Monero での機密取引、または未知のものを未知の宛先に転送する方法

Monero ブロックチェーンに関するシリーズを続けますが、今日の記事では、機密トランザクションと新しいリング署名を導入する RingCT (Ring Confidential Transactions) プロトコルに焦点を当てます。 残念ながら、インターネット上にはその仕組みに関する情報がほとんどなく、私たちはこのギャップを埋めようと努めました。

ネットワークがこのプロトコルを使用して転送量をどのように隠すか、なぜ古典的な暗号通貨のリング署名を放棄したのか、そしてこのテクノロジーがさらにどのように発展するかについてお話します。

このプロトコルは Monero で最も複雑なテクノロジーの XNUMX つであるため、読者にはこのブロックチェーンの設計に関する基本的な知識と、楕円曲線暗号に関するある程度の知識が必要です (この知識をさらに磨き上げるには、本書の最初の章を読むことができます)についての以前の記事 マルチシグネチャ).

RingCTプロトコル

暗号通貨に対する考えられる攻撃の XNUMX つは、送信されたトランザクションの金額と時刻の情報に基づくブロックチェーン分析です。 これにより、 攻撃者が関心のある出口の検索エリアを大幅に狭めます。 このような分析から保護するために、Monero はネットワーク上の転送量を完全に隠す匿名トランザクション プロトコルを実装しました。

金額を隠すという考えは新しいものではないことは注目に値します。 ビットコインコア開発者のグレッグ・マクスウェルは、ビットコインコアについて著書で最初に説明した人の一人です。 記事 機密取引。 RingCT の現在の実装は、リング署名 (なしでも) を使用できるように変更されており、それが Ring Confidential Transactions という名前の由来です。

とりわけ、このプロトコルは、価値以上に多くの問題を引き起こした、少量の出力（通常は取引からのつり銭の形で受け取る）であるダスト出力の混合に関する問題を取り除くのに役立ちます。

2017 年 6 月に Monero ネットワークのハードフォークが行われ、機密トランザクションのオプションの使用が可能になりました。 そしてすでに同年の XNUMX 月には、バージョン XNUMX のハード フォークにより、そのようなトランザクションがネットワーク上で許可される唯一のものになりました。

RingCT は、複数のメカニズムを同時に使用します。多層リンクされた自発的匿名グループ署名 (Multilayered Linkable Spontaneous Anonymous Group Signature、以下 MLSAG と呼びます)、コミットメント スキーム (Pedersen Commitments)、および範囲証明 (この用語にはロシア語への翻訳が確立されていません)。 。

RingCT プロトコルでは、シンプル トランザクションとフル トランザクションという XNUMX 種類の匿名トランザクションが導入されています。 トランザクションで複数の入力が使用される場合、ウォレットは最初の入力を生成し、その逆の場合には XNUMX 番目の入力を生成します。 これらは、取引金額の検証と MLSAG 署名で署名されたデータの点で異なります (これについては後で詳しく説明します)。 さらに、完全なタイプのトランザクションは任意の数の入力で生成でき、基本的な違いはありません。 本の中で 「ゼロからモネロ」 この点、完全なトランザクションを XNUMX つの入力に制限するという決定は急いで行われたものであり、将来変更される可能性があると言われています。

MLSAG署名

署名付きトランザクション入力とは何かを思い出してみましょう。 各トランザクションでは、いくらかの資金が消費され、生成されます。 資金の生成はトランザクションのアウトプット (直接的な例としては紙幣) を作成することによって発生し、トランザクションで消費されるアウトプット (結局のところ、現実の生活では紙幣を使います) がインプットになります (非常に混乱しやすいので注意してください)ここ）。

入力は複数の出力を参照しますが、使用されるのは XNUMX つだけであるため、「煙幕」が作成され、翻訳履歴の分析が困難になります。 トランザクションに複数の入力がある場合、そのような構造は行列として表すことができます。行は入力、列は混合出力です。 トランザクションが出力を正確に使用する (秘密鍵を知っている) ことをネットワークに証明するために、入力はリング署名で署名されます。 このような署名により、署名者がいずれかの列のすべての要素の秘密鍵を知っていることが保証されます。

機密トランザクションでは従来のトランザクションは使用されなくなりました クリプトノート リング署名は、複数の入力に適合した同様の単層リング署名のバージョンである MLSAG に置き換えられました。 LSAG.

これらは一度に複数の入力に署名し、それぞれが他の入力と混合されるため、多層と呼ばれます。つまり、XNUMX 行ではなく行列が署名されます。 後で説明しますが、これは署名のサイズを節約するのに役立ちます。

2 つの実際の出力を消費し、ブロックチェーンからの m - 1 個のランダムな出力を混合に使用するトランザクションの例を使用して、リング署名がどのように形成されるかを見てみましょう。 私たちが費やす出力の公開鍵を次のように表します。
、それに応じてキー画像も追加します。 したがって、サイズの行列が得られます。 2×m。 まず、出力の各ペアのいわゆるチャレンジを計算する必要があります。

出力から計算を開始し、公開キーを使用して計算を開始します。そして乱数結果として、次の値が得られます。
、チャレンジの計算に使用します
次の出力のペア (何をどこに置き換えているかを理解しやすくするために、これらの値を異なる色で強調表示しています)。 次のすべての値は、最初の図に示されている式を使用して円で計算されます。 最後に計算するのは、実際の出力のペアに対する課題です。

ご覧のとおり、実際の出力を含む列を除くすべての列は、ランダムに生成された数値を使用します。。 のために π- 列も必要になります。 変身しましょうs:
署名自体は、次のすべての値のタプルです。

このデータはトランザクションに書き込まれます。

ご覧のとおり、MLSAG には課題が XNUMX つだけ含まれています c0これにより、署名のサイズを節約できます (すでに多くのスペースが必要です)。 さらに、検査官はデータを使用して、、値 c1、…、cm を復元し、それを確認します。。 したがって、リングは閉じられ、署名が検証されました。

フルタイプの RingCT トランザクションの場合、混合出力を含むマトリックスにもう XNUMX 行が追加されますが、これについては以下で説明します。

Pedersenのコミットメント

義務制度 （英語ではコミットメントという用語がよく使われます）は、一方の当事者が特定の秘密（数字）を実際に明かさずに知っていることを証明できるようにするために使用されます。 たとえば、サイコロで特定の数字を振り、コミットメントを考慮して、それを検証当事者に渡します。 したがって、秘密番号を開示する瞬間に、検証者は独自にコミットメントを計算し、それによってあなたが彼を騙していないことを確認します。

Monero コミットメントは、送金金額を隠し、最も一般的なオプションである Pedersen コミットメントを使用するために使用されます。 ちなみに、興味深い事実 - 開発者は当初、通常の混合によって金額を隠すこと、つまり不確実性を導入するために任意の量の出力を追加することを提案しましたが、その後コミットメントに切り替えました（コストを節約したという事実はありません）以下で説明するように、トランザクション サイズ)。
一般に、コミットメントは次のようになります。
どこ C — コミットメントそのものの意味、 a - 隠された金額、 H は楕円曲線上の固定点 (追加のジェネレーター)、そして x — ある種の任意のマスク、ランダムに生成された隠蔽要素。 ここでマスクが必要になるのは、第三者がコミットメントの価値を簡単に推測できないようにするためです。

新しい出力が生成されると、ウォレットはそのコミットメントを計算し、使用されると、トランザクションのタイプに応じて、生成中に計算された値を取得するか、再計算します。

リングCTシンプル

単純な RingCT トランザクションの場合、トランザクションがインプットの量と同じ量のアウトプットを確実に作成する (何もないところからお金を生み出すわけではない) ためには、最初と XNUMX 番目のトランザクションのコミットメントの合計がそれらは同じである、つまり:

コミットメント委員会は、マスクなしではこれを少し異なる方法で検討します。
どこ a — 手数料の金額は公開されています。

このアプローチにより、信頼当事者に対して、開示することなく同じ量を使用していることを証明することができます。

わかりやすくするために、例を見てみましょう。 トランザクションが 10 XMR と 5 XMR の 12 つの出力 (つまり、入力になる) を消費し、3 XMR に相当する 4 つの出力 (5、3、および 15 XMR) を生成するとします。 同時に、XNUMX XMR の手数料を支払います。 したがって、使用された金額と生成された金額および手数料を足した金額は XNUMX XMR に等しくなります。 コミットメントを計算して、その金額の違いを見てみましょう (計算を思い出してください)。

ここで、方程式が収束するには、入力マスクと出力マスクの合計が同じである必要があることがわかります。 これを行うために、ウォレットはランダムに x1、y1、y2、y3、そして残りの x2 次のように計算します。

これらのマスクを使用すると、金額を開示することなく、支出以上の資金を生み出していないことを検証者に証明できます。 オリジナルですよね？

リングCTフル

完全な RingCT トランザクションでは、転送金額の確認は少し複雑になります。 これらのトランザクションでは、ウォレットは入力のコミットメントを再計算せず、生成時に計算されたコミットメントを使用します。 この場合、ゼロに等しい合計の差は得られなくなり、代わりに次のようになると想定する必要があります。

それは z — 入力マスクと出力マスクの違い。 考えてみると zG 公開鍵として (事実上これが)、 z は秘密鍵です。 したがって、公開鍵と対応する秘密鍵がわかります。 このデータを入手すると、混合される出力の公開鍵とともに MLSAG リング署名で使用できます。

したがって、有効なリング署名により、列の XNUMX つのすべての秘密鍵を確実に知ることができ、トランザクションが消費した資金を超える資金を生成しない場合にのみ、最後の行の秘密鍵を知ることができます。 ちなみに、「なぜコミットメント金額の差がゼロにならないのか」という質問に対する答えは次のとおりです。 zG = 0, 次に、実際の出力を含む列を展開します。

資金の受取人は、自分に送金された金額をどのようにして知るのでしょうか? ここではすべてが簡単です。トランザクションの送信者と受信者は、トランザクション キーと受信者のビュー キーを使用して Diffie-Hellman プロトコルを使用してキーを交換し、共有秘密を計算します。 送信者は、この共有キーで暗号化された出力金額に関するデータをトランザクションの特別なフィールドに書き込みます。

レンジプルーフ

コミットメントの金額として負の数値を使用するとどうなりますか? これにより、追加のコインが生成される可能性があります。 この結果は容認できないため、使用する金額がマイナスではないことを保証する必要があります（もちろん、これらの金額は公開せずに、そうでないと非常に多くの作業が行われ、すべてが無駄になります）。 言い換えれば、合計が区間内にあることを証明する必要があります。 [0, 2n - 1].

これを行うには、各出力の合計が XNUMX 進数に分割され、コミットメントが各桁ごとに個別に計算されます。 これがどのように起こるかを例で見てみるとよいでしょう。

量が小さく、4 ビット (実際には 64 ビット) に収まると仮定し、5 XMR に相当する出力を作成します。 カテゴリごとのコミットメントと、金額全体の合計コミットメントを計算します。
次に、各コミットメントがサロゲートと混合されます。 (Ci-2iH) 2015 年にグレッグ・マックスウェルによって提案されたボロメオ リング シグネチャ (別のリング シグネチャ) とペアで署名されています (詳細についてはこちらをご覧ください) ここで):
まとめると、これは範囲証明と呼ばれ、コミットメントで範囲内の金額が使用されていることを確認できます。 [0, 2n - 1].

次は何ですか？

現在の実装では、範囲証明は多くのスペース (出力ごとに 6176 バイト) を占有します。 これにより、取引の規模が大きくなり、手数料も高くなります。 Monero トランザクションのサイズを削減するために、開発者は Borromeo 署名の代わりに、ビットごとのコミットメントを必要としない範囲証明メカニズムである防弾機構を導入しています。 いくつかの推定によると、レンジプルーフのサイズを最大 94% 削減することができます。 ちなみに、XNUMX月中旬に技術が通過しました 監査 Kudelski Security によると、テクノロジー自体にもその実装にも重大な欠点はありませんでした。 このテクノロジーはすでにテスト ネットワークで使用されており、新しいハード フォークにより、おそらくメイン ネットワークに移行できるでしょう。

質問をしたり、暗号通貨分野のテクノロジーに関する新しい記事のトピックを提案したり、グループに登録したりしてください。 Facebookイベントや出版物の最新情報を入手するため。

出所： habr.com