主頁
微信公眾號:密碼應(yīng)用技術(shù)實(shí)戰(zhàn)
博客園首頁:
https://www.cnblogs.com/informatics/
GIT地址:
https://github.com/warm3snow
簡介
在
《門羅幣隱私保護(hù)之隱形地址》
文章中,我們重點(diǎn)介紹了門羅幣Monero的隱形地址技術(shù)���,門羅幣通過隱形地址保證了交易的不可鏈接性,并實(shí)現(xiàn)了用戶的隱私保護(hù)和監(jiān)管需求�����。
本文將繼續(xù)介紹門羅幣的另一個核心技術(shù)——環(huán)簽名技術(shù)���,Monero通過環(huán)簽名技術(shù)�,實(shí)現(xiàn)了交易的不可追蹤性�����。
-
不可鏈接性
(Unlinkability):對于任何兩筆outgoing交易�����,無法證明它們是發(fā)送給同一個人的����。即對于任何兩個 outgoing 交易,無法證明它們是由同一個人收款的�。
-
不可追蹤性
(Untraceability):對于每一筆incoming交易,所有可能的發(fā)送者都是等概率的��。這意味著��,對于任何兩個incoming交易,無法證明它們是由同一個人發(fā)送的�。
注:incoming和outgoing交易分別表示用戶的收款和支出交易。
基礎(chǔ)知識
術(shù)語定義
-
\(\mathbb{Z}_l\)
:有限域�,
\(l\)
是一個大素數(shù),如:
\(l = 2^{252} + 27742317777372353535851937790883648493\)
-
\(P_i\)
:公鑰���,在環(huán)簽名中表示環(huán)中第
\(i\)
個公鑰, 當(dāng)
\(i = s\)
時���,
\(P_s\)
是簽名者的公鑰
-
\(R\)
:環(huán)簽名的環(huán)�,一組公鑰的集合,
\(R = {P_1, P_2, ..., P_n}\)
����,包含
\(P_s\)
-
\(x_s\)
或者
x_s
:環(huán)簽名中簽名者的私鑰, 私鑰范圍在
\(\mathbb{Z}_l\)
內(nèi)
-
\(\sigma\)
:環(huán)簽名的簽名結(jié)果
-
\(m\)
:待簽名的消息。在簽名時�����,通常會先對消息進(jìn)行哈希處理��。
-
\(H_s\)
:特性哈希函數(shù), 將輸入映射到
\(\mathbb{Z}_l\)
���,如:
\(H_s: \{0, 1\}^* \rightarrow \mathbb{Z}_l\)
-
\(H_p\)
:特性哈希函數(shù), 將輸入映射到橢圓曲線上的點(diǎn)���,如:
\(H_p: \{0, 1\}^* \rightarrow E(\mathbb{F}_q)\)
-
\(I\)
:密鑰鏡像����,在門羅幣中使用��,用于防止雙花攻擊
環(huán)簽名
環(huán)簽名
(
Ring Signature
)是一種數(shù)字簽名方案���,允許一組用戶中的任何一個用戶為某個消息生成簽名��,而不需要透露具體是哪個用戶生成的簽名����。環(huán)簽名的主要特點(diǎn)是它提供了
簽名
的
匿名性
和
可驗證性
��,確保簽名者的身份在簽名過程中保持隱私�。
環(huán)簽名的基本概念
-
環(huán)
:環(huán)簽名的“環(huán)”指的是一組公鑰,這些公鑰代表了可能的簽名者�����。簽名者在生成簽名時����,會選擇一個環(huán)中的公鑰作為自己的身份�,但外部觀察者無法確定具體是哪個公鑰對應(yīng)的用戶�。
-
簽名
:簽名者使用自己的私鑰和環(huán)中其他用戶的公鑰生成簽名。這個簽名可以被任何人驗證���,但無法確定簽名者的身份��。
-
驗證
:任何人都可以使用環(huán)來驗證簽名的有效性��,確保簽名確實(shí)是由環(huán)中的某個用戶生成的����。
環(huán)的大小是環(huán)簽名方案的一個重要參數(shù)�����,環(huán)越大�,簽名者的身份越難以確定��,簽名的匿名性越高��。但是環(huán)的大小也會影響簽名的計算和驗證性能�,因此需要在匿名性和性能之間進(jìn)行權(quán)衡。
環(huán)簽名構(gòu)造和驗證流程
-
初始化:簽名者Bob選擇環(huán)R中的公鑰,如{
\({P_1, P_2, ..., P_i, ..., P_n}\)
}��,其中Bob自身的公鑰
\(P_s\)
也在放入環(huán)R中
-
生成簽名:Bob基于環(huán)R中的公鑰和自己的私鑰
\(x_s\)
以及待簽名消息
\(m\)
���,生成環(huán)簽名
\(\sigma\)
-
驗證簽名:任何人都可以基于環(huán)R�,消息m對簽名
\(\sigma\)
進(jìn)行驗證
環(huán)簽名方案
涉及一個三元組
\((KeyGen, Sign, Verify)\)
�����,其中:
-
\(KeyGen\)
:密鑰生成算法��,簽名者使用
\(KeyGen\)
生成公私鑰對
\((P_s, x_s)\)
-
\(Sign(m, R, x_s)\)
:簽名算法�����,簽名者使用
\(Sign\)
生成環(huán)簽名
\(\sigma\)
, 其中
\(m\)
是消息����,
\(R\)
是環(huán),
\(x_s\)
是簽名者的私鑰
-
\(Verify(m, R, \sigma)\)
:驗證算法�����,任何人都可以使用
\(Verify\)
驗證簽名的有效性��。算法結(jié)果為布爾值,
\(true\)
表示簽名有效��,
\(false\)
表示簽名無效���。
門羅幣之環(huán)簽名
回顧在
《門羅幣隱私保護(hù)之隱形地址》
介紹的交易模型�,Bob作為收款方�,能夠驗證每一筆相關(guān)交易的有效性。
進(jìn)一步說明:
-
Bob作為收款人�����,在驗證每筆交易時�,Bob只需對每個輸出執(zhí)行兩次橢圓曲線乘法和一次加法(即生成
\(P'\)
),以檢查該交易是否屬于他�����。
-
對于每個屬于Bob的UTXO���,Bob恢復(fù)一個密鑰對
\((x, P)\)
并將其存儲在錢包中。
-
只有Bob可以生成地址
\(P\)
的私鑰
\(x\)
��,因此只有Bob能夠花費(fèi)這筆收入�����。
值得注意的是,
\((P, x)\)
是
一次性密鑰
�����,當(dāng)Bob花費(fèi)這筆收入時���,會使用該密鑰參與環(huán)簽名���,之后可以丟棄。
門羅幣環(huán)簽名
門羅幣使用環(huán)簽名技術(shù)����,實(shí)現(xiàn)了交易的不可追蹤性。門羅幣的環(huán)簽名方案基于CryptoNote協(xié)議�����。在CryptoNode協(xié)議中���,環(huán)簽名交易模型如下:
-
加入環(huán):Bob從門羅幣公開賬本中隨機(jī)選擇UTXO����,以及自己待花費(fèi)的UTXO,放入到新創(chuàng)建的UTXO中�,作為交易的
Tx input
, 所有UTXO的收款方地址{
\({P_1, ..., P_s, ..., P_n}\)
}構(gòu)成環(huán)
\(R\)
-
生成密鑰鏡像:Bob使用自己的簽名私鑰
\(x_s\)
和公鑰
\(P_s\)
, 生成密鑰鏡像
\(I\)
,區(qū)塊鏈礦工在驗證交易時��,會驗證
\(I\)
是否已經(jīng)被使用過��,以防止雙花攻擊
-
生成簽名:Bob使用環(huán)
\(R\)
和自己的私鑰
\(x_s\)
���,對交易進(jìn)行簽名���,生成環(huán)簽名
\(\sigma\)
門羅幣環(huán)簽名方案
門羅幣環(huán)簽名方案涉及一個四元組
\((KeyGen, Sign, Verify, Link)\)
,其中:
-
\(KeyGen, Sign, Verify\)
與一般的環(huán)簽名方案功能類似
-
\(Link\)
:區(qū)塊鏈礦工通過
\(Link\)
算法驗證對應(yīng)的密鑰鏡像
\(I\)
是否已經(jīng)被使用過�,以防止雙花攻擊
密鑰生成KeyGen
門羅幣的KeyGen算法與一般的環(huán)簽名方案類似,目的都是生成公私鑰對
\((P_s, x_s)\)
�����,其中
\(P_s\)
是簽名者的公鑰����,
\(x_s\)
是簽名者的私鑰。
不同的是:
-
門羅幣的公鑰來自于隱形地址技術(shù)�,即
\(P_s = H_s(aR)G + B\)
, 對應(yīng)的私鑰
\(x_s = H_s(aR) + b\)
-
門羅幣的KeyGen算法還會生成密鑰鏡像
\(I\)
����,用于防止雙花攻擊����。其中,
\(I = x_s \cdot H_p(P_s)\)
簽名算法Sign
在門羅幣中�,由于簽名公私鑰對
\((P_s, x_s)\)
是由隱形地址技術(shù)生成的,并且僅用于一次性簽名�����,因此門羅幣環(huán)簽名我們也稱為
一次性環(huán)簽名
��。
門羅幣的Sign算法如下:
-
初始化:
-
隨機(jī)選取其他用戶的公鑰
\(P_i\)
��,結(jié)合自己的公私鑰對
\((x_s, P_s)\)
����,構(gòu)成環(huán)
\(R = {P_1, P_2, ..., P_s, ..., P_n}\)
-
選擇兩個隨機(jī)數(shù)集合
\(Q\)
和
\(W\)
,如下
-
\(Q = \{q_i\}\)
,
\(i = 1, 2, ..., n \And q_i \in \mathbb{Z}_l\)
-
\(W = \{w_i\}\)
,
\(i = 1, 2, ..., n \And i \neq s \And w_i \in \mathbb{Z}_l\)
-
計算環(huán)簽名(類似零知識承諾:承諾-挑戰(zhàn)-響應(yīng)�,可以參考之前的文章
《零知識證明之承諾方案》
-
計算承諾,承諾由兩個集合組成
\(L\)
和
\(R\)
�����,集合元素計算如下:
-
計算挑戰(zhàn)(實(shí)際上是前面已有知識的哈希值)
其中�,
\(m\)
是待簽名的消息�,在這里表示交易信息(簽名除外��,因為簽名還未生成)
-
計算響應(yīng)
其中��,
\(\sigma\)
就是環(huán)簽名的簽名值�,
\(\sigma\)
驗證算法Verify
區(qū)塊鏈礦工在收到交易后,會對交易進(jìn)行簽名驗證�。礦工已知
\(R = {P_1, P_2, ..., P_n}\)
,以及環(huán)簽名
\(\sigma = (I, c_1, ..., c_n, r_1, ..., r_n)\)
, 簽名驗證Verify算法如下:
-
\(L^{'}\)
和
\(R^{'}\)
為兩個集合����,
\(\forall i \in [0, n]\)
如果上述等式成立,則簽名有效�����,否則簽名無效���,交易被拒絕����。
正確性驗證
在上述推導(dǎo)中���,由于
\(P_s = x_s \cdot G\)
��,所以:
\(-c_s \cdot x_s \cdot G + c_s \cdot P_s = -c_s \cdot P_s + c_s \cdot P_s = 0\)
在上述推導(dǎo)中��,由于
\(I = x_s \cdot H_p(P_s)\)
����,所以:
\(-c_s \cdot x_s \cdot H_p(P_s) + c_s \cdot I = -c_s \cdot I + c_s \cdot I = 0\)
-
計算
\(\sum_{i=0}^{n} c_i\)
由于
\(L^{'} = L\)
且
\(R^{'} = R\)
�,所以:
因此,簽名驗證等式成立�����,簽名有效��。
雙花驗證Link
�,密鑰鏡像和密鑰對之間的關(guān)系如下:
密鑰鏡像
\(I\)
的計算方式,反映了用戶密鑰和密鑰鏡像之間存在一一對應(yīng)關(guān)系����,而用戶密鑰(x, P)基于隱形地址技術(shù),只使用一次����,且與交易綁定。
礦工會記錄所有交易的密鑰鏡像列表�,在收到新交易時�����,會檢查交易中的
\(I\)
是否已存在于列表中��,如果存在���,則說明該交易的(x, P)已經(jīng)被使用過,是一筆雙花交易�����,交易被拒絕���。
結(jié)語
環(huán)簽名是門羅幣的另一個核心技術(shù)�����,通過環(huán)簽名技術(shù)���,實(shí)現(xiàn)了交易的不可追蹤性。本文簡單介紹了環(huán)簽名的基本概念�����,并詳細(xì)介紹了門羅幣的環(huán)簽名方案,包括密鑰生成�����、簽名��、驗證和雙花驗證等算法��。希望通過本文的介紹���,讀者對隱私幣的匿名技術(shù)有更進(jìn)一步的了解。
門羅幣隱私保護(hù)使用了多種技術(shù)�����,包括隱形地址����、環(huán)簽名、機(jī)密交易等���,這些技術(shù)共同構(gòu)成了門羅幣的隱私保護(hù)體系���。在接下來的文章中�����,我們將繼續(xù)介紹門羅幣的其他隱私保護(hù)技術(shù)����。
參考文獻(xiàn)
-
【1】
CryptoNote wiki
-
【2】
Monero wiki
-
【3】
Home | Monero - secure, private, untraceable
-
【4】
Elliptic-curve cryptography
-
【5】
CryptoNote whitepaper v2.0
-
【6】
《零知識證明之承諾方案》
