Анализ средств криптозащиты криптовалюты

Как они это делают? Обзор технологий анонимизации криптовалют

Наверняка вы, как пользователь биткоина, эфира или любой другой криптовалюты, были обеспокоены тем, что любой желающий может видеть, сколько монет у вас в кошельке, кому вы их переводили и от кого получали. Вокруг анонимных криптовалют ходит много споров, но кое с чем нельзя не согласиться — как сказал управляющий проектом Monero Рикардо Спаньи (Riccardo Spagni) в своем Twitter-аккаунте: «Что если я просто не хочу, чтобы кассир в супермаркете знал, сколько денег у меня на балансе и на что я их трачу?» В этой статье мы рассмотрим технологический аспект анонимности — как они это делают, и приведем краткий обзор наиболее популярных методов, их плюсы и минусы. Сегодня существует около десятка блокчейнов, позволяющих осуществлять анонимные транзакции. При этом для одних анонимность переводов обязательна, для других опциональна, одни скрывают только адресатов и получателей, другие не позволяют третьим сторонам видеть даже суммы переводов. Практически все рассматриваемые нами технологии дают полную анонимность — ни балансы, ни получателей, ни историю транзакций сторонний наблюдатель анализировать не может. Но начнем наш обзор с одного из первопроходцев в этой области, чтобы проследить эволюцию подходов к анонимности. Существующие на данный момент технологии анонимизации условно можно разделить на две группы: основанные на замешивании — где используемые монеты замешиваются с другими монетами из блокчейна, — и технологии, которые используют доказательства, основанные на полиномах. Далее мы остановимся на каждой из этих групп и рассмотрим их плюсы и минусы.

Основанные на замешивании

CoinJoin

CoinJoin не анонимизирует переводы пользователей, а лишь усложняет их отслеживание. Но мы решили включить эту технологию в наш обзор, так как она была одной из первых попыток повысить уровень конфиденциальности транзакций в сети Bitcoin. Эта технология подкупает своей простотой и не требует изменения правил сети, поэтому может быть легко использована во многих блокчейнах. В ее основе лежит простая идея — что если пользователи будут скидываться и проводить свои платежи единой транзакцией? Получается, что если Арнольд Шварценеггер и Барак Обама скинулись и совершили два платежа Чарли Шину и Дональду Трампу в одной транзакции, то становится сложнее понять, кто профинансировал предвыборную кампанию Трампа — Арнольд или Барак. Но из главного плюса CoinJoin вытекает его главный минус — слабая защищенность. На сегодняшний день уже есть способы выявить CoinJoin-транзакции в сети и сопоставить наборы входов наборам выходов путем сравнения сумм потраченных и сгенерированных монет. Пример инструмента для такого анализа — CoinJoin Sudoku. • Продемонстрирована возможность взлома

Monero

Первая ассоциация, которая возникает при словах «анонимная криптовалюта», — Monero. Эта монета доказала свою устойчивость и приватность под микроскопом спецслужб: В одной из своих недавних статей мы очень детально описали протокол Monero, и сегодня суммируем сказанное. В протоколе Monero каждый потраченный в транзакции выход замешивается с не менее чем 11 (на момент написания статьи) произвольными выходами из блокчейна, тем самым усложняя граф переводов в сети и делая задачу отслеживания транзакций вычислительно сложной. Замешанные входы подписываются кольцевой подписью, которая гарантирует, что подпись поставил владелец одной из замешанных монет, но не дает возможности определить, кто именно. Для сокрытия получателей каждая вновь сгенерированная монета использует одноразовый адрес, что лишает наблюдателя возможности (настолько, насколько сложной является задача взлома ключей шифрования, разумеется) связать какой-либо выход с публичным адресом.

А с сентября 2017 года Monero стала поддерживать протокол Confidential Transactions (CT) с некоторыми дополнениями, таким образом еще и скрывая суммы переводов. Чуть позже разработчики криптовалюты заменили кольцевые подписи Борромео (Borromean signatures) на Bulletproofs, тем самым значительно уменьшив размер транзакции. • Проверена временем • Относительная простота • Генерация и верификация доказательства медленнее, чем у ZK-SNARKs и ZK-STARKs • Не устойчива ко взлому с использованием квантовых компьютеров

Mimblewimble

Mimblewimble (MW) был придуман как масштабируемая технология анонимизации переводов в сети Bitcoin, но нашел свою реализацию как самостоятельный блокчейн. Используется в криптовалютах Grin и BEAM. MW примечателен тем, что не имеет публичных адресов, а для того чтобы отправить транзакцию, пользователи обмениваются выходами напрямую, таким образом исключая возможность стороннему наблюдателю проанализировать переводы от адресата к адресату. Для сокрытия сумм входов и выходов используется довольно распространенный протокол, предложенный Грегом Максвеллом (Greg Maxwell) в 2015 году, — Confidential Transactions (CT). То есть суммы шифруются (а точнее, используется схема обязательств), и вместо них сеть оперирует так называемыми commitment-ами. Чтобы транзакция считалась валидной, необходимо равенство сумм потраченных монет и сгенерированных плюс комиссия. Так как цифрами напрямую сеть не оперирует, равенство обеспечивается при помощи уравнения этих самых commitment-ов, что называется commitment to zero. В оригинале CT для гарантии неотрицательности значений (так называемый range proof) используют Borromean Signatures (кольцевые подписи Борромео), которые занимали очень много места в блокчейне (порядка 6 килобайт на один выход). В связи с этим к минусам анонимных валют, использующих данную технологию, относили большой размер транзакции, однако сейчас решили отказаться от этих подписей в пользу более компактной технологии — Bulletproofs. В самом блоке MW нет понятия транзакции, есть только выходы, потраченные и сгенерированные в нем. Нет транзакции — нет проблемы! Чтобы предотвратить деанонимизацию участника перевода на этапе отправки транзакции в сеть используется протокол Dandelion, который использует цепочку proxy-нод сети произвольной длины, передающих транзакцию друг другу перед фактическим распространением ее по всем участникам, таким образом запутывая траекторию попадания транзакции в сеть. • Малый размер блокчейна • Относительная простота • Генерация и верификация доказательства медленнее, чем у ZK-SNARKs и ZK-STARKs • Поддержку таких возможностей, как скрипты и мульти-подписи, сложно реализовать • Не устойчива ко взлому с использованием квантовых компьютеров

Доказательства на полиномах

ZK-SNARKs

Замысловатое название этой технологии расшифровывается как «Zero-Knowledge Succinct Non-Interactive Argument of Knowledge», что можно перевести как «Сжатое неинтерактивное доказательство с нулевым разглашением». Она стала продолжением протокола zerocoin, который далее эволюционировал в zerocash и впервые был реализован в криптовалюте Zcash. В общем случае zero-knowledge proof позволяет одной стороне доказать второй истинность некоторого математического утверждения, не раскрывая никаких сведений о нем. Относительно криптовалют такие методы используют для доказательства того, что, например, транзакция не производит монет больше, чем тратит, не раскрывая при этом сумм переводов. ZK-SNARKs очень сложна для понимания, а для описания принципов ее работы потребуется не одна статья. На официальной странице Zcash, первой валюты, реализующей этот протокол, описанию его работы посвящено 7 статей. Поэтому в этой главе мы ограничимся лишь поверхностным описанием. С помощью алгебраических полиномов ZK-SNARKs доказывает, что отправитель платежа владеет монетами, которые тратит, и что сумма потраченных монет не превосходит суммы сгенерированных. Этот протокол создавался с целью уменьшения размера доказательства валидности утверждения и при этом быстрой его верификации. Так, согласно презентации Зуко Вилкокса (Zooko Wilcox), CEO Zcash, размер доказательства занимает всего 200 байт, а проверить его корректность можно за 10 миллисекунд. Причем в последней версии Zcash разработчикам удалось снизить и время генерации доказательства до примерно двух секунд. Однако перед началом использования этой технологии требуется процедура сложной настройки доверенными лицами (trusted setup) «общественных параметров», которая называется «церемонией» (The Ceremony). Вся сложность заключается в том, чтобы в ходе установки этих параметров ни у одной из сторон не осталось приватных ключей от них, называемых «токсичными отходами», иначе она получит возможность генерировать новые монеты. О том, как происходит эта процедура, можно узнать из видео на YouTube. • Малый размер доказательства • Быстрая верификация • Относительно быстрая генерация доказательства • Сложная процедура установки публичных параметров • Токсичные отходы • Относительная сложность технологии • Не устойчива ко взлому с использованием квантовых компьютеров

ZK-STARKs

У авторов последних двух технологий хорошо получается играть с акронимами, и очередной акроним расшифровывается как «Прозрачное масштабируемое доказательство с нулевым разглашением» («Zero-Knowledge Scalable Transparent ARguments of Knowledge»). Этот метод был призван решить имеющиеся на тот момент недостатки ZK-SNARKs: необходимость в доверенной установке публичных параметров, наличие токсичных отходов, неустойчивость криптографии к взлому с помощью квантовых алгоритмов и недостаточно быструю генерацию доказательства. Однако с последним недостатком разработчики ZK-SNARK справились. ZK-STARKs также используют доказательства, основанные на полиномах. Технология не подразумевает использование криптографии на публичных ключах, вместо этого полагаясь на хэширование и теорию передачи информации. Отказ от этих криптографических средств делает технологию стойкой к квантовым алгоритмам. Но это имеет свою цену — доказательство может достигать в размере нескольких сотен килобайт. Сейчас ZK-STARK не имеют реализации в какой-либо из криптовалют, а существуют только в виде библиотеки libSTARK. Однако разработчики имеют на нее планы, далеко идущие за пределы блокчейнов (в своем White Paper авторы приводят пример с доказательством наличия ДНК в базе данных полиции). Для этой цели была создана StarkWare Industries, которая на конец 2018 года собрала 36 млн долларов инвестиций от крупнейших компаний отрасли. О том, как устроены ZK-STARK, подробнее можно прочитать в постах Виталика Бутерина (часть 1, часть 2, часть 3). • Устойчивость ко взлому квантовыми компьютерами • Относительно быстрая генерация доказательства • Относительно быстрая проверка доказательства • Отсутствие токсичных отходов • Сложность технологии • Большой размер доказательства

Заключение

Блокчейн и растущий спрос на анонимность ставят перед криптографией новые требования. Так, зарожденный в середине 1980-х раздел криптографии — доказательства с нулевым разглашением — всего за несколько лет пополнился новыми динамично развивающимися методами. Таким образом, полет научной мысли сделал CoinJoin устаревшим, а MimbleWimble — перспективным новичком с довольно свежими идеями. Monero неизменно остается непоколебимым гигантом на страже нашей конфиденциальности. А SNARKs и STARKs, хоть и имеют недостатки, могут стать лидерами области. Возможно, в ближайшие годы указанные нами пункты в графе «Минусы» каждой из технологий станут неактуальными.

Алгоритмы криптовалют: Equihash, Scrypt, CryptoNight, X11, Ethash, SHA-256

Каждая криптовалюта использует свой алгоритм шифрования. Однако количество монет значительно превышает количество алгоритмов криптовалют, поэтому некоторые криптовалюты используют один и тот же алгоритм хеширования данных. Ниже мы подробно рассмотрим самые популярные алгоритмы шифрования криптовалют, а также монеты, которые работают на них.

Что такое алгоритм криптовалют

Алгоритмы криптовалют — это набор специфических криптографических механизмов и правил, которые шифруют цифровую валюту. Майнеры при помощи специального оборудования расшифровывают алгоритм конкретной криптовалюты — этот процесс заключается в поиске хеша. Как только будет найден правильный хеш, то в блокчейне генерируется новый блок, в котором хранится информация о транзакциях, хеше предыдущего блока, сумме полученного майнером вознаграждения и т. д. Процесс дешифрования (добычи монет) превращает набор случайных данных в упорядоченную систематизированную информацию, которая впоследствии записывается в блокчейн. Сегодня насчитывается несколько десятков алгоритмов криптовалют, однако пользуются популярностью лишь несколько из них.

Среди востребованных можно назвать следующие: SHA-256, EtHash, Scrypt, X11, CryptoNight, EquiHash (Эквихеш), X13, Quark, NeoScrypt.

Ниже представлена сводная таблица алгоритмов криптовалют самых популярных монет:

SHA-256

SHA-256 — это безопасный алгоритм шифрования, который приобрел популярность после его использования в коде биткоина. Аббревиатура SHA — это Secure Hash Algorithm, а 256 означает, что алгоритм криптовалюты генерирует 256-битный хеш, т. е. строку (дайджест) размером 256 бит. Хешрейт для криптовалют, работающих на основе SHA-256, вычисляется в единицах Gigahash в секунду (GH/s). На создание блока уходит от шести до десяти минут.

Особенности

Алгоритм SHA-256 был изобретен Агентством Национальной Безопасности США в 2001 году. Он входит в семейство алгоритмов SHA и сейчас является единственным алгоритмом криптовалют из данного семейства, который прошел тест на устойчивость к таким видам атак как нахождение коллизий и нахождение прообраза, что имеет решающее решение для безопасности криптовалют, работающих на основе данного алгоритма. Помимо криптовалют, SHA-256 также широко используется в некоторых других технологиях.

Например, работа протоколов безопасности, таких как TLS, SSL, PGP, SSH, построена на SHA-256.

В 2009 году, когда Bitcoin был известен лишь очень ограниченному кругу людей, для майнинга использовали обычные компьютеры, которые производили вычисления при помощи центрального процессора. Позже начали применять более мощные графические процессоры.

Однако сейчас, когда популярность биткоина просто огромная, экономически выгодным стало использование лишь ASIC-майнеров — специальных устройств, обладающих большой вычислительной мощностью. Рекомендуем посмотреть познавательное видео, которое простыми словами расскажет, что такое алгоритм SHA-256 и как он работает: Алгоритм SHA-256

Монеты алгоритма SHA-256

На алгоритме SHA-256 работает Bitcoin, а также ряд других криптовалют, которые в основном являются форками биткоина. Криптовалюты алгоритма SHA-256:

Equihash

Equihash — это анонимный алгоритм криптовалют, увидивший свет в 2016 году. Первой криптовалютой, которая использовала Equihash в качестве базы, была Zcash. Создание блоков занимает 150 секунд, а хешрейт измеряется в Megahash в секунду (MH/s). В основе данного алгоритма лежит хеш-функция, которая построена на принципе «Парадокса дней рождений» — это математическая закономерность, которая используется для расчета вероятности. Правило гласит:

Если в комнате находится 23 человека, то вероятность того, что день рождения как минимум двух из них приходится на один и тот же день, составляет 50%. Исходя из этой закономерности, вероятность нахождения числа nonce в процессе майнинга равняется 2, вознесенное в степень N и разделенное на 2.

Особенности

Этот алгоритм криптовалют был разработан Александром Бирюковым и Дмитрием Ховратовичом — учеными Университета Люксембурга, которые входят в исследовательскую группу CryptoLUX. В 2016 году разработка была представлена широкому круга. Equihash требователен к объему оперативной памяти, а не к скорости обработки математических вычислений. Это делает майнинг «айсикоустойчивым», а сеть более децентрализованной. Для майнинга криптовалют, работающих на Equihash, используются видеокарты, обладающие Минимальным объемом памяти в 2 Гб. Самые лучшие результаты показало применение графических процессоров бренда NVidia. Однако для майнинга Equihash также были разработаны устройства ASIC. Сегодня самыми популярными являются две модели: Antminer Z9 mini от Bitmain и A9 ZMaster от менее известной компании Innosilicon. В отличие от команды Monero, разработчики Zcash не предприняли никаких действий для защиты своей криптовалюты от централизации майнинга, а лишь высказали свое огорчение. Рекомендуем интересное видео о майнинге на алгоритме Equihash: Майнинг на алгоритме Equihash

Монеты алгоритма Equihash

Самые популярные криптовалюты, работающие на алгоритме Equihash:

Алгоритм Ethash (Dagger Hashimoto)

Ethash (Dagger Hashimoto) — это алгоритм криптовалют, разработанный специально для майнинга Ethereum. В основу работы данного алгоритма хеширования положены два разных алгоритма: Dagger, созданный Виталиком Бутериным, и Hashimoto (название состоит из слов hash, shift, and modulo), разработанный программистом Thaddeus Dryja. Хейшрейт алгоритма Ethash измеряется в Megahash в секунду (MH/s).

Особенности

Dagger — это алгоритм криптовалют, который предъявляет жесткие требования к памяти видеокарты. Принцип его работы похож на Scrypt, однако его производительность выше, особенно это заметно в условиях повышения сложности сети.

Но Dagger имеет некоторые уязвимости, поэтому он эффективен только в паре с Hashimoto.

Алгоритм Hashimoto работает с операциями ввода/вывода в особом режиме. В частности, он ограничивает скорость добычи, из-за того, что количество памяти для записывания и считывания информации не является бесконечным. Hashimoto — это алгоритм криптовалют, который требует большой объем памяти, за счет чего не получается выполнить большое количество операций ввода/вывода, т. е. для расшифровки не получится использовать метод бесконечного подбора случайных значений. Это и являлось основной причиной того, почему устройства ASIC не подходили для майнинга Ethereum (об этом ниже). Для майнинга монет, работающих на основе Ethash, используется вычислительная мощность GPU-процессоров (видеокарт). Наибольшую эффективность показали видеокарты бренда AMD. Однако и применение видеокарт Nvidia 10-й серии приносят неплохой профит майнерам.

Основное требование — это высокий показатель оперативной памяти, который постоянно увеличивается из-за роста сложности сети. Как мы говорили выше, устройства ASIC не подходили для добычи монет, работающих на основе Ethash, однако все изменилось летом 2018 года, когда крупнейший китайский производитель майнеров Bitmain выпустил в продажу модель Innosilicon A10 ETHMaster, т. е. ASIC для Ethereum. Смотрите интересное видео об особенностях алгоритма шифрования Ethash: Алгоритма Ethash

Монеты алгоритма Ethash

Изначально Ethash был создан для Ethereum, однако этот алгоритм также используют и другие монеты. Криптовалюты, в которых используется алгоритм Ethash:

Scrypt

Scrypt — это алгоритм майнинга криптовалют, который раньше был интересен многим одиночным майнерам в виду его устойчивости к так называемой «аппаратной атаке». Скорость создания блоков в блокчейне, работающем на базе Scrypt, составляет около 30 секунд. Хешрейт как и у Ethash измеряется в Megahash в секунду (MH/s). Scrypt, прежде всего, стал популярным благодаря его применению в криптовалюте Litecoin.

Особенности

История создания этого алгоритма началась с того, что вскоре стало ясно, что майнинг биткоина очень легко монополизировать, из-за того что простота функции SHA-256 позволяет автоматизировать процесс майнинга. Поэтому основной задачей при создании Scrypt было усложнение механизма генерации блоков за счет повышенных требований к ресурсам, используемым для вычислительных операций. В частности, решающее значение имеет объем оперативной памяти (как и в Ethash), при этом требования к энергопотреблению и вычислительной мощности намного ниже чем в случае SHA-256.

Изначально для добычи криптовалют на основе Scrypt применялись центральные и графические процессоры, однако алгоритм не мог противостоять майнинг-корпорациям и в 2014 году был создан первый ASIC для Scrypt-монет.

В ответ на это криптоэнтузиасты создали усовершенствованный алгоритм под названием Scrypt-N, который впервые был применен в монете Vertcoin. Отличается он тем, что требования к оперативной памяти постоянно растут. Из видео ниже вы узнаете, как возник алгоритм Scrypt: Алгоритм Scrypt

Монеты алгоритма Scrypt

Алгоритм майнинга Scrypt положен в основу работы следующих криптовалют:

Алгоритм X11

X11 — это алгоритм шифрования, в котором вместо одной функции используются одинадцать. Это означает, что данная технология может обеспечить высокую степень безопасности, ведь чтобы нанести вред системе, злоумышленнику придется взломать все 11 функций, а это очень маловероятно, потому что внесенные изменения будут видны уже после взлома первой функции, и у разработчиков будет масса времени защитить систему, прежде чем хакер дойдет до одиннадцатой функции.

Алгоритм криптовалют X11 был создан специально для майнинга Dash.

Особенности

Данный алгоритм шифрования был разработан создателем одной из топовых криптовалют (Dash, в прошлом Darkcoin) — Эваном Даффилдом. Все началось с того, что он хотел улучшить анонимность и взаимозаменяемость биткоина, однако сообщество не одобрило его идею. Тогда Эвану не оставалось ничего, кроме как создать свою собственную криптовалюту. По словам Даффилда на разработку ушли всего лишь одни выходные. Еще одним достоинством X11 является то, что майнинг криптовалют, созданных на его основе, является очень экономным в плане потребления энергоресурсов. Следует сказать, что энергоэффективность — это всего лишь приятный «бонус», так как Эван не ставил за цель создать алгоритм, который бы не требовал больших энергозатрат. Данное свойство заметили майнеры.

Проведенные эксперименты показали, что добыча Dash на видеокартах потребляет на 30-50% меньше электроэнергии, чем майнинг Bitcoin на ASIC-устройствах.

Для добычи монет, которые работают на основе алгоритма X11, можно использовать не только GPU, но и CPU. Это один из немногих сегодня алгоритмов, который допускает майнинг на процессорах, что делает его привлекательным для одиночных майнеров и небольших компаний. Конечно, ASIC для добычи криптовалют на основе алгоритма X11 также существуют. Как признался сам создатель X11, он не старался создать «айсикоустойчивый» алгоритм, однако он сделал все возможное, чтобы производителям пришлось «хорошенько потрудиться». На данный момент X11 — не единственный в своем роде, который использует больше одной хеш-функции. По его примеру были созданы другие алгоритмы, которые также построены на интеграции нескольких хеш-функций: X12, X13, X14, X14, X15, X16 и даже X17.