Перевод Обновление от Саранга, конец апреля (2018)!

Тема в разделе "Статьи", создана пользователем Mr. Pickles, 18 май 2018.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    269
    Симпатии:
    81
    Привет всем! Это Sarang со своим апрельским отчётом. В этом месяце, как и обычно, у меня было полно дел, и вот краткое описание моей работы. Каждый месяц в лаборатории не только по-своему уникален, но и всегда интересен. И, как всегда, я хотел бы поблагодарить сообщество за финансирование исследований, способствующих безопасности, защите Monero, а также тому, что эта валюта по-прежнему остаётся на передовой.

    Семинар IEEE

    Сообщество обеспечило щедрое финансирование, чтобы я и мой коллега по лаборатории Surae Noether смогли посетить семинар IEEE Security & Privacy on the Blockchain workshop (Семинар IEEE по безопасности и анонимности блокчейна), который недавно прошёл в Лондоне. Перед мероприятием нам удалось пообщаться с двумя организаторами встреч Monero, которые проводятся в Лондоне (мы даже получили несколько великолепных стикеров Monero). Всегда приятно провести время с сотоварищами по Monero!

    На семинаре много говорилось о безопасности криптовалютных активов, и некоторые вопросы касались непосредственно Monero. В одном из выступлений Кевин Ли (Kevin Lee) говорил о значении «враждебных» узлов Monero. В частности, было высказано предположение, что такой враждебный удалённый узел может передавать повреждённые миксины чистому клиенту, и когда клиент запросит новые миксины, злоумышленник сможет использовать их комбинацию для того, чтобы вычислить реального отправителя. Тем не менее программное обеспечение кошелька предупреждает пользователя о наличии повреждённого выхода, что делает атаку неосуществимой. Враждебный удалённый узел также может выборочно повреждать выходы в надежде, что клиент не обнаружит странного поведения, но это гораздо менее эффективный метод получения информации. Во избежание повреждения выходов удалёнными узлами рекомендуется использовать проверенный источник данных. Но это может потребовать определённых затрат, несоизмеримых с получаемым преимуществом. В другом случае клиенты могут опрашивать множество узлов и проверять согласованность их отклика. Здесь следует отдельно отметить, что пользователям не рекомендуется использовать удалённые узлы, которым они не доверяют, а также, что использование локального полного узла не позволит сыграть с вами злую шутку. Результаты этого исследования были ответственно раскрыты разработчикам Monero до того, как были опубликованы.

    Второе выступление, связанное с Monero и подготовленное Алишей Чейтор (Alishah Chator), касалось метода сжатия описания кольцевых миксинов в случае с большим размером кольца с целью экономии пространства. Если Monero придётся перейти к использованию колец большого размера, идентификация членов кольца может стать излишне большой. Следует отметить, что эта проблема стоит в стороне от самой кольцевой подписи. Лаборатория получила копию этой работы до семинара и рассмотрела её значение. К сожалению, она не даёт никаких преимуществ, если речь идёт о кольцах небольшого размера, которые используются в данный момент по умолчанию. Любой переход к использованию колец большего размера потребует применения схемы с сублинейным размером подписи. Жаль, что любая схема кольцевой подписи требует какого-то времени для верификации, которое линейно в случае с размером кольца. Это делает известные подходы слишком медленными при их практическом применении, когда речь идёт о размерах кольца, описанных в этом исследовании. Тем не менее, если использование схемы с сублинейным размером подписи станет практичным в будущем, эта техника сжатия может оказаться полезной.

    И как всегда, Monero Research Lab высоко ценит работу независимых исследователей в области безопасности, конфиденциальности и эффективности Monero. Нами приветствуется проведение новых исследований и изысканий, и мы всегда просим, чтобы работы по возможным уязвимостям предоставлялись нам на рассмотрение до их публикации.

    Аудиты

    Начались два из трёх необходимых аудитов Bulletproofs. В процессе принимают участие Kudelski Security и QuarksLab. Я продолжу координировать деятельность и работу, проводимую рецензентами в это время. Первые результаты ожидаются уже через месяц или около того, в зависимости от графика работы рецензентов. Эти результаты будут опубликованы. Помимо аудита, готовится дополнительное тестирование некоторых вариантов оптимизации наших Bulletproofs, которые призваны повысить показатели скорости их работы.

    Без паники

    Иногда нам приходится сталкиваться с пугающими отчётами, связанными с некоторыми технологиями, которые заставляют ребят вроде меня тратить время на анализ потенциального влияния описанных авторами проблем на Monero. Вот пара примеров только за этот месяц.

    Вышел препринт (напоминаю, что это работа, которая ещё не прошла независимой экспертизы), в котором были рассмотрены некоторые известные (уже устранённые) векторы атаки на анонимность Monero. В работе также рассматривается новый возможный способ атаки, при котором злоумышленник сможет повторно использовать кольцо своих же контролируемых выходов, пытаясь уменьшить эффективный размер колец других транзакций. Я ознакомился со статьёй и думаю, что тут не о чем беспокоиться. Транзакция, использующая уже потраченный вами выход, стала обычным делом. Это просто следствие использования миксинов в кольцевых подписях. В данном случае единственным дополнением является тот факт, что повторное использование кольца делает паттерн траты публичным, а не секретным. Злоумышленник, таким образом, просто обозначает, что именно он делает это, что, кстати, нельзя назвать самым умным подходом! Тут стоит вновь предупредить: программное обеспечение кошелька не предусматривает внесения в чёрный список таких колец. Следует отметить, что авторы данной работы предварительно не связались с нами и никаким образом не дали нам ознакомиться с их статьёй. Лично я считаю, что это довольно плохо написанная работа, в которой просто приводится старый материал. Возможно, авторы просто хотели привлечь к себе внимание (но кто может знать наверняка). Лабораторию не беспокоит эта проблема, но мы разочарованы тем, что авторы работы не использовали ни один из доступных каналов, чтобы связаться с нами.

    Недавно выяснилось, что некоторые варианты реализации библиотеки SecureRandom, написанной на JavaScript и используемой некоторыми приложениями для генерации произвольных данных, содержит ошибки и генерирует смещённые выходы с низким уровнем энтропии. Обозначенная проблема заключалась в том, что любое использование SecureRandom для генерирования приватных ключей при обращении с криптографическими активами могло привести к тому, что такие ключи могли быть восстановлены злоумышленниками. Нами были проанализированы два популярных написанных на JavaScript генератора ключей Monero. Ни одна из библиотек не использует SecureRandom, так что пользователи этих генераторов не подвергаются ни одному из описанных рисков. Помимо этого, нами было подтверждено, что эти инструментальные средства генерируют ключи, используя только самые высококачественные из существующих на сегодня генераторов случайных чисел, и они не будут выдавать что-либо, если не смогут делать этого безопасно. Тем не менее это хорошая возможность напомнить всем, что всегда следует использовать только самые последние патчи для вашего браузера и вычислительной среды. Это обеспечит необходимую безопасность.

    «Вспенивание»

    В этом месяце меня особо заинтересовала тема «вспенивания» (churn). Это тот случай, когда вы один или несколько раз отправляете средства самому себе, чтобы увеличить размер «древа кольца» относительно изначально полученных средств в конце цикла «вспенивания». Потенциальный вектор атаки может включать в себя контроль трат продавцом, который может осуществлять «вспенивание» до того, как положить на депозит средства на бирже, которой известна его личность. Если злоумышленнику удастся получить записи биржи, он сможет изучить древо подписи и попытаться вывести данные о наличии или об отсутствии контролируемых трат. Безусловно, многие другие транзакции содержат контролируемые траты в виде кольцевых миксинов, поэтому продавец по-прежнему гарантировано может пользоваться возможностями правдоподобного отрицания, которые обеспечивают кольцевые подписи. Тем не менее нам бы хотелось получше понять роль «вспенивания» в рамках этих эвристических процедур. Мы работаем с несколькими статистическими моделями и симуляциями, которые позволят определить, какое «вспенивание» может быть оптимальным (если какое-либо вообще может быть таковым), чтобы пользователь мог лучше контролировать свою анонимность, если его волнует проблема контролируемых трат. При этом решается вопрос экономии времени и денег за счёт не использования «вспенивания» без необходимости. Следует отметить, что контролируемые траты никоим образом не влияют на математическую безопасность кольцевых подписей или средств, так как это просто эвристическая процедура.

    Транзакции возмещения

    В ходе неформальных бесед с исследователем Purdue на семинаре IEEE было получено много новой информации относительно транзакций возмещения, которая была получена его студентом в ходе исследований. Транзакции возмещения являются неотъемлемым компонентом определённых платёжных приложений. Нам была предложена схема, которая подразумевает изменение структуры выходов и кольцевых подписей, позволяющее отправителю использовать два выхода: один будет действительным вплоть до достижения определённой высоты блока, а второй станет действительным после достижения этой точки. Мы вместе с исследователями плотно работаем над безопасностью этой схемы и её подробной структурой. Это может оказать сильное влияние на транзакции Monero.

    Уголок читателя

    Продолжаем традицию, начало которой было положено в прошлом месяце. Предлагаем вам (частичный) список работ, на которые я недавно наткнулся. То, что работы попали в данный список, никак не означает мою поддержку или согласие с выводами, которые содержатся в них.
    • Zero to Monero (Monero с нуля). Великолепный технический и математический обзор модели транзакций Monero.
    • How to Squeeze a Crowd (Как протиснуться сквозь толпу). Относительно новое исследование, касающееся способов эффективного описания членов больших колец. Эта работа была предоставлена лаборатории ранее, а также была представлена на семинаре IEEE.
    • FruitChains: A Fair Blockchain (FruitChains — справедливый блокчейн). Описание умного способа реализации «двойного майнинга» для транзакций и блоков, позволяющего снизить мотивацию к использованию майнинг-пулов.
    • Backyard Cuckoo Hashing (Кукушкино хеширование, и что стоит за ним). Эффективный динамический словарь, а также глубокий обзор, связанный с работой в это области.
    • Invisible Sanitizable Signatures (Невидимые и обезличиваемые подписи). Результаты исследования, демонстрирующие, что делегированные подписи, которые позволяют разгрузить определённые модификации сообщений, эквивалентны схемам публичных ключей.
    • Pseudorandom synethesizers, Functions, and Permutations (Псевдослучайные синтезаторы, функции и преобразования). Докторская диссертация, содержащая фантастический обзор псевдослучайных функций и преобразований, а также структур, позволяющих параллельно генерировать произвольность.
    • Efficient Zero-Knowledge Arguments for Arithmetic Circuits (Эффективные аргументы без раскрытия конфиденциальной информации для арифметических схем). Структура доказательства без раскрытия конфиденциальных данных, которая использовалась (с изменениями) в качестве основы для Bulletproofs.
    • Updatable and Universal Common Reference Strings with Applications to zk-SNARKs (Обновляемые и универсальные модели CRS для определения неинтерактивного доказательства с нулевым разглашением с возможностью применения с zk-SNARKs). Новый метод, позволяющий пользователям самостоятельно обновлять модель CRS для совершения zk-SNARK операций, что обеспечивает возможность нового применения «доверенных настроек» существующих эффективных схем.
    • Constant-Size Traceable Ring Signatures Scheme (Схема отслеживаемых кольцевых подписей постоянного размера). Схема кольцевой подписи, позволяющая использовать постоянный размер, что, к сожалению, требует доверенной настройки.
    • In Search of CurveSwap (В поисках CurveSwap). Обзор практического использования эллиптической кривой в реальных условиях.
    • Rethinking Large-Scale Consensus (Переосмысление широкого консенсуса). Формализация не требующая разрешения консенсуса с интересными результатами привязки и применимости к консенсусу Накомото (Nakamoto).
    • Burning Zerocoins for Fun and Profit («Горящие» Zerocoin для развлечения и выгоды). Новая атака на протоколы Zerocoin, позволяющие злоумышленнику «сжигать» средства других пользователей.
    Источник: Sarang delayed end of April update!

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
    #1 Mr. Pickles, 18 май 2018
    Последнее редактирование: 18 май 2018
    tooman нравится это.
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.