Monero Research Lab

Monero werkt niet alleen aan een inwisselbare valuta, maar doet ook onderzoek naar financiële privacy op het gebied van cryptovaluta. Hieronder vind je het werk van ons eigen Monero Research Lab. En er komen nog meer papers aan. To contact the Monero Research Lab, please email lab@getmonero.org.

Monero Research Lab Papers (Engels)

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Samenvatting: Confidential transactions are used in distributed digital assets to demonstrate the balance of values hidden in commitments, while retaining signer ambiguity. Previous work describes a signer-ambiguous proof of knowledge of the opening of commitments to zero at the same index across multiple public commitment sets and the evaluation of a verifiable random function used as a linking tag, and uses this to build a linkable ring signature called Triptych that can be used as a building block for a confidential transaction model. In this work, we extend Triptych to build Arcturus, a proving system that proves knowledge of openings of multiple commitments to zero within a single set, correct construction of a verifiable random function evaluated at each opening, and value balance across a separate list of commitments within a single proof. While soundness depends on a novel dual discrete-logarithm hardness assumption, we use data from the Monero blockchain to show that Arcturus can be used in a confidential transaction model to provide faster total batch verification time than other state-of-the-art constructions without a trusted setup.

Samenvatting: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.

Samenvatting: We demonstrate that a version of non-slanderability is a natural definition of unforgeability for linkable ring signatures. We present a linkable ring signature construction with concise signatures and multi-dimensional keys that is linkably anonymous if a variation of the decisional Diffie-Hellman problem with random oracles is hard, linkable if key aggregation is a one-way function, and non-slanderable if a one-more variation of the discrete logarithm problem is hard. We remark on some applications in signer-ambiguous confidential transaction models without trusted setup.

Samenvatting: Deze technische notitie beschrijft een algoritme waarmee kennis van hetzelfde discrete logaritme tussen verschillende groepen kan worden bewezen. Hierin wordt de gedeelde waarde uitgedrukt als een scalaire weergave van bits, en wordt een verzameling ring-handtekeningen gebruikt om te bewijzen dat alle bits een geldige waarde hebben die hetzelfde is (tot een bepaalde equivalentie) in beide scalaire groepen.

Samenvatting: We presenteren ring multi-signatures met een drempel (thring signatures) voor gezamenlijke berekening van ring-handtekeningen, we presenteren een spel met existentiële vervalsing voor thring signatures en we bespreken toepassingen van thring signatures in digitale valuta met atomic swaps tussen blockchains waarbij de afzender ambigu is voor vertrouwelijke bedragen zonder trusted setup. We presenteren een implementatie van thring signatures onder de naam 'linkable spontaneous threshold anonymous group signatures', en we bewijzen dat deze implementatie niet existentieel vervalst kan worden.

Samenvatting: Dit bulletin beschrijft een aanpassing van het koppelen van ring-handtekeningen in Monero waardoor outputs met een dubbele sleutel worden toegestaan als deelnemers aan een ring. Key images worden gekoppeld aan de eenmalige openbare sleutels van beide outputs, waardoor wordt voorkomen dat de beide sleutels in de transactie afzonderlijk kunnen worden uitgegeven. Deze methode kan worden toegepast in niet-interactieve terugbetalingen. We bespreken de gevolgen van het systeem voor de veiligheid.

Samenvatting: In deze technische notitie wordt het begrip 'uitgegeven outputs' gegeneraliseerd volgens de elementaire verzamelingenleer. We vatten allerlei eerder onderzoek naar het aanwijzen van dergelijke outputs samen. We kwantificeren de gevolgen van deze analyse op de Monero-blockchain en geven een kort overzicht van tegenmaatregelen.

Samenvatting: Gebruikers van de cryptovaluta Monero die adressen willen hergebruiken zonder dat ze aan elkaar kunnen worden gekoppeld, moeten afzonderlijke portemonnees gebruiken. Daarvoor moeten ze binnenkomende transacties voor elke portemonnee opzoeken. We documenteren een nieuw systeem van adressen waarbij een gebruiker één hoofdadres voor een portemonnee heeft en een onbeperkt aantal subadressen die niet aan elkaar gekoppeld kunnen worden. Elke transactie hoeft maar één keer gescand te worden om te bepalen of deze bestemd is voor een van de subadressen van de gebruiker. Dit systeem ondersteunt ook meerdere outputs naar andere subadressen en is net zo efficiënt als traditionele transacties.

Samenvatting: In dit artikel wordt een methode geïntroduceerd voor het verbergen van transactiebedragen in de sterk gedecentraliseerde anonieme cryptovaluta Monero. Net als Bitcoin is Monero een cryptovaluta die wordt verspreid via een proces van *mining* voor *proof of work*. Het oorspronkelijke Monero-protocol was gebaseerd op CryptoNote, waarin ring-handtekeningen en eenmalige sleutels worden gebruikt om de herkomst en bestemming van transacties te verbergen. Onlangs heeft Bitcoin Core-ontwikkelaar Gregory Maxwell een methode besproken en geïmplementeerd om het bedrag van een transactie te verbergen met een *commitment scheme* (verbintenis). In dit artikel wordt een nieuw type ring-handtekening beschreven: een *Multi-layered Linkable Spontaneous Anonymous Group*. Hiermee kunnen bedragen, afzenders en ontvangers worden verborgen met redelijke efficiëntie, terwijl de hoeveelheid gegenereerde coins kan worden gecontroleerd zonder dat je iemand hoeft te vertrouwen. Er worden een aantal uitbreidingen van het protocol voorgesteld, namelijk *Aggregate Schnorr Range Proofs* en *Ring Multisignature*. De auteur wil hierbij aantekenen dat vroege schetsen van dit artikel zijn gepubliceerd binnen de Monero-community en op het IRC-kanaal bitcoin-research. Hashes op de blockchain van schetsen zijn beschikbaar in [14], waaruit blijkt dat dit werk is begonnen in de zomer van 2015 en voltooid in het begin van oktober 2015. Er is ook een e-print beschikbaar op http://eprint.iacr.org/2015/1098.

Samenvatting: We beschrijven verschillende aanvallen met blockchain-analyse waarmee de onvolgbaarheid van het protocol CryptoNote 2.0 zou kunnen worden aangetast. We analyseren mogelijke oplossingen, bespreken de voor- en nadelen van deze oplossingen en we raden verbeteringen van het Monero-protocol aan waarmee deze cryptovaluta op de lange termijn hopelijk beter bestand zal zijn tegen blockchain-analyse. Onze aanbevolen verbeteringen van Monero zijn onder meer: een minimale mixin van n = 2 externe outputs per ring-handtekening op protocolniveau voor het hele netwerk, een verhoging van deze waarde tot n = 4 op protocolniveau na twee jaar, en voorlopig een standaardwaarde van n = 4 op het niveau van de portemonnee. We raden ook aan om Monero-uitvoer te verzenden in de vorm van een torrent. Verder bespreken we een niet-uniforme, leeftijdsafhankelijke methode om mixins te selecteren, waarmee de andere vormen van blockchain-analyse die hier zijn vermeld, kunnen worden vermeden, maar om verschillende redenen doen we geen formele aanbevelingen over het implementeren hiervan. De consequenties van deze verbeteringen worden ook uitgelegd. Dit onderzoeksbulletin is niet onderworpen aan peer review en geeft alleen de resultaten van intern onderzoek weer.

Samenvatting: Er is onlangs her en der op het internet angst gezaaid over de CryptoNote-broncode en het CryptoNote-protocol, op grond van het feit dat het ingewikkelder is dan bijvoorbeeld Bitcoin. Met deze notitie is wil ik enkele misverstanden ophelderen en hopelijk iets van het mysterie rond de ring-handtekeningen van Monero wegnemen. Om te beginnen vergelijk ik de wiskunde in de ring-handtekeningen van CryptoNote (zoals beschreven in [CN]) met de wiskunde in [FS] waarop CryptoNote is gebaseerd. Vervolgens vergelijk ik de wiskunde van de ring-handtekening met wat werkelijk in de CryptoNote-broncode staat.

Samenvatting: Op 4 september 2014 werd een ongebruikelijke en originele aanval op het cryptovaluta-netwerk van Monero uitgevoerd. Door deze aanval werd het netwerk verdeeld in twee afzonderlijke delen die de geldigheid van het andere deel niet erkenden. Dit had allerlei gevolgen, die nog niet allemaal bekend zijn. Er was bijvoorbeeld een korte periode waarin de aanvaller een soort van valsemunterij kon uitvoeren. Dit onderzoeksbulletin beschrijft tekortkomingen in de CryptoNote-referentiecode waardoor deze aanval mogelijk is, het beschrijft de oplossing die aanvankelijk is voorgesteld door Rafal Freeman van Tigusoft.pl en vervolgens door het CryptoNote-team, het beschrijft de huidige oplossing in de Monero-broncode en het legt uit wat het schadelijke blok precies met het netwerk heeft gedaan. Dit onderzoeksbulletin is niet onderworpen aan peer review en geeft alleen de resultaten van intern onderzoek weer.

Samenvatting: Dit onderzoeksbulletin beschrijft een plausibele aanval op een anonimiteitssysteem dat is gebaseerd op ring-handtekeningen. Als aanleiding gebruiken we het cryptovaluta-protocol CryptoNote 2.0, dat onder de naam Nicolas van Saberhagen is gepubliceerd, waarbij 2012 als jaar van publicatie is vermeld. Eerder is aangetoond dat de onvolgbaarheid waarmee een eenmalig sleutelpaar wordt verborgen kan afhangen van de onvolgbaarheid van alle sleutels waarmee die ring-handtekening wordt gemaakt. Hierdoor zou er een kettingreactie van volgbaarheid tussen ring-handtekeningen kunnen optreden, met als gevolg een gevaarlijk verminderde onvolgbaarheid in het hele netwerk als parameters slecht zijn gekozen en een aanvaller een bepaald percentage van het netwerk bezit. De handtekeningen zijn echter nog steeds eenmalig, dus een dergelijke aanval is niet per se schadelijk voor de anonimiteit van gebruikers. Maar zo'n aanval zou CryptoNote wel minder bestendig tegen blockchain-analyse kunnen maken. Dit onderzoeksbulletin is niet onderworpen aan peer review en geeft alleen de resultaten van intern onderzoek weer.

Summary: Monero uses a unique hash function that transforms scalars into elliptic curve points. It is useful for creating key images, in particular. This document, authored by Shen Noether, translates its code implementation (the ge_fromfe_frombytes_vartime() function) into mathematical expressions.