Laboratorio de Investigación de Monero (MRL)

Abstracto: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.
Leer el papel

Abstracto: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.
Leer el papel

Abstracto: Demostramos que una versión de degradación es una definición natural para evitar la falsificación de firmas de anillos vinculables. Presentamos una construcción de firma en anillos vinculable con firmas concisas y claves multidimensionales que es vinculablemente anónima si una variación del problema decisorio Diffie-Hellman con oráculos aleatorios es compleja; vinculable si la agregación de claves es una función unidireccional, y no degradable si una variación o más del problema del logaritmo discreto es difícil. Observamos algunas aplicaciones en modelos de transacciones confidenciales ambiguas sin configuración de confianza.
Leer el papel

Abstracto: Esta nota técnica describe un algoritmo usado para demostrar conocimiento del mismo logaritmo discreto a través de diferentes grupos. El esquema expresa el valor común cómo una representación escalado de bits y usa una serie de firmas de círculo que demuestra que cada bit es un valor legítimo, que es el mismo (hasta una equivalencia), a través de los grupos escalados.
Leer el papel

Abstracto: Presentamos el límite de las firmas múltiples de círculo (\textit{thring signatures}) para el cálculo colaborativo de firmas de círculo, presentamos un juego de falsificación para las firmas thring y discutimos los usos de las firmas thring en monedas digitales que incluyen cruces de cadena atómicos de gasto-ambiguo para cantidades confidenciales sin un sistema de confianza. Presentamos una implementación de las firmas de thring que nombramos enlaces de firmas grupales espontáneos de límites anónimos y probamos la implementación existencial no falsable.
Leer el papel

Abstracto: Este boletín describe la modificación de los esquemas de enlace de las firmas de círculo de Monero que permiten outputs de llaves dobles como miembros del círculo. Las llaves de visualización están atadas a ambos outputs de llaves públicas únicas en un doble, previniendo que ambas llaves en la transacción se gasten de manera separada. Éste método tiene aplicaciones a las transacciones reembolsables no interáctivas. Discutimos las implicaciones de seguridad del esquema.
Leer el papel

Abstracto: Esta nota técnica generaliza el concepto del gasto de outputs usando la teoría de conjuntos. La definición captura una clase de trabajo inicial identificando tales outputs. Identificamos los efectos de este análisis en el blockchain de Monero y damos un pequeño resumen de las mitigaciones.
Leer el papel

Abstracto: Los usuarios de la criptomoneda Monero que desean reutilizar direcciones del monedero de una manera no vinculante deben mantener monederos separados, lo que hace necesario escanear las transacciones de entrada para cada uno de ellos. Hemos documentado un nuevo esquema de direcciones que permite al usuario mantener una simple dirección maestra del monedero y generar un número arbitrario de subdirecciones inconexas. Cada transacción debe ser escaneada una sola vez para determinar si está destinada a alguna de las subdirecciones del usuario. Este esquema además admite múltiples salidas a otras subdirecciones y es tan eficiente como las transacciones de un monedero tradicional.
Leer el papel

Abstracto: Este artículo presenta un método para ocultar la cantidad en una transacción en la criptomoneda descentralizada y anónima Monero. Similar a Bitcoin, Monero es una criptomoneda que se distribuye a través del minado por prueba-de-trabajo. El protocolo original de Monero estuvo basado en CryptoNote, que utiliza firmas circulares y llaves de un solo uso para ocultar el origen y destino de sus transacciones. Recientemente, la técnica de utilizar un esquema de compromiso para ocultar la cantidad de una transacción ha sido discutida e implementada por el desarrollador del equipo central de Bitcoin, Gregory Maxwell. En este artículo, un nuevo tipo de firma circular, de grupo de enlace multicapa espontánea anónima, es descrita en la forma en que se utiliza para ocultar cantidades, orígenes y destinos en transacciones con buena eficiencia y verificabilidad, con una generación de monedas sin dependencia. Algunas extensiones del protocolo de transacciones son provistas, tales como pruebas agregadas del rango Schnorr (Aggregate Schnorr Range Proofs), y multi-firmas circulares (Ring Multisignature). El autor quisiera que se tenga en cuenta que borradores previos de esto fueron publicitados en la Comunidad de Monero y en canal de investigación de Bitcoin en IRC. Borradores de hash de la Blockchain están disponibles en [14] mostrando que este trabajo empezó en el verano del 2015, y completado en octubre del mismo año. Una impresión digital está disponible en http://eprint.iacr.org/2015/1098.
Leer el papel

Abstracto: Hemos identificado considerables ataques de identificación en la blockchain para degradar la imposibilidad de rastreo del protocolo 2.0 de CryptoNote. Analizamos posibles soluciones discutiendo sus méritos e inconvenientes, y recomendamos mejoras al protocolo de Monero que con suerte proveerán resistencia a largo plazo en la criptomoneda para identificación de la blockchain. Nuestras mejoras sugeridas a Monero incluyen una política mixta del nivel de protocolo mínimo en toda la red de n = 2 salidas por firma circular, un aumento en el nivel de protocolo de este valor a n = 4 después de dos años, y un valor del nivel de monedero de n = 4 por defecto de manera provisional. También recomendamos un método de envío de Monero estilo torrent. Además, discutimos un método de mezclado no uniforme y dependiente del tiempo para mitigar las demás formas de identificación de blockchain utilizadas, pero no realizamos recomendaciones formales para implementaciones debido a varias razones. Las ramificaciones resultantes de estas mejoras también son discutidas en detalle. Este boletín de investigación no ha sido revisado más de una vez, y refleja sólo los resultados de investigación interna.
Leer el papel

Abstracto: Recientemente, han habido ciertas dudas respecto al código fuente y protocolo de CryptoNote que transita por internet basadas en el hecho de que es un protocolo más complicado que, por ejemplo, el de Bitcoin. El propósito de este artículo es el de intentar clarificar malentendidos, y con suerte, eliminar los misteriosos conceptos de las firmas circulares de Monero. Comenzaré comparando las matemáticas envueltas en las firmas circulares de CryptoNote (descritas en [CN]) a las matemáticas en [FS], en la cual CryptoNote está basado. Después de esto, compararé las matemáticas de las firmas circulares a lo que actualmente existe en el código base de CryptoNote.
Leer el papel

Abstracto: El 4 de septiembre del 2014, un nuevo y raro ataque fue efectuado en contra de la red de la criptomoneda Monero. Este ataque dividió la red en dos subconjuntos distintos que se negaban a aceptar la legitimidad del otro conjunto. Esto tuvo efectos gigantescos, los cuales se desconocen en su totalidad. El agresor tuvo un corto periodo de tiempo en el cual tal clase de falsificación pudo ocurrir. Este boletín de investigación describe deficiencias en el código de referencia CryptoNote que permitieron este ataque, describe la solución inicial propuesta por Rafal Freeman de Tigusoft.pl y posteriormente por el equipo de CryptoNote, así como el arreglo actual en el código base de Monero, y elabora exactamente lo que el bloque ofensor hizo a la red. Este boletín de investigación no ha sido revisado más de una vez, y refleja sólo los resultados de investigación interna.
Leer el papel

Abstracto: Este boletín de investigación describe un ataque plausible en un sistema de anonimato basado en firma circular. Utilizamos como motivación el protocolo de criptomoneda CryptoNote 2.0 aparentemente publicado por Nicolas van Saberhagen en 2012. Ha sido previamente demostrado que la imposibilidad de rastrear un par de llaves de un solo uso puede ser dependiente sobre la imposibilidad de rastrear toda llave utilizada en componer esa firma circular. Esto permite la posibilidad de reacciones en cadena en trazabilidad entre firmas circulares, causando una pérdida crítica en imposibilidad de rastreo a través de la red entera si los parámetros son mal seleccionados y si un agresor posee un porcentaje suficiente de la red. La firma es todavía de un solo uso, no obstante, cualquier ataque de este tipo no necesariamente violará el anonimato de los usuarios. Además, tal ataque podría debilitar plausiblemente la resistencia que CryptoNote ha demostrado en contra de análisis a la blockchain. Este boletín de investigación no ha sido revisado más de una vez, y refleja sólo los resultados de investigación interna.
Leer el papel

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.
Leer el papel