Monero Research Lab

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Kurzfassung: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.

Kurzfassung: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.

Kurzfassung: We demonstrate that a version of non-slanderability is a natural definition of unforgeability for linkable ring signatures. We present a linkable ring signature construction with concise signatures and multi-dimensional keys that is linkably anonymous if a variation of the decisional Diffie-Hellman problem with random oracles is hard, linkable if key aggregation is a one-way function, and non-slanderable if a one-more variation of the discrete logarithm problem is hard. We remark on some applications in signer-ambiguous confidential transaction models without trusted setup.

Kurzfassung: Diese technische Abhandlung beschreibt einen Algorithmus, der verwendet wird, um die Kenntnis desselben diskreten Logarithmus über verschiedene Gruppen hinweg zu beweisen. Diese Methode beschreibt einen gemeinsamen Wert als eine skalare Repräsentation von Bits und nutzt diese als eine Menge von Ringsignaturen um zu beweisen, dass jedes Bit ein gültiger Wert ist, der der gleiche (bis zu einem bestimmen Äquivalent) über beide Skalargruppen ist.

Kurzfassung: Wir präsentieren Multigrenzwertringsignaturen (Thringsignaturen) zur kollaborativen Berechnung von Ringsignaturen, zeigen eine Demo zur grundlegenden Erstellung von Thringsignaturen und diskutieren die Anwendungen von Thringsignaturen in digitalen Währungen, die währungsübergreifende Atomic Swaps mit unbekannten Sendern für geheime Beträge ohne die Notwendigkeit des Vertrauens in eine dritte Partei ermöglichen. Wir präsentieren eine Einbindung von Thringsignaturen, die wir spontan verknüpfbare, anonyme Grenzwertgruppensignaturen nennen und beweisen, dass die Implementierung grundlegend fälschungssicher ist.

Kurzfassung: Diese Abhandlung beschreibt Modifikationen der verknüpfbaren Ringsignaturen Moneros, die es erlauben, doppelte Schlüsseloutputs als Ringsignaturteilnehmer zu verwenden. Schlüsselbilder werden an beide Einmalschlüssel der Outputs in einem Zwilling gebunden, der es bei beiden Schlüsseln verhindert, separat ausgegeben zu werden. Diese Methode hat Anwendungen in der automatisierten Rückbuchung von Transaktionen. Wir diskutieren die Auswirkungen auf die Sicherheit dieser Methode.

Kurzfassung: Diese technische Abhandlung verallgemeinert das Konzept von ausgegebenen Outputs unter Zuhilfenahme grundlegender Mengenlehre. Die Beschreibung vereint eine Vielzahl vorheriger Arbeiten, die sich mit der Analyse solcher ausgegebenen Outputs beschäftigen. Wir quantifizieren die Effekte solcher Analysen der Monero-Blockchain und geben eine Übersicht der Gegenmaßnahmen.

Kurzfassung: Nutzer der Kryptowährung Monero, die ihre Walletadressen wiederholt nutzen möchten, aber dabei eine Verknüpfbarkeit vermeiden wollen, müssen mehrere Wallets nutzen, was ein Durchsuchen der Blockchain für jede einzelne bedeutet. Wir dokumentieren eine neue Variante für Adressen, die es dem Nutzer ermöglicht, eine einzelne Hauptadresse zu verwalten und eine beliebige Anzahl an Subadressen für diese zu generieren. Dies bietet den weiteren Vorteil, dass die Blockchain nur ein Mal für eine beliebige Anzahl an Subadressen durchsucht werden muss, um zu erkennen, ob sie für eine dieser bestimmt ist. Weiterhin unterstützt diese Variante mehrfache Ausgänge an andere Subadressen und ist genauso effizient wie herkömmliche Transaktionen.

Kurzfassung: Dieser Artikel gibt eine Einführung in eine Methode, Transaktionsbeträge in der stark dezentralisierten, anonymen Kryptowährung Monero zu verstecken. Ähnlich wie Bitcoin ist Monero eine Kryptowährung, die durch einen dezentralen, verteilten „Proof-of-Work“-Miningprozess herausgegeben wird. Das ursprüngliche Monero-Protokoll basierte auf CryptoNote, welches Ringsignaturen und einmalige Schlüssel verwendet, um Ursprung und Ziel von Transaktionen zu verstecken. Vor kurzem wurde eine Vorgehensweise diskutiert, es mithilfe von Verpflichtungserklärungen auf Transaktionen zu ermöglichen, die Beträge der Transaktionen zu verstecken. Diese wurden von Gregory Maxwell, einem der Hauptentwickler Bitcoins, implementiert. In diesem Artikel wird ein neuer Typ von Ringsignaturen – eine mehrschichtig verknüpfte, spontane, anonyme Gruppensignatur – beschrieben, der es ermöglicht, Beträge, Ursprünge und Ziele von Transaktionen zu verstecken und dabei eine akzeptable Effizienz unter Beibehaltung der Verifizierbarkeit der vertrauenslosen Coingenerierung zu bewahren. Einige notwendige Erweiterungen des Protokolls werden vorgestellt, wie beispielsweise aggregierte Schnorr-Range-Proofs und Multiringsignaturen. Der Autor merkt an, dass frühe Entwürfe hiervon in der Monero-Community und dem „Bitcoin Research“-IRC-Channel veröffentlicht wurden. Auf der Blockchain hinterlegte Hashes dieser Versionen können in [14] eingesehen werden, die zeigen, dass die Arbeiten daran im Sommer 2015 aufgenommmen und Anfang Oktober 2015 vollendet wurden. Eine elektronische Version findet sich unter http://eprint.iacr.org/2015/1098.

Kurzfassung: Wir identifizieren verschiedene Blockchainanalyseangriffe, die zur Verfügung stehen, um die Unnachverfolgbarkeit des CryptoNote-2.0-Protokolls auszuhebeln. Es werden verschiedene Lösungen untersucht und deren jeweilige Vorzüge und Nachteile bewertet und Verbesserungen am Protokoll Moneros vorgeschlagen, die die Widerstandsfähigkeit gegen Blockchainanalysen auf hoffentlich lange Sicht gewähren können. Unsere Vorschläge beinhalten eine Änderung der netzwerkweiten Mindestzahl an Verschleierungspartnern je Ringsignatur auf Protokollebene von n = 2 und eine Anhebung dieses Werts auf n = 4 nach zwei Jahren sowie das Setzen der Standardzahl auf zunächst n = 4. Wir empfehlen weiterhin eine Torrent-ähnliche Methode, um Moneros zu versenden, sowie eine uneinheitliche, altersabhängige Selektierung der Verschleierungspartner, um anderen Formen der Blockchainanalyse entgegen zu wirken. Aus verschiedenen Gründen werden jedoch keine formellen Vorschläge zur Implementierung gegeben. Die Auswirkungen dieser Verbesserungen werden etwas genauer betrachtet. Diese Abhandlung wurde nicht peer-reviewed und spiegelt nur die Ergebnisse interner Untersuchungen wider.

Kurzfassung: In letzter Zeit zirkulierten vage Gerüchte durch's Internet über den Quellcode von CryptoNote und dessen Protokoll aufgrund der Tatsache, dass es sich um ein komplexeres Protokoll als beispielsweise Bitcoin handelt. Der Sinn dieser Abhandlung soll sein, einige Verwirrungen aufzuklären und hoffentlich einige der Rätsel um Moneros Ringsignaturen zu entwirren. Zunächst wird die Mathematik der CryptoNote-Ringsignaturen (wie in [CN] beschrieben) mit der Mathematik hinter [FS] verglichen, auf der CryptoNote aufbaut. Anschließend wird die Mathematik hinter Ringsignaturen mit dem verglichen, was im Quellcode der Implementierung von CryptoNote vorhanden ist.

Kurzfassung: Am 4. September 2014 wurde ein neuartiger und ungewöhnlicher Angriff gegen Moneros Kryptowährungsnetzwerk durchgeführt. Diese Attacke fragmentierte das Netzwerk in zwei abgetrennte Teile, die gegenseitig die Gültigkeit des anderen bestritten. Dies hatte eine Vielzahl von Auswirkungen, von denen noch nicht alle bekannt sind. Der Angreifer hatte ein kurzes Zeitfenster, innerhalb dessen beispielsweise Falschgeld hätte erzeugt werden können. Diese Abhandlung beschreibt Schwachstellen in der Referenz des CryptoNote-Protokolls, die diesen Angriff ermöglichten, einen Lösungsansatz, der ursprünglich von Rafal Freeman von Tigusoft.pl und in der Folge vom CryptoNote-Team vorgebracht wurde, sowie die momentane Lösung, die in Monero zum Einsatz kommt und erklärt genau, welchen Effekt der auslösende Block auf das Netzwerk hatte. Diese Abhandlung wurde nicht peer-reviewed und spiegelt nur die Ergebnisse interner Untersuchungen wider.

Kurzfassung: Diese Abhandlung beschreibt plausible Angriffe auf ein Ringsignaturen-basiertes Anonymitätssystem. Unsere Motivation soll hier das CryptoNote 2.0 Protokoll sein, welches angeblich von Nicolas van Saberhagen im Jahre 2012 veröffentlicht wurde. Es wurde bereits gezeigt, dass die Unnachverfolgbarkeit eines einmalig genutzten Schlüsselpaares davon abhängen kann, wie unnachverfolgbar die in der Ringsignatur beteiligten Schlüssel sind. Dies macht Kettenreaktionen im Hinblick auf die Nachverfolgbarkeit von Ringsignaturen plausibel, was eine kritische Verletzung der Unnachverfolgbarkeit des gesamten Netzwerkes zur Folge haben kann, wenn Parameter ungünstig gewählt werden und ein Angreifer einen maßgeblichen Anteil am Netzwerk hält. Die Signaturen sind jedoch für den einmaligen Gebrauch und ein solcher Angriff muss nicht zwingend den Verlust der Anonymität der Nutzer zur Folge haben. Nichtsdestotrotz kann ein derartiger Angriff die Widerstandsfähigkeit, die CryptoNote gegen Blockchainanalysen aufweist, schwächen. Diese Abhandlung wurde nicht peer-reviewed und spiegelt nur die Ergebnisse interner Untersuchungen wider.

Zusammenfassung: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.