Перевод Ответ на вторую редакцию статьи «Эмпирический анализ отслеживаемости в блокчейне Monero»

Тема в разделе "Статьи", создана пользователем Mr. Pickles, 7 апр 2018.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    206
    Симпатии:
    60
    Опубликовано: Джастин Эхренхофер (SamsungGalaxyPlayer, sgp)
    29 марта 2018

    Предисловие

    17 марта 2018 несколькими исследователями была опубликована вторая версия статьи «Эмпирический анализ отслеживаемости в блокчейне Monero». Ранее мною уже был написан ответ на оригинальную версию. При этом мне помогали многие другие члены сообщества (подробности см. здесь). Исследователи изменили свою статью в мере, заслуживающей отдельной реакции.

    Исследователи и разработчики, а также сообщество Monero в целом всегда высоко ценили исследования, которые проводились в отношении технологии Monero. Ими всегда приветствовалась конструктивная критика всех криптовалют. Monero Project рекомендует провести исследования по нескольким результатам, описанным в статье и указанным ниже в этом посте.

    Если говорить о функциях Monero, то необходимо, прежде всего, обозначить, что анонимность монеты обеспечивается тремя основными технологиями. Скрытые адреса (stealth addresses) не позволяют увидеть фактические адреса получателей при проведении транзакций, что не даёт внешнему наблюдателю определить, к какому адресу принадлежит определённый выход (выходы являются денежными контейнерами, банкнотами). Кольцевые подписи (ring signatures) скрывают выходы, трата которых происходит среди подобных и выглядящих правдоподобно подписей, которые выбираются при помощи продвинутой технологии. Протокол кольцевых конфиденциальных транзакций (ring confidential transactions, RingCT) является усовершенствованной версией кольцевых подписей и позволяет скрыть сумму транзакции. Monero изначально подразумевает обязательное использование скрытых адресов, обязательный минимальный размер кольца (начиная с марта 2016) и с января 2017 широко использует протокол RingCT. Данная статья, в первую очередь, сфокусирована на эффективности кольцевых подписей, обеспечивающих приемлемый уровень отрицания и сокрытия реального источника происхождения потраченных средств.

    Вскоре после выхода первой статьи исследователи Monero произвели оценку эффективности средств обеспечения анонимности. Что наиболее примечательно, в сентябре 2014 и январе 2015 были опубликованы две работы: MRL-0001 («Замечания по цепной реакции, вызываемой отслеживаемостью при использовании протокола CryptoNote 2.0») и MRL-0004 («Повышение уровня» "Improving Obfuscation in the CryptoNote Protocol"), соответственно. Обе работы непосредственно касались оценки надёжности кольцевых подписей, и именно на них Мальти Моузер (Malte Möser) и др. ссылались в своей статье. В работах были представлены недостатки схемы кольцевых подписей Monero, которые на тот момент не имели обязательного минимального размера кольца. В MRL-0004 рекомендовалось установить размер равный 3, абсолютный минимум, необходимый для предотвращения цепной реакции, а затем повысить этот минимум до 5 при последующем обновлении. Рекомендации были воплощены в жизнь. Позднее, в феврале 2016, лабораторией MRL был опубликован документ MRL-0005 («Кольцевые конфиденциальные транзакции»).

    Примечательные результаты исследований

    Данная исследовательская работа включает в себя несколько результатов, некоторые из которых являются абсолютно новыми, другие были впервые оценены, а остальные подкрепляют результаты предыдущих исследований.
    1. Транзакции с нулевыми ложными объектами (ранее называемыми «миксинами») не защищены кольцевыми подписями. Это самоочевидный факт.

    2. Транзакции с нулевыми ложными объектами негативно влияют на транзакции с применением ложных объектов. Эта работа помогает количественно определить такое влияние. В период вплоть до марта 2016 при проведении большинства транзакции не использовалось никаких ложных объектов, что привело к тому, что в этот период большое количество транзакций происходило со значительно сокращёнными кольцевыми подписями вплоть до реального входа.

    3. С марта 2016 по январь 2017 сеть восстановилась, так как был задан минимальный размер кольца, и процент транзакций с выводимыми входами упал с 85% до 40% (см. рисунок 5).

    4. В январе 2017 в качестве опциональной возможности был реализован протокол RingCT. Несмотря на то, что тогда он ещё не был обязательным, к февралю 2017 более 99% транзакций проводилось с применением этого протокола. В результате такого быстрого распространения процент транзакций с выводимыми входами упал почти до 0%. Так как протокол RingCT использует собственные выходы, транзакции с его использованием не подвергаются негативному воздействию транзакций с нулевыми ложными объектами, то есть самой большой угрозе, описанной в данной статье. В этой версии рассматривались транзакции, которые проводились до апреля 2017, в течение более длительного периода, чем тот, который был рассмотрен в оригинальной версии (до 1 февраля 2017).

    5. В сентябре 2017 использование протокола RingCT стало обязательным для проведения всех транзакций.

    6. Как и рекомендовалось в прошлом ответе, в этой работе было рассмотрено влияние майнинга. На рисунке 8 показано соотношение сетевого хешрейта, связанного с определёнными пулами, к прозрачными блоками, решёнными в процессе майнинга, и выплатами. Это соотношение достигло примерно 40% в апреле 2017, в то время как во все остальные периоды составляло ниже 30%. На рисунке 9 показано, что процент транзакций, связанных с пулами, в течение всего 2015 года составлял 95%, а в апреле 2017 составил приблизительно 30%. Такое соотношение кажется слишком незначительным, чтобы оказать значимое влияние на большинство транзакций, проведённых после января 2017. Тем не менее, что более важно, в работе было рассмотрено именно соотношение транзакций, а не соотношение видимых выходов, что означает, что любое сравнение является косвенным. Однако вполне возможно, что транзакции, которые проводились в течение нескольких дней с низким объёмом транзакций до сентября 2017, могли достигнуть значимого порога. Потенциального риска также удалось избежать в сентябре, когда минимальный размер кольца был увеличен до 5.

    7. В этой работе был установлен предел ежедневного объёма транзакций Monero на AlphaBay, который в начале 2017 года колебался от $0 до $60 000. Это составляло максимум 10% всего объёма транзакций AlphaBay и 25% от всего объёма транзакций в Monero. AlphaBay являлся вебсайтом даркнета, который принимал Bitcoin и Monero до того, как был запрещён и закрылся в июле 2017. Monero Project осуждает использование Monero в преступных целях.

    8. Monero использует специфический алгоритм выбора входов, который позволяет выбирать, какие ложные объекты будут включены в кольцевую подпись. Этот алгоритм со временем претерпел некоторые изменения и стал более реалистичным. В прошлом алгоритм выбора обычно отдавал предпочтение тем ложным объектам, которые были значительно старше, чем реальный вход, что означало, что новый вход в большинстве случаев будет реальным. На рисунке 12 продемонстрирована эффективность алгоритма выбора входов, который использовался с января 2017 по сентябрь 2017 для программного обеспечения официального кошелька. Алгоритм был обновлён по результатам, представленным в оригинальной версии статьи. При написании последней версии этот алгоритм не тестировался, даже несмотря на то, что она ссылалась на него как на используемый в настоящее время. Один из авторов признал ошибку и пообещал рассмотреть возможность внесения изменений. Нам было приятно узнать об этом. Протестированный (старый) алгоритм выбора позволяет выбрать примерно 25% ложных объектов за 5 дней. Новый алгоритм выбирает приблизительно 50% ложных объектов за 1,8 дня. Несмотря на то, что используемый в настоящий момент алгоритм не был рассмотрен так же тщательно, как описанный в этой статье, он работает эффективнее протестированного алгоритма.

    9. В работе был предложен новый алгоритм выбора входа. Исследователями было рассмотрено распределение трат Monero и Bitcoin по времени и создана параметрическая модель поверх распределения Monero. Этот алгоритм выбора работает значительно лучше, нежели протестированный алгоритм, который был реализован командой Monero и использовался в период с января 2017 по сентябрь 2017.

    10. В работе также была предложена схема выборки ложных объектов под названием «binned mixin sampling» (накопительная выборка миксинов). Другие данные исследования такой схемы выбора довольно ограничены.

    11. Также в статье перечислены несколько известных способов незаконного использования Monero, а также возможные действия, которые могут быть предприняты правоохранительными органами и злоумышленниками, чтобы получить больше информации о транзакциях Monero. Monero Project осуждает использование Monero в преступных целях.

    12. В заключении работы приводятся следующие рекомендации: 1) обновить схему распределения выборки ложных объектов; 2) избегать публично деанонимизированных выходов как ложных объектов (например, выплат через публичные пулы); 3) Предупредить пользователей о том, что их транзакции с применением протокола RingCT уязвимы для анализа, направленного на отслеживание. Две первые рекомендации являются дальновидными с точки зрения совершенствования протокола. Monero Project согласен с обеими этими рекомендациями. Monero Project своим заявлением подтверждает свою приверженность принципам прозрачности в отношении ограничений и предлагаемых улучшений Monero. Рекомендации по улучшению анонимности, изложенные в документе MRL-0004, открыто опубликованном в январе 2015 (более чем за два года до выхода оригинальной версии статьи Мальти Моузера и др.), не были в полной мере реализованы вплоть до сентября 2017. Фактически точно те же ограничения транзакций с нулевыми ложными объектами были описаны в документе MRL-0004. Ниже приводится соответствующая цитата из MRL-0004, которая говорит о той же самой угрозе, о которой пишут Мальти Моузер и др. в своей статье.
    Чтобы проиллюстрировать всё это: допустим, Элис использует кольцевую сигнатуру с миксинами {Бобом, Синтией, Дугом}. Значит, для стороннего наблюдателя список возможных отправителей будет очевиден: {Элис, Боб, Синтия, Дуг}. Если Боб, Синтия и Дуг каждый потратят свои выходы транзакций с нулевыми миксинами, то любому наблюдателю станет ясно, что у них больше нет своих выходов транзакций. Следовательно, их можно будет исключить из списка возможных отправителей транзакции Элис, а Элис теперь в своей транзакции становится отправителем. Это не так, как было бы, если бы все три пользователя, Боб, Синтия и Дуг, провели свои транзакции в открытую, но так, если бы все четыре пользователя сделали это открыто. Поэтому, любые подписи, которые используются в транзакции Элис в качестве миксинов, теперь становятся скомпрометированными. Если будет раскрыто достаточное количество транзакций, то возникнут последствия второго порядка, которые приведут к цепной реакции.

    Рекомендации

    Monero Project может дать авторам исследовательской статьи следующие рекомендации.
    1. Мы рекомендуем авторам обновить текст, касающийся алгоритма выбора, который использовался в период с января 2017 по сентябрь 2017, таким образом, чтобы он был сам по себе, и чтобы его не путали с используемым в настоящее время алгоритмом выбора. Monero Project также крайне рекомендует авторам протестировать используемый в настоящее время алгоритм, который был реализован специально для решения проблем, указанных в оригинальной версии статьи. Помимо этого, мы рекомендуем добавить информацию о том, что алгоритм выбора был изменен в соответствующий период обновления в сентябре 2017 после версии 0.11.0.

    2. Мы рекомендуем авторам подтвердить, что проблема транзакций с нулевыми ложными объектами была поднята ранее, а также, что весь связанный риск был ранее описан (хоть и не был так же тщательно определён в цифрах) в работе MRL-0004, опубликованной в январе 2015. Несмотря на наше согласие с возможностью дополнительной связи, мы рекомендуем авторам сфокусироваться на том, что это была более ранняя (исправленная с тех пор) уязвимость, которая была задокументирована за несколько лет до выхода статьи. Monero Project считает, что он надлежащим образом обеспечил доступ к этой информации в одном из разделов своего вебсайта.
    Дальнейшие исследования

    Monero Project рекомендует провести дальнейшие исследования по следующим направлениям, рассматриваемым в этой статье:
    1. Далее исследовать изменения в распределении времени трат Bitcoin, чтобы оценить значение (если таковое будет) такого изменения. Также необходимо сравнить эти данные с подобными данными других криптовалют.

    2. Необходимо провести дальнейшие исследования схемы накопительной выборки миксинов. В этой статье был приведён первый задокументированный вариант рекомендаций по использованию схемы.

    3. Необходимо исследовать влияние видимых транзакций, проводимых чрез пул, и соответствующих выходов. Требуется создать модель, чтобы увидеть, какая часть выходов подвергается воздействию со временем, потенциально воздействуя на определённую часть транзакций за определённый временной период.

    4. Необходимо исследовать возможное влияние повторного использования образа ключа при разбиении чейна, которое потенциально может стать причиной деанонимизации ряда выходов. Несмотря на то, что конкретно эта угроза не была упомянута в статье, она может иметь такие же последствия, что и в других случаях.
    Заключение

    Вторая версия статьи «Эмпирический анализ отслеживаемости в блокчейне Monero» во многих смыслах лучше оригинала. Monero Project благодарит многих ведущих исследователей во всём мире за оценку эффективности кольцевых подписей Monero.

    Monero Project хотел бы всем напомнить, что самая значительная уязвимость, о которой было написано в работе за два года до этого, была решена год назад и практически полностью исчезла ещё до публикации первой версии статьи. Тем не менее в работе наилучшим на сегодняшний день образом количественно оценено влияние нулевых ложных объектов, предложено несколько вариантов улучшения выбора входов, а также впервые рассматривается возможное влияние информации о транзакциях, проходящих через публичные пулы.

    До публикации с этим пресс-релизом была ознакомлена Рашель Роуз О’Лири (Rachel Rose O'Leary) из CoinDesk, Джейми Холмс (Jamie Holmes) из BTCMANAGER, а также все упомянутые в статье авторы.

    Источник: Response to "An Empirical Analysis of Traceability in the Monero Blockchain", Version 2

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
    MoneroRus нравится это.
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.