主頁(yè)
微信公眾號(hào):密碼應(yīng)用技術(shù)實(shí)戰(zhàn)
博客園首頁(yè):
https://www.cnblogs.com/informatics/
GIT地址:
https://github.com/warm3snow
簡(jiǎn)介
在
《門羅幣隱私保護(hù)之隱形地址》
文章中,我們重點(diǎn)介紹了門羅幣Monero的隱形地址技術(shù)�����,門羅幣通過(guò)隱形地址保證了交易的不可鏈接性�����,并實(shí)現(xiàn)了用戶的隱私保護(hù)和監(jiān)管需求�。
本文將繼續(xù)介紹門羅幣的另一個(gè)核心技術(shù)——環(huán)簽名技術(shù),Monero通過(guò)環(huán)簽名技術(shù)���,實(shí)現(xiàn)了交易的不可追蹤性����。
-
不可鏈接性
(Unlinkability):對(duì)于任何兩筆outgoing交易�,無(wú)法證明它們是發(fā)送給同一個(gè)人的。即對(duì)于任何兩個(gè) outgoing 交易,無(wú)法證明它們是由同一個(gè)人收款的����。
-
不可追蹤性
(Untraceability):對(duì)于每一筆incoming交易,所有可能的發(fā)送者都是等概率的��。這意味著����,對(duì)于任何兩個(gè)incoming交易,無(wú)法證明它們是由同一個(gè)人發(fā)送的���。
注:incoming和outgoing交易分別表示用戶的收款和支出交易���。
基礎(chǔ)知識(shí)
術(shù)語(yǔ)定義
-
\(\mathbb{Z}_l\)
:有限域,
\(l\)
是一個(gè)大素?cái)?shù)�,如:
\(l = 2^{252} + 27742317777372353535851937790883648493\)
-
\(P_i\)
:公鑰,在環(huán)簽名中表示環(huán)中第
\(i\)
個(gè)公鑰, 當(dāng)
\(i = s\)
時(shí)�����,
\(P_s\)
是簽名者的公鑰
-
\(R\)
:環(huán)簽名的環(huán)�����,一組公鑰的集合,
\(R = {P_1, P_2, ..., P_n}\)
�,包含
\(P_s\)
-
\(x_s\)
或者
x_s
:環(huán)簽名中簽名者的私鑰, 私鑰范圍在
\(\mathbb{Z}_l\)
內(nèi)
-
\(\sigma\)
:環(huán)簽名的簽名結(jié)果
-
\(m\)
:待簽名的消息����。在簽名時(shí),通常會(huì)先對(duì)消息進(jìn)行哈希處理��。
-
\(H_s\)
:特性哈希函數(shù), 將輸入映射到
\(\mathbb{Z}_l\)
���,如:
\(H_s: \{0, 1\}^* \rightarrow \mathbb{Z}_l\)
-
\(H_p\)
:特性哈希函數(shù), 將輸入映射到橢圓曲線上的點(diǎn)�,如:
\(H_p: \{0, 1\}^* \rightarrow E(\mathbb{F}_q)\)
-
\(I\)
:密鑰鏡像���,在門羅幣中使用�,用于防止雙花攻擊
環(huán)簽名
環(huán)簽名
(
Ring Signature
)是一種數(shù)字簽名方案�����,允許一組用戶中的任何一個(gè)用戶為某個(gè)消息生成簽名���,而不需要透露具體是哪個(gè)用戶生成的簽名��。環(huán)簽名的主要特點(diǎn)是它提供了
簽名
的
匿名性
和
可驗(yàn)證性
����,確保簽名者的身份在簽名過(guò)程中保持隱私。
環(huán)簽名的基本概念
-
環(huán)
:環(huán)簽名的“環(huán)”指的是一組公鑰���,這些公鑰代表了可能的簽名者��。簽名者在生成簽名時(shí)����,會(huì)選擇一個(gè)環(huán)中的公鑰作為自己的身份���,但外部觀察者無(wú)法確定具體是哪個(gè)公鑰對(duì)應(yīng)的用戶�����。
-
簽名
:簽名者使用自己的私鑰和環(huán)中其他用戶的公鑰生成簽名���。這個(gè)簽名可以被任何人驗(yàn)證,但無(wú)法確定簽名者的身份��。
-
驗(yàn)證
:任何人都可以使用環(huán)來(lái)驗(yàn)證簽名的有效性�,確保簽名確實(shí)是由環(huán)中的某個(gè)用戶生成的。
環(huán)的大小是環(huán)簽名方案的一個(gè)重要參數(shù)����,環(huán)越大����,簽名者的身份越難以確定���,簽名的匿名性越高。但是環(huán)的大小也會(huì)影響簽名的計(jì)算和驗(yàn)證性能��,因此需要在匿名性和性能之間進(jìn)行權(quán)衡��。
環(huán)簽名構(gòu)造和驗(yàn)證流程
-
初始化:簽名者Bob選擇環(huán)R中的公鑰��,如{
\({P_1, P_2, ..., P_i, ..., P_n}\)
}����,其中Bob自身的公鑰
\(P_s\)
也在放入環(huán)R中
-
生成簽名:Bob基于環(huán)R中的公鑰和自己的私鑰
\(x_s\)
以及待簽名消息
\(m\)
,生成環(huán)簽名
\(\sigma\)
-
驗(yàn)證簽名:任何人都可以基于環(huán)R��,消息m對(duì)簽名
\(\sigma\)
進(jìn)行驗(yàn)證
環(huán)簽名方案
涉及一個(gè)三元組
\((KeyGen, Sign, Verify)\)
����,其中:
-
\(KeyGen\)
:密鑰生成算法,簽名者使用
\(KeyGen\)
生成公私鑰對(duì)
\((P_s, x_s)\)
-
\(Sign(m, R, x_s)\)
:簽名算法��,簽名者使用
\(Sign\)
生成環(huán)簽名
\(\sigma\)
, 其中
\(m\)
是消息,
\(R\)
是環(huán)��,
\(x_s\)
是簽名者的私鑰
-
\(Verify(m, R, \sigma)\)
:驗(yàn)證算法��,任何人都可以使用
\(Verify\)
驗(yàn)證簽名的有效性�����。算法結(jié)果為布爾值��,
\(true\)
表示簽名有效�����,
\(false\)
表示簽名無(wú)效��。
門羅幣之環(huán)簽名
回顧在
《門羅幣隱私保護(hù)之隱形地址》
介紹的交易模型�,Bob作為收款方����,能夠驗(yàn)證每一筆相關(guān)交易的有效性。
進(jìn)一步說(shuō)明:
-
Bob作為收款人����,在驗(yàn)證每筆交易時(shí)���,Bob只需對(duì)每個(gè)輸出執(zhí)行兩次橢圓曲線乘法和一次加法(即生成
\(P'\)
),以檢查該交易是否屬于他��。
-
對(duì)于每個(gè)屬于Bob的UTXO��,Bob恢復(fù)一個(gè)密鑰對(duì)
\((x, P)\)
并將其存儲(chǔ)在錢包中。
-
只有Bob可以生成地址
\(P\)
的私鑰
\(x\)
���,因此只有Bob能夠花費(fèi)這筆收入�。
值得注意的是���,
\((P, x)\)
是
一次性密鑰
�,當(dāng)Bob花費(fèi)這筆收入時(shí)�,會(huì)使用該密鑰參與環(huán)簽名���,之后可以丟棄。
門羅幣環(huán)簽名
門羅幣使用環(huán)簽名技術(shù)��,實(shí)現(xiàn)了交易的不可追蹤性。門羅幣的環(huán)簽名方案基于CryptoNote協(xié)議��。在CryptoNode協(xié)議中�,環(huán)簽名交易模型如下:
-
加入環(huán):Bob從門羅幣公開(kāi)賬本中隨機(jī)選擇UTXO,以及自己待花費(fèi)的UTXO���,放入到新創(chuàng)建的UTXO中����,作為交易的
Tx input
, 所有UTXO的收款方地址{
\({P_1, ..., P_s, ..., P_n}\)
}構(gòu)成環(huán)
\(R\)
-
生成密鑰鏡像:Bob使用自己的簽名私鑰
\(x_s\)
和公鑰
\(P_s\)
, 生成密鑰鏡像
\(I\)
����,區(qū)塊鏈礦工在驗(yàn)證交易時(shí),會(huì)驗(yàn)證
\(I\)
是否已經(jīng)被使用過(guò)�����,以防止雙花攻擊
-
生成簽名:Bob使用環(huán)
\(R\)
和自己的私鑰
\(x_s\)
�,對(duì)交易進(jìn)行簽名,生成環(huán)簽名
\(\sigma\)
門羅幣環(huán)簽名方案
門羅幣環(huán)簽名方案涉及一個(gè)四元組
\((KeyGen, Sign, Verify, Link)\)
�����,其中:
-
\(KeyGen, Sign, Verify\)
與一般的環(huán)簽名方案功能類似
-
\(Link\)
:區(qū)塊鏈礦工通過(guò)
\(Link\)
算法驗(yàn)證對(duì)應(yīng)的密鑰鏡像
\(I\)
是否已經(jīng)被使用過(guò)�����,以防止雙花攻擊
密鑰生成KeyGen
門羅幣的KeyGen算法與一般的環(huán)簽名方案類似��,目的都是生成公私鑰對(duì)
\((P_s, x_s)\)
�����,其中
\(P_s\)
是簽名者的公鑰��,
\(x_s\)
是簽名者的私鑰��。
不同的是:
-
門羅幣的公鑰來(lái)自于隱形地址技術(shù)���,即
\(P_s = H_s(aR)G + B\)
, 對(duì)應(yīng)的私鑰
\(x_s = H_s(aR) + b\)
-
門羅幣的KeyGen算法還會(huì)生成密鑰鏡像
\(I\)
,用于防止雙花攻擊�。其中,
\(I = x_s \cdot H_p(P_s)\)
簽名算法Sign
在門羅幣中,由于簽名公私鑰對(duì)
\((P_s, x_s)\)
是由隱形地址技術(shù)生成的��,并且僅用于一次性簽名�����,因此門羅幣環(huán)簽名我們也稱為
一次性環(huán)簽名
。
門羅幣的Sign算法如下:
-
初始化:
-
隨機(jī)選取其他用戶的公鑰
\(P_i\)
����,結(jié)合自己的公私鑰對(duì)
\((x_s, P_s)\)
,構(gòu)成環(huán)
\(R = {P_1, P_2, ..., P_s, ..., P_n}\)
-
選擇兩個(gè)隨機(jī)數(shù)集合
\(Q\)
和
\(W\)
����,如下
-
\(Q = \{q_i\}\)
,
\(i = 1, 2, ..., n \And q_i \in \mathbb{Z}_l\)
-
\(W = \{w_i\}\)
,
\(i = 1, 2, ..., n \And i \neq s \And w_i \in \mathbb{Z}_l\)
-
計(jì)算環(huán)簽名(類似零知識(shí)承諾:承諾-挑戰(zhàn)-響應(yīng),可以參考之前的文章
《零知識(shí)證明之承諾方案》
-
計(jì)算承諾��,承諾由兩個(gè)集合組成
\(L\)
和
\(R\)
�����,集合元素計(jì)算如下:
-
計(jì)算挑戰(zhàn)(實(shí)際上是前面已有知識(shí)的哈希值)
其中����,
\(m\)
是待簽名的消息,在這里表示交易信息(簽名除外���,因?yàn)楹灻未生成)
-
計(jì)算響應(yīng)
其中����,
\(\sigma\)
就是環(huán)簽名的簽名值���,
\(\sigma\)
驗(yàn)證算法Verify
區(qū)塊鏈礦工在收到交易后�����,會(huì)對(duì)交易進(jìn)行簽名驗(yàn)證����。礦工已知
\(R = {P_1, P_2, ..., P_n}\)
,以及環(huán)簽名
\(\sigma = (I, c_1, ..., c_n, r_1, ..., r_n)\)
, 簽名驗(yàn)證Verify算法如下:
-
\(L^{'}\)
和
\(R^{'}\)
為兩個(gè)集合����,
\(\forall i \in [0, n]\)
如果上述等式成立,則簽名有效����,否則簽名無(wú)效,交易被拒絕��。
正確性驗(yàn)證
在上述推導(dǎo)中�,由于
\(P_s = x_s \cdot G\)
����,所以:
\(-c_s \cdot x_s \cdot G + c_s \cdot P_s = -c_s \cdot P_s + c_s \cdot P_s = 0\)
在上述推導(dǎo)中,由于
\(I = x_s \cdot H_p(P_s)\)
�,所以:
\(-c_s \cdot x_s \cdot H_p(P_s) + c_s \cdot I = -c_s \cdot I + c_s \cdot I = 0\)
-
計(jì)算
\(\sum_{i=0}^{n} c_i\)
由于
\(L^{'} = L\)
且
\(R^{'} = R\)
,所以:
因此,簽名驗(yàn)證等式成立���,簽名有效��。
雙花驗(yàn)證Link
���,密鑰鏡像和密鑰對(duì)之間的關(guān)系如下:
密鑰鏡像
\(I\)
的計(jì)算方式,反映了用戶密鑰和密鑰鏡像之間存在一一對(duì)應(yīng)關(guān)系���,而用戶密鑰(x, P)基于隱形地址技術(shù)���,只使用一次,且與交易綁定����。
礦工會(huì)記錄所有交易的密鑰鏡像列表,在收到新交易時(shí)����,會(huì)檢查交易中的
\(I\)
是否已存在于列表中,如果存在����,則說(shuō)明該交易的(x, P)已經(jīng)被使用過(guò)�����,是一筆雙花交易���,交易被拒絕。
結(jié)語(yǔ)
環(huán)簽名是門羅幣的另一個(gè)核心技術(shù)�����,通過(guò)環(huán)簽名技術(shù)��,實(shí)現(xiàn)了交易的不可追蹤性�。本文簡(jiǎn)單介紹了環(huán)簽名的基本概念,并詳細(xì)介紹了門羅幣的環(huán)簽名方案���,包括密鑰生成����、簽名���、驗(yàn)證和雙花驗(yàn)證等算法。希望通過(guò)本文的介紹����,讀者對(duì)隱私幣的匿名技術(shù)有更進(jìn)一步的了解���。
門羅幣隱私保護(hù)使用了多種技術(shù),包括隱形地址��、環(huán)簽名�、機(jī)密交易等,這些技術(shù)共同構(gòu)成了門羅幣的隱私保護(hù)體系��。在接下來(lái)的文章中�����,我們將繼續(xù)介紹門羅幣的其他隱私保護(hù)技術(shù)���。
參考文獻(xiàn)
-
【1】
CryptoNote wiki
-
【2】
Monero wiki
-
【3】
Home | Monero - secure, private, untraceable
-
【4】
Elliptic-curve cryptography
-
【5】
CryptoNote whitepaper v2.0
-
【6】
《零知識(shí)證明之承諾方案》
