05.02 // Mixcoin: протокол анонимных транзакций поверх Bitcoin


Как известно, в сети транзакций электронной валюты Bitcoin пользователь может создать любое количество кошельков, не раскрывая свою личность. Такие кошельки являются псевдонимными по отношению к пользователю, но не обеспечивают ему анонимности. Все связи между кошельками отслеживаются, граф транзакций может быть проанализирван, а попытки обмена электронной валюты на реальные деньги или товары могут являться точкой связи с реальной личностью владельца кошелька.

Для улучшения анонимизации транзакций электронной валюты Bitcoin было предложено по крайней мере два основных решения.

Первое заключается в создании протокола, разрушающего возможность отслеживания связи между транзакциями. Например, в протоколе Zerocoin для этого применяется аккумулятор доказательства накоплений с нулевым разглашением. Недостатком таких решений является избыточное количество вычислений, существенно замедляющее работу сети. Кроме того, это требует изменения существующего протокола и запуска новой сети электронной валюты, несовместимой с уже существующей. Даже если такой процесс и будет осуществлён, возникает вопрос о выборе секретного параметра в момент запуска новой сети и начала генерации новой валюты: знание секретного значения функции-лазейки может позволить злоумышленнику фальсифицировать монеты.

Другое решение стихийно появилось среди самого сообщества пользователей Bitcoin и состоит в использовании т.н. миксов или тумблеров (по названию машин, в которых отмывали реальные физические монеты). Пользователи создают временные кошельки и осуществляют перевод с перемешиванием суммы через посреднический микс-фонд, взимающий за эту услугу определённую комиссию. Недостатком такого решения является то, что пользователь никак не застрахован от мошенничества со стороны фонда. Фонд может создать часть своих подставных кошельков и похитить на их счета деньги, вносимые пользователями. При этом, пользователи не могут убедительно доказать, какие временные кошельки для перевода принадлежат именно им, а какие — подставные со стороны недобросовестного микса.

Исследователи Joseph Bonneau, Arvind Narayanan, Joshua A. Kroll (Университет Принстона), Andrew Miller (Университет Мэриленд) и Edward W. Felten (Университет Конкордия) решили изучить микс-схемы и предложили протокол, частично устраняющий их недостатки.

В новой конструкции Mix поддерживает репутацию ключа, которым заверяются сделки по анонимизации. Пользователи могут подключаться к миксу анонимно (например, через сеть Tor). В протоколе предусмотрен ряд механизмов, которые позволяют пользователям доказать нечестность сделки и понизить репутацию микса, делая его ответственным. В тоже время, пользователи не могут сделать этого умышленно, выполняя некорректные транзакции со своей стороны. В частности, для генерации адресов используется внешний независимый источник случайности — например псевдослучайная функция от блоков сети Bitcoin.

Недостатком микса является то, что он сохраняет сведения о всех вычислениях и сам по себе может предоставить данные для деанонимизации пользователя. Для этого исследователи предлагают использовать цепочки независимых миксов. Интересно, что в отличие от миксов, использующихся для анонимной связи, пользователь может открыть свой доверяемый микс и отмывать в нём собственные транзакции совместно с другими пользователями. Если в связных миксах такие операции являются заметными, то в миксах Bitcoin такой «фантомный» миксинг менее определим, если такие транзакции составляют меньшинство: это связано с особенностями баланса информации, находящейся на входе и выходе микса со стороны внешнего наблюдателя.

Исследователи также рассматривают возможности атак со стороны активных противников, компромисс в размене задержек транзакций на анонимность, вопросы утечки данных по побочным каналам (времени, размерам и другим характерным паттернам транзакций).

По мнению авторов, их достижением является лишь адаптация микс-сетей к протоколу Bitcoin и внедрение механизма подотчётности в миксы. Протокол Mixcoin является лишь концептуальной попыткой изучения возможности внедрения финансовой приватности без изменения протокола Bitcoin. Действительно ли такая задача осуществима, остаётся, по их мнению, открытым вопросом.

Источник: Cryptology ePrint Archive: Report 2014/077[link1]

Ссылки
[link1] http://eprint.iacr.org/2014/077