DCR国際運営責任者、首席宣伝者、「DCRイエス」Joatha Zeppettiiはこのほど、Uchaiedのインタビューを受けた際、ビットコインの中核開発者とともに1年以上の秘密開発を経て、匿名貨幣の新ショーDecedに匿名機能を追加すると発表した。
一週間前、DCR創業者Jake Yocom-Piattは8月21日、公式ブログで既存のプライバシー技術を詳しく分析し、次の記事でDCRが採用するプライバシー技術を紹介する予定です。
以下は本文です
この論文では、暗号化された貨幣業界における既存のプライバシー技術に対する見方を検討します。
いくつかの主要なプライバシーに関心を持っている暗号化された貨幣が存在しているので、様々なプライバシー技術を説明します。これはDecedのルートを理解するのに役立ちます。
もう一つの文章を紹介します。Decedはどのようにプライバシー機能を実現するつもりですか?
?本記事で紹介している暗号化された通貨は、MoeoZcash GiBemBitcoiDash本論文では、プロジェクト全体ではなく、チェーン上で使用されるプライバシー技術についてのみ議論します。
文章の末尾に表をまとめて、彼らが使っている各種項目と技術を比較します。
動機は2016年2月に発売されて以来、Decedは主に治理に専念していますが、治理の面で実質的な進展を遂げた後、現在はプライバシー機能を追加する時です。
プライバシーは治理のサブドメインから独立していますが、プライバシーは直接Decedの核心原則と関連しています。安全性、適応性と持続性
プライバシー機能を追加することで、ユーザーとプロジェクト自体の金融安全性を強化することができます。
利害関係者の同意を得ると、必要に応じて変化する技術環境に適応できるようになります。
ユーザーにプライバシーを提供することによって、悪意のある行動者に対するプロジェクトの弾力性がより大きくなります。長期的には、その持続性を拡大することができます。
背景にあるすべての既存の暗号化された貨幣のプライバシー技術は「数学技術」に帰結できます。
数学にはいくつかのサブ分野がありますが、どのように効果的にある陳述を証明するかを解決するために取り組んでいます。
これらのサブドメインのいくつかの技術はブロックチェーン領域に適用され、現在のいくつかの匿名貨幣プロジェクトに使用されています。
これらの技術について議論します。それらの応用、制限及び足りないところ。
Moeo Gro(Moeo)はプライバシーの面でリングサイン(ig sigatues)と機密取引(cofidetial tasactios)の技術組み合わせを使用しており、RigCTと呼ばれています。
この二つの技術の組み合わせは強力なプライバシー保障を作り出しましたが、警戒すべきところもあります。
ネット上のすべての取引はRigCTが必要です。
リングサイン(Rig Sigatues)はCyptNoteプロトコルの基礎であり、バイトコイン(Bytecoi)とルーマニアドルはCyptNoteプロトコルで誕生しました。
トロイダル署名の主な用途は、取引の発信元を他人から追跡することであり、取引の開始者に対して無駄な取引出力(「UTXO」)を合理的に否定することによって実現される。例えば、典型的なルーマニア取引は11組のUTXO入力を示すが、実際には真実のUTXO入力のセットのみを含む。
環状署名は、外部観察者に署名がUTXOのセットから来たことを検証することができますが、どのグループから来たのか分かりません。
現在、Moeoは多重層接続可能な自発的な匿名グループを使用して署名しています。近い将来、新しいよりコンパクトな「CLSAG」と呼ばれるバージョンに更新されるかもしれません。
リングサインは非常に小さい大衆の方法でブロックチェーン上の取引追跡問題を解決します。
与えられた取引では、これらの入力とそれらの署名を混同することによって、取引間のリンクを破壊する。
これはちょうどサインの仕事です。
関連する数学とコードは複雑性があり、簡単な原語を使って、ソースコードは大体何千行ですか?
署名の大きさはMLSAG署名の入力数と共に直線的に変化し、CLSAG署名対数とともに変化する。
環状署名と楕円曲線暗号化アルゴリズム(elliptic cuve cypetogaphy,ECC)は、離散対数問題(discete logaithm poble,DLP)の堅牢性に依存しています。つまり、DLPは現在解読できません。
しかし、DLPが解読された場合、環状署名は実際のトレーダーに追跡され得る。
環状署名の著しい欠点は、ブロックチェーンをトリミングできないか、または他の方法でUTXOセットのスナップショットを作成することです。どのような取引の出力がかかっているかは確認できません。
最近の文章にも反映されています。各ノードはすべての履歴取引の18を記憶するしかないです。
機密取引(Cofidetial Tasactios、CT)機密取引は、ビットコインの取引額を混同する方法として、最初にGeg Maxwellによって提出された。
これはPedese承諾(Pedese comitmet)を使用して、承諾の総和がゼロであることを検証することによって実現されたもので、各出力承諾は正の範囲証明(age poof)であることを含む。
範囲証明は低複雑度のゼロ知識証明(zo kowledge poof,ZKP)です。
RigCTにおいては、送信者の追跡不可能性を維持するために追加の修正が必要であり、この修正には、出力を承諾するものとするものと、非ゼロであるものと、機密取引を理解するものとは関係がない。
ゲートウェイが最初に実施した機密取引はMaxwellのオリジナル論文に基づいていますが、最近はBulletpooffというより効果的な実施形態が展開されています。
Bulletpooffの使用は、ルーマニアの各取引のサイズを大幅に減少させ、範囲証明の拡大性を改善しました。
機密取引は環状署名と同じで、取引額を混同する一種の大衆的な方法です。
ドアの羅がちょうど始まる時、それはCytoNote協議を採用して、この協議は取引額が混淆することを含まないで、そのため固定額の取引は観察者に分析されます。
機密取引はルーマニアの欠落した取引額の混淆を増加し、プライバシーを大いに改善しました。
トロイダル署名と同様に、機密取引のセキュリティは、離散対数問題(DLP)の堅牢さに依存している。これは、楕円曲線暗号化アルゴリズム(ECC)にも依存しているからである。
リングサインと違って、機密取引はDLPを突破することによって解読できません。Pedese承諾は完全に隠しています。しかも、計算と結合する方式です。
この場合、完全な隠蔽属性は、楕円曲線の点、取引額、および失明因子の複数の組合せが同じコミットメントにマッピングされることを意味し、したがって、DLPを解読することができても、どのグループがこのコミットメントにマッピングされているかを決定することができない。
バインディングの計算は、攻撃者がDLPを攻撃することによって、所与の承諾にマッピングされた取引額およびブラインド係数を生成することができることを意味するが、これは入力額およびブラインド係数と一致しない。
完全に隠した約束はプライバシーに有利であるが、DLPを攻撃者が突き破ることができる場合、DLPを攻撃した攻撃者はステルスのインフレを作ることができる。約束は単にバインディングを計算するだけである。
Maxwellの最初の機密取引の論文の数学は中ぐらいで複雑ですが、もっと節約できる空間のBulletpooffは中ぐらいの複雑さがあります。
Bulletpooffのソースコードは何千行もあります。簡単な原語を使って、これらの原語を新規に合成します。
Zcash Zcashのプライバシーはゼロ知識証明(ZKP)を使って取引者と送金金額を混同しています。
その使用する特定のZKPは知識ゼロの簡潔な非対話的知識の論証である(?zo-kowledge succct o-i-teactive agumet of kowledge,zk-NARK)
システムは著しい不透明性を保証し、利用するかどうかをユーザに選択させる権利がある。
Zcashネットワークには、匿名取引がzk-NARKによって保護される取引である透明取引と匿名取引が同時に存在する。
2018年第2四半期までに、約3.6%のZECが匿名の住所に保存されています。
ZK-SNARKsは、暗号化された通貨業界でzk-NARKsを使ってBe-Seassioらが2014年のZeocsh論文で提出したものです。
この論文はZcashの基礎です。
zk-NARKsは簡潔な取引を作成して、その入力を許可します。送金の金額と受取人は完全に混同します。
これらの回路は、匿名取引のペイロードであり、取引データが見えない第三者により有効に検証できるように構成された算術回路によって、取引データの混淆を実現する。
完全な匿名取引の入力は、実際には互いに区別できない。これは、特定の取引の匿名性がUTXOセットの匿名部分全体であることを意味する。
zk-NARKsは幅広い用途に対応できるツールであり、アクセス制御、投票システム、汎用記録保存など様々な問題を解決できます。
zk-NARKは非常に強力なツールであり、様々なシーンに適用できるが、それらは複雑さの点でかなりのコストを持っている。
zk-NARKをサポートする数学は高度に複雑で、あまり見られない原語を使う必要があります。
Zcashでzk-NARKを作成するためには、取引情報を取得し、演算回路に「コンパイル」する必要があります。これは計算が密集している上に、数万行のコードが必要です。
算術回路を作成するためのコード量以外に、これらのコードは一定量の専門知識が必要です。
zk-NARKのより具体的な制約は、ネットワークのための信頼できる設定が必要であるが、この信頼できる設定者の情報が悪意のある者によって制御されると、彼らはこっそりと通貨を偽造し、既存の匿名取引に影響を与えないようにすることができる。
DLPを突破した攻撃者は偽造通貨のような能力を持っていますが、彼らは取引額と備考しか確認できません。送信者と受取人を確認できません。
匿名取引の不透明性のため、トリミングブロックはZcashチェーンの透明部分のみで実施できる。
GiBemGiとBeamは共にTom Elvis Jedusoであり、2016年7月にミmberrewimble(「MW」)論文で提出された匿名方法の実現である。
MW法はブロックチェーン取引を再構築するものであり、それらはブロックに集約して各ブロック内部の送信者と受信者を混同し、機密取引を用いて取引金額をぼかして処理することができる。
MWプライバシー技術はすべての取引に適用されます。
トランザクションアグリゲーションMW論文は、トランザクション全体を直接結合することができるようにブロックチェーン取引を再構築することを提案します。
このような集約能力は、実質的に取引署名の方法を変更し、署名を一緒にすることができ、その後、集約取引で有効な署名を得ることができる。
このシステムを使用して掘り起こしたブロックは、単一の大型重合取引で構成され、その取引額は混同されている。
このようなブロックチェーンを追跡して分析しようとする人は、各ブロックを構成する大規模な集約取引しか観察できません。これにより、送信者と受信者は追跡できません。
トランザクションアグリゲーションは、一般的なECCツールを新規に使用して、署名アグリゲーション(sigatue aggegatio)されるので、広く利用できるツールです。
署名集約の背後にある数学は非常に簡単であり、リングサインや機密取引に広く使われています。
集約取引のための署名アルゴリズムとコードは、数千行または数千行未満であり、共通の原語を使用しています。
トランザクションアグリゲーションの実用性のために、署名アルゴリズムのかなりの部分の修正があり、トランザクションスクリプトおよびトランザクション作成プロセスの変更を使用することができないので、それらは他の既存のビットコインベースのブロックチェーンに統合される可能性が低い。
ブロックが掘り出されると、その中に含まれている取引はすでに集約されていますが、掘り出される前に、ネットワーク上の鉱山労働者と他のノードは、集約前に発表された各取引を調べられます。
ネットワーク上で発表された取引を密接に監視する攻撃者は、この情報を使って送信者と受信者を追跡することができますが、掘り出したブロックを見ると取引を追跡することができません。
MWが直接機密取引を使うため、DLPを攻撃した攻撃者はこっそり通貨を偽造することができますが、以前の集約や取引の金額は見られません。
MWを使用するもう一つの利点は、ブロックを容易にトリミングすることができ、全ノードの記憶空間を大幅に減らすことができることである。
ビットコインは、UTXO入力を手動で選択できるほか、ビットコインコアクライアント(Bitcoi Coe)には実質的な匿名機能は提供されていないが、ビットコインウォッサビは匿名機能を提供している。
WasabiはChumia混幣という方法を利用して匿名を実現し、ユーザー自身が匿名を選択する。
Chumia混幣はブラインド署名技術を応用して、Chumia混幣は混幣後のビットコインの所有権を確認しにくいです。
混合貨幣プロセスはサーバを通じて複数の取引を一つの取引に統合し、参加者に一定のチェーン上のプライバシーを提供するが、サーバーは資金源と送信先を確認することができる。
ブラインド署名を使うと、どの出力がどのグループの入力にリンクされているのかを混乱させ、サーバーが入力を出力にリンクするのを阻止することができます。
この混合プロセスのタイミングは、タイマーまたは参加しきい値によってトリガされる。
混幣過程に対してブラインドサインを使うのは暗号化技術の小大衆応用です。
ブラインドサインの背後にある数学は複雑ではなく、十分に研究されています。何百行かもっと少ないコードで実現できます。
出力区分ができないようにするために、いくつかの出力面を使用しています。
ビットコインは取引額のあいまいな処理をサポートしていませんので、入力と出力を部分的な和(patial sums)分析でリンクすることができますので、変化については慎重に処理する必要があります。
ブラインド署名によって匿名の信頼が得られたのは、各トークンが異なるネットワークパスを通じて少なくとも3回サーバに接続されることであり、Wasabiウォレットに統合されたToネットワークを使用している。
Toは、ネットワークのプライバシーが大きく提供されていますが、ToはNSAなどの世界的な傍受機関を阻止するためではなく、どれぐらいのプライバシーが得られるかによって、誰があなたを待ち受けていますか?
DLPを攻撃したハッカーはサーバーに偽って署名出力先を偽造し、UTXO入力を盗み取り、攻撃開始時から混幣を匿名化し、通常は強制的にサーバーに操作を停止させることができますが、このような攻撃者はこれまでの混ぜ貨幣を匿名化することはできません。
Chumia混幣のトリミングは大丈夫です。
Dash Dashは、2014年にDashコアウォレットに匿名の支払いを配置することによって匿名の機能を導入したものです。
PivateSedは、マルチラウンドの通貨を使用して、分散式の通貨(CoiJoi)の方法です。
Dashの匿名機能はユーザーが自分で使うかどうかを選択します。
匿名でビットコインを支払う部分については、すでに混ぜ貨幣の過程が紹介されています。Dashでも同様の過程が使われています。
匿名でトークンを支払うプロセスは、いくつかの取引を1つの取引にマージし、参加者に一定のチェーン上のプライバシーを提供するが、特定の通貨を実行するマスタノードは、資金源と送信アドレスを確認することができる。
ユーザは、その匿名セット(aoymity set)のサイズを増加させるために、4−16ラウンドの通貨混合動作を実施することができる。
匿名ではより多くのラウンドの混幣操作があるが、その匿名性はChumia混幣に及ばない。
分布式の混幣は非常に限られたツールで、鎖上の貨幣の出所をぼかしたいが、混幣過程を実行する主ノードの送信者と受取人を混同することはできない。
混合貨幣の計算方法は簡単で、複雑度も低いです。何百行のコードの中で実現できます。
匿名の支払い操作がどれぐらいの匿名性を提供しているかは分かりません。一部の大手の混ぜ貨幣参加者が効果的に混ぜ貨幣を匿名化することができると主張していますから。
攻撃者がDLPを破ったら、彼は任意のマスターノードになりすますことができます。この点から混幣を匿名化することができますが、これは前に完成した混ぜ貨幣に影響を与えません。
結論として、細部に迷うことを防止するために、下記の項目のプライバシー特性の比較表を作成しました。
いくつかの主要な暗号化された通貨項目の匿名機能を紹介した後、Decedのユニークな方法をよりよく理解することができます。これは次の記事で概説されます。
原文住所:Suveyig the Pivacy Ladscape