Laboratoire de Recherche Monero

Résumé: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.
Lire le rapport complet (en Anglais)

Résumé: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.
Lire le rapport complet (en Anglais)

Résumé: We demonstrate that a version of non-slanderability is a natural definition of unforgeability for linkable ring signatures. We present a linkable ring signature construction with concise signatures and multi-dimensional keys that is linkably anonymous if a variation of the decisional Diffie-Hellman problem with random oracles is hard, linkable if key aggregation is a one-way function, and non-slanderable if a one-more variation of the discrete logarithm problem is hard. We remark on some applications in signer-ambiguous confidential transaction models without trusted setup.
Lire le rapport complet (en Anglais)

Résumé: Cette note technique décrit un algorithme utilisé pour prouver la connaissance du même logarithme discret dans différents groupes. Le schéma exprime la valeur commune sous la forme d'une représentation scalaire des bits et utilise un ensemble de signatures de cercle pour prouver que chaque bit est une valeur valide et identique (jusqu'à une équivalence) entres les deux groupes scalaires.
Lire le rapport complet (en Anglais)

Résumé: Nous présentons des multi-signatures de cercle à seuil (signatures Thring) pour le calcul collaboratif des signatures de cercle, nous présentons un jspécimen de falsification fondamentale pour les signatures Thring, et nous parlons des utilisations des signatures Thring pour les monnaies numériques qui incluent des échanges atomiques entre chaînes à dépenses ambiguës pour des montants confidentiels, sans avoir besoin de paramétrage de confiance. Nous présentons une implémentation des signatures thring que nous appelons signatures de groupe anonymes à seuil spontané associable, et prouvons que l'implémentation est fondamentalement infalsifiable.
Lire le rapport complet (en Anglais)

Résumé: Ce bulletin décrit une modification apportée au système de signatures de cercle associables de Monero qui permet l'utilisation de sorties à deux clés comme membres du cercle. Les images de clés sont liées aux deux clés publiques ponctuelles des sorties dans une paire, ce qui évite que les deux clés de cette transaction ne soient utilisées séparément. Cette méthode s'applique aux opérations de remboursement non interactives. Nous discutons des implications du système sur le plan de la sécurité.
Lire le rapport complet (en Anglais)

Résumé: Cette note tehnique généralise le concept de sorties dépensées en utilisant la théorie des ensembles de base. La définition tient compte de divers travaux antérieurs sur la détermination de ces sorties. Nous quantifions les effets de cette analyse sur la chaîne de blocs de Monero et donnons un aperçu rapide des mesures palliatives à prendre.
Lire le rapport complet (en Anglais)

Résumé: Les Utilisateurs de la cryptomonnaie Monero qui souhaitent réutiliser des adresses de portefeuille d'une manière non connectable doivent maintenir des portefeuilles séparés, ce qui nécessite de scanner les transactions entrante pour chacun. Nous avons documenté un nouveau schéma d'adresses qui permet à un utilisateur de maintenir une seule adresse de portefeuille et de générer un nombre arbitraire de sous-adresses non connectables. Chaque transaction n'a besoin d'être scannée qu'une seule fois pour déterminer si la destination appartient à une quelconque sous-adresse de l'utilisateur. Le schéma supporte également des sorties multiples vers d'autres sous-adresses et est aussi efficace que les transactions traditionnelles de portefeuille.
Lire le rapport complet (en Anglais)

Résumé: Cet article présente une méthode de masquage du montant des transactions dans la cryptomonnaie anonyme fortement décentralisée Monero. De la même manière que Bitcoin, Monero est une cryptomonnaie basée sur un processus "d'extraction minière" basé sur une preuve de travail. Le protocole originel de Monero était basé sur CryptoNote , qui utilise les signatures de cercle et des clefs à usage unique pour masquer l'origine et la destination des transactions. Récemment, une technique utilisant un mécanisme déterministe pour masquer le montant d'une transaction a été étudié et implémenté par Gregory Maxwell, l'un des développeur principaux de Bitcoin. Dans cette article, nous exposons un nouveau type de signatures de cercle, une Signature de Groupe Associable Anonyme et Spontané à Plusieurs Niveaux permettant de masquer les montants, les origines et les destinations des transactions avec une efficacité raisonnable et une génération de pièces de monnaie vérifiable et fiable. Quelques extensions protocolaires sont fournies, telles que la preuve à divulgation nulle de connaissance de Schnorr, et les multi-signatures de cercle. L'auteur voudrait faire remarquer que les premières ébauches ont été publiées dans la communauté Monero et sur le canal IRC de recherche bitcoin. Des brouillons de chaîne de blocs sont disponibles dans [14], montrant que ce travail a débuté à l'été 2015 et s'est achevé début octobre 2015. Une impression électronique est également disponible sur http://eprint.iacr.org/2015/1098.
Lire le rapport complet (en Anglais)

Résumé: Nous avons identifier plusieurs attaques d'analyse de la chaîne de blocs pouvant dégrader l'intraçabilité du protocol CryptoNote 2.0. Nous analysons de possibles solutions, discutons de leurs avantages et inconvénients et recommandons des améliorations du protocole Monero qui devraient fournir une résistance à l'analyse de la chaîne de blocs de la cryptomonnaie sur le long terme. Nos recommandations d'améliorations incluent une politique minimale protocolaire de mixage des entrées minimale de n = 2 sortie distantes par signature de cercle, une augmentation protocolaire de cette valeur à n = 4 au bout de deux ans et une valeur par défaut dans le portefeuille à n = 4 dans l'intervalle. Nous recommandons également une méthode d'émission des sorties Monero "à la torrent". Nous discutons aussi d'une méthode de sélection du mixage des entrées non-uniforme et dépendante du temps pour atténuer les autres formes d'analyse de la chaîne de blocs identifiés ici, mais nous ne faisons aucune recommandations formelles de son implémentation pour diverses raisons. Nous y détaillons par ailleurs les répercussions découlant de ces améliorations. Ce bulletin de recherche n'a pas fait l'objet d'un examen par des tiers, et ne reflète que les résultats d'investigations internes.
Lire le rapport complet (en Anglais)

Résumé: Récemment, quelques vagues de frayeurs concernant le code source et le protocole CryptoNote on circulé sur internet fondé sur le fait qu'il s'agisse d'un protocole plus complexe que, par exemple Bitcoin. Ce rapport tentera d'éclaircir ces méconnaissances et avec un peu de chance retirera une partie du mystère entourant les signatures de cercle de Monero. Nous commencerons par comparer les calculs mathématiques impliqués dans les signatures de cercle CryptoNote (comme décrit dans [CN]) à ceux de [FS], sur lesquelles est basé CryptoNote. Après cela, nous comparerons les calculs mathématiques des signatures de cercle à ce qui se trouve actuellement dans la base de code de CryptoNote.
Lire le rapport complet (en Anglais)

Résumé: Le 4 Septembre 2014, une attaque nouvelle et inhabituelle a été lancée contre le réseau de cryptomonnaie Monero. Cette attaque a segmentée le réseau en deux sous-ensembles distincts qui refusaient d'accepter les transactions légitimes de l'autre sous-ensemble. Cela causa une myriade d'effet, qui n'ont pour le moment pas tous été identifiés. L'attaquant a disposé d'une courte fenêtre temporelle pendant laquelle une forme de contrefaçon pu, par exemple, avoir lieux. Ce bulletin de recherche décrit les lacunes du code de référence CryptoNote ayant permis cette attaque, décrit la solution initialement mise en avant par Rafal Freeman de Tigusoft.pl et ultérieurement par l'équipe CryptoNote, décrit les correctifs actuels du code de base de Monero et donne des détails concrets sur ce que le bloc fautif a causé au réseau. Ce bulletin de recherche n'a pas fait l'objet d'un examen par des tiers, et ne reflète que les résultats d'investigations internes.
Lire le rapport complet (en Anglais)

Résumé: Ce bulletin de recherche décrit une attaque plausible sur un système anonyme basé sur les signatures de cercle. Nous nous appuyons sur le protocol de cryptomonnaie CryptoNote 2.0 apparemment publié par Nicolas van Saberhagen en 2012. Il a déjà été démontré que l'intraçabilité obscurcissant une pair de clefs à usage unique peut être dépendant de l'intraçabilité de toutes les clefs utilisées dans la composition de cette signature de cercle. Cela rend possible des réactions en chaine de la traçabilité entre les signatures de cercle, pouvant causer une réduction drastique de l'intraçabilité de l'ensemble du réseau si les paramètres sont piètrement choisis et si un attaquant possède un pourcentage suffisant du réseau. Les signatures sont cependant toujours à usage unique, et une telle attaque ne permettrait pas nécessairement de violer l'anonymat des utilisateurs. Cependant, une telle attaque pourrait potentiellement réduire la résistance dont fait preuve CryptoNote contre l'analyse de la chaîne de blocs. Ce bulletin de recherche n'a pas fait l'objet d'un examen par des tiers, et ne reflète que les résultats d'investigations internes.
Lire le rapport complet (en Anglais)

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.
Lire le rapport complet (en Anglais)