Konfidenciāli darījumi Monero jeb kā pārsūtīt nezināmas lietas uz nezināmiem galamērķiem

Mēs turpinām sēriju par Monero blokķēdi, un šodienas raksts koncentrēsies uz RingCT (Ring Confidential Transactions) protokolu, kas ievieš konfidenciālus darījumus un jaunus gredzena parakstus. Diemžēl internetā ir maz informācijas par to, kā tas darbojas, un mēs centāmies šo robu aizpildīt.

Mēs runāsim par to, kā tīkls slēpj pārsūtīšanas summas, izmantojot šo protokolu, kāpēc viņi atteicās no klasiskajiem kriptonotes gredzena parakstiem un kā šī tehnoloģija attīstīsies tālāk.

Tā kā šis protokols ir viena no vissarežģītākajām Monero tehnoloģijām, lasītājam būs nepieciešamas pamatzināšanas par šīs blokķēdes dizainu un garām ejošām zināšanām par eliptiskās līknes kriptogrāfiju (lai papildinātu šīs zināšanas, varat izlasīt mūsu grāmatas pirmās nodaļas iepriekšējais raksts par vairāki paraksti).

RingCT protokols

Viens no iespējamiem uzbrukumiem kriptonotu valūtām ir blokķēdes analīze, kuras pamatā ir zināšanas par nosūtītā darījuma apjomu un laiku. Tas ļauj ievērojami sašaurina meklēšanas apgabalu, lai atrastu uzbrucēju interesējošās izejas. Lai aizsargātu pret šādu analīzi, Monero ir ieviesis anonīmu transakciju protokolu, kas pilnībā slēpj pārskaitījumu apjomu tīklā.

Ir vērts atzīmēt, ka ideja par summu slēpšanu nav jauna. Bitcoin Core izstrādātājs Gregs Maksvels bija viens no pirmajiem, kas to aprakstīja savā pants Konfidenciāli darījumi. Pašreizējā RingCT ieviešana ir tās modifikācija ar iespēju izmantot zvana parakstus (neatkarīgi no tā, vai bez tiem), un tāpēc tas ieguva savu nosaukumu - Ring Confidential Transactions.

Cita starpā, protokols palīdz atbrīvoties no problēmām, kas saistītas ar putekļu izvades sajaukšanu - neliela apjoma izvadi (parasti tiek saņemti darījumu izmaiņu veidā), kas radīja vairāk problēmu, nekā bija vērts.

2017. gada janvārī notika Monero tīkla hard fork, kas ļāva pēc izvēles izmantot konfidenciālus darījumus. Un jau tā paša gada septembrī ar 6. versiju hard fork šādi darījumi kļuva par vienīgajiem tīklā atļautajiem.

RingCT vienlaikus izmanto vairākus mehānismus: daudzslāņu saistītus spontānos anonīmos grupu parakstus (Multlayered Linkable Spontaneous Anonymous Group Signature, turpmāk tekstā MLSAG), saistību shēmu (Pedersen Commitments) un diapazona pierādījumus (šim terminam nav noteikta tulkojuma krievu valodā). .

RingCT protokols ievieš divu veidu anonīmus darījumus: vienkāršus un pilnus. Maks pirmo ģenerē, ja darījumam tiek izmantots vairāk nekā viens ievades veids, otro - pretējā situācijā. Tie atšķiras ar darījumu summu apstiprināšanu un datiem, kas parakstīti ar MLSAG parakstu (par to mēs runāsim tālāk). Turklāt pilna tipa transakcijas var ģenerēt ar jebkādu ievades skaitu, nav būtiskas atšķirības. Grāmatā "No nulles līdz Monero" Šajā sakarā tiek teikts, ka lēmums ierobežot pilna apjoma darījumus ar vienu ievadi tika pieņemts steigā un nākotnē var mainīties.

MLSAG paraksts

Atcerēsimies, kas ir parakstīto darījumu ievades. Katrs darījums tērē un rada zināmus līdzekļus. Līdzekļu ģenerēšana notiek, izveidojot darījuma rezultātus (tieša analoģija ir rēķini), un izvade, ko darījums iztērē (galu galā, reālajā dzīvē mēs tērējam banknotes), kļūst par ievadi (esiet piesardzīgs, ir ļoti viegli apjukt šeit).

Ievade atsaucas uz vairākām izejām, bet tērē tikai vienu, tādējādi radot “dūmu ekrānu”, kas apgrūtina tulkošanas vēstures analīzi. Ja darījumam ir vairāk nekā viena ievade, tad šādu struktūru var attēlot kā matricu, kur rindas ir ievades, bet kolonnas ir jauktās izejas. Lai pierādītu tīklam, ka darījums iztērē tieši tā izvadi (zina to slepenās atslēgas), ievades tiek parakstītas ar zvana parakstu. Šāds paraksts garantē, ka parakstītājs zināja slepenās atslēgas visiem jebkuras kolonnas elementiem.

Konfidenciālajos darījumos vairs neizmanto klasiskos darījumus kriptonote zvana paraksti, tie tika aizstāti ar MLSAG — līdzīgu viena slāņa zvana parakstu versiju, kas pielāgota vairākām ievadēm, LSAG.

Tos sauc par daudzslāņu, jo tie vienlaikus paraksta vairākas ievades, no kurām katra ir sajaukta ar vairākām citām, t.i., tiek parakstīta matrica, nevis viena rinda. Kā redzēsim vēlāk, tas palīdz ietaupīt paraksta lielumu.

Apskatīsim, kā veidojas gredzena paraksts, izmantojot transakcijas piemēru, kurā tiek iztērēti 2 reāli izvadi un miksēšanai tiek izmantoti m - 1 nejauši no blokķēdes. Apzīmēsim izejas publiskās atslēgas, kuras mēs iztērējam
un attiecīgi galvenos attēlus: Tādējādi mēs iegūstam lieluma matricu 2 x m. Pirmkārt, mums ir jāaprēķina tā sauktie izaicinājumi katram rezultātu pārim:

Mēs sākam aprēķinus ar izejām, kuras iztērējam, izmantojot to publiskās atslēgas:un nejauši skaitļiRezultātā mēs iegūstam šādas vērtības:
, ko mēs izmantojam izaicinājuma aprēķināšanai
nākamais izvadu pāris (lai būtu vieglāk saprast, ko mēs kur aizstājam, mēs esam izcēluši šīs vērtības dažādās krāsās). Visas tālāk norādītās vērtības tiek aprēķinātas aplī, izmantojot pirmajā attēlā norādītās formulas. Pēdējā lieta, kas jāaprēķina, ir izaicinājums reālu rezultātu pārim.

Kā redzam, visās kolonnās, izņemot to, kas satur reālus izvadus, tiek izmantoti nejauši ģenerēti skaitļi. Par π- kolonna mums arī būs vajadzīgas. Pārveidosims:
Pats paraksts ir visu šo vērtību kopums:

Pēc tam šie dati tiek ierakstīti darījumā.

Kā redzam, MLSAG satur tikai vienu izaicinājumu c0, kas ļauj ietaupīt uz paraksta lielumu (kas jau prasa daudz vietas). Turklāt jebkurš inspektors, kurš izmanto datus, atjauno vērtības c1,…, cm un pārbauda to. Tādējādi mūsu gredzens ir aizvērts un paraksts ir pārbaudīts.

Pilna veida RingCT transakcijām matricai tiek pievienota vēl viena rinda ar jauktiem izvadiem, taču par to mēs runāsim tālāk.

Pedersena saistības

Saistību shēmas (biežāk tiek lietots angļu valodas termins saistības) tiek lietoti, lai viena puse varētu pierādīt, ka zina noteiktu noslēpumu (skaitli), to faktiski neatklājot. Piemēram, jūs metat uz kauliņa noteiktu skaitli, apsverat saistības un nododat to verifikācijas pusei. Tādējādi slepenā numura izpaušanas brīdī verificētājs patstāvīgi aprēķina saistības, tādējādi pārliecinoties, ka jūs viņu neesat maldinājis.

Monero saistības tiek izmantotas, lai slēptu pārskaitījumu summas un izmantotu izplatītāko variantu - Pedersen saistības. Starp citu, interesants fakts - sākumā izstrādātāji ierosināja summas slēpt ar parastu sajaukšanu, tas ir, pievienot izejas patvaļīgām summām, lai ieviestu nenoteiktību, bet pēc tam pārgāja uz saistībām (tas nav fakts, ka ietaupīja darījuma lielums, kā mēs redzēsim tālāk).
Kopumā apņemšanās izskatās šādi:
Kur C — pašas saistības nozīme, a - slēptā summa, H ir fiksēts punkts eliptiskajā līknē (papildu ģenerators), un x — kaut kāda patvaļīga maska, nejauši ģenerēts slēpšanas faktors. Maska šeit ir vajadzīga, lai trešā persona nevarētu vienkārši uzminēt saistību vērtību.

Kad tiek ģenerēta jauna izvade, maciņš par to aprēķina saistības, un, iztērējot, tas ņem vai nu ģenerēšanas laikā aprēķināto vērtību, vai pārrēķina to atkarībā no darījuma veida.

RingCT vienkāršs

Vienkāršu RingCT darījumu gadījumā, lai nodrošinātu, ka darījums radīja izejas, kas vienādas ar ievades apjomu (nauda netika radīta no zila gaisa), ir nepieciešams, lai pirmā un otrā saistību summa būtu tas pats, tas ir:

Saistību komisijas to uzskata nedaudz savādāk - bez maskas:
Kur a — komisijas maksas apmērs, tas ir publiski pieejams.

Šī pieeja ļauj mums pierādīt ieinteresētajai pusei, ka izmantojam tādas pašas summas, tās neatklājot.

Lai lietas būtu skaidrākas, apskatīsim piemēru. Pieņemsim, ka darījumam tiek iztērēti divi izvadi (tas nozīmē, ka tie kļūst par ievadi) 10 un 5 XMR un tiek ģenerēti trīs izvadi 12 XMR vērtībā: 3, 4 un 5 XMR. Tajā pašā laikā viņš maksā komisijas maksu 3 XMR. Tādējādi iztērētā naudas summa plus ģenerētā summa un komisijas maksa ir vienāda ar 15 XMR. Mēģināsim aprēķināt saistības un apskatīt to summu atšķirību (atcerieties matemātiku):

Šeit mēs redzam, ka, lai vienādojums konverģētu, mums ir nepieciešams, lai ievades un izvades masku summa būtu vienāda. Lai to izdarītu, maku ģenerē nejauši x1, y1, y2 un y3, un pārējās x2 aprēķina šādi:

Izmantojot šīs maskas, mēs varam pierādīt jebkuram pārbaudītājam, ka mēs neradām vairāk līdzekļu, nekā iztērējam, neatklājot summu. Oriģināls, vai ne?

RingCT pilns

Pilnos RingCT darījumos pārskaitījuma summu pārbaude ir nedaudz sarežģītāka. Šajos darījumos maciņš neveic ieguldījumu saistību pārrēķinu, bet izmanto tās, kas aprēķinātas to ģenerēšanas laikā. Šajā gadījumā mums ir jāpieņem, ka mēs vairs neiegūsim starpību starp summām, kas vienādas ar nulli, bet gan:

Šeit z — atšķirība starp ievades un izvades maskām. Ja mēs uzskatām zG kā publisko atslēgu (kas tā de facto ir), tad z ir privātā atslēga. Tādējādi mēs zinām publiskās un atbilstošās privātās atslēgas. Izmantojot šos datus, mēs varam tos izmantot MLSAG gredzena parakstā kopā ar jaukto izeju publiskajām atslēgām:

Tādējādi derīgs zvana paraksts nodrošinās, ka mēs zinām visas vienas kolonnas privātās atslēgas, un mēs varam zināt tikai privāto atslēgu pēdējā rindā, ja darījums nerada vairāk līdzekļu, nekā tas tērē. Starp citu, šeit ir atbilde uz jautājumu "kāpēc saistību apmēru starpība nenoved līdz nullei" - ja zG = 0, tad mēs paplašināsim kolonnu ar reāliem rezultātiem.

Kā līdzekļu saņēmējs zina, cik naudas viņam ir nosūtīts? Šeit viss ir vienkārši - darījuma sūtītājs un saņēmējs apmainās ar atslēgām, izmantojot Diffie-Hellman protokolu, izmantojot transakcijas atslēgu un saņēmēja skata atslēgu un aprēķina kopīgo noslēpumu. Sūtītājs ieraksta datus par izvades summām, kas šifrētas ar šo koplietoto atslēgu, speciālajos darījuma laukos.

Diapazona pierādījumi

Kas notiek, ja kā saistību summu izmantosiet negatīvu skaitli? Tas var novest pie papildu monētu ģenerēšanas! Šāds iznākums ir nepieņemams, tāpēc mums ir jāgarantē, lai summas, kuras mēs izmantojam, nebūtu negatīvas (protams, neatklājot šīs summas, pretējā gadījumā ir tik daudz darba un viss velti). Citiem vārdiem sakot, mums jāpierāda, ka summa ir intervālā [0, 2n - 1].

Lai to izdarītu, katras izvades summa tiek sadalīta bināros ciparos, un saistības tiek aprēķinātas katram ciparam atsevišķi. Labāk ir redzēt, kā tas notiek, izmantojot piemēru.

Pieņemsim, ka mūsu summas ir mazas un iekļaujas 4 bitos (praksē tas ir 64 biti), un mēs izveidojam izvadi 5 XMR vērtībā. Mēs aprēķinām saistības katrai kategorijai un kopējās saistības visai summai:
Tālāk katra apņemšanās tiek sajaukta ar surogātu (Ci-2iH) un ir parakstīts pa pāriem ar Borromeo gredzena parakstu (citu gredzena parakstu), ko 2015. gadā ierosināja Gregs Maksvels (par to varat lasīt vairāk šeit):
Kopumā to sauc par diapazona pārbaudi, un tas ļauj nodrošināt, ka saistībās tiek izmantotas diapazona summas [0, 2n - 1].

Ko tālāk?

Pašreizējā ieviešanā diapazona pierādījumi aizņem daudz vietas - 6176 baiti uz vienu izvadi. Tas rada lielākus darījumus un līdz ar to arī augstākas maksas. Lai samazinātu Monero darījuma apjomu, izstrādātāji Borromeo parakstu vietā ievieš ložu necaurlaidīgus mehānismus — diapazona pārbaudes mehānismu bez bitu līmeņa saistībām. Pēc dažām aplēsēm, tie spēj samazināt diapazona pierādījumu lielumu līdz pat 94%. Starp citu, jūlija vidū tehnoloģija pagāja audits no Kudelski Security, kas neatklāja būtiskus trūkumus ne pašā tehnoloģijā, ne tās ieviešanā. Tehnoloģija jau tiek izmantota testa tīklā, un ar jauno cieto dakšu, iespējams, tā var pāriet uz galveno tīklu.

Uzdodiet savus jautājumus, iesakiet tēmas jauniem rakstiem par tehnoloģijām kriptovalūtas jomā, kā arī abonējiet mūsu grupu Facebooklai būtu lietas kursā par mūsu notikumiem un publikācijām.

Avots: www.habr.com