在游戏《最终幻想》中,来自兰迪斯共和国的全能战士巴修被称作最弱之盾,他身经百战、骁勇冷静,被子民视作英雄。而在区块链世界,Zcash、门罗币、零科学知识证明等不存在,也被称作隐私的最弱之盾,它们可以有效地保证交易信息不被泄漏,然而,这个世界知道不存在密不透风的墙吗?本期的学术共享,我们重点引荐斯坦福大学教授Dan Boneh等人近期的研究成果《针对电子邮件交易的远程外侧信道反击》。而在软核技术文章精选辑部分,我们还不会看见zkSNARK 证明优化、Taproot/Schnorr升级、雷电网络局限性、Substrate等内容。
另外,在过去的一周当中,以太坊1.X、以太坊2.0以及Layer 2也步入了众多技术进展。比特币作为仅次于的加密货币,其交易只不过并不是电子邮件的,众多学术研究早已指出,比特币的交易图可以被有效地去电子邮件化,即使是很多所谓的电子邮件加密货币也是如此。而对于那些期望在公共区块链上取得交易隐私的用户而言,像Zcash、门罗币(Monero)这样的电子邮件加密货币系统,因用于了非常高级的密码学原语,例如简练零科学知识证明(zkSNARKs)和环亲笔签名(ring signatures),从而获取了更高程度的不能链接性。
那用于这样的系统,用户可以高枕无忧了吗?实质上,尽管它们享有了强劲的密码学原语维护,但还是不会不存在一些协议层的隐私攻击方式不会对这些系统的隐私性构成威胁,这也是斯坦福大学教授Dan Boneh等密码学大牛近期的研究成果。原论文链接:https://crypto.stanford.edu/timings/paper.pdf(录:研究者向Zcash和Monero安全性团队透露了这些反击,并且他们已在近期版本客户端中修缮了涉及漏洞。例如,Zcash v2.0.7-3版本客户端引进了初始修缮,v2.1.1-1版本客户端为区块处置中的时间外侧信道引进了更进一步的修缮。而Monero则在v0.15.0版本客户端中引进了修缮。
将客户端改版到近期版本的用户,将容易受到此类反击的威胁。另外,由于反击必须监控和参予Zcash或Monero网络,因此此类反击并无法追溯到以往的交易。)1、1 电子邮件缴纳系统的架构在叙述涉及反击之前,我们再行来理解下隐私加密货币(以Zcash和Monero为事例)的一些核心设计概念。
这些加密货币是创建在比特币的UTXO(并未花费交易输入)模型之上的,即每笔交易会花费以前交易的输入,并产生新的输入。这些UTXO的子集不会记录在区块链中,并回应流通中的总货币。货币的每个用户都享有一个或多个公钥(也称作地址),并且相连到P2P网络以发送到和接管交易。隐私目标:在比特币中,UTXO是一个(amount,pk)元祖(tuple),其中pk代表接收者的公钥。
为了以后用于这个UTXO,接收者在适当的密钥下分解一个亲笔签名。这样,一笔交易就表明了所用货币的数量、资金的来源(即用于了哪些UTXO)及其目的地(即新UTXO所有者的公钥)。此外,用户的公钥可链接至其向网络发送到交易时相连到的P2P节点。
而Zcash和Monero等电子邮件加密货币,目的获取以下更加强劲的隐私确保:1. 保密性:交易不透露交易金额;2. 不能跟踪性:当交易花费UTXO时,很难辨识交易分解了该UTXO;3. 不能链接性:等价两笔发送到网络的交易(最少有一笔是由输掉发送到),则输掉无法辨别它们否缴纳完全相同的地址。此外,等价两个地址,输掉无法确认它们否归属于同一用户;4. 用户电子邮件:等价用户地址(即公钥),输掉无法确认该地址的所有者如何相连到P2P网络;而这些隐私确保,一般来说是通过密码学技术的人组来构建的,下面我们将非常简单地叙述下这些技术:1. 保密交易技术(CT)隐蔽了交易资金的数额,一笔保密交易的UTXO形式为(Commit(amount), pk),也就是说,它们只表明交易金额的密码学允诺。交易还包括证明其总余额为0的一个证明。
2. UTXO电子邮件集通过隐蔽交易输出的身份获取不能跟踪性。具体来说,电子邮件交易会表明它花费的UTXO,而只表明一个超级UTXO集,以及这个子集中某些UTXO所有权的零科学知识证明。3. 误解及多样化地址确保不能链接性。
为了避免发送到同一地址交易的可链接性,电子邮件交易的UTXO包括一个“误解”公钥(例如,Zcash中对该密钥的允诺)。多样化地址(或Monero中的子地址)使得用户需要电子邮件地与多个实体展开交易,而需要管理多个密钥。通过单个密钥sk,用户可以创立多个公钥pk1,…… pkn。
这些密钥是不能链接的:很难确认两个公钥pk、pk0否来自于同一个密钥。区块链扫瞄是不能链接性的技术后果。由于电子邮件交易的UTXO并会明晰表明接管方的公钥,因此用户必需扫瞄每笔新的交易并继续执行各种密码学操作者,以检查交易否和它们有关。用户匿名性由不能跟踪性和不能链接性确保。
由于交易会表明发送到方或接管方的公钥,因此用户的公钥无法链接至其用作发送到或接管交易的P2P节点。
本文来源:bob官方网站-www.oneillsgardenland.com