Перевод Отслеживание кольцевых подписей Cryptonote при помощи внешних метаданных

Тема в разделе "Статьи", создана пользователем Mr. Pickles, 7 янв 2019.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    451
    Симпатии:
    160
    Что такое атака?

    Так как мы погружаемся в технические подробности возможности отслеживания Cryptonote, я стану использовать термин «атака» для обозначения всего того, что можно использовать в целях деанонимизации кольцевых подписей. Важно понять, что подобно большинству реальных атак против криптографических средств, такие атаки не связаны с ними напрямую. Целью являются транзакции и люди, которые взаимодействуют таким образом. Фактически такая атака является просто применением прописных преступных технологий к кольцевым подписям.

    Так как ни одна из известных мне атак не даёт стопроцентной гарантии успеха, важно понимать их относительные сильные и слабые стороны.

    Каковы основные свойства анализа метаданных?

    В данном случае единственным выражением, приходящим на ум, является «убийца по совокупности данных». Так как анонимность в рамках кольцевой подписи обеспечивается в довольно ограниченном формате, было бы наивно и глупо советовать «отправить деньги самому себе пару раз». Атака с использованием метаданных оборачивается «вспениванием» вплоть до создания уличающего доказательства в рамках сценария, при котором вы пытаетесь выработать свидетельство за пределами разумных оснований для сомнения, что транзакция состоялась между Элис и Бобом.

    Другое интересное свойство метаданных заключается в том, что больший размер кольца становится более уличающим. Этому можно противодействовать исключительно более тщательным подбором выходов. Одна из таких идей описана в Разделе 6.2 здесь.

    Как это работает в подробностях?

    Допустим, Боб владеет магазином. Государству не нравится то, чем торгует Боб, и поэтому одним прекрасным утром Боб обнаруживает, что находится в полицейском участке в одном исподнем. Он соглашается на сотрудничество.

    Элис не знает Боба и проводила с ним транзакцию лишь единожды. Элис думала, что она хитрая. Она понимала, что она будет в опасности, если отправит Бобу деньги с биржи из-за вероятности Knacc-атаки. Поэтому она решила отправить деньги несколько раз самой себе, чтобы повысить уровень анонимности по экспоненте.

    К несчастью для Элис, Боб выдал её адрес доставки, согласившись на сделку с полицией. Но это пока ещё будет недостаточным доказательством для суда. Люди часто делают так, если мотивировать их (погуглите: Рафид Ахмед Альван Аль-Джанаби). Следующее, что сделают власти — они сравнят список Боба с данными бирж, чтобы узнать, кто выводил деньги. И это тоже не будет свидетельством — Боб просто мог указать на человека, который ему не нравится. Нам нужно доказательство того, что деньги, которые были выведены Элис, в конечном счёте попали к Бобу.

    К сожалению для Элис, её интернет-провайдер в силу закона обязан регистрировать её активность. Это упрощает процесс определения времени, которое она проводила онлайн.

    И теперь мы перемещаемся в суд. Элис сидит на скамье подсудимых, а свидетель, являющийся экспертом по компьютерным преступлениям — в ложе для свидетелей.

    Обвинитель: Как было указано в моём отчёте, представленном Суду в качестве свидетельства, Приложение А, Элис использовала протокол, который позволил ей взять ряд ложных входов и один реальный вход. Чтобы замаскировать её транзакцию.

    Адвокат: количество возможных ложных входов измеряется тысячами. Как жюри может быть уверено в том, что это была именно она, а не один из 999 невиновных наблюдателей?

    Обвинитель: Как следует из Приложения A к моему отчёту, вещественное доказательство В, Элис были взяты два других невиновных сторонних пользователя для каждой из серии транзакций. На первом уровне, самом недавнем, был только один выход, когда, согласно отчёту её интернет-провайдера, она была онлайн. На следующем уровне также есть всего один из трёх, а это означает, что шанс на то, что оба события произошли одновременно, гораздо меньше. На третьем уровне шанс на то, что факты «присутствия Элис онлайн» и «генерирования выхода» не коррелируют, очень мал. И тут мы уже имеем случай математической достоверности отправки денег Элис Бобу.

    Доказательство, Приложение B

    1.png

    Что можно сделать, чтобы избежать такой ситуации?

    Сперва давайте исключим одну вещь. Никакой объём сокрытого трафика в режиме реального времени не раскроет вас. Это не решает основного вопроса: временной связи ваших действий и проведения транзакции.

    В случае с Monero вы становитесь зажаты с двух сторон, ведь есть непостоянная комиссия, которая способствует утечке информации, когда вы подписываете транзакцию, даже если вы задерживаете публикацию.

    Более умный подход к выбору выходов (смотрите работу, на которую я дал ссылку ранее) в значительной степени способствует решению проблемы. Здесь сильное предпочтение отдаётся выходам, которые также имеют временную связь с реальным выходом.

    Наконец, реальное решение проблемы может быть осуществлено на уровне протокола, когда публикация транзакции задерживалась бы, а сама транзакция оставалась анонимной.

    Что ещё читать по теме: «Почему метаданные имеют значение?» от EFF.

    Источник: Tracing Cryptonote ring signatures using external metadata

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
    TheFuzzStone нравится это.
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.