Monero Research Lab (MRL)

Monero widmet sich nicht nur einer fungiblen Währung, sondern auch einer kontinuierlichen Forschung im Bereich des finanziellen Datenschutzes, da dies Kryptowährungen mit einschließt. Weiter unten findest du Arbeiten unseres Monero Research Lab; weitere Abhandlungen werden folgen. To contact the Monero Research Lab, please email [email protected].

Monero Research Lab Papers (Englisch)

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Kurzfassung: Vertrauliche Transaktionen werden in verteilten digitalen Assets verwendet, um die Ausgewogenheit der in Verpflichtungen versteckten Werte aufzuzeigen, wobei die Mehrdeutigkeit der Unterzeichner gewahrt bleibt. Frühere Arbeiten beschreiben einen für den Unterzeichner unzweideutigen Nachweis der Kenntnis der Öffnung von Verpflichtungen auf Null mit demselben Index über mehrere öffentliche Verpflichtungssätze und die Bewertung einer überprüfbaren Zufallsfunktion, die als Verknüpfungskennzeichen verwendet wird, und verwenden diese, um eine verknüpfbare Ringsignatur namens Triptych zu erstellen, die als Baustein für ein vertrauliches Transaktionsmodell verwendet werden kann. In dieser Arbeit erweitern wir Triptychon um den Aufbau von Arcturus, einem Beweissystem, das die Kenntnis von Eröffnungen mehrerer Verpflichtungen auf Null innerhalb eines einzigen Satzes, die korrekte Konstruktion einer verifizierbaren Zufallsfunktion, die bei jeder Eröffnung bewertet wird, und die Wertbalance über eine separate Liste von Verpflichtungen innerhalb eines einzigen Beweises beweist. Während die Solidität von einer neuartigen dualen diskreten Logarithmushärte-Annahme abhängt, verwenden wir Daten aus der Monero-Blockkette, um zu zeigen, dass Arcturus in einem vertraulichen Transaktionsmodell verwendet werden kann, um eine schnellere Gesamtzeit für die Batch-Überprüfung zu erreichen als andere hochmoderne Konstruktionen ohne eine vertrauenswürdige Einrichtung.

Kurzfassung: Ringsignaturen sind eine gebräuchliche Konstruktion, die verwendet wird, um dem Unterzeichner Mehrdeutigkeit zwischen einem nicht interaktiven Satz öffentlicher Schlüssel zu bieten, die zum Zeitpunkt der Unterzeichnung festgelegt werden. Im Gegensatz zu frühen Ansätzen, bei denen die Größe der Signatur linear in der Größe des Anonymitätssatzes des Unterzeichners ist, erfordern aktuelle optimale Lösungen entweder zentralisierte vertrauenswürdige Einrichtungen oder erzeugen Signaturen mit logarithmischer Größe. Allerdings bieten nur wenige auch die Verknüpfbarkeit, eine Eigenschaft, mit der festgestellt werden kann, ob der Unterzeichner einer Nachricht eine frühere Nachricht signiert hat, möglicherweise mit Einschränkungen bei der Wahl des Anonymitätssatzes. Hier stellen wir Triptych vor, eine Familie von verknüpfbaren Ringsignaturen ohne vertrauenswürdigen Aufbau, die auf Verallgemeinerungen von Null-Wissens-Beweisen der Kenntnis von Verpflichtungseröffnungen auf Null basiert. Wir demonstrieren Anwendungen von Triptychch in Transaktionsprotokollen, die für den Unterzeichner unzweideutig sind, indem wir die Konstruktion auf Öffnungen paralleler Verpflichtungen in unabhängigen Anonymitätssätzen erweitern. Die Unterschriften sind in der Größe des Anonymitätssatzes logarithmisch, und während die Verifikationskomplexität linear ist, können Sammlungen von Beweisen effizient in Stapeln verifiziert werden. Wir zeigen, dass Triptych für Anonymitätssatzgrößen, die für die Verwendung in verteilten Protokollen praktisch sind, eine konkurrenzfähige Leistung mit einer einfachen Konstruktion bietet.

Kurzfassung: Wir zeigen, dass eine Version der Unverfälschbarkeit eine natürliche Definition der Unverfälschbarkeit für verknüpfbare Ringsignaturen ist. Wir stellen eine verknüpfbare Ringsignaturkonstruktion mit prägnanten Signaturen und mehrdimensionalen Schlüsseln vor, die verknüpfbar anonym ist, wenn eine Variation des entscheidungsorientierten Diffie-Hellman-Problems mit zufälligen Orakeln hart ist, verknüpfbar, wenn die Schlüsselaggregation eine Einwegfunktion ist, und nicht verleumderisch, wenn eine weitere Variation des diskreten Logarithmusproblems hart ist. Wir weisen auf einige Anwendungen in signer-ambiguous confidential transaction models ohne vertrauenswürdiges Setup hin.

Kurzfassung: Diese technische Abhandlung beschreibt einen Algorithmus, der verwendet wird, um die Kenntnis desselben diskreten Logarithmus über verschiedene Gruppen hinweg zu beweisen. Diese Methode beschreibt einen gemeinsamen Wert als eine skalare Repräsentation von Bits und nutzt diese als eine Menge von Ringsignaturen um zu beweisen, dass jedes Bit ein gültiger Wert ist, der der gleiche (bis zu einem bestimmen Äquivalent) über beide Skalargruppen ist.

Kurzfassung: Wir präsentieren Multigrenzwertringsignaturen (Thringsignaturen) zur kollaborativen Berechnung von Ringsignaturen, zeigen eine Demo zur grundlegenden Erstellung von Thringsignaturen und diskutieren die Anwendungen von Thringsignaturen in digitalen Währungen, die währungsübergreifende Atomic Swaps mit unbekannten Sendern für geheime Beträge ohne die Notwendigkeit des Vertrauens in eine dritte Partei ermöglichen. Wir präsentieren eine Einbindung von Thringsignaturen, die wir spontan verknüpfbare, anonyme Grenzwertgruppensignaturen nennen und beweisen, dass die Implementierung grundlegend fälschungssicher ist.

Kurzfassung: Diese Abhandlung beschreibt Modifikationen der verknüpfbaren Ringsignaturen Moneros, die es erlauben, doppelte Schlüsseloutputs als Ringsignaturteilnehmer zu verwenden. Schlüsselbilder werden an beide Einmalschlüssel der Outputs in einem Zwilling gebunden, der es bei beiden Schlüsseln verhindert, separat ausgegeben zu werden. Diese Methode hat Anwendungen in der automatisierten Rückbuchung von Transaktionen. Wir diskutieren die Auswirkungen auf die Sicherheit dieser Methode.

Kurzfassung: Diese technische Abhandlung verallgemeinert das Konzept von ausgegebenen Outputs unter Zuhilfenahme grundlegender Mengenlehre. Die Beschreibung vereint eine Vielzahl vorheriger Arbeiten, die sich mit der Analyse solcher ausgegebenen Outputs beschäftigen. Wir quantifizieren die Effekte solcher Analysen der Monero-Blockchain und geben eine Übersicht der Gegenmaßnahmen.

Kurzfassung: Nutzer der Kryptowährung Monero, die ihre Walletadressen wiederholt nutzen möchten, aber dabei eine Verknüpfbarkeit vermeiden wollen, müssen mehrere Wallets nutzen, was ein Durchsuchen der Blockchain für jede einzelne bedeutet. Wir dokumentieren eine neue Variante für Adressen, die es dem Nutzer ermöglicht, eine einzelne Hauptadresse zu verwalten und eine beliebige Anzahl an Subadressen für diese zu generieren. Dies bietet den weiteren Vorteil, dass die Blockchain nur ein Mal für eine beliebige Anzahl an Subadressen durchsucht werden muss, um zu erkennen, ob sie für eine dieser bestimmt ist. Weiterhin unterstützt diese Variante mehrfache Ausgänge an andere Subadressen und ist genauso effizient wie herkömmliche Transaktionen.

Kurzfassung: Dieser Artikel gibt eine Einführung in eine Methode, Transaktionsbeträge in der stark dezentralisierten, anonymen Kryptowährung Monero zu verstecken. Ähnlich wie Bitcoin ist Monero eine Kryptowährung, die durch einen dezentralen, verteilten „Proof-of-Work“-Miningprozess herausgegeben wird. Das ursprüngliche Monero-Protokoll basierte auf CryptoNote, welches Ringsignaturen und einmalige Schlüssel verwendet, um Ursprung und Ziel von Transaktionen zu verstecken. Vor kurzem wurde eine Vorgehensweise diskutiert, es mithilfe von Verpflichtungserklärungen auf Transaktionen zu ermöglichen, die Beträge der Transaktionen zu verstecken. Diese wurden von Gregory Maxwell, einem der Hauptentwickler Bitcoins, implementiert. In diesem Artikel wird ein neuer Typ von Ringsignaturen – eine mehrschichtig verknüpfte, spontane, anonyme Gruppensignatur – beschrieben, der es ermöglicht, Beträge, Ursprünge und Ziele von Transaktionen zu verstecken und dabei eine akzeptable Effizienz unter Beibehaltung der Verifizierbarkeit der vertrauenslosen Coingenerierung zu bewahren. Einige notwendige Erweiterungen des Protokolls werden vorgestellt, wie beispielsweise aggregierte Schnorr-Range-Proofs und Multiringsignaturen. Der Autor merkt an, dass frühe Entwürfe hiervon in der Monero-Community und dem „Bitcoin Research“-IRC-Channel veröffentlicht wurden. Auf der Blockchain hinterlegte Hashes dieser Versionen können in [14] eingesehen werden, die zeigen, dass die Arbeiten daran im Sommer 2015 aufgenommmen und Anfang Oktober 2015 vollendet wurden. Eine elektronische Version findet sich unter http://eprint.iacr.org/2015/1098.

Kurzfassung: Wir identifizieren verschiedene Blockchainanalyseangriffe, die zur Verfügung stehen, um die Unnachverfolgbarkeit des CryptoNote-2.0-Protokolls auszuhebeln. Es werden verschiedene Lösungen untersucht und deren jeweilige Vorzüge und Nachteile bewertet und Verbesserungen am Protokoll Moneros vorgeschlagen, die die Widerstandsfähigkeit gegen Blockchainanalysen auf hoffentlich lange Sicht gewähren können. Unsere Vorschläge beinhalten eine Änderung der netzwerkweiten Mindestzahl an Verschleierungspartnern je Ringsignatur auf Protokollebene von n = 2 und eine Anhebung dieses Werts auf n = 4 nach zwei Jahren sowie das Setzen der Standardzahl auf zunächst n = 4. Wir empfehlen weiterhin eine Torrent-ähnliche Methode, um Moneros zu versenden, sowie eine uneinheitliche, altersabhängige Selektierung der Verschleierungspartner, um anderen Formen der Blockchainanalyse entgegen zu wirken. Aus verschiedenen Gründen werden jedoch keine formellen Vorschläge zur Implementierung gegeben. Die Auswirkungen dieser Verbesserungen werden etwas genauer betrachtet. Diese Abhandlung wurde nicht peer-reviewed und spiegelt nur die Ergebnisse interner Untersuchungen wider.

Kurzfassung: In letzter Zeit zirkulierten vage Gerüchte durch's Internet über den Quellcode von CryptoNote und dessen Protokoll aufgrund der Tatsache, dass es sich um ein komplexeres Protokoll als beispielsweise Bitcoin handelt. Der Sinn dieser Abhandlung soll sein, einige Verwirrungen aufzuklären und hoffentlich einige der Rätsel um Moneros Ringsignaturen zu entwirren. Zunächst wird die Mathematik der CryptoNote-Ringsignaturen (wie in [CN] beschrieben) mit der Mathematik hinter [FS] verglichen, auf der CryptoNote aufbaut. Anschließend wird die Mathematik hinter Ringsignaturen mit dem verglichen, was im Quellcode der Implementierung von CryptoNote vorhanden ist.

Kurzfassung: Am 4. September 2014 wurde ein neuartiger und ungewöhnlicher Angriff gegen Moneros Kryptowährungsnetzwerk durchgeführt. Diese Attacke fragmentierte das Netzwerk in zwei abgetrennte Teile, die gegenseitig die Gültigkeit des anderen bestritten. Dies hatte eine Vielzahl von Auswirkungen, von denen noch nicht alle bekannt sind. Der Angreifer hatte ein kurzes Zeitfenster, innerhalb dessen beispielsweise Falschgeld hätte erzeugt werden können. Diese Abhandlung beschreibt Schwachstellen in der Referenz des CryptoNote-Protokolls, die diesen Angriff ermöglichten, einen Lösungsansatz, der ursprünglich von Rafal Freeman von Tigusoft.pl und in der Folge vom CryptoNote-Team vorgebracht wurde, sowie die momentane Lösung, die in Monero zum Einsatz kommt und erklärt genau, welchen Effekt der auslösende Block auf das Netzwerk hatte. Diese Abhandlung wurde nicht peer-reviewed und spiegelt nur die Ergebnisse interner Untersuchungen wider.

Kurzfassung: Diese Abhandlung beschreibt plausible Angriffe auf ein Ringsignaturen-basiertes Anonymitätssystem. Unsere Motivation soll hier das CryptoNote 2.0 Protokoll sein, welches angeblich von Nicolas van Saberhagen im Jahre 2012 veröffentlicht wurde. Es wurde bereits gezeigt, dass die Unnachverfolgbarkeit eines einmalig genutzten Schlüsselpaares davon abhängen kann, wie unnachverfolgbar die in der Ringsignatur beteiligten Schlüssel sind. Dies macht Kettenreaktionen im Hinblick auf die Nachverfolgbarkeit von Ringsignaturen plausibel, was eine kritische Verletzung der Unnachverfolgbarkeit des gesamten Netzwerkes zur Folge haben kann, wenn Parameter ungünstig gewählt werden und ein Angreifer einen maßgeblichen Anteil am Netzwerk hält. Die Signaturen sind jedoch für den einmaligen Gebrauch und ein solcher Angriff muss nicht zwingend den Verlust der Anonymität der Nutzer zur Folge haben. Nichtsdestotrotz kann ein derartiger Angriff die Widerstandsfähigkeit, die CryptoNote gegen Blockchainanalysen aufweist, schwächen. Diese Abhandlung wurde nicht peer-reviewed und spiegelt nur die Ergebnisse interner Untersuchungen wider.

Zusammenfassung: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.