entradas) y utilizándolo como clave privada. ### Bloques y estado de la cadena Hemos explicado anteriormente cómo las transacciones de Mimblewimble pueden proporcionar fuertes garantías de anonimato a la vez que mantienen las propiedades requeridas para una cadena de bloques válida, es decir, una transacción no crea dinero y la prueba de la propiedad se establece a través de claves privadas. El formato de bloques Mimblewimble se basa en esto introduciendo un concepto adicional: _cut-through_. Con esta incorporación, una cadena Mimblewimble gana: * Extremadamente buena escalabilidad, ya que la gran mayoría de los datos de las transacciones pueden ser eliminados con el tiempo, sin comprometer la seguridad. * Mayor anonimato al mezclar y eliminar datos de transacciones. * Y la capacidad de los nuevos nodos para sincronizarse con el resto de la red de forma muy eficiente. #### Agrupación de transacciones Recuerde que una transacción consiste en lo siguiente - * un conjunto de entradas que hacen referencia y gastan un conjunto de realizaciones anteriores * un conjunto de nuevos resultados (compromisos de Pedersen) * un kernel de transacción, que consta de * kernel excess (compromiso de Pedersen a cero). * firma de la transacción (usando el exceso de kernel como clave pública). Se firma una tx y se incluye la firma en un _transaction kernel_. La firma se genera utilizando el _kernel excess_ como clave pública, lo que prueba que la transacción suma 0. (42*G + 1*H) + (99*G + 2*H) - (113*G + 3*H) = 28*G + 0*H La clave pública en este ejemplo es `28*G`. Podemos decir que lo siguiente es cierto para cualquier transacción válida (ignorando los cargos por simplicidad) - sum(outputs) - sum(inputs) = kernel_excess Lo mismo ocurre con los bloques mismos una vez que nos damos cuenta de que un bloque es simplemente un conjunto de entradas, salidas y núcleos de transacción agregados. Podemos sumar las salidas tx, restar la suma de las entradas tx y comparar el compromiso resultante de Pedersen con la suma de los excesos del núcleo. - sum(outputs) - sum(inputs) = sum(kernel_excess) Simplificando un poco, (de nuevo ignorando las tarifas de transacción) podemos decir que los bloques Mimblewimble pueden ser tratados exactamente como transacciones Mimblewimble. #### Kernel Offsets Hay un problema leve con los bloques y las transacciones de Mimblewimble como se describe anteriormente. Es posible (y en algunos casos trivial) reconstruir las transacciones constituyentes en un bloque. Esto es claramente malo para la privacidad. Este es el problema del "subconjunto" - dado un conjunto de entradas, salidas y núcleos de transacción, un subconjunto de estos se recombinará para reconstruir una transacción válida. Por ejemplo, teniendo en cuenta las dos transacciones siguientes - (in1, in2) -> (out1), (kern1) (in3) -> (out2), (kern2) Podemos agregarlos en el siguiente bloque (o transacción agregada) - (in1, in2, in3) -> (out1, out2), (kern1, kern2) Es relativamente fácil intentar todas las permutaciones posibles para recuperar una de las transacciones (donde se suma con éxito a cero). - (in1, in2) -> (out1), (kern1) También sabemos que todo lo que queda puede ser usado para reconstruir la otra transacción válida.- (in3) -> (out2), (kern2) Para mitigar esto, incluimos un _kernel offset_ con cada transacción del kernel. Este es un factor oculto (clave privada) que debe añadirse de nuevo al exceso de núcleo para verificar que la suma de los compromisos sea cero. - sum(outputs) - sum(inputs) = kernel_excess + kernel_offset Cuando agregamos transacciones en un bloque, almacenamos un único offset de agregados en el encabezado del bloque. Y ahora tenemos una única compensación que no puede descomponerse en las compensaciones del núcleo de transacciones individuales y las transacciones ya no pueden reconstruirse. - sum(outputs) - sum(inputs) = sum(kernel_excess) + kernel_offset "Dividimos" la clave `k` en `k1+k2` durante la construcción de la transacción. Para una transacción kernel `(k1+k2)*G` publicamos `k1*G` (el exceso) y `k2` (el offset) y firmamos la transacción con `k1*G` como antes. Durante la construcción del bloque podemos simplemente sumar las compensaciones `k2` para generar una sola compensación agregada `k2` para cubrir todas las transacciones en el bloque. La compensación `k2` para cualquier transacción individual es imposible de recuperar. #### Cortado a medida Los bloques permiten a los mineros ensamblar múltiples transacciones en un solo conjunto que se añade a la cadena. En las siguientes representaciones en bloque, que contienen 3 transacciones, sólo se muestran las entradas y salidas de las transacciones. Los ingresos hacen referencia a las salidas que gastan. Una salida incluida en un bloque anterior está marcada con una x minúscula. I1(x1) --- O1 |- O2 I2(x2) --- O3 I3(O2) -| I4(O3) --- O4 |- O5 Observamos las dos propiedades siguientes: * Dentro de este bloque, algunas salidas son gastadas directamente por las entradas incluidas (I3 gasta O2 e I4 gasta O3). * La estructura de cada transacción no importa realmente. Como todas las transacciones se suman individualmente a cero, la suma de todas las entradas y salidas de transacciones debe ser cero. Al igual que en una transacción, todo lo que hay que comprobar en un bloque es que la propiedad ha sido probada (que proviene de _núcleos de transacción_) y que todo el bloque no ha añadido ninguna cantidad de fondos (aparte de lo que permite la base de datos de la moneda). Por lo tanto, se pueden eliminar las entradas y salidas que coincidan, ya que su contribución a la suma total se anula. Lo que conduce a los siguientes bloques, mucho más compactos: I1(x1) | O1 I2(x2) | O4 | O5 Tenga en cuenta que se ha eliminado toda la estructura de transacciones y que el orden de las entradas y salidas ya no importa. Sin embargo, la suma de todas las salidas de este bloque, menos las entradas, sigue siendo cero. Un bloque se contruye simplemente a partir de: * Una cabecera de bloque. * La lista de entradas que quedan después del corte. * La lista de las salidas que quedan después del corte. * Un único offset del kernel para cubrir todo el bloque. * Los núcleos de transacción que contienen, para cada transacción: * La clave pública `r*G` obtenida de la suma de todos los pagos. * Las firmas creadas utilizando el exceso de valor. * La tasa minera. Con esta estructura, un bloque Mimblewimble ofrece unas garantías de privacidad muy buenas: * Las transacciones intermedias (cut-through) estarán representadas únicamente por sus núcleos de transacciones. * Todas las salidas se ven iguales: sólo números muy grandes que son imposibles de diferenciar entre sí. Si uno quisiera excluir algunas salidas, tendrían que excluir todas. * Se ha eliminado toda la estructura de la transacción, lo que hace imposible saber qué salida se correspondía con cada entrada. Y sin embargo, todo esto sigue confirmándose! #### Atravesado todo el camino Volviendo al bloque de ejemplo anterior, las salidas x1 y x2, gastadas por I1 e I2, deben haber aparecido previamente en la cadena de bloques. Así que después de la adición de este bloque, esas salidas, así como I1 e I2, también pueden ser eliminadas de la cadena global, ya que no contribuyen a la suma total. Concluimos que, generalizando, el estado de la cadena (excluyendo las cabeceras) en cualquier momento puede ser resumido sólo por estas piezas de información: 1. La cantidad total de monedas creadas por la minería en la cadena. 1. El conjunto completo de resultados no utilizados. 1. Los núcleos de transacciones para cada transacción. La primera información se puede deducir simplemente usando la altura del bloque (su distancia del bloque génesis). Y tanto las salidas no utilizadas como los núcleos de transacción son extremadamente compactos. Esto tiene dos consecuencias importantes: * El estado que un nodo dado en una cadena de bloques Mimblewimble necesita mantener es muy pequeño (del orden de unos pocos gigabytes para una cadena del tamaño de Bitcoin, y potencialmente configurable a unos pocos centenares de megabytes). * Cuando un nuevo nodo se une a una red formando una cadena Mimblewimble, la cantidad de información que necesita ser transferida es también muy pequeña.. Además, el conjunto completo de resultados no utilizados no puede ser alterado, ni siquiera añadiendo o quitando un resultado. Hacerlo haría que la suma de todos los factores de ocultación en los núcleos de la transacción difiriera de la suma de la ocultación, factores que influyen en los resultados. ### Conclusión En este documento tratamos los principios básicos que subyacen a una cadena de bloques Mimblewimble. Utilizando las propiedades de suma de la Criptografía de Curva Elíptica, somos capaces de construir transacciones que son completamente opacas pero que todavía pueden ser validadas adecuadamente. Y al generalizar esas propiedades a bloques, podemos eliminar una gran cantidad de datos de la cadena de bloques, lo que permite una gran escalabilidad y una sincronización rápida de nuevos participantes.