Monero Forskningslab

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Abstrakt: Konfidensielle transaksjoner brukes i distribuerte digitale eiendeler for å demonstrere balansen av verdier som ligger skjult i forpliktelsene, mens det beholder signerer-tvetydighet. Tidligere arbeid beskriver en signerer-tvetydig «proof of knowledge» til åpningen av forpliktelser til null, og samtidig den samme indeksen på tvers av flere offentlige forpliktelsessett og evalueringen av en verifiserbar tilfeldig funksjon brukes som en koblingsknagg, og bruker dette for å bygge en linkbar ringsignatur ved navn tryptyk som kan brukes som en byggestein for en konfidensiell transaksjonsmodell. I dette arbeidet forlenger vi triptyken til å bygge Arcturus – et bevissystem som beviser kjennskap til åpninger av flere forpliktelser til null innen et enkelt sett, korrekt oppbygging av en verifiserbar tilfeldig funksjon som er evaluert i hver åpening, og verdibalanse på tvers av en separat liste av forpliktelser innen et enkelt bevis. Selv om fornuft avhenger av en antakelse om en ny dual diskré-logaritmisk hardhet, bruker vi data fra Monero-blokkjeden til å vise at Arcturus kan brukes i en konfidensiell transaksjonsmodell for å gi raskere, total partiverifiseringstid enn andre moderne konstruksjoner uten et betrodd oppsett.

Abstrakt: Ringsignaturer er en vanlig oppbygging som brukes til å gi signerer-tvetydighet blant et ikke-interaktivt sett med offentlige nøkler som er spesifisert ved tidspunktet på signeringen. I motsetning til tidligere tilnærminger der signaturstørrelsen er lineær i størrelsen på signererens anonymitetssett, trenger gjeldende optimale løsninger enten sentraliserte, pålitelige oppsett eller produserer signaturer som er logaritmisk i størrelse. Noen få gir imidlertid også linkbarhet, en egenskap som brukes til å fastslå hvorvidt signereren av en melding har signert en tidligere melding, muligens med restriksjoner på valgene av anonymiteten. Vi introduserer her Triptyk, som er en familie av linkbare ringsignaturer uten et betrodd oppsett som er basert på generaliseringer av null-kunnskaps «bevis av kunnskap» av forpliktelsesåpnninger av parallelle forpliktelser i uavhengige anonymitetssett. Signaturer er logaritmiske i anonymitetssett-størrelsen, og samlinger med bevis effektiv kan – mens verifikasjonskompleksitet er lineært – verifiseres i partier. Vi viser at Triptyk tilbyr konkurransemessig ytelse med en rett-frem-oppbygging i anonymitetssett-størrelser som er praktiske for bruk i distribuerte protokoller.

Abstrakt: Vi demonstrerer at en versjon av ikke-baktalelse er en naturlig definisjon på uforfalskning for linkbare ringsignaturer. Vi presenterer en linkbar ringsignaturoppbygging med kortfattede signaturer og flerdimensjonelle nøkler som er linkbart anonyme dersom en variasjon av det bestemmende Diffie-Hellman-problemet med tilfeldige orakler er vanskelig, linkbar dersom nøkkelaggregatoren er en énveisfunksjon, og ikke-baktalende dersom en «one-more»-variasjon av det diskré logaritmeproblemet er vanskelig. Vi kommer med bemerkelser i noen anvendelser i signerer-tvetydige og konfidensielle transaksjonsmodeller uten et pålitelig oppsett.

Abstrakt: Dette tekniske notatet beskriver en algoritme som er brukt til å bevise kjennskap til den samme diskré logaritmen på tvers av forskjellige grupper. Planen uttrykker den samme verdinormen som en skalarrepresentasjon av bits og bruker et sett med ringsignaturer for å bevise at hver bit er en gyldig verdi som er den samme (opptil en tilsvarende verdi) på tvers av begge skalargruppene.

Abstrakt: Vi presenterer terskelring-multisignaturer (thring-signaturer) for samarbeidende beregning av ringsignaturer, presenterer et spill av eksistensiell forfalskning for thring-signaturer, og drøfter bruksområder på thring-signaturer i digitale valuta som inkluderer spender-ambiguous cross-chain atomic swaps for konfidensielle beløp uten et betrodd oppsett. Vi presenterer en implementering av thring-signaturer som vi kaller for «linkable spontaneous threshold anonymous group»-signaturer, og beviser at implementeringen i det store og hele er uforfalskbar.

Abstrakt: Denne oppslagstavlen beskriver en modifikasjon til Moneros linkbare ringsignaturordning som tillater dobbeltnøkkel (dual-key)-utdata som ringmedlemmer. Nøkkelbilder er knyttet til begge utdata som er tilknyttet éngangnøkler i en «dobbel», noe som hindrer at begge nøklene i den transaksjonen forbrukes separat. Denne metoden kan anvendes på ikke-interaktive tilbakebetalingstransaksjoner. Vi drøfter sikkerhetsimplikasjonene av planen.

Abstrakt: Dette tekniske notatet generaliserer konseptet av brukte utdata ved grunnleggende mengdelære. Definisjonen fanger mange forskjellige tidligere arbeid på å identifisere nevnte utdata. Vi kvantifiserer effektene av denne analysen på Monero-blokkjeden og gir en kort oversikt over begrensninger.

Abstrakt: Brukere av Monero som ønsker å gjenbruke lommebokadresser på en måte som fjerner leddet mellom dem, må opprettholde separate lommebøker som nødvendiggjør skanning av innkommende transaksjoner for hver av dem. Vi dokumenterer en ny adresseordning som lar en bruker opprettholde en enkel master-lommebokadresse og generere et vilkårlig antall adresser som ikke kan kobles til hverandre. Hver transaksjon må skannes én gang for å fastslå om den er bestemt for noen av brukerens underadresser. Ordningen støtter flere utdata til andre underadresser, og den er like effektiv som transaksjonene til tradisjonelle lommebøker.

Abstrakt: Denne artikkelen introduserer en metode som går ut på å skjule transaksjonsbeløpene i den sterkt desentraliserte, anonyme kryptovalutaen Monero. Monero likner på Bitcoin og er en kryptovaluta som er distribuert gjennom en «proof of work»-utvinningsprosess. Den opprinnelige Monero-protokollen var basert på CryptoNote som bruker ringsignaturer og éngangsnøkler for å skjule destinasjonens og transaksjonenes opphav. Teknikken som går ut på å ta i bruk en forpliktelsesordning for å skjule beløpet på en transaksjon, har nylig blitt diskutert og implementert av Bitcoin Core-utvikler Gregory Maxwell. I denne artikkelen er beskrevet en ny type med ringsignaturer, en «Multi-layered Linkable Spontaneous Anonymous Group»-signatur, som tillater skjulte beløp, og opphav og destinasjoner til transaksjoner med rimelig effektivitet og verifiserbar generering av mynter der man ikke er avhengig av tillit. Noen utvidelser av protokollen er sørget for, som f.eks. et «Aggregate Schnorr Range»-bevis og ring-multisignaturer. Forfatteren ønsker å merke at tidligere utkast for dette ble publisert i Monero-samfunnet og på «bitcoin research»-IRC-kanalen. Blokkjede-hashede utkast er tilgjengelig i [14] der det vises at dette arbeidet ble påbegynt sommeren 2015 og fullført tidlig oktober 2015. En e-printversjon er også tilgjengelig på http://eprint.iacr.org/2015/1098.

Abstrakt: Vi identifiserer flere blokkjedeanalyseangrep som er tilgjengelig for å forringe usporbarheten til CryptoNote 2.0-protokollen. Vi analyserer mulige løsninger, diskuterer de relative fordelene og ulempene knyttet til de løsningene, og kommer med anbefaling til forbedringer til Monero-protokollen som forhåpentligvis gir langvarig motstandsdyktighet av kryptovaluta mot blokkjedeanalyse. Våre anbefalte forbedringer til Monero inkluderer en omspennende nettverks «minimum mix-in»-praksis på n = 2 på protokollnivå i fremmede utdata per ringsignatur, en økning i protokoll på denne verdien til n = 4 etter to år, og i mellomtiden en standardverdi på lommeboknivå på n = 4. Vi anbefaler også en torrentaktig metode for å sende Monero-utdata. Vi diskuterer også en ikke-uniform, aldersavhengig mix-in-utvalgsmetode for å avverge de andre formene for blokkjedeanalyse som identifiseres i dette dokumentet, men vi kommer av ulike årsaker ikke med formelle anbefalinger knyttet til implementeringen. Forgreningene som følger av disse forbedringene er også diskutert i en viss detalj. Denne forskningsoppslagstavlen har ikke gjennomgått fagfellevurdering, og gjenspeiler kun resultatene av intern undersøking.

Abstrakt: Det har i det siste vært noen vage bekymringer om kildekoden og protokollen til CryptoNote som flyter rundt på nettet, basert på det faktum at det er en mer komplisert protokoll enn for eksempel Bitcoin. Formålet med dette notatet er å prøve å oppklare noen misforståelser og forhåpentligvis bli kvitt litt av mystikken rundt Moneros ringsignaturer. Jeg vil begynne med å sammenlikne matematikken som er involvert i CryptoNote-ringsignaturene (som beskrevet i [CN]) til matematikken i [FS] som CryptoNote er basert på. Etter dette vil jeg sammenlikne matematikken bak ringsignaturene med hva som faktisk er i CryptoNote-kodebasen.

Abstrakt: 4. september 2014 ble et uvanlig og nytt angrep utført mot Monero-nettverket. Dette angrepet oppdelte nettverket i to distinkte undergrupper som nektet å akseptere legitimiteten til den andre undergruppen. Dette hadde en myriade av effekter, der ikke alle enda er kjent. Angriperen hadde for eksempel en liten tidsluke hvor en slags forfalskning kunne skje. Denne forskningsoppslagstavlen beskriver mangler i CryptoNote-referansekoden som lot angrepet skje, beskriver løsningen som opprinnelig ble lagt frem av Rafal Freeman fra Tigusoft.pl og deretter av CryptoNote-teamet, beskriver den nåværende løsningen i Monero-kodebasen, og utdyper nøyaktig hva den utsatte blokken gjorde til nettverket. Denne forskningsoppslagstavlen har ikke gjennomgått fagfellevurdering og reflekterer kun resultatene til intern granskning.

Abstrakt: Denne forskningsoppslagstavlen beskriver et plausibelt angrep på et ringsignaturbasert anonymitetssystem. Vi bruker kryptovalutaprotokoll CryptoNote 2.0 som motivasjon som tilsynelatende er publisert av Nicolas van Saberhagen i 2012. Det har tidligere blitt demonstrert at usporbarheten som tilslører en éngangsnøkkel kan avhenge av usporbarheten til all nøklene som brukes i utarbeidelsen av den ringsignaturen. Dette muliggjør kjedereaksjoner i sporbarhet mellom ringsignaturer, noe som forårsaker et kritisk tap i usporbarheten på tvers av hele nettverket dersom parametere er valgt på en dårlig måte og hvis en angriper eier en tilstrekkelig prosentdel av nettverket. Ringsignaturer er imidlertid fremdeles éngangs, og slike angrep vil ikke nødvendigvis krenke brukernes anonymitet. Et slik angrep kunne sannsynlig ha svekket resistansen som CryptoNote demonstrerer mot blokkjedeanalyser. Denne forskningsoppslagstavlen har ikke gjennomgått fagfellevurdering og reflekterer kun resultatene av intern gransking.

Sammendrag: Monero bruker en unik hash-funksjon som omdanner skalarer til elliptiske kurvepunkter. Dette er spesielt nyttig for å opprette nøkkelbilder. Dette dokumentet, skrevet av Shen Noether, oversetter denne kodeimplementeringen (the ge_fromfe_frombytes_vartime() function) om til matematiske uttrykk.