どうやってやっているの？ 暗号通貨の匿名化技術のレビュー

確かにあなたは、ビットコイン、イーサ、またはその他の暗号通貨のユーザーとして、自分のウォレットにどれだけのコインがあるのか​​、誰に送金したのか、誰から受け取ったのかを誰かに見られるのではないかと懸念していました。 匿名暗号通貨をめぐっては多くの論争がありますが、私たちが同意できないことの XNUMX つは、その方法です。 сказал モネロのプロジェクトマネージャー、リッカルド・スパーニ氏は自身のツイッターアカウントで「残高と何に使ったかをスーパーマーケットのレジ係に知られたくない場合はどうすればよいでしょうか？」と述べた。

この記事では、匿名性の技術的側面、つまり匿名性がどのように実現されるかを見て、最も一般的な方法とその長所と短所の概要を説明します。

現在、匿名取引を可能にするブロックチェーンが約 XNUMX 個あります。 同時に、送金の匿名性が必須である場合もあれば、オプションである場合もあり、宛先と受取人のみを非表示にする場合もあれば、送金金額さえ第三者に見られることを許可しない場合もあります。 私たちが検討しているほぼすべてのテクノロジーは完全な匿名性を提供しており、外部の観察者は残高、受取人、取引履歴のいずれも分析できません。 しかし、匿名性へのアプローチの進化を追跡するために、この分野の先駆者の XNUMX 人からレビューを始めましょう。

現在存在する匿名化技術は、使用されるコインがブロックチェーン上の他のコインと混合される混合に基づく技術と、多項式に基づく証明を使用する技術の XNUMX つのグループに大別できます。 次に、これらのグループのそれぞれに焦点を当て、その長所と短所を検討します。

混練ベース

コインジョイン

コインジョイン ユーザーの翻訳は匿名化されませんが、追跡が複雑になるだけです。 しかし、これはビットコインネットワーク上のトランザクションの機密性レベルを高める最初の試みの XNUMX つであるため、このテクノロジーをレビューに含めることにしました。 このテクノロジーはそのシンプルさが魅力であり、ネットワークのルールを変更する必要がないため、多くのブロックチェーンで簡単に使用できます。

これは単純なアイデアに基づいています。ユーザーが XNUMX 回の取引でチップインして支払いを行ったらどうなるでしょうか? アーノルド・シュワルツェネッガーとバラク・オバマが協力し、XNUMX回の取引でチャーリー・シーンとドナルド・トランプにXNUMX回の支払いを行った場合、アーノルドとバラク、誰がトランプの選挙運動に資金を提供したのかを理解するのはさらに困難になることが判明した。

しかし、CoinJoin の主な利点の一方で、セキュリティが弱いという主な欠点も生じます。 現在、ネットワーク内の CoinJoin トランザクションを識別し、使用されたコインの量と生成されたコインの量を比較することによって、一連の入力と一連の出力を照合する方法がすでに存在します。 このような分析のためのツールの例は次のとおりです。 コイン数独に参加する.

長所：

• シンプルさ

短所：

•実証済みのハッキング可能性

Monero

「匿名暗号通貨」という言葉を聞いて最初に連想するのはMoneroです。 このコイン 証明した 諜報機関の顕微鏡下でのその安定性とプライバシー:

彼の最近の記事の一つでは、 物品 Monero プロトコルについて詳しく説明しましたが、今日はこれまでに述べたことを要約します。

Monero プロトコルでは、トランザクションで消費される各出力は、ブロックチェーンからの少なくとも 11 (執筆時点) のランダム出力と混合されるため、ネットワークの転送グラフが複雑になり、トランザクションを追跡するタスクが計算的に複雑になります。 混合エントリーはリング署名で署名され、混合コインのいずれかの所有者によって署名が提供されたことが保証されますが、誰であるかを特定することはできません。

受信者を隠すために、新たに生成された各コインはワンタイム アドレスを使用するため、観察者が出力をパブリック アドレスに関連付けることは (もちろん、暗号化キーを解読するのと同じくらい困難です) 不可能になります。 そして 2017 年 XNUMX 月以降、Monero はこのプロトコルのサポートを開始しました。 機密トランザクション (CT) にいくつかの追加を加えて、転送金額も隠します。 少し後、暗号通貨開発者はボロメアンの署名を防弾に置き換え、それによってトランザクションのサイズを大幅に削減しました。

長所：

• 実績ある
• 比較的シンプル

短所：

• プルーフの生成と検証は、ZK-SNARK および ZK-STARK よりも遅い
• 量子コンピュータを使用したハッキン​​グに耐性がない

ミンブルウィンブル

Mimblewimble (MW) は、ビットコイン ネットワーク上の転送を匿名化するためのスケーラブルなテクノロジーとして発明されましたが、その実装は独立したブロックチェーンとして確立されました。 暗号通貨で使用される グリン и BEAM.

MW が注目に値するのは、パブリック アドレスがなく、トランザクションを送信するためにユーザーが出力を直接交換するため、外部の観察者が受信者から受信者への転送を分析する機能がなくなることです。

入力と出力の合計を隠すために、2015 年に Greg Maxwell によって提案された非常に一般的なプロトコルが使用されます。 機密トランザクション (CT)。 つまり、金額は暗号化されています（むしろ、暗号化されています）。 コミットメントスキーム）、その代わりにネットワークはいわゆるコミットメントで動作します。 トランザクションが有効であるとみなされるには、使用されたコインの量と生成されたコインの量にコミッションを加えた額が等しくなる必要があります。 ネットワークは数値を直接操作しないため、これらの同じコミットメントの方程式を使用して平等性が保証されます。これはゼロへのコミットメントと呼ばれます。

オリジナルの CT では、値の非負性を保証する (いわゆる範囲証明) ために、ブロックチェーン内で多くのスペース (出力ごとに約 6 キロバイト) を占めるボロメアン署名 (ボロメアン リング署名) が使用されていました。 ）。 この点に関して、この技術を使用した匿名通貨の欠点には、取引規模が大きいことが含まれていましたが、現在では、よりコンパクトな技術であるBulletproofsを支持して、これらの署名を放棄することを決定しました。

MW ブロック自体にはトランザクションの概念はなく、その中で消費および生成される出力のみがあります。 取引はありません - 問題ありません。

トランザクションをネットワークに送信する段階で転送参加者の匿名化を防ぐために、プロトコルが使用されます。 タンポポこれは、実際にすべての参加者にトランザクションを配布する前に、トランザクションを相互に送信する任意の長さのネットワーク プロキシ ノードのチェーンを使用し、ネットワークに入るトランザクションの軌跡を難読化します。

長所：

• ブロックチェーンのサイズが小さい
• 比較的シンプル

短所：

• プルーフの生成と検証は、ZK-SNARK および ZK-STARK よりも遅い
• スクリプトやマルチ署名などの機能のサポートは実装が難しい
• 量子コンピュータを使用したハッキン​​グに耐性がない

多項式の証明

ZK-SNARK

このテクノロジーの複雑な名前は、「ゼロ知識 Succinct Non-Interactive Argument of Knowledge」は、「簡潔な非対話型ゼロ知識証明」と訳せます。 これはゼロコイン プロトコルの継続となり、さらにゼロキャッシュに進化し、最初に暗号通貨 Zcash に実装されました。

一般に、ゼロ知識証明では、ある当事者が数学的記述の真実性を、それに関する情報を一切開示することなく、別の当事者に証明することができます。 暗号通貨の場合、このような方法は、たとえば、送金金額を開示せずに、トランザクションが消費した以上のコインを生成していないことを証明するために使用されます。

ZK-SNARKs は理解するのが非常に難しく、その仕組みを説明するには複数の記事が必要になります。 このプロトコルを実装した最初の通貨である Zcash の公式ページでは、その動作の説明が次のように書かれています。 7件の記事。 したがって、この章では表面的な説明のみに限定します。

ZK-SNARKs は、代数多項式を使用して、支払いの送信者が使用しているコインを所有していること、および使用されたコインの量が生成されたコインの量を超えないことを証明します。

このプロトコルは、ステートメントの有効性の証明のサイズを削減し、同時にそれを迅速に検証することを目的として作成されました。 はい、によると プレゼンテーション Zoko Wilcox 氏 (Zcash の CEO) によると、証明サイズはわずか 200 バイトで、その正しさは 10 ミリ秒で検証できます。 さらに、Zcash の最新バージョンでは、開発者はプルーフの生成時間を約 XNUMX 秒に短縮することに成功しました。

ただし、この技術を使用する前に、「セレモニー」と呼ばれる、「公開パラメータ」の複雑な信頼できる設定手順が必要です（式典）。 全体的な問題は、これらのパラメータのインストール中に、どちらの当事者にも「有害な廃棄物」と呼ばれる秘密鍵が残されていないことです。そうでないと、新しいコインを生成できてしまいます。 この手順がどのように行われるかについては、次のビデオをご覧ください。 YouTube.

長所：

• 証拠サイズが小さい
• 迅速な検証
• 比較的高速なプルーフ生成

短所：

• パブリックパラメータを設定するための複雑な手順
• 有毒廃棄物
• テクノロジーの相対的な複雑さ
• 量子コンピュータを使用したハッキン​​グに耐性がない

ZK-STARK

最後の XNUMX つのテクノロジーの作成者は頭字語を使うのが上手で、次の頭字語は「Zero-Knowledge Scalable Transparent ARguments of Knowledge」を表します。 この方法は、当時の ZK-SNARK の既存の欠点、つまり信頼できる公開パラメータ設定の必要性、有毒廃棄物の存在、量子アルゴリズムを使用したハッキン​​グに対する暗号の不安定性、および不十分な速さの証明生成を解決することを目的としていました。 ただし、ZK-SNARK の開発者は最後の欠点に対処しました。

ZK-STARK は多項式ベースの証明も使用します。 このテクノロジーは公開キー暗号化を使用せず、代わりにハッシュと送信理論に依存します。 これらの暗号化手段を排除することで、この技術は量子アルゴリズムに耐性を持つようになります。 しかし、これには代償が伴います。証明のサイズは数百キロバイトに達する可能性があります。

現在、ZK-STARK はどの暗号通貨にも実装されておらず、ライブラリとしてのみ存在します。 リブスターク。 しかし、開発者たちはブロックチェーンをはるかに超える計画を持っています（ ホワイトペーパー 著者らは、警察のデータベースにある DNA の証拠の例を挙げています)。 この目的のために作成されました スタークウェア・インダストリーズ、2018年末に集めた 36万円 業界最大手の企業からの投資。

ZK-STARK がどのように機能するかについて詳しくは、Vitalik Buterin の投稿 (パート1, パート2, パート3).

長所：

• 量子コンピュータによるハッキングへの耐性
• 比較的高速なプルーフ生成
• 比較的迅速な証明検証
• 有毒廃棄物なし

短所：

• テクノロジーの複雑さ
• 大きなプルーフサイズ

まとめ

ブロックチェーンと匿名性への需要の高まりにより、暗号化に対する新たな需要が生じています。 このように、1980 年代半ばに始まった暗号の分野であるゼロ知識証明は、わずか数年のうちに動的に発展する新しい手法で補充されました。

このように、科学的思考の変遷により CoinJoin は時代遅れとなり、MimbleWimble はかなり新鮮なアイデアを持つ有望な新参者となりました。 Monero は、私たちのプライバシーを守る上で揺るぎない巨人であり続けます。 そして、SNARKとSTARKは、欠点はあるものの、この分野のリーダーになれる可能性があります。 おそらく、今後数年のうちに、各テクノロジーの「短所」欄で示した点は意味をなさなくなるでしょう。

出所： habr.com