主頁
微信公眾號:密碼應(yīng)用技術(shù)實戰(zhàn)
博客園首頁:
https://www.cnblogs.com/informatics/
GIT地址:
https://github.com/warm3snow
簡介
在
《門羅幣隱私保護之隱形地址》
文章中,我們重點介紹了門羅幣Monero的隱形地址技術(shù)���,門羅幣通過隱形地址保證了交易的不可鏈接性�����,并實現(xiàn)了用戶的隱私保護和監(jiān)管需求�。
本文將繼續(xù)介紹門羅幣的另一個核心技術(shù)——環(huán)簽名技術(shù)��,Monero通過環(huán)簽名技術(shù)����,實現(xiàn)了交易的不可追蹤性。
-
不可鏈接性
(Unlinkability):對于任何兩筆outgoing交易�����,無法證明它們是發(fā)送給同一個人的。即對于任何兩個 outgoing 交易�,無法證明它們是由同一個人收款的。
-
不可追蹤性
(Untraceability):對于每一筆incoming交易����,所有可能的發(fā)送者都是等概率的。這意味著��,對于任何兩個incoming交易��,無法證明它們是由同一個人發(fā)送的����。
注:incoming和outgoing交易分別表示用戶的收款和支出交易����。
基礎(chǔ)知識
術(shù)語定義
-
\(\mathbb{Z}_l\)
:有限域,
\(l\)
是一個大素數(shù)���,如:
\(l = 2^{252} + 27742317777372353535851937790883648493\)
-
\(P_i\)
:公鑰���,在環(huán)簽名中表示環(huán)中第
\(i\)
個公鑰, 當(dāng)
\(i = s\)
時,
\(P_s\)
是簽名者的公鑰
-
\(R\)
:環(huán)簽名的環(huán)���,一組公鑰的集合���,
\(R = {P_1, P_2, ..., P_n}\)
����,包含
\(P_s\)
-
\(x_s\)
或者
x_s
:環(huán)簽名中簽名者的私鑰, 私鑰范圍在
\(\mathbb{Z}_l\)
內(nèi)
-
\(\sigma\)
:環(huán)簽名的簽名結(jié)果
-
\(m\)
:待簽名的消息�����。在簽名時����,通常會先對消息進行哈希處理。
-
\(H_s\)
:特性哈希函數(shù), 將輸入映射到
\(\mathbb{Z}_l\)
����,如:
\(H_s: \{0, 1\}^* \rightarrow \mathbb{Z}_l\)
-
\(H_p\)
:特性哈希函數(shù), 將輸入映射到橢圓曲線上的點,如:
\(H_p: \{0, 1\}^* \rightarrow E(\mathbb{F}_q)\)
-
\(I\)
:密鑰鏡像���,在門羅幣中使用��,用于防止雙花攻擊
環(huán)簽名
環(huán)簽名
(
Ring Signature
)是一種數(shù)字簽名方案����,允許一組用戶中的任何一個用戶為某個消息生成簽名,而不需要透露具體是哪個用戶生成的簽名�。環(huán)簽名的主要特點是它提供了
簽名
的
匿名性
和
可驗證性
,確保簽名者的身份在簽名過程中保持隱私����。
環(huán)簽名的基本概念
-
環(huán)
:環(huán)簽名的“環(huán)”指的是一組公鑰,這些公鑰代表了可能的簽名者��。簽名者在生成簽名時�����,會選擇一個環(huán)中的公鑰作為自己的身份�����,但外部觀察者無法確定具體是哪個公鑰對應(yīng)的用戶��。
-
簽名
:簽名者使用自己的私鑰和環(huán)中其他用戶的公鑰生成簽名��。這個簽名可以被任何人驗證�����,但無法確定簽名者的身份��。
-
驗證
:任何人都可以使用環(huán)來驗證簽名的有效性���,確保簽名確實是由環(huán)中的某個用戶生成的����。
環(huán)的大小是環(huán)簽名方案的一個重要參數(shù)���,環(huán)越大����,簽名者的身份越難以確定�����,簽名的匿名性越高���。但是環(huán)的大小也會影響簽名的計算和驗證性能����,因此需要在匿名性和性能之間進行權(quán)衡����。
環(huán)簽名構(gòu)造和驗證流程
-
初始化:簽名者Bob選擇環(huán)R中的公鑰�,如{
\({P_1, P_2, ..., P_i, ..., P_n}\)
}��,其中Bob自身的公鑰
\(P_s\)
也在放入環(huán)R中
-
生成簽名:Bob基于環(huán)R中的公鑰和自己的私鑰
\(x_s\)
以及待簽名消息
\(m\)
����,生成環(huán)簽名
\(\sigma\)
-
驗證簽名:任何人都可以基于環(huán)R,消息m對簽名
\(\sigma\)
進行驗證
環(huán)簽名方案
涉及一個三元組
\((KeyGen, Sign, Verify)\)
�����,其中:
-
\(KeyGen\)
:密鑰生成算法�,簽名者使用
\(KeyGen\)
生成公私鑰對
\((P_s, x_s)\)
-
\(Sign(m, R, x_s)\)
:簽名算法,簽名者使用
\(Sign\)
生成環(huán)簽名
\(\sigma\)
, 其中
\(m\)
是消息���,
\(R\)
是環(huán)��,
\(x_s\)
是簽名者的私鑰
-
\(Verify(m, R, \sigma)\)
:驗證算法�,任何人都可以使用
\(Verify\)
驗證簽名的有效性���。算法結(jié)果為布爾值����,
\(true\)
表示簽名有效�,
\(false\)
表示簽名無效。
門羅幣之環(huán)簽名
回顧在
《門羅幣隱私保護之隱形地址》
介紹的交易模型�����,Bob作為收款方��,能夠驗證每一筆相關(guān)交易的有效性��。
進一步說明:
-
Bob作為收款人�����,在驗證每筆交易時��,Bob只需對每個輸出執(zhí)行兩次橢圓曲線乘法和一次加法(即生成
\(P'\)
)���,以檢查該交易是否屬于他���。
-
對于每個屬于Bob的UTXO,Bob恢復(fù)一個密鑰對
\((x, P)\)
并將其存儲在錢包中��。
-
只有Bob可以生成地址
\(P\)
的私鑰
\(x\)
�����,因此只有Bob能夠花費這筆收入。
值得注意的是���,
\((P, x)\)
是
一次性密鑰
��,當(dāng)Bob花費這筆收入時�����,會使用該密鑰參與環(huán)簽名���,之后可以丟棄。
門羅幣環(huán)簽名
門羅幣使用環(huán)簽名技術(shù)���,實現(xiàn)了交易的不可追蹤性����。門羅幣的環(huán)簽名方案基于CryptoNote協(xié)議�����。在CryptoNode協(xié)議中�,環(huán)簽名交易模型如下:
-
加入環(huán):Bob從門羅幣公開賬本中隨機選擇UTXO,以及自己待花費的UTXO,放入到新創(chuàng)建的UTXO中���,作為交易的
Tx input
, 所有UTXO的收款方地址{
\({P_1, ..., P_s, ..., P_n}\)
}構(gòu)成環(huán)
\(R\)
-
生成密鑰鏡像:Bob使用自己的簽名私鑰
\(x_s\)
和公鑰
\(P_s\)
, 生成密鑰鏡像
\(I\)
,區(qū)塊鏈礦工在驗證交易時�����,會驗證
\(I\)
是否已經(jīng)被使用過����,以防止雙花攻擊
-
生成簽名:Bob使用環(huán)
\(R\)
和自己的私鑰
\(x_s\)
,對交易進行簽名��,生成環(huán)簽名
\(\sigma\)
門羅幣環(huán)簽名方案
門羅幣環(huán)簽名方案涉及一個四元組
\((KeyGen, Sign, Verify, Link)\)
���,其中:
-
\(KeyGen, Sign, Verify\)
與一般的環(huán)簽名方案功能類似
-
\(Link\)
:區(qū)塊鏈礦工通過
\(Link\)
算法驗證對應(yīng)的密鑰鏡像
\(I\)
是否已經(jīng)被使用過���,以防止雙花攻擊
密鑰生成KeyGen
門羅幣的KeyGen算法與一般的環(huán)簽名方案類似,目的都是生成公私鑰對
\((P_s, x_s)\)
�,其中
\(P_s\)
是簽名者的公鑰,
\(x_s\)
是簽名者的私鑰��。
不同的是:
-
門羅幣的公鑰來自于隱形地址技術(shù)����,即
\(P_s = H_s(aR)G + B\)
, 對應(yīng)的私鑰
\(x_s = H_s(aR) + b\)
-
門羅幣的KeyGen算法還會生成密鑰鏡像
\(I\)
��,用于防止雙花攻擊�。其中,
\(I = x_s \cdot H_p(P_s)\)
簽名算法Sign
在門羅幣中���,由于簽名公私鑰對
\((P_s, x_s)\)
是由隱形地址技術(shù)生成的��,并且僅用于一次性簽名���,因此門羅幣環(huán)簽名我們也稱為
一次性環(huán)簽名
。
門羅幣的Sign算法如下:
-
初始化:
-
隨機選取其他用戶的公鑰
\(P_i\)
����,結(jié)合自己的公私鑰對
\((x_s, P_s)\)
,構(gòu)成環(huán)
\(R = {P_1, P_2, ..., P_s, ..., P_n}\)
-
選擇兩個隨機數(shù)集合
\(Q\)
和
\(W\)
��,如下
-
\(Q = \{q_i\}\)
,
\(i = 1, 2, ..., n \And q_i \in \mathbb{Z}_l\)
-
\(W = \{w_i\}\)
,
\(i = 1, 2, ..., n \And i \neq s \And w_i \in \mathbb{Z}_l\)
-
計算環(huán)簽名(類似零知識承諾:承諾-挑戰(zhàn)-響應(yīng)�����,可以參考之前的文章
《零知識證明之承諾方案》
-
計算承諾�,承諾由兩個集合組成
\(L\)
和
\(R\)
,集合元素計算如下:
-
計算挑戰(zhàn)(實際上是前面已有知識的哈希值)
其中��,
\(m\)
是待簽名的消息,在這里表示交易信息(簽名除外�,因為簽名還未生成)
-
計算響應(yīng)
其中,
\(\sigma\)
就是環(huán)簽名的簽名值�,
\(\sigma\)
驗證算法Verify
區(qū)塊鏈礦工在收到交易后,會對交易進行簽名驗證�����。礦工已知
\(R = {P_1, P_2, ..., P_n}\)
���,以及環(huán)簽名
\(\sigma = (I, c_1, ..., c_n, r_1, ..., r_n)\)
, 簽名驗證Verify算法如下:
-
\(L^{'}\)
和
\(R^{'}\)
為兩個集合,
\(\forall i \in [0, n]\)
如果上述等式成立���,則簽名有效��,否則簽名無效�����,交易被拒絕���。
正確性驗證
在上述推導(dǎo)中,由于
\(P_s = x_s \cdot G\)
�����,所以:
\(-c_s \cdot x_s \cdot G + c_s \cdot P_s = -c_s \cdot P_s + c_s \cdot P_s = 0\)
在上述推導(dǎo)中,由于
\(I = x_s \cdot H_p(P_s)\)
����,所以:
\(-c_s \cdot x_s \cdot H_p(P_s) + c_s \cdot I = -c_s \cdot I + c_s \cdot I = 0\)
-
計算
\(\sum_{i=0}^{n} c_i\)
由于
\(L^{'} = L\)
且
\(R^{'} = R\)
,所以:
因此����,簽名驗證等式成立,簽名有效�����。
雙花驗證Link
����,密鑰鏡像和密鑰對之間的關(guān)系如下:
密鑰鏡像
\(I\)
的計算方式,反映了用戶密鑰和密鑰鏡像之間存在一一對應(yīng)關(guān)系�����,而用戶密鑰(x, P)基于隱形地址技術(shù)�����,只使用一次,且與交易綁定��。
礦工會記錄所有交易的密鑰鏡像列表����,在收到新交易時,會檢查交易中的
\(I\)
是否已存在于列表中�,如果存在,則說明該交易的(x, P)已經(jīng)被使用過����,是一筆雙花交易�����,交易被拒絕���。
結(jié)語
環(huán)簽名是門羅幣的另一個核心技術(shù)��,通過環(huán)簽名技術(shù)���,實現(xiàn)了交易的不可追蹤性。本文簡單介紹了環(huán)簽名的基本概念�����,并詳細介紹了門羅幣的環(huán)簽名方案,包括密鑰生成��、簽名���、驗證和雙花驗證等算法�。希望通過本文的介紹�����,讀者對隱私幣的匿名技術(shù)有更進一步的了解���。
門羅幣隱私保護使用了多種技術(shù)��,包括隱形地址���、環(huán)簽名、機密交易等����,這些技術(shù)共同構(gòu)成了門羅幣的隱私保護體系。在接下來的文章中�,我們將繼續(xù)介紹門羅幣的其他隱私保護技術(shù)�。
參考文獻
-
【1】
CryptoNote wiki
-
【2】
Monero wiki
-
【3】
Home | Monero - secure, private, untraceable
-
【4】
Elliptic-curve cryptography
-
【5】
CryptoNote whitepaper v2.0
-
【6】
《零知識證明之承諾方案》
