門羅幣（Monero）研究實驗室報告整理 -- 看不懂論文，就看簡述

03-28

「研究實驗室」 -- 不一定非要高大上，這裡是門羅幣核心團隊針對受攻擊、新功能、新特性的部分論文闡述。

MRL-0001:

就 CryptoNote 2.0 「可被追蹤」引起的連鎖反應，這是我們的回復

全文鏈接：https://lab.getmonero.org/pubs/MRL-0001.pdf

CryptoNote 2.0 協議由 Nicolas van Saberhagen 在 2012 年公開發表，它

闡述了我們創建虛擬貨幣的初衷。

「環簽名」是 CryptoNote（一個點對點匿名支付系統）的重要組成部分，本研究報告描述了一種貌似合理的、針對環簽名的攻擊。

在這之前我們已經證明過：經過混淆的、不可追蹤一次性密鑰對，其隱私保護程度究竟如何？

答案是：依賴於所有參與此次環簽名的鑰匙（key）都不可追蹤。

如果參數選擇不當並且攻擊者佔有足夠多的網路佔比，環簽名會被追蹤，並且相互之間會產生連鎖反應，嚴重地甚至會導致整個網路的不可追蹤性遭到威脅。

儘管如此，簽名仍然是一次性的，此類攻擊並不一定能夠對用戶的匿名性產生威脅。

話又說回來，這樣的攻擊估計會削弱 CryptoNote 對「區塊鏈分析」的抵抗力。

> 譯註：CryptoNote 除了「不可追蹤」外，還有「不可鏈接」、「抵抗區塊鏈分析」等特點，這裡的讀起來有點矛盾，意思應該是：如果發生上述攻擊，「不可追蹤性」不一定會受到影響，但「抵抗區塊鏈分析」的能力減弱了。

本研究報告未經同行評議，僅反映內部調查結果。

> 譯註：本文應該是門羅幣核心團隊對「A Traceability Analysis of Monero』s Blockchain」 https://eprint.iacr.org/2017/338.pdf 文章攻擊，做出的回應。

MRL-0002:

使用 CryptoNote 協議的漏洞，成功偽造 Merkle 樹

全文鏈接：https://lab.getmonero.org/pubs/MRL-0002.pdf

2014 年 9 月 4 日，門羅幣（Monero）隱私安全網路受到了一次不尋常的、新穎的攻擊。

本次攻擊將網路劃分成了兩個不同的子集，兩個子集之間互相拒絕，不承認彼此的合法性。

這產生了不少副作用，有的甚至我們還不知道。

舉例來說，攻擊者有很短的時間窗口，在這個時間窗口內可能會發生偽造交易/區塊。

本研究報告

描述了是哪些 CryptoNote 參考代碼有缺陷，導致了此次攻擊。
描述了 Rafal Freeman 在 Tigusoft.pl 上提出的初步解決方案，以及之後由 CryptoNote 團隊提出的解決方案，
描述了如何修復當前門羅幣代碼里的 bug
詳細闡述了非法 block （區塊）對網路的影響。

本研究報告未經同行評議，僅反映內部調查結果。

> 譯註：又是一次攻擊，這次成功了！官方通過硬分叉解決，受影響區塊 202612

MRL-0003:

門羅幣（Monero）並不神秘

全文鏈接：https://lab.getmonero.org/pubs/MRL-0003.pdf

最近，我們模糊感受到在網上人們對於 CryptoNote 源代碼和協議有所擔憂，以及對它存在誤解。

畢竟，CryptoNote 是一個比比特幣更複雜的協議，這是事實，我們不否認。

本文目的有二：

嘗試澄清一些誤解
嘗試揭開門羅幣「環簽名」的神秘面紗

首先，我會進行一些數學上的比較：比較 CryptoNote 環簽名（文檔 CN）和其數學基礎（文檔 FS）有何不同。

之後，我會進行一些文檔和代碼的比較：比較 CryptoNote 環簽名與其源代碼之間有何不同。

> 譯註：前者指的文檔，後者指的代碼，兩者之間還會有些許不同。

MRL-0004:

增加 CryptoNote 協議的混淆力度

全文鏈接：https://lab.getmonero.org/pubs/MRL-0004.pdf

有人在攻擊 CryptoNote 2.0 協議的「抵制區塊鏈分析」，認為它的實際工作並沒有描述里那麼「好」，本文是我們的澄清說明。

我們對可能的解決方案進行分析，討論這些解決方案的優缺點。並建議門羅幣進行加強，希望長期保持「針對虛擬貨幣，進行區塊鏈分析」的抵制。

我們的「門羅幣改進意見」包括：

在協議層面（整個網路範圍），每個環簽名，最小混合策略是 n = 2
兩年後，協議層面，增加到 n = 4
做為過渡，錢包層面，默認值 n = 4 立即生效
針對門羅幣輸出（output），我們還推薦使用「torrent 式」進行發送。

我們還討論了一種「非均勻的、依賴於時間的混合篩選方法」來減輕本文中提到的「其他形式的區塊鏈分析」，但由於各種原因，具體實施方案我們還沒有達成一致。

另外，做了這些改進之後，會有何影響？我們也進行了討論。

本研究報告未經同行評議，僅反映內部調查結果。

> 譯註：本文應該是門羅幣核心團隊對「An Empirical Analysis of Linkability in the Monero Blockchain」 https://arxiv.org/pdf/1704.04299.pdf文章攻擊，做出的回應。

MRL-0005:

門羅幣（Monero）環簽名機密交易

全文鏈接：https://lab.getmonero.org/pubs/MRL-0005.pdf

去中心化虛擬貨幣 - 門羅幣，又新增特性「環機密交易」，本文為您介紹。

和比特幣類似，門羅幣是一個通過工作量證明「挖礦」創建發行的虛擬貨幣。

早先的門羅幣協議基於 CryptoNote 而來，它使用「環簽名」和「一次性密鑰」來隱藏交易的發送方和接收方。

最近，比特幣核心開發人員 Gregory Maxwell 討論並實施了使用「見證方案」來隱藏交易金額的技術。

在這篇文章中，描述了一種新型的環簽名，即一個「多層可鏈接的自發匿名組簽名（Multi-layered Linkable Spontaneous Anonymous Group signature）」，它允許以合理的、效率高、可驗證的、無需信任的方式來隱藏交易金額、發送方和接收方。

我們還會討論該協議的一些擴展，如 Aggregate Schnorr Range Proofs 和 Ring Multisignature（環多重簽名）。

早期的草案（區塊鏈哈希草案）在門羅幣社區和比特幣研究 IRC 頻道上公布，可在[14]中找到，這項工作在 2015 年夏季已開始，並在 2015 年 10 月初完成。

本文列印版本可在 http://eprint.iacr.org/2015/1098 獲取。

MRL-0006:

門羅幣（Monero）子地址

全文鏈接：https://lab.getmonero.org/pubs/MRL-0006.pdf

在這之前，使用虛擬貨幣門羅幣的用戶，如果想要重複使用錢包地址，並且保持錢包地址的不可鏈接，他必須使用新的錢包。

現在，我們設計了一種新的地址方案，允許用戶維護一個「主錢包」地址，並生成任意數量的不可鏈接的「子地址」。

每個交易只需要掃描一次，就能確定它是否隸屬於某個用戶的子地址。

該方案還支持多個輸出到其他子地址，並且與傳統的錢包交易一樣高效。

http://weixin.qq.com/r/WjsoLM3E1QWpKYlPb27e (二維碼自動識別)

MRL-0007:

CryptoNote 協議挖礦難度演算法調整

全文鏈接：https://www.overleaf.com/articles/difficulty-adjustment-algorithms-in-cryptocurrency-protocols/ytcxbjvzrpbp/viewer.pdf

在撰寫本文時，門羅幣研究實驗室已知用於 CryptoNote 參考代碼中難度調整的演算法存在缺陷。

我們描述並說明缺陷的性質，並推薦解決方案。

通過不誠實地報告時間戳，攻擊者可以獲得對網路難度的不成比例的控制。

我們通過審計 CryptoNote 參考難度調整代碼來驗證這種攻擊途徑，我們用 Python 語言重新實現它。

我們使用區塊鏈增長的隨機模型，來對比測試「CryptoNote 參考難度公式」與傳統「比特幣難度公式」。

這使我們能夠針對各種哈希率情景測試我們的難度公式。

本研究報告未經同行評議，僅反映內部調查結果。

> 譯註：本文檔並未收錄到門羅幣研究實驗室，但在網上可以找到，並且能確定是官方所作。

MRL-008:

門羅幣（Monero）環多重簽名

全文鏈接：https://web.archive.org/web/20161023010706/https://shnoe.files.wordpress.com/2016/03/mrl-0008_april28.pdf

本文檔擴展了之前提到的「環機密交易（Ring Confidential Transactions）」[Noe]，描述了在數字貨幣背景下結合「環簽名」的 t-n 簽名技術。

這裡的「環多重簽名（Ring Multisignatures）」是對原來 n-n 「Schnorr 多重簽名」的簡單概括。多說一句，這是作者在 2015 年夏季跟 Tacotime（門羅幣開發者）學到的技術。

> 譯註：本文檔並未收錄到門羅幣研究實驗室，但在網上可以找到，並且能確定是官方所作。

-- 本文完