Иследовательская Лабаратория Monero

Аннотация: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.
Читать статью

Аннотация: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.
Читать статью

Аннотация: We demonstrate that a version of non-slanderability is a natural definition of unforgeability for linkable ring signatures. We present a linkable ring signature construction with concise signatures and multi-dimensional keys that is linkably anonymous if a variation of the decisional Diffie-Hellman problem with random oracles is hard, linkable if key aggregation is a one-way function, and non-slanderable if a one-more variation of the discrete logarithm problem is hard. We remark on some applications in signer-ambiguous confidential transaction models without trusted setup.
Читать статью

Аннотация: В данной технической записке содержится описание алгоритма, обеспечивающего доказательство знания дискретного логарифма в различных группах. Схема выражает общее значение в виде скалярного представления битов и использует набор кольцевых подписей для доказательства того, что значение каждого бита действительно и одинаково (вплоть до полной эквивалентности) в обеих скалярных группах.​
Читать статью

Аннотация: В этой работе нами предлагаются пороговые кольцевые подписи (thring-подписи) для совместного вычисления кольцевых подписей, а также рассматривается возможность и осуществимость подделки thring-подписей и их применение в цифровых валютах, в частности, атомные свопы между блокчейнами с сокрытием лица, осуществляющего трату, с обеспечением конфиденциальности сумм без доверенных настроек. Также в работе нами представлен вариант реализации thring-подписей, называемый нами связываемыми спонтанными пороговыми анонимными групповыми подписями, а также приводится доказательство того, что такие подписи экзистенциально невозможно подделать.
Читать статью

Аннотация: В данном бюллетене описана модификация схемы связываемых кольцевых подписей Monero, позволяющей включать в кольцо выходы с двойными ключами. Образы ключей привязаны к обоим одноразовым публичным ключам попарно, что не позволяет потратить оба ключа, используемые в транзакции, по отдельности. Этот метод применим к неинтерактивным транзакциям возмещения. Нами рассматривается, как использование этой схемы влияет на безопасность.​
Читать статью

Аннотация: В данной технической записке содержится общее описание концепции потраченных выходов на основе теории базовых множеств. Определение охватывает результаты ранее проделанной работы, связанной с идентификацией таких выходов. Нами количественно определяется влияние такого анализа на блокчейн Monero и приводится краткий обзор способов избежать последствий.​
Читать статью

Аннотация: Пользователи криптовалюты Monero, желающие повторно использовать одноразовые адреса кошельков, должны постоянно создавать отдельные кошельки, что требует сканирования входящих транзакций для каждого из них. Мы документируем новую схему адресов, которая позволяет пользователю поддерживать один основной адрес кошелька и генерировать произвольное количество новых субадресов для основного адреса. Каждая транзакция должна быть проверена только один раз, чтобы определить, назначена ли она для любого из субадрессов пользователя. Схема дополнительно поддерживает несколько выходов в другие производные, а также эффективна, как любые традиционные операции с вашим основным адресом.
Читать статью

Аннотация: В этой статье предлагается метод сокрытия сумм транзакций предельно децентрализованной анонимной криптовалюты Monero. Подобно Bitcoin, Monero является криптовалютой, распределяемой при помощи процесса «майнинга» с доказательством работы (proof of work). Оригинальный протокол Monero был основан на протоколе CryptoNote, использующем кольцевые подписи и одноразовые ключи для сокрытия адреса назначения и происхождения транзакции. Недавно технология использования схемы обязательств для сокрытия суммы транзакции была рассмотрена и реализована ведущим разработчиком Bitcoin Грегори Максвеллом (Gregory Maxwell). В этой статье описан новый тип кольцевой подписи - подпись многоуровневой, связываемой, спонтанной анонимной группы (Multi-layered Linkable Spontaneous Anonymous Group). Такая подпись позволяет скрыть сумму, исходный адрес и адрес назначения транзакций с разумной эффективностью и возможностью верификации генерации монеты, не требующей доверия. Предлагается реализация некоторых расширений протокола, например, совокупных доказательств диапазона Шнорра (Aggregate Schnorr Range Proofs) и кольцевых мультиподписей (Ring Multisignature). Автор хотел бы отметить, что ранние варианты этих решений уже публиковались на исследовательских IRC каналах Monero Community и Bitcoin. Хешированные варианты блокчейна приводятся в работе [14], и можно увидеть, что работа началась ещё летом 2015, а завершилась в начале октября 2015. Версия ePrint также доступна на сайте http://eprint.iacr.org/2015/1098.
Читать статью

Аннотация: Нами было выявлено несколько путей атаки, позволяющих проводить анализ блокчейна и способствующих снижению уровня неотслеживаемости протокола CryptoNote 2.0. Мы проанализировали возможные решения, обсудили соответствующие достоинства и недостатки этих решений и представляем свои рекомендации по улучшению протокола Monero, которые, как мы надеемся, обеспечат долгосрочную защиту блокчейна криптовалюты от анализа. Рекомендуемые нами улучшения предполагают применение политики минимального смешивания по всей сети на уровне протокола, то есть использование n = 2 посторонних выходов на подпись. Спустя два года на уровне протокола это значение вырастет до n = 4, а на уровне кошелька в это время значение n = 4 будет использоваться по умолчанию. Мы также рекомендуем при отправке выходов Monero использовать метод, подобный торренту. Нами также обсуждался метод выбора миксинов на основе их отличия и «возраста». Этот метод позволит избежать других форм анализа блокчейна, о которых говорится в работе. Однако по ряду причин мы не даём каких-либо формальных рекомендаций по реализации. Относительно подробно нами были рассмотрены и результаты таких улучшений. Этот исследовательский бюллетень не проходил независимой технической экспертизы и отражает исключительно результаты внутренних исследований.
Читать статью

Аннотация: Недавно по сети Интернет расползлись страх и сомнения в отношении исходного кода и протокола CryptoNote. Причиной послужил тот факт, что данный протокол сложнее, чем, скажем, протокол, лежащий в основе Bitcoin. Этот бюллетень должен был развеять некоторые заблуждения, а также снять некую завесу тайны, покрывающую кольцевые подписи Monero. Начну со сравнения математической основы кольцевых подписей CryptoNote (как она описана в [CN]) с математическими вычислениями, приводимыми в [FS], на которых основан сам протокол CryptoNote. После этого я сравню математическую основу кольцевой подписи с той, что фактически лежит в основе кодовой базы CryptoNote.
Читать статью

Аннотация: 4 сентября 2014 года против сети Monero была проведена необычная атака совершенно нового типа. В результате этой атаки сеть была разбита на две чёткие подсистемы, каждая из которых отказывалась признавать законность другой. Это повлекло за собой мириады последствий, не все из которых известны и по сей день. У злоумышленника было небольшое окно времени, которого бы хватило, например, на создание подделки. В этом исследовательском бюллетене описаны недостатки кода CryptoNote, которые делают возможным проведение такой атаки, а также решение, изначально предложенное Рафалем Фримэном (Rafal Freeman)
Читать статью

Аннотация: В этом исследовательском бюллетене описаны вероятные способы атаки на систему анонимности, основанную на использовании кольцевых подписей. В качестве примера нами рассматривается протокол CryptoNote 2.0, используемый криптовалютой и якобы опубликованный Николасом ван Саберхагеном (Nicolas van Saberhagen) в 2012 году. Ранее уже было продемонстрировано, что неотслеживаемость, позволяющая скрыть пару одноразовых ключей, может зависеть от неотслеживаемости всех ключей, используемых при составлении кольцевой подписи. Это может стать причиной цепной реакции, которая будет выражаться в отслеживаемости кольцевых подписей, что грозит критической утратой свойства неотслеживаемости всей сети при условии неправильно выбранных параметров, а также если злоумышленник контролирует достаточный процент сети. Тем не менее подписи так и останутся одноразовыми, поэтому совсем необязательно такая атака поставит под угрозу анонимность пользователей. Однако подобная атака, вероятно, сможет ослабить защиту блокчейна, которую обеспечивает CryptoNote, от анализа. Этот бюллетень не проходил независимой технической экспертизы и отражает исключительно результаты внутренних исследований.
Читать статью

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.
Читать статью