Laboratoire de Recherche Monero (MRL)

Monero ne s'engage pas seulement à créer une monnaie fongible, mais également à continuer la recherche dans le domaine de la confidentialité financière qu'impliquent les cryptomonnaies. Vous trouverez ci-dessous le résultat du travail de notre Laboratoire de Recherche Monero, d'autres rapports s'y ajouterons. Pour contacter le Monero Research Lab, veuillez envoyer un courriel à [email protected].

Publications

NOTE : cet article a été rétracté, mais il est possible de le consulter en cliquant sur "Toutes les versions de ce rapport".

Résumé: Les transactions confidentielles sont utilisées dans les actifs numériques distribués pour prouver l'équilibre des valeurs cachées dans les engagements, tout en conservant une ambiguïté sur le signataire. Des études antérieures décrivent une preuve de connaissance ambiguë du signataire concernant l'ouverture des engagements à zéro au même indice dans de multiples ensembles d'engagements publics et l'évaluation d'une fonction aléatoire vérifiable utilisée comme balise de liaison, et s'en sert pour construire une signature de cercle pouvant être associée, appelée Triptyque, qui peut être utilisée comme élément de base d'un modèle de transaction confidentielle. Dans cette étude, nous étendons le Triptyque pour construire Arcturus, un système de preuve qui démontre la connaissance des ouvertures d'engagements multiples à zéro dans un seul ensemble, la construction correcte d'une fonction aléatoire vérifiable évaluée à chaque ouverture, et l'équilibre des valeurs sur une liste séparée d'engagements dans une seule preuve. Alors que la fiabilité dépend d'une nouvelle hypothèse de robustesse à double logarithme discret, nous utilisons les données de la chaîne de blocs Monero pour montrer qu'Arcturus peut être utilisé dans un modèle de transaction confidentielle pour fournir un temps total de vérification des blocs plus rapide que d'autres constructions sophistiquées sans avoir besoin d'une configuration de confiance.

Résumé: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.

Résumé: Nous démontrons qu'une variante de l'absence de diffamation est une définition naturelle de l'infalsifiabilité pour les signatures de cercle associables. Nous présentons une construction de signature de cercle associables, avec des signatures concises et des clés multidimensionnelles, qui est associable à de l'anonymat si une variation du problème décisionnel de Diffie-Hellman avec des oracles aléatoires est complexe, associable si l'agrégation de clés est une fonction à sens unique, et non diffamatoire si une variation supplémentaire du problème du logarithme discret est complexe. Nous formulons des remarques sur certaines applications dans des modèles de transaction confidentielle à signature ambiguë sans système de confiance.

Résumé: Cette note technique décrit un algorithme utilisé pour prouver la connaissance du même logarithme discret dans différents groupes. Le schéma exprime la valeur commune sous la forme d'une représentation scalaire des bits et utilise un ensemble de signatures de cercle pour prouver que chaque bit est une valeur valide et identique (jusqu'à une équivalence) entres les deux groupes scalaires.

Résumé: Nous présentons des multi-signatures de cercle à seuil (signatures Thring) pour le calcul collaboratif des signatures de cercle, nous présentons un jspécimen de falsification fondamentale pour les signatures Thring, et nous parlons des utilisations des signatures Thring pour les monnaies numériques qui incluent des échanges atomiques entre chaînes à dépenses ambiguës pour des montants confidentiels, sans avoir besoin de paramétrage de confiance. Nous présentons une implémentation des signatures thring que nous appelons signatures de groupe anonymes à seuil spontané associable, et prouvons que l'implémentation est fondamentalement infalsifiable.

Résumé: Ce bulletin décrit une modification apportée au système de signatures de cercle associables de Monero qui permet l'utilisation de sorties à deux clés comme membres du cercle. Les images de clés sont liées aux deux clés publiques ponctuelles des sorties dans une paire, ce qui évite que les deux clés de cette transaction ne soient utilisées séparément. Cette méthode s'applique aux opérations de remboursement non interactives. Nous discutons des implications du système sur le plan de la sécurité.

Résumé: Cette note tehnique généralise le concept de sorties dépensées en utilisant la théorie des ensembles de base. La définition tient compte de divers travaux antérieurs sur la détermination de ces sorties. Nous quantifions les effets de cette analyse sur la chaîne de blocs de Monero et donnons un aperçu rapide des mesures palliatives à prendre.

Résumé: Les Utilisateurs de la cryptomonnaie Monero qui souhaitent réutiliser des adresses de portefeuille d'une manière non connectable doivent maintenir des portefeuilles séparés, ce qui nécessite de scanner les transactions entrante pour chacun. Nous avons documenté un nouveau schéma d'adresses qui permet à un utilisateur de maintenir une seule adresse de portefeuille et de générer un nombre arbitraire de sous-adresses non connectables. Chaque transaction n'a besoin d'être scannée qu'une seule fois pour déterminer si la destination appartient à une quelconque sous-adresse de l'utilisateur. Le schéma supporte également des sorties multiples vers d'autres sous-adresses et est aussi efficace que les transactions traditionnelles de portefeuille.

Résumé: Cet article présente une méthode de masquage du montant des transactions dans la cryptomonnaie anonyme fortement décentralisée Monero. De la même manière que Bitcoin, Monero est une cryptomonnaie basée sur un processus "d'extraction minière" basé sur une preuve de travail. Le protocole originel de Monero était basé sur CryptoNote , qui utilise les signatures de cercle et des clefs à usage unique pour masquer l'origine et la destination des transactions. Récemment, une technique utilisant un mécanisme déterministe pour masquer le montant d'une transaction a été étudié et implémenté par Gregory Maxwell, l'un des développeur principaux de Bitcoin. Dans cette article, nous exposons un nouveau type de signatures de cercle, une Signature de Groupe Associable Anonyme et Spontané à Plusieurs Niveaux permettant de masquer les montants, les origines et les destinations des transactions avec une efficacité raisonnable et une génération de pièces de monnaie vérifiable et fiable. Quelques extensions protocolaires sont fournies, telles que la preuve à divulgation nulle de connaissance de Schnorr, et les multi-signatures de cercle. L'auteur voudrait faire remarquer que les premières ébauches ont été publiées dans la communauté Monero et sur le canal IRC de recherche bitcoin. Des brouillons de chaîne de blocs sont disponibles dans [14], montrant que ce travail a débuté à l'été 2015 et s'est achevé début octobre 2015. Une impression électronique est également disponible sur http://eprint.iacr.org/2015/1098.

Résumé: Nous avons identifier plusieurs attaques d'analyse de la chaîne de blocs pouvant dégrader l'intraçabilité du protocol CryptoNote 2.0. Nous analysons de possibles solutions, discutons de leurs avantages et inconvénients et recommandons des améliorations du protocole Monero qui devraient fournir une résistance à l'analyse de la chaîne de blocs de la cryptomonnaie sur le long terme. Nos recommandations d'améliorations incluent une politique minimale protocolaire de mixage des entrées minimale de n = 2 sortie distantes par signature de cercle, une augmentation protocolaire de cette valeur à n = 4 au bout de deux ans et une valeur par défaut dans le portefeuille à n = 4 dans l'intervalle. Nous recommandons également une méthode d'émission des sorties Monero "à la torrent". Nous discutons aussi d'une méthode de sélection du mixage des entrées non-uniforme et dépendante du temps pour atténuer les autres formes d'analyse de la chaîne de blocs identifiés ici, mais nous ne faisons aucune recommandations formelles de son implémentation pour diverses raisons. Nous y détaillons par ailleurs les répercussions découlant de ces améliorations. Ce bulletin de recherche n'a pas fait l'objet d'un examen par des tiers, et ne reflète que les résultats d'investigations internes.

Résumé: Récemment, quelques vagues de frayeurs concernant le code source et le protocole CryptoNote on circulé sur internet fondé sur le fait qu'il s'agisse d'un protocole plus complexe que, par exemple Bitcoin. Ce rapport tentera d'éclaircir ces méconnaissances et avec un peu de chance retirera une partie du mystère entourant les signatures de cercle de Monero. Nous commencerons par comparer les calculs mathématiques impliqués dans les signatures de cercle CryptoNote (comme décrit dans [CN]) à ceux de [FS], sur lesquelles est basé CryptoNote. Après cela, nous comparerons les calculs mathématiques des signatures de cercle à ce qui se trouve actuellement dans la base de code de CryptoNote.

Résumé: Le 4 Septembre 2014, une attaque nouvelle et inhabituelle a été lancée contre le réseau de cryptomonnaie Monero. Cette attaque a segmentée le réseau en deux sous-ensembles distincts qui refusaient d'accepter les transactions légitimes de l'autre sous-ensemble. Cela causa une myriade d'effet, qui n'ont pour le moment pas tous été identifiés. L'attaquant a disposé d'une courte fenêtre temporelle pendant laquelle une forme de contrefaçon pu, par exemple, avoir lieux. Ce bulletin de recherche décrit les lacunes du code de référence CryptoNote ayant permis cette attaque, décrit la solution initialement mise en avant par Rafal Freeman de Tigusoft.pl et ultérieurement par l'équipe CryptoNote, décrit les correctifs actuels du code de base de Monero et donne des détails concrets sur ce que le bloc fautif a causé au réseau. Ce bulletin de recherche n'a pas fait l'objet d'un examen par des tiers, et ne reflète que les résultats d'investigations internes.

Résumé: Ce bulletin de recherche décrit une attaque plausible sur un système anonyme basé sur les signatures de cercle. Nous nous appuyons sur le protocol de cryptomonnaie CryptoNote 2.0 apparemment publié par Nicolas van Saberhagen en 2012. Il a déjà été démontré que l'intraçabilité obscurcissant une pair de clefs à usage unique peut être dépendant de l'intraçabilité de toutes les clefs utilisées dans la composition de cette signature de cercle. Cela rend possible des réactions en chaine de la traçabilité entre les signatures de cercle, pouvant causer une réduction drastique de l'intraçabilité de l'ensemble du réseau si les paramètres sont piètrement choisis et si un attaquant possède un pourcentage suffisant du réseau. Les signatures sont cependant toujours à usage unique, et une telle attaque ne permettrait pas nécessairement de violer l'anonymat des utilisateurs. Cependant, une telle attaque pourrait potentiellement réduire la résistance dont fait preuve CryptoNote contre l'analyse de la chaîne de blocs. Ce bulletin de recherche n'a pas fait l'objet d'un examen par des tiers, et ne reflète que les résultats d'investigations internes.

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.