Monero Research Lab (MRL)

Monero non si impegna solo a creare una moneta fungibile, ma anche a perseguire la ricerca nel campo della privacy finanziaria. Qui di seguito troverai il lavoro del nostro Monero Research Lab, lavoro cui verranno aggiunti ulteriori documenti in futuro. To contact the Monero Research Lab, please email lab@getmonero.org.

Articoli Monero Research Lab (English)

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Abstract: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.

Abstract: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.

Abstract: We demonstrate that a version of non-slanderability is a natural definition of unforgeability for linkable ring signatures. We present a linkable ring signature construction with concise signatures and multi-dimensional keys that is linkably anonymous if a variation of the decisional Diffie-Hellman problem with random oracles is hard, linkable if key aggregation is a one-way function, and non-slanderable if a one-more variation of the discrete logarithm problem is hard. We remark on some applications in signer-ambiguous confidential transaction models without trusted setup.

Abstract: Questa nota tecnica descrive un algoritmo usato per provare la conoscenza del medesimo logaritmo discreto fra gruppi diversi. Lo schema esprime il valore comune come una rappresetazione scalare di bit, ed usa un set di firme ad anello per provare che ogni bit è un valore valido che è lo stesso (fino ad un'equivalenza) fra entrambi i gruppi scalari.

Abstract: Presentiamo multifirme a soglia (firme thring) per il calcolo collaborativo delle firme ad anello, presentiamo un gioco di falsificazione esistenziale per le firme e discutiamo gli usi delle firme in monete digitali che includono scambi atomici a catena incrociata ambigui in spesa per importi confidenziali senza una configurazione affidabile. Presentiamo un'implementazione di firme thring che chiamiamo firme di gruppo anonime con soglia spontanea collegabile e dimostriamo che l'implementazione non è falsificabile.

Abstract: Questo bollettino descrive una modifica allo schema di firma ad anello collegabile di Monero che consente output a due chiavi come membri dell'anello. Le immagini della chiave sono legate a entrambe le chiavi pubbliche di un output in un duale, impedendo che entrambe le chiavi in quella transazione vengano spese separatamente. Questo metodo ha applicazioni per le transazioni di rimborso non interattive. Discutiamo le implicazioni di sicurezza di questo schema.

Abstract: Questa nota tecnica generalizza il concetto di output spesi utilizzando la teoria di base degli insiemi. La definizione cattura una verietà di lavori precedenti per identificare questi output. Quantifichiamo gli effetti di questa analisi sulla blockchain di Monero e presentiamo una breve analisi sulle possibili mitigazioni.

Abstract: Gli utenti della criptovaluta Monero che desiderano riutilizzare gli indirizzi del portafoglio in modo non collegabile devono conservare portafogli separati, il che richiede la scansione delle transazioni in entrata per ciascuno. Documentiamo un nuovo schema di indirizzi che consente a un utente di mantenere un singolo indirizzo di portafoglio principale e di generare un numero arbitrario di sottoindirizzi non collegabili. Ogni transazione deve essere scansionata una sola volta per determinare se è destinata a uno dei sottoindirizzi dell'utente. Lo schema supporta inoltre più output per altri sottoindirizzi ed è efficiente quanto le transazioni di portafoglio tradizionali.

Abstract: Questo articolo introduce un metodo per nascondere gli importi delle transazioni nella criptovaluta anonima fortemente decentrata Monero. Similmente a Bitcoin, Monero è una criptovaluta che viene distribuita attraverso una prova di lavoro di "mining". Il protocollo Monero originale era basato su CryptoNote, che utilizza le firme ad anello e chiavi usa e getta per nascondere la destinazione e l'origine delle transazioni. Recentemente la tecnica di utilizzare uno schema di impegno per nascondere la quantità di una transazione è stata discussa e implementata da Gregory Maxwell, sviluppatore di Bitcoin Core. In questo articolo, viene descritto un nuovo tipo di firma ad anello, una firma di gruppo anonimo spontaneo collegabile a più livelli che consente di nascondere importi, origini e destinazioni delle transazioni con efficienza ragionevole e generazione di monete affidabile e verificabile. Sono fornite alcune estensioni del protocollo, come ad esempio le Range Proof Schnorr aggregate e la multifirma ad anello. L'autore fa notare che le prime bozze di questo sono state pubblicizzate nella comunità Monero e nel canale irc di ricerca Bitcoin. Le bozze con hash block Blockchain sono disponibili in [14] che mostrano che questo lavoro è stato avviato nell'estate 2015 e completato all'inizio di ottobre 2015. Un eprint è disponibile anche su http://eprint.iacr.org/2015/1098.

Abstract: Identifichiamo diversi attacchi di analisi della blockchain disponibili per degradare la non tracciabilità del protocollo CryptoNote 2.0. Analizziamo le possibili soluzioni, discutiamo i vantaggi e gli svantaggi relativi a tali soluzioni e raccomandiamo miglioramenti al protocollo Monero che si spera forniscano una resistenza a lungo termine della criptovaluta contro l'analisi della blockchain. I miglioramenti da noi raccomandati a Monero includono una politica di mix-in minimo a livello di protocollo di n = 2 output esterni per firma ad anello, un aumento a livello di protocollo di questo valore a n = 4 dopo due anni e un valore predefinito a livello di portafoglio valore di n = 4 nel contempo. Consigliamo anche un metodo in stile torrent per inviare l'output Monero. Discutiamo anche di un metodo di selezione mix-in non uniforme, dipendente dall'età, per attenuare le altre forme di analisi blockchain qui identificate, ma non facciamo raccomandazioni formali sull'implementazione per una serie di ragioni. Le ramificazioni che seguono questi miglioramenti vengono inoltre discusse in dettaglio. Questo bollettino di ricerca non ha subito revisioni tra pari e riflette solo i risultati delle indagini interne.

Abstract: Recentemente, ci sono stati vaghi timori riguardo al codice sorgente e al protocollo di CryptoNote che circolano su Internet, timori causati dal fatto che si tratta di un protocollo più complicato rispetto, ad esempio, a Bitcoin. Lo scopo di questa nota è di provare a chiarire alcuni equivoci e, si spera, rimuovere parte del mistero che circonda le firme ad anello di Monero. Inizierò confrontando la matematica coinvolta nelle firme ad anello di CryptoNote (come descritto in [CN]) con la matematica in [FS], su cui è basato CryptoNote. Dopo questo, confronterò la matematica della firma ad anello con quella che è effettivamente nel codice di CryptoNote.

Abstract: Il 4 settembre 2014 è stato eseguito un attacco insolito ed originale contro la rete di criptovaluta Monero. Questo attacco ha suddiviso la rete in due sottoinsiemi distinti che si sono rifiutati di accettare la legittimità dell'altro sottoinsieme. Ciò ha avuto una miriade di effetti, non tutti ancora noti. L'aggressore ha avuto una breve finestra di tempo durante la quale avrebbe potuto verificarsi una sorta di contraffazione. Questo bollettino di ricerca descrive le carenze nel codice di riferimento di CryptoNote che consente questo attacco, descrive la soluzione inizialmente proposta da Rafal Freeman da Tigusoft.pl e successivamente dal team di CryptoNote, descrive la correzione corrente nel codice base Monero ed elabora esattamente cosa il blocco illecito ha fatto alla rete. Questo bollettino di ricerca non ha subito revisioni tra pari e riflette solo i risultati di indagini interne.

Abstract: Questo bollettino di ricerca descrive un possibile attacco ad un sistema di anonimato basato sulle firme ad anello. Usiamo come motivazione il protocollo di criptovaluta CryptoNote 2.0 apparentemente pubblicato da Nicolas van Saberhagen nel 2012. È stato precedentemente dimostrato che la non tracciabilità che oscura una coppia di chiavi usa e getta può dipendere dalla non rintracciabilità di tutte le chiavi usate nella composizione di quella firma ad anello. Ciò consente la possibilità di reazioni a catena nella tracciabilità tra le firme degli anelli, causando una perdita critica nella non tracciabilità attraverso l'intera rete se i parametri sono scelti in modo errato e se un utente malintenzionato possiede il controllo di una percentuale sufficiente della rete. Tuttavia, le firme sono ancora "una tantum" e qualsiasi attacco di questo tipo non viola necessariamente l'anonimato degli utenti. Tuttavia, un tale attacco potrebbe indebolire la resistenza che CryptoNote presenta contro l'analisi blockchain. Questo bollettino di ricerca non ha subito revisioni tra pari e riflette solo i risultati di indagini interne.

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.