Laboratorium Badawcze Monero

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Abstrakt: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.

Abstrakt: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.

Abstrakt: We demonstrate that a version of non-slanderability is a natural definition of unforgeability for linkable ring signatures. We present a linkable ring signature construction with concise signatures and multi-dimensional keys that is linkably anonymous if a variation of the decisional Diffie-Hellman problem with random oracles is hard, linkable if key aggregation is a one-way function, and non-slanderable if a one-more variation of the discrete logarithm problem is hard. We remark on some applications in signer-ambiguous confidential transaction models without trusted setup.

Abstrakt: This technical note describes an algorithm used to prove knowledge of the same discrete logarithm across different groups. The scheme expresses the common value as a scalar representation of bits, and uses a set of ring signatures to prove each bit is a valid value that is the same (up to an equivalence) across both scalar groups.

Abstrakt: We present threshold ring multi-signatures (thring signatures) for collaborative computation of ring signatures, present a game of existential forgery for thring signatures, and discuss uses of thring signatures in digital currencies that include spender-ambiguous cross-chain atomic swaps for confidential amounts without a trusted setup. We present an implementation of thring signatures that we call linkable spontaneous threshold anonymous group signatures, and prove the implementation existentially unforgeable.

Abstrakt: This bulletin describes a modification to Monero's linkable ring signature scheme that permits dual-key outputs as ring members. Key images are tied to both output one-time public keys in a dual, preventing both keys in that transaction from being spent separately. This method has applications to non-interactive refund transactions. We discuss the security implications of the scheme.

Abstrakt: This technical note generalizes the concept of spend outputs using basic set theory. The definition captures a variety of earlier work on identifying such outputs. We quantify the effects of this analysis on the Monero blockchain and give a brief overview of mitigations.

Abstrakt: Users of the Monero cryptocurrency who wish to reuse wallet addresses in an unlinkable way must maintain separate wallets, which necessitates scanning incoming transactions for each one. We document a new address scheme that allows a user to maintain a single master wallet address and generate an arbitary number of unlinkable subaddresses. Each transaction needs to be scanned only once to determine if it is destinated for any of the user’s subaddresses. The scheme additionally supports multiple outputs to other subaddresses, and is as efficient as traditional wallet transactions.

Abstrakt: Ten artykuł wprowadza do metody ukrywania kwot transakcji w silnie zdecentralizowanej, anonimowej kryptowalucie Monero. Podobnie jak Bitcoin, Monero jest kryptowalutą rozprowadzaną za pomocą procesu wydobycia z dowodem pracy. Oryginalny protokół Monero został oparty na CryptoNote, który używa podpisów pierścieniowych oraz jednorazowych kluczy w celu ukrycia nadawcy i odbiorcy płatności. Ostatnio deweloper Centrum Bitcoina, Gregory Maxwell, omawiał oraz wdrożył technikę użycia zobowiązań bitowych, aby ukryć kwotę transakcji. Ten artykuł opisuje nowy rodzaj podpisu pierścieniowego - Wielowarstwowy Łączony Spontaniczny Anonimowy Podpis Grupowy, który umożliwia ukrycie kwot, nadawcy i odbiorcy przelewów z rozsądną wydajnością oraz weryfikowalną produkcją monet bez zaufania. Przytoczono niektóre rozszerzenia protokołu, takie jak Zagregowane Dowody Zasięgu Schnorra oraz Wielopodpisy Pierścieniowe. Autor pragnie zaznaczyć, że wczesne projekty tego artykułu zostały opublikowane w społeczności Monero oraz na kanale IRC dotyczącym badań nad Bitcoinem. Projekty haszowania łańcucha bloków są dostępne w [14] i dowodzą, że praca ta została rozpoczęta w lecie 2015 roku i skończona na początku października 2015 roku. E-print dostępny jest także na stronie http://eprint.iacr.org/2015/1098.

Abstrakt: Zauważyliśmy, że wiele ataków w formie analizy łańcuchów bloków może zdegradować niewykrywalność protokołu CryptoNote 2.0. Analizujemy możliwe rozwiązania, dyskutujemy względne zalety i wady tych rozwiązań i sugerujemy ulepszenia w protokole Monero, które zapewnią długoterminową odporność kryptowaluty na analizy łańcucha bloków. Nasze zalecane ulepszenia Monero uwzględniają politykę minimalnego miksowania na poziomie protokołu w całej sieci z n=2 obcych wyjść na jeden podpis pierścieniowy, zwiększenie tej ilości do n=4 na poziomie protokołu po dwóch latach oraz tymczasową domyślną ilość n=4 na poziomie portfela. Zalecamy również metodę wysyłania wyjść Monero w stylu torrentów. Dyskutujemy także nad niejednolitą, zależną od wieku metodą wyboru miksowania w celu złagodzenia pozostałych form analizy łańcucha bloków tu opisanych, ale nie czynimy żadnych formalnych zaleceń ich wdrożenia z wielu powodów. Rozgałęzienia następujące w efekcie tych ulepszeń również są opisane w pewnym stopniu. Ten biuletyn badawczy nie uległ rewizji i jedynie odzwierciedla wyniki wewnętrznego dochodzenia.

Abstrakt: Ostatnio w internecie pojawiły się pewne obawy odnośnie kodu źródłowego CryptoNote oraz protokołu, oparte na tym, że protokół ten jest bardziej skomplikowany niż, na przykład, protokół Bitcoina. Celem tej notatki jest próba wyjaśnienia niektórych nieporozumień oraz rozwianie tajemnicy otaczającej Podpisy Pierścieniowe Monero. Zacznę od porównania obliczeń użytych w podpisach pierścieniowych CryptoNote (jak opisano w [CN]) z obliczeniami w [FS], na których bazuje CryptoNote. Następnie porównam obliczenia w podpisie pierścieniowym do tego, co tak naprawdę jest zawarte w bazie kodowej CryptoNote.

Abstrakt: Czwartego września 2014 roku miał miejsce nietypowy i nowatorski atak na sieć kryptowaluty Monero. Atak podzielił sieć na dwa oddzielne podzbiory, które odmówiły zaakceptowania słuszności drugiej podgrupy. Spowodowało to niezliczone efekty, których część nie została jeszcze poznana. Hakerzy mieli krótki okres czasu, podczas którego mogło dojść m.in. do sfałszowania. Ten biuletyn badawczy opisuje niedociągnięcia w kodzie referencyjnym CryptoNote, które pozwoliły na ten atak, rozwiązania wstępnie podjęte przez Rafała Freemana z Tigusoft.pl, a następnie przez zespół CryptoNote, aktualne poprawki w bazie kodowej Monero oraz bada wpływ zaatakowanego bloku na sieć. Ten biuletyn badawczy nie uległ rewizji i jedynie odzwierciedla wyniki wewnętrznego dochodzenia.

Abstrakt: Ten biuletyn badawczy opisuje ewentualny atak na system anonimowości oparty na podpisie pierścieniowym. Do argumentacji użyliśmy protokołu o kryptowalutach CryptoNote 2.0 opublikowanego przez Nicolasa van Saberhagena w 2012 roku. Zostało już uprzednio zaprezentowane, że nieidentyfikowalność maskująca parę jednorazowych kluczy może być uzależniona od ieidentyfikowalności wszystkich kluczy użytych w danym podpisie pierścieniowym. Pozwala to na możliwą reakcję łańcuchową w identyfikowalności pomiędzy podpisami pierścieniowymi, powodując krytyczną utratę nieidentyfikowalności całej sieci, jeśli parametry będą źle dobrane oraz jeśli atakujący będzie w posiadaniu wystarczającego procentu sieci. Podpisy jednak nadal są jednorazowe i jakikolwiek taki atak niekoniecznie naruszy anonimowość użytkowników. Mimo to, taki atak mógłby przypuszczalnie osłabić wytrzymałość, którą CryptoNote demonstruje przeciwko analizie łańcuchu bloków. Ten biuletyn badawczy nie uległ rewizji i jedynie odzwierciedla wyniki wewnętrznego dochodzenia.

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.