Перевод Журнал встречи исследовательской лаборатории Monero от 2020-06-10

Тема в разделе "Журналы о Monero", создана пользователем Unholy, 21 июн 2020.

  1. Unholy

    Unholy Well-Known Monerano

    Регистрация:
    6 мар 2018
    Сообщения:
    179
    Симпатии:
    13
    Когда: Среда, 10 июня 2020 года @ 17:00 UTC
    Где: #monero-research-lab (freenode/matrix)

    Повестка дня:
    1. Приветствия
    2. Круглый стол
    3. Вопросы
    4. Ключевые моменты
    Журнал встречи:

    <sarang> ОК, думаю, что пора начать нашу встречу
    <sarang> Во-первых, приветствия!
    <ArticMine> Hi
    <sgp_> Привет
    <Isthmus> Хэйя!
    <sarang> Я полагаю, мы можем перейти к круглому столу, где каждый желающий может поделиться своими исследованиями
    <sarang> Кто-нибудь хочет выступить первым?
    <sarang> Если нет, я могу поделиться своим обновлением
    <sarang> Teserakt уже отправили мне черновик своего анализа препринта CLSAG
    <monerobux> Тест не пройден
    <sarang> Фу! Плохой бот!
    <sarang> В отчете указано, что они не нашли каких-либо серьезных проблем, но у них были некоторые комментарии и предложения по формализации, над которыми я сейчас работаю
    <sarang> Эти изменения не должны привести к каким-то изменениям в самом коде
    <sarang> Независимо от этого я также начал работать над анализом слияний выходов в цепочках Monero.
    <h4sh3d[m]> Привет
    <sarang> У меня уже есть предварительные результаты, но мне еще нужно их перепроверить
    <sarang> Я опубликую все данные здесь, но учтите, что на них не следует полагаться, пока они не будет проверены более тщательно
    <sarang> https://usercontent.irccloud-cdn.com/file/EHmFolZV/data_all.png
    <sarang> Как-то так...
    kiwi_87 подключился (0ee2e917@gateway/web/cgi-irc/kiwiirc.com/ip.14.226.233.23)
    <sarang>
    Я ищу возможные слияния с нулевым переходом, когда выходные данные одной и той же транзакции появляются в кольцах более поздних транзакции, особенно в ключе конфиденциальных транзакций после добавления CT
    <sarang> Затем для каждого возможного слияния я смотрю на разницу высот исходной и целевой транзакций и переношу это на графики
    <sarang> Ось X представляет разницу в высоте блоков, а ось Y - частичное вхождение (обратите внимание на логарифмический масштаб!)
    <kiwi_87> Привет. Что вы думаете о интероперабельности Monero?
    atoc подключился (2fb9e903@47.185.233.3)
    atoc вышел (2fb9e903@47.185.233.3): Удаленный хост закрыл подключение
    <sarang>
    kiwi_87: одну секунду
    <Isthmus>
    <Isthmus>
    очень интересно
    <sarang> https://usercontent.irccloud-cdn.com/file/UPSZyk6P/data_1k.png
    <sarang> Вот всё те же данные, но увеличенные (смасштабированные) до нижнего края оси X
    atoc подключился (2fb9e903@47.185.233.3)
    <sarang>
    Опять же это только возможные слияния, и нет никаких достоверных данных о таких цепочках после добавления CT
    <atoc> hi
    <sarang> Итак, я собираюсь повторить симуляцию, используя ту же структуру входа / выхода и текущий алгоритм выбора приманки
    <sarang> и затем только посмотреть, где расходятся распределения
    <sarang> kiwi_87: что вы подразумеваете под интероперабельностью?
    <sarang> По этим данным... около 2,3% конфиденциальных транзакций после добавления CT содержали хотя бы одно *возможное* слияние
    <sarang> (эти данные показывают все такие возможные слияния)
    <Isthmus> @sarang, если вы хотите заняться Байесовской статистикой, вам следует рассчитать вероятность (всегда положительную, но различающуюся по величине), что пара (+) и члены кольца будут выбраны вместе, особенно если они получены в результате работы стандартного алгоритма
    <UkoeHB_> Isthmus: вы помните, какой процент транзакций не использует стандартное гамма-распределение (хотя бы приблизительно)?
    <sarang> UkoeHB_, обратите внимание, что все эти конфиденциальные транзакции после добавления CT, независимо от вероятного метода выбора
    <sarang> Я даже сделал фильтр, но у него может быть проблема с индексацией, которая иногда отбрасывает данные
    <sarang> Isthmus: да, я тоже об этом думал (но еще запускал анализ)
    <sarang> Разница в распределении предназначена для того, чтобы дать поверхностное представление о том, насколько неидеальным является текущее распределение
    <ArticMine> Другой вопрос - размер колец
    <Isthmus> @UkoeHB_, у меня есть данные, которые я подготавливал для Konferenco (июнь 2019), около 1% транзакций использовали единый алгоритм выбора
    <Isthmus> больше я не возвращался к данному анализу, поэтому не могу говорить об актуальных данных
    <UkoeHB_> о, если Саранг уже отфильтровал данные, это не имеет значения
    <sarang> В данный момент у меня нет такой информации
    <sarang> Это все конфиденциальные транзакции после реализации CT
    <Isthmus> @sarang, на чем написан ваш код? У меня есть аналогичный по функционалу код на Python
    <sarang> на Python
    <sarang> Вы можете оставить ссылку на ваш вариант кода, я хотел бы посмотреть на вашу реализацию
    <sarang> Равномерные выбросы кажутся весьма маловероятными, особенно с учетом хвостовой эмиссии
    <sarang> В любом случае этот анализ, который, как я надеюсь, должен помочь в более безопасном выборе выходов
    <UkoeHB_> Очень круто! Спасибо за ваши старания, Саранг :)
    <sarang> После дополнительной проверки индексирования я буду готов опубликовать как сам код, так и получившиеся наборы данных
    <Isthmus> https://www.irccloud.com/pastebin/BChX6gR9/
    <sarang> Я не смогу опубликовать все данные (блоки, транзакции и т. д. ...), так как их размер слишком велик для загрузки на GitHub
    <kiwi_87> @sarang, я имею в виду интероперабельность, если она может быть создана между Monero и другими блокчейн цепочками, чтобы обхватить больше возможностей для принятия XMR в качестве оплаты. Я просто узнал о том, что поддержка Bitcoin входит в сеть Ethereum на втором уровне. Это помогает BTC присоединиться к DeFi
    <kiwi_87> и увеличить обхват обеих криптовалют. А как обстоят дела в XMR?
    <sarang> Я могу опубликовать результат только для возможных слияний
    <sarang> Спасибо, Isthmus
    <Isthmus> https://usercontent.irccloud-cdn.com/file/fZgJlX2o/image.png
    <sarang> kiwi_87: работать в Monero с другими сетями на удивление сложно, ведь нам нужно учитывать единообразие среди транзакций
    <Isthmus> https://usercontent.irccloud-cdn.com/file/aQVzvAAq/image.png
    <sarang> Isthmus: что это за данные?
    <Isthmus> Пусть ring_member_ages - это массив возраста всех участников кольца [0.5d, 0.7d, ...]
    <Isthmus> средний возраст с поправкой на смещение = медиана (не? т.к. равен) (ring_member_ages - min(ring_member_ages)
    <Isthmus> Корректный алгоритм приманки производит около 100 -10000 блоков OCMA
    <Isthmus> Я использовал 370000 в качестве *допустимого отклонения*
    <sarang> я полагаю, что малая выборка => большая дисперсия?
    <Isthmus> Возможно, это также связано с тем, как алгоритм реагирует на изменения транзакций
    <Isthmus> В любом случае все, что выше 10^5, является подозрительным
    <Isthmus> Красная линия составляет 370000 блоков
    <Isthmus> Все, что выше, абсолютно не связано с правильной работой алгоритма приманки
    <sarang> Изучение распределения с этим фильтром выглядит очень интересно
    <Isthmus> И в большинстве случаев, когда я выборочно проверял результаты, это отклонение было связано с равномерным выбором приманки
    <sarang> Думаю, что новые результаты не сильно изменятся от ваших, но мне нравиться, когда я ошибаюсь
    ferretinjapan вышел (ferretinja@gateway/vpn/privateinternetaccess/ferretinjapan): Причина: Бездействие в течение 264 секунд
    <sarang>
    У вас есть другое предположение о причинах таких выборов? (просто любопытно)
    <Isthmus> Хм... Меня интересует Байесовский анализ, который покажет нам, является ли это чем-то новым с 10% -ной прогностической силой или старым проклятием с 95% - ной прогностической силой
    <sarang> Isthmus, для каких транзакций? Или вы подразумеваете всю цепочку?
    <Isthmus> От момента внедрения RingCT до Konferenco
    <sarang> Отфильтровывает ли ваш код транзакции, не связанные с CT?
    <sarang> Их, конечно, небольшое количество, но все равно их стоит учитывать
    <sarang> Да, и такая выборка должна работать немного по-другому
    <Isthmus> Я обычно игнорирую не-RingCT транзакции, так как меня больше интересует оптимизация текущего уровня конфиденциальности, чем поиск старых пасхальных яиц
    <sarang> ваша правда
    <Isthmus> Чувствую, что мне еще придется вернуться к этому анализу еще раз
    <sarang> Я также отфильтровал их на приведенных выше графиках
    <Isthmus> Извините, под "игнорированием" RingCT я подразумеваю "исключить их из набора данных перед самим анализом"
    <sarang> понял
    <Isthmus> s/RingCT/non-RingCT
    <monerobux> Isthmus хотел сказать: Извините, под "игнорированием" RingCT я подразумеваю "исключить их из набора данных перед самим анализом"
    <sarang> О, и я, возможно, уже упоминал об этом на прошлой неделе (не помню точно) - я все еще работаю со студентами-исследователями из CMU, чтобы обновить некоторые из их новых результатов анализа дедуктивности
    <sarang> Они планируют еще раз пересмотреть и переработать свой препринт
    <sarang> Это особенно приятно, учитывая, что их результат - "30% отслеживаемости" (или как-то так) относительно эвристики возраста трат неверен
    <kiwi_87> @sarang, да, я знаю, что это самая трудная часть. На самом деле наше исследование в рамках проекта Incognito в настоящее время направлено именно на это
    <kiwi_87> У нас есть идея построить цепочку конфиденциальности, полагаясь на технологии Monero, что обеспечит высокий уровень конфиденциальности для всех криптовалют, используемых в цепочке
    <kiwi_87> Затем создать сервис, соединяющийся с Monero, с группой децентрализованных *хранителей банка*, которые следят за балансом и производят обмен XMR, когда пользователи достигают 2 уровня слоя. Этот же дизайн можно использовать в паре к BTC, что позволит вывести XMR и BTC на один уровень конфиденциальности
    <kiwi_87> Что думаете?
    <sarang> kiwi_87, может быть лучше перенести этот разговор за рамки встречи, особенно если это касается исследований для другого проекта
    <sarang> Хотя, возможно, кому-то интересно обсудить это в рамках текущей встречи
    <moneromooo> Угу, особенно всей этой молчаливой части канала
    <sarang> Есть ли у вас еще вопросы по слиянию выходных данных?
    <sarang> Если нет, возможно, кто-то еще хочет представить своё интересное исследование?
    <Isthmus> @kiwi_87, круто, мне нравятся подобные проекты
    <h4sh3d[m]> Я могу представить обновления в ключе свопа
    <sarang> Пожалуйста
    <sarang> (это может быть весьма актуально для вас, kiwi_87)
    <h4sh3d[m]> Я уже начал работать над обновлением своей основной статьи
    <h4sh3d[m]> Идея все та же, что и раньше
    <kiwi_87> @sarang, да, конечно. Я также хочу рассказать о том, что мы делаем во время наших встреч. Тем не менее я думаю, что интеграция с XMR могла бы стать очень ярким способом увеличить обхват Monero. И мне хотелось бы поговорить с другими исследователями, которые работают в этом направлении
    <h4sh3d[m]> разделите ключ траты на две части и "продайте" его одну половину в цепочке bitcoin при условии, что своп состоялся
    <sarang> полагаю, с использованием multisig
    <sarang> "Вы получаете четные байты, а я пока посторожу нечетную часть"
    <h4sh3d[m]> Да, как-то так это и выглядело, до того как появился общий zkp для образа хеша
    <kiwi_87> @Isthmus, конечно. Давайте перенесём этот диалог за рамки текущей встречи и сейчас сосредоточимся на Monero
    <sarang> h4sh3d[m]: вы заменяете перекрестные доказательства DL эквивалентности через боковой канал, правильно?
    ferretinjapan подключился (ferretinja@gateway/vpn/privateinternetaccess/ferretinjapan)
    <kiwi_87>
    @h4sh3d[m], я давно хотел узнать об этом. Очень хочется узнать, что и как там работает, в этой вашей криптографии. Пожалуйста, просветите нас :D
    <h4sh3d[m]> объединив dl равенство между группами + ECDSA одноразовой VES, мы сможем получить аналогичный результат
    <h4sh3d[m]> ECDSA одноразовой VES: https://github.com/LLFourn/one-time-VES/blob/master/main.pdf
    <h4sh3d[m]> (ECDSA это "адаптер подписей")
    <sarang> Напомните мне, этот подход предполагает / требует какой-то конкретной возможности во временной блокировки на стороне Monero?
    <sarang> Если да, то какой именно?
    <h4sh3d[m]> Нет, на стороне Monero ничего не требуется
    <sarang> Хорошо, спасибо
    <sarang> Monero поддерживает очень простую временную блокировку
    <sarang> в данный момент блокировка весьма непоследовательна и очень редко используется
    <sarang> так что если бы это было необходимо, это могло бы решить проблему однообразия
    <h4sh3d[m]> Мы создаем адрес с тратой, где трата = трата Элис (Spend_alice) + трата Боба (Spend_bob) (то же самое только для просмотра)
    <h4sh3d[m]> и только затем отправка Monero на соответствующий <Spend, View> адрес
    <sarang> А как у этого протокола обстоят дела с ключом отмены?
    <h4sh3d[m]> Каждый участник имеет вначале только свою половину, а затем уже только может получить вторую часть
    <sarang> Или какое-то предварительное обязательство для различных частей?
    <h4sh3d[m]> Не уверен, что я понимаю, что вы подразумеваете под ключом отмены
    <sarang> Если вы передадите мне часть ключа, возможно, что я злонамеренно создам свой собственный "ключ" таким образом, что сумма будет иметь любое значение, которое я захочу
    <h4sh3d[m]> да, я думал об этом
    <sarang> каждый из нас может сначала заблокировать свои части ключей и только затем проверить, что полученные ключи соответствуют обязательствам
    <sarang> это гарантирует, что ни одна из сторон не даст попятную,
    <sarang> и добавляет раунд коммуникации
    <sarang> существуют и другие методы, включающие линейные комбинации случайных оракулов, в зависимости от того, что конкретно вы хотите
    <h4sh3d[m]> Я думал о фиксации, но это будет означать, что вы не узнаете и свою "половину" (только пункт назначения), а без своей приватной части вы ничего не сможете сделать
    <sarang> Но извините, я немного отвлекся
    <kiwi_87> @sarang, @h4sh3d[m], такой своп, как и своп 2-го уровня, очень удобны в ключе использования в XMR, потому что они позволяют произвести безвозвратный своп XMR <> BTC. Но если мы хотим использовать XMR <> другие криптопары без доверенных надстроек, то нам потребуются дополнительная схемы атомарного свопа и схема протокола, соединяющая 2 слой и цепочку Monero.
    <h4sh3d[m]> Не думаю, можно обойтись и одной
    <sarang> kiwi_87: давайте обсудим это после встречи
    <sarang> h4sh3d[m]: окей, вам нужно продумать раунд коммуникации и как именно он будет выглядеть
    iDunk вышел (~iDunk@unaffiliated/idunk): Причина: Бездействие в течение 260 секунд
    <sarang>
    В любом случае я перепроверю всё более досконально лишь после того, как документ будет обновлен
    <h4sh3d[m]> когда мы получаем адрес и фаза инициализации завершена (например, с равенством zkp dl), только тогда мы отпускаем Monero
    <kiwi_87> @sarang, конечно
    <h4sh3d[m]> в конце концов, Элис или Боб получат полный ключ траты = priv_spend_alice + priv_spend_bob
    <h4sh3d[m]> так что нет, ничего сверхъестественного со стороны Monero нам не требуется
    <atoc> отлично
    <h4sh3d[m]> вы просто импортируете ключи в свой кошелек и совершаете обычную транзакцию
    <sarang> так что с нетерпением ждем обновленного документа, h4sh3d[m]!
    <atoc> одни и те же
    <h4sh3d[m]> (учтите, что "сырые" ключи, которые генерируются без затравки и функции деривации, еще должны поддерживаться самим кошельком)
    <h4sh3d[m]> Прямо сейчас я занят чтением документа VES и вашей работы - MRL-0010
    <sarang> понял
    <h4sh3d[m]> * Теперь у меня всё! Спасибо за ваш вклад
    <sarang> Кстати, я мог бы обновить MRL-0010, чтобы указать, что генераторы Педерсена нуждаются в неизвестном DL для отношений
    <sarang> это не было затронуто в документе, да и в целом это нужно для безопасности внутри обязательств Педерсена
    <sarang> В интересах экономии времени: были ли какие-либо другие темы для исследований, которые можно представить?
    <Isthmus> Быстрое обновление: я очень рад сообщить, что мы официально начинаем работу над нашим аудитом механизмов безопасности и конфиденциальности monero в ключе противостояния алгоритмам, которые могут быть использованы злоумышленникам с квантовыми компьютерами. Спасибо всем, кто оставил свой отзыв или перевёл деньги в поддержку нашей идеи
    <Isthmus> Первый шаг - формализация модели злоумышленника и перечисление механизмов противодействия
    <Isthmus> сейчас наш "поверхностный" список атак выглядит следующим образом - {Кольцевые подписи, RingCT, Одноразовые "скрытые" адреса, Деривация Pubkey, Фальсификация суммы?, Bulletproofs, POW RandomX, Хэширование блоков / транзакций}.
    <Isthmus> Пожалуйста, предложите свои вариант, которые бы вы хотели увидеть в нашем списке проверки :)
    <Isthmus> Немногим ранее я увидел схему генерации кошелька, которая была размещена на Reddit, и она заставляла меня задуматься о новых способах визуальной передачи результатов исследований: https://www.reddit.com/r/Monero/comments/gy0m1u/i_made_an_infographic_on_how_a_monero_wallet_is/
    <monerobux> [REDDIT] Я сделал рисунок схемы генерации кошелька Monero. Возможно, что вы сможете найти неточности или ошибки? (https://i.redd.it/tv98m10mbd351.png) to r/Monero | 163 points (100.0%) | 18 comments | Posted by Krakataua314 | Created at 2020-06-06 - 22:42:54
    <Isthmus> https://i.redd.it/tv98m10mbd351.png
    <Isthmus> Например, ed20519 (используется для приватного ключа просмотра → публичного ключа просмотра) - это односторонняя функция для всех компьютеров (при условии прочности дискретного журнала), которая может быть обращена вспять, если вы используете алгоритм Шора.
    <Isthmus> Поэтому можно визуально обозначить стрелкой направления для возможных злоумышленников и двунаправленной стрелкой обозначить гипотетических квантовых злоумышленников. Это был бы понятный подход?
    <sarang> Мне нравится эта идея
    <sarang> это очень разумно
    kiwi_87 вышел (0ee2e917@gateway/web/cgi-irc/kiwiirc.com/ip.14.226.233.23): Удаленный хост закрыл подключение
    <sarang>
    Isthmus, можете ли вы напомнить нам о планируемом графике работ?
    <Isthmus> мы будем работать над этим полный рабочий день в течение следующих 3 месяцев
    <sarang> (с пониманием того, что исследование часто принимают неожиданные повороты)
    <Isthmus> Первая фаза должна получиться довольно быстрой
    <sarang> Область применения была изменена, чтобы как можно меньше фокусироваться на написании кода исследования, верно?
    <sarang> А также понимании возможных мер для смягчениях последствий и соответствующей работе в ключе общения с неподготовленной публикой?
    <Isthmus> Только отчасти, мы просто готовим почву для изучения потенциальной модели злоумышленника, надеясь представить первый "результат" этого проекта к следующему заседанию MRL
    <sarang> О как, отлично!
    <Isthmus> Угу
    <sarang> Это отлично, особенно то, что это будет ваш первый отчет
    <Isthmus> А затем работать через поперечные сечения
    <Isthmus> (таблица, в которой каждый столбец будет являться злоумышленником, а строка - частью технологии применяемой в Monero)
    <Isthmus> Я предполагаю, что мы сможем заполнить 80% квадратов в 20% случаев
    <Isthmus> и 20% займет 80% времени
    <sarang> Как вы думаете, окончательные результаты будут пригодны для более широкого круга распространения? Например, в качестве общедоступных журналов или материала для конференции, возможно, документ для IACR?
    <Isthmus> На протяжении всего этого проекта сообщество будет получать обновления во время еженедельных встреч на #monero-research-lab. На этапе 3, мы подготовим несколько отдельных документов (в основном это будут ключевые результаты исследования), которые будут общедоступны
    <Isthmus> 1. Удобная для пользователя заметка - это вид предоставит доступное объяснение того, как гипотетические квантовые компьютеры могут повлиять на Monero, также мы предоставим возможные смягчения последствий. Заметки должны минимизировать FUD и обеспечить материал, в котором эти уязвимости применяются почти ко всем криптовалютам, а не только к Monero.
    <Isthmus> 2. Техническая документация: документ MRL для дистилляции ключевой информации для (текущих и будущих) исследователей и разработчиков. В статье будут описаны уязвимости и выделены потенциальные стратегии и компромиссы. Также будут включены фрагменты кода, если это будет необходимо (для внесения ясности).
    <Isthmus> 3. Нетехнический 1-страничный документ: документ представляющий интерес для журналистов, Monero Outreach и т. д. Будет предоставлено краткое резюме ELI5 / TL;DR. В этом документе будут обсуждаться все риски без применения каких-либо технических терминов, а также будут представлены выводы, которые можно будет использовать для написания статей в новостной блок
    <Isthmus> (все результаты будут распространяться через Twitter, посты на Reddit и видео из цикла Breaking Monero)
    <Isthmus> И да, надеюсь, что мы подготовим несколько отдельных исследовательских работ
    <Isthmus> Большая часть наших исследований будет применима не только к Monero
    <sarang> Великолепно!
    <atoc> да, здорово
    <sarang> мне будет интересно узнать, как вообще обстоят дела в этом сегменте исследований, пускай они и не совсем применимы в данный момент
    <sarang> Есть много идей для постквантовых конструкций, но, как правило, существуют огромные барьеры в их реализации и эффективности, которые делают их непригодными для текущего использования
    iDunk подключился (~iDunk@unaffiliated/idunk)
    <atoc>
    Кстати, Isthmus, это не по теме, но не могли бы вы немного рассказать о программе исследований Insight?
    <sarang> ОКей, у нас почти закончилось время
    <sarang> atoc: вы можете обсудить это после встречи?
    <atoc> да, конечно
    <sarang> Есть ли еще какие-либо вопросы или комментарии по представленным темам исследований?
    <sarang> Если нет, спасибо всем за участие!

    Источник: Research meeting: 10 June 2020 @ 17:00 UTC #472

    Перевод:
    Unholy (@Unholy)
    Редактирование:
    Mr. Pickles (@v1docq47)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.