CryptoNote v2.0

Von Nicolas van Saberhagen · 2013

Das hier präsentierte Paper ist das CryptoNote v2.0 Whitepaper von Nicolas van Saberhagen (2013), das die kryptografischen Grundlagen beschreibt, auf denen Monero aufbaut. Es handelt sich nicht um ein Monero-spezifisches Whitepaper – Monero startete 2014 als Fork der CryptoNote-Referenzimplementierung (Bytecoin) und hat sich seitdem erheblich über das ursprüngliche Protokoll hinaus weiterentwickelt.

🇺🇸 English (Original)

🇨🇳 中文简体 (Übersetzung)

Einführung

„Bitcoin“ [1] ist eine erfolgreiche Umsetzung des Konzepts des P2P-E-Cash. Beides Fachleute und die breite Öffentlichkeit haben die praktische Kombination von zu schätzen gelernt öffentliche Transaktionen und proof-of-work als Vertrauensmodell. Heute ist die Benutzerbasis von elektronischem Bargeld wächst stetig; Kunden werden von niedrigen Gebühren und der gebotenen Anonymität angezogen durch elektronisches Bargeld und Händler schätzen seine vorhergesagte und dezentrale Ausgabe. Bitcoin hat hat effektiv bewiesen, dass elektronisches Bargeld so einfach wie Papiergeld und so bequem sein kann Kreditkarten. Leider weist Bitcoin mehrere Mängel auf. Beispielsweise ist das System verteilt Die Natur ist unflexibel und verhindert die Implementierung neuer Funktionen, bis fast alle Netzwerkbenutzer ihre Clients aktualisieren. Einige kritische Mängel, die nicht schnell behoben werden können, schrecken Bitcoin ab weite Verbreitung. In solchen unflexiblen Modellen ist es effizienter, ein neues Projekt umzusetzen anstatt das ursprüngliche Projekt ständig zu reparieren. In diesem Artikel untersuchen und schlagen wir Lösungen für die Hauptmängel von Bitcoin vor. Wir glauben dass ein System, das die von uns vorgeschlagenen Lösungen berücksichtigt, zu einem gesunden Wettbewerb führen wird zwischen verschiedenen elektronischen Geldsystemen. Wir bieten auch unser eigenes elektronisches Bargeld „CryptoNote“ an. ein Name, der den nächsten Durchbruch im Bereich des elektronischen Geldes unterstreicht.

介绍

“Bitcoin”[1]已经成功实现了p2p电子现金的概念。两者都专业人士和公众已经开始欣赏这种便捷的组合公共交易和 proof-of-work 作为信任模型。如今，电子现金的用户群正在稳步增长；客户被低廉的费用和提供的匿名性所吸引电子现金和商家对其预测和分散的排放进行评估。 Bitcoin 有有效证明电子现金可以像纸币一样简单、像纸币一样方便信用卡。不幸的是，Bitcoin 有几个缺陷。例如，系统的分布式本质上是不灵活的，在几乎所有网络用户更新其客户端之前，都会阻止新功能的实现。一些无法快速修复的关键缺陷阻碍了 Bitcoin 广泛传播。在这种不灵活的模式中，推出新项目会更有效率而不是永久修复原来的项目。在本文中，我们研究了Bitcoin的主要缺陷并提出了解决方案。我们相信考虑到我们提出的解决方案的系统将带来良性竞争不同的电子现金系统之间。我们还提出了我们自己的电子现金“CryptoNote”，这个名字强调了电子现金的下一个突破。

Bitcoin Nachteile und mögliche Lösungen

2 Bitcoin Nachteile und einige mögliche Lösungen 2.1 Rückverfolgbarkeit von Transaktionen Privatsphäre und Anonymität sind die wichtigsten Aspekte von elektronischem Bargeld. Peer-to-Peer-Zahlungen Sie streben danach, vor der Sicht Dritter verborgen zu bleiben, was einen deutlichen Unterschied zu herkömmlichen Verfahren darstellt Bankwesen. Insbesondere beschrieben T. Okamoto und K. Ohta sechs Kriterien für ideales elektronisches Bargeld: Dazu gehörte „Datenschutz: Die Beziehung zwischen dem Benutzer und seinen Einkäufen muss nicht nachvollziehbar sein.“ von irgendjemandem“ [30]. Aus ihrer Beschreibung haben wir zwei Eigenschaften abgeleitet, die völlig anonym sind Das elektronische Bargeldmodell muss den von Okamoto dargelegten Anforderungen genügen und Ohta: Unverfolgbarkeit: Für jede eingehende Transaktion sind alle möglichen Absender gleichwahrscheinlich. Unverknüpfbarkeit: Für zwei beliebige ausgehende Transaktionen lässt sich nicht nachweisen, dass sie an sie gesendet wurden die gleiche Person. Leider erfüllt Bitcoin nicht die Anforderung der Unauffindbarkeit. Da alle Transaktionen, die zwischen den Netzwerkteilnehmern stattfinden, öffentlich sind, kann jede Transaktion öffentlich sein 1 CryptoNote v 2.0 Nicolas van Saberhagen 17. Oktober 2013 1 Einführung „Bitcoin“ [1] ist eine erfolgreiche Umsetzung des Konzepts des P2P-E-Cash. Beides Fachleute und die breite Öffentlichkeit haben die praktische Kombination von zu schätzen gelernt öffentliche Transaktionen und proof-of-work als Vertrauensmodell. Heute ist die Benutzerbasis von elektronischem Bargeld wächst stetig; Kunden werden von niedrigen Gebühren und der gebotenen Anonymität angezogen durch elektronisches Bargeld und Händler schätzen seine vorhergesagte und dezentrale Ausgabe. Bitcoin hat hat effektiv bewiesen, dass elektronisches Bargeld so einfach wie Papiergeld und so bequem sein kann Kreditkarten. Leider weist Bitcoin mehrere Mängel auf. Beispielsweise ist das System verteilt Die Natur ist unflexibel und verhindert die Implementierung neuer Funktionen, bis fast alle Netzwerkbenutzer ihre Clients aktualisieren. Einige kritische Mängel, die nicht schnell behoben werden können, schrecken Bitcoin ab weite Verbreitung. In solchen unflexiblen Modellen ist es effizienter, ein neues Projekt umzusetzen anstatt das ursprüngliche Projekt ständig zu reparieren. In diesem Artikel untersuchen und schlagen wir Lösungen für die Hauptmängel von Bitcoin vor. Wir glauben dass ein System, das die von uns vorgeschlagenen Lösungen berücksichtigt, zu einem gesunden Wettbewerb führen wird zwischen verschiedenen elektronischen Geldsystemen. Wir bieten auch unser eigenes elektronisches Bargeld „CryptoNote“ an. ein Name, der den nächsten Durchbruch im Bereich des elektronischen Geldes unterstreicht. 2 Bitcoin Nachteile und einige mögliche Lösungen 2.1 Rückverfolgbarkeit von Transaktionen Privatsphäre und Anonymität sind die wichtigsten Aspekte von elektronischem Bargeld. Peer-to-Peer-Zahlungen Sie streben danach, vor der Sicht Dritter verborgen zu bleiben, was einen deutlichen Unterschied zu herkömmlichen Verfahren darstellt Bankwesen. Insbesondere beschrieben T. Okamoto und K. Ohta sechs Kriterien für ideales elektronisches Bargeld: Dazu gehörte „Datenschutz: Die Beziehung zwischen dem Benutzer und seinen Einkäufen muss nicht nachvollziehbar sein.“ von irgendjemandem“ [30]. Aus ihrer Beschreibung haben wir zwei Eigenschaften abgeleitet, die völlig anonym sind Das elektronische Bargeldmodell muss den von Okamoto dargelegten Anforderungen genügen und Ohta: Unverfolgbarkeit: Für jede eingehende Transaktion sind alle möglichen Absender gleichwahrscheinlich. Unverknüpfbarkeit: Für zwei beliebige ausgehende Transaktionen lässt sich nicht nachweisen, dass sie an sie gesendet wurden die gleiche Person. Leider erfüllt Bitcoin nicht die Anforderung der Unauffindbarkeit. Da alle Transaktionen, die zwischen den Netzwerkteilnehmern stattfinden, öffentlich sind, kann jede Transaktion öffentlich sein 1 3 Bitcoin scheitert definitiv an der „Unauffindbarkeit“. Wenn ich Ihnen BTC sende, das Wallet, von dem es gesendet wird ist unwiderruflich auf blockchain gestempelt. Es besteht kein Zweifel darüber, wer diese Gelder geschickt hat. denn nur wer die privaten Schlüssel kennt, kann sie versenden.eindeutig auf einen eindeutigen Ursprung und Endempfänger zurückgeführt werden. Auch wenn sich zwei Teilnehmer austauschen Mittel auf indirektem Weg, eine richtig entwickelte Wegfindungsmethode wird den Ursprung aufdecken und Endempfänger. Es besteht außerdem der Verdacht, dass Bitcoin die zweite Eigenschaft nicht erfüllt. Einige Forscher gab an ([33, 35, 29, 31]), dass eine sorgfältige blockchain-Analyse einen Zusammenhang zwischen aufdecken könnte die Benutzer des Netzwerks Bitcoin und ihre Transaktionen. Obwohl es eine Reihe von Methoden gibt umstritten [25], es besteht der Verdacht, dass viele versteckte persönliche Informationen daraus extrahiert werden können öffentliche Datenbank. Dass Bitcoin die beiden oben genannten Eigenschaften nicht erfüllt, lässt uns zu dem Schluss kommen, dass dies der Fall ist kein anonymes, sondern ein pseudoanonymes elektronisches Bargeldsystem. Die Benutzer entwickelten sich schnell Lösungen, um diesen Mangel zu umgehen. Zwei direkte Lösungen waren „Wäschedienste“ [2] und die Entwicklung verteilter Methoden [3, 4]. Beide Lösungen basieren auf der Idee des Mischens mehrere öffentliche Transaktionen und deren Versand über eine Zwischenadresse; was wiederum hat den Nachteil, dass eine vertrauenswürdige dritte Partei erforderlich ist. Kürzlich wurde von I. Miers et al. ein kreativeres Schema vorgeschlagen. [28]: „Zerocoin“. Zerocoin verwendet kryptografische Einwegakkumulatoren und wissensfreie Beweise, die es Benutzern ermöglichen „Umwandeln“ Sie Bitcoins in Zerocoins und geben Sie sie stattdessen mit einem anonymen Eigentumsnachweis aus explizite, auf öffentlichen Schlüsseln basierende digitale Signaturen. Allerdings haben solche Wissensbeweise eine Konstante aber unpraktische Größe – etwa 30 KB (basierend auf den heutigen Bitcoin-Grenzwerten), was den Vorschlag ausmacht unpraktisch. Die Autoren geben zu, dass das Protokoll wahrscheinlich nie von der Mehrheit akzeptiert werden wird Bitcoin Benutzer [5]. 2.2 Die Funktion proof-of-work Der Erfinder von Bitcoin, Satoshi Nakamoto, beschrieb den Mehrheitsentscheidungsalgorithmus als „oneCPU-one-vote“ und verwendete für seinen proof-of-work eine CPU-gebundene Preisfunktion (double SHA-256). Schema. Da Benutzer für die einzelne Historie der Transaktionsreihenfolge [1] stimmen, ist die Angemessenheit und Konsistenz dieses Prozesses sind kritische Bedingungen für das gesamte System. Die Sicherheit dieses Modells leidet unter zwei Nachteilen. Erstens benötigt es 51 % des Netzwerks Die Mining-Leistung muss unter der Kontrolle ehrlicher Benutzer stehen. Zweitens der Fortschritt des Systems (Fehlerbehebungen, Sicherheitsupdates usw.) erfordern, dass die überwältigende Mehrheit der Benutzer dies unterstützt und ihnen zustimmt Änderungen (dies geschieht, wenn die Benutzer ihre Wallet-Software aktualisieren) [6].Endlich die gleiche Abstimmung Der Mechanismus wird auch für kollektive Umfragen zur Implementierung einiger Funktionen verwendet [7]. Dies ermöglicht es uns, die Eigenschaften zu vermuten, die von proof-of-work erfüllt werden müssen. Preisfunktion. Eine solche Funktion darf es einem Netzwerkteilnehmer nicht ermöglichen, eine signifikante Bedeutung zu erlangen Vorteil gegenüber einem anderen Teilnehmer; es erfordert eine Parität zwischen gemeinsamer Hardware und hoher Hardware Kosten für kundenspezifische Geräte. Aus den aktuellen Beispielen [8] können wir ersehen, dass die Funktion SHA-256 verwendet wird in der Bitcoin-Architektur besitzt diese Eigenschaft nicht, da der Bergbau effizienter wird GPUs und ASIC-Geräte im Vergleich zu High-End-CPUs. Daher schafft Bitcoin günstige Bedingungen für eine große Lücke zwischen der Stimmmacht von Teilnehmer, da dies gegen das „Eine-CPU-eine-Stimme“-Prinzip verstößt, da GPU- und ASIC-Besitzer Eigentümer sind eine viel größere Stimmmacht im Vergleich zu CPU-Besitzern. Es ist ein klassisches Beispiel dafür Pareto-Prinzip, bei dem 20 % der Teilnehmer eines Systems mehr als 80 % der Stimmen kontrollieren. Man könnte argumentieren, dass eine solche Ungleichheit für die Sicherheit des Netzwerks nicht relevant ist, da dies nicht der Fall ist Die geringe Anzahl der Teilnehmer kontrolliert die Mehrheit der Stimmen, aber die Ehrlichkeit dieser Stimmen Teilnehmer, worauf es ankommt. Dieses Argument ist jedoch etwas fehlerhaft, da es eher das ist Möglichkeit, dass billige Spezialhardware auftaucht, und nicht die Ehrlichkeit der Teilnehmer stellt eine Bedrohung dar. Um dies zu demonstrieren, nehmen wir das folgende Beispiel. Angenommen, ein Böswilliger Der Einzelne erlangt beträchtliche Mining-Power, indem er billig seine eigene Mining-Farm gründet 2 eindeutig auf einen eindeutigen Ursprung und Endempfänger zurückgeführt werden. Auch wenn sich zwei Teilnehmer austauschen Mittel auf indirektem Weg, eine richtig entwickelte Wegfindungsmethode wird den Ursprung aufdecken und Endempfänger. Es wird außerdem vermutet, dass Bitcoin die zweite Eigenschaft nicht erfüllt. Einige Forscher gab an ([33, 35, 29, 31]), dass eine sorgfältige blockchain-Analyse einen Zusammenhang zwischen aufdecken könnte die Benutzer des Netzwerks Bitcoin und ihre Transaktionen. Obwohl es eine Reihe von Methoden gibt dMit der Bezeichnung [25] besteht der Verdacht, dass viele versteckte persönliche Informationen daraus extrahiert werden können öffentliche Datenbank. Dass Bitcoin die beiden oben genannten Eigenschaften nicht erfüllt, lässt uns zu dem Schluss kommen, dass dies der Fall ist kein anonymes, sondern ein pseudoanonymes elektronisches Bargeldsystem. Die Benutzer entwickelten sich schnell Lösungen, um diesen Mangel zu umgehen. Zwei direkte Lösungen waren „Wäschedienste“ [2] und die Entwicklung verteilter Methoden [3, 4]. Beide Lösungen basieren auf der Idee des Mischens mehrere öffentliche Transaktionen und deren Versand über eine Zwischenadresse; was wiederum hat den Nachteil, dass eine vertrauenswürdige dritte Partei erforderlich ist. Kürzlich wurde von I. Miers et al. ein kreativeres Schema vorgeschlagen. [28]: „Zerocoin“. Zerocoin verwendet kryptografische Einwegakkumulatoren und wissensfreie Beweise, die es Benutzern ermöglichen „Umwandeln“ Sie Bitcoins in Zerocoins und geben Sie sie stattdessen mit einem anonymen Eigentumsnachweis aus explizite, auf öffentlichen Schlüsseln basierende digitale Signaturen. Allerdings haben solche Wissensbeweise eine Konstante aber unpraktische Größe – etwa 30 KB (basierend auf den heutigen Bitcoin-Grenzwerten), was den Vorschlag ausmacht unpraktisch. Die Autoren geben zu, dass das Protokoll wahrscheinlich nie von der Mehrheit akzeptiert werden wird Bitcoin Benutzer [5]. 2.2 Die Funktion proof-of-work Der Erfinder von Bitcoin, Satoshi Nakamoto, beschrieb den Mehrheitsentscheidungsalgorithmus als „oneCPU-one-vote“ und verwendete für seinen proof-of-work eine CPU-gebundene Preisfunktion (double SHA-256). Schema. Da Benutzer für die einzelne Transaktionsverlaufsreihenfolge [1] stimmen, ist die Angemessenheit und Konsistenz dieses Prozesses sind kritische Bedingungen für das gesamte System. Die Sicherheit dieses Modells leidet unter zwei Nachteilen. Erstens benötigt es 51 % des Netzwerks Die Mining-Leistung muss unter der Kontrolle ehrlicher Benutzer stehen. Zweitens der Fortschritt des Systems (Fehlerbehebungen, Sicherheitsupdates usw.) erfordern, dass die überwältigende Mehrheit der Benutzer dies unterstützt und ihnen zustimmt Änderungen (dies geschieht, wenn die Benutzer ihre Wallet-Software aktualisieren) [6].Endlich die gleiche Abstimmung Der Mechanismus wird auch für kollektive Umfragen zur Implementierung einiger Funktionen verwendet [7]. Dies ermöglicht es uns, die Eigenschaften zu vermuten, die von proof-of-work erfüllt werden müssen. Preisfunktion. Eine solche Funktion darf es einem Netzwerkteilnehmer nicht ermöglichen, eine signifikante Bedeutung zu erlangen Vorteil gegenüber einem anderen Teilnehmer; es erfordert eine Parität zwischen gemeinsamer Hardware und hoher Hardware Kosten für kundenspezifische Geräte. Aus den aktuellen Beispielen [8] können wir ersehen, dass die Funktion SHA-256 verwendet wird in der Bitcoin-Architektur besitzt diese Eigenschaft nicht, da der Bergbau effizienter wird GPUs und ASIC-Geräte im Vergleich zu High-End-CPUs. Daher schafft Bitcoin günstige Bedingungen für eine große Kluft zwischen der Stimmmacht von Teilnehmer, da dies gegen das „Eine-CPU-eine-Stimme“-Prinzip verstößt, da GPU- und ASIC-Besitzer Eigentümer sind eine viel größere Stimmmacht im Vergleich zu CPU-Besitzern. Es ist ein klassisches Beispiel dafür Pareto-Prinzip, bei dem 20 % der Teilnehmer eines Systems mehr als 80 % der Stimmen kontrollieren. Man könnte argumentieren, dass eine solche Ungleichheit für die Sicherheit des Netzwerks nicht relevant ist, da dies nicht der Fall ist Die geringe Anzahl der Teilnehmer kontrolliert die Mehrheit der Stimmen, aber die Ehrlichkeit dieser Stimmen Teilnehmer, worauf es ankommt. Dieses Argument ist jedoch etwas fehlerhaft, da es eher das ist Möglichkeit, dass billige Spezialhardware auftaucht, und nicht die Ehrlichkeit der Teilnehmer stellt eine Bedrohung dar. Um dies zu demonstrieren, nehmen wir das folgende Beispiel. Angenommen, ein Böswilliger Der Einzelne erlangt beträchtliche Mining-Power, indem er billig seine eigene Mining-Farm gründet 2 4 Vermutlich, wenn jeder Nutzer seiner eigenen Anonymität dadurch gerecht wird, dass er immer eine neue Adresse generiert für JEDE erhaltene Zahlung (was absurd, aber technisch gesehen die „richtige“ Vorgehensweise ist), und wenn jeder Benutzer die Anonymität aller anderen dadurch schützen würde, dass er darauf besteht, niemals Geld zu senden zweimal an dieselbe BTC-Adresse senden, dann würde Bitcoin immer noch nur umständlich das übergeben Unverknüpfbarkeitstest. Warum? Verbraucherdaten können genutzt werden, um jederzeit erstaunlich viel über Menschen herauszufinden. Siehe zum Beispiel http://www.applieddatalabs.com/content/target-knows-it-shows Stellen Sie sich nun vor, dass dies 20 Jahre in der Zukunft liegt, und stellen Sie sich außerdem vor, dass Target es nicht einfach wusste über Ihre Kaufgewohnheiten bei Target, aber sie haben die blockchain für ALLES durchsucht IHRE PERSÖNLICHEN EINKÄUFE MIT IHREM COINBASE WALLET FÜR DIE VERGANGENHEIT ZWÖLF JAHRE. Sie werden sagen: „Hey Kumpel, vielleicht möchtest du dir heute Abend ein Hustenmittel besorgen, das wirst du nicht.“ Fühlen Sie sich morgen gut. Dies ist möglicherweise nicht der Fall, wenn die Mehrparteiensortierung korrekt ausgenutzt wird. Siehe zum Beispiel diesBlogbeitrag: http://blog.ezyang.com/2012/07/secure-multiparty-bitcoin-anonymization/ Ich bin von der Rechnung nicht ganz überzeugt, aber ... ein Papier nach dem anderen, oder? Zitat erforderlich. Während das Zerocoin-Protokoll (Standalone) möglicherweise unzureichend ist, ist das Zerocash Das Protokoll scheint Transaktionen mit einer Größe von 1 KB implementiert zu haben. Dieses Projekt wird unterstützt von natürlich die US-amerikanischen und israelischen Streitkräfte, also wer weiß schon, wie robust es ist. Auf der anderen Seite Andererseits möchte niemand mehr Geld ohne Aufsicht ausgeben können als das Militär. http://zerocash-project.org/ Ich bin nicht überzeugt... siehe zum Beispiel http://fc14.ifca.ai/bitcoin/papers/bitcoin14_submission_12.pdf Zitat eines Cryptonote-Entwicklers Maurice Planck (vermutlich ein Pseudonym) aus der Cryptonote Foren: „Zerocoin, Zerocash. Das ist die fortschrittlichste Technologie, das muss ich zugeben. Ja, das Zitat Das Obige stammt aus der Analyse der vorherigen Version des Protokolls. Meines Wissens nach ist das nicht der Fall 288, aber 384 Bytes, aber das sind trotzdem gute Nachrichten. Sie nutzten eine brandneue Technik namens SNARK, die gewisse Nachteile hat: zum Beispiel große anfängliche Datenbank öffentlicher Parameter, die zum Erstellen einer Signatur erforderlich sind (mehr als 1 GB) und Erheblicher Zeitaufwand für die Erstellung einer Transaktion (mehr als eine Minute). Schließlich verwenden sie a junge Krypto, die ich als umstrittene Idee erwähnt habe: https://forum.cryptonote.org/viewtopic.php?f= " - Maurice P. Do 3. April 2014 19:56 Uhr Eine Funktion, die in der CPU ausgeführt wird und nicht für GPU, FPGA oder ASIC geeignet ist Berechnung. Das in proof-of-work verwendete „Puzzle“ wird als Preisfunktion, Kostenfunktion oder bezeichnet Puzzle-Funktion.

eindeutig auf einen eindeutigen Ursprung und Endempfänger zurückgeführt werden. Auch wenn sich zwei Teilnehmer austauschen Mittel auf indirektem Weg, eine richtig entwickelte Wegfindungsmethode wird den Ursprung aufdecken und Endempfänger. Es wird auch vermutet, dass Bitcoin die zweite Eigenschaft nicht erfüllt. Einige Forscher gab an ([33, 35, 29, 31]), dass eine sorgfältige blockchain-Analyse einen Zusammenhang zwischen aufdecken könnte die Benutzer des Netzwerks Bitcoin und ihre Transaktionen. Obwohl es eine Reihe von Methoden gibt umstritten [25], es besteht der Verdacht, dass viele versteckte persönliche Informationen daraus extrahiert werden können öffentliche Datenbank. Dass Bitcoin die beiden oben genannten Eigenschaften nicht erfüllt, lässt uns zu dem Schluss kommen, dass dies der Fall ist kein anonymes, sondern ein pseudoanonymes elektronisches Bargeldsystem. Die Benutzer entwickelten sich schnell Lösungen, um diesen Mangel zu umgehen. Zwei direkte Lösungen waren „Wäschedienste“ [2] und die Entwicklung verteilter Methoden [3, 4]. Beide Lösungen basieren auf der Idee des Mischens mehrere öffentliche Transaktionen und deren Versand über eine Zwischenadresse; was wiederum hat den Nachteil, dass eine vertrauenswürdige dritte Partei erforderlich ist. Kürzlich wurde von I. Miers et al. ein kreativeres Schema vorgeschlagen. [28]: „Zerocoin“. Zerocoin verwendet kryptografische Einwegakkumulatoren und wissensfreie Beweise, die es Benutzern ermöglichen „Umwandeln“ Sie Bitcoins in Zerocoins und geben Sie sie stattdessen mit einem anonymen Eigentumsnachweis aus explizite, auf öffentlichen Schlüsseln basierende digitale Signaturen. Allerdings haben solche Wissensbeweise eine Konstante aber unpraktische Größe – etwa 30 KB (basierend auf den heutigen Bitcoin-Grenzwerten), was den Vorschlag ausmacht unpraktisch. Die Autoren geben zu, dass das Protokoll wahrscheinlich nie von der Mehrheit akzeptiert werden wird Bitcoin Benutzer [5]. 2.2 Die Funktion proof-of-work Der Erfinder von Bitcoin, Satoshi Nakamoto, beschrieb den Mehrheitsentscheidungsalgorithmus als „oneCPU-one-vote“ und verwendete für seinen proof-of-work eine CPU-gebundene Preisfunktion (double SHA-256). Schema. Da Benutzer für die einzelne Transaktionsverlaufsreihenfolge [1] stimmen, ist die Angemessenheit und Konsistenz dieses Prozesses sind kritische Bedingungen für das gesamte System. Die Sicherheit dieses Modells leidet unter zwei Nachteilen. Erstens benötigt es 51 % des Netzwerks Die Mining-Leistung muss unter der Kontrolle ehrlicher Benutzer stehen. Zweitens der Fortschritt des Systems (Fehlerbehebungen, Sicherheitsupdates usw.) erfordern, dass die überwältigende Mehrheit der Benutzer dies unterstützt und ihnen zustimmt Änderungen (dies geschieht, wenn die Benutzer ihre Wallet-Software aktualisieren) [6]. Endlich die gleiche Abstimmung Der Mechanismus wird auch für kollektive Umfragen zur Implementierung einiger Funktionen verwendet [7]. Dies ermöglicht es uns, die Eigenschaften zu vermuten, die von proof-of-work erfüllt werden müssen. Preisfunktion. Eine solche Funktion darf es einem Netzwerkteilnehmer nicht ermöglichen, eine signifikante Bedeutung zu erlangen Vorteil gegenüber einem anderen Teilnehmer; es erfordert eine Parität zwischen gemeinsamer Hardware und hoher Hardware Kosten für kundenspezifische Geräte. Aus den aktuellen Beispielen [8] können wir ersehen, dass die Funktion SHA-256 verwendet wird in der Bitcoin-Architektur besitzt diese Eigenschaft nicht, da der Bergbau effizienter wird GPUs und ASIC-Geräte im Vergleich zu High-End-CPUs. Daher schafft Bitcoin günstige Bedingungen für eine große Kluft zwischen der Stimmmacht von Teilnehmer, da dies gegen das „Eine-CPU-eine-Stimme“-Prinzip verstößt, da GPU- und ASIC-Besitzer Eigentümer sind eine viel größere Stimmmacht im Vergleich zu CPU-Besitzern. Es ist ein klassisches Beispiel dafür Pareto-Prinzip, bei dem 20 % der Teilnehmer eines Systems mehr als 80 % der Stimmen kontrollieren. Man könnte argumentieren, dass eine solche Ungleichheit für die Sicherheit des Netzwerks nicht relevant ist, da dies nicht der Fall ist Die geringe Anzahl der Teilnehmer kontrolliert die Mehrheit der Stimmen, aber die Ehrlichkeit dieser Stimmen Teilnehmer, worauf es ankommt. Dieses Argument ist jedoch etwas fehlerhaft, da es eher das ist Möglichkeit, dass billige Spezialhardware auftaucht, und nicht die Ehrlichkeit der Teilnehmer stellt eine Bedrohung dar. Um dies zu demonstrieren, nehmen wir das folgende Beispiel. Angenommen, ein Böswilliger Der Einzelne erlangt beträchtliche Mining-Power, indem er billig seine eigene Mining-Farm gründet 2 eindeutig auf einen eindeutigen Ursprung und Endempfänger zurückgeführt werden. Auch wenn sich zwei Teilnehmer austauschen Mittel auf indirektem Weg, eine richtig entwickelte Wegfindungsmethode wird den Ursprung aufdecken und Endempfänger. Es wird auch vermutet, dass Bitcoin die zweite Eigenschaft nicht erfüllt. Einige Forscher gab an ([33, 35, 29, 31]), dass eine sorgfältige blockchain-Analyse einen Zusammenhang zwischen aufdecken könnte die Benutzer des Netzwerks Bitcoin und ihre Transaktionen. Obwohl es eine Reihe von Methoden gibt dMit der Bezeichnung [25] besteht der Verdacht, dass viele versteckte persönliche Informationen daraus extrahiert werden können öffentliche Datenbank. Dass Bitcoin die beiden oben genannten Eigenschaften nicht erfüllt, lässt uns zu dem Schluss kommen, dass dies der Fall ist kein anonymes, sondern ein pseudoanonymes elektronisches Bargeldsystem. Die Benutzer entwickelten sich schnell Lösungen, um diesen Mangel zu umgehen. Zwei direkte Lösungen waren „Wäschedienste“ [2] und die Entwicklung verteilter Methoden [3, 4]. Beide Lösungen basieren auf der Idee des Mischens mehrere öffentliche Transaktionen und deren Versand über eine Zwischenadresse; was wiederum hat den Nachteil, dass eine vertrauenswürdige dritte Partei erforderlich ist. Kürzlich wurde von I. Miers et al. ein kreativeres Schema vorgeschlagen. [28]: „Zerocoin“. Zerocoin verwendet kryptografische Einwegakkumulatoren und wissensfreie Beweise, die es Benutzern ermöglichen „Umwandeln“ Sie Bitcoins in Zerocoins und geben Sie sie stattdessen mit einem anonymen Eigentumsnachweis aus explizite, auf öffentlichen Schlüsseln basierende digitale Signaturen. Allerdings haben solche Wissensbeweise eine Konstante aber unpraktische Größe – etwa 30 KB (basierend auf den heutigen Bitcoin-Grenzwerten), was den Vorschlag ausmacht unpraktisch. Die Autoren geben zu, dass das Protokoll wahrscheinlich nie von der Mehrheit akzeptiert werden wird Bitcoin Benutzer [5]. 2.2 Die Funktion proof-of-work Der Erfinder von Bitcoin, Satoshi Nakamoto, beschrieb den Mehrheitsentscheidungsalgorithmus als „oneCPU-one-vote“ und verwendete für seinen proof-of-work eine CPU-gebundene Preisfunktion (double SHA-256). Schema. Da Benutzer für die einzelne Historie der Transaktionsreihenfolge [1] stimmen, ist die Angemessenheit und Konsistenz dieses Prozesses sind kritische Bedingungen für das gesamte System. Die Sicherheit dieses Modells leidet unter zwei Nachteilen. Erstens benötigt es 51 % des Netzwerks Die Mining-Leistung muss unter der Kontrolle ehrlicher Benutzer stehen. Zweitens der Fortschritt des Systems (Fehlerbehebungen, Sicherheitsupdates usw.) erfordern, dass die überwältigende Mehrheit der Benutzer dies unterstützt und ihnen zustimmt Änderungen (dies geschieht, wenn die Benutzer ihre Wallet-Software aktualisieren) [6].Endlich die gleiche Abstimmung Der Mechanismus wird auch für kollektive Umfragen zur Implementierung einiger Funktionen verwendet [7]. Dies ermöglicht es uns, die Eigenschaften zu vermuten, die von proof-of-work erfüllt werden müssen. Preisfunktion. Eine solche Funktion darf es einem Netzwerkteilnehmer nicht ermöglichen, eine signifikante Bedeutung zu erlangen Vorteil gegenüber einem anderen Teilnehmer; es erfordert eine Parität zwischen gemeinsamer Hardware und hoher Hardware Kosten für kundenspezifische Geräte. Aus den aktuellen Beispielen [8] können wir ersehen, dass die Funktion SHA-256 verwendet wird in der Bitcoin-Architektur besitzt diese Eigenschaft nicht, da der Bergbau effizienter wird GPUs und ASIC-Geräte im Vergleich zu High-End-CPUs. Daher schafft Bitcoin günstige Bedingungen für eine große Kluft zwischen der Stimmmacht von Teilnehmer, da dies gegen das „Eine-CPU-eine-Stimme“-Prinzip verstößt, da GPU- und ASIC-Besitzer Eigentümer sind eine viel größere Stimmmacht im Vergleich zu CPU-Besitzern. Es ist ein klassisches Beispiel dafür Pareto-Prinzip, bei dem 20 % der Teilnehmer eines Systems mehr als 80 % der Stimmen kontrollieren. Man könnte argumentieren, dass eine solche Ungleichheit für die Sicherheit des Netzwerks nicht relevant ist, da dies nicht der Fall ist Die geringe Anzahl der Teilnehmer kontrolliert die Mehrheit der Stimmen, aber die Ehrlichkeit dieser Stimmen Teilnehmer, worauf es ankommt. Dieses Argument ist jedoch etwas fehlerhaft, da es eher das ist Möglichkeit, dass billige Spezialhardware auftaucht, und nicht die Ehrlichkeit der Teilnehmer stellt eine Bedrohung dar. Um dies zu demonstrieren, nehmen wir das folgende Beispiel. Angenommen, ein Böswilliger Der Einzelne erlangt beträchtliche Mining-Power, indem er billig seine eigene Mining-Farm gründet 2 Kommentare auf Seite 2

Bitcoin 缺点和可能的解决方案

2 Bitcoin 缺点和一些可能的解决方案 2.1 交易可追溯隐私和匿名是电子现金最重要的方面。点对点支付寻求隐藏在第三方的视野之外，与传统的相比有明显的区别银行业务。特别是，T. Okamoto 和 K. Ohta 描述了理想电子现金的六个标准，其中包括“隐私：用户及其购买之间的关系必须无法追踪任何人”[30]。从他们的描述中，我们得出了两个完全匿名的属性电子现金模型必须满足冈本概述的要求和太田：不可追踪性：对于每笔传入交易，所有可能的发件人都是等概率的。不可链接性：对于任何两个传出交易，无法证明它们被发送到同一个人。不幸的是，Bitcoin 不满足不可追踪性要求。由于网络参与者之间发生的所有交易都是公开的，因此任何交易都可以 1 加密笔记 v 2.0 尼古拉斯 \(\cdot\) 范 \(\cdot\) 萨伯哈根 2013 年 10 月 17 日 1 简介 “Bitcoin”[1]已经成功实现了p2p电子现金的概念。两者都专业人士和公众已经开始欣赏这种便捷的组合公共交易和 proof-of-work 作为信任模型。如今，电子现金的用户群正在稳步增长；客户被低廉的费用和提供的匿名性所吸引电子现金和商家对其预测和分散的排放进行评估。 Bitcoin 有有效证明电子现金可以像纸币一样简单、像纸币一样方便信用卡。不幸的是，Bitcoin 有几个缺陷。例如，系统的分布式本质上是不灵活的，在几乎所有网络用户更新其客户端之前，都会阻止新功能的实现。一些无法快速修复的关键缺陷阻碍了 Bitcoin 广泛传播。在这种不灵活的模式中，推出新项目会更有效率而不是永久修复原来的项目。在本文中，我们研究并提出了针对 Bitcoin 的主要缺陷的解决方案。我们相信考虑到我们提出的解决方案的系统将带来良性竞争不同的电子现金系统之间。我们还提出了我们自己的电子现金“CryptoNote”，这个名字强调了电子现金的下一个突破。 2 Bitcoin 缺点和一些可能的解决方案 2.1 交易可追溯隐私和匿名是电子现金最重要的方面。点对点支付寻求隐藏在第三方的视野之外，与传统的相比有明显的区别银行业务。特别是，T. Okamoto 和 K. Ohta 描述了理想电子现金的六个标准，其中包括“隐私：用户及其购买之间的关系必须无法追踪任何人”[30]。从他们的描述中，我们得出了两个完全匿名的属性电子现金模型必须满足冈本概述的要求和太田：不可追踪性：对于每笔传入交易，所有可能的发件人都是等概率的。不可链接性：对于任何两个传出交易，无法证明它们被发送到同一个人。不幸的是，Bitcoin 不满足不可追踪性要求。由于网络参与者之间发生的所有交易都是公开的，因此任何交易都可以 1 3 Bitcoin 绝对无法实现“不可追踪性”。当我向您发送 BTC 时，发送该钱包的钱包不可撤销地印在 blockchain 上。毫无疑问谁发送了这些资金，因为只有知道私钥的人才能发送它们。明确追踪到独特的来源和最终接收者。即使两个参与者交换如果以间接方式筹集资金，适当设计的寻路方法将揭示资金的来源和最终收件人。还怀疑Bitcoin不满足第二个性质。一些研究人员指出 ([33, 35, 29, 31]) 仔细的 blockchain 分析可能会揭示之间的联系 Bitcoin 网络的用户及其交易。虽然有很多方法争议[25]，疑似可从中提取大量隐藏个人信息公共数据库。 Bitcoin 未能满足上述两个属性使我们得出结论：不是匿名的而是伪匿名的电子现金系统。用户发展很快解决方案来规避这个缺点。两个直接解决方案是“洗钱服务”[2] 和分布式方法的发展 [3, 4]。两种解决方案都基于混合的想法一些公共交易并通过某个中间地址发送它们；反过来存在需要可信第三方的缺点。最近，I. Miers等人提出了一个更有创意的方案。 [28]：“零币”。零币利用加密单向累加器和零知识证明，允许用户将比特币“转换”为零币并使用匿名所有权证明而不是使用它们基于显式公钥的数字签名。然而，这样的知识证明有一个常数但大小不方便 - 大约 30kb（基于今天的 Bitcoin 限制），这使得该提案不切实际的。作者承认该协议不太可能被大多数人接受 Bitcoin 用户 [5]。 2.2 proof-of-work 函数 Bitcoin 的创建者中本聪将多数决策算法描述为“oneCPU-one-vote”，并为他的 proof-of-work 使用了受 CPU 限制的定价函数（双 SHA-256）计划。由于用户对单笔历史交易订单[1]进行投票，合理性和这个过程的一致性是整个系统的关键条件。该模型的安全性有两个缺点。首先，它需要51%的网络资源挖矿权由诚实用户控制。其次，系统的进展（错误修复，安全修复等...）需要绝大多数用户支持并同意更改（当用户更新钱包软件时会发生这种情况）[6]。最后同样的投票该机制还用于关于某些功能 [7] 的实现的集体民意调查。这使我们能够推测 proof-of-work 必须满足的属性定价功能。此类功能不得使网络参与者拥有重大的相对于其他参与者的优势；它需要普通硬件和高端硬件之间的平衡定制设备的成本。从最近的示例 [8] 中，我们可以看到使用了 SHA-256 函数在 Bitcoin 架构中不具备此属性，因为采矿变得更加高效 GPU 和 ASIC 设备与高端 CPU 相比。因此，Bitcoin为投票权之间的巨大差距创造了有利条件参与者，因为它违反了“单 CPU 一票”原则，因为 GPU 和 ASIC 所有者拥有与 CPU 所有者相比，投票权要大得多。这是一个经典的例子帕累托原则，即系统中 20% 的参与者控制超过 80% 的选票。有人可能会争辩说，这种不平等与网络安全无关，因为它不是少数参与者控制着大多数选票，但这些参与者的诚实性重要的参与者。然而，这样的论点是有一定缺陷的，因为它实际上是廉价专用硬件出现的可能性，而不是参与者的诚实度构成威胁。为了证明这一点，让我们看下面的例子。假设有一个恶意个人通过廉价的方式创建自己的矿场，从而获得显着的挖矿能力 2 明确追踪到独特的来源和最终接收者。即使两个参与者交换如果以间接方式筹集资金，适当设计的寻路方法将揭示资金的来源和最终收件人。还怀疑Bitcoin不满足第二个性质。一些研究人员指出 ([33, 35, 29, 31]) 仔细的 blockchain 分析可能会揭示之间的联系 Bitcoin 网络的用户及其交易。虽然有很多方法 d疑似[25]，疑似可提取大量隐藏个人信息公共数据库。 Bitcoin 未能满足上述两个属性使我们得出结论：不是匿名的而是伪匿名的电子现金系统。用户发展很快解决方案来规避这个缺点。两个直接解决方案是“洗钱服务”[2] 和分布式方法的发展 [3, 4]。两种解决方案都基于混合的想法一些公共交易并通过某个中间地址发送它们；反过来存在需要可信第三方的缺点。最近，I. Miers等人提出了一个更有创意的方案。 [28]：“零币”。零币利用加密单向累加器和零知识证明，允许用户将比特币“转换”为零币并使用匿名所有权证明而不是使用它们基于显式公钥的数字签名。然而，这样的知识证明有一个常数但大小不方便 - 大约 30kb（基于今天的 Bitcoin 限制），这使得该提案不切实际的。作者承认该协议不太可能被大多数人接受 Bitcoin 用户 [5]。 2.2 proof-of-work 函数 Bitcoin 的创建者中本聪将多数决策算法描述为“oneCPU-one-vote”，并为他的 proof-of-work 使用了受 CPU 限制的定价函数（双 SHA-256）计划。由于用户对单笔历史交易订单[1]进行投票，合理性和这个过程的一致性是整个系统的关键条件。该模型的安全性有两个缺点。首先，它需要51%的网络资源挖矿权由诚实用户控制。其次，系统的进展（错误修复，安全修复等...）需要绝大多数用户支持并同意更改（当用户更新钱包软件时会发生这种情况）[6]。最后同样的投票该机制还用于关于某些功能 [7] 的实现的集体民意调查。这允许我们推测 proof-of-work 必须满足的属性定价功能。此类功能不得使网络参与者拥有重大的相对于其他参与者的优势；它需要普通硬件和高端硬件之间的平衡定制设备的成本。从最近的示例 [8] 中，我们可以看到使用了 SHA-256 函数在 Bitcoin 架构中不具备此属性，因为采矿变得更加高效 GPU 和 ASIC 设备与高端 CPU 相比。因此，Bitcoin为投票权之间的巨大差距创造了有利条件参与者，因为它违反了“单 CPU 一票”原则，因为 GPU 和 ASIC 所有者拥有与 CPU 所有者相比，投票权要大得多。这是一个经典的例子帕累托原则，即系统中 20% 的参与者控制超过 80% 的选票。有人可能会争辩说，这种不平等与网络安全无关，因为它不是少数参与者控制着大多数选票，但这些参与者的诚实性重要的参与者。然而，这样的论点是有一定缺陷的，因为它实际上是廉价专用硬件出现的可能性，而不是参与者的诚实度构成威胁。为了证明这一点，让我们看下面的例子。假设有一个恶意个人通过廉价的方式创建自己的矿场，从而获得显着的挖矿能力 2 4 据推测，如果每个用户总是通过生成新地址来帮助自己匿名对于每笔收到的付款（这是荒谬的，但从技术上讲是“正确”的方法），如果每个用户都坚持不发送资金来帮助其他人匿名两次发送到同一个 BTC 地址，那么 Bitcoin 仍然只能偶尔通过不可链接性测试。为什么？消费者数据始终可以用来了解数量惊人的人们。例如，参见 http://www.applieddatalabs.com/content/target-knows-it-shows 现在，想象一下这是 20 年后的未来，并进一步想象塔吉特不仅知道关于您在 Target 的购买习惯，但他们一直在挖掘 blockchain 的所有内容您过去使用 Coinbase 钱包进行的个人购买十二年。他们会说“嘿伙计，你今晚可能想买点止咳药，但你不会明天感觉很好。” 如果正确利用多方排序，情况可能并非如此。例如，参见这个博客文章：http://blog.ezyang.com/2012/07/secure-multiparty-bitcoin-anonymization/ 我并不完全相信这一点的数学原理，但是......一次一篇论文，对吧？需要引用。尽管 Zerocoin 协议（独立）可能还不够，但 Zerocash 协议似乎已经实现了 1kb 大小的事务。该项目由以下机构支持当然，美国和以色列军队，所以谁知道它的坚固性。另一方面另一方面，没有人比军方更希望能够在没有监督的情况下使用资金。 http://zerocash-project.org/ 我不相信......例如，参见 http://fc14.ifca.ai/bitcoin/papers/bitcoin14_submission_12.pdf 引用 Cryptonote 开发者 Maurice Planck（大概是化名）的话论坛： “零币，零现金。我必须承认，这是最先进的技术。是的，报价以上是对上一版本协议的分析。据我所知，这不是 288，但是384字节，但无论如何这是个好消息。他们使用了一种名为 SNARK 的全新技术，该技术有一定的缺点：例如，创建签名所需的公共参数的大型初始数据库（超过 1 GB）以及创建交易所需的大量时间（超过一分钟）。最后，他们使用的是年轻的加密货币，我提到这是一个有争议的想法：https://forum.cryptonote.org/viewtopic.php?f= ” - Maurice P. 2014 年 4 月 3 日星期四晚上 7:56 在CPU中执行的功能，不适合GPU、FPGA或ASIC 计算。 proof-of-work 中使用的“难题”被称为定价函数、成本函数或拼图功能。

明确追踪到独特的来源和最终接收者。即使两个参与者交换如果以间接方式筹集资金，适当设计的寻路方法将揭示资金的来源和最终收件人。还怀疑Bitcoin不满足第二个性质。一些研究人员指出 ([33, 35, 29, 31]) 仔细的 blockchain 分析可能会揭示之间的联系 Bitcoin 网络的用户及其交易。虽然有很多方法争议[25]，疑似可从中提取大量隐藏个人信息公共数据库。 Bitcoin 未能满足上述两个属性使我们得出结论：不是匿名的而是伪匿名的电子现金系统。用户发展很快解决方案来规避这个缺点。两个直接解决方案是“洗钱服务”[2] 和分布式方法的发展 [3, 4]。两种解决方案都基于混合的想法一些公共交易并通过某个中间地址发送它们；反过来存在需要可信第三方的缺点。最近，I. Miers等人提出了一个更有创意的方案。 [28]：“零币”。零币利用加密单向累加器和零知识证明，允许用户将比特币“转换”为零币并使用匿名所有权证明而不是使用它们基于显式公钥的数字签名。然而，这样的知识证明有一个常数但大小不方便 - 大约 30kb（基于今天的 Bitcoin 限制），这使得该提案不切实际的。作者承认该协议不太可能被大多数人接受 Bitcoin 用户 [5]。 2.2 proof-of-work 函数 Bitcoin 创建者中本聪将多数决策算法描述为“oneCPU-one-vote”，并为他的 proof-of-work 使用了 CPU 限制的定价函数（双 SHA-256）计划。由于用户对单笔历史交易订单[1]进行投票，合理性和这个过程的一致性是整个系统的关键条件。该模型的安全性有两个缺点。首先，它需要51%的网络资源挖矿权由诚实用户控制。其次，系统的进展（错误修复，安全修复等...）需要绝大多数用户支持并同意更改（当用户更新钱包软件时会发生这种情况）[6]。最后同样的投票该机制还用于关于某些功能 [7] 的实现的集体民意调查。这使我们能够推测 proof-of-work 必须满足的属性定价功能。此类功能不得使网络参与者拥有重大的相对于其他参与者的优势；它需要普通硬件和高端硬件之间的平衡定制设备的成本。从最近的示例 [8] 中，我们可以看到使用了 SHA-256 函数在 Bitcoin 架构中不具备此属性，因为采矿变得更加高效 GPU 和 ASIC 设备与高端 CPU 相比。因此，Bitcoin为投票权之间的巨大差距创造了有利条件参与者，因为它违反了“单 CPU 一票”原则，因为 GPU 和 ASIC 所有者拥有与 CPU 所有者相比，投票权要大得多。这是一个经典的例子帕累托原则，即系统中 20% 的参与者控制超过 80% 的选票。有人可能会争辩说，这种不平等与网络安全无关，因为它不是少数参与者控制着大多数选票，但这些参与者的诚实性重要的参与者。然而，这样的论点是有一定缺陷的，因为它实际上是廉价专用硬件出现的可能性，而不是参与者的诚实度构成威胁。为了证明这一点，让我们看下面的例子。假设有一个恶意个人通过廉价的方式创建自己的矿场，从而获得显着的挖矿能力 2 明确追踪到独特的来源和最终接收者。即使两个参与者交换如果以间接方式筹集资金，适当设计的寻路方法将揭示资金的来源和最终收件人。还怀疑Bitcoin不满足第二个性质。一些研究人员指出 ([33, 35, 29, 31]) 仔细的 blockchain 分析可能会揭示之间的联系 Bitcoin 网络的用户及其交易。虽然有很多方法 d疑似[25]，疑似可提取大量隐藏个人信息公共数据库。 Bitcoin 未能满足上述两个属性使我们得出结论：不是匿名的而是伪匿名的电子现金系统。用户发展很快解决方案来规避这个缺点。两个直接解决方案是“洗钱服务”[2] 和分布式方法的发展 [3, 4]。两种解决方案都基于混合的想法一些公共交易并通过某个中间地址发送它们；反过来存在需要可信第三方的缺点。最近，I. Miers等人提出了一个更有创意的方案。 [28]：“零币”。零币利用加密单向累加器和零知识证明，允许用户将比特币“转换”为零币并使用匿名所有权证明而不是使用它们基于显式公钥的数字签名。然而，这样的知识证明有一个常数但大小不便 - 大约 30kb（基于今天的 Bitcoin 限制），这使得该提案不切实际的。作者承认该协议不太可能被大多数人接受 Bitcoin 用户 [5]。 2.2 proof-of-work 函数 Bitcoin 创建者中本聪将多数决策算法描述为“oneCPU-one-vote”，并为他的 proof-of-work 使用了 CPU 限制的定价函数（双 SHA-256）计划。由于用户对单笔历史交易订单[1]进行投票，合理性和这个过程的一致性是整个系统的关键条件。该模型的安全性有两个缺点。首先，它需要51%的网络资源挖矿权由诚实用户控制。其次，系统的进展（错误修复，安全修复等...）需要绝大多数用户支持并同意更改（当用户更新钱包软件时会发生这种情况）[6]。最后同样的投票该机制还用于关于某些功能 [7] 的实现的集体民意调查。这允许我们推测 proof-of-work 必须满足的属性定价功能。此类功能不得使网络参与者拥有重大的相对于其他参与者的优势；它需要普通硬件和高端硬件之间的平衡定制设备的成本。从最近的示例 [8] 中，我们可以看到使用了 SHA-256 函数在 Bitcoin 架构中不具备此属性，因为采矿变得更加高效 GPU 和 ASIC 设备与高端 CPU 相比。因此，Bitcoin为投票权之间的巨大差距创造了有利条件参与者，因为它违反了“单 CPU 一票”原则，因为 GPU 和 ASIC 所有者拥有与 CPU 所有者相比，投票权要大得多。这是一个经典的例子帕累托原则，即系统中 20% 的参与者控制超过 80% 的选票。有人可能会争辩说，这种不平等与网络安全无关，因为它不是少数参与者控制着大多数选票，但这些参与者的诚实性重要的参与者。然而，这样的论点是有一定缺陷的，因为它实际上是廉价专用硬件出现的可能性，而不是参与者的诚实度构成威胁。为了证明这一点，让我们看下面的例子。假设有一个恶意个人通过廉价的方式创建自己的矿场，从而获得显着的挖矿能力 2 第 2 页的评论

Die CryptoNote-Technologie

Nachdem wir uns nun mit den Einschränkungen der Bitcoin-Technologie befasst haben, konzentrieren wir uns auf Vorstellung der Funktionen von CryptoNote.

CryptoNote 技术

现在我们已经涵盖了 Bitcoin 技术的局限性，我们将重点关注介绍 CryptoNote 的功能。

Nicht nachvollziehbare Transaktionen

In diesem Abschnitt schlagen wir ein Schema vollständig anonymer Transaktionen vor, das beide Anforderungen an die Rückverfolgbarkeit erfüllt und Unverknüpfbarkeitsbedingungen. Ein wichtiges Merkmal unserer Lösung ist ihre Autonomie: der Absender ist nicht verpflichtet, mit anderen Benutzern oder einem vertrauenswürdigen Dritten zusammenzuarbeiten, um seine Transaktionen durchzuführen; somit erzeugt jeder Teilnehmer selbstständig einen Deckungsverkehr. 4.1 Literaturübersicht Unser Schema basiert auf dem kryptografischen Grundelement, das als Gruppensignatur bezeichnet wird. Erstmals präsentiert von D. Chaum und E. van Heyst [19] ermöglicht es einem Benutzer, seine Nachricht im Namen der Gruppe zu signieren. Nach dem Signieren der Nachricht stellt der Benutzer (zu Verifizierungszwecken) nicht seine eigene Einzelöffentlichkeit zur Verfügung 1Dies ist das sogenannte „Soft Limit“ – die Referenz-Client-Einschränkung für die Erstellung neuer Blöcke. Hartes Maximum von Die mögliche Blockgröße betrug 1 MB 4 wenn nötig, verursacht das die Hauptnachteile. Leider ist es schwer vorherzusagen, wann Konstanten müssen möglicherweise geändert werden, und ihre Ersetzung kann schreckliche Folgen haben. Ein gutes Beispiel für eine hartcodierte Grenzwertänderung, die katastrophale Folgen hat, ist der Block Größenbeschränkung auf 250 KB1 festgelegt. Dieses Limit reichte aus, um etwa 10.000 Standardtransaktionen aufzunehmen. In Anfang 2013 war diese Grenze fast erreicht und man einigte sich auf eine Erhöhung Grenze. Die Änderung wurde in Wallet-Version 0.8 implementiert und endete mit einer 24-Block-Chain-Aufteilung und ein erfolgreicher Double-Spend-Angriff [9]. Der Fehler lag zwar nicht im Protokoll Bitcoin, aber Vielmehr hätte es in der Datenbank-Engine leicht durch einen einfachen Stresstest erkannt werden können, wenn dies der Fall gewesen wäre keine künstlich eingeführte Blockgrößenbeschränkung. Konstanten fungieren auch als eine Art Zentralisierungspunkt. Trotz des Peer-to-Peer-Charakters von Bitcoin, eine überwältigende Mehrheit der Knoten verwendet den offiziellen Referenzclient [10], der von entwickelt wurde eine kleine Gruppe von Menschen. Diese Gruppe trifft die Entscheidung, Änderungen am Protokoll umzusetzen und die meisten Menschen akzeptieren diese Änderungen unabhängig von ihrer „Richtigkeit“. Einige Entscheidungen verursachten hitzige Diskussionen und sogar Boykottaufrufe [11], was darauf hindeutet, dass die Community und die Entwickler können in einigen wichtigen Punkten anderer Meinung sein. Daher erscheint es logisch, ein Protokoll zu haben mit vom Benutzer konfigurierbaren und selbstanpassenden Variablen als mögliche Möglichkeit, diese Probleme zu vermeiden. 2.5 Umfangreiche Skripte Das Skriptsystem in Bitcoin ist eine umfangreiche und komplexe Funktion. Es ermöglicht einem möglicherweise, etwas zu erschaffen ausgefeilte Transaktionen [12], aber einige seiner Funktionen sind aus Sicherheitsgründen deaktiviert und einige wurden noch nie verwendet [13]. Das Skript (einschließlich der Teile des Senders und des Empfängers) für die beliebteste Transaktion in Bitcoin sieht das so aus: OP DUP OP HASH160 OP EQUALVERIFY OP CHECKSIG. Das Skript ist 164 Bytes lang, wobei sein einziger Zweck darin besteht, zu überprüfen, ob der Empfänger über das Skript verfügt geheimer Schlüssel, der zur Überprüfung seiner Signatur erforderlich ist. 3 Die CryptoNote-Technologie Nachdem wir uns nun mit den Einschränkungen der Bitcoin-Technologie befasst haben, konzentrieren wir uns darauf Vorstellung der Funktionen von CryptoNote. 4 Nicht nachvollziehbare Transaktionen In diesem Abschnitt schlagen wir ein Schema vollständig anonymer Transaktionen vor, das beide Anforderungen an die Rückverfolgbarkeit erfüllt und Unverknüpfbarkeitsbedingungen. Ein wichtiges Merkmal unserer Lösung ist ihre Autonomie: der Absender ist nicht verpflichtet, mit anderen Benutzern oder einem vertrauenswürdigen Dritten zusammenzuarbeiten, um seine Transaktionen durchzuführen; somit erzeugt jeder Teilnehmer selbstständig einen Deckungsverkehr. 4.1 Literaturübersicht Unser Schema basiert auf dem kryptografischen Grundelement, das als Gruppensignatur bezeichnet wird. Erstmals präsentiert von D. Chaum und E. van Heyst [19] ermöglicht es einem Benutzer, seine Nachricht im Namen der Gruppe zu signieren. Nach dem Signieren der Nachricht stellt der Benutzer (zu Verifizierungszwecken) nicht seine eigene Einzelöffentlichkeit zur Verfügung 1Dies ist das sogenannte „Soft Limit“ – die Referenz-Client-Einschränkung für die Erstellung neuer Blöcke. Hartes Maximum von Die mögliche Blockgröße betrug 1 MB 4 7 Rückblickend scheint es ein großer Fehler gewesen zu sein, die Blockgröße im Code als feste Grenze festzulegen. Visa und Mastercard können Tausende, wenn nicht Hunderttausende Transaktionen verarbeiten pro Sekunde. Allerdings erfolgen Transaktionen in einem stochastischen Prozess, manchmal in großen Schüben. manchmal stundenlang still sein. Denken Sie an das Volumen des Bitcoin-Umtauschs. Scheint eine großartige Idee zu sein, ein System zu entwerfen, das die Blockgröße bei Bedarf dynamisch erhöht um den erhöhten Transaktionsverkehr zu bewältigen und ihn bei Bedarf dynamisch zu verringern Erhöhen Sie die Bandbreiteneffizienz. Wenden Sie diesen Gedanken nun auf alle Systemparameter an. Und solange wir darauf achten, das zu behalten System davor, außer Kontrolle zu geraten, dieses SchiffWürde großartig funktionieren. https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki Wie bereits erwähnt, müssen für die Selbstanpassung von Variablen einige Kontrollen vorgenommen werden verhindern, dass das System völlig außer Kontrolle gerät. Wir werden darauf zurückkommen. Wenn dies ein Wikipedia-Artikel wäre, würde er mit „STUB“ gekennzeichnet sein. Obwohl wir uns sicherlich in der befinden Im Abschnitt „Probleme von Bitcoin“ würde ich hier gerne etwas näher darauf eingehen. Warum ist 164 Bytes sind für eine einfache Aufgabe „Auf geheimen Schlüssel prüfen“ inakzeptabel? Für wie wenig können sie denn bekommen eine vernünftige Skriptsprache? Allerdings bin ich kein Informatiker. http://download.springer.com/static/pdf/412/chp%253A10.1007%252F3-540-46416-6_22.pdf?auth66=140 Für Gruppensignaturen ist, wie beschrieben, ein Gruppenmanager erforderlich. Der Gruppenleiter ist kompetent die Anonymität eines Unterzeichners zu widerrufen. Daher gibt es eine eingebaute Zentralisierung in einer Gruppe Signaturschema.

Schlüssel, sondern die Schlüssel aller Benutzer seiner Gruppe. Ein Prüfer ist überzeugt, dass der wahre Unterzeichner ein ist Mitglied der Gruppe, kann den Unterzeichner jedoch nicht ausschließlich identifizieren. Das ursprüngliche Protokoll erforderte einen vertrauenswürdigen Dritten (den sogenannten Group Manager), und das war er auch der Einzige, der den Unterzeichner ausfindig machen konnte. Die nächste Version namens Ringsignatur wurde eingeführt von Rivest et al. in [34], war ein autonomes Schema ohne Gruppenmanager und Anonymität Widerruf. Später erschienen verschiedene Modifikationen dieses Schemas: verknüpfbare Ringsignatur [26, 27, 17] erlaubte nachvollziehbar festzustellen, ob zwei Unterschriften von demselben Gruppenmitglied stammten Die Ringsignatur [24, 23] schränkte die übermäßige Anonymität ein, indem sie die Möglichkeit bot, den Unterzeichner zu ermitteln zwei Nachrichten in Bezug auf dieselbe Metainformation (oder „Tag“ im Sinne von [24]). Eine ähnliche kryptografische Konstruktion wird auch als Ad-hoc-Gruppensignatur bezeichnet [16, 38]. Es betont die willkürliche Gruppenbildung, während Gruppen-/Ringsignaturschemata eher a implizieren fester Satz von Mitgliedern. Unsere Lösung basiert größtenteils auf der Arbeit „Traceable ring signatur“ von E. Fujisaki und K. Suzuki [24]. Um den ursprünglichen Algorithmus und unsere Modifikation zu unterscheiden, werden wir Folgendes tun Letzteres wird als einmalige Ringsignatur bezeichnet und betont die Fähigkeit des Benutzers, nur eine gültige Signatur zu erstellen Signatur unter seinem privaten Schlüssel. Wir haben die Rückverfolgbarkeitseigenschaft abgeschwächt und die Verknüpfbarkeit beibehalten Nur um die Einmaligkeit zu gewährleisten: Der öffentliche Schlüssel kann in vielen ausländischen Verifizierungssätzen erscheinen und die Der private Schlüssel kann zum Generieren einer eindeutigen anonymen Signatur verwendet werden. Im Falle einer doppelten Ausgabe Beim ersten Versuch werden diese beiden Signaturen miteinander verknüpft, eine Offenlegung des Unterzeichners ist jedoch nicht erforderlich für unsere Zwecke. 4.2 Definitionen 4.2.1 Parameter der elliptischen Kurve Als Basis-Signaturalgorithmus haben wir uns für das schnelle Schema EdDSA entschieden, das entwickelt und entwickelt wurde umgesetzt von D.J. Bernstein et al. [18]. Wie der ECDSA von Bitcoin basiert er auf der elliptischen Kurve Da es sich hierbei um ein diskretes Logarithmusproblem handelt, könnte unser Schema in Zukunft auch auf Bitcoin angewendet werden. Gemeinsame Parameter sind: q: eine Primzahl; q = 2255 −19; d: ein Element von Fq; d = −121665/121666; E: eine elliptische Kurvengleichung; −x2 + y2 = 1 + dx2y2; G: ein Basispunkt; G = (x, −4/5); l: eine Primzahlordnung des Basispunkts; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): eine kryptografische hash-Funktion \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): eine deterministische hash Funktion \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminologie Für eine verbesserte Privatsphäre ist eine neue Terminologie erforderlich, die nicht mit Bitcoin-Entitäten verwechselt werden sollte. Der private ec-Schlüssel ist ein standardmäßiger privater Schlüssel mit elliptischer Kurve: eine Zahl \(a \in [1, l - 1]\); Der öffentliche ec-Schlüssel ist ein standardmäßiger öffentlicher Schlüssel mit elliptischer Kurve: ein Punkt A = aG; Ein einmaliges Schlüsselpaar ist ein Paar privater und öffentlicher EC-Schlüssel. 5 Schlüssel, sondern die Schlüssel aller Benutzer seiner Gruppe. Ein Prüfer ist überzeugt, dass der wahre Unterzeichner ein ist Mitglied der Gruppe, kann den Unterzeichner jedoch nicht ausschließlich identifizieren. Das ursprüngliche Protokoll erforderte einen vertrauenswürdigen Dritten (den sogenannten Group Manager), und das war er auch der Einzige, der den Unterzeichner ausfindig machen konnte. Die nächste Version namens Ringsignatur wurde eingeführt von Rivest et al. in [34], war ein autonomes System ohne Gruppenmanager und Anonymität Widerruf. Später erschienen verschiedene Modifikationen dieses Schemas: verknüpfbare Ringsignatur [26, 27, 17] erlaubte nachvollziehbar festzustellen, ob zwei Unterschriften von demselben Gruppenmitglied stammten Die Ringsignatur [24, 23] schränkte die übermäßige Anonymität ein, indem sie die Möglichkeit bot, den Unterzeichner zu ermitteln zwei Nachrichten in Bezug auf dieselbe Metainformation (oder „Tag“ im Sinne von [24]). Eine ähnliche kryptografische Konstruktion wird auch als Ad-hoc-Gruppensignatur bezeichnet [16, 38]. Es betont die willkürliche Gruppenbildung, während Gruppen-/Ringsignaturschemata eher a implizieren fester Satz von Mitgliedern. Unsere Lösung basiert größtenteils auf der Arbeit „Traceable ring signatur“ von E. Fujisaki und K. Suzuki [24]. Um den ursprünglichen Algorithmus und unsere Modifikation zu unterscheiden, werden wir Folgendes tun Letzteres wird als einmalige Ringsignatur bezeichnet und betont die Fähigkeit des Benutzers, nur eine gültige Signatur zu erstellen Signatur unter seinem privaten Schlüssel. Wir haben die Rückverfolgbarkeitseigenschaft abgeschwächt und die Verknüpfbarkeit beibehalten Nur um die Einmaligkeit zu gewährleisten: Der öffentliche Schlüssel kann in vielen ausländischen Verifizierungssätzen erscheinen und die Der private Schlüssel kann zum Generieren einer eindeutigen anonymen Signatur verwendet werden. Im Falle einer doppelten Ausgabe Beim ersten Versuch werden diese beiden Signaturen miteinander verknüpft, eine Offenlegung des Unterzeichners ist jedoch nicht erforderlich für unsere Zwecke. 4.2 Definitionen 4.2.1 Parameter der elliptischen Kurve Als unseren Basissignaturalgorithmus wählen wire, um das schnelle Schema EdDSA zu verwenden, das entwickelt wurde und umgesetzt von D.J. Bernstein et al. [18]. Wie der ECDSA von Bitcoin basiert er auf der elliptischen Kurve Problem des diskreten Logarithmus, daher könnte unser Schema in Zukunft auch auf Bitcoin angewendet werden. Gemeinsame Parameter sind: q: eine Primzahl; q = 2255 −19; d: ein Element von Fq; d = −121665/121666; E: eine elliptische Kurvengleichung; −x2 + y2 = 1 + dx2y2; G: ein Basispunkt; G = (x, −4/5); l: eine Primzahlordnung des Basispunkts; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): eine kryptografische hash-Funktion \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): eine deterministische hash Funktion \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminologie Für eine verbesserte Privatsphäre ist eine neue Terminologie erforderlich, die nicht mit Bitcoin-Entitäten verwechselt werden sollte. Der private ec-Schlüssel ist ein standardmäßiger privater Schlüssel mit elliptischer Kurve: eine Zahl \(a \in [1, l - 1]\); Der öffentliche ec-Schlüssel ist ein standardmäßiger öffentlicher Schlüssel mit elliptischer Kurve: ein Punkt A = aG; Ein einmaliges Schlüsselpaar ist ein Paar privater und öffentlicher EC-Schlüssel. 5 8 Eine Ringsignatur funktioniert so: Alex möchte eine Nachricht über ihren Arbeitgeber an WikiLeaks weitergeben. Jeder Mitarbeiter in seinem Unternehmen verfügt über ein privates/öffentliches Schlüsselpaar (Ri, Ui). Sie komponiert ihre Signatur mit Eingaben wie ihre Nachricht, m, ihr privater Schlüssel, Ri und EVERYBODY’s öffentliche Schlüssel, (Ui;i=1...n). Jeder (ohne private Schlüssel zu kennen) kann dies leicht überprüfen irgendein Paar (Rj, Uj) muss zum Erstellen der Signatur verwendet worden sein ... jemand, der funktioniert für Alex‘ Arbeitgeber ... aber es ist im Wesentlichen eine zufällige Vermutung, um herauszufinden, welcher es sein könnte. http://en.wikipedia.org/wiki/Ring_signature#Crypto-currencies http://link.springer.com/chapter/10.1007/3-540-45682-1_32#page-1 http://link.springer.com/chapter/10.1007/11424826_65 http://link.springer.com/chapter/10.1007/978-3-540-27800-9_28 http://link.springer.com/chapter/10.1007%2F11774716_9 Beachten Sie, dass eine hier beschriebene verknüpfbare Ringsignatur sozusagen das Gegenteil von „nicht verknüpfbar“ ist. oben beschrieben. Hier fangen wir zwei Nachrichten ab und können feststellen, ob sie identisch sind Die Partei hat sie geschickt, obwohl wir immer noch nicht in der Lage sein sollten, festzustellen, wer diese Partei ist. Die Die zur Erstellung von Cryptonote verwendete Definition von „nicht verknüpfbar“ bedeutet, dass wir nicht feststellen können, ob dieselbe Partei empfängt sie. Was wir hier also wirklich haben, sind VIER Dinge, die vor sich gehen. Ein System kann verknüpfbar sein oder nicht verlinkbar, je nachdem, ob festgestellt werden kann, ob der Absender von zwei Nachrichten sind gleich (unabhängig davon, ob dies einen Widerruf der Anonymität erfordert). Und Ein System kann nicht verknüpfbar oder nicht verknüpfbar sein, je nachdem, ob dies möglich ist oder nicht Bestimmen Sie, ob die Empfänger zweier Nachrichten identisch sind (unabhängig davon, ob oder nicht). dies erfordert den Widerruf der Anonymität). Bitte machen Sie mir nicht die Schuld für diese schreckliche Terminologie. Graphentheoretiker sollten es wahrscheinlich sein erfreut. Einige von Ihnen sind möglicherweise mit „Empfänger verknüpfbar“ im Vergleich zu „Sender verknüpfbar“ zufriedener. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Als ich das las, kam mir das wie eine alberne Funktion vor. Dann habe ich gelesen, dass es eine Funktion für sein könnte elektronische Abstimmung, und das schien Sinn zu machen. Irgendwie cool, aus dieser Perspektive. Aber ich bin Ich bin mir nicht ganz sicher, ob ich absichtlich nachverfolgbare Ringsignaturen implementieren soll. http://search.ieice.org/bin/summary.php?id=e95-a_1_151

Schlüssel, sondern die Schlüssel aller Benutzer seiner Gruppe. Ein Prüfer ist überzeugt, dass der wahre Unterzeichner ein ist Mitglied der Gruppe, kann den Unterzeichner jedoch nicht ausschließlich identifizieren. Das ursprüngliche Protokoll erforderte einen vertrauenswürdigen Dritten (den sogenannten Group Manager), und das war er auch der Einzige, der den Unterzeichner ausfindig machen konnte. Die nächste Version namens Ringsignatur wurde eingeführt von Rivest et al. in [34], war ein autonomes System ohne Gruppenmanager und Anonymität Widerruf. Später erschienen verschiedene Modifikationen dieses Schemas: verknüpfbare Ringsignatur [26, 27, 17] erlaubte nachvollziehbar festzustellen, ob zwei Unterschriften von demselben Gruppenmitglied stammten Die Ringsignatur [24, 23] schränkte die übermäßige Anonymität ein, indem sie die Möglichkeit bot, den Unterzeichner zu ermitteln zwei Nachrichten in Bezug auf dieselbe Metainformation (oder „Tag“ im Sinne von [24]). Eine ähnliche kryptografische Konstruktion wird auch als Ad-hoc-Gruppensignatur bezeichnet [16, 38]. Es betont die willkürliche Gruppenbildung, während Gruppen-/Ringsignaturschemata eher a implizieren fester Satz von Mitgliedern. Unsere Lösung basiert größtenteils auf der Arbeit „Traceable ring signatur“ von E. Fujisaki und K. Suzuki [24]. Um den ursprünglichen Algorithmus und unsere Modifikation zu unterscheiden, werden wir Folgendes tun Letzteres wird als einmalige Ringsignatur bezeichnet und betont die Fähigkeit des Benutzers, nur eine gültige Signatur zu erstellen Signatur unter seinem privaten Schlüssel. Wir haben die Rückverfolgbarkeitseigenschaft abgeschwächt und die Verknüpfbarkeit beibehalten Nur um die Einmaligkeit zu gewährleisten: Der öffentliche Schlüssel kann in vielen ausländischen Verifizierungssätzen erscheinen und die Der private Schlüssel kann zum Generieren einer eindeutigen anonymen Signatur verwendet werden. Im Falle einer doppelten Ausgabe Beim ersten Versuch werden diese beiden Signaturen miteinander verknüpft, eine Offenlegung des Unterzeichners ist jedoch nicht erforderlich für unsere Zwecke. 4.2 Definitionen 4.2.1 Parameter der elliptischen Kurve Als Basis-Signaturalgorithmus haben wir uns für das schnelle Schema EdDSA entschieden, das entwickelt und entwickelt wurde umgesetzt von D.J. Bernstein et al. [18]. Wie der ECDSA von Bitcoin basiert er auf der elliptischen Kurve Problem des diskreten Logarithmus, daher könnte unser Schema in Zukunft auch auf Bitcoin angewendet werden. Gemeinsame Parameter sind: q: eine Primzahl; q = 2255 −19; d: ein Element von Fq; d = −121665/121666; E: eine elliptische Kurvengleichung; −x2 + y2 = 1 + dx2y2; G: ein Basispunkt; G = (x, −4/5); l: eine Primzahlordnung des Basispunkts; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): eine kryptografische hash-Funktion \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): eine deterministische hash Funktion \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminologie Für eine verbesserte Privatsphäre ist eine neue Terminologie erforderlich, die nicht mit Bitcoin-Entitäten verwechselt werden sollte. Der private ec-Schlüssel ist ein standardmäßiger privater Schlüssel mit elliptischer Kurve: eine Zahl \(a \in [1, l - 1]\); Der öffentliche ec-Schlüssel ist ein standardmäßiger öffentlicher Schlüssel mit elliptischer Kurve: ein Punkt A = aG; Ein einmaliges Schlüsselpaar ist ein Paar privater und öffentlicher EC-Schlüssel. 5 Schlüssel, sondern die Schlüssel aller Benutzer seiner Gruppe. Ein Prüfer ist überzeugt, dass der wahre Unterzeichner ein ist Mitglied der Gruppe, kann den Unterzeichner jedoch nicht ausschließlich identifizieren. Das ursprüngliche Protokoll erforderte einen vertrauenswürdigen Dritten (den sogenannten Group Manager), und das war er auch der Einzige, der den Unterzeichner ausfindig machen konnte. Die nächste Version namens Ringsignatur wurde eingeführt von Rivest et al. in [34], war ein autonomes System ohne Gruppenmanager und Anonymität Widerruf. Später erschienen verschiedene Modifikationen dieses Schemas: verknüpfbare Ringsignatur [26, 27, 17] erlaubte nachvollziehbar festzustellen, ob zwei Unterschriften von demselben Gruppenmitglied stammten Die Ringsignatur [24, 23] schränkte die übermäßige Anonymität ein, indem sie die Möglichkeit bot, den Unterzeichner zu ermitteln zwei Nachrichten in Bezug auf dieselbe Metainformation (oder „Tag“ im Sinne von [24]). Eine ähnliche kryptografische Konstruktion wird auch als Ad-hoc-Gruppensignatur bezeichnet [16, 38]. Es betont die willkürliche Gruppenbildung, während Gruppen-/Ringsignaturschemata eher a implizieren fester Satz von Mitgliedern. Unsere Lösung basiert größtenteils auf der Arbeit „Traceable ring signatur“ von E. Fujisaki und K. Suzuki [24]. Um den ursprünglichen Algorithmus und unsere Modifikation zu unterscheiden, werden wir Folgendes tun Letzteres wird als einmalige Ringsignatur bezeichnet und betont die Fähigkeit des Benutzers, nur eine gültige Signatur zu erstellen Signatur unter seinem privaten Schlüssel. Wir haben die Rückverfolgbarkeitseigenschaft abgeschwächt und die Verknüpfbarkeit beibehalten Nur um die Einmaligkeit zu gewährleisten: Der öffentliche Schlüssel kann in vielen ausländischen Verifizierungssätzen erscheinen und die Der private Schlüssel kann zum Generieren einer eindeutigen anonymen Signatur verwendet werden. Im Falle einer doppelten Ausgabe Beim ersten Versuch werden diese beiden Signaturen miteinander verknüpft, eine Offenlegung des Unterzeichners ist jedoch nicht erforderlich für unsere Zwecke. 4.2 Definitionen 4.2.1 Parameter der elliptischen Kurve Als unseren Basissignaturalgorithmus wählen wire, um das schnelle Schema EdDSA zu verwenden, das entwickelt wurde und umgesetzt von D.J. Bernstein et al. [18]. Wie ECDSA von Bitcoin basiert es auf der elliptischen Kurve Da es sich hierbei um ein diskretes Logarithmusproblem handelt, könnte unser Schema in Zukunft auch auf Bitcoin angewendet werden. Gemeinsame Parameter sind: q: eine Primzahl; q = 2255 −19; d: ein Element von Fq; d = −121665/121666; E: eine elliptische Kurvengleichung; −x2 + y2 = 1 + dx2y2; G: ein Basispunkt; G = (x, −4/5); l: eine Primzahlordnung des Basispunkts; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): eine kryptografische hash-Funktion \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): eine deterministische hash Funktion \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminologie Für eine verbesserte Privatsphäre ist eine neue Terminologie erforderlich, die nicht mit Bitcoin-Entitäten verwechselt werden sollte. Der private ec-Schlüssel ist ein standardmäßiger privater Schlüssel mit elliptischer Kurve: eine Zahl \(a \in [1, l - 1]\); Der öffentliche ec-Schlüssel ist ein standardmäßiger öffentlicher Schlüssel mit elliptischer Kurve: ein Punkt A = aG; Ein einmaliges Schlüsselpaar ist ein Paar privater und öffentlicher EC-Schlüssel. 5 9 Meine Güte, der Autor dieses Whitepapers hätte das sicher besser formulieren können! Nehmen wir an, dass ein Das von Mitarbeitern geführte Unternehmen möchte darüber abstimmen, ob bestimmte neue Unternehmen erworben werden sollen oder nicht Vermögenswerte, und Alex und Brenda sind beide Angestellte. Das Unternehmen stellt jedem Mitarbeiter a Nachricht wie „Ich stimme für Vorschlag A mit Ja!“ welches die Metainformation „issue“ hat [PROP A] und bittet sie, es mit einer nachvollziehbaren Ringsignatur zu unterzeichnen, wenn sie den Vorschlag unterstützen. Mithilfe einer herkömmlichen Ringsignatur kann ein unehrlicher Mitarbeiter die Nachricht mehrmals unterschreiben. vermutlich mit verschiedenen nonces, um so oft abzustimmen, wie sie möchten. Auf der anderen Seite Andererseits wird Alex in einem nachverfolgbaren Ringsignaturschema abstimmen und ihren privaten Schlüssel haben zu dem Thema verwendet wurde [PROP A]. Wenn Alex versucht, eine Nachricht wie „Ich, Brenda, stimme zu Vorschlag A!" Um Brenda zu „verleumden“ und doppelt abzustimmen, wird diese neue Nachricht auch das Problem haben [Stütze A]. Da Alex‘ privater Schlüssel das [PROP A]-Problem bereits gelöst hat, ist Alex‘ Identität nicht mehr bekannt wird sofort als Betrug entlarvt. Was, ehrlich gesagt, ziemlich cool ist! Die Kryptographie erzwang die Wahlgleichheit. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Dieses Papier ist interessant und erstellt im Wesentlichen eine Ad-hoc-Ringsignatur, jedoch ohne jegliches Zustimmung des anderen Teilnehmers. Der Aufbau der Signatur kann unterschiedlich sein; Ich habe nicht gegraben tief, und ich habe nicht gesehen, ob es sicher ist. https://people.csail.mit.edu/rivest/AdidaHohenbergerRivest-AdHocGroupSignaturesFromHijackedKeypai Ad-hoc-Gruppensignaturen sind: Ringsignaturen, bei denen es sich um Gruppensignaturen ohne Gruppe handelt Manager, keine Zentralisierung, aber ein Mitglied einer Ad-hoc-Gruppe kann dies nachweislich behaupten es hat die anonyme Unterschrift (nicht) im Namen der Gruppe ausgestellt. http://link.springer.com/chapter/10.1007/11908739_9 Das ist nach meinem Verständnis nicht ganz richtig. Und mein Verständnis wird sich wahrscheinlich ändern Ich vertiefe mich in dieses Projekt. Aber nach meinem Verständnis sieht die Hierarchie so aus. Gruppensignaturen: Gruppenmanager kontrollieren die Rückverfolgbarkeit und die Möglichkeit, Mitglieder hinzuzufügen oder zu entfernen davon, Unterzeichner zu sein. Ringzeichen: Willkürliche Gruppenbildung ohne Gruppenleiter. Kein Widerruf der Anonymität. Es gibt keine Möglichkeit, sich von einer bestimmten Signatur zu distanzieren. Mit rückverfolgbarem und verbindbarem Ring Signaturen ist die Anonymität einigermaßen skalierbar. Ad-hoc-Gruppensignaturen: wie Ringsignaturen, aber Mitglieder können nachweisen, dass sie sie nicht erstellt haben eine bestimmte Signatur. Dies ist wichtig, wenn jeder in einer Gruppe eine Unterschrift leisten kann. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Der Algorithmus von Fujisaki und Suzuki wird später vom Autor optimiert, um Einmaligkeit zu gewährleisten. Also Wir werden vielmehr den Algorithmus von Fujisaki und Suzuki gleichzeitig mit dem neuen Algorithmus analysieren als es hier durchzugehen.

Schlüssel, sondern die Schlüssel aller Benutzer seiner Gruppe. Ein Prüfer ist überzeugt, dass der wahre Unterzeichner ein ist Mitglied der Gruppe, kann den Unterzeichner jedoch nicht ausschließlich identifizieren. Das ursprüngliche Protokoll erforderte einen vertrauenswürdigen Dritten (den sogenannten Group Manager), und das war er auch der Einzige, der den Unterzeichner ausfindig machen konnte. Die nächste Version namens Ringsignatur wurde eingeführt von Rivest et al. in [34], war ein autonomes Schema ohne Gruppenmanager und Anonymität Widerruf. Später erschienen verschiedene Modifikationen dieses Schemas: verknüpfbare Ringsignatur [26, 27, 17] erlaubte nachvollziehbar festzustellen, ob zwei Unterschriften von demselben Gruppenmitglied stammten Die Ringsignatur [24, 23] schränkte die übermäßige Anonymität ein, indem sie die Möglichkeit bot, den Unterzeichner zu ermitteln zwei Nachrichten in Bezug auf dieselbe Metainformation (oder „Tag“ im Sinne von [24]). Eine ähnliche kryptografische Konstruktion wird auch als Ad-hoc-Gruppensignatur bezeichnet [16, 38]. Es betont die willkürliche Gruppenbildung, während Gruppen-/Ringsignaturschemata eher a implizieren fester Satz von Mitgliedern. Unsere Lösung basiert größtenteils auf der Arbeit „Traceable ring signatur“ von E. Fujisaki und K. Suzuki [24]. Um den ursprünglichen Algorithmus und unsere Modifikation zu unterscheiden, werden wir Folgendes tun Letzteres wird als einmalige Ringsignatur bezeichnet und betont die Fähigkeit des Benutzers, nur eine gültige Signatur zu erstellen Signatur unter seinem privaten Schlüssel. Wir haben die Rückverfolgbarkeitseigenschaft abgeschwächt und die Verknüpfbarkeit beibehalten Nur um die Einmaligkeit zu gewährleisten: Der öffentliche Schlüssel kann in vielen ausländischen Verifizierungssätzen erscheinen und die Der private Schlüssel kann zum Generieren einer eindeutigen anonymen Signatur verwendet werden. Im Falle einer doppelten Ausgabe Beim ersten Versuch werden diese beiden Signaturen miteinander verknüpft, eine Offenlegung des Unterzeichners ist jedoch nicht erforderlich für unsere Zwecke. 4.2 Definitionen 4.2.1 Parameter der elliptischen Kurve Als Basis-Signaturalgorithmus haben wir uns für das schnelle Schema EdDSA entschieden, das entwickelt und entwickelt wurde umgesetzt von D.J. Bernstein et al. [18]. Wie ECDSA von Bitcoin basiert es auf der elliptischen Kurve Da es sich hierbei um ein diskretes Logarithmusproblem handelt, könnte unser Schema in Zukunft auch auf Bitcoin angewendet werden. Gemeinsame Parameter sind: q: eine Primzahl; q = 2255 −19; d: ein Element von Fq; d = −121665/121666; E: eine elliptische Kurvengleichung; −x2 + y2 = 1 + dx2y2; G: ein Basispunkt; G = (x, −4/5); l: eine Primzahlordnung des Basispunkts; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): eine kryptografische hash-Funktion \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): eine deterministische hash Funktion \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminologie Für eine verbesserte Privatsphäre ist eine neue Terminologie erforderlich, die nicht mit Bitcoin-Entitäten verwechselt werden sollte. Der private ec-Schlüssel ist ein standardmäßiger privater Schlüssel mit elliptischer Kurve: eine Zahl \(a \in [1, l - 1]\); Der öffentliche ec-Schlüssel ist ein standardmäßiger öffentlicher Schlüssel mit elliptischer Kurve: ein Punkt A = aG; Ein einmaliges Schlüsselpaar ist ein Paar privater und öffentlicher EC-Schlüssel. 5 Schlüssel, sondern die Schlüssel aller Benutzer seiner Gruppe. Ein Prüfer ist überzeugt, dass der wahre Unterzeichner ein ist Mitglied der Gruppe, kann den Unterzeichner jedoch nicht ausschließlich identifizieren. Das ursprüngliche Protokoll erforderte einen vertrauenswürdigen Dritten (den sogenannten Group Manager), und das war er auch der Einzige, der den Unterzeichner ausfindig machen konnte. Die nächste Version namens Ringsignatur wurde eingeführt von Rivest et al. in [34], war ein autonomes Schema ohne Gruppenmanager und Anonymität Widerruf. Später erschienen verschiedene Modifikationen dieses Schemas: verknüpfbare Ringsignatur [26, 27, 17] erlaubte nachvollziehbar festzustellen, ob zwei Unterschriften von demselben Gruppenmitglied stammten Die Ringsignatur [24, 23] schränkte die übermäßige Anonymität ein, indem sie die Möglichkeit bot, den Unterzeichner zu ermitteln zwei Nachrichten in Bezug auf dieselbe Metainformation (oder „Tag“ im Sinne von [24]). Eine ähnliche kryptografische Konstruktion wird auch als Ad-hoc-Gruppensignatur bezeichnet [16, 38]. Es betont die willkürliche Gruppenbildung, während Gruppen-/Ringsignaturschemata eher a implizieren fester Satz von Mitgliedern. Unsere Lösung basiert größtenteils auf der Arbeit „Traceable ring signatur“ von E. Fujisaki und K. Suzuki [24]. Um den ursprünglichen Algorithmus und unsere Modifikation zu unterscheiden, werden wir Folgendes tun Letzteres wird als einmalige Ringsignatur bezeichnet und betont die Fähigkeit des Benutzers, nur eine gültige Signatur zu erstellen Signatur unter seinem privaten Schlüssel. Wir haben die Rückverfolgbarkeitseigenschaft abgeschwächt und die Verknüpfbarkeit beibehalten Nur um die Einmaligkeit zu gewährleisten: Der öffentliche Schlüssel kann in vielen ausländischen Verifizierungssätzen erscheinen und die Der private Schlüssel kann zum Generieren einer eindeutigen anonymen Signatur verwendet werden. Im Falle einer doppelten Ausgabe Beim ersten Versuch werden diese beiden Signaturen miteinander verknüpft, eine Offenlegung des Unterzeichners ist jedoch nicht erforderlich für unsere Zwecke. 4.2 Definitionen 4.2.1 Parameter der elliptischen Kurve Als unseren Basissignaturalgorithmus wählen wire, um das schnelle Schema EdDSA zu verwenden, das entwickelt wurde und umgesetzt von D.J. Bernstein et al. [18]. Wie ECDSA von Bitcoin basiert es auf der elliptischen Kurve Da es sich hierbei um ein diskretes Logarithmusproblem handelt, könnte unser Schema in Zukunft auch auf Bitcoin angewendet werden. Gemeinsame Parameter sind: q: eine Primzahl; q = 2255 −19; d: ein Element von Fq; d = −121665/121666; E: eine elliptische Kurvengleichung; −x2 + y2 = 1 + dx2y2; G: ein Basispunkt; G = (x, −4/5); l: eine Primzahlordnung des Basispunkts; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): eine kryptografische hash-Funktion \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): eine deterministische hash Funktion \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminologie Für eine verbesserte Privatsphäre ist eine neue Terminologie erforderlich, die nicht mit Bitcoin-Entitäten verwechselt werden sollte. Der private ec-Schlüssel ist ein standardmäßiger privater Schlüssel mit elliptischer Kurve: eine Zahl \(a \in [1, l - 1]\); Der öffentliche ec-Schlüssel ist ein standardmäßiger öffentlicher Schlüssel mit elliptischer Kurve: ein Punkt A = aG; Ein einmaliges Schlüsselpaar ist ein Paar privater und öffentlicher EC-Schlüssel. 5 10 Verknüpfbarkeit im Sinne von „verknüpfbaren Ringsignaturen“ bedeutet, dass wir erkennen können, ob zwei ausgehende Transaktionen von derselben Quelle stammen, ohne preiszugeben, wer die Quelle ist. Die Autoren wurden geschwächt Verknüpfbarkeit, um (a) die Privatsphäre zu wahren, aber dennoch (b) jede Transaktion mithilfe eines privaten Schlüssels zu erkennen ein zweites Mal als ungültig erklärt. Okay, das ist also eine Frage der Reihenfolge der Ereignisse. Betrachten Sie das folgende Szenario. Mein Bergbau Wenn der Computer über den aktuellen blockchain verfügt, verfügt er über einen eigenen Transaktionsblock, den er aufruft legitim, es wird an diesem Block in einem proof-of-work-Puzzle gearbeitet, und es wird eine haben Liste der ausstehenden Transaktionen, die dem nächsten Block hinzugefügt werden sollen. Es werden auch keine neuen verschickt Transaktionen in diesen Pool ausstehender Transaktionen. Wenn ich den nächsten Block nicht löse, aber Wenn jemand anderes dies tut, erhalte ich eine aktualisierte Kopie von blockchain. Der Block, an dem ich gearbeitet habe und Meine Liste der ausstehenden Transaktionen enthält möglicherweise einige Transaktionen, die jetzt integriert sind in den blockchain. Lösen Sie meinen ausstehenden Block auf, kombinieren Sie ihn mit meiner Liste ausstehender Transaktionen und rufen Sie ihn auf mein Pool an ausstehenden Transaktionen. Entfernen Sie alle, die sich jetzt offiziell im blockchain befinden. Was soll ich nun tun? Sollte ich zunächst alle Doppelausgaben entfernen? Auf der anderen Seite Andererseits sollte ich die Liste durchsuchen und sicherstellen, dass jeder private Schlüssel noch nicht vorhanden ist verwendet wurde, und wenn es bereits in meiner Liste verwendet wurde, dann habe ich das erste Exemplar zuerst erhalten, und daher jede weitere Kopie ist unzulässig. Deshalb lösche ich einfach alle Instanzen nach der ersten des gleichen privaten Schlüssels. Algebraische Geometrie war noch nie meine Stärke. http://en.wikipedia.org/wiki/EdDSA So eine Geschwindigkeit, wirklich wow. DAS ist algebraische Geometrie für den Sieg. Nicht, dass ich etwas wüsste darüber. Ob problematisch oder nicht, diskrete Protokolle werden sehr schnell. Und Quantencomputer fressen sie zum Frühstück. http://link.springer.com/article/10.1007/s13389-012-0027-1 Dies wird zu einer wirklich wichtigen Zahl, aber es gibt keine Erklärung oder Quelle dafür, wie es dazu kommt wurde gewählt. Es wäre in Ordnung, einfach eine einzelne bekannte große Primzahl zu wählen, aber wenn es solche gibt, dann ist das kein Problem Fakten über diese große Primzahl, die unsere Wahl beeinflussen könnten. Verschiedene Varianten von Kryptonote könnte verschiedene Werte von wählen Nun ja, aber in diesem Artikel wird nicht darüber diskutiert, wie das funktioniert Die Auswahl wirkt sich auf unsere Auswahl anderer globaler Parameter aus, die auf Seite 5 aufgeführt sind. Dieses Dokument benötigt einen Abschnitt zur Auswahl von Parameterwerten.

Der private Benutzerschlüssel ist ein Paar (a, b) aus zwei verschiedenen privaten EC-Schlüsseln. Der Tracking-Schlüssel ist ein Paar (a, B) aus privatem und öffentlichem EC-Schlüssel (wobei B = bG und a ̸= b); Der öffentliche Benutzerschlüssel ist ein Paar (A, B) aus zwei öffentlichen EC-Schlüsseln, die von (a, b) abgeleitet sind. Die Standardadresse ist eine Darstellung eines öffentlichen Benutzerschlüssels, der in einer benutzerfreundlichen Zeichenfolge angegeben wird mit Fehlerkorrektur; Die verkürzte Adresse ist eine Darstellung der zweiten Hälfte (Punkt B) eines angegebenen öffentlichen Benutzerschlüssels in eine benutzerfreundliche Zeichenfolge mit Fehlerkorrektur umgewandelt. Die Transaktionsstruktur ähnelt der Struktur in Bitcoin: Jeder Benutzer kann wählen mehrere unabhängige Zahlungseingänge (Transaktionsausgänge), signieren Sie diese mit den entsprechenden private Schlüssel und senden sie an verschiedene Ziele. Im Gegensatz zum Modell von Bitcoin, bei dem ein Benutzer über einen eindeutigen privaten und öffentlichen Schlüssel verfügt Bei dem vorgeschlagenen Modell generiert ein Absender einen einmaligen öffentlichen Schlüssel basierend auf der Adresse des Empfängers und einige zufällige Daten. In diesem Sinne wird eine eingehende Transaktion für denselben Empfänger an a gesendet Einmaliger öffentlicher Schlüssel (nicht direkt an eine eindeutige Adresse) und nur der Empfänger kann ihn wiederherstellen entsprechenden privaten Teil, um sein Geld einzulösen (unter Verwendung seines einzigartigen privaten Schlüssels). Der Empfänger kann Verwenden Sie eine Ringsignatur, um die Gelder auszugeben, wobei sein Eigentum und seine tatsächlichen Ausgaben anonym bleiben. Die Einzelheiten des Protokolls werden in den nächsten Unterabschnitten erläutert. 4.3 Nicht verknüpfbare Zahlungen Klassische Bitcoin-Adressen werden nach der Veröffentlichung zu einer eindeutigen Kennung für eingehende E-Mails Zahlungen, deren Verknüpfung und Verknüpfung mit den Pseudonymen des Empfängers. Wenn jemand möchte Wenn er eine „ungebundene“ Transaktion erhält, sollte er dem Absender seine Adresse über einen privaten Kanal mitteilen. Wenn er verschiedene Transaktionen erhalten möchte, bei denen nicht nachgewiesen werden kann, dass sie demselben Eigentümer gehören Er sollte alle verschiedenen Adressen generieren und sie niemals unter seinem eigenen Pseudonym veröffentlichen. Öffentlich Privat Alice Carol Bobs Adresse 1 Bobs Adresse 2 Bobs Schlüssel 1 Bobs Schlüssel 2 Bob Abb. 2. Traditionelles Bitcoin-Schlüssel-/Transaktionsmodell. Wir schlagen eine Lösung vor, die es einem Benutzer ermöglicht, eine einzelne Adresse zu veröffentlichen und bedingungslos zu empfangen nicht verknüpfbare Zahlungen. Das Ziel jeder CryptoNote-Ausgabe ist (standardmäßig) ein öffentlicher Schlüssel. abgeleitet aus Empfängeradresse und Zufallsdaten des Absenders. Der Hauptvorteil gegenüber Bitcoin ist, dass jeder Zielschlüssel standardmäßig eindeutig ist (es sei denn, der Absender verwendet für jeden die gleichen Daten). seiner Transaktionen an denselben Empfänger). Daher gibt es kein Problem wie die „Wiederverwendung von Adressen“. Design und kein Beobachter kann feststellen, ob Transaktionen an eine bestimmte Adresse oder einen bestimmten Link gesendet wurden zwei Adressen zusammen. 6 Der private Benutzerschlüssel ist ein Paar (a, b) aus zwei verschiedenen privaten EC-Schlüsseln. Der Tracking-Schlüssel ist ein Paar (a, B) aus privatem und öffentlichem EC-Schlüssel (wobei B = bG und a ̸= b); Der öffentliche Benutzerschlüssel ist ein Paar (A, B) aus zwei öffentlichen EC-Schlüsseln, die von (a, b) abgeleitet sind. Die Standardadresse ist eine Darstellung eines öffentlichen Benutzerschlüssels, der in einer benutzerfreundlichen Zeichenfolge angegeben wird mit Fehlerkorrektur; Die verkürzte Adresse ist eine Darstellung der zweiten Hälfte (Punkt B) eines angegebenen öffentlichen Benutzerschlüssels in eine benutzerfreundliche Zeichenfolge mit Fehlerkorrektur umgewandelt. Die Transaktionsstruktur ähnelt der Struktur in Bitcoin: Jeder Benutzer kann wählen mehrere unabhängige Zahlungseingänge (Transaktionsausgänge), signieren Sie diese mit den entsprechenden private Schlüssel und senden sie an verschiedene Ziele. Im Gegensatz zum Modell von Bitcoin, bei dem ein Benutzer über einen eindeutigen privaten und öffentlichen Schlüssel verfügt Bei dem vorgeschlagenen Modell generiert ein Absender einen einmaligen öffentlichen Schlüssel basierend auf der Adresse des Empfängers und einige zufällige Daten. In diesem Sinne wird eine eingehende Transaktion für denselben Empfänger an a gesendet Einmaliger öffentlicher Schlüssel (nicht direkt an eine eindeutige Adresse) und nur der Empfänger kann ihn wiederherstellen entsprechenden privaten Teil, um sein Geld einzulösen (unter Verwendung seines einzigartigen privaten Schlüssels). Der Empfänger kann Verwenden Sie eine Ringsignatur, um die Gelder auszugeben, wobei sein Eigentum und seine tatsächlichen Ausgaben anonym bleiben. Die Einzelheiten des Protokolls werden in den nächsten Unterabschnitten erläutert. 4.3 Nicht verknüpfbare Zahlungen Klassische Bitcoin-Adressen werden nach der Veröffentlichung zu einer eindeutigen Kennung für eingehende E-Mails Zahlungen, deren Verknüpfung und Verknüpfung mit den Pseudonymen des Empfängers. Wenn jemand möchte Wenn er eine „ungebundene“ Transaktion erhält, sollte er dem Absender seine Adresse über einen privaten Kanal mitteilen. Wenn er verschiedene Transaktionen erhalten möchte, bei denen nicht nachgewiesen werden kann, dass sie demselben Eigentümer gehören Er sollte alle verschiedenen Adressen generieren und sie niemals unter seinem eigenen Pseudonym veröffentlichen. Öffentlich Privat Alice Carol Bobs Adresse 1 Bobs Adresse 2 Bobs Schlüssel 1 Bobs Schlüssel 2 Bob Abb. 2. Traditionelle Bitcoin-Schlüssel/Transaktionen-Model. Wir schlagen eine Lösung vor, die es einem Benutzer ermöglicht, eine einzelne Adresse zu veröffentlichen und bedingungslos zu empfangen nicht verknüpfbare Zahlungen. Das Ziel jeder CryptoNote-Ausgabe ist (standardmäßig) ein öffentlicher Schlüssel. abgeleitet aus Empfängeradresse und Zufallsdaten des Absenders. Der Hauptvorteil gegenüber Bitcoin ist, dass jeder Zielschlüssel standardmäßig eindeutig ist (es sei denn, der Absender verwendet für jeden die gleichen Daten). seiner Transaktionen an denselben Empfänger). Daher gibt es kein Problem wie die „Wiederverwendung von Adressen“. Design und kein Beobachter kann feststellen, ob Transaktionen an eine bestimmte Adresse oder einen bestimmten Link gesendet wurden zwei Adressen zusammen. 6 11 Das ist also wie Bitcoin, aber mit unbegrenzten, anonymen Postfächern, die nur vom Empfänger eingelöst werden können Generieren eines privaten Schlüssels, der so anonym ist wie eine Ringsignatur. Bitcoin funktioniert auf diese Weise. Wenn Alex 0,112 Bitcoin in ihrer Brieftasche hat, die sie gerade von Frank erhalten hat, hat sie wirklich eine unterschriebene Karte Nachricht „Ich, [FRANK], sende 0,112 Bitcoin an [alex] + H0 + N0“, wobei 1) Frank das unterschrieben hat Nachricht mit seinem privaten Schlüssel [FRANK], 2) Frank hat die Nachricht mit Alex‘ öffentlichem Schlüssel signiert Schlüssel, [Alex], 3) Frank hat eine Form der Geschichte des Bitcoin, H0, eingefügt und 4) Frank enthält ein zufälliges Datenbit namens nonce, N0. Wenn Alex dann 0,011 Bitcoin an Charlene senden möchte, nimmt sie Franks Nachricht entgegen und sie wird das auf H1 setzen und zwei Nachrichten signieren: eine für ihre Transaktion und eine für die Änderung. H1= „Ich, [FRANK], sende 0,112 Bitcoin an [alex] + H0 + N“ „Ich, [ALEX], sende 0,011 Bitcoin an [charlene] + H1 + N1“ „Ich, [ALEX], sende 0,101 Bitcoin als Änderung an [alex] + H1 + N2.“ wo Alex beide Nachrichten mit ihrem privaten Schlüssel [ALEX] signiert, die erste Nachricht mit dem von Charlene öffentlicher Schlüssel [charlene], die zweite Nachricht mit Alex‘ öffentlichem Schlüssel [alex] und einschließlich der Historien und einige zufällig generierte nonces N1 und N2 entsprechend. Cryptonote funktioniert so: Wenn Alex 0,112 Cryptonote in ihrer Brieftasche hat, die sie gerade von Frank erhalten hat, hat sie wirklich eine unterschriebene Münze Nachricht „Ich, [jemand in einer Ad-hoc-Gruppe], sende 0,112 Cryptonote an [eine einmalige Adresse] + H0 + N0.“ Alex entdeckte, dass es sich dabei um ihr Geld handelte, indem sie ihren privaten Schlüssel [ALEX] überprüfte [eine einmalige Adresse] für jede vorbeigehende Nachricht, und wenn sie diese ausgeben möchte, tut sie dies in auf folgende Weise. Sie wählt einen Empfänger des Geldes aus, vielleicht hat Charlene damit begonnen, für Drohnenangriffe zu stimmen Alex möchte stattdessen Geld an Brenda schicken. Also sucht Alex nach Brendas öffentlichem Schlüssel, [brenda], und verwendet ihren eigenen privaten Schlüssel, [ALEX], um eine einmalige Adresse [ALEX+brenda] zu generieren. Sie Dann wählt sie eine beliebige Sammlung C aus dem Netzwerk der Cryptonote-Benutzer aus und erstellt sie eine Ringsignatur dieser Ad-hoc-Gruppe. Wir legen unseren Verlauf wie in der vorherigen Nachricht fest, fügen hinzu nonces und wie gewohnt fortfahren? H1 = „Ich, [jemand in einer Ad-hoc-Gruppe], sende 0,112 Cryptonote an [eine einmalige Adresse] + H0 + N0.“ „Ich, [jemand in der Sammlung C], sende 0,011 Cryptonote an [one-time-address-made-fromALEX+brenda] + H1 + N1“ „Ich, [jemand in der Sammlung C], sende 0,101 Cryptonote als Änderung an [one-time-address-madefrom-ALEX+alex] + H1 + N2“ Jetzt scannen Alex und Brenda beide alle eingehenden Nachrichten nach eventuell vorhandenen Einmaladressen mit ihrem Schlüssel erstellt. Wenn sie welche finden, dann ist diese Nachricht ganz neu für sie Kryptonote! Und selbst dann wird die Transaktion immer noch den blockchain erreichen. Wenn die Münzen diese Adresse eingeben Es ist bekannt, dass sie von Kriminellen, politischen Mitwirkenden oder von Komitees und Konten gesendet werden bei strengen Budgets (z. B. Unterschlagung) oder wenn der neue Besitzer dieser Münzen jemals einen Fehler macht und sendet diese Münzen an eine gemeinsame Adresse mit Münzen, von denen bekannt ist, dass sie sie besitzen, die Anonymitätsvorrichtung ist in Bitcoin gestiegen.

Der private Benutzerschlüssel ist ein Paar (a, b) aus zwei verschiedenen privaten EC-Schlüsseln. Der Tracking-Schlüssel ist ein Paar (a, B) aus privatem und öffentlichem EC-Schlüssel (wobei B = bG und a ̸= b); Der öffentliche Benutzerschlüssel ist ein Paar (A, B) aus zwei öffentlichen EC-Schlüsseln, die von (a, b) abgeleitet sind. Die Standardadresse ist eine Darstellung eines öffentlichen Benutzerschlüssels, der in einer benutzerfreundlichen Zeichenfolge angegeben wird mit Fehlerkorrektur; Die verkürzte Adresse ist eine Darstellung der zweiten Hälfte (Punkt B) eines angegebenen öffentlichen Benutzerschlüssels in eine benutzerfreundliche Zeichenfolge mit Fehlerkorrektur umgewandelt. Die Transaktionsstruktur ähnelt der Struktur in Bitcoin: Jeder Benutzer kann wählen mehrere unabhängige Zahlungseingänge (Transaktionsausgänge), signieren Sie diese mit den entsprechenden private Schlüssel und senden sie an verschiedene Ziele. Im Gegensatz zum Modell von Bitcoin, bei dem ein Benutzer über einen eindeutigen privaten und öffentlichen Schlüssel verfügt Bei dem vorgeschlagenen Modell generiert ein Absender einen einmaligen öffentlichen Schlüssel basierend auf der Adresse des Empfängers und einige zufällige Daten. In diesem Sinne wird eine eingehende Transaktion für denselben Empfänger an a gesendet Einmaliger öffentlicher Schlüssel (nicht direkt an eine eindeutige Adresse) und nur der Empfänger kann ihn wiederherstellen entsprechenden privaten Teil, um sein Geld einzulösen (unter Verwendung seines einzigartigen privaten Schlüssels). Der Empfänger kann Verwenden Sie eine Ringsignatur, um die Gelder auszugeben, wobei sein Eigentum und seine tatsächlichen Ausgaben anonym bleiben. Die Einzelheiten des Protokolls werden in den nächsten Unterabschnitten erläutert. 4.3 Nicht verknüpfbare Zahlungen Klassische Bitcoin-Adressen werden nach der Veröffentlichung zu einer eindeutigen Kennung für eingehende E-Mails Zahlungen, deren Verknüpfung und Verknüpfung mit den Pseudonymen des Empfängers. Wenn jemand möchte Wenn er eine „ungebundene“ Transaktion erhält, sollte er dem Absender seine Adresse über einen privaten Kanal mitteilen. Wenn er verschiedene Transaktionen erhalten möchte, bei denen nicht nachgewiesen werden kann, dass sie demselben Eigentümer gehören Er sollte alle verschiedenen Adressen generieren und sie niemals unter seinem eigenen Pseudonym veröffentlichen. Öffentlich Privat Alice Carol Bobs Adresse 1 Bobs Adresse 2 Bobs Schlüssel 1 Bobs Schlüssel 2 Bob Abb. 2. Traditionelles Bitcoin-Schlüssel-/Transaktionsmodell. Wir schlagen eine Lösung vor, die es einem Benutzer ermöglicht, eine einzelne Adresse zu veröffentlichen und bedingungslos zu empfangen nicht verknüpfbare Zahlungen. Das Ziel jeder CryptoNote-Ausgabe ist (standardmäßig) ein öffentlicher Schlüssel. abgeleitet aus Empfängeradresse und Zufallsdaten des Absenders. Der Hauptvorteil gegenüber Bitcoin ist, dass jeder Zielschlüssel standardmäßig eindeutig ist (es sei denn, der Absender verwendet für jeden die gleichen Daten). seiner Transaktionen an denselben Empfänger). Daher gibt es kein Problem wie die „Wiederverwendung von Adressen“. Design und kein Beobachter kann feststellen, ob Transaktionen an eine bestimmte Adresse oder einen bestimmten Link gesendet wurden zwei Adressen zusammen. 6 Der private Benutzerschlüssel ist ein Paar (a, b) aus zwei verschiedenen privaten EC-Schlüsseln. Der Tracking-Schlüssel ist ein Paar (a, B) aus privatem und öffentlichem EC-Schlüssel (wobei B = bG und a ̸= b); Der öffentliche Benutzerschlüssel ist ein Paar (A, B) aus zwei öffentlichen EC-Schlüsseln, die von (a, b) abgeleitet sind. Die Standardadresse ist eine Darstellung eines öffentlichen Benutzerschlüssels, der in einer benutzerfreundlichen Zeichenfolge angegeben wird mit Fehlerkorrektur; Die verkürzte Adresse ist eine Darstellung der zweiten Hälfte (Punkt B) eines angegebenen öffentlichen Benutzerschlüssels in eine benutzerfreundliche Zeichenfolge mit Fehlerkorrektur umgewandelt. Die Transaktionsstruktur ähnelt der Struktur in Bitcoin: Jeder Benutzer kann wählen mehrere unabhängige Zahlungseingänge (Transaktionsausgänge), signieren Sie diese mit den entsprechenden private Schlüssel und senden sie an verschiedene Ziele. Im Gegensatz zum Modell von Bitcoin, bei dem ein Benutzer über einen eindeutigen privaten und öffentlichen Schlüssel verfügt Bei dem vorgeschlagenen Modell generiert ein Absender einen einmaligen öffentlichen Schlüssel basierend auf der Adresse des Empfängers und einige zufällige Daten. In diesem Sinne wird eine eingehende Transaktion für denselben Empfänger an a gesendet Einmaliger öffentlicher Schlüssel (nicht direkt an eine eindeutige Adresse) und nur der Empfänger kann ihn wiederherstellen entsprechenden privaten Teil, um sein Geld einzulösen (unter Verwendung seines einzigartigen privaten Schlüssels). Der Empfänger kann Verwenden Sie eine Ringsignatur, um die Gelder auszugeben, wobei sein Eigentum und seine tatsächlichen Ausgaben anonym bleiben. Die Einzelheiten des Protokolls werden in den nächsten Unterabschnitten erläutert. 4.3 Nicht verknüpfbare Zahlungen Klassische Bitcoin-Adressen werden nach der Veröffentlichung zu einer eindeutigen Kennung für eingehende E-Mails Zahlungen, deren Verknüpfung und Verknüpfung mit den Pseudonymen des Empfängers. Wenn jemand möchte Wenn er eine „ungebundene“ Transaktion erhält, sollte er dem Absender seine Adresse über einen privaten Kanal mitteilen. Wenn er verschiedene Transaktionen erhalten möchte, bei denen nicht nachgewiesen werden kann, dass sie demselben Eigentümer gehören Er sollte alle verschiedenen Adressen generieren und sie niemals unter seinem eigenen Pseudonym veröffentlichen. Öffentlich Privat Alice Carol Bobs Adresse 1 Bobs Adresse 2 Bobs Schlüssel 1 Bobs Schlüssel 2 Bob Abb. 2. Traditioneller Bitcoin-Schlüssel/Transaktionen-Model. Wir schlagen eine Lösung vor, die es einem Benutzer ermöglicht, eine einzelne Adresse zu veröffentlichen und bedingungslos zu empfangen nicht verknüpfbare Zahlungen. Das Ziel jeder CryptoNote-Ausgabe ist (standardmäßig) ein öffentlicher Schlüssel. abgeleitet aus Empfängeradresse und Zufallsdaten des Absenders. Der Hauptvorteil gegenüber Bitcoin ist, dass jeder Zielschlüssel standardmäßig eindeutig ist (es sei denn, der Absender verwendet für jeden die gleichen Daten). seiner Transaktionen an denselben Empfänger). Daher gibt es kein Problem wie die „Wiederverwendung von Adressen“. Design und kein Beobachter kann feststellen, ob Transaktionen an eine bestimmte Adresse oder einen bestimmten Link gesendet wurden zwei Adressen zusammen. 6 12 Anstatt also Münzen von einer Adresse (die eigentlich ein öffentlicher Schlüssel ist) an eine Adresse zu senden (ein weiterer öffentlicher Schlüssel) Mit ihren privaten Schlüsseln senden Benutzer Münzen aus einem einmaligen Postfach (der mit dem öffentlichen Schlüssel Ihres Freundes generiert wird) an ein einmaliges Postfach (ähnlich) mit Ihrem eigene private Schlüssel. In gewisser Weise sagen wir: „Okay, lasst alle die Finger vom Geld, während es in Umlauf ist.“ herumgetragen! Es reicht einfach zu wissen, dass unsere Schlüssel diese und jene Kiste öffnen können Wir wissen, wie viel Geld in der Box ist. Legen Sie niemals Ihre Fingerabdrücke auf das Postfach oder Um es tatsächlich zu nutzen, tauschen Sie einfach die mit Bargeld gefüllte Box selbst aus. Auf diese Weise wissen wir nicht, wer gesendet hat Was, aber der Inhalt dieser öffentlichen Adressen ist immer noch reibungslos, fungibel, teilbar und besitzen immer noch all die anderen schönen Eigenschaften von Geld, die wir uns wünschen, wie Bitcoin.“ Eine unendliche Menge an Postfächern. Sie veröffentlichen eine Adresse, ich habe einen privaten Schlüssel. Ich verwende meinen privaten Schlüssel und Ihre Adresse und einige zufällige Daten, um einen öffentlichen Schlüssel zu generieren. Der Algorithmus ist so konzipiert, dass, da Ihr Adresse zum Generieren des öffentlichen Schlüssels verwendet wurde, funktioniert nur IHR privater Schlüssel zum Entsperren Nachricht. Eine Beobachterin, Eve, sieht, wie Sie Ihre Adresse veröffentlichen, und sieht den öffentlichen Schlüssel, den ich bekannt gebe. Allerdings Sie weiß nicht, ob ich meinen öffentlichen Schlüssel basierend auf Ihrer Adresse oder ihrer oder der von Brenda bekannt gegeben habe oder Charlenes, oder wer auch immer. Sie vergleicht ihren privaten Schlüssel mit dem öffentlichen Schlüssel, den ich angekündigt habe und sieht, dass es nicht funktioniert; es ist nicht ihr Geld. Sie kennt den privaten Schlüssel von niemand anderem und Nur der Empfänger der Nachricht verfügt über den privaten Schlüssel, der die Nachricht entsperren kann. Also niemand Wenn man zuhört, kann man feststellen, wer das Geld erhalten hat, geschweige denn, das Geld annehmen.

Öffentlich Privat Alice Carol Einmalschlüssel Einmalschlüssel Einmalschlüssel Bob Bobs Schlüssel Bobs Adresse Abb. 3. CryptoNote-Schlüssel-/Transaktionsmodell. Zunächst führt der Absender einen Diﬃe-Hellman-Austausch durch, um ein gemeinsames Geheimnis aus seinen Daten zu erhalten die Hälfte der Adresse des Empfängers. Anschließend berechnet er mithilfe der gemeinsamen Daten einen einmaligen Zielschlüssel Geheimnis und die zweite Hälfte der Adresse. Vom Empfänger werden zwei verschiedene ec-Schlüssel benötigt Für diese beiden Schritte ist eine Standard-CryptoNote-Adresse also fast doppelt so groß wie eine Bitcoin-Wallet Adresse. Der Empfänger führt außerdem einen Diﬃe-Hellman-Austausch durch, um die entsprechenden Daten wiederherzustellen geheimer Schlüssel. Eine Standardtransaktionssequenz sieht wie folgt aus: 1. Alice möchte eine Zahlung an Bob senden, der seine Standardadresse veröffentlicht hat. Sie entpackt die Adresse und erhält Bobs öffentlichen Schlüssel (A, B). 2. Alice generiert ein zufälliges \(r \in [1, l - 1]\) und berechnet einen einmaligen öffentlichen Schlüssel \(P = H_s(rA)G +\) B. 3. Alice verwendet P als Zielschlüssel für die Ausgabe und packt auch den Wert R = rG (als Teil der Diﬃe-Hellman-Börse) irgendwo in die Transaktion einfließen. Beachten Sie, dass sie erstellen kann andere Ausgaben mit eindeutigen öffentlichen Schlüsseln: Die Schlüssel verschiedener Empfänger (Ai, Bi) implizieren unterschiedliche Pi sogar mit dem gleichen r. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel R = rG P = Hs(rA)G + B Empfänger öffentlicher Schlüssel Zufallsdaten des Absenders r (A, B) Abb. 4. Standard-Transaktionsstruktur. 4. Alice sendet die Transaktion. 5. Bob überprüft jede durchlaufende Transaktion mit seinem privaten Schlüssel (a, b) und berechnet P ′ = Hs(aR)G + B. Wenn Alices Transaktion mit Bob als Empfänger darunter war, dann ist aR = arG = rA und P′ = P. 7 Öffentlich Privat Alice Carol Einmalschlüssel Einmalschlüssel Einmalschlüssel Bob Bobs Schlüssel Bobs Adresse Abb. 3. CryptoNote-Schlüssel-/Transaktionsmodell. Zunächst führt der Absender einen Diﬃe-Hellman-Austausch durch, um ein gemeinsames Geheimnis aus seinen Daten zu erhalten die Hälfte der Adresse des Empfängers. Anschließend berechnet er mithilfe der gemeinsamen Daten einen einmaligen Zielschlüssel Geheimnis und die zweite Hälfte der Adresse. Vom Empfänger werden zwei verschiedene ec-Schlüssel benötigt Für diese beiden Schritte ist eine Standard-CryptoNote-Adresse also fast doppelt so groß wie eine Bitcoin-Wallet Adresse. Der Empfänger führt außerdem einen Diﬃe-Hellman-Austausch durch, um die entsprechenden Daten wiederherzustellen geheimer Schlüssel. Eine Standardtransaktionssequenz sieht wie folgt aus: 1. Alice möchte eine Zahlung an Bob senden, der seine Standardadresse veröffentlicht hat. Sie entpackt die Adresse und erhält Bobs öffentlichen Schlüssel (A, B). 2. Alice generiert ein zufälliges \(r \in [1, l - 1]\) und berechnet einen einmaligen öffentlichen Schlüssel \(P = H_s(rA)G +\) B. 3. Alice verwendet P als Zielschlüssel für die Ausgabe und packt auch den Wert R = rG (als Teil der Diﬃe-Hellman-Börse) irgendwo in die Transaktion einfließen. Beachten Sie, dass sie erstellen kann andere Ausgaben mit eindeutigen öffentlichen Schlüsseln: Die Schlüssel verschiedener Empfänger (Ai, Bi) implizieren unterschiedliche Pi sogar mit dem gleichen r. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel R = rG P = Hs(rA)G + B Empfänger öffentlicher Schlüssel Zufallsdaten des Absenders r (A, B) Abb. 4. Standard-Transaktionsstruktur. 4. Alice sendet die Transaktion. 5. Bob überprüft jede durchlaufende Transaktion mit seinem privaten Schlüssel (a, b) und berechnet P ′ = Hs(aR)G + B. Wenn Alices Transaktion mit Bob als Empfänger darunter war, dann ist aR = arG = rA und P′ = P. 7 13 Ich frage mich, wie mühsam es wäre, eine Wahl der Kryptographie zu implementieren Schema. Elliptisch oder anders. Wenn also in Zukunft ein Plan gebrochen wird, wechselt die Währung ohne Bedenken. Wahrscheinlich eine große Nervensäge. Okay, das ist genau das, was ich gerade in meinem vorherigen Kommentar erklärt habe. Der Diﬃe-Hellman-Typ Der Austausch ist ordentlich. Angenommen, Alex und Brenda haben jeweils eine Geheimnummer A und B und eine Nummer Es geht ihnen nicht darum, Geheimnisse zu bewahren, a und b. Sie möchten ein gemeinsames Geheimnis generieren, ohne dies zu tun Eva entdeckt es. Diﬃe und Hellman haben eine Möglichkeit gefunden, wie Alex und Brenda das teilen können öffentliche Nummern a und b, nicht jedoch die privaten Nummern A und B, und generieren ein gemeinsames Geheimnis, K. Unter Verwendung dieses gemeinsamen Geheimnisses, K, ohne dass Eva zuhört, um dasselbe zu generieren K, Alex und Brenda können K nun als geheimen Verschlüsselungsschlüssel verwenden und geheime Nachrichten zurückgeben und her. So KANN es funktionieren, obwohl es mit viel größeren Zahlen als 100 funktionieren sollte. Wir verwenden 100, da das Bearbeiten der ganzen Zahlen Modulo 100 gleichbedeutend mit „Alle wegwerfen“ ist sondern die letzten beiden Ziffern einer Zahl.“ Alex und Brenda wählen jeweils A, a, B und b. Sie halten A und B geheim. Alex teilt Brenda ihren Wert eines Modulo 100 mit (nur die letzten beiden Ziffern) und Brenda teilt es Alex mit ihr Wert von b Modulo 100. Jetzt kennt Eva (a,b) Modulo 100. Aber Alex kennt (a,b,A) also sie kann x=abA modulo 100 berechnen.Alex schneidet alles bis auf die letzte Ziffer ab, weil wir arbeiten unter den ganzen Zahlen Modulo 100 wieder. Ebenso kennt Brenda (a,b,B), sodass sie berechnen kann y=abB Modulo 100. Alex kann jetzt x veröffentlichen und Brenda kann y veröffentlichen. Aber jetzt kann Alex yA = abBA modulo 100 berechnen, und Brenda kann xB berechnen = abBA modulo 100. Sie kennen beide die gleiche Nummer! Aber alles, was Eva gehört hat, ist (a,b,abA,abB). Sie hat keine einfache Möglichkeit, abA*B zu berechnen. Dies ist nun die einfachste und unsicherste Art, über den Diﬃe-Hellman-Austausch nachzudenken. Es gibt sicherere Versionen. Die meisten Versionen funktionieren jedoch aufgrund der ganzzahligen und diskreten Faktorisierung Logarithmen sind schwierig, und beide Probleme können von Quantencomputern leicht gelöst werden. Ich werde prüfen, ob es quantenresistente Versionen gibt. http://en.wikipedia.org/wiki/Diﬃe%E2%80%93Hellman_key_exchange Der hier aufgeführten „Standard-TXN-Sequenz“ fehlen eine ganze Reihe von Schritten, wie z. B. SIGNATUREN. Sie werden hier einfach als selbstverständlich angesehen. Was wirklich schlimm ist, denn die Reihenfolge, in der wir Signieren, die in der signierten Nachricht enthaltenen Informationen und so weiter ... das alles ist extrem wichtig für das Protokoll. Bei der Umsetzung von „the Standard-Transaktionssequenz“ könnte die Sicherheit des gesamten Systems in Frage stellen. Darüber hinaus sind die später in der Arbeit vorgelegten Beweise möglicherweise nicht streng genug, wenn die Der Rahmen, in dem sie arbeiten, ist genauso locker definiert wie in diesem Abschnitt.

Öffentlich Privat Alice Carol Einmalschlüssel Einmalschlüssel Einmalschlüssel Bob Bobs Schlüssel Bobs Adresse Abb. 3. CryptoNote-Schlüssel-/Transaktionsmodell. Zunächst führt der Absender einen Diﬃe-Hellman-Austausch durch, um ein gemeinsames Geheimnis aus seinen Daten zu erhalten die Hälfte der Adresse des Empfängers. Anschließend berechnet er mithilfe der gemeinsamen Daten einen einmaligen Zielschlüssel Geheimnis und die zweite Hälfte der Adresse. Vom Empfänger werden zwei verschiedene ec-Schlüssel benötigt Für diese beiden Schritte ist eine Standard-CryptoNote-Adresse also fast doppelt so groß wie eine Bitcoin-Wallet Adresse. Der Empfänger führt außerdem einen Diﬃe-Hellman-Austausch durch, um die entsprechenden Daten wiederherzustellen geheimer Schlüssel. Eine Standardtransaktionssequenz sieht wie folgt aus: 1. Alice möchte eine Zahlung an Bob senden, der seine Standardadresse veröffentlicht hat. Sie entpackt die Adresse und erhält Bobs öffentlichen Schlüssel (A, B). 2. Alice generiert ein zufälliges \(r \in [1, l - 1]\) und berechnet einen einmaligen öffentlichen Schlüssel \(P = H_s(rA)G +\) B. 3. Alice verwendet P als Zielschlüssel für die Ausgabe und packt auch den Wert R = rG (als Teil der Diﬃe-Hellman-Börse) irgendwo in die Transaktion einfließen. Beachten Sie, dass sie erstellen kann andere Ausgaben mit eindeutigen öffentlichen Schlüsseln: Die Schlüssel verschiedener Empfänger (Ai, Bi) implizieren unterschiedliche Pi sogar mit dem gleichen r. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel R = rG P = Hs(rA)G + B Empfänger öffentlicher Schlüssel Zufallsdaten des Absenders r (A, B) Abb. 4. Standard-Transaktionsstruktur. 4. Alice sendet die Transaktion. 5. Bob überprüft jede durchlaufende Transaktion mit seinem privaten Schlüssel (a, b) und berechnet P ′ = Hs(aR)G + B. Wenn Alices Transaktion mit Bob als Empfänger darunter war, dann ist aR = arG = rA und P′ = P. 7 Öffentlich Privat Alice Carol Einmalschlüssel Einmalschlüssel Einmalschlüssel Bob Bobs Schlüssel Bobs Adresse Abb. 3. CryptoNote-Schlüssel-/Transaktionsmodell. Zunächst führt der Absender einen Diﬃe-Hellman-Austausch durch, um ein gemeinsames Geheimnis aus seinen Daten zu erhalten die Hälfte der Adresse des Empfängers. Anschließend berechnet er mithilfe der gemeinsamen Daten einen einmaligen Zielschlüssel Geheimnis und die zweite Hälfte der Adresse. Vom Empfänger werden zwei verschiedene ec-Schlüssel benötigt Für diese beiden Schritte ist eine Standard-CryptoNote-Adresse also fast doppelt so groß wie eine Bitcoin-Wallet Adresse. Der Empfänger führt außerdem einen Diﬃe-Hellman-Austausch durch, um die entsprechenden Daten wiederherzustellen geheimer Schlüssel. Eine Standardtransaktionssequenz sieht wie folgt aus: 1. Alice möchte eine Zahlung an Bob senden, der seine Standardadresse veröffentlicht hat. Sie entpackt die Adresse und erhält Bobs öffentlichen Schlüssel (A, B). 2. Alice generiert ein zufälliges \(r \in [1, l - 1]\) und berechnet einen einmaligen öffentlichen Schlüssel \(P = H_s(rA)G +\) B. 3. Alice verwendet P als Zielschlüssel für die Ausgabe und packt auch den Wert R = rG (als Teil der Diﬃe-Hellman-Börse) irgendwo in die Transaktion einfließen. Beachten Sie, dass sie erstellen kann andere Ausgaben mit eindeutigen öffentlichen Schlüsseln: Die Schlüssel verschiedener Empfänger (Ai, Bi) implizieren unterschiedliche Pi sogar mit dem gleichen r. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel R = rG P = Hs(rA)G + B Empfänger öffentlicher Schlüssel Zufallsdaten des Absenders r (A, B) Abb. 4. Standard-Transaktionsstruktur. 4. Alice sendet die Transaktion. 5. Bob überprüft jede durchlaufende Transaktion mit seinem privaten Schlüssel (a, b) und berechnet P ′ = Hs(aR)G + B. Wenn Alices Transaktion mit Bob als Empfänger darunter war, dann ist aR = arG = rA und P′ = P. 7 14 Beachten Sie, dass es den Autoren schlecht gelingt, ihre Terminologie durchgehend klar zu halten den Text, aber vor allem in diesem nächsten Teil. Die nächste Inkarnation dieses Papiers wird notwendigerweise sein viel strenger. Im Text bezeichnen sie P als ihren einmaligen öffentlichen Schlüssel. Im Diagramm bezeichnen sie R als ihren „öffentlichen Tx-Schlüssel“ und P als ihren „Zielschlüssel“. Wenn ich das umschreiben würde, würde ich es tun Legen Sie einige Begriffe ganz konkret dar, bevor Sie diese Abschnitte besprechen. Diese Elle ist riesig. Siehe Seite 5. Wer wählt ell? Das Diagramm zeigt, dass der öffentliche Transaktionsschlüssel R = rG ist, der zufällig und ausgewählt ist B. vom Absender, ist nicht Teil der Tx-Ausgabe. Dies liegt daran, dass es für mehrere gleich sein könnte Transaktionen an mehrere Personen und wird SPÄTER nicht für Ausgaben verwendet. Ein neues R wird generiert jedes Mal, wenn Sie eine neue CryptoNote-Transaktion übertragen möchten. Darüber hinaus wird nur R verwendet um zu prüfen, ob Sie der Empfänger der Transaktion sind. Es handelt sich nicht um Junk-Daten, aber für jeden ist es Junk-Daten ohne die mit (A,B) verbundenen privaten Schlüssel. Der Zielschlüssel hingegen, P = Hs(rA)G + B, ist Teil der Tx-Ausgabe. Jeder Beim Durchsuchen der Daten jeder laufenden Transaktion müssen sie ihr eigenes generiertes P* vergleichen dieses P, um zu sehen, ob ihnen diese vorübergehende Transaktion gehört. Jeder mit einer nicht ausgegebenen Transaktionsausgabe (UTXO) wird einen Haufen dieser Ps mit Beträgen herumliegen haben. Um zu verbringend, sie Unterschreiben Sie eine neue Nachricht, einschließlich P. Alice muss diese Transaktion mit einmaligen privaten Schlüsseln signieren, die mit den Zielschlüsseln der nicht ausgegebenen Transaktionsausgabe(n) verknüpft sind. Jeder Zielschlüssel im Besitz von Alice ist ausgestattet mit einem einmaligen privaten Schlüssel, der (vermutlich) auch Alice gehört. Jedes Mal, wenn Alice es will Schicken Sie mir oder Bob oder Brenda oder Charlie oder Charlene den Inhalt eines Zielschlüssels verwendet ihren privaten Schlüssel, um die Transaktion zu signieren. Nach Eingang der Transaktion erhalte ich ein neues Tx öffentlichen Schlüssel, einen neuen öffentlichen Zielschlüssel, und ich werde in der Lage sein, einen neuen einmaligen privaten Schlüssel x wiederherzustellen. Ich kombiniere meinen einmaligen privaten Schlüssel x mit dem öffentlichen Ziel der neuen Transaktion Mit den Schlüsseln senden wir eine neue Transaktion

Bob kann den entsprechenden einmaligen privaten Schlüssel wiederherstellen: x = Hs(aR) + b, also P = xG. Er kann diese Ausgabe jederzeit ausgeben, indem er eine Transaktion mit x unterzeichnet. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel P ′ = Hs(aR)G + bG einmaliger öffentlicher Schlüssel x = Hs(aR) + b einmaliger privater Schlüssel Empfänger privater Schlüssel (a, b) R P′ ?= P Abb. 5. Eingangstransaktionsprüfung. Als Ergebnis erhält Bob eingehende Zahlungen, die mit einmaligen öffentlichen Schlüsseln verknüpft sind Für einen Zuschauer nicht verlinkbar. Einige zusätzliche Hinweise: • Wenn Bob seine Transaktionen „erkennt“ (siehe Schritt 5), nutzt er praktisch nur die Hälfte seiner private Informationen: (a, B). Dieses Paar, auch Tracking-Schlüssel genannt, kann übergeben werden an einen Dritten (Carol). Bob kann ihr die Bearbeitung neuer Transaktionen delegieren. Bob muss Carol nicht ausdrücklich vertrauen, da sie den einmaligen geheimen Schlüssel p nicht wiederherstellen kann ohne Bobs vollständigen privaten Schlüssel (a, b). Dieser Ansatz ist nützlich, wenn es Bob an Bandbreite mangelt oder Rechenleistung (Smartphones, Hardware-Wallets etc.). • Falls Alice nachweisen möchte, dass sie eine Transaktion an Bobs Adresse gesendet hat, kann sie dies entweder offenlegen r oder verwenden Sie ein Zero-Knowledge-Protokoll, um zu beweisen, dass sie r kennt (z. B. durch Unterschreiben). die Transaktion mit r). • Wenn Bob eine revisionssichere Adresse haben möchte, an der sich alle eingehenden Transaktionen befinden verknüpfbar ist, kann er entweder seinen Tracking-Key veröffentlichen oder eine gekürzte Adresse verwenden. Diese Adresse stellt nur einen öffentlichen EC-Schlüssel B dar, und der verbleibende Teil ist für das Protokoll erforderlich daraus wie folgt abgeleitet: a = Hs(B) und A = Hs(B)G. In beiden Fällen ist es jeder Mensch ist in der Lage, alle eingehenden Transaktionen von Bob zu „erkennen“, aber natürlich kann niemand diese ausgeben darin eingeschlossene Gelder ohne geheimen Schlüssel b. 4.4 Einmalige Ringsignaturen Ein auf einmaligen Ringsignaturen basierendes Protokoll ermöglicht es Benutzern, eine bedingungslose Unverknüpfbarkeit zu erreichen. Leider ermöglichen gewöhnliche Arten von kryptografischen Signaturen die Rückverfolgung von Transaktionen jeweiligen Sender und Empfänger. Unsere Lösung für dieses Manko liegt in der Verwendung einer anderen Signatur als diejenigen, die derzeit in elektronischen Kassensystemen verwendet werden. Wir werden zunächst eine allgemeine Beschreibung unseres Algorithmus ohne expliziten Verweis darauf geben elektronisches Bargeld. Eine einmalige Ringsignatur enthält vier Algorithmen: (GEN, SIG, VER, LNK): GEN: nimmt öffentliche Parameter und gibt ein EC-Paar (P, x) und einen öffentlichen Schlüssel I aus. SIG: Nimmt eine Nachricht m, eine Menge \(S'\) öffentlicher Schlüssel {Pi}i̸=s, ein Paar (Ps, xs) und gibt eine Signatur \(\sigma\) aus und eine Menge \(S = \)S'\( \cup \{P_s\}\). 8
Bob kann den entsprechenden einmaligen privaten Schlüssel wiederherstellen: x = Hs(aR) + b, also P = xG. Er kann diese Ausgabe jederzeit ausgeben, indem er eine Transaktion mit x unterzeichnet. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel P ′ = Hs(aR)G + bG einmaliger öffentlicher Schlüssel x = Hs(aR) + b einmaliger privater Schlüssel Empfänger privater Schlüssel (a, b) R P′ ?= P Abb. 5. Eingangstransaktionsprüfung. Als Ergebnis erhält Bob eingehende Zahlungen, die mit einmaligen öffentlichen Schlüsseln verknüpft sind Für einen Zuschauer nicht verlinkbar. Einige zusätzliche Hinweise: • Wenn Bob seine Transaktionen „erkennt“ (siehe Schritt 5), nutzt er praktisch nur die Hälfte seiner private Informationen: (a, B). Dieses Paar, auch Tracking-Schlüssel genannt, kann übergeben werden an einen Dritten (Carol). Bob kann ihr die Bearbeitung neuer Transaktionen delegieren. Bob muss Carol nicht ausdrücklich vertrauen, da sie den einmaligen geheimen Schlüssel p nicht wiederherstellen kann ohne Bobs vollständigen privaten Schlüssel (a, b). Dieser Ansatz ist nützlich, wenn es Bob an Bandbreite mangelt oder Rechenleistung (Smartphones, Hardware-Wallets etc.). • Falls Alice nachweisen möchte, dass sie eine Transaktion an Bobs Adresse gesendet hat, kann sie dies entweder offenlegen r oder verwenden Sie ein Zero-Knowledge-Protokoll, um zu beweisen, dass sie r kennt (z. B. durch Unterschreiben). die Transaktion mit r). • Wenn Bob eine revisionssichere Adresse haben möchte, an der sich alle eingehenden Transaktionen befinden verknüpfbar ist, kann er entweder seinen Tracking-Key veröffentlichen oder eine gekürzte Adresse verwenden. Diese Adresse stellt nur einen öffentlichen EC-Schlüssel B dar, und der verbleibende Teil ist für das Protokoll erforderlich daraus wie folgt abgeleitet: a = Hs(B) und A = Hs(B)G. In beiden Fällen ist es jeder Mensch ist in der Lage, alle eingehenden Transaktionen von Bob zu „erkennen“, aber natürlich kann niemand diese ausgeben darin eingeschlossene Gelder ohne geheimen Schlüssel b. 4.4 Einmalige Ringsignaturen Ein auf einmaligen Ringsignaturen basierendes Protokoll ermöglicht es Benutzern, eine bedingungslose Unverknüpfbarkeit zu erreichen. Leider ermöglichen gewöhnliche Arten von kryptografischen Signaturen die Rückverfolgung von Transaktionen jeweiligen Sender und Empfänger. Unsere Lösung für dieses Manko liegt in der Verwendung einer anderen Signatur als diejenigen, die derzeit in elektronischen Kassensystemen verwendet werden. Wir werden zunächst ein Gen bereitstellenEine vollständige Beschreibung unseres Algorithmus ohne expliziten Verweis darauf elektronisches Bargeld. Eine einmalige Ringsignatur enthält vier Algorithmen: (GEN, SIG, VER, LNK): GEN: nimmt öffentliche Parameter und gibt ein EC-Paar (P, x) und einen öffentlichen Schlüssel I aus. SIG: Nimmt eine Nachricht m, eine Menge \(S'\) öffentlicher Schlüssel {Pi}i̸=s, ein Paar (Ps, xs) und gibt eine Signatur \(\sigma\) aus und eine Menge \(S = \)S'\( \cup \{P_s\}\). 8 15 Wie sieht hier eine nicht ausgegebene Transaktionsausgabe aus? Das Diagramm legt nahe, dass die Transaktionsausgabe nur aus zwei Datenpunkten besteht: Betrag und Zielschlüssel. Aber das ist nicht der Fall ausreichend, denn wenn ich versuche, diese „Ausgabe“ auszugeben, muss ich immer noch R=rG wissen. Denken Sie daran, dass r vom Absender ausgewählt wird und R a) verwendet wird, um eingehende Kryptonoten als Ihre zu erkennen besitzen und b) zur Generierung des einmaligen privaten Schlüssels verwendet werden, mit dem Sie Ihre Kryptonote „beanspruchen“. Der Teil daran, den ich nicht verstehe? Nehmen wir das theoretische „Okay, wir haben diese.“ Signaturen und Transaktionen, und wir geben sie hin und her“ in die Welt der Programmierung „Okay, welche Informationen konkret machen eine Person UTXO aus?“ Der beste Weg, diese Frage zu beantworten, besteht darin, in den Körper des völlig unkommentierten Codes einzutauchen. Gut gemacht, Bytecoin-Team. Zur Erinnerung: Verlinkbarkeit bedeutet „Hat die gleiche Person gesendet?“ und Unverknüpfbarkeit bedeutet „dasselbe getan.“ Person erhalten?". Ein System kann also verknüpfbar oder nicht verknüpfbar, nicht verknüpfbar oder nicht verknüpfbar sein. Ärgerlich, ich weiß. Wenn also Nic van Saberhagen hier sagt: „…eingehende Zahlungen [sind] mit Einmalzahlungen verbunden.“ öffentliche Schlüssel, die für einen Zuschauer nicht verknüpfbar sind“, schauen wir mal, was er meint. Stellen Sie sich zunächst eine Situation vor, in der Alice Bob zwei separate Transaktionen derselben sendet Adresse an die gleiche Adresse. Im Bitcoin-Universum hat Alice den Fehler bereits gemacht des Versands von der gleichen Adresse aus und daher hat die Transaktion unseren Wunsch nach einer Begrenzung verfehlt Verknüpfbarkeit. Da sie außerdem das Geld an dieselbe Adresse geschickt hat, hat sie unseren Wunsch verfehlt wegen Unverknüpfbarkeit. Diese Bitcoin-Transaktion war sowohl (vollständig) verknüpfbar als auch nicht nicht verknüpfbar. Nehmen wir andererseits im Kryptonoten-Universum an, dass Alice Bob eine Kryptonote schickt. unter Verwendung von Bobs öffentlicher Adresse. Sie wählt als ihren verschleierenden Satz öffentlicher Schlüssel alle bekannten öffentlichen Schlüssel Schlüssel im Großraum Washington DC. Alex generiert mit ihrem eigenen einen einmaligen öffentlichen Schlüssel Informationen und Bobs öffentliche Informationen. Sie schickt das Geld ab, und jeder Beobachter wird es tun Ich konnte nur herausfinden: „Jemand aus der Metropolregion Washington DC hat 2,3 Kryptonoten an geschickt.“ die einmalige öffentliche Adresse XYZ123.“ Wir haben hier eine probabilistische Kontrolle über die Verknüpfbarkeit, daher nennen wir dies „fast nicht verknüpfbar“. Wir sehen auch nur die einmaligen öffentlichen Schlüssel, an die Geld gesendet wird. Auch wenn wir den Empfänger vermuteten War Bob, wir haben seine privaten Schlüssel nicht und können daher nicht testen, ob eine Transaktion erfolgreich war gehört Bob, geschweige denn, dass er seinen einmaligen privaten Schlüssel generiert, um seine Kryptonote einzulösen. Also das hier ist in der Tat völlig „unverknüpfbar“. Das ist also der netteste Trick von allen. Wer möchte einem anderen MtGox wirklich vertrauen? Vielleicht sind wir es Es ist bequem, eine gewisse Menge an BTC auf Coinbase zu speichern, aber die ultimative Bitcoin-Sicherheit ist es eine physische Geldbörse. Was unbequem ist. In diesem Fall können Sie die Hälfte Ihres privaten Schlüssels vertrauensvoll weitergeben, ohne Ihren privaten Schlüssel zu gefährden eigene Fähigkeit, Geld auszugeben. Wenn Sie dies tun, erklären Sie lediglich jemandem, wie er die Unverknüpfbarkeit aufheben kann. Der andere Eigenschaften von CN, die wie eine Währung wirken, bleiben erhalten, wie z. B. der Schutz vor Doppelausgaben und was nicht.
Bob kann den entsprechenden einmaligen privaten Schlüssel wiederherstellen: x = Hs(aR) + b, also P = xG. Er kann diese Ausgabe jederzeit ausgeben, indem er eine Transaktion mit x unterzeichnet. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel P ′ = Hs(aR)G + bG einmaliger öffentlicher Schlüssel x = Hs(aR) + b einmaliger privater Schlüssel Empfänger privater Schlüssel (a, b) R P′ ?= P Abb. 5. Eingangstransaktionsprüfung. Als Ergebnis erhält Bob eingehende Zahlungen, die mit einmaligen öffentlichen Schlüsseln verknüpft sind Für einen Zuschauer nicht verlinkbar. Einige zusätzliche Hinweise: • Wenn Bob seine Transaktionen „erkennt“ (siehe Schritt 5), nutzt er praktisch nur die Hälfte seiner private Informationen: (a, B). Dieses Paar, auch Tracking-Schlüssel genannt, kann übergeben werden an einen Dritten (Carol). Bob kann ihr die Bearbeitung neuer Transaktionen delegieren. Bob muss Carol nicht ausdrücklich vertrauen, da sie den einmaligen geheimen Schlüssel p nicht wiederherstellen kann ohne Bobs vollständigen privaten Schlüssel (a, b). Dieser Ansatz ist nützlich, wenn es Bob an Bandbreite mangelt oder Rechenleistung (Smartphones, Hardware-Wallets etc.). • Falls Alice nachweisen möchte, dass sie eine Transaktion an Bobs Adresse gesendet hat, kann sie dies entweder offenlegen r oder verwenden Sie ein Zero-Knowledge-Protokoll, um zu beweisen, dass sie r kennt (z. B. durch Unterschreiben). die Transaktion mit r). • Wenn Bob eine revisionssichere Adresse haben möchte, an der sich alle eingehenden Transaktionen befinden verknüpfbar ist, kann er entweder seinen Tracking-Key veröffentlichen oder eine gekürzte Adresse verwenden. Diese Adresse stellt nur einen öffentlichen EC-Schlüssel B dar, und der verbleibende Teil ist für das Protokoll erforderlich daraus wie folgt abgeleitet: a = Hs(B) und A = Hs(B)G. In beiden Fällen ist es jeder Mensch ist in der Lage, alle eingehenden Transaktionen von Bob zu „erkennen“, aber natürlich kann niemand diese ausgeben darin eingeschlossene Gelder ohne geheimen Schlüssel b. 4.4 Einmalige Ringsignaturen Ein auf einmaligen Ringsignaturen basierendes Protokoll ermöglicht es Benutzern, eine bedingungslose Unverknüpfbarkeit zu erreichen. Leider ermöglichen gewöhnliche Arten von kryptografischen Signaturen die Rückverfolgung von Transaktionen jeweiligen Sender und Empfänger. Unsere Lösung für dieses Manko liegt in der Verwendung einer anderen Signatur als diejenigen, die derzeit in elektronischen Kassensystemen verwendet werden. Wir werden zunächst eine allgemeine Beschreibung unseres Algorithmus ohne expliziten Verweis darauf geben elektronisches Bargeld. Eine einmalige Ringsignatur enthält vier Algorithmen: (GEN, SIG, VER, LNK): GEN: nimmt öffentliche Parameter und gibt ein EC-Paar (P, x) und einen öffentlichen Schlüssel I aus. SIG: Nimmt eine Nachricht m, eine Menge \(S'\) öffentlicher Schlüssel {Pi}i̸=s, ein Paar (Ps, xs) und gibt eine Signatur \(\sigma\) aus und eine Menge \(S = \)S'\( \cup \{P_s\}\). 8
Bob kann den entsprechenden einmaligen privaten Schlüssel wiederherstellen: x = Hs(aR) + b, also P = xG. Er kann diese Ausgabe jederzeit ausgeben, indem er eine Transaktion mit x unterzeichnet. Transaktion Öffentlicher Tx-Schlüssel Tx-Ausgang Betrag Zielschlüssel P ′ = Hs(aR)G + bG einmaliger öffentlicher Schlüssel x = Hs(aR) + b einmaliger privater Schlüssel Empfänger privater Schlüssel (a, b) R P′ ?= P Abb. 5. Eingangstransaktionsprüfung. Als Ergebnis erhält Bob eingehende Zahlungen, die mit einmaligen öffentlichen Schlüsseln verknüpft sind Für einen Zuschauer nicht verlinkbar. Einige zusätzliche Hinweise: • Wenn Bob seine Transaktionen „erkennt“ (siehe Schritt 5), nutzt er praktisch nur die Hälfte seiner private Informationen: (a, B). Dieses Paar, auch Tracking-Schlüssel genannt, kann übergeben werden an einen Dritten (Carol). Bob kann ihr die Bearbeitung neuer Transaktionen delegieren. Bob muss Carol nicht ausdrücklich vertrauen, da sie den einmaligen geheimen Schlüssel p nicht wiederherstellen kann ohne Bobs vollständigen privaten Schlüssel (a, b). Dieser Ansatz ist nützlich, wenn es Bob an Bandbreite mangelt oder Rechenleistung (Smartphones, Hardware-Wallets etc.). • Falls Alice nachweisen möchte, dass sie eine Transaktion an Bobs Adresse gesendet hat, kann sie dies entweder offenlegen r oder verwenden Sie ein Zero-Knowledge-Protokoll, um zu beweisen, dass sie r kennt (z. B. durch Unterschreiben). die Transaktion mit r). • Wenn Bob eine revisionssichere Adresse haben möchte, an der sich alle eingehenden Transaktionen befinden verknüpfbar ist, kann er entweder seinen Tracking-Key veröffentlichen oder eine gekürzte Adresse verwenden. Diese Adresse stellt nur einen öffentlichen EC-Schlüssel B dar, und der verbleibende Teil ist für das Protokoll erforderlich daraus wie folgt abgeleitet: a = Hs(B) und A = Hs(B)G. In beiden Fällen ist es jeder Mensch ist in der Lage, alle eingehenden Transaktionen von Bob zu „erkennen“, aber natürlich kann niemand diese ausgeben darin eingeschlossene Gelder ohne geheimen Schlüssel b. 4.4 Einmalige Ringsignaturen Ein auf einmaligen Ringsignaturen basierendes Protokoll ermöglicht es Benutzern, eine bedingungslose Unverknüpfbarkeit zu erreichen. Leider ermöglichen gewöhnliche Arten von kryptografischen Signaturen die Rückverfolgung von Transaktionen jeweiligen Sender und Empfänger. Unsere Lösung für dieses Manko liegt in der Verwendung einer anderen Signatur als diejenigen, die derzeit in elektronischen Kassensystemen verwendet werden. Wir werden zunächst ein Gen bereitstellenEine vollständige Beschreibung unseres Algorithmus ohne expliziten Verweis darauf elektronisches Bargeld. Eine einmalige Ringsignatur enthält vier Algorithmen: (GEN, SIG, VER, LNK): GEN: nimmt öffentliche Parameter und gibt ein EC-Paar (P, x) und einen öffentlichen Schlüssel I aus. SIG: Nimmt eine Nachricht m, eine Menge \(S'\) öffentlicher Schlüssel {Pi}i̸=s, ein Paar (Ps, xs) und gibt eine Signatur \(\sigma\) aus und eine Menge \(S = \)S'\( \cup \{P_s\}\). 8 16 Ja, jetzt haben wir a) eine Zahlungsadresse und b) eine Zahlungs-ID. Ein Kritiker könnte fragen: „Müssen wir das wirklich tun? Wenn ein Händler schließlich 112.00678952 erhält.“ Genau CN, und das war meine Bestellung, und ich habe einen Screenshot oder eine Quittung oder was auch immer, nicht wahr? wahnsinniges Maß an Präzision ausreichend?“ Die Antwort lautet: „Vielleicht, meistens im Alltag, persönliche Transaktionen.“ Die häufigere Situation (insbesondere in der digitalen Welt) ist jedoch folgende: Ein Händler verkauft eine Reihe von Objekten mit jeweils einem festen Preis. Angenommen, Objekt A hat 0,001 CN, Objekt B hat 0,01 CN und Objekt C ist 0,1 CN. Wenn der Händler nun eine Bestellung über 1,618 CN erhält, sind es viele, viele (viele!) Möglichkeiten, eine Bestellung für einen Kunden zu arrangieren. Und so ohne irgendeine Zahlungs-ID, Identifizierung der sogenannten „einzigartigen“ Bestellung eines Kunden mit den sogenannten „einzigartigen“ Kosten für ihn Ordnung wird unmöglich. Noch lustiger: Wenn alles in meinem Online-Shop genau 1,0 kostet CN, und ich bekomme 1000 Kunden pro Tag? Und Sie möchten nachweisen, dass Sie genau 3 Objekte gekauft haben vor zwei Wochen? Ohne Zahlungsausweis? Viel Glück, Kumpel. Lange Rede, kurzer Sinn: Wenn Bob eine Zahlungsadresse veröffentlicht, veröffentlicht er möglicherweise auch eine Zahlungs-ID ebenfalls (siehe z. B. Poloniex XMR-Einzahlungen). Das ist anders als beschrieben im Text hier, wobei Alice diejenige ist, die die Zahlungs-ID generiert. Für Bob muss es auch eine Möglichkeit geben, eine Zahlungs-ID zu generieren. (a,B) Denken Sie daran, dass der Tracking-Schlüssel (a,B) veröffentlicht werden kann; Verlust der Geheimhaltung des Wertes für „ein“ Testament Ihre Fähigkeit, Geld auszugeben, nicht verletzen oder zulassen, dass andere Sie bestehlen (ich denke... das hätte es getan). noch bewiesen werden muss), wird es den Leuten lediglich ermöglichen, alle eingehenden Transaktionen zu sehen. Eine verkürzte Adresse, wie in diesem Absatz beschrieben, übernimmt einfach den „privaten“ Teil des Schlüssels und generiert es aus dem „öffentlichen“ Teil. Durch das Offenlegen des Werts für „a“ wird die Nichtverknüpfbarkeit entfernt Der Rest der Transaktionen bleibt jedoch erhalten. Der Autor meint „nicht unlinkbar“, weil sich „unlinkable“ auf den Empfänger und „linkable“ bezieht bezieht sich auf den Absender. Es ist auch klar, dass der Autor nicht erkannte, dass es zwei verschiedene Aspekte der Verknüpfbarkeit gibt. Da die Transaktion schließlich ein gerichtetes Objekt in einem Diagramm ist, stellen sich zwei Fragen: „Gehen diese beiden Transaktionen an dieselbe Person?“ und „Kommen diese beiden Transaktionen?“ von derselben Person?“ Dabei handelt es sich um eine „No-going-back“-Richtlinie, der die Unlinkability-Eigenschaft von CryptoNote unterliegt bedingt. Das heißt, Bob kann festlegen, dass die Verknüpfung seiner eingehenden Transaktionen nicht aufgehoben werden kann Nutzung dieser Richtlinie. Dies ist eine Behauptung, die sie anhand des Random Oracle Model beweisen. Wir werden darauf zurückkommen; der Zufall Oracle hat Vor- und Nachteile.

VER: Nimmt eine Nachricht m, eine Menge S, eine Signatur \(\sigma\) und gibt „wahr“ oder „falsch“ aus. LNK: Nimmt eine Menge I = {Ii}, eine Signatur \(\sigma\) und gibt „linked“ oder „indep“ aus. Die Idee hinter dem Protokoll ist ziemlich einfach: Ein Benutzer erstellt eine Signatur, die sein kann wird durch einen Satz öffentlicher Schlüssel und nicht durch einen eindeutigen öffentlichen Schlüssel überprüft. Die Identität des Unterzeichners ist nicht von den anderen Benutzern zu unterscheiden, deren öffentliche Schlüssel im Set enthalten sind, bis der Eigentümer sie erstellt eine zweite Signatur mit demselben Schlüsselpaar. Private Schlüssel x0 \(\cdots\) xi \(\cdots\) xn Öffentliche Schlüssel P0 \(\cdots\) Pi \(\cdots\) Pn Klingeln Unterschrift Zeichen verifizieren Abb. 6. Anonymität der Ringsignatur. GEN: Der Unterzeichner wählt einen zufälligen geheimen Schlüssel \(x \in [1, l - 1]\) und berechnet den entsprechenden öffentlicher Schlüssel P = xG. Zusätzlich berechnet er einen weiteren öffentlichen Schlüssel I = xHp(P), den wir verwenden werden nennen wir es „Schlüsselbild“. SIG: Der Unterzeichner generiert eine einmalige Ringsignatur mit einem nicht interaktiven Zero-Knowledge Beweis mit den Techniken aus [21]. Er wählt eine zufällige Teilmenge \(S'\) von n aus den anderen Benutzern aus. öffentliche Schlüssel Pi, sein eigenes Schlüsselpaar (x, P) und Schlüsselbild I. Sei \(0 \leq s \leq n\) der geheime Index des Unterzeichners in S (so dass sein öffentlicher Schlüssel Ps ist). Er wählt ein zufälliges {qi | ich = 0 . . . n} und {wi | ich = 0 . . . n, i ̸= s} aus (1 . . . l) und wendet die an folgende Transformationen: Li = ( QiG, wenn i = s QiG + WiPi, wenn i ̸= s Ri = ( qiHp(Pi), wenn i = s qiHp(Pi) + wiI, wenn i ̸= s Der nächste Schritt besteht darin, die nicht interaktive Herausforderung zu meistern: c = Hs(m, L1, . . . , Ln, R1, . . . , Rn) Schließlich berechnet der Unterzeichner die Antwort: ci =    Wi, wenn i ̸= s c − nP i=0 ci mod l, wenn i = s ri = ( Qi, wenn i ̸= s qs −csx mod l, wenn i = s Die resultierende Signatur ist \(\sigma\) = (I, c1, . . . , cn, r1, . . . , rn). 9 VER: Nimmt eine Nachricht m, eine Menge S, eine Signatur \(\sigma\) und gibt „wahr“ oder „falsch“ aus. LNK: Nimmt eine Menge I = {Ii}, eine Signatur \(\sigma\) und gibt „linked“ oder „indep“ aus. Die Idee hinter dem Protokoll ist ziemlich einfach: Ein Benutzer erstellt eine Signatur, die sein kann wird durch einen Satz öffentlicher Schlüssel und nicht durch einen eindeutigen öffentlichen Schlüssel überprüft. Die Identität des Unterzeichners ist nicht von den anderen Benutzern zu unterscheiden, deren öffentliche Schlüssel im Set enthalten sind, bis der Eigentümer sie erstellt eine zweite Signatur mit demselben Schlüsselpaar. Private Schlüssel x0 \(\cdots\) xi \(\cdots\) xn Öffentliche Schlüssel P0 \(\cdots\) Pi \(\cdots\) Pn Klingeln Unterschrift Zeichen verifizieren Abb. 6. Anonymität der Ringsignatur. GEN: Der Unterzeichner wählt einen zufälligen geheimen Schlüssel \(x \in [1, l - 1]\) und berechnet den entsprechenden öffentlicher Schlüssel P = xG. Zusätzlich berechnet er einen weiteren öffentlichen Schlüssel I = xHp(P), den wir verwenden werden nennen wir es „Schlüsselbild“. SIG: Der Unterzeichner generiert eine einmalige Ringsignatur mit einem nicht interaktiven Zero-Knowledge Beweis mit den Techniken aus [21]. Er wählt eine zufällige Teilmenge \(S'\) von n aus den anderen Benutzern aus. öffentliche Schlüssel Pi, sein eigenes Schlüsselpaar (x, P) und Schlüsselbild I. Sei \(0 \leq s \leq n\) der geheime Index des Unterzeichners in S (so dass sein öffentlicher Schlüssel Ps ist). Er wählt ein zufälliges {qi | ich = 0 . . . n} und {wi | ich = 0 . . . n, i ̸= s} aus (1 . . . l) und wendet die an folgende Transformationen: Li = ( QiG, wenn i = s QiG + WiPi, wenn i ̸= s Ri = ( qiHp(Pi), wenn i = s qiHp(Pi) + wiI, wenn i ̸= s Der nächste Schritt besteht darin, die nicht interaktive Herausforderung zu meistern: c = Hs(m, L1, . . . , Ln, R1, . . . , Rn) Schließlich berechnet der Unterzeichner die Antwort: ci =    Wi, wenn i ̸= s c − nP i=0 ci mod l, wenn i = s ri = ( Qi, wenn i ̸= s qs −csx mod l, wenn i = s Die resultierende Signatur ist \(\sigma\) = (I, c1, . . . , cn, r1, . . . , rn). 9 17 Vielleicht ist das dumm, aber bei der Vereinigung von S und P_s ist Vorsicht geboten. Wenn Sie einfach das anhängen Letzten öffentlichen Schlüssel bis zum Ende, die Unverknüpfbarkeit ist unterbrochen, da jeder die laufenden Transaktionen überprüft Sie können einfach den letzten in jeder Transaktion aufgeführten öffentlichen Schlüssel überprüfen und loslegen. Das ist der öffentliche Schlüssel dem Absender zugeordnet. Nach der Vereinigung muss also ein Pseudozufallszahlengenerator vorhanden sein Wird verwendet, um die ausgewählten öffentlichen Schlüssel zu permutieren. „...bis der Besitzer eine zweite Signatur mit demselben Schlüsselpaar erstellt.“ Ich wünsche dem/den Autor(en?) würde das näher erläutern. Ich glaube, das bedeutet: „Stellen Sie sicher, dass Sie jedes Mal, wenn Sie einen Satz öffentlicher Schlüssel auswählen, diese verschleiern möchten.“ Du wählst ein völlig neues Set, bei dem kein Schlüssel gleich ist Ziemlich starke Bedingung für die Unverknüpfbarkeit. Vielleicht „wählen Sie ein neues zufälliges Set aus.“ alle möglichen Schlüssel“ mit der Annahme, dass, obwohl nichttriviale Schnittpunkte unvermeidlich sind passieren, sie werden nicht oft passieren. In jedem Fall muss ich mich eingehender mit dieser Aussage befassen. Dadurch wird die Ringsignatur generiert. Wissensfreie Beweise sind großartig: Ich fordere Sie auf, mir zu beweisen, dass Sie ein Geheimnis kennen ohne das Geheimnis preiszugeben. Angenommen, wir stehen am Eingang einer Donut-förmigen Höhle. und auf der Rückseite der Höhle (vom Eingang aus nicht zu sehen) befindet sich ein oNe-Weg-Tür, zu der du Behaupte, du hättest den Schlüssel. Wenn du in eine Richtung gehst, lässt es dich immer durch, aber wenn du in die gleiche Richtung gehst In die andere Richtung benötigen Sie einen Schlüssel. Aber du willst mir nicht einmal den Schlüssel zeigen, geschweige denn Zeig mir, dass es die Tür öffnet. Aber Sie wollen mir beweisen, dass Sie wissen, wie man das öffnet Tür. Im interaktiven Setting werfe ich eine Münze. Kopf ist links, Zahl ist rechts und Sie gehen nach unten Donut-förmige Höhle, wohin auch immer die Münze Sie weist. Hinten, außerhalb meiner Sichtweite, du Öffne die Tür, um auf die andere Seite zurückzukehren. Wir wiederholen das Münzwurfexperiment bis ich überzeugt bin, dass du den Schlüssel hast. Aber das ist eindeutig der INTERAKTIVE Zero-Knowledge-Beweis. Es gibt nicht-interaktive Versionen, in denen Sie und ich nie kommunizieren müssen; Auf diese Weise können keine Lauscher eingreifen. http://en.wikipedia.org/wiki/Zero-knowledge_proof Dies ist die Umkehrung der vorherigen Definition.

VER: Nimmt eine Nachricht m, eine Menge S, eine Signatur \(\sigma\) und gibt „wahr“ oder „falsch“ aus. LNK: Nimmt eine Menge I = {Ii}, eine Signatur \(\sigma\) und gibt „linked“ oder „indep“ aus. Die Idee hinter dem Protokoll ist ziemlich einfach: Ein Benutzer erstellt eine Signatur, die sein kann wird durch einen Satz öffentlicher Schlüssel und nicht durch einen eindeutigen öffentlichen Schlüssel überprüft. Die Identität des Unterzeichners ist nicht von den anderen Benutzern zu unterscheiden, deren öffentliche Schlüssel im Set enthalten sind, bis der Eigentümer sie erstellt eine zweite Signatur mit demselben Schlüsselpaar. Private Schlüssel x0 \(\cdots\) xi \(\cdots\) xn Öffentliche Schlüssel P0 \(\cdots\) Pi \(\cdots\) Pn Klingeln Unterschrift Zeichen verifizieren Abb. 6. Anonymität der Ringsignatur. GEN: Der Unterzeichner wählt einen zufälligen geheimen Schlüssel \(x \in [1, l - 1]\) und berechnet den entsprechenden öffentlicher Schlüssel P = xG. Zusätzlich berechnet er einen weiteren öffentlichen Schlüssel I = xHp(P), den wir verwenden werden nennen wir es „Schlüsselbild“. SIG: Der Unterzeichner generiert eine einmalige Ringsignatur mit einem nicht interaktiven Zero-Knowledge Beweis mit den Techniken aus [21]. Er wählt eine zufällige Teilmenge \(S'\) von n aus den anderen Benutzern aus. öffentliche Schlüssel Pi, sein eigenes Schlüsselpaar (x, P) und Schlüsselbild I. Sei \(0 \leq s \leq n\) der geheime Index des Unterzeichners in S (so dass sein öffentlicher Schlüssel Ps ist). Er wählt ein zufälliges {qi | ich = 0 . . . n} und {wi | ich = 0 . . . n, i ̸= s} aus (1 . . . l) und wendet die an folgende Transformationen: Li = ( QiG, wenn i = s QiG + WiPi, wenn i ̸= s Ri = ( qiHp(Pi), wenn i = s qiHp(Pi) + wiI, wenn i ̸= s Der nächste Schritt besteht darin, die nicht interaktive Herausforderung zu meistern: c = Hs(m, L1, . . . , Ln, R1, . . . , Rn) Schließlich berechnet der Unterzeichner die Antwort: ci =    Wi, wenn i ̸= s c − nP i=0 ci mod l, wenn i = s ri = ( Qi, wenn i ̸= s qs −csx mod l, wenn i = s Die resultierende Signatur ist \(\sigma\) = (I, c1, . . . , cn, r1, . . . , rn). 9 VER: Nimmt eine Nachricht m, eine Menge S, eine Signatur \(\sigma\) und gibt „wahr“ oder „falsch“ aus. LNK: Nimmt eine Menge I = {Ii}, eine Signatur \(\sigma\) und gibt „linked“ oder „indep“ aus. Die Idee hinter dem Protokoll ist ziemlich einfach: Ein Benutzer erstellt eine Signatur, die sein kann wird durch einen Satz öffentlicher Schlüssel und nicht durch einen eindeutigen öffentlichen Schlüssel überprüft. Die Identität des Unterzeichners ist nicht von den anderen Benutzern zu unterscheiden, deren öffentliche Schlüssel im Set enthalten sind, bis der Eigentümer sie erstellt eine zweite Signatur mit demselben Schlüsselpaar. Private Schlüssel x0 \(\cdots\) xi \(\cdots\) xn Öffentliche Schlüssel P0 \(\cdots\) Pi \(\cdots\) Pn Klingeln Unterschrift Zeichen verifizieren Abb. 6. Anonymität der Ringsignatur. GEN: Der Unterzeichner wählt einen zufälligen geheimen Schlüssel \(x \in [1, l - 1]\) und berechnet den entsprechenden öffentlicher Schlüssel P = xG. Zusätzlich berechnet er einen weiteren öffentlichen Schlüssel I = xHp(P), den wir verwenden werden nennen wir es „Schlüsselbild“. SIG: Der Unterzeichner generiert eine einmalige Ringsignatur mit einem nicht interaktiven Zero-Knowledge Beweis mit den Techniken aus [21]. Er wählt eine zufällige Teilmenge \(S'\) von n aus den anderen Benutzern aus. öffentliche Schlüssel Pi, sein eigenes Schlüsselpaar (x, P) und Schlüsselbild I. Sei \(0 \leq s \leq n\) der geheime Index des Unterzeichners in S (so dass sein öffentlicher Schlüssel Ps ist). Er wählt ein zufälliges {qi | ich = 0 . . . n} und {wi | ich = 0 . . . n, i ̸= s} aus (1 . . . l) und wendet die an folgende Transformationen: Li = ( QiG, wenn i = s QiG + WiPi, wenn i ̸= s Ri = ( qiHp(Pi), wenn i = s qiHp(Pi) + wiI, wenn i ̸= s Der nächste Schritt besteht darin, die nicht interaktive Herausforderung zu meistern: c = Hs(m, L1, . . . , Ln, R1, . . . , Rn) Schließlich berechnet der Unterzeichner die Antwort: ci =    Wi, wenn i ̸= s c − nP i=0 ci mod l, wenn i = s ri = ( Qi, wenn i ̸= s qs −csx mod l, wenn i = s Die resultierende Signatur ist \(\sigma\) = (I, c1, . . . , cn, r1, . . . , rn). 9 18 Dieser gesamte Bereich ist kryptonotenunabhängig und beschreibt lediglich den Ringsignaturalgorithmus ohne Verweis auf Währungen. Ich vermute, dass ein Teil der Notation mit dem Rest des Artikels übereinstimmt. allerdings. Beispielsweise ist x der in GEN gewählte „zufällige“ geheime Schlüssel, der den öffentlichen Schlüssel P ergibt und öffentliches Schlüsselbild I. Dieser Wert von x ist der Wert, den Bob in Teil 6, Seite 8, berechnet. Das ist also so Ich fange an, einige der Verwirrungen aus der vorherigen Beschreibung aufzuklären. Das ist irgendwie cool; Es wird kein Geld von Alices öffentlicher Adresse an Bobs öffentliche Adresse überwiesen Adresse.“ Es wird von Einmaladresse zu Einmaladresse übertragen. In gewisser Weise sehen wir also hier, wie das Zeug funktioniert. Wenn Alex ein paar Kryptonoten hat, weil jemand Wenn Sie sie ihr geschickt haben, bedeutet dies, dass sie über die privaten Schlüssel verfügt, die sie benötigt, um sie an Bob zu senden. Sie nutzt ein Diﬃe-Hellman-Austausch, der Bobs öffentliche Informationen nutzt, um eine neue einmalige Adresse zu generieren und die Kryptonoten werden an diese Adresse übertragen. Nun wurde ein (vermutlich sicherer) DH-Austausch verwendet, um die neue Einmaladresse zu generieren an den Alex ihre CN geschickt hat, ist Bob der Einzige mit den privaten Schlüsseln, die zum Wiederholen des Befehls erforderlich sind oben. Jetzt ist Bob also Alex. http://en.wikipedia.org/wiki/Piecewise#Notation_and_interpretation Die Summierung sollte über j und nicht über i indiziert werden. Jedes c_i ist zufälliger Müll (da w_i zufällig ist) bis auf den c_i Arschist mit dem eigentlichen Schlüssel verknüpft, der in dieser Signatur enthalten ist. Der Wert von c ist ein hash der vorherigen Informationen. Ich denke jedoch, dass dies einen Tippfehler enthält, der schlimmer ist als die Wiederverwendung des Index „i“, denn c_s scheint implizit und nicht explizit definiert werden. Wenn wir diese Gleichung tatsächlich glauben, dann stellen wir fest, dass c_s = (1/2)c - (1/2) sum_i neq s c_i. Das heißt, ein hash minus eine ganze Reihe von Zufallszahlen. Wenn diese Summation hingegen lauten soll: „c_s = (c – sum_j neq s c_j) mod l“, dann nehmen wir die hash unserer vorherigen Informationen und generieren eine Reihe von Zufallszahlen. Subtrahieren Sie alle diese Zufallszahlen von hash, und das ergibt c_s. Das scheint so zu sein was meiner Intuition nach passieren „sollte“ und entspricht dem Verifizierungsschritt auf Seite 10. Aber Intuition ist keine Mathematik. Ich werde näher darauf eingehen. Das Gleiche wie zuvor; All dies wird zufälliger Müll sein, mit Ausnahme desjenigen, der mit dem tatsächlichen verbunden ist Öffentlicher Schlüssel des Unterzeichners x. Allerdings ist dies dieses Mal eher das, was ich von der Struktur erwarten würde: r_i ist zufällig für i!=s und r_s wird nur durch das geheime x und die s-indizierten Werte von bestimmt q_i und c_i.

VER: Der Verifizierer prüft die Signatur, indem er die inversen Transformationen anwendet: ( L′ i = riG + ciPi R′ i = riHp(Pi) + ciI Abschließend prüft der Verifizierer, ob nP i=0 ci ?= Hs(m, L′ 0, . . . , L′ n, R′ 0, . . . , R′ n) mod l Wenn diese Gleichheit korrekt ist, führt der Verifizierer den Algorithmus LNK aus. Andernfalls lehnt der Prüfer ab die Unterschrift. LNK: Der Verifizierer prüft, ob I in früheren Signaturen verwendet wurde (diese Werte werden im gespeichert Satz I). Bei Mehrfachnutzungen handelt es sich um zwei Signaturen, die unter demselben geheimen Schlüssel erstellt wurden. Die Bedeutung des Protokolls: Durch die Anwendung von L-Transformationen beweist der Unterzeichner, dass er es weiß so x, dass mindestens ein Pi = xG. Um diesen Beweis nicht wiederholbar zu machen, führen wir das Schlüsselbild ein als I = xHp(P). Der Unterzeichner verwendet dieselben Koeffizienten (ri, ci), um fast dieselbe Aussage zu beweisen: er kennt solche x, dass mindestens ein \(H_p(P_i) = I \cdot x^{-1}\). Wenn die Abbildung \(x \to I\) eine Injektion ist: 1. Niemand kann den öffentlichen Schlüssel aus dem Schlüsselbild wiederherstellen und den Unterzeichner identifizieren; 2. Der Unterzeichner kann nicht zwei Signaturen mit unterschiedlichen Ien und demselben x erstellen. Eine vollständige Sicherheitsanalyse finden Sie in Anhang A. 4.5 Standard-CryptoNote-Transaktion Durch die Kombination beider Methoden (nicht verknüpfbare öffentliche Schlüssel und nicht nachvollziehbare Ringsignatur) erreicht Bob Neues Maß an Privatsphäre im Vergleich zum ursprünglichen Bitcoin-Schema. Es verlangt von ihm lediglich das Lagern einen privaten Schlüssel (a, b) und veröffentlichen (A, B), um mit dem Empfangen und Senden anonymer Transaktionen zu beginnen. Bei der Validierung jeder Transaktion führt Bob zusätzlich nur zwei elliptische Kurvenmultiplikationen und eine Addition pro Ausgabe durch, um zu prüfen, ob eine Transaktion ihm gehört. Für jeden Ausgabe Bob stellt ein einmaliges Schlüsselpaar (pi, Pi) wieder her und speichert es in seiner Brieftasche. Es können beliebige Eingaben erfolgen nachweislich nur dann denselben Eigentümer, wenn sie in einer einzigen Transaktion auftauchen. In Tatsächlich ist diese Beziehung aufgrund der einmaligen Ringsignatur viel schwieriger herzustellen. Mit einer Ringsignatur kann Bob jede Eingabe effektiv vor der einer anderen Person verbergen; alles möglich Es ist ebenso wahrscheinlich, dass Geld ausgegeben wird, selbst der Vorbesitzer (Alice) hat nicht mehr Informationen als jeder Beobachter. Bei der Unterzeichnung seiner Transaktion gibt Bob n Auslandsausgänge mit dem gleichen Betrag wie er an Ausgabe und mischt sie alle ohne Beteiligung anderer Benutzer. Bob selbst (sowie (jemand anderes) weiß nicht, ob eine dieser Zahlungen ausgegeben wurde: Es kann ein Output verwendet werden in Tausenden von Unterschriften als Unklarheitsfaktor und nie als Versteckziel. Das Doppelte Die Ausgabenprüfung erfolgt in der LNK-Phase bei der Prüfung anhand des Satzes verwendeter Schlüsselbilder. Bob kann den Grad der Mehrdeutigkeit selbst wählen: n = 1 bedeutet, dass die Wahrscheinlichkeit, die er hat Die ausgegebene Ausgabe beträgt 50 % Wahrscheinlichkeit, n = 99 ergibt 1 %. Die Größe der resultierenden Signatur nimmt zu linear wie O(n+1), daher kostet die verbesserte Anonymität Bob zusätzliche Transaktionsgebühren. Er kann es auch Setzen Sie n = 0 und sorgen Sie dafür, dass seine Ringsignatur nur aus einem Element besteht. Dies geschieht jedoch sofort entlarven ihn als Spender. 10 VER: Der Verifizierer prüft die Signatur, indem er die inversen Transformationen anwendet: ( L′ i = riG + ciPi R′ i = riHp(Pi) + ciI Abschließend prüft der Verifizierer, ob nP i=0 ci ?= Hs(m, L′ 0, . . . , L′ n, R′ 0, . . . , R′ n) mod l Wenn diese Gleichheit korrekt ist, führt der Verifizierer den Algorithmus LNK aus. Andernfalls lehnt der Prüfer ab die Unterschrift. LNK: Der Verifizierer prüft, ob I in früheren Signaturen verwendet wurde (diese Werte werden im gespeichert Satz I). Bei Mehrfachnutzungen handelt es sich um zwei Signaturen, die unter demselben geheimen Schlüssel erstellt wurden. Die Bedeutung des Protokolls: Durch die Anwendung von L-Transformationen beweist der Unterzeichner, dass er es weiß so x, dass mindestens ein Pi = xG. Um diesen Beweis nicht wiederholbar zu machen, führen wir das Schlüsselbild ein als I = xHp(P). Der Unterzeichner verwendet dieselben Koeffizienten (ri, ci), um fast dieselbe Aussage zu beweisen: er kennt solche x, dass mindestens ein \(H_p(P_i) = I \cdot x^{-1}\). Wenn die Abbildung \(x \to I\) eine Injektion ist: 1. Niemand kann den öffentlichen Schlüssel aus dem Schlüsselbild wiederherstellen und den Unterzeichner identifizieren. 2. Der Unterzeichner kann nicht zwei Signaturen mit unterschiedlichen Ien und demselben x erstellen. Eine vollständige Sicherheitsanalyse finden Sie in Anhang A. 4.5 Standard-CryptoNote-Transaktion Durch die Kombination beider Methoden (nicht verknüpfbare öffentliche Schlüssel und nicht nachvollziehbare Ringsignatur) erreicht Bob Neues Maß an Privatsphäre im Vergleich zum ursprünglichen Bitcoin-Schema. Es verlangt von ihm lediglich das Lagern einen privaten Schlüssel (a, b) und veröffentlichen (A, B), um mit dem Empfangen und Senden anonymer Transaktionen zu beginnen. Bei der Validierung jeder Transaktion führt Bob zusätzlich nur zwei elliptische Kurvenmultiplikationen und eine Addition pro Ausgabe durch, um zu prüfen, ob eine Transaktion ihm gehört. Für jeden Ausgabe Bob stellt ein einmaliges Schlüsselpaar (pi, Pi) und st wieder herEr steckt es in seine Brieftasche. Es können beliebige Eingaben erfolgen nachweislich nur dann denselben Eigentümer, wenn sie in einer einzigen Transaktion auftauchen. In Tatsächlich ist diese Beziehung aufgrund der einmaligen Ringsignatur viel schwieriger herzustellen. Mit einer Ringsignatur kann Bob jede Eingabe effektiv vor der einer anderen Person verbergen; alles möglich Es ist ebenso wahrscheinlich, dass Geld ausgegeben wird, selbst der Vorbesitzer (Alice) hat nicht mehr Informationen als jeder Beobachter. Bei der Unterzeichnung seiner Transaktion gibt Bob n Auslandsausgänge mit dem gleichen Betrag wie er an Ausgabe und mischt sie alle ohne Beteiligung anderer Benutzer. Bob selbst (sowie (jemand anderes) weiß nicht, ob eine dieser Zahlungen ausgegeben wurde: Es kann ein Output verwendet werden in Tausenden von Unterschriften als Unklarheitsfaktor und nie als Versteckziel. Das Doppelte Die Ausgabenprüfung erfolgt in der LNK-Phase bei der Prüfung anhand des Satzes verwendeter Schlüsselbilder. Bob kann den Grad der Mehrdeutigkeit selbst wählen: n = 1 bedeutet, dass die Wahrscheinlichkeit, die er hat Die ausgegebene Ausgabe beträgt 50 % Wahrscheinlichkeit, n = 99 ergibt 1 %. Die Größe der resultierenden Signatur nimmt zu linear wie O(n+1), daher kostet die verbesserte Anonymität Bob zusätzliche Transaktionsgebühren. Er kann es auch Setzen Sie n = 0 und sorgen Sie dafür, dass seine Ringsignatur nur aus einem Element besteht. Dies geschieht jedoch sofort entlarven ihn als Spender. 10 19 Zu diesem Zeitpunkt bin ich furchtbar verwirrt. Alex erhält eine Nachricht M mit Signatur (I,c_1, ..., c_n, r_1, ..., r_n) und Liste der öffentlichen Tasten S. und sie führt VER aus. Dadurch werden L_i‘ und R_i‘ berechnet. Dies bestätigt, dass c_s = c - sum_i neq s c_i auf der vorherigen Seite ist. Zuerst war ich SEHR (ha) verwirrt. Jeder kann L_i‘ und R_i‘ berechnen. In der Tat, jeder r_i und c_i wurden in der Signatur veröffentlicht Sigma zusammen mit dem Wert für I. Die Menge S = P_i aller öffentlichen Schlüssel wurde ebenfalls veröffentlicht. Also jeder, der Sigma und das Set gesehen hat Schlüssel S = P_i erhalten die gleichen Werte für L_i’ und R_i’ und überprüfen daher die Signatur. Aber dann fiel mir ein, dass es in diesem Abschnitt lediglich um die Beschreibung eines Signaturalgorithmus und nicht um eine „Prüfung“ geht Wenn es unterschrieben ist, prüfen Sie, ob es an mich gesendet wurde, und wenn ja, geben Sie das Geld aus. Das ist EINFACH das charakteristischer Teil des Spiels. Ich bin daran interessiert, Anhang A zu lesen, wenn ich endlich dort ankomme. Ich würde gerne einen vollständigen Operation-by-Operation-Vergleich von Cryptonote mit Bitcoin sehen. Auch Strom/Nachhaltigkeit. Welche Teile der Algorithmen stellen hier „Eingabe“ dar? Ich glaube, dass die Transaktionseingabe ein Betrag und eine Reihe von UTXOs ist, deren Summe einen größeren Betrag ergibt als der Betrag. Das ist unklar. „Ziel des Verstecks?“ Ich habe jetzt ein paar Minuten darüber nachgedacht und es ist mir immer noch nicht gelungen Die unklarste Vorstellung davon, was es bedeuten könnte. Ein Double-Spend-Angriff kann nur durch Manipulation des vermeintlichen verwendeten Schlüssels eines Knotens ausgeführt werden Bildersatz \(I\). „Mehrdeutigkeitsgrad“ = n, aber die Gesamtzahl der in der Transaktion enthaltenen öffentlichen Schlüssel beträgt n+1. Das heißt, der Grad der Unklarheit wäre: „Wie viele ANDERE Personen möchten Sie haben?“ die Menge?" Die Antwort wird wahrscheinlich standardmäßig „so viele wie möglich“ lauten.

VER: Der Verifizierer prüft die Signatur, indem er die inversen Transformationen anwendet: ( L′ i = riG + ciPi R′ i = riHp(Pi) + ciI Abschließend prüft der Verifizierer, ob nP i=0 ci ?= Hs(m, L′ 0, . . . , L′ n, R′ 0, . . . , R′ n) mod l Wenn diese Gleichheit korrekt ist, führt der Verifizierer den Algorithmus LNK aus. Andernfalls lehnt der Prüfer ab die Unterschrift. LNK: Der Verifizierer prüft, ob I in früheren Signaturen verwendet wurde (diese Werte werden im gespeichert Satz I). Bei Mehrfachnutzungen handelt es sich um zwei Signaturen, die unter demselben geheimen Schlüssel erstellt wurden. Die Bedeutung des Protokolls: Durch die Anwendung von L-Transformationen beweist der Unterzeichner, dass er es weiß so x, dass mindestens ein Pi = xG. Um diesen Beweis nicht wiederholbar zu machen, führen wir das Schlüsselbild ein als I = xHp(P). Der Unterzeichner verwendet dieselben Koeffizienten (ri, ci), um fast dieselbe Aussage zu beweisen: er kennt solche x, dass mindestens ein \(H_p(P_i) = I \cdot x^{-1}\). Wenn die Abbildung \(x \to I\) eine Injektion ist: 1. Niemand kann den öffentlichen Schlüssel aus dem Schlüsselbild wiederherstellen und den Unterzeichner identifizieren. 2. Der Unterzeichner kann nicht zwei Signaturen mit unterschiedlichen Ien und demselben x erstellen. Eine vollständige Sicherheitsanalyse finden Sie in Anhang A. 4.5 Standard-CryptoNote-Transaktion Durch die Kombination beider Methoden (nicht verknüpfbare öffentliche Schlüssel und nicht nachvollziehbare Ringsignatur) erreicht Bob Neues Maß an Privatsphäre im Vergleich zum ursprünglichen Bitcoin-Schema. Es verlangt von ihm lediglich das Lagern einen privaten Schlüssel (a, b) und veröffentlichen (A, B), um mit dem Empfangen und Senden anonymer Transaktionen zu beginnen. Bei der Validierung jeder Transaktion führt Bob zusätzlich nur zwei elliptische Kurvenmultiplikationen und eine Addition pro Ausgabe durch, um zu prüfen, ob eine Transaktion ihm gehört. Für jeden Ausgabe Bob stellt ein einmaliges Schlüsselpaar (pi, Pi) wieder her und speichert es in seiner Brieftasche. Es können beliebige Eingaben erfolgen nachweislich nur dann denselben Eigentümer, wenn sie in einer einzigen Transaktion auftauchen. In Tatsächlich ist diese Beziehung aufgrund der einmaligen Ringsignatur viel schwieriger herzustellen. Mit einer Ringsignatur kann Bob jede Eingabe effektiv vor der einer anderen Person verbergen; alles möglich Es ist ebenso wahrscheinlich, dass Geld ausgegeben wird, selbst der Vorbesitzer (Alice) hat nicht mehr Informationen als jeder Beobachter. Bei der Unterzeichnung seiner Transaktion gibt Bob n Auslandsausgänge mit dem gleichen Betrag wie er an Ausgabe und mischt sie alle ohne Beteiligung anderer Benutzer. Bob selbst (sowie (jemand anderes) weiß nicht, ob eine dieser Zahlungen ausgegeben wurde: Es kann ein Output verwendet werden in Tausenden von Unterschriften als Unklarheitsfaktor und nie als Versteckziel. Das Doppelte Die Ausgabenprüfung erfolgt in der LNK-Phase bei der Prüfung anhand des Satzes verwendeter Schlüsselbilder. Bob kann den Grad der Mehrdeutigkeit selbst wählen: n = 1 bedeutet, dass die Wahrscheinlichkeit, die er hat Die ausgegebene Ausgabe beträgt 50 % Wahrscheinlichkeit, n = 99 ergibt 1 %. Die Größe der resultierenden Signatur nimmt zu linear wie O(n+1), daher kostet die verbesserte Anonymität Bob zusätzliche Transaktionsgebühren. Er kann es auch Setzen Sie n = 0 und sorgen Sie dafür, dass seine Ringsignatur nur aus einem Element besteht. Dies geschieht jedoch sofort entlarven ihn als Spender. 10 VER: Der Verifizierer prüft die Signatur, indem er die inversen Transformationen anwendet: ( L′ i = riG + ciPi R′ i = riHp(Pi) + ciI Abschließend prüft der Verifizierer, ob nP i=0 ci ?= Hs(m, L′ 0, . . . , L′ n, R′ 0, . . . , R′ n) mod l Wenn diese Gleichheit korrekt ist, führt der Verifizierer den Algorithmus LNK aus. Andernfalls lehnt der Prüfer ab die Unterschrift. LNK: Der Verifizierer prüft, ob I in früheren Signaturen verwendet wurde (diese Werte werden im gespeichert Satz I). Bei Mehrfachnutzungen handelt es sich um zwei Signaturen, die unter demselben geheimen Schlüssel erstellt wurden. Die Bedeutung des Protokolls: Durch die Anwendung von L-Transformationen beweist der Unterzeichner, dass er es weiß so x, dass mindestens ein Pi = xG. Um diesen Beweis nicht wiederholbar zu machen, führen wir das Schlüsselbild ein als I = xHp(P). Der Unterzeichner verwendet dieselben Koeffizienten (ri, ci), um fast dieselbe Aussage zu beweisen: er kennt solche x, dass mindestens ein \(H_p(P_i) = I \cdot x^{-1}\). Wenn die Abbildung \(x \to I\) eine Injektion ist: 1. Niemand kann den öffentlichen Schlüssel aus dem Schlüsselbild wiederherstellen und den Unterzeichner identifizieren. 2. Der Unterzeichner kann nicht zwei Signaturen mit unterschiedlichen Ien und demselben x erstellen. Eine vollständige Sicherheitsanalyse finden Sie in Anhang A. 4.5 Standard-CryptoNote-Transaktion Durch die Kombination beider Methoden (nicht verknüpfbare öffentliche Schlüssel und nicht nachvollziehbare Ringsignatur) erreicht Bob Neues Maß an Privatsphäre im Vergleich zum ursprünglichen Bitcoin-Schema. Es verlangt von ihm lediglich das Lagern einen privaten Schlüssel (a, b) und veröffentlichen (A, B), um mit dem Empfangen und Senden anonymer Transaktionen zu beginnen. Bei der Validierung jeder Transaktion führt Bob zusätzlich nur zwei elliptische Kurvenmultiplikationen und eine Addition pro Ausgabe durch, um zu prüfen, ob eine Transaktion ihm gehört. Für jeden Ausgabe Bob stellt ein einmaliges Schlüsselpaar (pi, Pi) und st wieder herEr steckt es in seine Brieftasche. Es können beliebige Eingaben erfolgen nachweislich nur dann denselben Eigentümer, wenn sie in einer einzigen Transaktion auftauchen. In Tatsächlich ist diese Beziehung aufgrund der einmaligen Ringsignatur viel schwieriger herzustellen. Mit einer Ringsignatur kann Bob jede Eingabe effektiv vor der einer anderen Person verbergen; alles möglich Es ist ebenso wahrscheinlich, dass Geld ausgegeben wird, selbst der Vorbesitzer (Alice) hat nicht mehr Informationen als jeder Beobachter. Bei der Unterzeichnung seiner Transaktion gibt Bob n Auslandsausgänge mit dem gleichen Betrag wie er an Ausgabe und mischt sie alle ohne Beteiligung anderer Benutzer. Bob selbst (sowie (jemand anderes) weiß nicht, ob eine dieser Zahlungen ausgegeben wurde: Es kann ein Output verwendet werden in Tausenden von Unterschriften als Unklarheitsfaktor und nie als Versteckziel. Das Doppelte Die Ausgabenprüfung erfolgt in der LNK-Phase bei der Prüfung anhand des Satzes verwendeter Schlüsselbilder. Bob kann den Grad der Mehrdeutigkeit selbst wählen: n = 1 bedeutet, dass die Wahrscheinlichkeit, die er hat Die ausgegebene Ausgabe beträgt 50 % Wahrscheinlichkeit, n = 99 ergibt 1 %. Die Größe der resultierenden Signatur nimmt zu linear wie O(n+1), daher kostet die verbesserte Anonymität Bob zusätzliche Transaktionsgebühren. Er kann es auch Setzen Sie n = 0 und sorgen Sie dafür, dass seine Ringsignatur nur aus einem Element besteht. Dies geschieht jedoch sofort entlarven ihn als Spender. 10 20 Das ist interessant; Zuvor haben wir einem Empfänger, Bob, die Möglichkeit gegeben, alle EINGÄNGE zu tätigen Transaktionen können nicht aufgehoben werden, entweder durch deterministische Auswahl der Hälfte seiner privaten Schlüssel oder durch die Hälfte seiner privaten Schlüssel als öffentlich veröffentlichen. Dabei handelt es sich um eine Art No-Go-Back-Politik. Hier sehen wir Eine Möglichkeit eines Absenders, Alex, eine einzelne ausgehende Transaktion als verknüpfbar auszuwählen, aber tatsächlich diese verrät dem gesamten Netzwerk, dass Alex der Absender ist. Dabei handelt es sich NICHT um eine No-going-back-Politik. Dies geschieht von Transaktion zu Transaktion. Gibt es eine dritte Richtlinie? Kann ein Empfänger, Bob, eine eindeutige Zahlungs-ID für Alex generieren? ändert sich nie, vielleicht mithilfe eines Diﬃe-Hellman-Austauschs? Wenn jemand diese Zahlung einbezieht Der Ausweis, der irgendwo in ihrer Transaktion an Bobs Adresse gebündelt war, muss von Alex stammen. Auf diese Weise muss sich Alex nicht dem gesamten Netzwerk offenbaren, indem sie sich für die Verlinkung einer bestimmten Person entscheidet Transaktion, kann sich aber dennoch gegenüber der Person, an die sie ihr Geld sendet, identifizieren. Ist das nicht das, was Poloniex macht?

Transaktion Tx-Eingang Ausgabe0 . . . Ausgabei . . . Ausgaben Schlüsselbild Unterschriften Ringsignatur Zielschlüssel Ausgang1 Zielschlüssel Ausgaben Auslandsgeschäfte Ausgabe des Absenders Zielschlüssel Einmaliges Schlüsselpaar Einmalig privater Schlüssel I = xHp(P) P, x Abb. 7. Generierung einer Ringsignatur in einer Standardtransaktion. 5 Egalitärer Arbeitsnachweis In diesem Abschnitt schlagen wir den neuen proof-of-work-Algorithmus vor und begründen ihn. Unser oberstes Ziel besteht darin, die Lücke zwischen CPU- (Mehrheit) und GPU/FPGA/ASIC-Minern (Minderheit) zu schließen. Es ist angemessen, dass einige Benutzer einen gewissen Vorteil gegenüber anderen haben können, aber ihre Investitionen sollte mindestens linear mit der Leistung wachsen. Im Allgemeinen handelt es sich um die Herstellung von Spezialgeräten muss möglichst wenig profitabel sein. 5.1 Verwandte Werke Das ursprüngliche Protokoll Bitcoin proof-of-work verwendet die CPU-intensive Preisfunktion SHA-256. Es besteht hauptsächlich aus grundlegenden logischen Operatoren und basiert ausschließlich auf der Rechengeschwindigkeit von Prozessor und eignet sich daher hervorragend für die Multicore-/Conveyer-Implementierung. Allerdings sind moderne Computer nicht nur durch die Anzahl der Operationen pro Sekunde begrenzt, sondern auch nach Speichergröße. Während einige Prozessoren wesentlich schneller sein können als andere [8], Es ist weniger wahrscheinlich, dass die Speichergröße zwischen den Computern variiert. Speichergebundene Preisfunktionen wurden erstmals von Abadi et al. eingeführt und als definiert „Funktionen, deren Rechenzeit von der Zeit dominiert wird, die für den Zugriff auf den Speicher aufgewendet wird“ [15]. Die Hauptidee besteht darin, einen Algorithmus zu konstruieren, der einen großen Datenblock („Scratchpad“) zuweist. innerhalb des Speichers, auf den relativ langsam zugegriffen werden kann (z. B. RAM) und „Zugriff auf eine „unvorhersehbare Abfolge von Orten“ darin enthalten. Ein Block sollte groß genug sein, um das Einkochen zu ermöglichen Die Daten sind vorteilhafter, als sie bei jedem Zugriff neu zu berechnen. Der Algorithmus sollte auch Verhindern Sie interne Parallelität, daher sollten N gleichzeitige Threads N-mal mehr Speicher benötigen auf einmal. Dwork et al. [22] untersuchten und formalisierten diesen Ansatz und schlugen einen anderen vor Variante der Preisfunktion: „Mbound“. Ein weiteres Werk gehört F. Coelho [20], der 11 Transaktion Tx-Eingang Ausgabe0 . . . Ausgabei . . . Ausgaben Schlüsselbild Unterschriften Ringsignatur Zielschlüssel Ausgang1 Zielschlüssel Ausgaben Auslandsgeschäfte Ausgabe des Absenders Zielschlüssel Einmaliges Schlüsselpaar Einmalig privater Schlüssel I = xHp(P) P, x Abb. 7. Generierung einer Ringsignatur in einer Standardtransaktion. 5 Egalitärer Arbeitsnachweis In diesem Abschnitt schlagen wir den neuen proof-of-work-Algorithmus vor und begründen ihn. Unser oberstes Ziel besteht darin, die Lücke zwischen CPU- (Mehrheit) und GPU/FPGA/ASIC-Minern (Minderheit) zu schließen. Es ist angemessen, dass einige Benutzer einen gewissen Vorteil gegenüber anderen haben können, aber ihre Investitionen sollte mindestens linear mit der Leistung wachsen. Im Allgemeinen handelt es sich um die Herstellung von Spezialgeräten muss möglichst wenig profitabel sein. 5.1 Verwandte Werke Das ursprüngliche Protokoll Bitcoin proof-of-work verwendet die CPU-intensive Preisfunktion SHA-256. Es besteht hauptsächlich aus grundlegenden logischen Operatoren und basiert ausschließlich auf der Rechengeschwindigkeit von Prozessor und eignet sich daher hervorragend für die Multicore-/Conveyer-Implementierung. Allerdings sind moderne Computer nicht nur durch die Anzahl der Operationen pro Sekunde begrenzt, sondern auch nach Speichergröße. Während einige Prozessoren wesentlich schneller sein können als andere [8], Es ist weniger wahrscheinlich, dass die Speichergröße zwischen den Computern variiert. Speichergebundene Preisfunktionen wurden erstmals von Abadi et al. eingeführt und als definiert „Funktionen, deren Rechenzeit von der Zeit dominiert wird, die für den Zugriff auf den Speicher aufgewendet wird“ [15]. Die Hauptidee besteht darin, einen Algorithmus zu konstruieren, der einen großen Datenblock („Scratchpad“) zuweist. innerhalb des Speichers, auf den relativ langsam zugegriffen werden kann (z. B. RAM) und „Zugriff auf eine „unvorhersehbare Abfolge von Orten“ darin enthalten. Ein Block sollte groß genug sein, um das Einkochen zu ermöglichen Die Daten sind vorteilhafter, als sie bei jedem Zugriff neu zu berechnen. Der Algorithmus sollte auch Verhindern Sie interne Parallelität, daher sollten N gleichzeitige Threads N-mal mehr Speicher benötigen auf einmal. Dwork et al [22] untersuchten und formalisierten diesen Ansatz und schlugen einen anderen vor Variante der Preisfunktion: „Mbound“. Ein weiteres Werk gehört F. Coelho [20], der 11 21 Dies sind angeblich unsere UTXO: Beträge und Zielschlüssel. Wenn Alex derjenige ist, der diese Standardtransaktion erstellt und an Bob sendet, dann verfügt Alex auch über die privaten Schlüssel zu jedem von diesen. Mir gefällt dieses Diagramm sehr gut, weil es einige frühere Fragen beantwortet. Ein Txn-Eingang besteht aus einer Reihe von Txn-Ausgängen und einem key Bild. Anschließend wird es mit einer Ringsignatur signiert, inklusive aller der privaten Schlüssel, die Alex für alle in den Deal einbezogenen Auslandstransaktionen besitzt. Die Die Txn-Ausgabe besteht aus einem Betrag und einem Zielschlüssel. Der Empfänger der Transaktion kann, Generieren Sie nach Belieben ihren einmaligen privaten Schlüssel, wie weiter oben in diesem Artikel beschrieben, um ihn auszugeben das Geld. Es wird eine Freude sein herauszufinden, inwieweit dies mit dem tatsächlichen Code übereinstimmt ... Nein, Nic van Saberhagen beschreibt nur lose einige Eigenschaften eines Proof-of-Work-Algorithmus. ohne diesen Algorithmus tatsächlich zu beschreiben. Der CryptoNight-Algorithmus selbst ERFORDERT eine gründliche Analyse. Als ich das las, stotterte ich. Sollten die Investitionen zumindest linear mit der Macht wachsen oder sollten? Wachsen die Investitionen höchstens linear mit der Leistung? Und dann wurde mir klar; Als Bergmann oder Investor frage ich mich normalerweise: „Wie viel Strom kann ich bekommen?“ für eine Investition?“ nicht „Wie viel Investition ist für eine feste Strommenge erforderlich?“ Natürlich bezeichne ich die Investition mit I und die Macht mit P. Wenn I(P) die Investition als Funktion der Macht ist und P(I) die Leistung als Funktion der Investition ist, werden sie das Gegenteil voneinander sein (wo auch immer). Es können Umkehrungen existieren). Und wenn I(P) schneller als linear ist, ist P(I) langsamer als linear. Daher, Es wird eine reduzierte Rendite für Anleger geben. Das heißt, was der Autor hier sagt ist: „Klar, je mehr man investiert, desto mehr bekommt man.“ Macht. Aber wir sollten versuchen, daraus eine Sache mit reduzierten Renditen zu machen.“ Die CPU-Investitionen werden letztendlich sublinear begrenzt; Die Frage ist, ob die Autoren haben einen POW-Algorithmus entwickelt, der die ASICs dazu zwingt, dies ebenfalls zu tun. Sollte eine hypothetische „zukünftige Währung“ immer mit den langsamsten/begrenztesten Ressourcen abbauen? Das Papier von Abadi et al. (das einige Google- und Microsoft-Ingenieure als Autoren hat) lautet: im Wesentlichen unter Ausnutzung der Tatsache, dass die Speichergröße in den letzten Jahren viel kleiner geworden ist Die Unterschiede zwischen den Maschinen sind größer als die Prozessorgeschwindigkeit und das Verhältnis von Investition zu Leistung ist mehr als linear. In einigen Jahren muss dies möglicherweise neu bewertet werden! Alles ist ein Wettrüsten... Das Konstruieren einer hash-Funktion ist schwierig; Das Konstruieren einer hash-Funktion, die diese Einschränkungen erfüllt, scheint schwieriger zu sein. Dieses Papier scheint keine Erklärung für das Tatsächliche zu haben hashing-Algorithmus CryptoNight. Ich denke, es handelt sich um eine speicherintensive Implementierung von SHA-3 in Forenbeiträgen, aber ich habe keine Ahnung ... und das ist der Punkt. Es muss erklärt werden.

schlug die effektivste Lösung vor: „Hokkaido“. Nach unserem Kenntnisstand ist dies die letzte Arbeit, die auf der Idee der pseudozufälligen Suche in einem großen Array basiert der von C. Percival als „scrypt“ bekannte Algorithmus [32]. Im Gegensatz zu den vorherigen Funktionen konzentriert es sich auf Schlüsselableitung und nicht proof-of-work Systeme. Trotz dieser Tatsache kann scrypt unseren Zweck erfüllen: Es eignet sich gut als Preisfunktion beim partiellen hash-Konvertierungsproblem wie SHA-256 in Bitcoin. Mittlerweile wurde Scrypt bereits in Litecoin, [14] und einigen anderen Bitcoin-Forks angewendet. Allerdings ist seine Implementierung nicht wirklich speichergebunden: Das Verhältnis „Speicherzugriffszeit / insgesamt“. Zeit“ ist nicht groß genug, da jede Instanz nur 128 KB verwendet. Dies ermöglicht GPU-Miner ist ungefähr zehnmal effektiver und lässt weiterhin die Möglichkeit, relativ viel zu schaffen billige, aber hocheffiziente Bergbaugeräte. Darüber hinaus ermöglicht die Verschlüsselungskonstruktion selbst einen linearen Kompromiss zwischen Speichergröße und CPU-Geschwindigkeit aufgrund der Tatsache, dass jeder Block im Scratchpad nur vom vorherigen abgeleitet ist. Sie können beispielsweise jeden zweiten Block speichern und die anderen nur verzögert, also nur, neu berechnen wenn es notwendig wird. Es wird angenommen, dass die Pseudozufallsindizes gleichmäßig verteilt sind. Daher beträgt der erwartete Wert der Neuberechnungen der zusätzlichen Blöcke 1 \(2 \cdot N\), wobei N die Zahl ist von Iterationen. Die Gesamtrechenzeit erhöht sich weniger als um die Hälfte, weil es auch solche gibt Zeitunabhängige (zeitkonstante) Vorgänge wie das Vorbereiten des Notizblocks und das Weitermachen jede Iteration. Das Einsparen von 2/3 des Speichers kostet 1 \(3 \cdot N\) + 1 3 \(\cdot\) \(2 \cdot N\) = N zusätzliche Neuberechnungen; 9/10 ergibt 1 \(10 \cdot N\) + . . . + 1 \(10 \cdot 9 \cdot N\) = 4,5N. Es ist leicht zu zeigen, dass die Speicherung von nur 1 s aller Blöcke erhöht die Zeit weniger als um den Faktor s−1 2 . Dies wiederum impliziert, dass eine Maschine mit einer CPU ausgestattet ist 200-mal schneller als die modernen Chips können nur 320 Bytes des Notizblocks speichern. 5.2 Der vorgeschlagene Algorithmus Wir schlagen einen neuen speichergebundenen Algorithmus für die Preisfunktion proof-of-work vor. Es verlässt sich darauf Direktzugriff auf einen langsamen Speicher und betont die Latenzabhängigkeit. Im Gegensatz zu „jedem verschlüsseln“. Der neue Block (64 Byte lang) hängt von allen vorherigen Blöcken ab. Im Ergebnis eine Hypothese „Speichersparer“ sollte seine Rechengeschwindigkeit exponentiell steigern. Unser Algorithmus benötigt aus folgenden Gründen etwa 2 MB pro Instanz: 1. Es passt in den L3-Cache (pro Kern) moderner Prozessoren, die zum Mainstream werden sollten in ein paar Jahren; 2. Ein Megabyte interner Speicher ist für eine moderne ASIC-Pipeline eine nahezu inakzeptable Größe; 3. GPUs können Hunderte von Instanzen gleichzeitig ausführen, sie sind jedoch in anderer Hinsicht eingeschränkt: Der GDDR5-Speicher ist langsamer als der L3-Cache der CPU und zeichnet sich durch seine Bandbreite aus, nicht jedoch Direktzugriffsgeschwindigkeit. 4. Eine erhebliche Erweiterung des Scratchpads würde eine Zunahme der Iterationen erfordern, was in Umdrehung impliziert eine Gesamtzeitverlängerung. „Schwere“ Anrufe in einem vertrauenswürdigen P2P-Netzwerk können dazu führen schwerwiegende Schwachstellen, da Knoten verpflichtet sind, den proof-of-work jedes neuen Blocks zu überprüfen. Wenn ein Knoten viel Zeit für jede hash-Auswertung aufwendet, kann dies leicht der Fall sein DDoSed durch eine Flut gefälschter Objekte mit willkürlichen Arbeitsdaten (nonce Werte). 12 schlug die effektivste Lösung vor: „Hokkaido“. Nach unserem Kenntnisstand ist dies die letzte Arbeit, die auf der Idee der pseudozufälligen Suche in einem großen Array basiert der von C. Percival als „scrypt“ bekannte Algorithmus [32]. Im Gegensatz zu den vorherigen Funktionen konzentriert es sich auf Schlüsselableitung und nicht proof-of-work Systeme. Trotz dieser Tatsache kann scrypt unseren Zweck erfüllen: Es eignet sich gut als Preisfunktion beim partiellen hash-Konvertierungsproblem wie SHA-256 in Bitcoin. Mittlerweile wurde Scrypt bereits in Litecoin, [14] und einigen anderen Bitcoin-Forks angewendet. Allerdings ist seine Implementierung nicht wirklich speichergebunden: Das Verhältnis „Speicherzugriffszeit / insgesamt“. Zeit“ ist nicht groß genug, da jede Instanz nur 128 KB verwendet. Dies ermöglicht GPU-Miner ist ungefähr zehnmal effektiver und lässt weiterhin die Möglichkeit, relativ viel zu schaffen billige, aber hocheffiziente Bergbaugeräte. Darüber hinaus ermöglicht die Verschlüsselungskonstruktion selbst einen linearen Kompromiss zwischen Speichergröße und CPU-Geschwindigkeit aufgrund der Tatsache, dass jeder Block im Scratchpad nur vom vorherigen abgeleitet ist. Sie können beispielsweise jeden zweiten Block speichern und die anderen nur verzögert, also nur, neu berechnen wenn es notwendig wird. Es wird angenommen, dass die Pseudozufallsindizes gleichmäßig verteilt sind. Daher beträgt der erwartete Wert der Neuberechnungen der zusätzlichen Blöcke 1 \(2 \cdot N\), woN ist die Zahl von Iterationen. Die Gesamtrechenzeit erhöht sich weniger als um die Hälfte, weil es auch solche gibt Zeitunabhängige (zeitkonstante) Vorgänge wie das Vorbereiten des Notizblocks und das Weitermachen jede Iteration. Das Einsparen von 2/3 des Speichers kostet 1 \(3 \cdot N\) + 1 3 \(\cdot\) \(2 \cdot N\) = N zusätzliche Neuberechnungen; 9/10 ergibt 1 \(10 \cdot N\) + . . . + 1 \(10 \cdot 9 \cdot N\) = 4,5N. Es ist leicht zu zeigen, dass die Speicherung von nur 1 s aller Blöcke erhöht die Zeit weniger als um den Faktor s−1 2 . Dies wiederum impliziert, dass eine Maschine mit einer CPU ausgestattet ist 200-mal schneller als die modernen Chips können nur 320 Bytes des Notizblocks speichern. 5.2 Der vorgeschlagene Algorithmus Wir schlagen einen neuen speichergebundenen Algorithmus für die Preisfunktion proof-of-work vor. Es verlässt sich darauf Direktzugriff auf einen langsamen Speicher und betont die Latenzabhängigkeit. Im Gegensatz zu „jedem verschlüsseln“. Der neue Block (64 Byte lang) hängt von allen vorherigen Blöcken ab. Im Ergebnis eine Hypothese „Speichersparer“ sollte seine Rechengeschwindigkeit exponentiell steigern. Unser Algorithmus benötigt aus folgenden Gründen etwa 2 MB pro Instanz: 1. Es passt in den L3-Cache (pro Kern) moderner Prozessoren, die zum Mainstream werden sollten in ein paar Jahren; 2. Ein Megabyte interner Speicher ist für eine moderne ASIC-Pipeline eine nahezu inakzeptable Größe; 3. GPUs können Hunderte von Instanzen gleichzeitig ausführen, sie sind jedoch in anderer Hinsicht eingeschränkt: Der GDDR5-Speicher ist langsamer als der L3-Cache der CPU und zeichnet sich durch seine Bandbreite aus, nicht jedoch Direktzugriffsgeschwindigkeit. 4. Eine erhebliche Erweiterung des Scratchpads würde eine Zunahme der Iterationen erfordern, was in Umdrehung impliziert eine Gesamtzeitverlängerung. „Schwere“ Anrufe in einem vertrauenswürdigen P2P-Netzwerk können dazu führen schwerwiegende Schwachstellen, da Knoten verpflichtet sind, den proof-of-work jedes neuen Blocks zu überprüfen. Wenn ein Knoten viel Zeit für jede hash-Auswertung aufwendet, kann dies leicht der Fall sein DDoSed durch eine Flut gefälschter Objekte mit willkürlichen Arbeitsdaten (nonce-Werten). 12 22 Egal, es ist eine Kryptomünze? Wo ist der Algorithmus? Ich sehe nur eine Werbung. Hier wird Cryptonote, wenn sich sein PoW-Algorithmus lohnt, wirklich glänzen. Das ist es nicht wirklich SHA-256, es ist nicht wirklich verschlüsselt. Es ist neu, speichergebunden und nicht rekursiv.

6 Weitere Vorteile 6.1 Sanfte Emission Die Obergrenze für die Gesamtmenge der digitalen CryptoNote-Münzen beträgt: MSupply = 264 −1 atomare Einheiten. Dies ist eine natürliche Einschränkung, die nur auf Implementierungsgrenzen und nicht auf Intuition basiert wie zum Beispiel „N Münzen sollten für jeden reichen“. Um einen reibungslosen Emissionsprozess sicherzustellen, verwenden wir die folgende Blockformel Belohnungen: BaseReward = (MSupply −A) ≫18, wobei A die Menge der zuvor generierten Münzen ist. 6.2 Einstellbare Parameter 6.2.1 Schwierigkeit CryptoNote enthält einen Targeting-Algorithmus, der die Schwierigkeit jedes Blocks ändert. Dies verringert die Reaktionszeit des Systems, wenn die Netzwerkrate stark wächst oder sinkt, Beibehaltung einer konstanten Blockrate. Die ursprüngliche Methode Bitcoin berechnet das tatsächliche Verhältnis und Zielzeitspanne zwischen den letzten 2016-Blöcken und verwendet sie als Multiplikator für den aktuellen Schwierigkeit. Offensichtlich ist dies für schnelle Neuberechnungen ungeeignet (aufgrund der großen Trägheit) und führt zu Schwingungen. Die allgemeine Idee unseres Algorithmus besteht darin, die gesamte von den Knoten und geleistete Arbeit zu summieren Teilen Sie es durch die Zeit, die sie verbracht haben. Als Maß für die Arbeit dienen die entsprechenden Schwierigkeitswerte in jedem Block. Aufgrund ungenauer und nicht vertrauenswürdiger Zeitstempel können wir den genauen Zeitpunkt jedoch nicht ermitteln Zeitintervall zwischen Blöcken. Ein Benutzer kann seinen Zeitstempel in die Zukunft und zum nächsten Zeitpunkt verschieben Die Intervalle könnten unwahrscheinlich klein oder sogar negativ sein. Vermutlich wird es nur wenige Vorfälle geben Auf diese Weise können wir einfach die Zeitstempel sortieren und die Ausreißer (d. h. 20 %) abschneiden. Die Reichweite von Der Restwert ist die Zeit, die für 80 % der entsprechenden Blöcke aufgewendet wurde. 6.2.2 Größenbeschränkungen Benutzer zahlen für die Speicherung des blockchain und sind berechtigt, über dessen Größe abzustimmen. Jeder Bergmann befasst sich mit dem Zielkonflikt zwischen dem Ausgleich der Kosten und dem Gewinn aus den Gebühren und legt seine eigenen fest „Soft-Limit“ zum Erstellen von Blöcken. Auch die Kernregel für die maximale Blockgröße ist notwendig Dieser Wert sollte jedoch verhindern, dass blockchain mit gefälschten Transaktionen überflutet wird nicht fest codiert sein. Sei MN der Medianwert der letzten N Blockgrößen. Dann die „harte Grenze“ für die Größe der Aufnahmeblöcke beträgt \(2 \cdot M_N\). Es verhindert ein Aufblähen des blockchain, ermöglicht aber dennoch die Begrenzung bei Bedarf langsam mit der Zeit wachsen. Die Transaktionsgröße muss nicht explizit begrenzt werden. Sie ist durch die Größe eines Blocks begrenzt; und wenn jemand eine riesige Transaktion mit Hunderten von Ein-/Ausgaben (oder mit (z. B. aufgrund des hohen Mehrdeutigkeitsgrads der Ringsignaturen) kann er dies tun, indem er eine entsprechende Gebühr entrichtet. 6.2.3 Strafe für Übergröße Ein Miner hat immer noch die Möglichkeit, einen Block bis zum Maximum mit seinen eigenen gebührenfreien Transaktionen zu füllen Größe 2 \(\cdot\) MB. Auch wenn nur die Mehrheit der Bergleute den Medianwert verschieben kann, gibt es dennoch einen 13 6 Weitere Vorteile 6.1 Sanfte Emission Die Obergrenze für die Gesamtmenge der digitalen CryptoNote-Münzen beträgt: MSupply = 264 −1 atomare Einheiten. Dies ist eine natürliche Einschränkung, die nur auf Implementierungsgrenzen und nicht auf Intuition basiert wie zum Beispiel „N Münzen sollten für jeden reichen“. Um einen reibungslosen Emissionsprozess sicherzustellen, verwenden wir die folgende Blockformel Belohnungen: BaseReward = (MSupply −A) ≫18, wobei A die Menge der zuvor generierten Münzen ist. 6.2 Einstellbare Parameter 6.2.1 Schwierigkeit CryptoNote enthält einen Targeting-Algorithmus, der die Schwierigkeit jedes Blocks ändert. Dies verringert die Reaktionszeit des Systems, wenn die Netzwerkrate stark wächst oder sinkt, Beibehaltung einer konstanten Blockrate. Die ursprüngliche Methode Bitcoin berechnet das tatsächliche Verhältnis und Zielzeitspanne zwischen den letzten 2016-Blöcken und verwendet sie als Multiplikator für den aktuellen Schwierigkeit. Offensichtlich ist dies für schnelle Neuberechnungen ungeeignet (aufgrund der großen Trägheit) und führt zu Schwingungen. Die allgemeine Idee unseres Algorithmus besteht darin, die gesamte von den Knoten und geleistete Arbeit zu summieren Teilen Sie es durch die Zeit, die sie verbracht haben. Als Maß für die Arbeit dienen die entsprechenden Schwierigkeitswerte in jedem Block. Aufgrund ungenauer und nicht vertrauenswürdiger Zeitstempel können wir den genauen Zeitpunkt jedoch nicht ermitteln Zeitintervall zwischen Blöcken. Ein Benutzer kann seinen Zeitstempel in die Zukunft und zum nächsten Zeitpunkt verschieben Die Intervalle könnten unwahrscheinlich klein oder sogar negativ sein. Vermutlich wird es nur wenige Vorfälle geben Auf diese Weise können wir einfach die Zeitstempel sortieren und die Ausreißer (d. h. 20 %) abschneiden. Die Reichweite von Der Restwert ist die Zeit, die für 80 % der entsprechenden Blöcke aufgewendet wurde. 6.2.2 Größenbeschränkungen Benutzer zahlen für die Speicherung des blockchain und sind berechtigt, über dessen Größe abzustimmen. Jeder Bergmann befasst sich mit dem Kompromiss zwischen dem Ausgleich von thEr erwirtschaftet Kosten und Gewinn aus den Gebühren und legt seine eigenen fest „Soft-Limit“ zum Erstellen von Blöcken. Auch die Kernregel für die maximale Blockgröße ist notwendig Dieser Wert sollte jedoch verhindern, dass blockchain mit gefälschten Transaktionen überflutet wird nicht fest codiert sein. Sei MN der Medianwert der letzten N Blockgrößen. Dann die „harte Grenze“ für die Größe der Aufnahmeblöcke beträgt \(2 \cdot M_N\). Es verhindert ein Aufblähen des blockchain, ermöglicht aber dennoch die Begrenzung bei Bedarf langsam mit der Zeit wachsen. Die Transaktionsgröße muss nicht explizit begrenzt werden. Sie ist durch die Größe eines Blocks begrenzt; und wenn jemand eine riesige Transaktion mit Hunderten von Ein-/Ausgaben (oder mit (z. B. aufgrund des hohen Mehrdeutigkeitsgrads der Ringsignaturen) kann er dies tun, indem er eine entsprechende Gebühr entrichtet. 6.2.3 Strafe für Übergröße Ein Miner hat immer noch die Möglichkeit, einen Block bis zum Maximum mit seinen eigenen gebührenfreien Transaktionen zu füllen Größe 2 \(\cdot\) MB. Auch wenn nur die Mehrheit der Bergleute den Medianwert verschieben kann, gibt es dennoch einen 13 23 Atomare Einheiten. Ich mag es. Ist das das Äquivalent von Satoshis? Wenn ja, dann bedeutet das, dass es 185 Milliarden Kryptonoten geben wird. Ich weiß, dass dies irgendwann auf ein paar Seiten optimiert werden muss, oder liegt vielleicht ein Tippfehler vor? Wenn die Basisbelohnung „alle verbleibenden Münzen“ beträgt, reicht nur ein Block aus, um alle Münzen zu erhalten. Instamin. Andererseits, wenn dies in irgendeiner Weise proportional zum sein soll Gibt es einen zeitlichen Unterschied zwischen jetzt und einem Datum, an dem die Münzproduktion endet? Das würde Sinn ergeben. Außerdem bedeuten in meiner Welt zwei Größer-als-Zeichen wie dieses „viel größer als“. Hat der Autor möglicherweise etwas anderes bedeuten? Wenn die Anpassung an den Schwierigkeitsgrad bei jedem Block erfolgt, könnte ein Angreifer über eine sehr große Farm verfügen Maschinen schalten den Bergbau in sorgfältig ausgewählten Zeitintervallen ein und aus. Dies könnte zu einer chaotischen Explosion (oder einem Absturz auf Null) des Schwierigkeitsgrads führen, wenn die Schwierigkeitsanpassungsformeln nicht angemessen gedämpft werden. Zweifellos ist die Methode von Bitcoin für schnelle Neuberechnungen ungeeignet, aber die Idee der Trägheit in diesen Systemen müssten nachgewiesen und nicht als selbstverständlich angesehen werden. Darüber hinaus Schwingungen Im Netzwerk sind Schwierigkeiten nicht unbedingt ein Problem, es sei denn, sie führen zu scheinbaren Schwankungen Angebot an Münzen - und ein sich sehr schnell ändernder Schwierigkeitsgrad könnte zu einer „Überkorrektur“ führen. Die aufgewendete Zeit, insbesondere über einen kurzen Zeitraum wie ein paar Minuten, ist proportional zur „Gesamtzeit“. Anzahl der im Netzwerk erstellten Blöcke. Die Proportionalitätskonstante selbst wird wachsen im Laufe der Zeit, vermutlich exponentiell, wenn CN abhebt. Möglicherweise ist es eine bessere Idee, einfach die Schwierigkeit anzupassen, um die „Gesamtzahl der erstellten Blöcke“ beizubehalten Netzwerk, seit der letzte Block zur Hauptkette hinzugefügt wurde“ innerhalb eines konstanten Werts oder mit begrenzte Variation oder so ähnlich. Wenn es sich um einen adaptiven Algorithmus handelt, der rechnerisch ist Wenn festgestellt werden kann, dass die Implementierung einfach ist, scheint dies das Problem zu lösen. Aber wenn wir diese Methode anwenden würden, könnte jemand mit einer großen Mining-Farm seine Farm schließen für ein paar Stunden und schalten Sie es dann wieder ein. Für die ersten paar Blöcke wird diese Farm reichen Bank. Tatsächlich würde diese Methode einen interessanten Punkt ansprechen: Bergbau wird (im Durchschnitt) zu einem Verliererspiel ohne ROI, insbesondere da immer mehr Leute auf das Netzwerk zugreifen. Wenn der Bergbau schwierig ist Ich bezweifle irgendwie, dass die Leute so viel abbauen würden wie sie derzeit tun. Oder sie halten ihre Mining-Farmen andererseits nicht rund um die Uhr am Laufen, sondern drehen sie um 6 Stunden an, 2 Stunden aus, 6 Stunden an, 2 Stunden aus oder so ähnlich. Wechseln Sie einfach zu einer anderen Münze Warten Sie ein paar Stunden, bis die Schwierigkeit nachlässt, und steigen Sie dann wieder ein, um die paar Extras zu gewinnen Rentabilitätsblöcke, wenn sich das Netzwerk anpasst. Und wissen Sie was? Das ist tatsächlich wahrscheinlich Eines der besseren Mining-Szenarien, an die ich gedacht habe ... Dies könnte kreisförmig sein, aber wenn die Blockerstellungszeit durchschnittlich etwa eine Minute beträgt, können wir das einfach tun Verwenden Sie die Anzahl der Blöcke als Proxy für die „aufgewendete Zeit“?

6 Weitere Vorteile 6.1 Sanfte Emission Die Obergrenze für die Gesamtmenge der digitalen CryptoNote-Münzen beträgt: MSupply = 264 −1 atomare Einheiten. Dies ist eine natürliche Einschränkung, die nur auf Implementierungsgrenzen und nicht auf Intuition basiert wie zum Beispiel „N Münzen sollten für jeden reichen“. Um einen reibungslosen Emissionsprozess sicherzustellen, verwenden wir die folgende Blockformel Belohnungen: BaseReward = (MSupply −A) ≫18, wobei A die Menge der zuvor generierten Münzen ist. 6.2 Einstellbare Parameter 6.2.1 Schwierigkeit CryptoNote enthält einen Targeting-Algorithmus, der die Schwierigkeit jedes Blocks ändert. Dies verringert die Reaktionszeit des Systems, wenn die Netzwerkrate stark wächst oder sinkt, Beibehaltung einer konstanten Blockrate. Die ursprüngliche Methode Bitcoin berechnet das tatsächliche Verhältnis und Zielzeitspanne zwischen den letzten 2016-Blöcken und verwendet sie als Multiplikator für den aktuellen Schwierigkeit. Offensichtlich ist dies für schnelle Neuberechnungen ungeeignet (aufgrund der großen Trägheit) und führt zu Schwingungen. Die allgemeine Idee unseres Algorithmus besteht darin, die gesamte von den Knoten und geleistete Arbeit zu summieren Teilen Sie es durch die Zeit, die sie verbracht haben. Als Maß für die Arbeit dienen die entsprechenden Schwierigkeitswerte in jedem Block. Aufgrund ungenauer und nicht vertrauenswürdiger Zeitstempel können wir den genauen Zeitpunkt jedoch nicht ermitteln Zeitintervall zwischen Blöcken. Ein Benutzer kann seinen Zeitstempel in die Zukunft und zum nächsten Zeitpunkt verschieben Die Intervalle könnten unwahrscheinlich klein oder sogar negativ sein. Vermutlich wird es nur wenige Vorfälle geben Auf diese Weise können wir einfach die Zeitstempel sortieren und die Ausreißer (d. h. 20 %) abschneiden. Die Reichweite von Der Restwert ist die Zeit, die für 80 % der entsprechenden Blöcke aufgewendet wurde. 6.2.2 Größenbeschränkungen Benutzer zahlen für die Speicherung des blockchain und sind berechtigt, über dessen Größe abzustimmen. Jeder Bergmann befasst sich mit dem Zielkonflikt zwischen dem Ausgleich der Kosten und dem Gewinn aus den Gebühren und legt seine eigenen fest „Soft-Limit“ zum Erstellen von Blöcken. Auch die Kernregel für die maximale Blockgröße ist notwendig Dieser Wert sollte jedoch verhindern, dass blockchain mit gefälschten Transaktionen überflutet wird nicht fest codiert sein. Sei MN der Medianwert der letzten N Blockgrößen. Dann die „harte Grenze“ für die Größe der Aufnahmeblöcke beträgt \(2 \cdot M_N\). Es verhindert ein Aufblähen des blockchain, ermöglicht aber dennoch die Begrenzung bei Bedarf langsam mit der Zeit wachsen. Die Transaktionsgröße muss nicht explizit begrenzt werden. Sie ist durch die Größe eines Blocks begrenzt; und wenn jemand eine riesige Transaktion mit Hunderten von Ein-/Ausgaben (oder mit (z. B. aufgrund des hohen Mehrdeutigkeitsgrads der Ringsignaturen) kann er dies tun, indem er eine entsprechende Gebühr entrichtet. 6.2.3 Strafe für Übergröße Ein Miner hat immer noch die Möglichkeit, einen Block bis zum Maximum mit seinen eigenen gebührenfreien Transaktionen zu füllen Größe 2 \(\cdot\) MB. Auch wenn nur die Mehrheit der Bergleute den Medianwert verschieben kann, gibt es dennoch einen 13 6 Weitere Vorteile 6.1 Sanfte Emission Die Obergrenze für die Gesamtmenge der digitalen CryptoNote-Münzen beträgt: MSupply = 264 −1 atomare Einheiten. Dies ist eine natürliche Einschränkung, die nur auf Implementierungsgrenzen und nicht auf Intuition basiert wie zum Beispiel „N Münzen sollten für jeden reichen“. Um einen reibungslosen Emissionsprozess sicherzustellen, verwenden wir die folgende Blockformel Belohnungen: BaseReward = (MSupply −A) ≫18, wobei A die Menge der zuvor generierten Münzen ist. 6.2 Einstellbare Parameter 6.2.1 Schwierigkeit CryptoNote enthält einen Targeting-Algorithmus, der die Schwierigkeit jedes Blocks ändert. Dies verringert die Reaktionszeit des Systems, wenn die Netzwerkrate stark wächst oder sinkt, Beibehaltung einer konstanten Blockrate. Die ursprüngliche Methode Bitcoin berechnet das tatsächliche Verhältnis und Zielzeitspanne zwischen den letzten 2016-Blöcken und verwendet sie als Multiplikator für den aktuellen Schwierigkeit. Offensichtlich ist dies für schnelle Neuberechnungen ungeeignet (aufgrund der großen Trägheit) und führt zu Schwingungen. Die allgemeine Idee unseres Algorithmus besteht darin, die gesamte von den Knoten und geleistete Arbeit zu summieren Teilen Sie es durch die Zeit, die sie verbracht haben. Als Maß für die Arbeit dienen die entsprechenden Schwierigkeitswerte in jedem Block. Aufgrund ungenauer und nicht vertrauenswürdiger Zeitstempel können wir den genauen Zeitpunkt jedoch nicht ermitteln Zeitintervall zwischen Blöcken. Ein Benutzer kann seinen Zeitstempel in die Zukunft und zum nächsten Zeitpunkt verschieben Die Intervalle könnten unwahrscheinlich klein oder sogar negativ sein. Vermutlich wird es nur wenige Vorfälle geben Auf diese Weise können wir einfach die Zeitstempel sortieren und die Ausreißer (d. h. 20 %) abschneiden. Die Reichweite von Der Restwert ist die Zeit, die für 80 % der entsprechenden Blöcke aufgewendet wurde. 6.2.2 Größenbeschränkungen Benutzer zahlen für die Speicherung des blockchain und sind berechtigt, über dessen Größe abzustimmen. Jeder Bergmann befasst sich mit dem Kompromiss zwischen dem Ausgleich von thEr erwirtschaftet Kosten und Gewinn aus den Gebühren und legt seine eigenen fest „Soft-Limit“ zum Erstellen von Blöcken. Auch die Kernregel für die maximale Blockgröße ist notwendig Dieser Wert sollte jedoch verhindern, dass blockchain mit gefälschten Transaktionen überflutet wird nicht fest codiert sein. Sei MN der Medianwert der letzten N Blockgrößen. Dann die „harte Grenze“ für die Größe der Aufnahmeblöcke beträgt \(2 \cdot M_N\). Es verhindert ein Aufblähen des blockchain, ermöglicht aber dennoch die Begrenzung bei Bedarf langsam mit der Zeit wachsen. Die Transaktionsgröße muss nicht explizit begrenzt werden. Sie ist durch die Größe eines Blocks begrenzt; und wenn jemand eine riesige Transaktion mit Hunderten von Ein-/Ausgaben (oder mit (z. B. aufgrund des hohen Mehrdeutigkeitsgrads der Ringsignaturen) kann er dies tun, indem er eine entsprechende Gebühr entrichtet. 6.2.3 Strafe für Übergröße Ein Miner hat immer noch die Möglichkeit, einen Block bis zum Maximum mit seinen eigenen gebührenfreien Transaktionen zu füllen Größe 2 \(\cdot\) MB. Auch wenn nur die Mehrheit der Bergleute den Medianwert verschieben kann, gibt es dennoch einen 13 24 Okay, wir haben also einen blockchain, und jeder Block hat ZUSÄTZLICH zum bloßen Sein Zeitstempel bestellt. Dies wurde offensichtlich nur aus Gründen der Schwierigkeitsanpassung eingefügt, da dies bei Zeitstempeln der Fall ist wie gesagt sehr unzuverlässig. Dürfen wir widersprüchliche Zeitstempel in der Kette haben? Wenn Block A in der Kette vor Block B steht und finanziell alles stimmig ist, aber Block A scheint nach Block B erstellt worden zu sein? Weil es vielleicht jemand besaß ein großer Teil des Netzwerks? Ist das in Ordnung? Wahrscheinlich, weil die Finanzen nicht vermasselt sind. Okay, also ich hasse dieses willkürliche „nur 80 % der Blöcke sind für den Hauptblock blockchain legitim“ Ansatz. Es sollte verhindern, dass Lügner ihre Zeitstempel manipulieren? Aber jetzt fügt es hinzu Anreiz für alle, über ihre Zeitstempel zu lügen und einfach den Median zu wählen. Bitte definieren. Bedeutung: „Berücksichtigen Sie für diesen Block nur Transaktionen, die höhere Gebühren beinhalten.“ als p%, vorzugsweise mit Gebühren über 2p% oder so ähnlich? Was meinen sie mit Schwindel? Wenn die Transaktion mit der bisherigen Geschichte des übereinstimmt blockchain, und die Transaktion beinhaltet Gebühren, die die Bergleute zufriedenstellen, ist das nicht genug? Nun, nein, nicht unbedingt. Wenn es keine maximale Blockgröße gibt, gibt es nichts, was einen böswilligen Benutzer abhalten könnte vom einfachen Hochladen eines riesigen Transaktionsblocks auf einmal auf sich selbst, nur um langsamer zu werden das Netzwerk. Eine Kernregel für die maximale Blockgröße verhindert, dass Menschen große Mengen an Müll ablegen Daten auf dem blockchain auf einmal, nur um die Dinge zu verlangsamen. Aber eine solche Regel muss es auf jeden Fall tun Seien Sie anpassungsfähig – während der Weihnachtszeit können wir beispielsweise mit einem Anstieg des Verkehrsaufkommens rechnen Die Blockgröße wird sehr groß, und unmittelbar danach sinkt die Blockgröße wieder. Wir brauchen also entweder a) eine Art adaptive Obergrenze oder b) eine Obergrenze, die groß genug ist, dass 99 % davon Vernünftige Weihnachtsgipfel sprengen nicht die Obergrenze. Das zweite ist natürlich unmöglich Schätzung – wer weiß, ob sich eine Währung durchsetzen wird? Es ist besser, es anpassungsfähig zu machen und sich keine Sorgen zu machen darüber. Aber dann haben wir ein kontrolltheoretisches Problem: Wie kann man das adaptiv machen, ohne Anfälligkeit für Angriffe oder wilde und verrückte Schwankungen? Beachten Sie, dass eine adaptive Methode böswillige Benutzer nicht davon abhält, kleine Beträge anzuhäufen Im Laufe der Zeit entstehen auf dem blockchain Junk-Daten, die zu einer langfristigen Aufblähung führen. Das ist ein anderes Problem insgesamt und eines, mit dem Kryptonote-Münzen ernsthafte Probleme haben.

6 Weitere Vorteile 6.1 Sanfte Emission Die Obergrenze für die Gesamtmenge der digitalen CryptoNote-Münzen beträgt: MSupply = 264 −1 atomare Einheiten. Dies ist eine natürliche Einschränkung, die nur auf Implementierungsgrenzen und nicht auf Intuition basiert wie zum Beispiel „N Münzen sollten für jeden reichen“. Um einen reibungslosen Emissionsprozess sicherzustellen, verwenden wir die folgende Blockformel Belohnungen: BaseReward = (MSupply −A) ≫18, wobei A die Menge der zuvor generierten Münzen ist. 6.2 Einstellbare Parameter 6.2.1 Schwierigkeit CryptoNote enthält einen Targeting-Algorithmus, der die Schwierigkeit jedes Blocks ändert. Dies verringert die Reaktionszeit des Systems, wenn die Netzwerkrate stark wächst oder sinkt, Beibehaltung einer konstanten Blockrate. Die ursprüngliche Methode Bitcoin berechnet das tatsächliche Verhältnis und Zielzeitspanne zwischen den letzten 2016-Blöcken und verwendet sie als Multiplikator für den aktuellen Schwierigkeit. Offensichtlich ist dies für schnelle Neuberechnungen ungeeignet (aufgrund der großen Trägheit) und führt zu Schwingungen. Die allgemeine Idee unseres Algorithmus besteht darin, die gesamte von den Knoten und geleistete Arbeit zu summieren Teilen Sie es durch die Zeit, die sie verbracht haben. Als Maß für die Arbeit dienen die entsprechenden Schwierigkeitswerte in jedem Block. Aufgrund ungenauer und nicht vertrauenswürdiger Zeitstempel können wir den genauen Zeitpunkt jedoch nicht ermitteln Zeitintervall zwischen Blöcken. Ein Benutzer kann seinen Zeitstempel in die Zukunft und zum nächsten Zeitpunkt verschieben Die Intervalle könnten unwahrscheinlich klein oder sogar negativ sein. Vermutlich wird es nur wenige Vorfälle geben Auf diese Weise können wir einfach die Zeitstempel sortieren und die Ausreißer (d. h. 20 %) abschneiden. Die Reichweite von Der Restwert ist die Zeit, die für 80 % der entsprechenden Blöcke aufgewendet wurde. 6.2.2 Größenbeschränkungen Benutzer zahlen für die Speicherung des blockchain und sind berechtigt, über dessen Größe abzustimmen. Jeder Bergmann befasst sich mit dem Zielkonflikt zwischen dem Ausgleich der Kosten und dem Gewinn aus den Gebühren und legt seine eigenen fest „Soft-Limit“ zum Erstellen von Blöcken. Auch die Kernregel für die maximale Blockgröße ist notwendig Dieser Wert sollte jedoch verhindern, dass blockchain mit gefälschten Transaktionen überflutet wird nicht fest codiert sein. Sei MN der Medianwert der letzten N Blockgrößen. Dann die „harte Grenze“ für die Größe der Aufnahmeblöcke beträgt \(2 \cdot M_N\). Es verhindert ein Aufblähen des blockchain, ermöglicht aber dennoch eine Begrenzung bei Bedarf langsam mit der Zeit wachsen. Die Transaktionsgröße muss nicht explizit begrenzt werden. Sie ist durch die Größe eines Blocks begrenzt; und wenn jemand eine riesige Transaktion mit Hunderten von Ein-/Ausgaben (oder mit (z. B. aufgrund des hohen Mehrdeutigkeitsgrads der Ringsignaturen) kann er dies tun, indem er eine entsprechende Gebühr entrichtet. 6.2.3 Strafe für Übergröße Ein Miner hat immer noch die Möglichkeit, einen Block bis zum Maximum mit seinen eigenen gebührenfreien Transaktionen zu füllen Größe 2 \(\cdot\) MB. Auch wenn nur die Mehrheit der Bergleute den Medianwert verschieben kann, gibt es dennoch einen 13 6 Weitere Vorteile 6.1 Sanfte Emission Die Obergrenze für die Gesamtmenge der digitalen CryptoNote-Münzen beträgt: MSupply = 264 −1 atomare Einheiten. Dies ist eine natürliche Einschränkung, die nur auf Implementierungsgrenzen und nicht auf Intuition basiert wie zum Beispiel „N Münzen sollten für jeden reichen“. Um einen reibungslosen Emissionsprozess sicherzustellen, verwenden wir die folgende Blockformel Belohnungen: BaseReward = (MSupply −A) ≫18, wobei A die Menge der zuvor generierten Münzen ist. 6.2 Einstellbare Parameter 6.2.1 Schwierigkeit CryptoNote enthält einen Targeting-Algorithmus, der die Schwierigkeit jedes Blocks ändert. Dies verringert die Reaktionszeit des Systems, wenn die Netzwerkrate stark wächst oder sinkt, Beibehaltung einer konstanten Blockrate. Die ursprüngliche Methode Bitcoin berechnet das tatsächliche Verhältnis und Zielzeitspanne zwischen den letzten 2016-Blöcken und verwendet sie als Multiplikator für den aktuellen Schwierigkeit. Offensichtlich ist dies für schnelle Neuberechnungen ungeeignet (aufgrund der großen Trägheit) und führt zu Schwingungen. Die allgemeine Idee unseres Algorithmus besteht darin, die gesamte von den Knoten und geleistete Arbeit zu summieren Teilen Sie es durch die Zeit, die sie verbracht haben. Als Maß für die Arbeit dienen die entsprechenden Schwierigkeitswerte in jedem Block. Aufgrund ungenauer und nicht vertrauenswürdiger Zeitstempel können wir den genauen Zeitpunkt jedoch nicht ermitteln Zeitintervall zwischen Blöcken. Ein Benutzer kann seinen Zeitstempel in die Zukunft und zum nächsten Zeitpunkt verschieben Die Intervalle könnten unwahrscheinlich klein oder sogar negativ sein. Vermutlich wird es nur wenige Vorfälle geben Auf diese Weise können wir einfach die Zeitstempel sortieren und die Ausreißer (d. h. 20 %) abschneiden. Die Reichweite von Der Restwert ist die Zeit, die für 80 % der entsprechenden Blöcke aufgewendet wurde. 6.2.2 Größenbeschränkungen Benutzer zahlen für die Speicherung des blockchain und sind berechtigt, über dessen Größe abzustimmen. Jeder Bergmann befasst sich mit dem Kompromiss zwischen dem Ausgleich von thEr erwirtschaftet Kosten und Gewinn aus den Gebühren und legt seine eigenen fest „Soft-Limit“ zum Erstellen von Blöcken. Auch die Kernregel für die maximale Blockgröße ist notwendig Dieser Wert sollte jedoch verhindern, dass blockchain mit gefälschten Transaktionen überflutet wird nicht fest codiert sein. Sei MN der Medianwert der letzten N Blockgrößen. Dann die „harte Grenze“ für die Größe der Aufnahmeblöcke beträgt \(2 \cdot M_N\). Es verhindert ein Aufblähen des blockchain, ermöglicht aber dennoch eine Begrenzung bei Bedarf langsam mit der Zeit wachsen. Die Transaktionsgröße muss nicht explizit begrenzt werden. Sie ist durch die Größe eines Blocks begrenzt; und wenn jemand eine riesige Transaktion mit Hunderten von Ein-/Ausgaben (oder mit (z. B. aufgrund des hohen Mehrdeutigkeitsgrads der Ringsignaturen) kann er dies tun, indem er eine entsprechende Gebühr entrichtet. 6.2.3 Strafe für Übergröße Ein Miner hat immer noch die Möglichkeit, einen Block bis zum Maximum mit seinen eigenen gebührenfreien Transaktionen zu füllen Größe 2 \(\cdot\) MB. Auch wenn nur die Mehrheit der Bergleute den Medianwert verschieben kann, gibt es dennoch einen 13 25 Wenn man die Zeit neu skaliert, sodass eine Zeiteinheit aus N Blöcken besteht, könnte die durchschnittliche Blockgröße theoretisch immer noch exponentiell proportional zu 2ˆt wachsen. Andererseits eine allgemeinere Obergrenze im nächsten Block wäre M_nf(M_n) für eine Funktion f. Welche Eigenschaften von f würden die wir wählen, um ein „angemessenes Wachstum“ der Blockgröße zu gewährleisten? Der Fortschritt von Blockgrößen (nach der Neuskalierungszeit) würden wie folgt aussehen: M_n f(M_n)M_n f(f(M_n)M_n)f(M_n)M_n f(f(f(M_n)M_n)f(M_n)M_n)f(f(M_n)M_n)f( ... Und das Ziel hier ist, f so zu wählen, dass diese Folge nicht schneller wächst als beispielsweise linear, oder vielleicht sogar als Log(t). Wenn f(M_n) = a für eine Konstante a ist, ist diese Sequenz natürlich eigentlich M_n aM_n aˆ2M_n aˆ3M_n ... Und die einzige Möglichkeit, dies auf höchstens lineares Wachstum zu beschränken, besteht natürlich darin, a=1 zu wählen. Das ist natürlich undurchführbar. Es lässt überhaupt kein Wachstum zu. Wenn f(M_n) hingegen eine nicht konstante Funktion ist, dann ist die Situation viel schwieriger kompliziert und kann eine elegante Lösung ermöglichen. Ich werde eine Weile darüber nachdenken. Diese Gebühr muss hoch genug sein, um die Übergrößenstrafe aus dem nächsten Abschnitt abzurechnen. Warum wird bei einem allgemeinen Benutzer davon ausgegangen, dass er männlich ist? Hä?

Möglichkeit, den blockchain aufzublähen und eine zusätzliche Belastung der Knoten zu erzeugen. Entmutigen Um böswillige Teilnehmer davon abzuhalten, große Blöcke zu erstellen, führen wir eine Straffunktion ein: NewReward = BaseReward \(\cdot\) BlkSize MN −1 2 Diese Regel wird nur angewendet, wenn BlkSize größer als die minimale freie Blockgröße ist, die erforderlich ist in der Nähe von max(10kb, \(M_N \cdot 110\%\)) liegen. Minern ist es erlaubt, Blöcke „normaler Größe“ und gerader Größe zu erstellen Übersteigen Sie es mit Gewinn, wenn die Gesamtgebühren die Strafe übersteigen. Es ist jedoch unwahrscheinlich, dass die Gebühren steigen quadratisch ungleich dem Strafwert, sodass ein Gleichgewicht herrscht. 6.3 Transaktionsskripte CryptoNote verfügt über ein sehr minimalistisches Skript-Subsystem. Ein Absender gibt einen Ausdruck Φ = an f (x1, x2, . . , xn), wobei n die Anzahl der öffentlichen Zielschlüssel {Pi}n ist i=1. Nur fünf Binärdateien Unterstützte Operatoren: min, max, sum, mul und cmp. Wenn der Empfänger diese Zahlung ausgibt, Er erzeugt \(0 \leq k \leq n\) Signaturen und übergibt sie an die Transaktionseingabe. Der Verifizierungsprozess wertet einfach Φ mit xi = 1 aus, um zu prüfen, ob eine gültige Signatur für den öffentlichen Schlüssel Pi vorhanden ist, und xi = 0. Ein Prüfer akzeptiert den Beweis, wenn Φ > 0. Trotz seiner Einfachheit deckt dieser Ansatz jeden möglichen Fall ab: • Multi-/Threshold-Signatur. Für die „M-aus-N“-Mehrfachsignatur im Bitcoin-Stil (d. h. der Empfänger sollte mindestens \(0 \leq M \leq N\) gültige Signaturen bereitstellen) Φ = x1+x2+. . .+xN \(\geq M\) (Der Übersichtlichkeit halber verwenden wir die übliche algebraische Notation). Die gewichtete Schwellenwertsignatur (einige Schlüssel können wichtiger sein als andere) könnte ausgedrückt werden als Φ = \(w_1 \cdot x_1\) + \(w_2 \cdot x_2\) + . . . + \(w_N \cdot x_N\) \(\geq wM\). Und Szenario, in dem der Hauptschlüssel Φ = entspricht max(\(M \cdot x\), x1 + x2 + . . . + xN) \(\geq M\). Es ist leicht zu zeigen, dass jeder anspruchsvolle Fall möglich ist werden mit diesen Operatoren ausgedrückt, d. h. sie bilden die Basis. • Passwortschutz. Der Besitz eines geheimen Passwortes steht der Kenntnis davon gleich ein privater Schlüssel, der deterministisch aus dem Passwort abgeleitet wird: k = KDF(s). Daher ein Empfänger kann nachweisen, dass er das Passwort kennt, indem er eine weitere Signatur unter dem Schlüssel k hinterlegt. Der Absender fügt einfach den entsprechenden öffentlichen Schlüssel zu seiner eigenen Ausgabe hinzu. Beachten Sie, dass dies Die Methode ist viel sicherer als das in Bitcoin [13] verwendete „Transaktionsrätsel“, bei dem die Das Passwort wird in den Eingaben explizit übergeben. • Entartete Fälle. Φ = 1 bedeutet, dass jeder das Geld ausgeben kann; Φ = 0 markiert die Ausgabe als nicht für immer auszugeben. Für den Fall, dass das Ausgabeskript in Kombination mit öffentlichen Schlüsseln für einen Absender zu groß ist, wird er kann einen speziellen Ausgabetyp verwenden, der angibt, dass der Empfänger diese Daten in seine Eingabe einfügt während der Absender nur eine hash davon bereitstellt. Dieser Ansatz ähnelt dem „Pay-to-hash“ von Bitcoin. Feature, aber anstatt neue Skriptbefehle hinzuzufügen, behandeln wir diesen Fall an der Datenstruktur Ebene. 7 Fazit Wir haben die größten Mängel in Bitcoin untersucht und einige mögliche Lösungen vorgeschlagen. Diese vorteilhaften Funktionen und unsere kontinuierliche Weiterentwicklung machen das neue elektronische Bargeldsystem CryptoNote aus ein ernstzunehmender Konkurrent von Bitcoin, der alle seine Forks übertrifft. 14 Möglichkeit, den blockchain aufzublähen und eine zusätzliche Belastung der Knoten zu erzeugen. Entmutigen Um böswillige Teilnehmer davon abzuhalten, große Blöcke zu erstellen, führen wir eine Straffunktion ein: NewReward = BaseReward \(\cdot\) BlkSize MN −1 2 Diese Regel wird nur angewendet, wenn BlkSize größer als die minimale freie Blockgröße ist, die erforderlich ist in der Nähe von max(10kb, \(M_N \cdot 110\%\)) liegen. Minern ist es erlaubt, Blöcke „normaler Größe“ und gerader Größe zu erstellen Übersteigen Sie es mit Gewinn, wenn die Gesamtgebühren die Strafe übersteigen. Es ist jedoch unwahrscheinlich, dass die Gebühren steigen quadratisch ungleich dem Strafwert, sodass ein Gleichgewicht herrscht. 6.3 Transaktionsskripte CryptoNote verfügt über ein sehr minimalistisches Skript-Subsystem. Ein Absender gibt einen Ausdruck Φ = an f (x1, x2, . . , xn), wobei n die Anzahl der öffentlichen Zielschlüssel {Pi}n ist i=1. Nur fünf Binärdateien Unterstützte Operatoren: min, max, sum, mul und cmp. Wenn der Empfänger diese Zahlung ausgibt, Er erzeugt \(0 \leq k \leq n\) Signaturen und übergibt sie an die Transaktionseingabe. Der Verifizierungsprozess wertet einfach Φ mit xi = 1 aus, um zu prüfen, ob eine gültige Signatur für den öffentlichen Schlüssel Pi vorhanden ist, und xi = 0. Ein Prüfer akzeptiert den Beweis, wenn Φ > 0. Trotz seiner Einfachheit deckt dieser Ansatz jeden möglichen Fall ab: • Multi-/Threshold-Signatur. Für die „M-aus-N“-Mehrfachsignatur im Bitcoin-Stil (d. h. der Empfänger sollte mindestens \(0 \leq M \leq N\) gültige Signaturen bereitstellen) Φ = x1+x2+. . .+xN \(\geq M\) (Der Übersichtlichkeit halber verwenden wir die übliche algebraische Notation). Die gewichtete Schwellenwertsignatur (einige Schlüssel können wichtiger sein als andere) könnte ausgedrückt werden als Φ = \(w_1 \cdot x_1\) + \(w_2 \cdot x_2\) + . . . + \(w_N \cdot x_N\) \(\geq wM\). Und Szenarioio wobei der Hauptschlüssel Φ = entspricht max(\(M \cdot x\), x1 + x2 + . . . + xN) \(\geq M\). Es ist leicht zu zeigen, dass jeder anspruchsvolle Fall möglich ist werden mit diesen Operatoren ausgedrückt, d. h. sie bilden die Basis. • Passwortschutz. Der Besitz eines geheimen Passwortes steht der Kenntnis davon gleich ein privater Schlüssel, der deterministisch aus dem Passwort abgeleitet wird: k = KDF(s). Daher ein Empfänger kann nachweisen, dass er das Passwort kennt, indem er eine weitere Signatur unter dem Schlüssel k hinterlegt. Der Absender fügt einfach den entsprechenden öffentlichen Schlüssel zu seiner eigenen Ausgabe hinzu. Beachten Sie, dass dies Die Methode ist viel sicherer als das in Bitcoin [13] verwendete „Transaktionsrätsel“, bei dem die Das Passwort wird in den Eingaben explizit übergeben. • Entartete Fälle. Φ = 1 bedeutet, dass jeder das Geld ausgeben kann; Φ = 0 markiert die Ausgabe als nicht für immer auszugeben. Für den Fall, dass das Ausgabeskript in Kombination mit öffentlichen Schlüsseln für einen Absender zu groß ist, wird er kann einen speziellen Ausgabetyp verwenden, der angibt, dass der Empfänger diese Daten in seine Eingabe einfügt während der Absender nur eine hash davon bereitstellt. Dieser Ansatz ähnelt dem „Pay-to-hash“ von Bitcoin. Feature, aber anstatt neue Skriptbefehle hinzuzufügen, behandeln wir diesen Fall an der Datenstruktur Ebene. 7 Fazit Wir haben die größten Mängel in Bitcoin untersucht und einige mögliche Lösungen vorgeschlagen. Diese vorteilhaften Funktionen und unsere kontinuierliche Weiterentwicklung machen das neue elektronische Bargeldsystem CryptoNote aus ein ernstzunehmender Konkurrent von Bitcoin, der alle seine Forks übertrifft. 14 26 Dies kann unnötig sein, wenn wir einen Weg finden können, die Blockgröße im Laufe der Zeit zu begrenzen ... Auch das kann nicht richtig sein. Sie haben „NewReward“ einfach auf eine nach oben gerichtete Parabel gesetzt, wo Die Blockgröße ist die unabhängige Variable. Die neue Belohnung explodiert also bis ins Unendliche. Wenn andererseits Andererseits ist die neue Belohnung Max(0,Base Reward(1-(BlkSize/Mn - 1)ˆ2)), dann die neue Belohnung wäre eine nach unten gerichtete Parabel mit einer Spitze bei Blockgröße = Mn und Schnittpunkten bei Blockgröße = 0 und Blockgröße = 2Mn. Und das scheint es zu sein, was sie zu beschreiben versuchen. Dies ist jedoch nicht der Fall

交易无法追踪

在本节中，我们提出了一种完全匿名交易的方案，同时满足不可追溯性和不可链接条件。我们解决方案的一个重要特点是它的自主性：发送者不需要与其他用户或受信任的第三方合作进行交易；因此，每个参与者都独立地产生掩护流量。 4.1 文献综述我们的方案依赖于称为群签名的加密原语。首先提出者 D. Chaum 和 E. van Heyst [19]，它允许用户代表组签署他的消息。签署消息后，用户提供（出于验证目的）而不是他自己的单一公共信息 1这就是所谓的“软限制”——创建新块的参考客户端限制。硬最大值可能的块大小为 1 MB 4 如有必要，它们会导致主要缺点。不幸的是，很难预测何时常量可能需要改变，替换它们可能会导致可怕的后果。硬编码限制更改导致灾难性后果的一个很好的例子是块大小限制设置为 250kb1。这个限制足以容纳大约 10000 个标准交易。在 2013 年初，这一限制几乎已达到，并达成协议增加限制。该更改在钱包版本 0.8 中实施，并以 24 块链分裂结束以及成功的双花攻击[9]。虽然该错误不在 Bitcoin 协议中，但是相反，在数据库引擎中，如果有的话，可以通过简单的压力测试轻松捕获它没有人为引入的块大小限制。常量也充当集中点的一种形式。尽管具有点对点的性质 Bitcoin，绝大多数节点使用官方开发的参考客户端[10] 一小群人。该小组决定对协议进行更改大多数人都会接受这些变化，无论它们的“正确性”如何。一些决定导致激烈讨论甚至呼吁抵制[11]，这表明社区和开发人员可能在一些重要问题上存在分歧。因此，制定一项协议似乎是合乎逻辑的使用用户可配置和自我调整的变量作为避免这些问题的可能方法。 2.5 庞大的脚本 Bitcoin 中的脚本系统是一个繁重且复杂的功能。它可能允许人们创建复杂的交易[12]，但由于安全问题和原因，其某些功能被禁用有些甚至从未使用过[13]。脚本（包括发送者和接收者部分） Bitcoin 中最受欢迎的交易如下所示： OP DUP OP HASH160 OP EQUALVERIFY OP CHECKSIG。该脚本长 164 字节，其唯一目的是检查接收者是否拥有验证他的签名所需的密钥。 3 CryptoNote 技术现在我们已经涵盖了 Bitcoin 技术的局限性，我们将重点关注介绍 CryptoNote 的功能。 4 交易无法追踪在本节中，我们提出了一种完全匿名交易的方案，同时满足不可追溯性和不可链接条件。我们解决方案的一个重要特点是它的自主性：发送者不需要与其他用户或受信任的第三方合作进行交易；因此，每个参与者都独立地产生掩护流量。 4.1 文献综述我们的方案依赖于称为群签名的加密原语。首先提出者 D. Chaum 和 E. van Heyst [19]，它允许用户代表组签署他的消息。签署消息后，用户提供（出于验证目的）而不是他自己的单一公共信息 1这就是所谓的“软限制”——创建新块的参考客户端限制。硬最大值可能的块大小为 1 MB 4 7 回想起来，在代码中将块大小设置为固定限制似乎是一个很大的错误。 Visa 和 Mastercard 可以处理数千甚至数十万笔交易每秒。然而，交易是一个随机过程，有时是大规模爆发，有时会安静几个小时。想想比特币交易量。设计一个在必要时动态增加块大小的系统似乎是一个伟大的想法以适应增加的交易流量，并在必要时动态减少交易流量提高带宽效率。现在，将该概念应用于所有系统参数。只要我们小心翼翼地保持系统从鱼尾失控，这效果会很好。 https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki 如前所述，如果变量能够自我调整，则必须施加一些控制，以便防止系统疯狂失控。我们会解决这个问题的。如果这是一篇维基百科文章，它会被标记为“STUB”。尽管我们确实处于在介绍“Bitcoin的问题”的部分中，我想在这里进行一些阐述。为什么是 164 字节对于一个简单的“检查密钥”任务来说是不可接受的？他们能得到多小的合理的脚本语言？不过，我不是计算机科学家。 http://download.springer.com/static/pdf/412/chp%253A10.1007%252F3-540-46416-6_22.pdf?auth66=140 如上所述，群组签名需要群组管理员。群主有能力撤销任何签名者的匿名性。因此，团体中存在着内在的集中化签名方案。

key，而是他所在组的所有用户的密钥。验证者确信真正的签名者是该组的成员，但不能唯一地识别签名者。最初的协议需要一个可信的第三方（称为组经理），而他是唯一可以追踪签名者的人。引入了称为环签名的下一个版本作者：Rivest 等人。在 [34] 中，是一个没有组经理和匿名的自治计划撤销。后来出现了该方案的各种修改：可链接环签名 [26, 27, 17]允许确定两个签名是否由同一组成员产生，可追踪环签名 [24, 23] 通过提供追踪签名者的可能性来限制过度匿名两条消息涉及相同的元信息（或 [24] 中的“标签”）。类似的密码结构也称为临时组签名 [16, 38]。它强调任意的组形成，而组/环签名方案则意味着固定的成员集。在很大程度上，我们的解决方案基于 E. Fujisaki 的作品“可追踪环签名” 和铃木 [24]。为了区分原始算法和我们的修改算法，我们将将后者称为一次性环签名，强调用户仅产生一个有效的能力在他的私钥下签名。我们弱化了可追溯性，保留了可链接性只提供一次性的：公钥可能出现在很多国外的验证集中，并且私钥可用于生成唯一的匿名签名。如果出现双重支出尝试将这两个签名链接在一起，但不必透露签名者为了我们的目的。 4.2 定义 4.2.1 椭圆曲线参数作为我们的基本签名算法，我们选择使用快速方案 EdDSA，该方案是开发和由 D.J. 实施伯恩斯坦等人。 [18]。与 Bitcoin 的 ECDSA 一样，它基于椭圆曲线离散对数问题，因此我们的方案将来也可以应用于 Bitcoin 。常用参数有： q：素数； q = 2255 -19; d：Fq的一个元素； d = −121665/121666； E：椭圆曲线方程； −x2 + y2 = 1 + dx2y2; G：基点； G = (x,−4/5); l：基点的素数阶； l = 2252 + 27742317777372353535851937790883648493； Hs：加密 hash 函数 \(\{0, 1\}^* \to \mathbb{F}_q\)； Hp：确定性 hash 函数 \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\)。 4.2.2 术语增强隐私需要新的术语，该术语不应与 Bitcoin 实体混淆。 private ec-key 是一个标准的椭圆曲线私钥：一个数字 \(a \in [1, l - 1]\)； public ec-key 是标准椭圆曲线公钥：点A = aG；一次性密钥对是一对私有和公共 ec 密钥； 5 key，而是他所在组的所有用户的密钥。验证者确信真正的签名者是该组的成员，但不能唯一地识别签名者。最初的协议需要一个可信的第三方（称为组经理），而他是唯一可以追踪签名者的人。引入了称为环签名的下一个版本作者：Rivest 等人。在 [34] 中，是一个没有组经理和匿名的自治计划撤销。后来出现了该方案的各种修改：可链接环签名 [26, 27, 17]允许确定两个签名是否由同一组成员产生，可追踪环签名 [24, 23] 通过提供追踪签名者的可能性来限制过度匿名两条消息涉及相同的元信息（或 [24] 中的“标签”）。类似的密码结构也称为临时组签名 [16, 38]。它强调任意的组形成，而组/环签名方案则意味着固定的成员集。在很大程度上，我们的解决方案基于 E. Fujisaki 的作品“可追踪环签名” 和铃木 [24]。为了区分原始算法和我们的修改算法，我们将将后者称为一次性环签名，强调用户仅产生一个有效的能力在他的私钥下签名。我们弱化了可追溯性，保留了可链接性仅提供一次性的：公钥可能出现在许多国外验证集中，并且私钥可用于生成唯一的匿名签名。如果出现双重支出尝试将这两个签名链接在一起，但不必透露签名者为了我们的目的。 4.2 定义 4.2.1 椭圆曲线参数作为我们的基本签名算法，我们选择e 使用快速方案 EdDSA，该方案是开发和由 D.J. 实施伯恩斯坦等人。 [18]。与 Bitcoin 的 ECDSA 一样，它基于椭圆曲线离散对数问题，因此我们的方案将来也可以应用于 Bitcoin 。常用参数有： q：素数； q = 2255 -19; d：Fq的一个元素； d = −121665/121666； E：椭圆曲线方程； −x2 + y2 = 1 + dx2y2; G：基点； G = (x,−4/5); l：基点的素数阶； l = 2252 + 27742317777372353535851937790883648493； Hs：加密 hash 函数 \(\{0, 1\}^* \to \mathbb{F}_q\)； Hp：确定性 hash 函数 \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\)。 4.2.2 术语增强隐私需要新的术语，该术语不应与 Bitcoin 实体混淆。 private ec-key 是一个标准的椭圆曲线私钥：一个数字 \(a \in [1, l - 1]\)； public ec-key 是标准椭圆曲线公钥：点A = aG；一次性密钥对是一对私有和公共 ec 密钥； 5 8 环签名的工作原理如下：亚历克斯想要向维基解密泄露有关她雇主的信息。公司的每位员工都有一个私钥/公钥对（Ri、Ui）。她作曲她的签名，输入设置为她的消息，m，她的私钥，Ri 和每个人的公钥，(Ui;i=1...n)。任何人（不知道任何私钥）都可以轻松验证某些对（Rj，Uj）必须已用于构建签名......工作的人对于亚历克斯的雇主来说……但这本质上是一种随机猜测，以确定它可能是哪一个。 http://en.wikipedia.org/wiki/Ring_signature#Crypto-currencies http://link.springer.com/chapter/10.1007/3-540-45682-1_32#page-1 http://link.springer.com/chapter/10.1007/11424826_65 http://link.springer.com/chapter/10.1007/978-3-540-27800-9_28 http://link.springer.com/chapter/10.1007%2F11774716_9 请注意，此处描述的可链接环签名与“不可链接”相反如上所述。这里我们截取两条消息，可以判断是否相同一方发送了他们，尽管我们仍然无法确定该方是谁。的用于构造 Cryptonote 的“不可链接”的定义意味着我们无法确定是否同一方正在接收它们。因此，我们这里真正发生的是四件事。系统可以是可链接的或不可链接，取决于是否可以确定发送者是否两条消息是相同的（无论这是否需要撤销匿名）。并且系统可以是不可链接的或不可不可链接的，具体取决于是否可以判断两条消息的接收者是否相同（无论是否相同）这需要撤销匿名）。请不要因为这个可怕的术语而责怪我。图论学家可能应该是很高兴。你们中的一些人可能更喜欢“接收者可链接”而不是“发送者可链接”。 http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 当我读到这篇文章时，这似乎是一个愚蠢的功能。然后我读到这可能是一个功能电子投票，这似乎是有道理的。从这个角度来看，有点酷。但我是不完全确定是否有意实施可追踪的环签名。 http://search.ieice.org/bin/summary.php?id=e95-a_1_151

key，而是他所在组的所有用户的密钥。验证者确信真正的签名者是该组的成员，但不能唯一地识别签名者。最初的协议需要一个可信的第三方（称为组经理），而他是唯一可以追踪签名者的人。引入了称为环签名的下一个版本作者：Rivest 等人。在 [34] 中，是一个没有组经理和匿名的自治计划撤销。后来出现了该方案的各种修改：可链接环签名 [26, 27, 17]允许确定两个签名是否由同一组成员产生，可追踪环签名 [24, 23] 通过提供追踪签名者的可能性来限制过度匿名两条消息涉及相同的元信息（或 [24] 中的“标签”）。类似的密码结构也称为临时组签名 [16, 38]。它强调任意的组形成，而组/环签名方案则意味着固定的成员集。在很大程度上，我们的解决方案基于 E. Fujisaki 的作品“可追踪环签名” 和铃木 [24]。为了区分原始算法和我们的修改算法，我们将将后者称为一次性环签名，强调用户仅产生一个有效的能力在他的私钥下签名。我们弱化了可追溯性，保留了可链接性仅提供一次性的：公钥可能出现在许多国外验证集中，并且私钥可用于生成唯一的匿名签名。如果出现双重支出尝试将这两个签名链接在一起，但不必透露签名者为了我们的目的。 4.2 定义 4.2.1 椭圆曲线参数作为我们的基本签名算法，我们选择使用快速方案 EdDSA，该方案是开发和由 D.J. 实施伯恩斯坦等人。 [18]。与 Bitcoin 的 ECDSA 一样，它基于椭圆曲线离散对数问题，因此我们的方案将来也可以应用于 Bitcoin 。常用参数有： q：素数； q = 2255 -19; d：Fq的一个元素； d = −121665/121666； E：椭圆曲线方程； −x2 + y2 = 1 + dx2y2; G：基点； G = (x,−4/5); l：基点的素数阶； l = 2252 + 27742317777372353535851937790883648493； Hs：加密 hash 函数 \(\{0, 1\}^* \to \mathbb{F}_q\)； Hp：确定性 hash 函数 \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\)。 4.2.2 术语增强隐私需要新的术语，该术语不应与 Bitcoin 实体混淆。 private ec-key 是一个标准的椭圆曲线私钥：一个数字 \(a \in [1, l - 1]\)； public ec-key 是标准椭圆曲线公钥：点A = aG；一次性密钥对是一对私有和公共 ec 密钥； 5 key，而是他所在组的所有用户的密钥。验证者确信真正的签名者是该组的成员，但不能唯一地识别签名者。最初的协议需要一个可信的第三方（称为组经理），而他是唯一可以追踪签名者的人。引入了称为环签名的下一个版本作者：Rivest 等人。在 [34] 中，是一个没有组经理和匿名的自治计划撤销。后来出现了该方案的各种修改：可链接环签名 [26, 27, 17]允许确定两个签名是否由同一组成员产生，可追踪环签名 [24, 23] 通过提供追踪签名者的可能性来限制过度匿名两条消息涉及相同的元信息（或 [24] 中的“标签”）。类似的密码结构也称为临时组签名 [16, 38]。它强调任意的组形成，而组/环签名方案则意味着固定的成员集。在很大程度上，我们的解决方案基于 E. Fujisaki 的作品“可追踪环签名” 和铃木 [24]。为了区分原始算法和我们的修改算法，我们将将后者称为一次性环签名，强调用户仅产生一个有效的能力在他的私钥下签名。我们弱化了可追溯性，保留了可链接性仅提供一次性的：公钥可能出现在许多国外验证集中，并且私钥可用于生成唯一的匿名签名。如果出现双重支出尝试将这两个签名链接在一起，但不必透露签名者为了我们的目的。 4.2 定义 4.2.1 椭圆曲线参数作为我们的基本签名算法，我们选择e 使用快速方案 EdDSA，该方案是开发和由 D.J. 实施伯恩斯坦等人。 [18]。与 Bitcoin 的 ECDSA 一样，它基于椭圆曲线离散对数问题，因此我们的方案将来也可以应用于 Bitcoin 。常用参数有： q：素数； q = 2255 -19; d：Fq的一个元素； d = −121665/121666； E：椭圆曲线方程； −x2 + y2 = 1 + dx2y2; G：基点； G = (x,−4/5); l：基点的素数阶； l = 2252 + 27742317777372353535851937790883648493； Hs：加密 hash 函数 \(\{0, 1\}^* \to \mathbb{F}_q\)； Hp：确定性 hash 函数 \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\)。 4.2.2 术语增强隐私需要新的术语，该术语不应与 Bitcoin 实体混淆。 private ec-key 是一个标准的椭圆曲线私钥：一个数字 \(a \in [1, l - 1]\)； public ec-key 是标准椭圆曲线公钥：点A = aG；一次性密钥对是一对私有和公共 ec 密钥； 5 9 天哪，本白皮书的作者肯定可以用更好的措辞！假设一个员工持股的公司想要就是否收购某些新产品进行投票资产，Alex 和 Brenda 都是雇员。公司为每位员工提供诸如“我对提案 A 投赞成票！”之类的消息其中存在元信息“问题”[PROP A] 如果他们支持该提议，则要求他们使用可追踪的环签名进行签名。使用传统的环签名，不诚实的员工可以多次签署消息，大概有不同的 nonce，以便可以随意投票。另一方面另一方面，在可追踪的环签名方案中，Alex 将去投票，她的私钥将具有已用于问题[PROP A]。如果亚历克斯试图签署类似“我，布伦达，同意提议A！” “陷害”布伦达和双重投票，这条新消息也会有问题 [提案A]。由于 Alex 的私钥已经触发了 [PROP A] 问题，Alex 的身份将立即被揭露为欺诈行为。面对现实吧，这真是太酷了！密码学强制投票平等。 http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 这篇论文很有趣，本质上创建了一个临时环签名，但没有任何其他参与者的同意。签名的结构可能不同；我没挖过很深，我还没有看到它是否安全。 https://people.csail.mit.edu/rivest/AdidaHohenbergerRivest-AdHocGroupSignaturesFromHijackedKeypai 临时组签名是：环签名，即没有组的群签名经理，没有集中化，但允许特设小组中的成员可以证明地声称它已（未）代表该团体发布匿名签名。 http://link.springer.com/chapter/10.1007/11908739_9 根据我的理解，这不太正确。我的理解可能会改变我对这个项目有了更深入的了解。但根据我的理解，层次结构是这样的。群组签名：群组管理员控制可追溯性以及添加或删除成员的能力从成为签名者。 Ring sigs：没有组管理员的任意组形成。没有匿名撤销。没有办法通过特定的签名来否定自己。带有可追踪和可链接的环签名、匿名在某种程度上是可扩展的。 Ad-hoc 群签名：类似于环签名，但成员可以证明他们没有创建一个特定的签名。当小组中的任何人都可以生成签名时，这一点很重要。 http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 藤崎和铃木的算法后来被作者调整以提供一次性性。所以我们将同时分析 Fujisaki 和 Suzuki 的算法以及新算法而不是在这里讨论它。

key，而是他所在组的所有用户的密钥。验证者确信真正的签名者是该组的成员，但不能唯一地识别签名者。最初的协议需要一个可信的第三方（称为组经理），而他是唯一可以追踪签名者的人。引入了称为环签名的下一个版本作者：Rivest 等人。在 [34] 中，是一个没有组经理和匿名的自治计划撤销。后来出现了该方案的各种修改：可链接环签名 [26, 27, 17]允许确定两个签名是否由同一组成员产生，可追踪环签名 [24, 23] 通过提供追踪签名者的可能性来限制过度匿名两条消息涉及相同的元信息（或 [24] 中的“标签”）。类似的密码结构也称为临时组签名 [16, 38]。它强调任意的组形成，而组/环签名方案则意味着固定的成员集。在很大程度上，我们的解决方案基于 E. Fujisaki 的作品“可追踪环签名” 和铃木 [24]。为了区分原始算法和我们的修改算法，我们将将后者称为一次性环签名，强调用户仅产生一个有效的能力在他的私钥下签名。我们弱化了可追溯性，保留了可链接性仅提供一次性的：公钥可能出现在许多国外验证集中，并且私钥可用于生成唯一的匿名签名。如果出现双重支出尝试将这两个签名链接在一起，但不必透露签名者为了我们的目的。 4.2 定义 4.2.1 椭圆曲线参数作为我们的基本签名算法，我们选择使用快速方案 EdDSA，该方案是开发和由 D.J. 实施伯恩斯坦等人。 [18]。与 Bitcoin 的 ECDSA 一样，它基于椭圆曲线离散对数问题，因此我们的方案将来也可以应用于 Bitcoin 。常用参数有： q：素数； q = 2255 -19; d：Fq的一个元素； d = −121665/121666； E：椭圆曲线方程； −x2 + y2 = 1 + dx2y2; G：基点； G = (x,−4/5); l：基点的素数阶； l = 2252 + 27742317777372353535851937790883648493； Hs：加密 hash 函数 \(\{0, 1\}^* \to \mathbb{F}_q\)； Hp：确定性 hash 函数 \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\)。 4.2.2 术语增强隐私需要新的术语，该术语不应与 Bitcoin 实体混淆。 private ec-key 是一个标准的椭圆曲线私钥：一个数字 \(a \in [1, l - 1]\)； public ec-key 是标准椭圆曲线公钥：点A = aG；一次性密钥对是一对私有和公共 ec 密钥； 5 key，而是他所在组的所有用户的密钥。验证者确信真正的签名者是该组的成员，但不能唯一地识别签名者。最初的协议需要一个可信的第三方（称为组经理），而他是唯一可以追踪签名者的人。引入了称为环签名的下一个版本作者：Rivest 等人。在 [34] 中，是一个没有组经理和匿名的自治计划撤销。后来出现了该方案的各种修改：可链接环签名 [26, 27, 17]允许确定两个签名是否由同一组成员产生，可追踪环签名 [24, 23] 通过提供追踪签名者的可能性来限制过度匿名两条消息涉及相同的元信息（或 [24] 中的“标签”）。类似的密码结构也称为临时组签名 [16, 38]。它强调任意的组形成，而组/环签名方案则意味着固定的成员集。在很大程度上，我们的解决方案基于 E. Fujisaki 的作品“可追踪环签名” 和铃木 [24]。为了区分原始算法和我们的修改算法，我们将将后者称为一次性环签名，强调用户仅产生一个有效的能力在他的私钥下签名。我们弱化了可追溯性，保留了可链接性仅提供一次性的：公钥可能出现在许多国外验证集中，并且私钥可用于生成唯一的匿名签名。如果出现双重支出尝试将这两个签名链接在一起，但不必透露签名者为了我们的目的。 4.2 定义 4.2.1 椭圆曲线参数作为我们的基本签名算法，我们选择e 使用快速方案 EdDSA，该方案是开发和由 D.J. 实施伯恩斯坦等人。 [18]。与 Bitcoin 的 ECDSA 一样，它基于椭圆曲线离散对数问题，因此我们的方案将来也可以应用于 Bitcoin 。常用参数有： q：素数； q = 2255 -19; d：Fq的一个元素； d = −121665/121666； E：椭圆曲线方程； −x2 + y2 = 1 + dx2y2; G：基点； G = (x,−4/5); l：基点的素数阶； l = 2252 + 27742317777372353535851937790883648493； Hs：加密 hash 函数 \(\{0, 1\}^* \to \mathbb{F}_q\)； Hp：确定性 hash 函数 \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\)。 4.2.2 术语增强隐私需要新的术语，该术语不应与 Bitcoin 实体混淆。 private ec-key 是一个标准的椭圆曲线私钥：一个数字 \(a \in [1, l - 1]\)； public ec-key 是标准椭圆曲线公钥：点A = aG；一次性密钥对是一对私有和公共 ec 密钥； 5 10 “可链接环签名”意义上的可链接性意味着我们可以判断两个传出交易是否来自同一来源，而无需透露来源是谁。作者削弱了可链接性，以便 (a) 保护隐私，但仍然 (b) 使用私钥发现任何交易第二次为无效。好的，这是一个事件顺序问题。考虑以下场景。我的挖矿计算机将拥有当前的 blockchain，它将拥有自己调用的交易块合法，它将在 proof-of-work 拼图中的该块上工作，并且它将有一个要添加到下一个块的待处理交易列表。它还将发送任何新的交易进入该待处理交易池。如果我不解决下一个块，但是其他人这样做了，我得到了 blockchain 的更新副本。我正在研究的区块和我的待处理交易列表可能包含一些现已合并的交易进入blockchain。解开我的待处理块，将其与我的待处理交易列表结合起来，然后调用它我的待处理交易池。删除现在正式位于 blockchain 中的所有内容。现在，我该怎么办？我应该首先检查并“消除所有双花”吗？另一方面另一方面，我是否应该搜索列表并确保每个私钥尚未被使用过，如果它已经在我的列表中使用过，那么我首先收到第一个副本，因此任何进一步的复制都是非法的。因此，我继续简单地删除第一个之后的所有实例同一个私钥。代数几何从来都不是我的强项。 http://en.wikipedia.org/wiki/EdDSA 这速度，太厉害了。这是代数几何的胜利。并不是说我什么都知道关于那个。不管有没有问题，离散日志变得非常快。量子计算机吃掉它们早餐。 http://link.springer.com/article/10.1007/s13389-012-0027-1 这成为一个非常重要的数字，但没有解释或引用它是如何产生的被选中了。简单地选择一个已知的大素数就可以了，但是如果有已知的关于这个大质数的事实可能会影响我们的选择。加密货币的不同变体可以选择不同的值嗯，但是本文没有讨论如何做到这一点选择将影响我们对第 5 页列出的其他全局参数的选择。本文需要一个关于选择参数值的章节。

私有用户密钥是一对 (a, b) 两个不同的私有 ec-key；跟踪密钥是一对 (a, B) 私有和公共 ec-key（其中 B = bG 且 a̸= b）；公共用户密钥是从 (a, b) 派生的两个公共 ec-key 的一对 (A, B)；标准地址是提供给人类友好字符串的公共用户密钥的表示具有纠错功能；截断的地址是给定的公共用户密钥的后半部分（B点）的表示转换为人类友好的字符串并进行纠错。交易结构仍然与Bitcoin中的结构类似：每个用户都可以选择几个独立的收款（交易输出），用相应的签名私钥并将它们发送到不同的目的地。与 Bitcoin 的模型相反，用户拥有唯一的私钥和公钥，在提出的模型发送者根据接收者的地址生成一次性公钥一些随机数据。从这个意义上说，同一接收者的传入交易被发送到一次性公钥（不直接发送到唯一地址）并且只有接收者才能恢复相应的私人部分来赎回他的资金（使用他唯一的私钥）。收件人可以使用环签名来支出资金，使他的所有权和实际支出保持匿名。协议的详细信息将在接下来的小节中解释。 4.3 无法关联的付款经典的 Bitcoin 地址一旦发布，就成为传入的明确标识符付款，将它们链接在一起并与接收者的假名绑定。如果有人想要收到“解绑”交易时，他应该通过私人渠道将其地址传达给发送者。如果他想收到不同的交易，而这些交易不能被证明属于同一所有者他应该生成所有不同的地址，并且永远不要以自己的笔名发布它们。公共私人爱丽丝卡罗尔鲍勃的地址 1 鲍勃的地址 2 鲍勃的钥匙 1 鲍勃的钥匙 2 鲍勃图 2. 传统的 Bitcoin 密钥/交易模型。我们提出了一个解决方案，允许用户发布单个地址并无条件接收无法链接的付款。每个 CryptoNote 输出的目的地（默认情况下）是一个公钥，来自收件人的地址和发件人的随机数据。相对 Bitcoin 的主要优势默认情况下，每个目标密钥都是唯一的（除非发送者对每个目标密钥使用相同的数据）他的交易给同一个接收者）。因此，不存在“地址重用”的问题设计，没有观察者可以确定是否有任何交易被发送到特定地址或链接两个地址在一起。 6 私有用户密钥是一对 (a, b) 两个不同的私有 ec-key；跟踪密钥是一对 (a, B) 私有和公共 ec-key（其中 B = bG 且 a̸= b）；公共用户密钥是从 (a, b) 派生的两个公共 ec-key 的一对 (A, B)；标准地址是提供给人类友好字符串的公共用户密钥的表示具有纠错功能；截断的地址是给定的公共用户密钥的后半部分（B点）的表示转换为人类友好的字符串并进行纠错。交易结构仍然与Bitcoin中的结构类似：每个用户都可以选择几个独立的收款（交易输出），用相应的签名私钥并将它们发送到不同的目的地。与 Bitcoin 的模型相反，用户拥有唯一的私钥和公钥，在提出的模型发送者根据接收者的地址生成一次性公钥一些随机数据。从这个意义上说，同一接收者的传入交易被发送到一次性公钥（不直接发送到唯一地址）并且只有接收者才能恢复相应的私人部分来赎回他的资金（使用他唯一的私钥）。收件人可以使用环签名来支出资金，使他的所有权和实际支出保持匿名。协议的详细信息将在接下来的小节中解释。 4.3 无法关联的付款经典的 Bitcoin 地址一旦发布，就成为传入的明确标识符付款，将它们链接在一起并与接收者的假名绑定。如果有人想要收到“解绑”交易时，他应该通过私人渠道将其地址传达给发送者。如果他想收到不同的交易，而这些交易不能被证明属于同一所有者他应该生成所有不同的地址，并且永远不要以自己的笔名发布它们。公共私人爱丽丝卡罗尔鲍勃的地址 1 鲍勃的地址 2 鲍勃的钥匙 1 鲍勃的钥匙 2 鲍勃图 2. 传统的 Bitcoin 密钥/交易模式埃尔。我们提出了一个解决方案，允许用户发布单个地址并无条件接收无法链接的付款。每个 CryptoNote 输出的目的地（默认情况下）是一个公钥，来自收件人的地址和发件人的随机数据。相对 Bitcoin 的主要优势默认情况下，每个目标密钥都是唯一的（除非发送者对每个目标密钥使用相同的数据）他的交易给同一个接收者）。因此，不存在“地址重用”的问题设计，没有观察者可以确定是否有任何交易被发送到特定地址或链接两个地址在一起。 6 11 所以这就像 Bitcoin，但具有无限的匿名邮政信箱，只能由收件人兑换生成与环签名一样匿名的私钥。 Bitcoin 就是这样工作的。如果 Alex 刚刚从 Frank 收到的钱包里有 0.112 Bitcoin，那么她确实有一个签名消息“我，[FRANK]，发送 0.112 Bitcoin 至 [alex] + H0 + N0”，其中 1) Frank 已签署用他的私钥 [FRANK] 发送消息，2) Frank 已用 Alex 的公钥签署了该消息 key，[alex]，3) Frank 包含了某种形式的比特币历史，H0，以及 4) Frank 包括称为 nonce, N0 的随机数据位。如果 Alex 然后想要发送 0.011 Bitcoin 给 Charlene，她会接受 Frank 的消息，并且她将其设置为 H1，并签署两条消息：一条用于她的交易，一条用于更改。 H1=“我，[FRANK]，发送 0.112 Bitcoin 至 [alex] + H0 + N” “我，[ALEX]，发送 0.011 Bitcoin 至 [charlene] + H1 + N1" “我，[ALEX]，发送 0.101 Bitcoin 作为对 [alex] + H1 + N2 的更改。” Alex 用她的私钥 [ALEX] 签署了两条消息，第一条消息是用 Charlene 的公钥 [charlene]，带有 Alex 公钥 [alex] 的第二条消息，包括历史和一些随机生成的 nonces N1 和 N2 适当。 Cryptonote 的工作原理如下：如果 Alex 在她刚刚从 Frank 收到的钱包里有 0.112 Cryptonote，那么她确实有一个签名的消息“我，[临时组中的某个人]，将 0.112 Cryptonote 发送到 [一次性地址] + H0 + N0。” Alex 通过检查她的私钥 [ALEX] 发现这是她的钱每一条传递的消息的[一次性地址]，如果她想花掉它，她会在以下方式。她选择了这笔钱的接收者，也许夏琳已经开始投票支持无人机袭击，所以亚历克斯想汇款给布伦达。因此 Alex 查找 Brenda 的公钥 [brenda]，并使用她自己的私钥 [ALEX] 生成一次性地址 [ALEX+brenda]。她然后从加密货币用户网络中选择一个任意集合 C 并构造来自该临时组的环签名。我们将历史记录设置为上一条消息，添加 nonces，然后照常进行吗？ H1 =“我，[临时组中的某人]，将 0.112 Cryptonote 发送到 [一次性地址] + H0 + N0。” “我，[集合 C 中的某个人]，将 0.011 Cryptonote 发送至 [one-time-address-made-fromALEX+brenda] + H1 + N1” “我，[集合 C 中的某个人]，将 0.101 Cryptonote 作为找零发送给 [one-time-address-madefrom-ALEX+alex] + H1 + N2” 现在，Alex 和 Brenda 都扫描所有传入消息，以查找曾经存在过的一次性地址。使用他们的密钥创建。如果他们找到任何消息，那么该消息就是他们自己的全新消息加密货币！即便如此，交易仍将达到 blockchain。如果硬币进入该地址已知是由犯罪分子、政治捐助者或委员会和账户发送的预算严格（即贪污），或者这些代币的新所有者犯了错误并将这些硬币发送到一个与他已知拥有的硬币相同的地址，即匿名夹具比特币上涨了。

私有用户密钥是一对 (a, b) 两个不同的私有 ec-key；跟踪密钥是一对 (a, B) 私有和公共 ec-key（其中 B = bG 且 a̸= b）；公共用户密钥是从 (a, b) 派生的两个公共 ec-key 的一对 (A, B)；标准地址是提供给人类友好字符串的公共用户密钥的表示具有纠错功能；截断的地址是给定的公共用户密钥的后半部分（B点）的表示转换为人类友好的字符串并进行纠错。交易结构仍然与Bitcoin中的结构类似：每个用户都可以选择几个独立的收款（交易输出），用相应的签名私钥并将它们发送到不同的目的地。与 Bitcoin 的模型相反，用户拥有唯一的私钥和公钥，在提出的模型发送者根据接收者的地址生成一次性公钥一些随机数据。从这个意义上说，同一接收者的传入交易被发送到一次性公钥（不直接发送到唯一地址）并且只有接收者才能恢复相应的私人部分来赎回他的资金（使用他唯一的私钥）。收件人可以使用环签名来支出资金，使他的所有权和实际支出保持匿名。协议的详细信息将在接下来的小节中解释。 4.3 无法关联的付款经典的 Bitcoin 地址一旦发布，就成为传入的明确标识符付款，将它们链接在一起并与接收者的假名绑定。如果有人想要收到“解绑”交易时，他应该通过私人渠道将其地址传达给发送者。如果他想收到不同的交易，而这些交易不能被证明属于同一所有者他应该生成所有不同的地址，并且永远不要以自己的笔名发布它们。公共私人爱丽丝卡罗尔鲍勃的地址 1 鲍勃的地址 2 鲍勃的钥匙 1 鲍勃的钥匙 2 鲍勃图 2. 传统的 Bitcoin 密钥/交易模型。我们提出了一个解决方案，允许用户发布单个地址并无条件接收无法链接的付款。每个 CryptoNote 输出的目的地（默认情况下）是一个公钥，来自收件人的地址和发件人的随机数据。对抗 Bitcoin 的主要优势默认情况下，每个目标密钥都是唯一的（除非发送者对每个目标密钥使用相同的数据）他的交易给同一个接收者）。因此，不存在“地址重用”的问题设计，没有观察者可以确定是否有任何交易被发送到特定地址或链接两个地址在一起。 6 私有用户密钥是一对 (a, b) 两个不同的私有 ec-key；跟踪密钥是一对 (a, B) 私有和公共 ec-key（其中 B = bG 且 a̸= b）；公共用户密钥是从 (a, b) 派生的两个公共 ec-key 的一对 (A, B)；标准地址是提供给人类友好字符串的公共用户密钥的表示具有纠错功能；截断的地址是给定的公共用户密钥的后半部分（B点）的表示转换为人类友好的字符串并进行纠错。交易结构仍然与Bitcoin中的结构类似：每个用户都可以选择几个独立的收款（交易输出），用相应的签名私钥并将它们发送到不同的目的地。与 Bitcoin 的模型相反，用户拥有唯一的私钥和公钥，在提出的模型发送者根据接收者的地址生成一次性公钥一些随机数据。从这个意义上说，同一接收者的传入交易被发送到一次性公钥（不直接发送到唯一地址）并且只有接收者才能恢复相应的私人部分来赎回他的资金（使用他唯一的私钥）。收件人可以使用环签名来支出资金，使他的所有权和实际支出保持匿名。协议的详细信息将在接下来的小节中解释。 4.3 无法关联的付款经典的 Bitcoin 地址一旦发布，就成为传入的明确标识符付款，将它们链接在一起并与接收者的假名绑定。如果有人想要收到“解绑”交易时，他应该通过私人渠道将其地址传达给发送者。如果他想收到不同的交易，而这些交易不能被证明属于同一所有者他应该生成所有不同的地址，并且永远不要以自己的笔名发布它们。公共私人爱丽丝卡罗尔鲍勃的地址 1 鲍勃的地址 2 鲍勃的钥匙 1 鲍勃的钥匙 2 鲍勃图 2. 传统的 Bitcoin 密钥/交易模式埃尔。我们提出了一个解决方案，允许用户发布单个地址并无条件接收无法链接的付款。每个 CryptoNote 输出的目的地（默认情况下）是一个公钥，来自收件人的地址和发件人的随机数据。相对 Bitcoin 的主要优势默认情况下，每个目标密钥都是唯一的（除非发送者对每个目标密钥使用相同的数据）他的交易给同一个接收者）。因此，不存在“地址重用”的问题设计，没有观察者可以确定是否有任何交易被发送到特定地址或链接两个地址在一起。 6 12 因此，用户不是从地址（实际上是公钥）发送硬币到地址（另一个公钥）使用他们的私钥，用户从一次性邮政信箱发送硬币（使用您朋友的公钥生成）到一次性邮政信箱（类似地）使用您的自己的私钥。从某种意义上说，我们是在说“好吧，每个人在钱被使用的时候把手拿开” 转来转去！只要知道我们的钥匙可以打开那个盒子就足够了我们知道盒子里有多少钱。切勿将指纹放在邮政信箱或实际使用时，只需交易装满现金的盒子即可。这样我们就不知道是谁发的什么，但是这些公共地址的内容仍然是无摩擦的、可替代的、可分割的，并且仍然拥有我们想要的所有其他良好的货币品质，比如比特币。” 无限组邮政信箱。你公布地址，我有私钥。我使用我的私钥和您的地址，并且一些随机数据，以生成公钥。该算法的设计使得，由于您地址用于生成公钥，只有您的私钥才能解锁消息。观察者 Eve 看到您发布了您的地址，并看到了我宣布的公钥。然而，她不知道我是否根据你的地址或她的地址或布伦达的地址公布了我的公钥或夏琳的，或任何人的。她根据我宣布的公钥检查她的私钥并发现它不起作用；这不是她的钱。她不知道其他人的私钥，并且只有消息的接收者才拥有可以解锁消息的私钥。所以没有人倾听可以确定谁收到了钱，更不用说拿走了钱。

公共私人爱丽丝卡罗尔一次性钥匙一次性钥匙一次性钥匙鲍勃鲍勃的钥匙鲍勃的地址图 3. CryptoNote 密钥/交易模型。首先，发送者执行 Diﬃe-Hellman 交换，从他的数据中获取共享秘密，并收件人地址的一半。然后，他使用共享的密钥计算一次性目标密钥秘密和地址的后半部分。收件人需要两个不同的 ec-key 对于这两个步骤，因此标准 CryptoNote 地址几乎是 Bitcoin 钱包的两倍地址。接收方还执行 Diﬃe-Hellman 交换以恢复相应的秘密密钥。标准交易顺序如下： 1. Alice 想要向 Bob 发送一笔付款，Bob 已经发布了他的标准地址。她解压地址并获取 Bob 的公钥 (A, B)。 2. Alice 生成一个随机 \(r \in [1, l - 1]\) 并计算一次性公钥 \(P = H_s(rA)G +\) B. 3. Alice 使用 P 作为输出的目标密钥，并且还打包值 R = rG（作为一部分） Dﬃe-Hellman 交换的一部分）进入交易的某个地方。请注意，她可以创建具有唯一公钥的其他输出：不同接收者的密钥（Ai，Bi）意味着不同的 Pi 即使使用相同的 r。交易发送方公钥发射输出金额目的地键 R=rG P = Hs(rA)G + B 接收者的公钥发送者的随机数据 r （甲、乙）图 4. 标准交易结构。 4. Alice 发送交易。 5. Bob 用他的私钥 (a, b) 检查每笔通过的交易，并计算 P ′ = Hs(aR)G + B。如果Alice与Bob作为接收者的交易也在其中，则 aR = arG = rA 且 P ′ = P。 7 公共私人爱丽丝卡罗尔一次性钥匙一次性钥匙一次性钥匙鲍勃鲍勃的钥匙鲍勃的地址图 3. CryptoNote 密钥/交易模型。首先，发送者执行 Diﬃe-Hellman 交换，从他的数据中获取共享秘密，并收件人地址的一半。然后，他使用共享的密钥计算一次性目标密钥秘密和地址的后半部分。收件人需要两个不同的 ec-key 对于这两个步骤，因此标准 CryptoNote 地址几乎是 Bitcoin 钱包的两倍地址。接收方还执行 Diﬃe-Hellman 交换以恢复相应的秘密密钥。标准交易顺序如下： 1. Alice 想要向 Bob 发送一笔付款，Bob 已经发布了他的标准地址。她解压地址并获取 Bob 的公钥 (A, B)。 2. Alice 生成一个随机 \(r \in [1, l - 1]\) 并计算一次性公钥 \(P = H_s(rA)G +\) B. 3. Alice 使用 P 作为输出的目标密钥，并且还打包值 R = rG（作为一部分） Dﬃe-Hellman 交换的一部分）进入交易的某个地方。请注意，她可以创建具有唯一公钥的其他输出：不同接收者的密钥（Ai，Bi）意味着不同的 Pi 即使使用相同的 r。交易发送方公钥发射输出金额目的地键 R=rG P = Hs(rA)G + B 接收者的公钥发送者的随机数据 r （甲、乙）图 4. 标准交易结构。 4. Alice 发送交易。 5. Bob 用他的私钥 (a, b) 检查每笔通过的交易，并计算 P ′ = Hs(aR)G + B。如果Alice与Bob作为接收者的交易也在其中，则 aR = arG = rA 且 P ′ = P。 7 13 我想知道实施密码学的“选择”会带来多大的痛苦计划。椭圆形或其他形状。因此，如果将来某个计划被破坏，货币就会转换无需担心。可能是一个很大的痛苦。好的，这正是我在之前的评论中所解释的。迪-赫尔曼型交流很简单。假设 Alex 和 Brenda 各有一个秘密号码 A 和 B，以及一个号码他们不关心保守秘密，a和b。他们希望生成一个共享秘密而无需伊娃发现了它。迪耶和赫尔曼想出了一个方法，让亚历克斯和布伦达分享公开号码a和b，但不是私人号码A和B，并生成共享秘密， K. 使用这个共享秘密 K，无需任何 Eva 监听即可生成相同的秘密 K、Alex 和 Brenda 现在可以使用 K 作为秘密加密密钥并传回秘密消息等等。以下是它 CAN 的工作原理，尽管它应该适用于比 100 大得多的数字。我们将使用 100，因为对整数取模 100 相当于“扔掉所有但数字的最后两位。” Alex 和 Brenda 各自选择 A、a、B 和 b。他们对 A 和 B 保密。 Alex 告诉 Brenda 她的模 100 的值（仅最后两位数字），Brenda 告诉 Alex 她的 b 值模 100。现在 Eva 知道 (a,b) 模 100。但是 Alex 知道 (a,b,A)，所以她可以计算 x=abA 模 100。亚历克斯砍掉了所有的东西，只留下最后一个数字，因为我们正在工作再次以 100 为模的整数。同样，布伦达知道 (a,b,B)，因此她可以计算 y=abB 模 100。Alex 现在可以发布 x，Brenda 可以发布 y。但现在 Alex 可以计算 yA = abBA modulo 100，而 Brenda 可以计算 xB = abBA 模 100。他们都知道同一个号码！但伊娃听到的只是（a，b，abA，abB）。她没有简单的方法来计算 abA*B。现在，这是考虑 Diﬃe-Hellman 交换的最简单且最不安全的方式。存在更安全的版本。但大多数版本都可以工作，因为整数分解和离散对数很难，而这两个问题都可以通过量子计算机轻松解决。我将研究是否存在任何抵抗量子的版本。 http://en.wikipedia.org/wiki/Diﬃe%E2%80%93Hellman_key_exchange 此处列出的“标准 txn 序列”缺少一大堆步骤，例如签名。他们在这里被视为理所当然。这真的很糟糕，因为我们的顺序签名内容、签名消息中包含的信息等等……所有这些都非常重要对协议很重要。在实施“ 标准交易序列”可能会使整个系统的安全性受到质疑。此外，如果它们工作的框架与本节一样松散地定义。

公共私人爱丽丝卡罗尔一次性钥匙一次性钥匙一次性钥匙鲍勃鲍勃的钥匙鲍勃的地址图 3. CryptoNote 密钥/交易模型。首先，发送者执行 Diﬃe-Hellman 交换，从他的数据中获取共享秘密，并收件人地址的一半。然后，他使用共享的密钥计算一次性目标密钥秘密和地址的后半部分。收件人需要两个不同的 ec-key 对于这两个步骤，因此标准 CryptoNote 地址几乎是 Bitcoin 钱包的两倍地址。接收方还执行 Diﬃe-Hellman 交换以恢复相应的秘密密钥。标准交易顺序如下： 1. Alice 想要向 Bob 发送一笔付款，Bob 已经发布了他的标准地址。她解压地址并获取 Bob 的公钥 (A, B)。 2. Alice 生成一个随机 \(r \in [1, l - 1]\) 并计算一次性公钥 \(P = H_s(rA)G +\) B. 3. Alice 使用 P 作为输出的目标密钥，并且还打包值 R = rG（作为一部分） Dﬃe-Hellman 交换的一部分）进入交易的某个地方。请注意，她可以创建具有唯一公钥的其他输出：不同接收者的密钥（Ai，Bi）意味着不同的 Pi 即使使用相同的 r。交易发送方公钥发射输出金额目的地键 R=rG P = Hs(rA)G + B 接收者的公钥发送者的随机数据 r （甲、乙）图 4. 标准交易结构。 4. Alice 发送交易。 5. Bob 用他的私钥 (a, b) 检查每笔通过的交易，并计算 P ′ = Hs(aR)G + B。如果Alice与Bob作为接收者的交易也在其中，则 aR = arG = rA 且 P ′ = P。 7 公共私人爱丽丝卡罗尔一次性钥匙一次性钥匙一次性钥匙鲍勃鲍勃的钥匙鲍勃的地址图 3. CryptoNote 密钥/交易模型。首先，发送者执行 Diﬃe-Hellman 交换，从他的数据中获取共享秘密，并收件人地址的一半。然后，他使用共享的密钥计算一次性目标密钥秘密和地址的后半部分。收件人需要两个不同的 ec-key 对于这两个步骤，因此标准 CryptoNote 地址几乎是 Bitcoin 钱包的两倍地址。接收方还执行 Diﬃe-Hellman 交换以恢复相应的秘密密钥。标准交易顺序如下： 1. Alice 想要向 Bob 发送一笔付款，Bob 已经发布了他的标准地址。她解压地址并获取 Bob 的公钥 (A, B)。 2. Alice 生成一个随机 \(r \in [1, l - 1]\) 并计算一次性公钥 \(P = H_s(rA)G +\) B. 3. Alice 使用 P 作为输出的目标密钥，并且还打包值 R = rG（作为一部分） Dﬃe-Hellman 交换的一部分）进入交易的某个地方。请注意，她可以创建具有唯一公钥的其他输出：不同接收者的密钥（Ai，Bi）意味着不同的 Pi 即使使用相同的 r。交易发送方公钥发射输出金额目的地键 R=rG P = Hs(rA)G + B 接收者的公钥发送者的随机数据 r （甲、乙）图 4. 标准交易结构。 4. Alice 发送交易。 5. Bob 用他的私钥 (a, b) 检查每笔通过的交易，并计算 P ′ = Hs(aR)G + B。如果Alice与Bob作为接收者的交易也在其中，则 aR = arG = rA 且 P ′ = P。 7 14 请注意，作者在保持术语简洁方面做得很糟糕文本，但尤其是在接下来的部分。本文的下一个版本必然是更加严格。在文本中，他们将 P 称为他们的一次性公钥。在图中，他们将 R 称为他们的“Tx 公钥”和 P 作为他们的“目标密钥”。如果我要重写这个，我会在讨论这些部分之前，非常具体地列出一些术语。这个井很大。参见第 5 页。谁选择艾尔？该图说明交易公钥 R = rG，它是随机选择的由发送方发送，不是 Tx 输出的一部分。这是因为对于多个来说它可能是相同的交易给多人，并且稍后不会用于支出。生成一个新的R 每次您想要广播新的 CryptoNote 交易时。此外，R仅用于检查您是否是交易的接收者。这不是垃圾数据，但对任何人来说都是垃圾没有与 (A,B) 关联的私钥。另一方面，目的地密钥 P = Hs(rA)G + B 是 Tx 输出的一部分。大家翻阅每笔经过的交易数据必须检查自己生成的 P* 这个 P 看看他们是否拥有这个传递的交易。任何拥有未使用交易输出的人 (UTXO) 将会有一堆这样的 P 并带有数量。为了度过d、他们签署一些新消息，包括 P。 Alice 必须使用与未使用的交易输出目标密钥关联的一次性私钥来签署此交易。 Alice 拥有的每把目的地钥匙都配备有具有（大概）爱丽丝也拥有的一次性私钥。每次爱丽丝想要的时候将目标密钥的内容发送给我、鲍勃、布伦达、查理或夏琳，她使用她的私钥来签署交易。收到交易后，我将收到新的 Tx 公钥，一个新的目标公钥，我将能够恢复一个新的一次性私钥 x。将我的一次性私钥 x 与新交易的公共目的地相结合 key(s) 是我们发送新交易的方式

Bob 可以恢复相应的一次性私钥：x = Hs(aR) + b，因此 P = xG。他可以随时通过与 x 签署交易来花费此输出。交易发送方公钥发射输出金额目的地键 P ′ = Hs(aR)G + bG 一次性公钥 x = Hs(aR) + b 一次性私钥接收者的私钥（一、二）右 P′ ? = P 图 5. 传入交易检查。结果，鲍勃收到了与一次性公钥相关的收款，该公钥是对于观众来说是不可链接的。一些附加说明： • 当鲍勃“识别”他的交易时（参见步骤 5），他实际上只使用了他的一半交易私人信息：（a，B）。这对也称为跟踪密钥，可以通过给第三方（卡罗尔）。鲍勃可以委托她处理新交易。鲍勃不需要明确信任 Carol，因为她无法恢复一次性密钥 p 没有 Bob 的完整私钥 (a, b)。当 Bob 缺乏带宽时，此方法很有用或计算能力（智能手机、硬件钱包等）。 • 如果爱丽丝想证明她向鲍勃的地址发送了一笔交易，她可以披露 r 或使用任何类型的零知识协议来证明她知道 r （例如通过签名与 r 的交易。 • 如果 Bob 希望拥有一个审计兼容地址，其中所有传入交易都在可链接，他可以发布他的跟踪密钥或使用截断的地址。那个地址只代表一个公共ec-key B，协议所需的剩余部分为由此导出如下：a = Hs(B) 且 A = Hs(B)G。在这两种情况下，每个人都是能够“识别”Bob 的所有传入交易，但是，当然，没有人可以花费其中包含的资金没有密钥 b． 4.4 一次性环签名一种基于一次性环签名的协议允许用户实现无条件的不可链接性。不幸的是，普通类型的加密签名允许追踪交易到他们的各自的发送者和接收者。我们解决这个缺陷的方法是使用不同的签名类型不同于当前电子现金系统中使用的类型。我们将首先提供我们算法的一般描述，没有明确引用电子现金。一次性环签名包含四种算法：（GEN、SIG、VER、LNK）： GEN：采用公共参数并输出 ec 对 (P, x) 和公钥 I。 SIG：接受消息 m、一组公钥 {Pi}i̸=s、一对 (Ps, xs) \(S'\)，并输出签名 \(\sigma\) 以及集合 \(S = \)S'\( \cup \{P_s\}\)。 8
Bob 可以恢复相应的一次性私钥：x = Hs(aR) + b，因此 P = xG。他可以随时通过与 x 签署交易来花费此输出。交易发送方公钥发射输出金额目的地键 P ′ = Hs(aR)G + bG 一次性公钥 x = Hs(aR) + b 一次性私钥接收者的私钥（一、二）右 P′ ? = P 图 5. 传入交易检查。结果，鲍勃收到了与一次性公钥相关的收款，该公钥是对于观众来说是不可链接的。一些附加说明： • 当鲍勃“识别”他的交易时（参见步骤 5），他实际上只使用了他的一半交易私人信息：（a，B）。这对也称为跟踪密钥，可以通过给第三方（卡罗尔）。鲍勃可以委托她处理新交易。鲍勃不需要明确信任 Carol，因为她无法恢复一次性密钥 p 没有 Bob 的完整私钥 (a, b)。当 Bob 缺乏带宽时，此方法很有用或计算能力（智能手机、硬件钱包等）。 • 如果爱丽丝想证明她向鲍勃的地址发送了一笔交易，她可以披露 r 或使用任何类型的零知识协议来证明她知道 r （例如通过签名与 r 的交易。 • 如果 Bob 希望拥有一个审计兼容地址，其中所有传入交易都在可链接，他可以发布他的跟踪密钥或使用截断的地址。那个地址只代表一个公共ec-key B，协议所需的剩余部分为由此导出如下：a = Hs(B) 且 A = Hs(B)G。在这两种情况下，每个人都是能够“识别”Bob 的所有传入交易，但是，当然，没有人可以花费其中包含的资金没有密钥 b． 4.4 一次性环签名一种基于一次性环签名的协议允许用户实现无条件的不可链接性。不幸的是，普通类型的加密签名允许追踪交易到他们的各自的发送者和接收者。我们解决这个缺陷的方法是使用不同的签名类型不同于当前电子现金系统中使用的类型。我们首先提供一个gener我们算法的所有描述，没有明确引用电子现金。一次性环签名包含四种算法：（GEN、SIG、VER、LNK）： GEN：采用公共参数并输出 ec 对 (P, x) 和公钥 I。 SIG：接受消息 m、一组公钥 {Pi}i̸=s、一对 (Ps, xs) \(S'\)，并输出签名 \(\sigma\) 以及集合 \(S = \)S'\( \cup \{P_s\}\)。 8 15 这里未使用的交易输出是什么样的？该图表明交易输出仅包含两个数据点：金额和目的地键。但这不是足够了，因为当我尝试使用这个“输出”时，我仍然需要知道 R=rG。请记住，r 由发送者选择，并且 R a) 用于将传入的加密货币识别为您的拥有和 b) 用于生成用于“认领”您的加密货币的一次性私钥。我不明白的部分是什么？采取理论上的“好吧，我们有这些签名和交易，我们将它们来回传递”到编程世界 “好吧，具体什么信息构成了个体UTXO？” 回答这个问题的最佳方法是深入研究完全未注释的代码主体。一路走好，比特币团队。回想一下：可链接性意味着“是同一个人发送的吗？”不可链接性意味着“做了同样的事情” 人收到吗？”。因此，系统可以是可链接的或不可链接的、不可链接的或不可不可链接的。很烦人，我知道。因此，当 Nic van Saberhagen 在这里说“……收到的付款[与]一次性相关” 观众无法链接的公钥”，让我们看看他的意思。首先，考虑这样一种情况：Alice 向 Bob 发送来自同一交易的两个单独的交易。地址到同一个地址。在Bitcoin宇宙中，爱丽丝已经犯了错误从同一地址发送，因此交易未能满足我们对有限的愿望可链接性。而且，既然她把钱寄到了同一个地址，她就辜负了我们的愿望为不可链接性。该比特币交易既是（完全）可链接又是不可链接的。另一方面，在加密货币世界中，假设爱丽丝向鲍勃发送了一些加密货币，使用鲍勃的公共地址。她选择所有已知的公共密钥作为她的混淆公共密钥集华盛顿特区都会区的钥匙。 Alex 使用自己的公钥生成一次性公钥信息和鲍勃的公开信息。她把钱寄出去，任何观察者都会只能收集“来自华盛顿特区都会区的某人发送了 2.3 个加密货币到一次性公共地址 XYZ123。” 我们在这里对可链接性进行概率控制，因此我们将其称为“几乎不可链接”。我们也只看到一次性公钥资金被发送到的地方。即使我们怀疑接收者是鲍勃，我们没有他的私钥，所以我们无法测试是否通过交易属于鲍勃，更不用说生成他的一次性私钥来兑换他的加密货币了。所以这个事实上，完全“无法链接”。所以，这是所有技巧中最巧妙的。谁愿意真正信任另一个 MtGox？我们可能是在 Coinbase 上存储一定数量的 BTC 很舒服，但比特币安全的终极目标是实体钱包。这很不方便。在这种情况下，您可以放心地泄露一半的私钥，而不会损害您的自己花钱的能力。执行此操作时，您所做的就是告诉某人如何打破不可链接性。另一个 CN 像货币一样的属性被保留，例如防止双重支出和诸如此类的。
Bob 可以恢复相应的一次性私钥：x = Hs(aR) + b，因此 P = xG。他可以随时通过与 x 签署交易来花费此输出。交易发送方公钥发射输出金额目的地键 P ′ = Hs(aR)G + bG 一次性公钥 x = Hs(aR) + b 一次性私钥接收者的私钥（一、二）右 P′ ? = P 图 5. 传入交易检查。结果，鲍勃收到了与一次性公钥相关的收款，该公钥是对于观众来说是不可链接的。一些附加说明： • 当鲍勃“识别”他的交易时（参见步骤 5），他实际上只使用了他的一半交易私人信息：（a，B）。这对也称为跟踪密钥，可以通过给第三方（卡罗尔）。鲍勃可以委托她处理新交易。鲍勃不需要明确信任 Carol，因为她无法恢复一次性密钥 p 没有 Bob 的完整私钥 (a, b)。当 Bob 缺乏带宽时，此方法很有用或计算能力（智能手机、硬件钱包等）。 • 如果爱丽丝想证明她向鲍勃的地址发送了一笔交易，她可以披露 r 或使用任何类型的零知识协议来证明她知道 r （例如通过签名与 r 的交易。 • 如果 Bob 希望拥有一个审计兼容地址，其中所有传入交易都在可链接，他可以发布他的跟踪密钥或使用截断的地址。那个地址只代表一个公共ec-key B，协议所需的剩余部分为由此导出如下：a = Hs(B) 且 A = Hs(B)G。在这两种情况下，每个人都是能够“识别”Bob 的所有传入交易，但是，当然，没有人可以花费其中包含的资金没有密钥 b． 4.4 一次性环签名一种基于一次性环签名的协议允许用户实现无条件的不可链接性。不幸的是，普通类型的加密签名允许追踪交易到他们的各自的发送者和接收者。我们解决这个缺陷的方法是使用不同的签名类型不同于当前电子现金系统中使用的类型。我们将首先提供我们算法的一般描述，没有明确引用电子现金。一次性环签名包含四种算法：（GEN、SIG、VER、LNK）： GEN：采用公共参数并输出 ec 对 (P, x) 和公钥 I。 SIG：接受消息 m、一组公钥 {Pi}i̸=s、一对 (Ps, xs) \(S'\)，并输出签名 \(\sigma\) 以及集合 \(S = \)S'\( \cup \{P_s\}\)。 8
Bob 可以恢复相应的一次性私钥：x = Hs(aR) + b，因此 P = xG。他可以随时通过与 x 签署交易来花费此输出。交易发送方公钥发射输出金额目的地键 P ′ = Hs(aR)G + bG 一次性公钥 x = Hs(aR) + b 一次性私钥接收者的私钥（一、二）右 P′ ? = P 图 5. 传入交易检查。结果，鲍勃收到了与一次性公钥相关的收款，该公钥是对于观众来说是不可链接的。一些附加说明： • 当鲍勃“识别”他的交易时（参见步骤 5），他实际上只使用了他的一半交易私人信息：（a，B）。这对也称为跟踪密钥，可以通过给第三方（卡罗尔）。鲍勃可以委托她处理新交易。鲍勃不需要明确信任 Carol，因为她无法恢复一次性密钥 p 没有 Bob 的完整私钥 (a, b)。当 Bob 缺乏带宽时，此方法很有用或计算能力（智能手机、硬件钱包等）。 • 如果爱丽丝想证明她向鲍勃的地址发送了一笔交易，她可以披露 r 或使用任何类型的零知识协议来证明她知道 r （例如通过签名与 r 的交易。 • 如果 Bob 希望拥有一个审计兼容地址，其中所有传入交易都在可链接，他可以发布他的跟踪密钥或使用截断的地址。那个地址只代表一个公共ec-key B，协议所需的剩余部分为由此导出如下：a = Hs(B) 且 A = Hs(B)G。在这两种情况下，每个人都是能够“识别”Bob 的所有传入交易，但是，当然，没有人可以花费其中包含的资金没有密钥 b． 4.4 一次性环签名一种基于一次性环签名的协议允许用户实现无条件的不可链接性。不幸的是，普通类型的加密签名允许追踪交易到他们的各自的发送者和接收者。我们解决这个缺陷的方法是使用不同的签名类型不同于当前电子现金系统中使用的类型。我们首先提供一个gener我们算法的所有描述，没有明确引用电子现金。一次性环签名包含四种算法：（GEN、SIG、VER、LNK）： GEN：采用公共参数并输出 ec 对 (P, x) 和公钥 I。 SIG：接受消息 m、一组公钥 {Pi}i̸=s、一对 (Ps, xs) \(S'\)，并输出签名 \(\sigma\) 以及集合 \(S = \)S'\( \cup \{P_s\}\)。 8 16 是的，现在我们有 a) 付款地址和 b) 付款 ID。批评者可能会问“我们真的需要这样做吗？毕竟，如果商家收到 112.00678952 CN 完全正确，那是我的订单，我有屏幕截图或收据或其他什么，不是吗疯狂的精确度足够了吗？”答案是“也许，大多数时候，在日常生活中，面对面交易。” 然而，更常见的情况（尤其是在数字世界中）是这样的：商家出售一组物品，每个物品都有固定的价格。假设对象 A 为 0.001 CN，对象 B 为 0.01 CN，物体C是0.1 CN。现在，如果商家收到一个1.618 CN的订单，有很多很多（很多！）为客户安排订单的方式。因此，如果没有某种付款 ID，识别客户所谓的“独特”订单及其所谓的“独特”成本秩序变得不可能。更有趣的是：如果我在线商店中的所有商品的价格都是 1.0 CN，我每天有 1000 个客户？并且您想证明您恰好购买了 3 件物品两周前？没有付款ID？祝你好运，伙计。长话短说：当鲍勃发布一个付款地址时，他最终可能还会发布一个以及付款 ID（例如 Poloniex XMR 存款）。这与描述的不同在此处的文本中，Alice 是生成付款 ID 的人。 Bob 也必须有某种方式来生成支付 ID。（一、乙）回想一下，跟踪密钥 (a,B) 可以被发布；失去“a”意志价值的秘密不侵犯您的消费能力或允许人们从您那里偷窃（我认为......这会有待证明），它只会让人们看到所有传入的交易。如本段所述，截断的地址仅采用密钥的“私有”部分并从“公共”部分生成它。显示“a”的值将消除不可链接性但将保留其余交易。作者的意思是“not unlinkable”，因为unlinkable指的是接收者而linkable 指发件人。很明显，作者没有意识到可链接性有两个不同的方面。毕竟，交易是图上的有向对象，因此会出现两个问题： “这两笔交易是同一个人进行的吗？”以及“这两笔交易即将到来吗？来自同一个人？” 这是一个“不回头”的政策，在该政策下，CryptoNote 的不可链接性属性是有条件的。也就是说，Bob 可以选择他传入的交易不是不可链接的使用该政策。这是他们在随机预言模型下证明的主张。我们会谈到这一点；随机的甲骨文有优点也有缺点。

VER：接受消息 m、集合 S、签名 \(\sigma\) 并输出“真”或“假”。 LNK：采用集合 I = {Ii}、签名 \(\sigma\) 并输出“linked”或“indep”。该协议背后的想法相当简单：用户生成一个签名，该签名可以是通过一组公钥而不是唯一的公钥进行检查。签名者的身份是与公钥在集合中的其他用户无法区分，直到所有者生成使用相同密钥对的第二个签名。私钥 x0 \(\cdots\) 希 \(\cdots\) xn 公钥 P0 \(\cdots\) 圆周率 \(\cdots\) PN 戒指签名标志验证图 6. 环签名匿名性。 GEN：签名者选择一个随机密钥 \(x \in [1, l - 1]\) 并计算相应的密钥公钥 P = xG。此外，他还计算了另一个公钥 I = xHp(P)，我们将其称之为“关键图像”。 SIG：签名者生成具有非交互式零知识的一次性环签名使用 [21] 中的技术进行证明。他从其他用户的 n 中随机选择子集 \(S'\) 公钥 Pi、他自己的密钥对 (x, P) 和密钥图像 I。令 \(0 \leq s \leq n\) 为签名者的秘密索引在 S 中（因此他的公钥是 Ps）。他随机选择一个{qi |我= 0 。。。 n} 和 {wi |我= 0 。。。 n, i ̸= s} 从 (1 . . . l) 并应用以下转换：李= （ qiG, 如果我=s qiG + wiPi，如果 i ̸= s 里= （ qiHp(Pi), 如果我=s qiHp(Pi) + wiI, 如果 i ̸= s 下一步是接受非交互式挑战： c = Hs(m, L1, ..., Ln, R1, ..., Rn) 最后签名者计算响应： ci =    无线, 如果 i ̸= s c - 正压我=0 词模l，如果我=s 里= （气, 如果 i ̸= s qs-csx 模l，如果我=s 所得签名为 \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\)。 9 VER：接受消息 m、集合 S、签名 \(\sigma\) 并输出“真”或“假”。 LNK：采用集合 I = {Ii}、签名 \(\sigma\) 并输出“linked”或“indep”。该协议背后的想法相当简单：用户生成一个签名，该签名可以是通过一组公钥而不是唯一的公钥进行检查。签名者的身份是与公钥在集合中的其他用户无法区分，直到所有者生成使用相同密钥对的第二个签名。私钥 x0 \(\cdots\) 希 \(\cdots\) xn 公钥 P0 \(\cdots\) 圆周率 \(\cdots\) PN 戒指签名标志验证图 6. 环签名匿名性。 GEN：签名者选择一个随机密钥 \(x \in [1, l - 1]\) 并计算相应的密钥公钥 P = xG。此外，他还计算了另一个公钥 I = xHp(P)，我们将其称之为“关键图像”。 SIG：签名者生成具有非交互式零知识的一次性环签名使用 [21] 中的技术进行证明。他从其他用户的 n 中随机选择子集 \(S'\) 公钥 Pi、他自己的密钥对 (x, P) 和密钥图像 I。令 \(0 \leq s \leq n\) 为签名者的秘密索引在 S 中（因此他的公钥是 Ps）。他随机选择一个{qi |我= 0 。。。 n} 和 {wi |我= 0 。。。 n, i ̸= s} 从 (1 . . . l) 并应用以下转换：李= （ qiG, 如果我=s qiG + wiPi，如果 i ̸= s 里= （ qiHp(Pi), 如果我=s qiHp(Pi) + wiI, 如果 i ̸= s 下一步是接受非交互式挑战： c = Hs(m, L1, ..., Ln, R1, ..., Rn) 最后签名者计算响应： ci =    无线, 如果 i ̸= s c - 正压我=0 词模l，如果我=s 里= （气, 如果 i ̸= s qs-csx 模l，如果我=s 所得签名为 \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\)。 9 17 号也许这很愚蠢，但是在联合 S 和 P_s 时必须小心。如果您只是附加最后一个公钥，不可链接性被破坏，因为任何人都检查传递的交易可以只检查每笔交易和繁荣中列出的最后一个公钥。这就是公钥与发件人相关联。因此，联合后，伪随机数生成器必须是用于排列所选的公钥。 “......直到所有者使用相同的密钥对生成第二个签名。”我希望作者（？）将对此进行详细说明。我相信这意味着“确保每次选择一组公钥来混淆你自己选择一套全新的钥匙，没有两把钥匙是一样的。” 对不可链接性施加相当强的条件。也许“你从其中选择一个新的随机集所有可能的键”的假设是，虽然非平凡的交叉点将不可避免地发生，它们不会经常发生。不管怎样，我需要更深入地研究这个陈述。这正在生成环签名。零知识证明太棒了：我挑战你向我证明你知道一个秘密而不泄露秘密。例如，假设我们在一个甜甜圈形状的洞穴的入口处，在洞穴的后面（从入口处看不到）有一个o你通往的新门声称你有钥匙。如果你朝一个方向走，它总是会让你通过，但如果你朝另一方向走其他方向，你需要一把钥匙。但你甚至不想给我看钥匙，更不用说让我看看它能打开门。但你想向我证明你知道如何打开门。在互动环境中，我抛硬币。左边是头，右边是尾，然后你沿着甜甜圈形状的洞穴，无论硬币指向你的方向。在我的视线之外的后面，你打开门绕到另一边回来。我们重复抛硬币实验直到我确信你有钥匙为止。但这显然是交互式零知识证明。有一些非交互式版本，您和我永远不需要交流；这样，窃听者就无法干扰。 http://en.wikipedia.org/wiki/Zero-knowledge_proof 这与之前的定义相反。

VER：接受消息 m、集合 S、签名 \(\sigma\) 并输出“真”或“假”。 LNK：采用集合 I = {Ii}、签名 \(\sigma\) 并输出“linked”或“indep”。该协议背后的想法相当简单：用户生成一个签名，该签名可以是通过一组公钥而不是唯一的公钥进行检查。签名者的身份是与公钥在集合中的其他用户无法区分，直到所有者生成使用相同密钥对的第二个签名。私钥 x0 \(\cdots\) 希 \(\cdots\) xn 公钥 P0 \(\cdots\) 圆周率 \(\cdots\) PN 戒指签名标志验证图 6. 环签名匿名性。 GEN：签名者选择一个随机密钥 \(x \in [1, l - 1]\) 并计算相应的密钥公钥 P = xG。此外，他还计算了另一个公钥 I = xHp(P)，我们将其称之为“关键图像”。 SIG：签名者生成具有非交互式零知识的一次性环签名使用 [21] 中的技术进行证明。他从其他用户的 n 中随机选择子集 \(S'\) 公钥 Pi、他自己的密钥对 (x, P) 和密钥图像 I。令 \(0 \leq s \leq n\) 为签名者的秘密索引在 S 中（因此他的公钥是 Ps）。他随机选择一个{qi |我= 0 。。。 n} 和 {wi |我= 0 。。。 n, i ̸= s} 从 (1 . . . l) 并应用以下转换：李= （ qiG, 如果我=s qiG + wiPi，如果 i ̸= s 里= （ qiHp(Pi), 如果我=s qiHp(Pi) + wiI, 如果 i ̸= s 下一步是接受非交互式挑战： c = Hs(m, L1, ..., Ln, R1, ..., Rn) 最后签名者计算响应： ci =    无线, 如果 i ̸= s c - 正压我=0 词模l，如果我=s 里= （气, 如果 i ̸= s qs-csx 模l，如果我=s 所得签名为 \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\)。 9 VER：接受消息 m、集合 S、签名 \(\sigma\) 并输出“真”或“假”。 LNK：采用集合 I = {Ii}、签名 \(\sigma\) 并输出“linked”或“indep”。该协议背后的想法相当简单：用户生成一个签名，该签名可以是通过一组公钥而不是唯一的公钥进行检查。签名者的身份是与公钥在集合中的其他用户无法区分，直到所有者生成使用相同密钥对的第二个签名。私钥 x0 \(\cdots\) 希 \(\cdots\) xn 公钥 P0 \(\cdots\) 圆周率 \(\cdots\) PN 戒指签名标志验证图 6. 环签名匿名性。 GEN：签名者选择一个随机密钥 \(x \in [1, l - 1]\) 并计算相应的密钥公钥 P = xG。此外，他还计算了另一个公钥 I = xHp(P)，我们将其称之为“关键图像”。 SIG：签名者生成具有非交互式零知识的一次性环签名使用 [21] 中的技术进行证明。他从其他用户的 n 中随机选择子集 \(S'\) 公钥 Pi、他自己的密钥对 (x, P) 和密钥图像 I。令 \(0 \leq s \leq n\) 为签名者的秘密索引在 S 中（因此他的公钥是 Ps）。他随机选择一个{qi |我= 0 。。。 n} 和 {wi |我= 0 。。。 n, i ̸= s} 从 (1 . . . l) 并应用以下转换：李= （ qiG, 如果我=s qiG + wiPi，如果 i ̸= s 里= （ qiHp(Pi), 如果我=s qiHp(Pi) + wiI, 如果 i ̸= s 下一步是接受非交互式挑战： c = Hs(m, L1, ..., Ln, R1, ..., Rn) 最后签名者计算响应： ci =    无线, 如果 i ̸= s c - 正压我=0 词模l，如果我=s 里= （气, 如果 i ̸= s qs-csx 模l，如果我=s 所得签名为 \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\)。 9 18 整个区域与加密货币无关，只是简单地描述环签名算法，而无需参考货币。我怀疑某些符号与论文的其余部分一致，不过。例如，x 是 GEN 中选择的“随机”密钥，它给出公钥 P 和公钥图像 I。x 的值是 Bob 在第 6 部分第 8 页中计算的值。所以这是开始澄清之前描述中的一些混乱。这有点酷；钱没有从“爱丽丝的公共地址转移到鲍勃的公共地址” 地址。”它正在从一次性地址转移到一次性地址。所以，从某种意义上说，这就是这些东西的工作原理。如果亚历克斯有一些加密货币，因为有人将它们发送给她，这意味着她拥有将它们发送给鲍勃所需的私钥。她用使用 Bob 的公开信息生成新的一次性地址的 Diﬃe-Hellman 交换并且加密货币将被转移到该地址。现在，由于使用（大概是安全的）DH 交换来生成新的一次性地址 Alex 向其发送了 CN，Bob 是唯一拥有重复该操作所需私钥的人上面。所以现在，鲍勃是亚历克斯。 http://en.wikipedia.org/wiki/Piecewise#Notation_and_interpretation 求和应该在 j 而不是 i 上索引。每个 c_i 都是随机垃圾（因为 w_i 是随机的）除了 c_i 屁股与此签名中涉及的实际密钥相关联。 c 的值为先前信息的 hash。我认为这可能包含比重新使用索引“i”更糟糕的拼写错误，因为 c_s 似乎是隐含的，而不是明确的定义。事实上，如果我们相信这个方程，那么我们可以确定 c_s = (1/2)c - (1/2) sum_i neq s c_i。也就是说，hash 减去一大堆随机数。另一方面，如果要读取此求和“c_s = (c - sum_j neq s c_j) mod l”，然后我们取之前信息的hash，生成一堆随机数，减去 hash 中的所有随机数，得到 c_s。这似乎是根据我的直觉，“应该”发生什么，并且与第 10 页的验证步骤相匹配。但直觉不是数学。我会更深入地探讨这一点。和以前一样；除了与实际相关的之外，所有这些都将是随机垃圾签名者的公钥 x。除了这一次，这更符合我对结构的期望： r_i 对于 i!=s 是随机的，并且 r_s 仅由秘密 x 和 s 索引值确定 q_i 和 c_i。

VER：验证者通过应用逆变换来检查签名：（ L′ i = riG + ciPi R′ i = riHp(Pi) + ciI 最后，验证者检查是否正压我=0 词 ? = Hs(m, L′ 0,. 。。 , L′ n，R′ 0,. 。。 ,R′ n) 模 l 如果这个等式正确，验证器将运行 LNK 算法。否则验证者拒绝签名。 LNK：验证器检查 I 是否已在过去的签名中使用过（这些值存储在集 I）。多次使用意味着两个签名是在同一密钥下生成的。协议的含义：通过应用 L 变换，签名者证明他知道这样 x 至少有一个 Pi = xG。为了使这个证明不可重复，我们引入了关键图像因为 I = xHp(P)。签名者使用相同的系数 (ri, ci) 来证明几乎相同的陈述：他知道 x 至少有一个 \(H_p(P_i) = I \cdot x^{-1}\)。如果映射 \(x \to I\) 是一个注入： 1. 任何人都无法从密钥图像中恢复公钥并识别签名者； 2. 签名者不能使用不同的 I 和相同的 x 进行两个签名。附录 A 提供了完整的安全分析。 4.5 标准 CryptoNote 交易通过结合这两种方法（不可链接的公钥和不可追踪的环签名），Bob 实现了与原始 Bitcoin 方案相比，新的隐私级别。它只需要他存储一个私钥（a，b）并发布（A，B）以开始接收和发送匿名交易。在验证每笔交易时，Bob 仅对每个输出执行两次椭圆曲线乘法和一次加法，以检查交易是否属于他。为了他的每一个输出 Bob 恢复一次性密钥对 (pi, Pi) 并将其存储在他的钱包中。任何输入都可以仅当它们出现在一次交易中时，才能间接证明它们具有相同的所有者。在事实上，由于一次性环签名，这种关系更难建立。通过环签名，鲍勃可以有效地隐藏其他人的每个输入；一切皆有可能消费者将是等概率的，即使是前任所有者（爱丽丝）也没有比任何观察者。当鲍勃签署他的交易时，指定了n个与他的金额相同的外国输出输出，在没有其他用户参与的情况下混合所有这些。鲍勃本人（以及其他人）不知道这些付款是否已被花费：可以使用输出数以千计的签名作为一个模糊因素，而不是作为隐藏的目标。双支出检查发生在 LNK 阶段，检查已使用的关键映像集。 Bob可以自己选择模糊度：n=1表示他有的概率花费输出的概率为 50%，n = 99 给出 1%。生成的签名的大小增加线性为 O(n+1)，因此改进的匿名性会让 Bob 付出额外的交易费用。他也可以设置 n = 0 并使他的环签名仅包含一个元素，但这将立即揭露他是一个花钱的人。 10 VER：验证者通过应用逆变换来检查签名：（ L′ i = riG + ciPi R′ i = riHp(Pi) + ciI 最后，验证者检查是否正压我=0 词 ? = Hs(m, L′ 0,. 。。 , L′ n，R′ 0,. 。。 ,R′ n) 模 l 如果这个等式正确，验证器将运行 LNK 算法。否则验证者拒绝签名。 LNK：验证器检查 I 是否已在过去的签名中使用过（这些值存储在集 I）。多次使用意味着两个签名是在同一密钥下生成的。协议的含义：通过应用 L 变换，签名者证明他知道这样 x 至少有一个 Pi = xG。为了使这个证明不可重复，我们引入了关键图像因为 I = xHp(P)。签名者使用相同的系数 (ri, ci) 来证明几乎相同的陈述：他知道 x 至少有一个 \(H_p(P_i) = I \cdot x^{-1}\)。如果映射 \(x \to I\) 是一个注入： 1. 任何人都无法从密钥图像中恢复公钥并识别签名者； 2. 签名者不能使用不同的 I 和相同的 x 进行两个签名。附录 A 提供了完整的安全分析。 4.5 标准 CryptoNote 交易通过结合这两种方法（不可链接的公钥和不可追踪的环签名），Bob 实现了与原始 Bitcoin 方案相比，新的隐私级别。它只需要他存储一个私钥（a，b）并发布（A，B）以开始接收和发送匿名交易。在验证每笔交易时，Bob 仅对每个输出执行两次椭圆曲线乘法和一次加法，以检查交易是否属于他。为了他的每一个输出 Bob 恢复一次性密钥对 (pi, Pi) 和 st把它放在他的钱包里。任何输入都可以仅当它们出现在一次交易中时，才能间接证明它们具有相同的所有者。在事实上，由于一次性环签名，这种关系更难建立。通过环签名，鲍勃可以有效地隐藏其他人的每个输入；一切皆有可能消费者将是等概率的，即使是前任所有者（爱丽丝）也没有比任何观察者。当鲍勃签署他的交易时，指定了n个与他的金额相同的外国输出输出，在没有其他用户参与的情况下混合所有这些。鲍勃本人（以及其他人）不知道这些付款是否已被花费：可以使用输出数以千计的签名作为一个模糊因素，而不是作为隐藏的目标。双支出检查发生在 LNK 阶段，检查已使用的关键映像集。 Bob可以自己选择模糊度：n=1表示他有的概率花费输出的概率为 50%，n = 99 给出 1%。生成的签名的大小增加线性为 O(n+1)，因此改进的匿名性会让 Bob 付出额外的交易费用。他也可以设置 n = 0 并使他的环签名仅包含一个元素，但这将立即揭露他是一个花钱的人。 10 19 此时，我非常困惑。 Alex 收到带有签名 (I,c_1, ..., c_n, r_1, ..., r_n) 和公共列表的消息 M 键 S.，她运行 VER。这将计算 L_i' 和 R_i' 这验证了上一页上的 c_s = c - sum_ineq s c_i。一开始我很困惑。任何人都可以计算 L_i' 和 R_i'。事实上，每个 r_i 和 c_i 已在签名中发布 sigma 与 I 的值一起。集合 S = 所有公钥的 P_i 也已发布。所以任何看过 sigma 和集合的人键 S = P_i 将获得相同的 L_i’ 和 R_i’ 值，从而检查签名。但后来我想起这部分只是描述签名算法，而不是“检查” 如果签名了，请检查是否已发送给我，如果是，则去花钱。”这就是游戏的签名部分。当我最终到达那里时，我有兴趣阅读附录 A。我希望看到 Cryptonote 与 Bitcoin 的全面逐个操作比较。此外，还有电力/可持续性。算法的哪些部分构成了这里的“输入”？我相信，交易输入是一个金额和一组 UTXO，其总和大于金额。这还不清楚。 “隐藏的目标？”我已经想了几分钟了，但我仍然没有想到最模糊的想法是它可能意味着什么。双花攻击只能通过操纵节点感知的使用密钥来执行图像集 \(I\)。 “模糊度” = n 但交易中包含的公钥总数为 n+1。也就是说，模糊度是“你想要多少其他人” 人群？” 默认情况下，答案可能是“尽可能多”。

VER：验证者通过应用逆变换来检查签名：（ L′ i = riG + ciPi R′ i = riHp(Pi) + ciI 最后，验证者检查是否正压我=0 词 ? = Hs(m, L′ 0,. 。。 , L′ n，R′ 0,. 。。 ,R′ n) 模 l 如果这个等式正确，验证器将运行 LNK 算法。否则验证者拒绝签名。 LNK：验证器检查 I 是否已在过去的签名中使用过（这些值存储在集 I）。多次使用意味着两个签名是在同一密钥下生成的。协议的含义：通过应用 L 变换，签名者证明他知道这样 x 至少有一个 Pi = xG。为了使这个证明不可重复，我们引入了关键图像因为 I = xHp(P)。签名者使用相同的系数 (ri, ci) 来证明几乎相同的陈述：他知道 x 至少有一个 \(H_p(P_i) = I \cdot x^{-1}\)。如果映射 \(x \to I\) 是一个注入： 1. 任何人都无法从密钥图像中恢复公钥并识别签名者； 2. 签名者不能使用不同的 I 和相同的 x 进行两个签名。附录 A 提供了完整的安全分析。 4.5 标准 CryptoNote 交易通过结合这两种方法（不可链接的公钥和不可追踪的环签名），Bob 实现了与原始 Bitcoin 方案相比，新的隐私级别。它只需要他存储一个私钥（a，b）并发布（A，B）以开始接收和发送匿名交易。在验证每笔交易时，Bob 仅对每个输出执行两次椭圆曲线乘法和一次加法，以检查交易是否属于他。为了他的每一个输出 Bob 恢复一次性密钥对 (pi, Pi) 并将其存储在他的钱包中。任何输入都可以仅当它们出现在一次交易中时，才能间接证明它们具有相同的所有者。在事实上，由于一次性环签名，这种关系更难建立。通过环签名，鲍勃可以有效地隐藏其他人的每个输入；一切皆有可能消费者将是等概率的，即使是前任所有者（爱丽丝）也没有比任何观察者。当鲍勃签署他的交易时，指定了n个与他的金额相同的外国输出输出，在没有其他用户参与的情况下混合所有这些。鲍勃本人（以及其他人）不知道这些付款是否已被花费：可以使用输出数以千计的签名作为一个模糊因素，而不是作为隐藏的目标。双支出检查发生在 LNK 阶段，检查已使用的关键映像集。 Bob可以自己选择模糊度：n=1表示他有的概率花费输出的概率为 50%，n = 99 给出 1%。生成的签名的大小增加线性为 O(n+1)，因此改进的匿名性会让 Bob 付出额外的交易费用。他也可以设置 n = 0 并使他的环签名仅包含一个元素，但这将立即揭露他是一个花钱的人。 10 VER：验证者通过应用逆变换来检查签名：（ L′ i = riG + ciPi R′ i = riHp(Pi) + ciI 最后，验证者检查是否正压我=0 词 ? = Hs(m, L′ 0,. 。。 , L′ n，R′ 0,. 。。 ,R′ n) 模 l 如果这个等式正确，验证器将运行 LNK 算法。否则验证者拒绝签名。 LNK：验证器检查 I 是否已在过去的签名中使用过（这些值存储在集 I）。多次使用意味着两个签名是在同一密钥下生成的。协议的含义：通过应用 L 变换，签名者证明他知道这样 x 至少有一个 Pi = xG。为了使这个证明不可重复，我们引入了关键图像因为 I = xHp(P)。签名者使用相同的系数 (ri, ci) 来证明几乎相同的陈述：他知道 x 至少有一个 \(H_p(P_i) = I \cdot x^{-1}\)。如果映射 \(x \to I\) 是一个注入： 1. 任何人都无法从密钥图像中恢复公钥并识别签名者； 2. 签名者不能使用不同的 I 和相同的 x 进行两个签名。附录 A 提供了完整的安全分析。 4.5 标准 CryptoNote 交易通过结合这两种方法（不可链接的公钥和不可追踪的环签名），Bob 实现了与原始 Bitcoin 方案相比，新的隐私级别。它只需要他存储一个私钥（a，b）并发布（A，B）以开始接收和发送匿名交易。在验证每笔交易时，Bob 仅对每个输出执行两次椭圆曲线乘法和一次加法，以检查交易是否属于他。为了他的每一个输出 Bob 恢复一次性密钥对 (pi, Pi) 和 st把它放在他的钱包里。任何输入都可以仅当它们出现在一次交易中时，才能间接证明它们具有相同的所有者。在事实上，由于一次性环签名，这种关系更难建立。通过环签名，鲍勃可以有效地隐藏其他人的每个输入；一切皆有可能消费者将是等概率的，即使是前任所有者（爱丽丝）也没有比任何观察者。当鲍勃签署他的交易时，指定了n个与他的金额相同的外国输出输出，在没有其他用户参与的情况下混合所有这些。鲍勃本人（以及其他人）不知道这些付款是否已被花费：可以使用输出数以千计的签名作为一个模糊因素，而不是作为隐藏的目标。双支出检查发生在 LNK 阶段，检查已使用的关键映像集。 Bob可以自己选择模糊度：n=1表示他有的概率花费输出的概率为 50%，n = 99 给出 1%。生成的签名的大小增加线性为 O(n+1)，因此改进的匿名性会让 Bob 付出额外的交易费用。他也可以设置 n = 0 并使他的环签名仅包含一个元素，但这将立即揭露他是一个花钱的人。 10 20 这很有趣；早些时候，我们为接收者 Bob 提供了一种方法来使所有 INCOMING 通过确定性地选择一半的私钥或通过将他一半的私钥公开。这是一种不走回头路的政策。在这里，我们看到发送者 Alex 选择单个传出交易作为可链接的一种方式，但实际上这是向整个网络显示 Alex 是发件人。这不是一种不走回头路的政策。这是逐笔交易。还有第三个政策吗？接收方 Bob 能否为 Alex 生成一个唯一的付款 ID？永远不会改变，也许使用 Dﬃe-Hellman 交换？如果有人包含该付款 ID 绑定在她的交易中的某个位置到 Bob 的地址，它一定来自 Alex。这样，亚历克斯就不需要通过选择链接特定的网络来向整个网络暴露自己。交易，但她仍然可以向收款人表明自己的身份。这不是 Poloniex 所做的吗？

交易发射输入输出0 。。。输出i 。。。输出n 关键图像签名环签名目的地键输出1 目的地键输出n 国外交易发送者的输出目的地键一次性密钥对一次性私钥 I = xHp(P) , x 图 7. 标准交易中的环签名生成。 5 平等的工作量证明在本节中，我们提出并基础了新的 proof-of-work 算法。我们的首要目标是缩小 CPU（多数）和 GPU/FPGA/ASIC（少数）矿工之间的差距。它是适当的是，某些用户可以比其他用户拥有一定的优势，但他们的投资应至少随功率线性增长。更一般地说，生产专用设备必须尽可能降低利润。 5.1 相关作品原始 Bitcoin proof-of-work 协议使用 CPU 密集型定价函数 SHA-256。它主要由基本逻辑运算符组成，完全依赖于计算速度因此，处理器非常适合多核/传送器实现。然而，现代计算机并不仅限于每秒的操作次数，还受内存大小的影响。虽然某些处理器可能比其他处理器快得多 [8]，机器之间的内存大小不太可能有所不同。内存限制价格函数首先由 Abadi 等人提出，定义为 “计算时间主要由访问内存所花费的时间决定的函数”[15]。主要思想是构建一个分配大数据块的算法（“scratchpad”）在访问速度相对较慢的内存（例如 RAM）中并且“访问其中不可预测的位置顺序”。一个块应该足够大以保存数据比每次访问重新计算数据更有利。该算法还应该防止内部并行，因此 N 个并发线程应该需要 N 倍的内存立刻。 Dwork 等人 [22] 研究了这种方法并将其形式化，导致他们提出了另一种方法定价函数的变体：“Mbound”。另一件作品属于 F. Coelho [20]，他 11 交易发射输入输出0 。。。输出i 。。。输出n 关键图像签名环签名目的地键输出1 目的地键输出n 国外交易发送者的输出目的地键一次性密钥对一次性私钥 I = xHp(P) , x 图 7. 标准交易中的环签名生成。 5 平等的工作量证明在本节中，我们提出并基础了新的 proof-of-work 算法。我们的首要目标是缩小 CPU（多数）和 GPU/FPGA/ASIC（少数）矿工之间的差距。它是适当的是，某些用户可以比其他用户拥有一定的优势，但他们的投资应至少随功率线性增长。更一般地说，生产专用设备必须尽可能降低利润。 5.1 相关作品原始 Bitcoin proof-of-work 协议使用 CPU 密集型定价函数 SHA-256。它主要由基本逻辑运算符组成，完全依赖于计算速度因此，处理器非常适合多核/传送器实现。然而，现代计算机并不仅限于每秒的操作次数，还受内存大小的影响。虽然某些处理器可能比其他处理器快得多 [8]，机器之间的内存大小不太可能有所不同。内存限制价格函数首先由 Abadi 等人提出，定义为 “计算时间主要由访问内存所花费的时间决定的函数”[15]。主要思想是构建一个分配大数据块的算法（“scratchpad”）在访问速度相对较慢的内存（例如 RAM）中并且“访问其中不可预测的位置顺序”。一个块应该足够大以保存数据比每次访问重新计算数据更有利。该算法还应该防止内部并行，因此 N 个并发线程应该需要 N 倍的内存立刻。 Dwork 等人 [22] 研究了这种方法并将其形式化，导致他们提出了另一种方法定价函数的变体：“Mbound”。另一件作品属于 F. Coelho [20]，他 11 21 表面上，这些是我们的 UTXO：金额和目的地键。如果 Alex 是构建此标准交易并将其发送给 Bob 的人，那么 Alex 也拥有私钥对于每一个。我非常喜欢这张图，因为它回答了一些之前的问题。 Txn 输入包括一组 Txn 输出和一个 key 图像。然后用环签名对其进行签名，包括所有 Alex 拥有该交易中所有外国交易的私钥。的 Txn 输出由金额和目标密钥组成。交易的接收者可以，随意生成他们的一次性私钥，如本文前面所述，以便花费钱。很高兴知道这与实际代码有多少匹配...... 不，Nic van Saberhagen 松散地描述了工作量证明算法的一些属性，没有实际描述该算法。 CryptoNight 算法本身需要深入分析。当我读到这里时，我结巴了。投资是否应该至少与电力呈线性增长，或者应该投资增长最多与功率呈线性关系？然后我意识到；我作为一个矿工，或者一个投资者，通常会想到“我能得到多少算力” 为了投资？”不是“固定电量需要多少投资？” 当然，用 I 表示投资，用 P 表示功率。如果 I(P) 是作为功率函数的投资 P(I) 是作为投资函数的权力，它们将彼此相反（无论何时逆可以存在）。如果 I(P) 比线性快，那么 P(I) 比线性慢。因此，投资者的回报率将会降低。也就是说，作者在这里所说的是：“当然，当你投入更多时，你会得到更多权力。但我们应该努力降低回报率。” CPU 投资最终将呈次线性上限；问题是作者是否我们设计了一种 POW 算法，迫使 ASIC 也这样做。假设的“未来货币”是否应该总是用最慢/最有限的资源来开采？ Abadi 等人（作者是一些 Google 和 Microsoft 工程师）的论文是：本质上，利用在过去几年内存大小已经小得多的事实机器之间的差异大于处理器速度，并且具有超过线性的投资功率比。几年后，这可能需要重新评估！一切都是军备竞赛...... 构造 hash 函数很困难；构建满足这些约束的 hash 函数似乎更困难。这篇文章似乎没有解释实际情况 hashing 算法 CryptoNight。我认为这是 SHA-3 的内存困难实现，基于在论坛帖子上，但我不知道......这就是重点。必须加以解释。

提出了最有效的解决方案：“北海道”。据我们所知，基于大数组中伪随机搜索思想的最后一项工作是 C. Percival [32] 称为“scrypt”的算法。与之前的功能不同，它专注于密钥派生，而不是 proof-of-work 系统。尽管如此，scrypt 仍然可以满足我们的目的：它在部分 hash 转换问题中作为定价函数效果很好，例如 SHA-256 Bitcoin。到目前为止，scrypt 已经应用于 Litecoin [14] 和其他一些 Bitcoin 分叉中。然而，它的实现并不是真正受内存限制：比率“内存访问时间/总体时间” time”不够大，因为每个实例仅使用 128 KB。这允许 GPU 矿工大约提高 10 倍，并且继续留下相对创造的可能性廉价但高效的采矿设备。此外，scrypt 结构本身允许在内存大小和 CPU 速度是因为暂存器中的每个块都仅源自前一个块。例如，您可以存储每隔一个块并以惰性方式重新计算其他块，即仅当有必要时。假设伪随机索引是均匀分布的，因此额外块重新计算的期望值为1 \(2 \cdot N\)，其中N是数字迭代次数。总体计算时间增加不到一半，因为还有与时间无关（恒定时间）的操作，例如准备暂存器和 hashing 每次迭代。节省 2/3 的内存成本 1 \(3 \cdot N\)+1 3 \(\cdot\) \(2 \cdot N\)=N次额外重新计算； 9/10 结果 1 \(10 \cdot N\)+。。。 + 1 \(10 \cdot 9 \cdot N\)=4.5N。很容易证明只存储 1 所有块的 s 增加时间小于 s−1 倍 2.这反过来又意味着具有 CPU 的机器比现代芯片快200倍，只能存储320字节的暂存器。 5.2 提出的算法我们为 proof-of-work 定价函数提出了一种新的内存限制算法。它依赖于随机访问慢速内存并强调延迟依赖性。与 scrypt every 相反新块（长度为 64 字节）取决于所有先前的块。结果是一个假设的 “内存节省者”应该成倍地提高他的计算速度。我们的算法每个实例大约需要 2 Mb，原因如下： 1.它适合现代处理器的L3缓存（每个核心），这应该成为主流几年后； 2. 对于现代 ASIC 流水线来说，1MB 的内部存储器几乎是不可接受的大小； 3. GPU 可以运行数百个并发实例，但它们在其他方面受到限制： GDDR5 内存比 CPU L3 缓存慢，但带宽显着，而不是随机访问速度。 4. 暂存器的显着扩展将需要增加迭代次数，这在转向意味着总体时间增加。不信任的 p2p 网络中的“大量”调用可能会导致严重漏洞，因为节点有义务检查每个新块的 proof-of-work。如果节点在每次 hash 评估上花费大量时间，则可以轻松地通过大量具有任意工作数据（nonce 值）的虚假对象进行 DDoS 攻击。 12 提出了最有效的解决方案：“北海道”。据我们所知，基于大数组中伪随机搜索思想的最后一项工作是 C. Percival [32] 称为“scrypt”的算法。与之前的功能不同，它专注于密钥派生，而不是 proof-of-work 系统。尽管如此，scrypt 仍然可以满足我们的目的：它在部分 hash 转换问题中作为定价函数效果很好，例如 SHA-256 Bitcoin。到目前为止，scrypt 已经应用于 Litecoin [14] 和其他一些 Bitcoin 分叉中。然而，它的实现并不是真正受内存限制：比率“内存访问时间/总体时间” time”不够大，因为每个实例仅使用 128 KB。这允许 GPU 矿工大约提高 10 倍，并且继续留下相对创造的可能性廉价但高效的采矿设备。此外，scrypt 结构本身允许在内存大小和 CPU 速度是因为暂存器中的每个块都仅源自前一个块。例如，您可以存储每隔一个块并以惰性方式重新计算其他块，即仅当有必要时。假设伪随机索引是均匀分布的，因此额外块重新计算的期望值为1 \(2 \cdot N\)，其中N 是数字迭代次数。总体计算时间增加不到一半，因为还有与时间无关（恒定时间）的操作，例如准备暂存器和 hashing 每次迭代。节省 2/3 的内存成本 1 \(3 \cdot N\)+1 3 \(\cdot\) \(2 \cdot N\)=N次额外重新计算； 9/10 结果 1 \(10 \cdot N\)+。。。 + 1 \(10 \cdot 9 \cdot N\)=4.5N。很容易证明只存储 1 所有块的 s 增加时间小于 s−1 倍 2.这反过来又意味着具有 CPU 的机器比现代芯片快200倍，只能存储320字节的暂存器。 5.2 提出的算法我们为 proof-of-work 定价函数提出了一种新的内存限制算法。它依赖于随机访问慢速内存并强调延迟依赖性。与 scrypt every 相反新块（长度为 64 字节）取决于所有先前的块。结果是一个假设的 “内存节省者”应该成倍地提高他的计算速度。我们的算法每个实例大约需要 2 Mb，原因如下： 1.它适合现代处理器的L3缓存（每个核心），这应该成为主流几年后； 2. 对于现代 ASIC 流水线来说，1MB 的内部存储器几乎是不可接受的大小； 3. GPU 可以运行数百个并发实例，但它们在其他方面受到限制： GDDR5 内存比 CPU L3 缓存慢，但带宽显着，而不是随机访问速度。 4. 暂存器的显着扩展将需要增加迭代次数，这在转向意味着总体时间增加。不信任的 p2p 网络中的“大量”调用可能会导致严重漏洞，因为节点有义务检查每个新块的 proof-of-work。如果节点在每次 hash 评估上花费大量时间，则可以轻松地通过大量具有任意工作数据（nonce 值）的虚假对象进行 DDoS 攻击。 12 22 没关系，这是一个加密货币？算法在哪里？我看到的都是广告。如果 Cryptonote 的 PoW 算法值得的话，这就是 Cryptonote 真正大放异彩的地方。这不是真的SHA-256，它并不是真正的scrypt。它是新的、受内存限制且非递归的。

6 更多优点 6.1 平稳发射 CryptoNote 数字货币总量的上限为：MSupply = 264 −1 原子单位。这是仅基于实现限制而不是直觉的自然限制比如“N个币对任何人来说都应该足够了”。为了保证发射过程的顺利，我们对块使用以下公式奖励：基础奖励 = (MSupply −A) ≫18, 其中 A 是先前生成的硬币数量。 6.2 可调参数 6.2.1 难度 CryptoNote 包含一个目标算法，可以改变每个块的难度。这个当网络 hashrate 急剧增长或收缩时，减少系统的反应时间，保持恒定的块率。原始的 Bitcoin 方法计算实际的关系和最后 2016 个区块之间的目标时间跨度，并将其用作当前区块的乘数困难。显然这不适合快速重新计算（因为惯性大）并且导致振荡。我们算法背后的总体思想是将节点完成的所有工作相加除以他们花费的时间。工作量的衡量标准是相应的难度值在每个块中。但由于时间戳不准确且不受信任，我们无法确定确切的时间块之间的时间间隔。用户可以将他的时间戳转移到未来和下一个时间间隔可能很小甚至是负值。估计会出现很少的情况这种情况下，我们可以对时间戳进行排序并剔除异常值（即 20%）。范围为其余值是 80% 的相应块所花费的时间。 6.2.2 尺寸限制用户支付存储 blockchain 的费用，并有权对其大小进行投票。每个矿工处理平衡成本和费用利润之间的权衡，并设定自己的用于创建块的“软限制”。最大块大小的核心规则对于防止 blockchain 被虚假交易淹没，但是该值应该不要硬编码。令 MN 为最后 N 个块大小的中值。然后是大小的“硬限制” 接受块的数量是2 \(\cdot\) MN。它可以避免 blockchain 膨胀，但仍然允许限制如果有必要的话，会随着时间慢慢增长。交易大小不需要明确限制。它受块大小的限制；如果有人想创建一个具有数百个输入/输出（或具有环签名的高度模糊性），他可以通过支付足够的费用来做到这一点。 6.2.3 尺寸过大的处罚矿工仍然有能力将自己的零费用交易塞满区块，直至达到最大值大小 \(2 \cdot M_b\)。尽管只有大多数矿工可以改变中值，但仍然存在 13 6 更多优点 6.1 平稳发射 CryptoNote 数字货币总量的上限为：MSupply = 264 −1 原子单位。这是仅基于实现限制而不是直觉的自然限制比如“N个币对任何人来说都应该足够了”。为了保证发射过程的顺利，我们对块使用以下公式奖励：基础奖励 = (MSupply −A) ≫18, 其中 A 是先前生成的硬币数量。 6.2 可调参数 6.2.1 难度 CryptoNote 包含一个目标算法，可以改变每个块的难度。这个当网络 hashrate 急剧增长或收缩时，减少系统的反应时间，保持恒定的块率。原始的 Bitcoin 方法计算实际的关系和最后 2016 个区块之间的目标时间跨度，并将其用作当前区块的乘数困难。显然这不适合快速重新计算（因为惯性大）并且导致振荡。我们算法背后的总体思想是将节点完成的所有工作相加除以他们花费的时间。工作量的衡量标准是相应的难度值在每个块中。但由于时间戳不准确且不受信任，我们无法确定确切的时间块之间的时间间隔。用户可以将他的时间戳转移到未来和下一个时间间隔可能很小甚至是负值。估计会出现很少的情况这种情况下，我们可以对时间戳进行排序并剔除异常值（即 20%）。范围为其余值是 80% 的相应块所花费的时间。 6.2.2 尺寸限制用户支付存储 blockchain 的费用，并有权对其大小进行投票。每个矿工处理平衡之间的权衡e 费用和利润，并自行设定用于创建块的“软限制”。最大块大小的核心规则对于防止 blockchain 被虚假交易淹没，但是该值应该不要硬编码。令 MN 为最后 N 个块大小的中值。然后是大小的“硬限制” 接受块的数量是2 \(\cdot\) MN。它可以避免 blockchain 膨胀，但仍然允许限制如果有必要的话，会随着时间慢慢增长。交易大小不需要明确限制。它受块大小的限制；如果有人想创建一个具有数百个输入/输出（或具有环签名的高度模糊性），他可以通过支付足够的费用来做到这一点。 6.2.3 尺寸过大的处罚矿工仍然有能力将自己的零费用交易塞满区块，直至达到最大值大小 \(2 \cdot M_b\)。尽管只有大多数矿工可以改变中值，但仍然存在 13 23 原子单位。我喜欢这样。这相当于中本聪吗？如果是这样，那就意味着将有 1850 亿枚加密货币。我知道这最终必须在几页中进行调整，或者可能存在拼写错误？如果基本奖励是“所有剩余的硬币”，那么只有一个区块就足以获得所有硬币。即时。另一方面，如果这应该以某种方式与现在与某个硬币生产终止日期之间的时间差？那会有道理。另外，在我的世界里，像这样的两个大于符号意味着“远大于”。作者有没有可能意味着别的什么？如果每个区块都进行难度调整，那么攻击者可能会拥有一个非常大的农场机器在精心选择的时间间隔内断断续续地挖矿。如果难度调整公式没有得到适当的抑制，这可能会导致难度的混乱爆炸（或崩溃到零）。毫无疑问，Bitcoin的方法不适合快速重新计算，但惯性的思想这些系统中的功能需要得到证明，而不是想当然。此外，振荡网络困难不一定是问题，除非它导致表面上的振荡硬币的供应 - 以及快速变化的难度可能会导致“过度修正”。所花费的时间，特别是在几分钟之类的短时间内，将与“总时间”成正比。网络上创建的块数。”比例常数本身会增长随着时间的推移，如果 CN 起飞的话，可能会呈指数级增长。简单地调整难度以保持“在网络上创建的总块数”可能是一个更好的主意。自最后一个区块被添加到主链以来的网络”在某个恒定值内，或者有界变化或类似的东西。如果自适应算法在计算上可以确定容易实施，这样看来问题就解决了。但是，如果我们使用这种方法，拥有大型矿场的人可能会关闭他们的矿场几个小时，然后再次打开它。对于前几个街区，该农场将生产银行。所以，实际上，这种方法会提出一个有趣的观点：挖矿（平均而言）变成了在没有投资回报的情况下输掉比赛，尤其是随着越来越多的人跳上网络。如果挖矿难度非常密切跟踪的网络 hashrate，我以某种方式怀疑人们会像他们一样开采目前正在做。或者，另一方面，他们可能不会让矿场 24/7 持续运转，而是将其转变为开启 6 小时，关闭 2 小时，开启 6 小时，关闭 2 小时，或类似的时间。只需换成另一种硬币即可几个小时，等待难度下降，然后重新开始以获得额外的难度随着网络的适应，盈利能力受到阻碍。你知道吗？这其实大概是我全心投入的更好的采矿场景之一...... 这可能是循环的，但如果块创建时间平均约为一分钟，我们可以使用块数作为“花费时间”的代理？

6 更多优点 6.1 平稳发射 CryptoNote 数字货币总量的上限为：MSupply = 264 −1 原子单位。这是仅基于实现限制而不是直觉的自然限制比如“N个币对任何人来说都应该足够了”。为了保证发射过程的顺利，我们对块使用以下公式奖励：基础奖励 = (MSupply −A) ≫18, 其中 A 是先前生成的硬币数量。 6.2 可调参数 6.2.1 难度 CryptoNote 包含一个目标算法，可以改变每个块的难度。这个当网络 hashrate 急剧增长或收缩时，减少系统的反应时间，保持恒定的块率。原始的 Bitcoin 方法计算实际的关系和最后 2016 个区块之间的目标时间跨度，并将其用作当前区块的乘数困难。显然这不适合快速重新计算（因为惯性大）并且导致振荡。我们算法背后的总体思想是将节点完成的所有工作相加除以他们花费的时间。工作量的衡量标准是相应的难度值在每个块中。但由于时间戳不准确且不受信任，我们无法确定确切的时间块之间的时间间隔。用户可以将他的时间戳转移到未来和下一个时间间隔可能很小甚至是负值。估计会出现很少的情况这种情况下，我们可以对时间戳进行排序并剔除异常值（即 20%）。范围为其余值是 80% 的相应块所花费的时间。 6.2.2 尺寸限制用户支付存储 blockchain 的费用，并有权对其大小进行投票。每个矿工处理平衡成本和费用利润之间的权衡，并设定自己的用于创建块的“软限制”。最大块大小的核心规则对于防止 blockchain 被虚假交易淹没，但是该值应该不要硬编码。令 MN 为最后 N 个块大小的中值。然后是大小的“硬限制” 接受块的数量是2 \(\cdot\) MN。它可以避免 blockchain 膨胀，但仍然允许限制如果有必要的话，会随着时间慢慢增长。交易大小不需要明确限制。它受块大小的限制；如果有人想创建一个具有数百个输入/输出（或具有环签名的高度模糊性），他可以通过支付足够的费用来做到这一点。 6.2.3 尺寸过大的处罚矿工仍然有能力将自己的零费用交易塞满区块，直至达到最大值大小 \(2 \cdot M_b\)。尽管只有大多数矿工可以改变中值，但仍然存在 13 6 更多优点 6.1 平稳发射 CryptoNote 数字货币总量的上限为：MSupply = 264 −1 原子单位。这是仅基于实现限制而不是直觉的自然限制比如“N个币对任何人来说都应该足够了”。为了保证发射过程的顺利，我们对块使用以下公式奖励：基础奖励 = (MSupply −A) ≫18, 其中 A 是先前生成的硬币数量。 6.2 可调参数 6.2.1 难度 CryptoNote 包含一个目标算法，可以改变每个块的难度。这个当网络 hashrate 急剧增长或收缩时，减少系统的反应时间，保持恒定的块率。原始的 Bitcoin 方法计算实际的关系和最后 2016 个区块之间的目标时间跨度，并将其用作当前区块的乘数困难。显然这不适合快速重新计算（因为惯性大）并且导致振荡。我们算法背后的总体思想是将节点完成的所有工作相加除以他们花费的时间。工作量的衡量标准是相应的难度值在每个块中。但由于时间戳不准确且不受信任，我们无法确定确切的时间块之间的时间间隔。用户可以将他的时间戳转移到未来和下一个时间间隔可能很小甚至是负值。估计会出现很少的情况这种情况下，我们可以对时间戳进行排序并剔除异常值（即 20%）。范围为其余值是 80% 的相应块所花费的时间。 6.2.2 尺寸限制用户支付存储 blockchain 的费用，并有权对其大小进行投票。每个矿工处理平衡之间的权衡e 费用和利润，并自行设定用于创建块的“软限制”。最大块大小的核心规则对于防止 blockchain 被虚假交易淹没，但是该值应该不要硬编码。令 MN 为最后 N 个块大小的中值。然后是大小的“硬限制” 接受块的数量是2 \(\cdot\) MN。它可以避免 blockchain 膨胀，但仍然允许限制如果有必要的话，会随着时间慢慢增长。交易大小不需要明确限制。它受块大小的限制；如果有人想创建一个具有数百个输入/输出（或具有环签名的高度模糊性），他可以通过支付足够的费用来做到这一点。 6.2.3 尺寸过大的处罚矿工仍然有能力将自己的零费用交易塞满区块，直至达到最大值大小 \(2 \cdot M_b\)。尽管只有大多数矿工可以改变中值，但仍然存在 13 24 好的，我们有一个 blockchain，每个块都有时间戳订购了。这显然是为了调整难度而插入的，因为时间戳是如前所述，非常不可靠。我们是否允许链中存在相互矛盾的时间戳？如果区块 A 在链中出现在区块 B 之前，并且在财务方面一切都是一致的，但 A 区似乎是在 B 区之后创建的？因为，也许有人拥有网络的很大一部分？可以吗？可能是因为财务状况没有出现问题。好吧，所以我讨厌这种任意的“只有 80% 的块对于主 blockchain 是合法的” 方法。它的目的是防止骗子调整他们的时间戳？但现在，它增加了激励每个人谎报自己的时间戳并只选择中位数。请定义。意思是“对于这个区块，只包括费用更大的交易” 高于 p%，优先收取高于 2p% 的费用”或类似的费用？他们说的假货是什么意思？如果交易与过去的历史一致 blockchain，并且交易包含了让矿工满意的费用，这还不够吗？嗯，不，不一定。如果不存在最大块大小，则没有什么可以阻止恶意用户从简单地一次性上传大量交易给自己只是为了放慢速度网络。最大块大小的核心规则可以防止人们放入大量垃圾一次性将 blockchain 上的数据全部删除，只是为了减慢速度。但这样的规则当然必须具有适应性 - 例如，在圣诞节期间，我们预计流量会激增，并且块大小变得非常大，然后立即块大小随后下降再次。因此，我们需要 a) 某种自适应上限或 b) 足够大的上限，以便 99% 合理的圣诞节高峰不会突破上限。当然，第二个是不可能的估计——谁知道某种货币是否会流行？最好让它适应而不用担心关于它。但接下来我们有一个控制理论问题：如何在没有容易受到攻击或疯狂的振荡？请注意，自适应方法并不能阻止恶意用户积累少量资金随着时间的推移，blockchain 上的垃圾数据会导致长期膨胀。这是一个不同的问题总的来说，加密货币存在严重的问题。

6 更多优点 6.1 平稳发射 CryptoNote 数字货币总量的上限为：MSupply = 264 −1 原子单位。这是仅基于实现限制而不是直觉的自然限制比如“N个币对任何人来说都应该足够了”。为了保证发射过程的顺利，我们对块使用以下公式奖励：基础奖励 = (MSupply −A) ≫18, 其中 A 是先前生成的硬币数量。 6.2 可调参数 6.2.1 难度 CryptoNote 包含一个目标算法，可以改变每个块的难度。这个当网络 hashrate 急剧增长或收缩时，减少系统的反应时间，保持恒定的块率。原始的 Bitcoin 方法计算实际的关系和最后 2016 个区块之间的目标时间跨度，并将其用作当前区块的乘数困难。显然这不适合快速重新计算（因为惯性大）并且导致振荡。我们算法背后的总体思想是将节点完成的所有工作相加除以他们花费的时间。工作量的衡量标准是相应的难度值在每个块中。但由于时间戳不准确且不受信任，我们无法确定确切的时间块之间的时间间隔。用户可以将他的时间戳转移到未来和下一个时间间隔可能很小甚至是负值。估计会出现很少的情况这种情况下，我们可以对时间戳进行排序并剔除异常值（即 20%）。范围为其余值是 80% 的相应块所花费的时间。 6.2.2 尺寸限制用户支付存储 blockchain 的费用，并有权对其大小进行投票。每个矿工处理平衡成本和费用利润之间的权衡，并设定自己的用于创建块的“软限制”。最大块大小的核心规则对于防止 blockchain 被虚假交易淹没，但是该值应该不要硬编码。令 MN 为最后 N 个块大小的中值。然后是大小的“硬限制” 接受块的数量是2 \(\cdot\) MN。它可以避免 blockchain 膨胀，但仍然允许限制如果有必要的话，会随着时间慢慢增长。交易大小不需要明确限制。它受块大小的限制；如果有人想创建一个具有数百个输入/输出（或具有环签名的高度模糊性），他可以通过支付足够的费用来做到这一点。 6.2.3 尺寸过大的处罚矿工仍然有能力将自己的零费用交易塞满区块，直至达到最大值大小 \(2 \cdot M_b\)。尽管只有大多数矿工可以改变中值，但仍然存在 13 6 更多优点 6.1 平稳发射 CryptoNote 数字货币总量的上限为：MSupply = 264 −1 原子单位。这是仅基于实现限制而不是直觉的自然限制比如“N个币对任何人来说都应该足够了”。为了保证发射过程的顺利，我们对块使用以下公式奖励：基础奖励 = (MSupply −A) ≫18, 其中 A 是先前生成的硬币数量。 6.2 可调参数 6.2.1 难度 CryptoNote 包含一个目标算法，可以改变每个块的难度。这个当网络 hashrate 急剧增长或收缩时，减少系统的反应时间，保持恒定的块率。原始的 Bitcoin 方法计算实际的关系和最后 2016 个区块之间的目标时间跨度，并将其用作当前区块的乘数困难。显然这不适合快速重新计算（因为惯性大）并且导致振荡。我们算法背后的总体思想是将节点完成的所有工作相加除以他们花费的时间。工作量的衡量标准是相应的难度值在每个块中。但由于时间戳不准确且不受信任，我们无法确定确切的时间块之间的时间间隔。用户可以将他的时间戳转移到未来和下一个时间间隔可能很小甚至是负值。估计会出现很少的情况这种情况下，我们可以对时间戳进行排序并剔除异常值（即 20%）。范围为其余值是 80% 的相应块所花费的时间。 6.2.2 尺寸限制用户支付存储 blockchain 的费用，并有权对其大小进行投票。每个矿工处理平衡之间的权衡e 费用和利润，并自行设定用于创建块的“软限制”。最大块大小的核心规则对于防止 blockchain 被虚假交易淹没，但是该值应该不要硬编码。令 MN 为最后 N 个块大小的中值。然后是大小的“硬限制” 接受块的数量是2 \(\cdot\) MN。它可以避免 blockchain 膨胀，但仍然允许限制如果有必要的话，会随着时间慢慢增长。交易大小不需要明确限制。它受块大小的限制；如果有人想创建一个具有数百个输入/输出（或具有环签名的高度模糊性），他可以通过支付足够的费用来做到这一点。 6.2.3 尺寸过大的处罚矿工仍然有能力将自己的零费用交易塞满区块，直至达到最大值大小 \(2 \cdot M_b\)。尽管只有大多数矿工可以改变中值，但仍然存在 13 25 重新调整时间，使一个时间单位为 N 个块，理论上，平均块大小仍然可以按指数比例增长到 2ˆt。另一方面，更通用的上限对于某个函数 f，下一个块将是 M_nf(M_n)。 f 有哪些性质我们选择是为了保证区块大小的“合理增长”？的进展块大小（重新调整时间后）将如下所示： M_n f(M_n)M_n f(f(M_n)M_n)f(M_n)M_n f(f(f(M_n)M_n)f(M_n)M_n)f(f(M_n)M_n)f( ... 这里的目标是选择 f 使得该序列的增长速度不超过线性增长速度，或者甚至可以作为 Log(t)。当然，如果 f(M_n) = a 对于某个常数 a，则该序列为实际上 M_n aM_n a^2M_n a^3M_n ... 当然，限制至多线性增长的唯一方法是选择 a=1。这当然是不可行的。它根本不允许生长。另一方面，如果 f(M_n) 是一个非常数函数，那么情况就更复杂了复杂，并且可以提供优雅的解决方案。我会考虑一下这个问题。该费用必须足够大，才能抵消下一部分的超额罚款。为什么一般用户被假定为男性，嗯？啊？

可能会使 blockchain 膨胀并在节点上产生额外的负载。劝阻对于创建大区块的恶意参与者，我们引入了惩罚函数：新奖励=基础奖励 \(\cdot\) 块大小明尼苏达州 −1 2 仅当 BlkSize 大于最小空闲块大小时才应用此规则，而最小空闲块大小应接近max(10kb, \(M_N \cdot 110\%\))。矿工可以创建“正常大小”的区块，甚至当总费用超过罚款时，利润就超过了罚款。但费用不太可能增长与惩罚值不同，是二次方，因此会存在平衡。 6.3 交易脚本 CryptoNote 有一个非常简约的脚本子系统。发送者指定一个表达式 Φ = f (x1, x2, ..., xn)，其中 n 是目标公钥 {Pi}n 的数量我=1。只有五个二进制支持运算符：min、max、sum、mul 和 cmp。当收款人花掉这笔款项时，他产生 \(0 \leq k \leq n\) 签名并将它们传递到交易输入。验证过程只需使用 xi = 1 计算 Φ，以检查公钥 Pi 的有效签名，并且 xi = 0。验证者在 iffΦ > 0 时接受该证明。尽管很简单，但这种方法涵盖了所有可能的情况： • 多重/阈值签名。对于 Bitcoin 风格的“M-out-of-N”多重签名（即接收方应提供至少 \(0 \leq M \leq N\) 个有效签名） Φ = x1+x2+。。 .+xN\(\geq M\) （为了清楚起见，我们使用常见的代数符号）。加权阈值签名（某些键可能比其他键更重要）可以表示为 Φ = \(w_1 \cdot x_1\) + \(w_2 \cdot x_2\)+ . 。。 + \(w_N \cdot x_N\) \(\geq wM\)。主密钥对应的场景 Φ = max(\(M \cdot x\), x1 + x2 + ... + xN) \(\geq M\)。很容易证明任何复杂的情况都可以用这些运算符表示，即它们构成基础。 • 密码保护。拥有秘密密码 s 相当于知道私钥，确定性地从密码导出：k = KDF(s)。因此，接收器可以通过在密钥 k 下提供另一个签名来证明他知道密码。发送者只需将相应的公钥添加到他自己的输出中即可。请注意，这方法比 Bitcoin [13] 中使用的“交易谜题”安全得多，其中密码在输入中显式传递。 • 退化的情况。 Φ = 1 意味着任何人都可以花这笔钱； Φ = 0 标志着产出不能永远使用。如果与公钥结合的输出脚本对于发送者来说太大，他可以使用特殊的输出类型，这表明接收者会将这些数据放入他的输入中而发件人仅提供其中的 hash 。这种方法类似于 Bitcoin 的“pay-to-hash” 功能，但我们没有添加新的脚本命令，而是在数据结构中处理这种情况水平。 7 结论我们调查了 Bitcoin 中的主要缺陷并提出了一些可能的解决方案。这些有利的功能和我们不断的开发使得新的电子现金系统 CryptoNote Bitcoin 的有力竞争对手，超越了它的所有叉子。 14 可能会使 blockchain 膨胀并在节点上产生额外的负载。劝阻对于创建大区块的恶意参与者，我们引入了惩罚函数：新奖励=基础奖励 \(\cdot\) 块大小明尼苏达州 −1 2 仅当 BlkSize 大于最小空闲块大小时才应用此规则，而最小空闲块大小应接近max(10kb, \(M_N \cdot 110\%\))。矿工可以创建“正常大小”的区块，甚至当总费用超过罚款时，利润就超过了罚款。但费用不太可能增长与惩罚值不同，是二次方，因此会存在平衡。 6.3 交易脚本 CryptoNote 有一个非常简约的脚本子系统。发送者指定一个表达式 Φ = f (x1, x2, ..., xn)，其中 n 是目标公钥 {Pi}n 的数量我=1。只有五个二进制支持运算符：min、max、sum、mul 和 cmp。当收款人花掉这笔款项时，他产生 \(0 \leq k \leq n\) 签名并将它们传递到交易输入。验证过程只需使用 xi = 1 计算 Φ，以检查公钥 Pi 的有效签名，并且 xi = 0。验证者在 iffΦ > 0 时接受该证明。尽管很简单，但这种方法涵盖了所有可能的情况： • 多重/阈值签名。对于 Bitcoin 风格的“M-out-of-N”多重签名（即接收方应提供至少 \(0 \leq M \leq N\) 个有效签名） Φ = x1+x2+。。 .+xN\(\geq M\) （为了清楚起见，我们使用常见的代数符号）。加权阈值签名（某些键可能比其他键更重要）可以表示为 Φ = \(w_1 \cdot x_1\) + \(w_2 \cdot x_2\)+ . 。。 + \(w_N \cdot x_N\) \(\geq wM\)。和场景io 其中主密钥对应于 Φ = max(\(M \cdot x\), x1 + x2 + ... + xN) \(\geq M\)。很容易证明任何复杂的情况都可以用这些运算符表示，即它们构成基础。 • 密码保护。拥有秘密密码 s 相当于知道私钥，确定性地从密码导出：k = KDF(s)。因此，接收器可以通过在密钥 k 下提供另一个签名来证明他知道密码。发送者只需将相应的公钥添加到他自己的输出中即可。请注意，这方法比 Bitcoin [13] 中使用的“交易难题”安全得多，其中密码在输入中显式传递。 • 退化的情况。 Φ = 1 意味着任何人都可以花这笔钱； Φ = 0 标志着产出不能永远使用。如果与公钥结合的输出脚本对于发送者来说太大，他可以使用特殊的输出类型，这表明接收者会将这些数据放入他的输入中而发件人仅提供其中的 hash 。这种方法类似于 Bitcoin 的“pay-to-hash” 功能，但我们没有添加新的脚本命令，而是在数据结构中处理这种情况水平。 7 结论我们调查了 Bitcoin 中的主要缺陷并提出了一些可能的解决方案。这些有利的功能和我们不断的开发使得新的电子现金系统 CryptoNote Bitcoin 的有力竞争对手，超越了它的所有叉子。 14 26 如果我们能找到一种随着时间的推移限制块大小的方法，这可能是不必要的...... 这也不可能是正确的。他们只是将“NewReward”设置为向上的抛物线，其中块大小是自变量。所以新的奖励会增加到无穷大。如果，另一方面手，新的奖励是Max(0,Base Reward(1-(BlkSize/Mn - 1)ˆ2))，那么新的奖励将是一个向下的抛物线，其峰值位于块大小 = Mn，截距为块大小 = 0 且块大小 = 2Mn。这似乎就是他们想要描述的。然而，这并不

Analyse

5 Es spielt keine allzu große Rolle, wenn eine Milliarde Menschen auf der Welt von weniger als einem Dollar pro Jahr leben müssen Tag und haben keine Hoffnung, jemals an irgendeinem Bergbaunetzwerk teilzunehmen ... aber an einem wirtschaftlichen Welt, die von einem P2P-Währungssystem mit einer CPU und einer Stimme angetrieben wird, wäre vermutlich mehr fairer als ein System, das auf Teilreservebanken basiert. Aber das Protokoll von Cryptonote erfordert immer noch 51 % ehrliche Benutzer ... siehe zum Beispiel das Cryptonote Foren, in denen einer der Entwickler, Pliskov, sagt, dass ein traditioneller „Replace-the-Data-on-theblockchain“-51-%-Angriff immer noch funktionieren kann. https://forum.cryptonote.org/viewtopic.php?f=2&t=198 Beachten Sie, dass Sie nicht wirklich 51 % ehrliche Benutzer benötigen. Man braucht einfach wirklich „keinen einzigen Unehrlichen“. Fraktion mit mehr als 51 % der Macht des Netzwerks.“ Nennen wir dieses sogenannte Problem von Bitcoin „adaptive Starrheit“. Die Lösung von Cryptonote für Adaptive Steifigkeit ist die adaptive Flexibilität der Protokollparameterwerte. Wenn Sie größere Blockgrößen benötigen, Kein Problem, das Netzwerk hat sich die ganze Zeit über sanft angepasst. Das heißt, Die Art und Weise, wie Bitcoin den Schwierigkeitsgrad im Laufe der Zeit anpasst, kann in unserem gesamten Protokoll reproduziert werden Parameter, so dass für die Aktualisierung des Protokolls kein Netzwerkkonsens eingeholt werden muss. Oberflächlich betrachtet scheint dies eine gute Idee zu sein, aber ohne sorgfältige Voraussicht eine Selbstanpassung Das System kann ziemlich unvorhersehbar und chaotisch werden. Wir werden später näher darauf eingehen Chancen ergeben sich. „Gute“ Systeme liegen irgendwo zwischen adaptiv starr und adaptiv Flexibilität und vielleicht sogar die Starrheit selbst sind anpassungsfähig. Wenn wir wirklich „eine CPU, eine Stimme“ hätten, dann müssten wir zusammenarbeiten und Pools entwickeln, um 51 % zu erreichen. wäre schwieriger. Wir würden erwarten, dass jede CPU auf der Welt von Telefonen aus Mining durchführt an die integrierte CPU Ihres Tesla während des Ladevorgangs. http://en.wikipedia.org/wiki/Pareto_principle Ich behaupte, dass das Pareto-Gleichgewicht einigermaßen unvermeidbar ist. Entweder 20 % des Systems werden es tun 80 % der CPUs besitzen, oder 20 % des Systems besitzen 80 % der ASICs. Ich vermute dies, weil die zugrunde liegende Vermögensverteilung in der Gesellschaft bereits die Pareto-Verteilung aufweist. und wenn neue Miner beitreten, werden sie aus dieser zugrunde liegenden Verteilung gezogen. Ich behaupte jedoch, dass Protokolle mit einer CPU und einer Stimme einen ROI auf der Hardware erzielen werden. Blockieren Die Belohnung pro Knoten wird eher proportional zur Anzahl der Knoten im Netzwerk sein, weil Die Leistungsverteilung zwischen den Knoten wird viel enger sein. Bitcoin, andererseits Andererseits sieht er eine Blockbelohnung (pro Knoten), die proportionaler zur Rechenkapazität dieses Knotens ist Knoten. Das heißt, nur noch die „großen Jungs“ sind im Mining-Geschäft aktiv. Andererseits, Auch wenn das Pareto-Prinzip weiterhin im Spiel sein wird, gilt in einer Welt mit einer CPU und einer Stimme jeder beteiligt sich an der Netzwerksicherheit und erzielt einen Teil der Mining-Einnahmen. In einer ASIC-Welt ist es nicht sinnvoll, jede XBox und jedes Mobiltelefon an meine anzupassen. In einer One-CPU-One-Vote-Welt ist das im Hinblick auf die Mining-Belohnung sehr sinnvoll. Als erfreuliche Konsequenz Es ist schwieriger, 51 % der Stimmen zu erreichen, wenn es immer mehr Stimmen gibt, was zu einem schönen Ergebnis führt Vorteile für die Netzwerksicherheit.Hardware wie zuvor beschrieben. Nehmen wir an, dass die globale hashrate deutlich abnimmt, sogar für Einen Moment lang kann er nun seine Mining-Kraft nutzen, um die Kette zu verzweigen und doppelte Ausgaben zu tätigen. Wie wir sehen werden Später in diesem Artikel ist es nicht unwahrscheinlich, dass das zuvor beschriebene Ereignis eintritt. 2.3 Unregelmäßige Emission Bitcoin hat eine vorgegebene Emissionsrate: Jeder gelöste Block produziert eine feste Menge an Münzen. Etwa alle vier Jahre wird diese Belohnung halbiert. Die ursprüngliche Absicht bestand darin, eine zu schaffen begrenzte glatte Emission mit exponentiellem Abfall, aber tatsächlich haben wir eine stückweise lineare Emission Funktion, deren Haltepunkte Probleme in der Bitcoin-Infrastruktur verursachen können. Wenn der Haltepunkt erreicht wird, erhalten die Miner nur noch die Hälfte ihres vorherigen Wertes Belohnung. Der absolute Unterschied zwischen 12,5 und 6,25 BTC (prognostiziert für das Jahr 2020) kann scheinen erträglich. Betrachtet man jedoch den Rückgang von 50 auf 25 BTC, der im November stattfand 28 2012, erschien für eine beträchtliche Anzahl von Mitgliedern der Bergbaugemeinschaft unangemessen. Abbildung 1 zeigt einen dramatischen Rückgang der hashRate des Netzwerks Ende November, genau zu dem Zeitpunkt es kam zu einer Halbierung. Dieses Ereignis hätte der perfekte Moment für die böswillige Person sein können beschrieben im Funktionsabschnitt proof-of-work zur Durchführung eines Double-Spending-Angriffs [36]. Abb. 1. Bitcoin hashKursdiagramm (Quelle: http://bitcoin.sipa.be) 2.4 Hartcodierte Konstanten Bitcoin hat viele fest codierte Grenzwerte, von denen einige natürliche Elemente des ursprünglichen Designs sind (z. B. Blockhäufigkeit, maximale Geldmenge, Anzahl der Bestätigungen) und andere scheinen künstliche Zwänge zu sein. Es sind nicht so sehr die Grenzen, sondern vielmehr die Unfähigkeit, sich schnell zu verändern 3 Hardware wie zuvor beschrieben. Nehmen wir an, dass die globale hash-Rate deutlich abnimmt, sogar für Einen Moment lang kann er nun seine Mining-Kraft nutzen, um die Kette zu verzweigen und doppelte Ausgaben zu tätigen. Wie wir sehen werden Später in diesem Artikel ist es nicht unwahrscheinlich, dass das zuvor beschriebene Ereignis eintritt. 2.3 Unregelmäßige Emission Bitcoin hat eine vorgegebene Emissionsrate: Jeder gelöste Block produziert eine feste Menge an Münzen. Etwa alle vier Jahre wird diese Belohnung halbiert. Die ursprüngliche Absicht bestand darin, eine zu schaffen begrenzte glatte Emission mit exponentiellem Abfall, aber tatsächlich haben wir eine stückweise lineare Emission Funktion, deren Haltepunkte Probleme in der Bitcoin-Infrastruktur verursachen können. Wenn der Haltepunkt erreicht wird, erhalten die Miner nur noch die Hälfte ihres vorherigen Wertes Belohnung. Der absolute Unterschied zwischen 12,5 und 6,25 BTC (prognostiziert für das Jahr 2020) kann scheinen erträglich. Betrachtet man jedoch den Rückgang von 50 auf 25 BTC, der im November stattfand 28 2012, erschien für eine beträchtliche Anzahl von Mitgliedern der Bergbaugemeinschaft unangemessen. Abbildung 1 zeigt einen dramatischen Rückgang der hashRate des Netzwerks Ende November, genau zu dem Zeitpunkt es kam zu einer Halbierung. Dieses Ereignis hätte der perfekte Moment für die böswillige Person sein können beschrieben im Funktionsabschnitt proof-of-work zur Durchführung eines Double-Spending-Angriffs [36]. Abb. 1. Bitcoin hashKursdiagramm (Quelle: http://bitcoin.sipa.be) 2.4 Hartcodierte Konstanten Bitcoin hat viele fest codierte Grenzwerte, von denen einige natürliche Elemente des ursprünglichen Designs sind (z. B. Blockhäufigkeit, maximale Geldmenge, Anzahl der Bestätigungen) und andere scheinen künstliche Zwänge zu sein. Es sind nicht so sehr die Grenzen, sondern vielmehr die Unfähigkeit, sich schnell zu verändern 3 6 Nennen wir es das, was es ist: einen Zombie-Angriff. Lassen Sie uns diskutieren, wie kontinuierlich die Emission sein kann im Zusammenhang mit „Eine CPU, eine Stimme“ in einem Zombie-Angriffsszenario. In einer Welt mit einer CPU und einer Stimme würde jedes Mobiltelefon und jedes Auto, wann immer es inaktiv ist, schürfen. Es wäre sehr, sehr einfach, haufenweise billige Hardware zu sammeln, um eine Mining-Farm zu erstellen, denn einfach In fast allem steckt eine CPU. Andererseits, zu diesem Zeitpunkt, die Anzahl der CPUs Ich würde meinen, dass es ziemlich erstaunlich wäre, wenn man einen 51-Prozent-Angriff starten müsste. Darüber hinaus Gerade weil es einfach wäre, billige Hardware zu sammeln, können wir vernünftigerweise erwarten, dass a Viele Leute fangen an, irgendetwas mit einer CPU zu horten. Das Wettrüsten in einer Welt mit einer CPU und einer Stimme ist notwendigerweise egalitärer als in einer ASIC-Welt. Daher eine Diskontinuität im Netzwerk Sicherheit aufgrund von Emissionsraten sollte in einer Welt mit einer CPU und einer Stimme WENIGER ein Problem darstellen. Es bleiben jedoch zwei Tatsachen bestehen: 1) Eine Diskontinuität der Emissionsrate kann zu einem Stottereffekt führen sowohl für die Wirtschaft als auch für die Netzwerksicherheit, was schlecht ist, und 2) obwohl es sich um einen 51-prozentigen Angriff handelt Fehler, die von jemandem durchgeführt werden, der billige Hardware sammelt, können auch bei Ein-CPU-Geräten auftreten-Abstimmung Welt, Es scheint, als ob es schwieriger sein sollte. Vermutlich besteht der Schutz davor darin, dass alle unehrlichen Akteure dies versuchen werden Gleichzeitig greifen wir auf den früheren Sicherheitsgedanken von Bitcoin zurück: „Wir fordern keine Unehrlichkeit.“ Fraktion soll mehr als 51 % des Netzwerks kontrollieren. Der Autor behauptet hier, dass ein Problem bei Bitcoin die Diskontinuität bei der Ausgabe von Münzen sei Die Rate könnte zu einem plötzlichen Rückgang der Netzwerkbeteiligung und damit der Netzwerksicherheit führen. So, Eine kontinuierliche, differenzierbare und gleichmäßige Münzausgaberate ist vorzuziehen. Der Autor hat nicht unbedingt Unrecht. Jede Art von plötzlichem Rückgang der Netzwerkbeteiligung kann dazu führen zu einem solchen Problem führen, und wenn wir eine Ursache dafür beseitigen können, sollten wir das tun. Trotzdem ist es so Es ist möglich, dass lange Zeiträume „relativ konstanter“ Münzausgabe mit plötzlichen Änderungen unterbrochen werden ist aus ökonomischer Sicht der ideale Weg. Ich bin kein Ökonom. Also vielleicht wir Wir müssen uns entscheiden, ob wir die Netzwerksicherheit gegen etwas Wirtschaftliches eintauschen – was steht hier? http://arxiv.org/abs/1402.2009wenn nötig, verursacht das die Hauptnachteile. Leider ist es schwer vorherzusagen, wann Konstanten müssen möglicherweise geändert werden, und ihre Ersetzung kann schreckliche Folgen haben. Ein gutes Beispiel für eine hartcodierte Grenzwertänderung, die katastrophale Folgen hat, ist der Block Größenbeschränkung auf 250 KB1 festgelegt. Dieses Limit reichte aus, um etwa 10.000 Standardtransaktionen aufzunehmen. In Anfang 2013 war diese Grenze fast erreicht und man einigte sich auf eine Erhöhung Grenze. Die Änderung wurde in Wallet-Version 0.8 implementiert und endete mit einer 24-Block-Chain-Aufteilung und ein erfolgreicher Double-Spend-Angriff [9]. Der Fehler lag zwar nicht im Protokoll Bitcoin, aber Vielmehr hätte es in der Datenbank-Engine leicht durch einen einfachen Stresstest erkannt werden können, wenn dies der Fall gewesen wäre keine künstlich eingeführte Blockgrößenbeschränkung. Konstanten fungieren auch als eine Art Zentralisierungspunkt. Trotz des Peer-to-Peer-Charakters von Bitcoin, eine überwältigende Mehrheit der Knoten verwendet den offiziellen Referenzclient [10], der von entwickelt wurde eine kleine Gruppe von Menschen. Diese Gruppe trifft die Entscheidung, Änderungen am Protokoll umzusetzen und die meisten Menschen akzeptieren diese Änderungen unabhängig von ihrer „Richtigkeit“. Einige Entscheidungen verursachten hitzige Diskussionen und sogar Boykottaufrufe [11], was darauf hindeutet, dass die Community und die Entwickler können in einigen wichtigen Punkten anderer Meinung sein. Daher erscheint es logisch, ein Protokoll zu haben mit vom Benutzer konfigurierbaren und selbstanpassenden Variablen als mögliche Möglichkeit, diese Probleme zu vermeiden. 2.5 Umfangreiche Skripte Das Skriptsystem in Bitcoin ist eine umfangreiche und komplexe Funktion. Es ermöglicht einem möglicherweise, etwas zu erschaffen ausgefeilte Transaktionen [12], aber einige seiner Funktionen sind aus Sicherheitsgründen deaktiviert und einige wurden noch nie verwendet [13]. Das Skript (einschließlich der Teile des Senders und des Empfängers) für die beliebteste Transaktion in Bitcoin sieht das so aus: OP DUP OP HASH160 OP EQUALVERIFY OP CHECKSIG. Das Skript ist 164 Bytes lang, wobei sein einziger Zweck darin besteht, zu überprüfen, ob der Empfänger über das Skript verfügt geheimer Schlüssel, der zur Überprüfung seiner Signatur erforderlich ist.

Bitcoin network total computation speed chart showing hashrate and difficulty from 2012 to 2013

分析

Bitcoin network total computation speed chart showing hashrate and difficulty from 2012 to 2013

5 当世界上十亿人的生活费低于一美元时，这并不重要。一天，不希望参与任何类型的采矿网络......但经济由一个 CPU 一票的 P2P 货币系统驱动的世界大概会更比由部分准备金银行驱动的系统公平。但 Cryptonote 的协议仍然需要 51% 的诚实用户……例如，参见 Cryptonote 开发人员之一 Pliskov 表示，传统的替换 blockchain 51% 上的数据的攻击仍然有效。 https://forum.cryptonote.org/viewtopic.php?f=2&t=198 请注意，您实际上并不需要 51% 的诚实用户。你真的需要“没有一个不诚实的人拥有网络 hashing 力量 51% 以上的派系。” 我们将这种所谓的比特币问题称为“适应性刚性”。 Cryptonote 的自适应解决方案刚性是协议参数值的自适应灵活性。如果您需要更大的块大小，没问题，网络将一直在轻轻调整。也就是说， Bitcoin 随着时间的推移调整难度的方式可以在我们的所有协议中复制参数，以便更新协议时不需要获得网络共识。从表面上看，这似乎是个好主意，但如果没有仔细考虑，就会出现自我调整的情况。系统可能变得相当不可预测和混乱。稍后我们将进一步研究这一点机会出现。 “好”系统介于自适应刚性和自适应之间灵活，也许甚至刚性本身也是适应性的。如果我们真的拥有“一 CPU 一票”，那么就通过协作和开发池来达到 51% 会更困难。我们预计世界上的每个 CPU 都会从手机开始挖矿充电时连接到 Tesla 的板载 CPU。 http://en.wikipedia.org/wiki/Pareto_principle 我认为帕累托均衡在某种程度上是不可避免的。系统的 20% 将拥有 80% 的 CPU，或者 20% 的系统将拥有 80% 的 ASIC。我做出这样的假设是因为社会财富的基本分配已经呈现出帕累托分布，随着新矿工的加入，他们是从底层分布中抽取的。然而，我认为采用一 CPU 一投票的协议将会在硬件上带来投资回报。块每个节点的奖励将与网络中的节点数量更成正比，因为节点之间的性能分布将更加紧密。另一方面，Bitcoin 另一方面，看到区块奖励（每个节点）与该节点的计算能力成正比节点。也就是说，只有“大佬”还在挖矿游戏中。另一方面，尽管帕累托原则仍然有效，但在一个 CPU 一票的世界中，每个人 参与网络安全并获得一点挖矿收益。在 ASIC 世界中，让每台 Xbox 和手机都用于挖矿是不明智的。在一个CPU一票的世界里，就挖矿奖励而言，这是非常明智的。作为一个令人高兴的结果，当选票越来越多时，获得 51% 的选票会变得更加困难，从而产生可爱的结果有利于网络安全..前面描述过的硬件。假设全局 hash 率显着下降，即使对于一会儿，他现在可以利用自己的挖矿能力来分叉链条并进行双花。正如我们将看到的在本文后面，前面描述的事件发生的可能性也不是很大。 2.3 不规则发射 Bitcoin 具有预定的排放率：每个解决的块都会产生固定数量的硬币。大约每四年这一奖励就会减半。最初的目的是创建一个具有指数衰减的有限平滑发射，但实际上我们有分段线性发射其断点可能会导致 Bitcoin 基础设施出现问题的函数。当断点发生时，矿工开始只收到先前价值的一半奖励。 12.5 和 6.25 BTC 之间的绝对差异（预计 2020 年）可能会看起来还可以忍受。然而，当检查 11 月份发生的 50 至 25 BTC 下跌时 2012 年 2 月 28 日，对于采矿界的相当一部分成员来说，这感觉不合适。图图 1 显示了 11 月底网络的 hash 速率急剧下降，此时正是减半发生了。对于恶意者来说，这一事件可能是完美的时刻 proof-of-work 函数部分中描述了执行双花攻击 [36] 的方法。图 1. Bitcoin hash 费率图表（来源：http://bitcoin.sipa.be） 2.4 硬编码常量 Bitcoin 有许多硬编码限制，其中一些是原始设计的自然元素（例如区块频率、最大货币供应量、确认数量），而其他似乎是人为的限制。与其说是限制，不如说是无法快速改变 3 前面描述过的硬件。假设全局 hash 率显着下降，即使对于一会儿，他现在可以利用自己的挖矿能力来分叉链条并进行双花。正如我们将看到的在本文后面，前面描述的事件发生的可能性也不是很大。 2.3 不规则发射 Bitcoin 具有预定的排放率：每个解决的块都会产生固定数量的硬币。大约每四年这一奖励就会减半。最初的目的是创建一个具有指数衰减的有限平滑发射，但实际上我们有分段线性发射其断点可能会导致 Bitcoin 基础设施出现问题的函数。当断点发生时，矿工开始只收到先前价值的一半奖励。 12.5 和 6.25 BTC 之间的绝对差异（预计 2020 年）可能会看起来还可以忍受。然而，当检查 11 月份发生的 50 至 25 BTC 下跌时 2012 年 2 月 28 日，对于采矿界的相当一部分成员来说，这感觉不合适。图图 1 显示了 11 月底网络的 hash 速率急剧下降，此时正是减半发生了。对于恶意者来说，这一事件可能是完美的时刻 proof-of-work 函数部分中描述了执行双花攻击 [36] 的方法。图 1. Bitcoin hash 费率图表（来源：http://bitcoin.sipa.be） 2.4 硬编码常量 Bitcoin 有许多硬编码限制，其中一些是原始设计的自然元素（例如区块频率、最大货币供应量、确认数量），而其他似乎是人为的限制。与其说是限制，不如说是无法快速改变 3 6 让我们称其为僵尸攻击。让我们讨论一下如何连续发射与僵尸攻击场景中的一CPU一票相关。在一个CPU一票的世界里，每部手机和汽车只要闲置，就会进行挖矿。收集大量廉价硬件来创建矿场将非常非常容易，因为只需几乎所有东西都有一个CPU。另一方面，此时 CPU 的数量我认为发动 51% 攻击所需的时间是相当惊人的。此外，正是因为很容易收集廉价的硬件，我们可以合理地预期很多人开始囤积任何带有 CPU 的东西。一CPU一票世界中的军备竞赛必然比 ASIC 世界更加平等。因此，网络不连续在一个 CPU 一票的世界中，排放率带来的安全问题应该不是什么问题。然而，有两个事实仍然存在：1）发射率的不连续性可能会导致口吃效应经济和网络安全都不好，而且 2) 即使发生 51% 攻击由收集廉价硬件的人执行的操作仍然可能发生在单 CPU 中-投票世界，看来应该更难了。据推测，防止这种情况发生的措施是“所有”不诚实的行为者都会尝试这样做同时，我们又回到了 Bitcoin 之前的安全概念：“我们不需要不诚实的人派别控制了超过 51% 的网络。” 作者在这里声称比特币的一个问题是硬币发行的不连续性速率可能会导致网络参与度突然下降，从而导致网络安全性下降。因此，连续的、可微的、平滑的硬币发行率是优选的。作者没有错，一定是这样。网络参与度的任何形式的突然减少都可能导致导致这样一个问题，如果我们能够消除它的一个根源，我们就应该这样做。话虽如此，这是长期“相对稳定”的代币发行可能会被突然的变化所打断从经济学的角度来看，这是理想的方法。我不是经济学家。所以，也许我们我们必须决定是否要用网络安全来换取经济利益——这是什么？ http://arxiv.org/abs/1402.2009如有必要，它们会导致主要缺点。不幸的是，很难预测何时常量可能需要改变，替换它们可能会导致可怕的后果。硬编码限制更改导致灾难性后果的一个很好的例子是块大小限制设置为 250kb1。这个限制足以容纳大约 10000 个标准交易。在 2013 年初，这一限制几乎已达到，并达成协议增加限制。该更改在钱包版本 0.8 中实施，并以 24 块链分裂结束以及成功的双花攻击[9]。虽然该错误不在 Bitcoin 协议中，但是相反，在数据库引擎中，如果有的话，可以通过简单的压力测试轻松捕获它没有人为引入的块大小限制。常量也充当集中点的一种形式。尽管具有点对点的性质 Bitcoin，绝大多数节点使用官方开发的参考客户端[10] 一小群人。该小组决定对协议进行更改大多数人都会接受这些变化，无论它们的“正确性”如何。一些决定导致激烈讨论甚至呼吁抵制[11]，这表明社区和开发人员可能在一些重要问题上存在分歧。因此，制定一项协议似乎是合乎逻辑的使用用户可配置和自我调整的变量作为避免这些问题的可能方法。 2.5 庞大的脚本 Bitcoin 中的脚本系统是一个繁重且复杂的功能。它可能允许人们创建复杂的交易[12]，但由于安全问题和原因，其某些功能被禁用有些甚至从未使用过[13]。脚本（包括发送者和接收者部分） Bitcoin 中最受欢迎的交易如下所示： OP DUP OP HASH160 OP EQUALVERIFY OP CHECKSIG。该脚本长 164 字节，其唯一目的是检查接收者是否拥有验证他的签名所需的密钥。