Laboratorium Badawcze Monero (MRL)

Monero jest zobowiązane nie tylko do produkcji zamiennej waluty, ale także do ciągłego badania w zakresie prywatności finansowej, która dotyczy kryptowalut. Poniżej znajdziesz prace naszego własnego Laboratorium Badawczego Monero. Więcej dokumentów wkrótce. Aby skontaktować się z Laboratorium Badawczym Monero, napisz na adres [email protected].

Publikacje

UWAGA: ten artykuł został wycofany, ale można go obejrzeć klikając na "All versions of this report".

Abstrakt: Transakcje poufne są stosowane w rozproszonych aktywach cyfrowych w celu zademonstrowania równowagi wartości ukrytych w zobowiązaniach, przy jednoczesnym zachowaniu niejednoznaczności podpisującego. Poprzednia praca opisuje jednoznaczny dla podpisującego dowód wiedzy o otwarciu zobowiązań do zera przy tym samym indeksie w wielu publicznych zestawach zobowiązań i ocenie weryfikowalnej funkcji losowej używanej jako znacznik łączący, i wykorzystuje to do zbudowania powiązanego podpisu pierścieniowego o nazwie Triptych, który może być użyty jako blok konstrukcyjny dla modelu transakcji poufnych. W tej pracy, rozszerzamy Triptych do zbudowania Arcturus, systemu dowodzenia, który udowadnia znajomość otwarć wielu zobowiązań do zera w ramach jednego zbioru, poprawną konstrukcję weryfikowalnej funkcji losowej ocenianej przy każdym otwarciu oraz równowagę wartości w ramach oddzielnej listy zobowiązań w ramach jednego dowodu. Chociaż solidność zależy od nowatorskiego założenia o podwójnej twardości logarytmu dyskretnego, wykorzystujemy dane z blockchaina Monero, aby pokazać, że Arcturus może być użyty w modelu transakcji poufnej, aby zapewnić szybszy całkowity czas weryfikacji partii niż inne najnowocześniejsze konstrukcje bez ufnej konfiguracji.

Abstrakt: Podpisy pierścieniowe są powszechną konstrukcją używaną do zapewnienia niejednoznaczności podpisującego wśród nieinteraktywnego zestawu kluczy publicznych określonych w czasie podpisywania. W przeciwieństwie do wczesnych podejść, gdzie rozmiar podpisu jest liniowy do rozmiaru zestawu anonimowości podpisującego, obecne optymalne rozwiązania albo wymagają scentralizowanych, zaufanych konfiguracji, albo produkują podpisy o logarytmicznym rozmiarze. Jednakże, niewiele z nich zapewnia również możliwość powiązania, właściwość używaną do określenia, czy podpisujący wiadomość podpisał jakąkolwiek poprzednią wiadomość, ewentualnie z ograniczeniami dotyczącymi wyboru zestawu anonimowości. Tutaj przedstawiamy Triptych, rodzinę powiązanych podpisów pierścieniowych bez zaufanej konfiguracji, która jest oparta na uogólnieniach dowodów zerowej wiedzy na temat otwarć zobowiązań do zera. Demonstrujemy zastosowania Triptycha w protokołach transakcji jednoznacznych z podpisującym poprzez rozszerzenie konstrukcji na otwarcia równoległych zobowiązań w niezależnych zestawach anonimowości. Podpisy są logarytmicznego rozmiaru względem zbioru anonimowości i, podczas gdy złożoność weryfikacji jest liniowa, kolekcje dowodów mogą być efektywnie weryfikowane seryjnie. Pokazujemy, że dla rozmiarów zbiorów anonimowości praktycznych do użycia w protokołach rozproszonych, Triptych oferuje konkurencyjną wydajność z prostą konstrukcją.

Abstrakt: Pokazujemy, że wersja braku zniesławiania jest naturalną definicją niefałszowania sygnatur pierścieniowych, które można połączyć. Przedstawiamy konstrukcję sygnatury pierścieniowej, którą można połączyć ze zwięzłymi sygnaturami i wielowymiarowymi kluczami, która jest anonimowa, jeśli odmiana problemu decyzyjnego Diffiego-Hellmana z przypadkowymi wyroczniami jest trudna, możliwa do połączenia, jeśli agregacja kluczy jest funkcją jednokierunkową i nie można jej oczerniać jeśli jedna odmiana problemu dyskretnego logarytmu jest trudna. Zwracamy uwagę na niektóre aplikacje w niejednoznacznych poufnych modelach transakcji sygnowanych bez zaufanej konfiguracji.

Abstrakt: Ta nota techniczna opisuje algorytm używany do udowodnienia znajomości tego samego logarytmu dyskretnego w różnych grupach. Schemat wyraża wspólną wartość jako skalarną reprezentację bitów i używa zestawu podpisów pierścieniowych, aby udowodnić, że każdy bit jest ważną wartością, która jest taka sama (aż do równoważności) w obu grupach skalarnych.

Abstrakt: Przedstawiamy progowe pierścieniowe wielopodpisy (podpisy thring) dla wspólnego obliczania podpisów pierścieniowych, prezentujemy grę w egzystencjalne fałszerstwo podpisów thring, i omawiamy zastosowania podpisów thring w cyfrowych walutach, które zawierają jednoznaczne dla nadawcy atomowe wymiany międzyłańcuchowe o poufnych kwotach bez zaufanej konfiguracji. Przedstawiamy implementację podpisów pierścieniowych, które nazywamy powiązanymi spontanicznymi progowymi anonimowymi podpisami grupowymi i udowadniamy, że implementacja ta jest egzystencjalnie nie do sfałszowania.

Abstrakt: Ten biuletyn opisuje modyfikację schematu podpisów pierścieniowych Monero, która pozwala na użycie wyjść dwukluczowych jako członków pierścienia. Obrazy kluczy są powiązane z obydwoma wyjściowymi jednorazowymi kluczami publicznymi w podwójnej transakcji, co zapobiega wydawaniu obydwu kluczy w tej transakcji osobno. Metoda ta ma zastosowanie w nieinteraktywnych transakcjach refundacyjnych. Omawiamy implikacje tego schematu dla bezpieczeństwa.

Abstrakt: Ta nota techniczna uogólnia koncepcję wyjść wydatkowych przy użyciu podstawowej teorii zbiorów. Definicja ta uwzględnia różnorodność wcześniejszych prac nad identyfikacją takich wyjść. Określamy ilościowo wpływ tej analizy na blockchain Monero i przedstawiamy krótki przegląd środków przeciwdziałających.

Abstrakt: Użytkownicy kryptowaluty Monero, którzy chcą ponownie wykorzystać adresy portfeli w sposób niemożliwy do powiązania, muszą utrzymywać oddzielne portfele, co wymaga skanowania transakcji przychodzących dla każdego z nich. Dokumentujemy nowy schemat adresowania, który umożliwia użytkownikowi utrzymanie jednego adresu portfela głównego i generowanie dowolnej liczby adresów podrzędnych, których nie można połączyć. Każdą transakcję należy przeskanować tylko raz, aby określić, czy jest przeznaczona dla któregokolwiek z adresów podrzędnych użytkownika. Schemat dodatkowo obsługuje wiele danych wyjściowych do innych adresów podrzędnych i jest tak samo wydajny jak tradycyjne transakcje portfelowe.

Abstrakt: Ten artykuł wprowadza do metody ukrywania kwot transakcji w silnie zdecentralizowanej, anonimowej kryptowalucie Monero. Podobnie jak Bitcoin, Monero jest kryptowalutą rozprowadzaną za pomocą procesu wydobycia z dowodem pracy. Oryginalny protokół Monero został oparty na CryptoNote, który używa podpisów pierścieniowych oraz jednorazowych kluczy w celu ukrycia nadawcy i odbiorcy płatności. Ostatnio deweloper Centrum Bitcoina, Gregory Maxwell, omawiał oraz wdrożył technikę użycia zobowiązań bitowych, aby ukryć kwotę transakcji. Ten artykuł opisuje nowy rodzaj podpisu pierścieniowego - Wielowarstwowy Łączony Spontaniczny Anonimowy Podpis Grupowy, który umożliwia ukrycie kwot, nadawcy i odbiorcy przelewów z rozsądną wydajnością oraz weryfikowalną produkcją monet bez zaufania. Przytoczono niektóre rozszerzenia protokołu, takie jak Zagregowane Dowody Zasięgu Schnorra oraz Pierścieni Wielopodpisowych. Autor pragnie zaznaczyć, że wczesne projekty tego artykułu zostały opublikowane w społeczności Monero oraz na kanale IRC dotyczącym badań nad Bitcoinem. Projekty haszowania łańcucha bloków są dostępne w [14] i dowodzą, że praca ta została rozpoczęta w lecie 2015 roku i skończona na początku października 2015 roku. E-print dostępny jest także na stronie https://eprint.iacr.org/2015/1098.

Abstrakt: Zauważyliśmy, że wiele ataków w formie analizy łańcuchów bloków może zdegradować niewykrywalność protokołu CryptoNote 2.0. Analizujemy możliwe rozwiązania, dyskutujemy względne zalety i wady tych rozwiązań i sugerujemy ulepszenia w protokole Monero, które zapewnią długoterminową od*****ość kryptowaluty na analizy łańcucha bloków. Nasze zalecane ulepszenia Monero uwzględniają politykę minimalnego miksowania na poziomie protokołu w całej sieci z n=2 obcych wyjść na jeden podpis pierścieniowy, zwiększenie tej ilości do n=4 na poziomie protokołu po dwóch latach oraz tymczasową domyślną ilość n=4 na poziomie portfela. Zalecamy również metodę wysyłania wyjść Monero w stylu torrentów. Dyskutujemy także nad niejednolitą, zależną od wieku metodą wyboru miksowania w celu złagodzenia pozostałych form analizy łańcucha bloków tu opisanych, ale nie czynimy żadnych formalnych zaleceń ich wdrożenia z wielu powodów. Rozgałęzienia następujące w efekcie tych ulepszeń również są opisane w pewnym stopniu. Ten biuletyn badawczy nie uległ rewizji i jedynie odzwierciedla wyniki wewnętrznego dochodzenia.

Abstrakt: Ostatnio w internecie pojawiły się pewne obawy odnośnie kodu źródłowego CryptoNote oraz protokołu, oparte na tym, że protokół ten jest bardziej skomplikowany niż, na przykład, protokół Bitcoina. Celem tej notatki jest próba wyjaśnienia niektórych nieporozumień oraz rozwianie tajemnicy otaczającej Podpisy Pierścieniowe Monero. Zacznę od porównania obliczeń użytych w podpisach pierścieniowych CryptoNote (jak opisano w [CN]) z obliczeniami w [FS], na których bazuje CryptoNote. Następnie porównam obliczenia w podpisie pierścieniowym do tego, co tak naprawdę jest zawarte w bazie kodowej CryptoNote.

Abstrakt: Czwartego września 2014 roku miał miejsce nietypowy i nowatorski atak na sieć kryptowaluty Monero. Atak podzielił sieć na dwa oddzielne podzbiory, które odmówiły zaakceptowania słuszności drugiej podgrupy. Spowodowało to niezliczone efekty, których część nie została jeszcze poznana. Hakerzy mieli krótki okres czasu, podczas którego mogło dojść m.in. do sfałszowania. Ten biuletyn badawczy opisuje niedociągnięcia w kodzie referencyjnym CryptoNote, które pozwoliły na ten atak, rozwiązania wstępnie podjęte przez Rafała Freemana z Tigusoft.pl, a następnie przez zespół CryptoNote, aktualne poprawki w bazie kodowej Monero oraz bada wpływ zaatakowanego bloku na sieć. Ten biuletyn badawczy nie uległ rewizji i jedynie odzwierciedla wyniki wewnętrznego dochodzenia.

Abstrakt: Ten biuletyn badawczy opisuje ewentualny atak na system anonimowości oparty na podpisie pierścieniowym. Do argumentacji użyliśmy protokołu o kryptowalutach CryptoNote 2.0 opublikowanego przez Nicolasa van Saberhagena w 2012 roku. Zostało już uprzednio zaprezentowane, że nieidentyfikowalność maskująca parę jednorazowych kluczy może być uzależniona od ieidentyfikowalności wszystkich kluczy użytych w danym podpisie pierścieniowym. Pozwala to na możliwą reakcję łańcuchową w identyfikowalności pomiędzy podpisami pierścieniowymi, powodując krytyczną utratę nieidentyfikowalności całej sieci, jeśli parametry będą źle dobrane oraz jeśli atakujący będzie w posiadaniu wystarczającego procentu sieci. Podpisy jednak nadal są jednorazowe i jakikolwiek taki atak niekoniecznie naruszy anonimowość użytkowników. Mimo to, taki atak mógłby przypuszczalnie osłabić wytrzymałość, którą CryptoNote demonstruje przeciwko analizie łańcuchu bloków. Ten biuletyn badawczy nie uległ rewizji i jedynie odzwierciedla wyniki wewnętrznego dochodzenia.

Podsumowanie: Monero korzysta z unikalnej funkcji haszującej, która przekształca skalary w punkty krzywej eliptycznej. Jest ona przydatna w szczególności do tworzenia obrazów kluczy. Ten dokument, którego autorem jest Shen Noether, tłumaczy jej implementację w kodzie (funkcja ge_fromfe_frombytes_vartime()) na wyrażenia matematyczne.