Vous, en tant qu'utilisateur de Bitcoin, d'Ether ou de toute autre crypto-monnaie, craigniez sûrement que quiconque puisse voir combien de pièces vous avez dans votre portefeuille, à qui vous les avez transférées et de qui vous les avez reçues. Il y a beaucoup de controverse autour des crypto-monnaies anonymes, mais une chose avec laquelle nous ne pouvons pas être en désaccord est la façon dont Riccardo Spagni, chef de projet Monero, sur son compte Twitter : « Et si je ne veux tout simplement pas que le caissier du supermarché sache combien d'argent j'ai sur mon solde et à quoi je le dépense ?
Dans cet article, nous examinerons l'aspect technologique de l'anonymat - comment ils le font, et donnerons un bref aperçu des méthodes les plus populaires, leurs avantages et leurs inconvénients.
Il existe aujourd’hui une douzaine de blockchains permettant des transactions anonymes. Parallèlement, pour certains, l'anonymat des virements est obligatoire, pour d'autres il est facultatif, certains ne cachent que les destinataires et les destinataires, d'autres ne permettent pas aux tiers de voir même le montant des virements. Presque toutes les technologies que nous envisageons offrent un anonymat complet : un observateur extérieur ne peut analyser ni les soldes, ni les destinataires, ni l'historique des transactions. Mais commençons notre revue par l'un des pionniers en la matière pour retracer l'évolution des approches de l'anonymat.
Les technologies d'anonymisation actuellement existantes peuvent être grossièrement divisées en deux groupes : celles basées sur le mélange - où les pièces utilisées sont mélangées avec d'autres pièces de la blockchain - et les technologies qui utilisent des preuves basées sur des polynômes. Ensuite, nous nous concentrerons sur chacun de ces groupes et examinerons leurs avantages et leurs inconvénients.
À base de pétrissage
CoinJoin
n'anonymise pas les traductions des utilisateurs, mais complique seulement leur suivi. Mais nous avons décidé d'inclure cette technologie dans notre examen, car il s'agissait de l'une des premières tentatives visant à augmenter le niveau de confidentialité des transactions sur le réseau Bitcoin. Cette technologie séduit par sa simplicité et ne nécessite pas de changer les règles du réseau, elle peut donc être facilement utilisée dans de nombreuses blockchains.
Il repose sur une idée simple : que se passerait-il si les utilisateurs participaient et effectuaient leurs paiements en une seule transaction ? Il s'avère que si Arnold Schwarzenegger et Barack Obama ont contribué et effectué deux paiements à Charlie Sheen et Donald Trump en une seule transaction, il devient alors plus difficile de comprendre qui a financé la campagne électorale de Trump - Arnold ou Barack.
Mais du principal avantage de CoinJoin vient son principal inconvénient : une sécurité faible. Aujourd'hui, il existe déjà des moyens d'identifier les transactions CoinJoin sur le réseau et de faire correspondre des ensembles d'entrées à des ensembles de sorties en comparant les quantités de pièces dépensées et générées. Un exemple d’outil pour une telle analyse est .
Avantages:
• Simplicité
Inconvénients:
• Capacité de piratage démontrée
Monero
La première association qui surgit lorsqu’on entend les mots « crypto-monnaie anonyme » est Monero. Cette pièce sa stabilité et sa confidentialité à la loupe des services de renseignement :
Dans l'un de ses récents Nous avons décrit le protocole Monero de manière très détaillée et aujourd'hui nous résumerons ce qui a été dit.
Dans le protocole Monero, chaque sortie dépensée dans une transaction est mélangée avec au moins 11 (au moment de la rédaction) sorties aléatoires de la blockchain, compliquant ainsi le graphique de transfert du réseau et rendant la tâche de suivi des transactions complexe sur le plan informatique. Les inscriptions mixtes sont signées d'une signature en anneau, qui garantit que la signature a été apportée par le propriétaire de l'une des pièces mixtes, mais ne permet pas de déterminer qui.
Pour masquer les destinataires, chaque pièce nouvellement générée utilise une adresse unique, ce qui rend impossible pour un observateur (aussi difficile que de casser les clés de cryptage, bien sûr) d'associer une sortie à une adresse publique. Et depuis septembre 2017, Monero a commencé à prendre en charge le protocole (CT) avec quelques ajouts, masquant ainsi également les montants des transferts. Un peu plus tard, les développeurs de cryptomonnaies ont remplacé les signatures borroméennes par des Bulletproofs, réduisant ainsi considérablement la taille des transactions.
Avantages:
• Éprouvé par le temps
• Relative simplicité
Inconvénients:
• La génération et la vérification des preuves sont plus lentes que les ZK-SNARK et ZK-STARK.
• Non résistant au piratage utilisant des ordinateurs quantiques
Mimblewimble
Mimblewimble (MW) a été inventé comme une technologie évolutive pour anonymiser les transferts sur le réseau Bitcoin, mais a trouvé sa mise en œuvre en tant que blockchain indépendante. Utilisé dans les crypto-monnaies и .
MW est remarquable car il n'a pas d'adresse publique et, pour envoyer une transaction, les utilisateurs échangent directement les résultats, éliminant ainsi la possibilité pour un observateur extérieur d'analyser les transferts d'un destinataire à l'autre.
Pour masquer les sommes d'entrées et de sorties, un protocole assez courant proposé par Greg Maxwell en 2015 est utilisé - (CT). Autrement dit, les montants sont cryptés (ou plutôt, ils utilisent ), et à leur place, le réseau fonctionne avec ce qu'on appelle des engagements. Pour qu'une transaction soit considérée comme valide, le montant des pièces dépensées et générées plus la commission doivent être égaux. Le réseau ne fonctionnant pas directement avec des chiffres, l’égalité est assurée grâce à l’équation de ces mêmes engagements, appelée engagement à zéro.
Dans le CT original, pour garantir la non-négativité des valeurs (la soi-disant preuve de plage), ils utilisent des signatures borroméennes (signatures en anneau borroméennes), qui prenaient beaucoup de place dans la blockchain (environ 6 kilo-octets par sortie). ). À cet égard, les inconvénients des monnaies anonymes utilisant cette technologie comprenaient la taille importante des transactions, mais ils ont maintenant décidé d'abandonner ces signatures au profit d'une technologie plus compacte - les Bulletproofs.
Il n’y a aucun concept de transaction dans le bloc MW lui-même, il n’y a que des extrants dépensés et générés à l’intérieur de celui-ci. Aucune transaction - pas de problème !
Pour éviter la désanonymisation du participant au transfert au stade de l'envoi de la transaction au réseau, un protocole est utilisé , qui utilise une chaîne de nœuds proxy réseau de longueur arbitraire qui se transmettent la transaction avant de la distribuer réellement à tous les participants, obscurcissant ainsi la trajectoire de la transaction entrant dans le réseau.
Avantages:
• Petite taille de blockchain
• Relative simplicité
Inconvénients:
• La génération et la vérification des preuves sont plus lentes que les ZK-SNARK et ZK-STARK.
• La prise en charge de fonctionnalités telles que les scripts et les multi-signatures est difficile à mettre en œuvre
• Non résistant au piratage utilisant des ordinateurs quantiques
Preuves sur les polynômes
ZK-SNARK
Le nom complexe de cette technologie signifie « Argument succinct et non interactif de la connaissance », qui peut être traduit par « Preuve succincte et non interactive de connaissance nulle ». Il est devenu une continuation du protocole Zerocoin, qui a ensuite évolué vers Zerocash et a été implémenté pour la première fois dans la crypto-monnaie Zcash.
En général, la preuve sans connaissance permet à une partie de prouver à une autre la véracité d’un énoncé mathématique sans divulguer aucune information à son sujet. Dans le cas des crypto-monnaies, de telles méthodes sont utilisées pour prouver que, par exemple, une transaction ne produit pas plus de pièces qu’elle n’en dépense, sans divulguer le montant des transferts.
ZK-SNARKs est très difficile à comprendre et il faudrait plus d'un article pour décrire son fonctionnement. Sur la page officielle de Zcash, première monnaie qui implémente ce protocole, une description de son fonctionnement est consacrée à . C’est pourquoi nous nous limiterons dans ce chapitre à une description superficielle.
À l'aide de polynômes algébriques, ZK-SNARK prouve que l'expéditeur du paiement est propriétaire des pièces qu'il dépense et que le montant des pièces dépensées ne dépasse pas le montant des pièces générées.
Ce protocole a été créé dans le but de réduire la taille de la preuve de la validité d'une déclaration et en même temps de la vérifier rapidement. Oui, selon Zooko Wilcox, PDG de Zcash, la taille de la preuve n'est que de 200 octets et son exactitude peut être vérifiée en 10 millisecondes. De plus, dans la dernière version de Zcash, les développeurs ont réussi à réduire le temps de génération de la preuve à environ deux secondes.
Cependant, avant d’utiliser cette technologie, une procédure complexe de configuration fiable des « paramètres publics » est requise, appelée « cérémonie » (). Toute la difficulté est que lors de l'installation de ces paramètres, aucune des parties ne dispose de clés privées, appelées « déchets toxiques », sinon elle pourra générer de nouvelles pièces. Vous pouvez apprendre comment cette procédure se déroule à partir de la vidéo sur .
Avantages:
• Petite taille de preuve
• Vérification rapide
• Génération de preuves relativement rapide
Inconvénients:
• Procédure complexe de définition des paramètres publics
• Déchet toxique
• Complexité relative de la technologie
• Non résistant au piratage utilisant des ordinateurs quantiques
ZK-STARK
Les auteurs des deux dernières technologies savent jouer avec les acronymes, et l'acronyme suivant signifie « Zero-Knowledge Scalable Transparent ARguments of Knowledge ». Cette méthode visait à résoudre les défauts existants des ZK-SNARK à l'époque : la nécessité d'un réglage fiable des paramètres publics, la présence de déchets toxiques, l'instabilité de la cryptographie face au piratage utilisant des algorithmes quantiques et une génération de preuves insuffisamment rapide. Cependant, les développeurs de ZK-SNARK ont résolu le dernier inconvénient.
Les ZK-STARK utilisent également des preuves basées sur des polynômes. La technologie n’utilise pas de cryptographie à clé publique, mais s’appuie plutôt sur la théorie du hachage et de la transmission. La suppression de ces moyens cryptographiques rend la technologie résistante aux algorithmes quantiques. Mais cela a un prix : la preuve peut atteindre plusieurs centaines de kilo-octets.
Actuellement, ZK-STARK n'a d'implémentation dans aucune des crypto-monnaies, mais existe uniquement en tant que bibliothèque. . Cependant, les développeurs ont des projets qui vont bien au-delà des blockchains (dans leur les auteurs donnent un exemple de preuve d'ADN dans une base de données policière). A cet effet, il a été créé , qui a collecté fin 2018 investissements des plus grandes entreprises du secteur.
Vous pouvez en savoir plus sur le fonctionnement de ZK-STARK dans les articles de Vitalik Buterin (, , ).
Avantages:
• Résistance au piratage par les ordinateurs quantiques
• Génération de preuves relativement rapide
• Vérification des preuves relativement rapide
• Pas de déchets toxiques
Inconvénients:
• Complexité de la technologie
• Grand format d'épreuve
Conclusion
La blockchain et la demande croissante d’anonymat imposent de nouvelles exigences à la cryptographie. Ainsi, la branche de la cryptographie née au milieu des années 1980 – les preuves à connaissance nulle – s’est enrichie en quelques années seulement de nouvelles méthodes au développement dynamique.
Ainsi, l’envolée de la pensée scientifique a rendu CoinJoin obsolète, et MimbleWimble un nouveau venu prometteur avec des idées assez fraîches. Monero reste un géant inébranlable dans la protection de notre vie privée. Et les SNARK et STARK, même s'ils présentent des défauts, peuvent devenir des leaders dans le domaine. Peut-être que dans les années à venir, les points que nous avons indiqués dans la colonne « Inconvénients » de chaque technologie perdront leur pertinence.
Source: habr.com