研究操作了这样一个事实:发生证明的时间与prover的witness值有关。由于witness包括生意业务金额,进攻的方针就是该金额与证明时间有关。譬喻,Zcash的证明将生意业务量解析为bit,并为每个非零bit计较一次椭圆曲线运算。因此,证明时间与生意业务金额的汉明权重是密切相关的,也就是说,证明时间与生意业务金额的值也是相关的。
1. 一个网络敌手(图1中的敌手1a和1b)监督受害者钱包和长途处事(譬喻节点或验证措施)之间的加密通信量。
3、 进攻范例二 : 发送方侧信道
以太坊2.0研发更新内容:
最新的Nethermind客户端办理了一些对等节点问题;
而对付那些但愿在民众区块链上得到生意业务隐私的用户而言,像Zcash、门罗币(Monero)这样的匿名加密钱币系统,因利用了相当高级的暗码学原语,譬喻简捷零常识证明(zkSNARKs)和环签名(ring signatures),从而提供了更高水平的不行链接性。那利用这样的系统,用户可以安枕无忧了吗?
由于witness中的生意业务量是二进制编码的,其汉明权重值就会影响证明时间。并且,由于二进制暗示的权重,与数字的绝对值相关,因此证明一连时间泄露了有关保密生意业务金额的信息。
2. 链接多样化地点,给定两个公钥,,进攻者可以确定它们是否属于同一用户。进攻者向每个公钥发送一笔生意业务,并查抄是否标识了同一节点或钱包。这冲破了多地点的不行链接性。
火车与旅店EE;
1. 假如弱客户端(譬喻移动钱包)将证明外包给长途处事,则网络敌手可以计时prover。固然证明外包的环境并不常见,但Zcash协议是支持这项成果的,长途证明处事是为早期版本的协议设计的,因而,会有一些用户大概会选择将证明委托给长途处事;
2、评估
2、5 BM最新作:区块链背后的取舍之道
Zcash利用的是Groth16证明系统,对付进攻目标而言,只要知道证明者将witness编码为一个向量(a1,……,am)字段元素,而且证明者的主要计较是以下形式的“多重指数运算”:钱币的每个用户都拥有一个或多个公钥(也称为地点),而且毗连到P2P网络以发送和吸收生意业务。
在下面的部门傍边,研究者演示了这种时间进攻如何展现Zcash中有关生意业务量的信息。
Layer 2 研发更新内容:
这些进攻大概会使存眷隐私的加密钱币用户处于危险之中。譬喻,将用户的匿名公钥链接到其P2P节点的敌手,可以发明用户的真实身份或位置,一个冲破不行链接性的敌手,可以揣度哪些P2P节点属于正在举办生意业务的用户。
上面描写的进攻,冲破了匿名加密钱币生意业务的不行链接性以及用户的匿名性,这是操作了P2P客户端和钱包系统设计中的缺陷。因此,它们并不是直接针对协议暗码学掩护的进攻。为了扩大对匿名生意业务中侧信道裂痕的观测范畴,研究者还对暗码学东西展开了研究,而这些东西担保了生意业务建设时的机要性和不行追踪性,论文中出格提到的,即是当前加密钱币行业利用最多的简捷零常识证明zk-SNARKs。
在图1所示的匿名生意业务生命周期傍边,进攻者可在这些步调中的每一步调查侧信道信息,并实验相识有关生意业务的信息,譬喻:预期收款人的身份(譬喻,他们的公钥或他们的P2P节点的IP地点)、生意业务转移的资金量或资金来历。
假如确实存在计时时机,研究表白这种泄露会答允进攻者对私人生意业务金额举办大致估算。
据悉,这些进攻是操作了系统差异部门泄露的通信模式或时间信息,进攻者通过系统的要领,调查匿名生意业务在系统中的生命周期。在每一步,研究者城市寻找侧信道,并评估它们对用户隐私的影响。
隐私方针:在比特币中,UTXO是一个(amount,pk)元祖(tuple),个中pk代表吸收者的公钥。为了今后利用这个UTXO,吸收者在相应的密钥下生成一个签名。这样,一笔生意业务就显示了所用钱币的数量、资金的来历(纵然用了哪些UTXO)及其目标地(即新UTXO所有者的公钥)。
另外,纵然用户的钱包和节点位于同一位置,研究者也表白,长途敌手可引起和调查节点资源的锁竞争(Lock Contention),来揣度钱包到节点的通信模式。
因此,研究者提出了一种称为PING的进攻,进攻者可利用ping响应中的延迟,来揣度节点是否为生意业务的收款人。这粉碎了生意业务的不行链接性。
文章链接:https://www.8btc.com/article/562686
2. 短暂奥秘:很多生意业务奥秘(譬喻生意业务金额,以及与UTXO相关的奥秘)是一次性的。因此,纵然存在一个侧信道,敌手也可以实验一次提取这些奥秘;
研究者暗示,对付Zcash的zkSNARK系统,证明时间在很洪流平上取决于证明者witness的值。也就是说,对付匿名生意业务,证明时间与生意业务的奥秘值是密切相关的。
二、硬核技能文章一周精选
1、4 关于zkSNARK Prover的时间进攻
以太坊1.X更新内容:
尽量存在这些挑战,但我们在下文中指出,在某些陈设方案中,对匿名加密钱币的zk-SNARK prover举办长途时间进攻是大概的,而且演示了证明生成时间,可以泄露有关奥秘生意业务额的重要信息。
2、1 zkSNARK 证明优化,将DEX的结算本钱低落到每笔生意业务0.000124美元
本期的学术分享,我们重点推荐斯坦福大学传授Dan Boneh等人最新的研究成就《针对匿名生意业务的长途侧信道进攻》。
别的,在已往的一周傍边,1.X、以太坊2.0以及Layer 2也迎来了浩瀚技能希望。
1、在Zcash中,用户的钱包和P2P节点是在单个历程中运行的。钱包通过实验利用它的密钥对其举办解密,以查抄它是否是每个传入生意业务的收款人。而这导致了侧信道泄漏的两个来历:(1)假如解密乐成而且解密的生意业务(称为Note纯文本)名目正确,则钱包将执行特另外Pedersen理睬校验; (2)假如解密乐成,可是解密的生意业务名目不正确,则钱包会抛出一个异常,而该异常会流传到节点的P2P层。2、3 打破区块链不行能三角(五):闪电网络,链下技能,以及它们的范围性
3 zkSNARK生成中的侧信道,另外,研究者还调查到,在Zcash中,生成zkSNARK的时间不是恒定的,而是取决于生意业务金额的汉明权重(hamming-weight)等奥秘信息。研究尝试表白,今朝的zkSNARK实此刻实际中并非是零常识的:从时间泄露中收集的信息会使零常识属性失效。假如敌手可以或许丈量zkSNARK生成进程的运行时间,则可以提取此信息。虽然,正如下文所表明的,在当前的Zcash系统中,大概很难操作这种泄漏。
这两种计策,不只合用于在建设生意业务并将其发送到P2P网络时,并且也合用于将其包括在区块中时。在这一点上,区块及其所有生意业务都与每个对等方共享,钱包从头处理惩罚生意业务以确保它们有效(譬喻确保它们没有双花)。
作者DmitriyKashitsyn在这篇文章中先容了Substrate 框架的主要方针和特性。固然这还不敷以让你学会编写相关代码,但至少可以让你相识该框架存在的一些优势。
而在硬核技能文章精选部门,我们还会看到zkSNARK 证明优化、Taproot/Schnorr进级、闪电网络范围性、Substrate等内容。下图显示了每个量的证明时间的平均值及尺度差。功效显示,证明时间与生意业务金额具有很强的相关性(R=0.57)。固然时间泄露只能得出金额的大致近似值,但这足以让敌手识别出代价庞大的稀有生意业务。在这篇文章中,Loopring首席架构师Brecht Devos表明白如何通过优化libsnark源代码,将DEX的总结算本钱低落到每笔生意业务0.000124美元,并使证明者(prover)的本钱低落到每笔生意业务0.000042美元,这一成就较之前的验证本钱低落了约莫15倍。
区块链共鸣算法学者maxdeath在这篇文章中先容了闪电网络的根基道理、HTLC的根基道理,以及这类offchain技能存在的范围性。
虽然,当地侧信道进攻会是越发有效的,然而,Zcash明晰地否定了这种威胁。
进攻方针:认真确保生意业务保密性和不行追踪性的生意业务发送者。
在这篇文章中,万向区块链、PlatON首席经济学家邹传伟先容了比特币今朝利用的ECDSA 签名算法,以及即将回收的Taproot/Schnorr签名进级的技能细节。
对付Zcash,这些进攻还可以或许:(3)在给定用户公钥的环境下长途导致Zcash节点瓦解,以及(4)在涉及用户恒久奥秘查察密钥的(非恒按时间)ECDH密钥互换上建设长途时间侧信道,这大概导致查察密钥的泄漏。
相识完匿名付出系统的架构,我们来简朴认识下研究者提出的进攻,毕竟会带来什么样的效果。
最终,这种进攻的存在,对付非恒按时间加密钱币实现而言,大概会带来潜在的威胁。Zcash开拓者正在开拓一个更成熟版本的椭圆曲线算法,并大概在将来陈设到主客户端中。
文章链接:https://www.8btc.com/media/562991
下面,我们进入到zkSNARK Prover的时间进攻部门,凭据上面描写的计策,我们的方针是从证明生成的单个时间怀抱中,规复有关保密生意业务金额的信息。
2、2 干货 | 一文读懂比特币的Taproot/Schnorr进级
1、威胁模子
关于以太坊2.0的最新常识点科普;
2. 不行追踪性:当生意业务耗费UTXO时,很难识别生意业务生成了该UTXO;
留意,这部门描写的进攻实际上更方向于理论性质。固然它们不太大概影响到当前的用户,但这类进攻的存在,再次说明白无侧信道暗码学实现对付匿名系统的重要性。
2. 生意业务被发送到毗连至钱包并与网络共享的P2P节点。P2P节点将这些生意业务存储在它们的“存储池”(Mempool)中;
1. IP地点规复,敌手可以将公钥链接到所有者P2P节点的IP地点(假如毗连到长途节点,则可以链接到其钱包),除非所有者利用匿名东西(如Tor)。而此信息可被用于识别受害者,并对其举办地理定位。
最新无状态以太坊客户端研发更新:Witness名目与数据检索问题;
1. 保密生意业务技能(CT)埋没了生意业务资金的数额,一笔保密生意业务的UTXO形式为(Commit(amount), pk),也就是说,它们只显示生意业务金额的暗码学理睬。生意业务还包罗证明其总余额为0的一个证明。
这种进攻针对的是钱包与P2P节点的常见陈设,其实际方针是识别生意业务收款人正在利用的P2P节点。在多个用户将其当地钱包毗连到共享长途P2P节点的配置中,网络敌手或长途节点敌手提倡的进攻,可进一步识别出生意业务收款人利用的实际钱包。
Nimbus客户端更新:discv5、BLS签名、轻量级栈跟踪 ;
2. 更一般地说,敌手可以通过监控P2P网络来获取有关生意业务建设进程何时开始的带外信息,并调查何时竣事。譬喻,用户可以配置按期付款,个中生意业务是在固按时间建设的。敌手还可以触发一笔生意业务,以作为某些外部协议的一部门。研究者为数字签名绘制了一个时间侧通道毗连。固然签名长短交互的,但利用它的协议(譬喻TLS)可以引入长途侧信道。
为了发送一笔生意业务,发送方建设两个证明,个中一个证明已耗费UTXO的所有权,另一证明新的UTXO是布局精采的。
在第二种环境下,研究者提出了一种REJECT进攻,个中进攻者小心地处理惩罚名目错误的生意业务,在已知(但匿名)公钥下对其举办加密,并将其发送到方针P2P节点。假如解密乐成,则会触发异常,而且方针节点将明晰的“reject”动静发送回进攻者。
区块链扫描是不行链接性的技能效果。由于匿名生意业务的UTXO并不会清晰显示吸收方的公钥,因此用户必需扫描每笔新生意业务并执行各类暗码学操纵,以查抄生意业务是否和它们有关。
1. 为了发送新的生意业务,用户的钱包选择一些UTXO,并发生零常识生意业务有效性证明;
然而,针对生意业务建设的长途侧信道进攻,实际面对着许多挑战:
自2009年以来,BM一直在从事区块链技能的研究,他发明,一件有辅佐的事是思考人们可以做出的所有设计衡量,这不像“最快”,“最具扩展性”,“最去中心化”或“最佳管理”那么简朴。 在选择哪种区块链技能最适合你的应用时,本文将探讨一些不太常见的问题。
假如钱包毗连到长途节点(在移动钱包中很常见,可能在首次与网络同步时很常见),则被动网络敌手可以揣度该钱包是否是最近生意业务的收款方。(有关细节,请拜见原论文第五节)
洒脱喜简评:这类进攻的提出,为匿名生意业务系统的设计带来了新的挑战。研究者但愿这项事情可以或许提醒相关项目方及用户关于侧信道泄露的威胁,并敦促开拓诸如恒按时间的zkSNARK prover之类的暗码学原语实现。
研究表白,敌手理论上可以降服这些挑战,其方针是生意业务建设进程的证明阶段,并旨在(部门)揭破生意业务的保密金额。
给定发送到网络中的两笔生意业务,敌手只需要确定两笔生意业务的收款人是否利用了沟通的P2P节点照旧钱包。另外,这两种进攻场景都代表了用户匿名性的间断,而且可被用于其它隐私加害:
3. 不行链接性:给定两笔发送到网络的生意业务(最多有一笔是由敌手发送),则敌手无法判定它们是否付出沟通的地点。另外,给定两个地点,敌手无法确定它们是否属于同一用户;
研究发明,最实用和最普遍的侧信道进攻,会影响图1所示的匿名生意业务生命周期的最后阶段(即钱包处理惩罚新生意业务时)。这些进攻使长途敌手可以或许粉碎系统的不行毗连性和匿名性担保。
1. 敌手知道一个匿名公钥,并向该密钥发送一笔生意业务,以确认密钥所有者用于吸收生意业务的P2P节点(或钱包)。
4. 用户匿名:给定用户地点(即公钥),敌手无法确定该地点的所有者如何毗连到P2P网络;
3. P2P节点与毗连的钱包共享这些生意业务。钱包扫描每一笔新生意业务,以查抄它是否是生意业务的收款人。一旦一笔生意业务被纳入区块傍边,就会执行步调2和步调3。当一个区块被挖掘时,该区块及其包括的生意业务将被广播到所有P2P节点。然后区块的生意业务就和用户的钱包举办共享了。
在描写相关进攻之前,我们先来相识下隐私加密钱币(以Zcash和Monero为例)的一些焦点设计观念。这些加密钱币是成立在比特币的UTXO(未耗费生意业务输出)模子之上的,即每笔生意业务会耗费以前生意业务的输出,并发生新的输出。这些UTXO的荟萃会记录在区块链中,并暗示畅通中的总钱币。
本期的分享就到这里啦,下周再见~1、Zcash Prover中的时间侧信道
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
