Segurament, com a usuari de Bitcoin, Ether o qualsevol altra criptomoneda, us preocupava que qualsevol pogués veure quantes monedes teniu a la vostra cartera, a qui les vau transferir i de qui les vau rebre. Hi ha molta controvèrsia al voltant de les criptomonedes anònimes, però una cosa amb la qual no podem estar en desacord és com El responsable del projecte Monero, Riccardo Spagni, al seu compte de Twitter: "I si no vull que el caixer del supermercat sàpiga quants diners tinc al meu saldo i en què els gasto?"
En aquest article analitzarem l'aspecte tecnològic de l'anonimat: com ho fan, i donarem una breu visió general dels mètodes més populars, els seus pros i contres.
Actualment hi ha una dotzena de blockchains que permeten transaccions anònimes. Al mateix temps, per a alguns, l'anonimat de les transferències és obligatori, per a altres és opcional, alguns amaguen només els destinataris i destinataris, d'altres no permeten que tercers vegin ni tan sols els imports de les transferències. Gairebé totes les tecnologies que estem considerant proporcionen un anonimat complet: un observador extern no pot analitzar ni els saldos, ni els destinataris ni l'historial de transaccions. Però comencem la nostra revisió amb un dels pioners en aquest camp per rastrejar l'evolució dels enfocaments de l'anonimat.
Les tecnologies d'anonimització existents actualment es poden dividir aproximadament en dos grups: les basades en la barreja -on les monedes utilitzades es barregen amb altres monedes de la cadena de blocs- i les tecnologies que utilitzen proves basades en polinomis. A continuació, ens centrarem en cadascun d'aquests grups i ens considerarem els seus pros i contres.
A base de pastat
CoinJoin
no anonimitza les traduccions dels usuaris, sinó que només en complica el seguiment. Però vam decidir incloure aquesta tecnologia a la nostra revisió, ja que va ser un dels primers intents d'augmentar el nivell de confidencialitat de les transaccions a la xarxa Bitcoin. Aquesta tecnologia és captivadora per la seva senzillesa i no requereix canviar les regles de la xarxa, de manera que es pot utilitzar fàcilment en moltes cadenes de blocs.
Es basa en una idea senzilla: què passa si els usuaris connecten i fan els seus pagaments en una única transacció? Resulta que si Arnold Schwarzenegger i Barack Obama van participar i van fer dos pagaments a Charlie Sheen i Donald Trump en una transacció, llavors es fa més difícil entendre qui va finançar la campanya electoral de Trump: Arnold o Barack.
Però del principal avantatge de CoinJoin ve el seu principal desavantatge: una seguretat feble. Avui, ja hi ha maneres d'identificar les transaccions de CoinJoin a la xarxa i de fer coincidir conjunts d'entrades amb conjunts de sortides comparant les quantitats de monedes gastades i generades. Un exemple d'eina per a aquesta anàlisi és .
Pros:
• Senzillesa
Contres:
• Hackabilitat demostrada
Monero
La primera associació que sorgeix en escoltar les paraules "criptomoneda anònima" és Monero. Aquesta moneda la seva estabilitat i privadesa sota el microscopi dels serveis d'intel·ligència:
En un dels seus recents Hem descrit amb gran detall el protocol de Monero i avui resumirem el que s'ha dit.
Al protocol Monero, cada sortida gastada en una transacció es barreja amb almenys 11 sortides aleatòries (en el moment d'escriure'n) de la cadena de blocs, cosa que complica el gràfic de transferència de la xarxa i fa que la tasca de seguiment de les transaccions sigui complexa computacionalment. Les entrades mixtes es signen amb una signatura d'anell, que garanteix que la signatura va ser proporcionada pel propietari d'una de les monedes mixtes, però no permet determinar qui.
Per amagar els destinataris, cada moneda recentment generada utilitza una adreça única, cosa que fa impossible que un observador (tan difícil com trencar les claus de xifratge, és clar) associa qualsevol sortida a una adreça pública. I des del setembre de 2017, Monero va començar a donar suport al protocol (CT) amb algunes addicions, amagant així també els imports de la transferència. Una mica més tard, els desenvolupadors de criptomonedes van substituir les signatures Borromean per Bulletproofs, reduint així significativament la mida de la transacció.
Pros:
• Comprovat en el temps
• Simplicitat relativa
Contres:
• La generació i verificació de proves és més lenta que les ZK-SNARK i ZK-STARK
• No és resistent a la pirateria mitjançant ordinadors quàntics
Mimblewimble
Mimblewimble (MW) es va inventar com una tecnologia escalable per anonimitzar les transferències a la xarxa Bitcoin, però va trobar la seva implementació com una cadena de blocs independent. S'utilitza en criptomonedes и .
MW destaca perquè no té adreces públiques i, per enviar una transacció, els usuaris intercanvien les sortides directament, eliminant així la capacitat d'un observador extern per analitzar les transferències de destinatari a destinatari.
Per ocultar les sumes d'entrades i sortides, s'utilitza un protocol força comú proposat per Greg Maxwell el 2015: (CT). És a dir, les quantitats estan xifrades (o millor dit, utilitzen ), i en comptes d'ells la xarxa opera amb els anomenats compromisos. Perquè una transacció es consideri vàlida, la quantitat de monedes gastades i generades més la comissió ha de ser igual. Com que la xarxa no opera directament amb números, la igualtat està assegurada mitjançant l'equació d'aquests mateixos compromisos, que s'anomena compromís a zero.
En el CT original, per garantir la no-negativitat dels valors (l'anomenada prova de rang), utilitzen signatures borromees (signatures d'anell borromean), que ocupaven molt d'espai a la cadena de blocs (uns 6 kilobytes per sortida). ). En aquest sentit, els desavantatges de les monedes anònimes que utilitzen aquesta tecnologia inclouen la gran mida de la transacció, però ara han decidit abandonar aquestes signatures a favor d'una tecnologia més compacta: Bulletproofs.
No hi ha concepte de transacció al bloc MW en si, només hi ha sortides gastades i generades dins del mateix. Cap transacció, cap problema!
Per evitar la desanonimització del participant de la transferència en l'etapa d'enviament de la transacció a la xarxa, s'utilitza un protocol , que utilitza una cadena de nodes intermediaris de xarxa de longitud arbitrària que transmeten la transacció entre si abans de distribuir-la realment a tots els participants, ofuscant així la trajectòria de la transacció que entra a la xarxa.
Pros:
• Petita mida de la cadena de blocs
• Simplicitat relativa
Contres:
• La generació i verificació de proves és més lenta que les ZK-SNARK i ZK-STARK
• El suport per a funcions com ara scripts i signatures múltiples és difícil d'implementar
• No és resistent a la pirateria mitjançant ordinadors quàntics
Demostracions sobre polinomis
ZK-SNARKs
El nom complex d'aquesta tecnologia significa " Argument succinc del coneixement no interactiu", que es pot traduir com a "Prova de coneixement zero no interactiu succint". Es va convertir en una continuació del protocol zerocoin, que va evolucionar encara més cap a zerocash i es va implementar per primera vegada a la criptomoneda Zcash.
En general, la prova de coneixement zero permet que una part demostri a una altra la veritat d'alguna afirmació matemàtica sense revelar cap informació al respecte. En el cas de les criptomonedes, aquests mètodes s'utilitzen per demostrar que, per exemple, una transacció no produeix més monedes de les que gasta, sense revelar la quantitat de transferències.
ZK-SNARKs és molt difícil d'entendre i caldria més d'un article per descriure com funciona. A la pàgina oficial de Zcash, la primera moneda que implementa aquest protocol, es dedica una descripció del seu funcionament. . Per tant, en aquest capítol ens limitarem només a una descripció superficial.
Utilitzant polinomis algebraics, ZK-SNARKs demostra que l'emissor del pagament és propietari de les monedes que gasta i que la quantitat de monedes gastades no supera la quantitat de monedes generades.
Aquest protocol es va crear amb l'objectiu de reduir la mida de la prova de la validesa d'una declaració i, al mateix temps, verificar-la ràpidament. Sí, segons Zooko Wilcox, CEO de Zcash, la mida de la prova és de només 200 bytes i la seva correcció es pot verificar en 10 mil·lisegons. A més, a l'última versió de Zcash, els desenvolupadors van aconseguir reduir el temps de generació de proves a uns dos segons.
Tanmateix, abans d'utilitzar aquesta tecnologia, cal un procediment complex de configuració de confiança de "paràmetres públics", que s'anomena "cerimònia" (). Tota la dificultat és que durant la instal·lació d'aquests paràmetres, a cap de les parts li queda cap clau privada, anomenada “residus tòxics”, en cas contrari podrà generar noves monedes. Podeu esbrinar com es produeix aquest procediment des del vídeo .
Pros:
• Petita mida de l'evidència
• Verificació ràpida
• Generació de proves relativament ràpida
Contres:
• Procediment complex de fixació de paràmetres públics
• Residus tòxics
• Complexitat relativa de la tecnologia
• No és resistent a la pirateria mitjançant ordinadors quàntics
ZK-STARK
Els autors de les dues últimes tecnologies són bons per jugar amb les sigles, i l'acrònim següent significa "Zero-Knowledge Scalable Transparent ARguments of Knowledge". Aquest mètode pretenia resoldre les deficiències existents dels ZK-SNARK en aquell moment: la necessitat d'una configuració de confiança dels paràmetres públics, la presència de residus tòxics, la inestabilitat de la criptografia a la pirateria mitjançant algorismes quàntics i la generació de proves insuficientment ràpida. Tanmateix, els desenvolupadors de ZK-SNARK han tractat amb l'últim inconvenient.
Els ZK-STARK també utilitzen demostracions basades en polinomis. La tecnologia no utilitza criptografia de clau pública, sinó que es basa en la teoria de hash i transmissió. L'eliminació d'aquests mitjans criptogràfics fa que la tecnologia sigui resistent als algorismes quàntics. Però això té un preu: la prova pot assolir diversos centenars de kilobytes de mida.
Actualment, ZK-STARK no té cap implementació en cap de les criptomonedes, però només existeix com a biblioteca . Tanmateix, els desenvolupadors tenen plans per a això que van molt més enllà de les cadenes de blocs (a la seva els autors donen un exemple de proves d'ADN en una base de dades policial). Amb aquesta finalitat es va crear , que a finals de 2018 va recollir inversions de les empreses més grans del sector.
Podeu llegir més sobre com funciona ZK-STARK a les publicacions de Vitalik Buterin (, , ).
Pros:
• Resistència a la pirateria per part d'ordinadors quàntics
• Generació de proves relativament ràpida
• Verificació de proves relativament ràpida
• Sense residus tòxics
Contres:
• Complexitat de la tecnologia
• Talla de prova gran
Conclusió
La cadena de blocs i la creixent demanda d'anonimat plantegen noves demandes a la criptografia. Així, la branca de la criptografia que es va originar a mitjans dels anys 1980 —les proves de coneixement zero— s'ha reposat amb nous mètodes de desenvolupament dinàmic en només uns quants anys.
Així, el vol del pensament científic ha fet que CoinJoin estigui obsolet i MimbleWimble un nouvingut prometedor amb idees força noves. Monero segueix sent un gegant inquebrantable en la protecció de la nostra privadesa. I els SNARK i els STARK, tot i que tenen deficiències, poden convertir-se en líders en el camp. Potser en els propers anys, els punts que hem indicat a la columna "Contres" de cada tecnologia passaran a ser irrellevants.
Font: www.habr.com