Seguro que ti, como usuario de Bitcoin, Ether ou calquera outra criptomoeda, estabas preocupado de que calquera puidese ver cantas moedas tes na túa carteira, a quen as transferías e de quen as recibiches. Hai moita controversia en torno ás criptomoedas anónimas, pero unha cousa coa que non podemos estar en desacordo é como O director do proxecto de Monero, Riccardo Spagni, na súa conta de Twitter: "E se non quero que o caixeiro do supermercado saiba cantos cartos teño no meu saldo e en que o gasto?"
Neste artigo analizaremos o aspecto tecnolóxico do anonimato: como o fan, e daremos unha breve visión xeral dos métodos máis populares, os seus pros e contras.
Hoxe hai preto dunha ducia de cadeas de bloques que permiten transaccións anónimas. Ao mesmo tempo, para algúns, o anonimato das transferencias é obrigatorio, para outros é opcional, algúns ocultan só os destinatarios e destinatarios, outros non permiten que terceiros vexan nin sequera os importes das transferencias. Case todas as tecnoloxías que estamos considerando proporcionan un completo anonimato: un observador externo non pode analizar os saldos, os destinatarios ou o historial de transaccións. Pero imos comezar o noso repaso cun dos pioneiros neste campo para rastrexar a evolución dos enfoques do anonimato.
As tecnoloxías de anonimización existentes actualmente pódense dividir aproximadamente en dous grupos: as baseadas na mestura -onde as moedas utilizadas se mesturan con outras moedas da cadea de bloques- e as tecnoloxías que utilizan probas baseadas en polinomios. A continuación, centrarémonos en cada un destes grupos e consideraremos os seus pros e contras.
A base de amasado
CoinJoin
non anonimiza as traducións dos usuarios, senón que só complica o seu seguimento. Pero decidimos incluír esta tecnoloxía na nosa revisión, xa que foi un dos primeiros intentos de aumentar o nivel de confidencialidade das transaccións na rede Bitcoin. Esta tecnoloxía é cativadora pola súa sinxeleza e non require cambiar as regras da rede, polo que se pode usar facilmente en moitas cadeas de bloques.
Baséase nunha idea sinxela: que pasa se os usuarios realizan os seus pagos nunha única transacción? Acontece que se Arnold Schwarzenegger e Barack Obama participaron e fixeron dous pagos a Charlie Sheen e Donald Trump nunha soa transacción, entón faise máis difícil entender quen financiou a campaña electoral de Trump: Arnold ou Barack.
Pero a principal vantaxe de CoinJoin vén a súa principal desvantaxe: a seguridade débil. Hoxe, xa hai formas de identificar transaccións CoinJoin na rede e combinar conxuntos de entradas con conxuntos de saídas comparando as cantidades de moedas gastadas e xeradas. Un exemplo dunha ferramenta para tal análise é .
Pros:
• Sinxeleza
Contras:
• Piratabilidade demostrada
Monero
A primeira asociación que xorde ao escoitar as palabras "criptografía anónima" é Monero. Esta moeda a súa estabilidade e privacidade baixo o microscopio dos servizos de intelixencia:
Nun dos seus recentes Describimos con moito detalle o protocolo de Monero e hoxe resumiremos o dito.
No protocolo Monero, cada saída gastada nunha transacción mestúrase con polo menos 11 (no momento da escritura) saídas aleatorias da cadea de bloques, o que complica o gráfico de transferencia da rede e fai que a tarefa de rastrexar as transaccións sexa computacionalmente complexa. As entradas mixtas están asinadas cunha sinatura de anel, o que garante que a sinatura foi proporcionada polo propietario dunha das moedas mixtas, pero non permite determinar quen.
Para ocultar os destinatarios, cada moeda recentemente xerada utiliza un enderezo único, o que fai imposible para un observador (tan difícil como romper as claves de cifrado, por suposto) asociar calquera saída a un enderezo público. E desde setembro de 2017, Monero comezou a apoiar o protocolo (CT) con algúns engadidos, ocultando así tamén os importes da transferencia. Un pouco máis tarde, os desenvolvedores de criptomonedas substituíron as firmas Borromean por Bulletproofs, reducindo así significativamente o tamaño da transacción.
Pros:
• Probado no tempo
• Sinxeleza relativa
Contras:
• A xeración e verificación de probas é máis lenta que as ZK-SNARK e ZK-STARK
• Non é resistente á piratería mediante ordenadores cuánticos
Mimblewimble
Mimblewimble (MW) foi inventado como unha tecnoloxía escalable para anonimizar as transferencias na rede Bitcoin, pero atopou a súa implementación como unha cadea de bloques independente. Usado en criptomoedas и .
MW destaca porque non ten enderezos públicos e, para enviar unha transacción, os usuarios intercambian saídas directamente, eliminando así a capacidade dun observador externo de analizar as transferencias de destinatario a destinatario.
Para ocultar as sumas de entradas e saídas, utilízase un protocolo bastante común proposto por Greg Maxwell en 2015: (CT). É dicir, as cantidades están cifradas (ou mellor dito, usan ), e no canto deles a rede opera cos chamados compromisos. Para que unha transacción se considere válida, a cantidade de moedas gastadas e xeradas máis a comisión debe ser igual. Dado que a rede non opera directamente con números, a igualdade está garantida mediante a ecuación destes mesmos compromisos, que se denomina compromiso a cero.
No CT orixinal, para garantir a non negatividade dos valores (a chamada proba de rango), usan sinaturas borromeas (sinaturas de anel borromeanos), que ocupaban moito espazo na cadea de bloques (uns 6 kilobytes por saída). ). Neste sentido, as desvantaxes das moedas anónimas que usan esta tecnoloxía incluían o gran tamaño da transacción, pero agora decidiron abandonar estas sinaturas en favor dunha tecnoloxía máis compacta: Bulletproofs.
Non hai concepto de transacción no propio bloque MW, só hai saídas gastadas e xeradas dentro del. Sen transacción, sen problema!
Para evitar a desanonimización do participante da transferencia na fase de envío da transacción á rede, utilízase un protocolo , que utiliza unha cadea de nodos proxy de rede de lonxitude arbitraria que transmiten a transacción entre si antes de distribuíla realmente a todos os participantes, ofuscando así a traxectoria da transacción que entra na rede.
Pros:
• Pequeno tamaño da cadea de bloques
• Sinxeleza relativa
Contras:
• A xeración e verificación de probas é máis lenta que as ZK-SNARK e ZK-STARK
• A compatibilidade con funcións como scripts e sinaturas múltiples é difícil de implementar
• Non é resistente á piratería mediante ordenadores cuánticos
Demostracións sobre polinomios
ZK-SNARKs
O nome complicado desta tecnoloxía significa " Argumento de coñecemento non interactivo sucinto", que se pode traducir como "Proba de coñecemento cero non interactiva sucinta". Converteuse nunha continuación do protocolo zerocoin, que evolucionou aínda máis cara a zerocash e implementouse por primeira vez na criptomoeda Zcash.
En xeral, a proba de coñecemento cero permite que unha parte demostre a outra a verdade dalgún enunciado matemático sen revelar ningunha información respecto diso. No caso das criptomoedas, tales métodos úsanse para demostrar que, por exemplo, unha transacción non produce máis moedas das que gasta, sen revelar a cantidade de transferencias.
ZK-SNARKs é moi difícil de entender e sería necesario máis dun artigo para describir como funciona. Na páxina oficial de Zcash, a primeira moeda que implementa este protocolo, dedícase unha descrición do seu funcionamento. . Polo tanto, neste capítulo limitarémonos só a unha descrición superficial.
Usando polinomios alxébricos, ZK-SNARKs demostra que o remitente do pago é o propietario das moedas que está gastando e que a cantidade de moedas gastadas non supera a cantidade de moedas xeradas.
Este protocolo foi creado co obxectivo de reducir o tamaño da proba da validez dunha declaración e ao mesmo tempo verificala rapidamente. Si, segundo Zooko Wilcox, CEO de Zcash, o tamaño da proba é de só 200 bytes e a súa corrección pódese verificar en 10 milisegundos. Ademais, na última versión de Zcash, os desenvolvedores conseguiron reducir o tempo de xeración de probas a uns dous segundos.
Non obstante, antes de usar esta tecnoloxía, é necesario un complexo procedemento de configuración de confianza de "parámetros públicos", que se chama "cerimonia" (). Toda a dificultade é que durante a instalación destes parámetros, a ningunha das partes lle quedan claves privadas, denominadas “residuos tóxicos”, se non, poderá xerar novas moedas. Podes aprender como se produce este procedemento a partir do vídeo .
Pros:
• Pequeno tamaño das probas
• Verificación rápida
• Xeración de probas relativamente rápida
Contras:
• Procedemento complexo de fixación de parámetros públicos
• Residuos tóxicos
• Complexidade relativa da tecnoloxía
• Non é resistente á piratería mediante ordenadores cuánticos
ZK-STARK
Os autores das dúas últimas tecnoloxías son bos para xogar coas siglas, e o seguinte acrónimo significa "Zero-Knowledge Scalable Transparent ARguments of Knowledge". Este método estaba destinado a resolver as deficiencias existentes dos ZK-SNARK naquel momento: a necesidade dunha configuración confiable de parámetros públicos, a presenza de residuos tóxicos, a inestabilidade da criptografía ao pirateo mediante algoritmos cuánticos e a xeración de probas insuficientemente rápida. Non obstante, os desenvolvedores de ZK-SNARK trataron co último inconveniente.
Os ZK-STARK tamén usan demostracións baseadas en polinomios. A tecnoloxía non usa criptografía de chave pública, senón que se apoia na teoría de hash e transmisión. A eliminación destes medios criptográficos fai que a tecnoloxía sexa resistente aos algoritmos cuánticos. Pero isto ten un prezo: a proba pode alcanzar varios centos de kilobytes de tamaño.
Actualmente, ZK-STARK non ten unha implementación en ningunha das criptomoedas, pero existe só como biblioteca . Non obstante, os desenvolvedores teñen plans para iso que van moito máis alá das cadeas de bloques (no seu os autores dan un exemplo de probas de ADN nunha base de datos policial). Para este fin creouse , que a finais de 2018 recolleu investimentos das maiores empresas do sector.
Podes ler máis sobre como funciona ZK-STARK nas publicacións de Vitalik Buterin (, , ).
Pros:
• Resistencia á piratería por parte de ordenadores cuánticos
• Xeración de probas relativamente rápida
• Verificación de probas relativamente rápida
• Sen residuos tóxicos
Contras:
• Complexidade da tecnoloxía
• Tamaño de proba grande
Conclusión
A cadea de bloques e a crecente demanda de anonimato presentan novas demandas sobre a criptografía. Así, a rama da criptografía que se orixinou a mediados da década de 1980, as probas de coñecemento cero, reforzouse con novos métodos de desenvolvemento dinámico en poucos anos.
Así, o voo do pensamento científico fixo que CoinJoin fose obsoleto e que MimbleWimble fose un prometedor recén chegado con ideas bastante frescas. Monero segue sendo un xigante inquebrantable na protección da nosa privacidade. E os SNARK e os STARK, aínda que teñen carencias, poden converterse en líderes no campo. Quizais nos próximos anos os puntos que indicamos na columna "Contras" de cada tecnoloxía vaian ser irrelevantes.
Fonte: www.habr.com