區塊鏈隱私保護技術解析——之門羅幣(monero)
一、引言
近幾年勒索攻擊事件頻頻發生,且數量逐年增加。勒索事件對各國政府機構、交易、科技、醫療、傳媒、金融都產生較重的影響。2020年,全球因勒索軟件造成的損失大約25萬億美元。勒索病毒幕后的黑客獲得了高額的贖金,并成功兌現,這樣更加劇了勒索事件的爆發。勒索軟件一般采用加密貨幣做為贖金進行交易。加密貨幣由于其自身的特性-匿名性很難被第三方監管,而且難以追蹤和溯源。
從2011年開始使用加密貨幣交易的勒索軟件迅速增長,幾乎每個季度都加倍增長。勒索事件中加密貨幣的使用成倍增加的原因在于加密貨幣天然的匿名性。黑客大多數使用的加密貨幣都是我們耳熟能詳的比特幣作為贖金。比特幣交易結構中的地址關系如圖1所示。比特幣的地址和背后實體的關系不是真正意義上的匿名,而是使用了一個地址作為假名。猶如實際生活中的網名一樣,只是這個網名和現實實體的關系沒有記錄在一個中心化的服務器上,所以不能得到網名和現實實體的關系,比特幣利用這樣的方式實現匿名性。
圖1. 比特幣的交易結構
實際上根據T.Okamoto 和 K.Ohta描述的理想加密貨幣的標準中包含“隱私性:用戶和他的購買物的關系不能被任何人追蹤。”這個可以總結為兩個隱私特性:
- 不可追蹤性:交易的輸出和輸入之間的關系不可追蹤,即不能分辨交易的輸出和輸入之間的關系;
- 不可鏈接性:交易的輸入之間是等概率的,即不能分辨交易的發送者之間的關系;
比特幣(Bitcoin)交易的格式和公開的賬本信息造成了Bitcoin的交易是可追蹤的,另外通過對區塊鏈交易啟發式聚類分析可以顯示出用戶地址之間的關系從提取的數據可以推斷一些用戶隱藏的信息[1] [2]。
針對這些脆弱性,比特幣論壇提出了一些解決辦法,也就是混幣方案其靈感來自于洗錢方法。但是混幣方案的中心也有可能暴露用戶的隱私。針對Bitcoin的隱私性不足,誕生了一批強匿名性的加密貨幣,其中具有代表性的是Bytecoin,Dash(Verge),Zerocoin,Zerocash,Monero等。黑客利用門羅幣挖礦事件一直頻頻發生,綠盟科技的威脅捕獲系統,可以監測門羅幣挖礦的僵尸網絡。自2017年以來,門羅幣(Monero)在強匿名加密貨幣中的主導地位一直上升,強匿名貨幣的市場份額雖然小,但一直是黑客和暗網市場的寵兒。如圖2所示,Monero以超過55%的市場份額位居榜首,Zcash和Dash緊隨其后,市場份額大致相同,其他強匿名性加密貨幣大多是不知名。
圖2. 門羅幣的市場份額
二、門羅幣(Monero)介紹
針對比特幣的隱私泄漏,門羅幣[3]陸續采用了三種技術實現區塊鏈的強匿名性,這三種技術是:
- 一次性地址
- 環簽名
- 環機密交易
這三種技術分別解決的問題是可鏈接性,可追蹤性,交易數據隱私。并且根據密碼學技術的發展對技術進行迭代更新,使得效率更高,占用的資源更少。
比特幣等區塊鏈的地址和交易結構存在脆弱性,通過對地址和交易的分析可以推斷出用戶的隱私信息,主要有兩個方面:一個是交易之間的關聯性通過區塊鏈中的公開賬本可以獲得,即交易的可追蹤性;另一個是通過對區塊鏈地址的啟發式聚類分析可以推斷和分析出其他地址和實體的關系[1] [2],即交易的可鏈接性。門羅幣通過上面的一次性簽名解決了交易的可追蹤性,通過環簽名解決交易的可鏈接性。
2.1 門羅幣的一次性地址
比特幣中,一個用戶一旦公布地址,那么鏈上關于此地址的所有交易和地址的擁有金額都可以查詢,比特幣實質上是將用戶和區塊鏈上的假名綁定在了一起。門羅幣利用了一次性簽名使得觀察者不知道一個交易的接收方是誰,這樣隱藏了一個交易的接收方,使得交易不能被追蹤。
比特幣的地址生成方式是由一個私鑰通過橢圓曲線生成一個公鑰,公鑰通過兩次hash后得到一個地址,一個企業或者店鋪可以公開自己的地址進行收款服務,個人也可以把地址私下發送給要給自己轉賬的人,其他人可以通過交易轉賬到此地址。這個地址的所有交易都記錄在比特幣的公開賬本上,任何一個全節點都可以獲得這些交易數據。這個企業,商鋪或者個人的交易信息就會被所有人得到,通過數據分析會泄露企業或者店鋪的大量商業信息和隱私信息。
圖3. 比特幣地址生成
門羅幣采用一次性地址來解決上面比特幣出現的信息泄漏來加強隱私保護的,門羅的的橢圓曲線參數選擇的ED25519,每一個使用者生成兩個私鑰(SK1,SK2),并生成私鑰對應的公鑰(PK1,PK2),此公鑰對就是門羅幣使用者的公開地址。一個門羅幣的使用者公布一對公鑰(PK1,PK2),一個發送者要發送一筆交易到地址(PK1,PK2)上,發送者首先生成一個隨機隨機數r,利用隨機數和PK1相乘得到一個橢圓點(r*PK1),計算(Addri=hash(r*PK1)G+PK2),發送者付款到地址Addri,并附帶一個參數(R=r*G),圖4示例了門羅幣一次性地址(Addri)的生成過程,門羅幣公布的地址(PK1,PK2)不在區塊鏈賬本上顯示,而且出了擁有私鑰的使用者,其他任何節點不能得到一個地址(Addri)是否屬于(PK1,PK2)。只有擁有PK1的私鑰才能推算一個地址是否屬于(PK1,PK2)。接收者如果能通過私鑰計算出一筆交易的地址(Addri),那么這筆交易屬于接收者的。
圖4. 門羅幣的地址生成
門羅幣的一次性地址和比特幣的普通地址相比,比特幣地址猶如一個使用者使用了一個假名,任何人都可以得到這個假名(地址)的交易信息。而門羅幣收款則是每一次交易使用一次性假名,且每個假名都是使用了單向函數和DH交互協議生成,使得除了私鑰擁有者外其他人無法獲得假名之間的關系。這樣一個全節點即不知道賬戶之間的關系,更無從得到一個賬戶的資產。圖5示例了比特幣地址和門羅幣地址的對比。門羅幣使用一次性地址解決了區塊鏈公的可追蹤性,加強了隱私保護。
圖5. 比特幣地址和門羅幣地址對比
2.2 門羅幣的環簽名
環簽名是在十七世紀的時候,法國群臣向國王進諫時,為了不讓國王追查到是由誰帶頭簽名上書的,于是他們發明出了一種環形簽名的方式,所有人的姓名按環形排列,自然的隱藏了簽名順序,從而做到無法追查源頭。
比特幣只是每個數字貨幣擁有者使用地址對應的私鑰進行簽名即可花費地址上的數字資產,但是門羅幣利用了環簽名,用一組地址作為輸入,其中只有一個地址的數字資產進行花費,其他的地址是隨機從區塊鏈上選擇的,區塊鏈分析者不能通過任何簽名數據和區塊鏈上數據分辨出花費數字資產。圖6顯示比特幣的簽名和門羅幣環簽名的對比。從感官上可以看到比特幣和門羅幣兩種簽名方式的不同。
圖6 比特幣簽名 VS. 門羅幣環簽名
密碼學中的環簽名是由群簽名演變而來,即一個群組中的任何群組成員的簽名,可以通過一個群組的公鑰驗證通過。但是無法追蹤簽名者是群組中的哪一個成員。門羅幣使用的環簽名技術是一種可鏈接環簽名,即同一個成員簽名兩次是可鏈接的。針對區塊鏈交易的可鏈接性門羅幣通過環簽名使得交易的輸入方有幾個輸入干擾地址,從而分析者不能區分一筆交易的發送方是哪一個地址的輸入,交易的輸入干擾地址和真實的地址不可區分,且等概率。
2.2.1 環簽名算法
門羅幣在剛發行時采用的環簽名算法[4],由(GEN,SIG,VER,LNK)組成:
環簽名的詳細算法見圖 7 , 2017 年門羅幣把最初的環簽名算法替換為可鏈接的環簽名 [5] 技術升級了門羅幣的環簽名,此次環簽名的改進使得簽名大小減小了一半,同時使得區塊鏈存儲花費降低了接近一半。 2020 年門羅幣的環簽名采用了緊湊型可鏈接環簽名方案使得交易的大小減小約 25% 交易驗證速度提高 20%.
圖7 門羅幣環簽名算法
2.3 門羅幣的交易結構
一般區塊鏈如比特幣或者以太坊的交易結構”From A to B m amount ” ,例如比特幣交易結構示意圖如圖8所示。A和B分別是發送者和接收者的地址。而門羅幣的交易結構中使用了一次性地址把B的信息隱藏了,只有發送者和接收者知道交易的接收地址和實際B公布的公鑰(PK1,PK2)的對應關系,從而使得其他所有記賬節點無法知道接收者是誰;門羅幣還使用了環簽名混淆了A的信息,A選擇一些門羅幣中的一些交易輸出結合自己要花費的交易作為交易輸入,然后混合后的集合作為一個群組,利用環簽名算法使得其他所有人無法分辨時哪一個輸入花費的。外面看來門羅幣的交易結構如同”From {A1,A2,A3,……,An} to X m amount ”圖9是門羅幣交易結構的示意圖。發送者每次轉賬給同一個接收者時,接收者的地址也不相同,并且發送者也對自己的輸入做了混淆。
圖8 比特幣交易結構
圖9 門羅幣交易結構
門羅幣也是UTXO式的記賬方法,是否可以實現多輸入和多輸出呢?答案式肯定的。多輸入是通過把環簽名的密鑰使用密鑰向量替代來實現的,對應的環簽名所有參數都是以向量的形式展現出來,即可完成多輸入的環簽名交易。輸出則是對于每一個地址利用發送者產生的隨機數對接收者的地址進行隨機化。
2.4 環機密交易
環機密交易的主要目的是隱藏交易的金額,使得其他節點不能查看轉賬的交易金額,同時保證節點對交易的公開可驗證性。從而進一步提高了門羅幣的隱私性。簡單地說,每一個未花費交易UTXO的數值都被一個同態承諾替代這個值。因為這個值我們映射到一個有限環上,而不是原來的無限整數環上,所以需要額外的添加一個范圍證明,用來防止溢出攻擊。
機密交易隱藏金額方式的基本思想是使用了Pedersen承諾[6],一種加法同態承諾。交易費是交易的輸入總和減去輸出總和。交易的費用是一個大于0的數,所以設定了一個范圍[0,2n-1],承諾交易費用的范圍在設定的范圍內。承諾本身的特性綁定性和隱藏性很好的滿足了對交易的綁定和對交易金額的隱匿。
對于范圍的證明采用了基于環簽名的算法實現對承諾的證明。
門羅幣對此承諾做了一些小的修改,修改為范圍證明承諾,承諾輸入總和減去輸出總和在一個[0,2n-1]的一個范圍內。但是對于有限環中的數值-1,依然是一個大整數,所以把一個數用m進制表示出來:fee=v0+v1m+…+vn-1mn-1是一個m進制的表達式每個vi的范圍為[0,m-1],然后對每個位上的值vimi進行承諾.利用密鑰向量組結構的環簽名完成了范圍證明,環簽名驗證通過即表明發送者對數值的承諾正確,交易的輸入總額大于等于輸出總額。
三、門羅幣的技術路線
- 2014年,門羅幣基于CryptoNote協議開發上線,主要技術是一次性地址和環簽名的應用;
- 2016年,門羅幣采用環機密交易,將交易金額隱匿進一步加強隱匿性;
- 2018年,門羅幣在協議中整合了Bulletproof機制,這是一種非交互式零知識證明,使得手續費降低了90%多;
- 2020年,門羅幣對環簽名進行升級,采用了簡潔可鏈接自發性匿名群組CLSAG(Concise Linkable Spontaneous Anonymous Group)簽名方案,進一步減少交易大小和交易驗證速度。
四、結論
門羅幣最重要的3個技術分別是一次性地址,環簽名技術,環機密交易。一次性地址是使用經典的非交互式的DH協議來實現的;環簽名技術這幾年發展迅速,使得簽名大小和驗證速度都得到了很大的改善;環機密交易是采用了同態承諾和環簽名實現范圍證明,保證了交易金額的隱匿性和公開可驗證性。
門羅幣作為強匿名加密貨幣中市場占有率最高的加密貨幣,通過分析其匿名技術可以對于其他需要進行隱私保護的產品或者方案提供一些參考價值。并對暗網和黑客事件中使用門羅幣的情報追蹤技術提供一個技術支持。
往期回顧
參考文獻
1. Ermilov, D., M. Panov, and Y. Yanovich.Automatic Bitcoin Address Clustering. in IEEE International Conference onMachine Learning & Applications. 2017.
2. Frwis, M., et al., Safeguarding theevidential value of forensic cryptocurrency investigations. Forensic ScienceInternational Digital Investigation, 2020: p. 200902.
3. CryptoNote v2.0[J]. https://cryptonote.org/whitepaper.pdf 2013.
4. TraceableRing Signature[J]. IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences, 2008, 91(1):p.83-93.
5. Liu J K, Wei V K , Wong D S . Linkable Spontaneous AnonymousGroup Signature for Ad Hoc Groups[C]// Australasian Conference on InformationSecurity and Privacy. Springer-Verlag, 2004.
6. Pedersen, T.P. Non-Interactive andInformation-Theoretic Secure Verifiable Secret Sharing. 1992. Berlin,Heidelberg: Springer Berlin Heidelberg.
內容編輯:創新中心 呂亮 責任編輯:王星凱
本公眾號原創文章僅代表作者觀點,不代表綠盟科技立場。所有原創內容版權均屬綠盟科技研究通訊。未經授權,嚴禁任何媒體以及微信公眾號復制、轉載、摘編或以其他方式使用,轉載須注明來自綠盟科技研究通訊并附上本文鏈接。
關于我們
綠盟科技研究通訊由綠盟科技創新中心負責運營,綠盟科技創新中心是綠盟科技的前沿技術研究部門。包括云安全實驗室、安全大數據分析實驗室和物聯網安全實驗室。團隊成員由來自清華、北大、哈工大、中科院、北郵等多所重點院校的博士和碩士組成。
綠盟科技創新中心作為“中關村科技園區海淀園博士后工作站分站”的重要培養單位之一,與清華大學進行博士后聯合培養,科研成果已涵蓋各類國家課題項目、國家專利、國家標準、高水平學術論文、出版專業書籍等。
我們持續探索信息安全領域的前沿學術方向,從實踐出發,結合公司資源和先進技術,實現概念級的原型系統,進而交付產品線孵化產品并創造巨大的經濟價值。
