CryptoNote v2.0

โดย Nicolas van Saberhagen · 2013

บทความที่นำเสนอที่นี่คือ CryptoNote v2.0 whitepaper โดย Nicolas van Saberhagen (2013) ซึ่งอธิบายรากฐานการเข้ารหัสที่ Monero สร้างขึ้นมาบน มันไม่ใช่ whitepaper เฉพาะของ Monero โดย Monero เปิดตัวในปี 2014 ในฐานะ fork ของการใช้งานอ้างอิง CryptoNote (Bytecoin) และได้พัฒนาอย่างมีนัยสำคัญเกินกว่าโปรโตคอลต้นฉบับนับแต่นั้น

🇺🇸 English (ต้นฉบับ)

🇻🇳 Tiếng Việt (คำแปล)

Introduction

"Bitcoin" [1] has been a successful implementation of the concept of p2p electronic cash. Both professionals and the general public have come to appreciate the convenient combination of public transactions and proof-of-work as a trust model. Today, the user base of electronic cash is growing at a steady pace; customers are attracted to low fees and the anonymity provided by electronic cash and merchants value its predicted and decentralized emission. Bitcoin has eﬀectively proved that electronic cash can be as simple as paper money and as convenient as credit cards. Unfortunately, Bitcoin suﬀers from several deﬁciencies. For example, the system's distributed nature is inﬂexible, preventing the implementation of new features until almost all of the network users update their clients. Some critical ﬂaws that cannot be ﬁxed rapidly deter Bitcoin's widespread propagation. In such inﬂexible models, it is more eﬃcient to roll-out a new project rather than perpetually ﬁx the original project. In this paper, we study and propose solutions to the main deﬁciencies of Bitcoin. We believe that a system taking into account the solutions we propose will lead to a healthy competition among diﬀerent electronic cash systems. We also propose our own electronic cash, "CryptoNote", a name emphasizing the next breakthrough in electronic cash.

Giới thiệu

“Bitcoin” [1] đã triển khai thành công khái niệm tiền điện tử p2p. Cả hai các chuyên gia và công chúng nói chung đã đánh giá cao sự kết hợp thuận tiện của giao dịch công khai và proof-of-work làm mô hình tin cậy. Ngày nay, cơ sở người dùng tiền điện tử đang phát triển với tốc độ ổn định; khách hàng bị thu hút bởi mức phí thấp và tính ẩn danh được cung cấp bằng tiền điện tử và người bán đánh giá mức phát thải được dự đoán và phi tập trung của nó. Bitcoin có đã chứng minh một cách hiệu quả rằng tiền điện tử có thể đơn giản như tiền giấy và thuận tiện như thẻ tín dụng. Thật không may, Bitcoin mắc phải một số thiếu sót. Ví dụ: hệ thống được phân phối Bản chất là không linh hoạt, ngăn cản việc triển khai các tính năng mới cho đến khi gần như tất cả người dùng mạng cập nhật ứng dụng khách của họ. Một số lỗi nghiêm trọng không thể khắc phục nhanh chóng sẽ ngăn cản Bitcoin tuyên truyền rộng rãi. Trong những mô hình không linh hoạt như vậy, việc triển khai một dự án mới sẽ hiệu quả hơn thay vì liên tục sửa chữa dự án ban đầu. Trong bài báo này, chúng tôi nghiên cứu và đề xuất giải pháp khắc phục những thiếu sót chính của Bitcoin. Chúng tôi tin rằng một hệ thống có tính đến các giải pháp mà chúng tôi đề xuất sẽ dẫn đến sự cạnh tranh lành mạnh giữa các hệ thống tiền điện tử khác nhau. Chúng tôi cũng đề xuất tiền điện tử của riêng mình, “CryptoNote”, một cái tên nhấn mạnh bước đột phá tiếp theo của tiền điện tử.

Bitcoin Drawbacks and Possible Solutions

2 Bitcoin drawbacks and some possible solutions 2.1 Traceability of transactions Privacy and anonymity are the most important aspects of electronic cash. Peer-to-peer payments seek to be concealed from third party’s view, a distinct diﬀerence when compared with traditional banking. In particular, T. Okamoto and K. Ohta described six criteria of ideal electronic cash, which included “privacy: relationship between the user and his purchases must be untraceable by anyone” [30]. From their description, we derived two properties which a fully anonymous electronic cash model must satisfy in order to comply with the requirements outlined by Okamoto and Ohta: Untraceability: for each incoming transaction all possible senders are equiprobable. Unlinkability: for any two outgoing transactions it is impossible to prove they were sent to the same person. Unfortunately, Bitcoin does not satisfy the untraceability requirement. Since all the transactions that take place between the network’s participants are public, any transaction can be 1 CryptoNote v 2.0 Nicolas van Saberhagen October 17, 2013 1 Introduction “Bitcoin” [1] has been a successful implementation of the concept of p2p electronic cash. Both professionals and the general public have come to appreciate the convenient combination of public transactions and proof-of-work as a trust model. Today, the user base of electronic cash is growing at a steady pace; customers are attracted to low fees and the anonymity provided by electronic cash and merchants value its predicted and decentralized emission. Bitcoin has eﬀectively proved that electronic cash can be as simple as paper money and as convenient as credit cards. Unfortunately, Bitcoin suﬀers from several deﬁciencies. For example, the system’s distributed nature is inﬂexible, preventing the implementation of new features until almost all of the network users update their clients. Some critical ﬂaws that cannot be ﬁxed rapidly deter Bitcoin’s widespread propagation. In such inﬂexible models, it is more eﬃcient to roll-out a new project rather than perpetually ﬁx the original project. In this paper, we study and propose solutions to the main deﬁciencies of Bitcoin. We believe that a system taking into account the solutions we propose will lead to a healthy competition among diﬀerent electronic cash systems. We also propose our own electronic cash, “CryptoNote”, a name emphasizing the next breakthrough in electronic cash. 2 Bitcoin drawbacks and some possible solutions 2.1 Traceability of transactions Privacy and anonymity are the most important aspects of electronic cash. Peer-to-peer payments seek to be concealed from third party’s view, a distinct diﬀerence when compared with traditional banking. In particular, T. Okamoto and K. Ohta described six criteria of ideal electronic cash, which included “privacy: relationship between the user and his purchases must be untraceable by anyone” [30]. From their description, we derived two properties which a fully anonymous electronic cash model must satisfy in order to comply with the requirements outlined by Okamoto and Ohta: Untraceability: for each incoming transaction all possible senders are equiprobable. Unlinkability: for any two outgoing transactions it is impossible to prove they were sent to the same person. Unfortunately, Bitcoin does not satisfy the untraceability requirement. Since all the transactions that take place between the network’s participants are public, any transaction can be 1 3 Bitcoin deﬁnitely fails "untraceability." When I send you BTC, the wallet from which it is sent is irrevocably stamped on the blockchain. There is no question about who sent those funds, because only the knower of the private keys can send them.

unambiguously traced to a unique origin and ﬁnal recipient. Even if two participants exchange funds in an indirect way, a properly engineered path-ﬁnding method will reveal the origin and ﬁnal recipient. It is also suspected that Bitcoin does not satisfy the second property. Some researchers stated ([33, 35, 29, 31]) that a careful blockchain analysis may reveal a connection between the users of the Bitcoin network and their transactions. Although a number of methods are disputed [25], it is suspected that a lot of hidden personal information can be extracted from the public database. Bitcoin’s failure to satisfy the two properties outlined above leads us to conclude that it is not an anonymous but a pseudo-anonymous electronic cash system. Users were quick to develop solutions to circumvent this shortcoming. Two direct solutions were “laundering services” [2] and the development of distributed methods [3, 4]. Both solutions are based on the idea of mixing several public transactions and sending them through some intermediary address; which in turn suﬀers the drawback of requiring a trusted third party. Recently, a more creative scheme was proposed by I. Miers et al. [28]: “Zerocoin”. Zerocoin utilizes a cryptographic one-way accumulators and zero-knoweldge proofs which permit users to “convert” bitcoins to zerocoins and spend them using anonymous proof of ownership instead of explicit public-key based digital signatures. However, such knowledge proofs have a constant but inconvenient size - about 30kb (based on today’s Bitcoin limits), which makes the proposal impractical. Authors admit that the protocol is unlikely to ever be accepted by the majority of Bitcoin users [5]. 2.2 The proof-of-work function Bitcoin creator Satoshi Nakamoto described the majority decision making algorithm as “oneCPU-one-vote” and used a CPU-bound pricing function (double SHA-256) for his proof-of-work scheme. Since users vote for the single history of transactions order [1], the reasonableness and consistency of this process are critical conditions for the whole system. The security of this model suﬀers from two drawbacks. First, it requires 51% of the network’s mining power to be under the control of honest users. Secondly, the system’s progress (bug ﬁxes, security ﬁxes, etc...) require the overwhelming majority of users to support and agree to the changes (this occurs when the users update their wallet software) [6].Finally this same voting mechanism is also used for collective polls about implementation of some features [7]. This permits us to conjecture the properties that must be satisﬁed by the proof-of-work pricing function. Such function must not enable a network participant to have a signiﬁcant advantage over another participant; it requires a parity between common hardware and high cost of custom devices. From recent examples [8], we can see that the SHA-256 function used in the Bitcoin architecture does not posses this property as mining becomes more eﬃcient on GPUs and ASIC devices when compared to high-end CPUs. Therefore, Bitcoin creates favourable conditions for a large gap between the voting power of participants as it violates the “one-CPU-one-vote” principle since GPU and ASIC owners posses a much larger voting power when compared with CPU owners. It is a classical example of the Pareto principle where 20% of a system’s participants control more than 80% of the votes. One could argue that such inequality is not relevant to the network’s security since it is not the small number of participants controlling the majority of the votes but the honesty of these participants that matters. However, such argument is somewhat ﬂawed since it is rather the possibility of cheap specialized hardware appearing rather than the participants’ honesty which poses a threat. To demonstrate this, let us take the following example. Suppose a malevolent individual gains signiﬁcant mining power by creating his own mining farm through the cheap 2 unambiguously traced to a unique origin and ﬁnal recipient. Even if two participants exchange funds in an indirect way, a properly engineered path-ﬁnding method will reveal the origin and ﬁnal recipient. It is also suspected that Bitcoin does not satisfy the second property. Some researchers stated ([33, 35, 29, 31]) that a careful blockchain analysis may reveal a connection between the users of the Bitcoin network and their transactions. Although a number of methods are disputed [25], it is suspected that a lot of hidden personal information can be extracted from the public database. Bitcoin’s failure to satisfy the two properties outlined above leads us to conclude that it is not an anonymous but a pseudo-anonymous electronic cash system. Users were quick to develop solutions to circumvent this shortcoming. Two direct solutions were “laundering services” [2] and the development of distributed methods [3, 4]. Both solutions are based on the idea of mixing several public transactions and sending them through some intermediary address; which in turn suﬀers the drawback of requiring a trusted third party. Recently, a more creative scheme was proposed by I. Miers et al. [28]: “Zerocoin”. Zerocoin utilizes a cryptographic one-way accumulators and zero-knoweldge proofs which permit users to “convert” bitcoins to zerocoins and spend them using anonymous proof of ownership instead of explicit public-key based digital signatures. However, such knowledge proofs have a constant but inconvenient size - about 30kb (based on today’s Bitcoin limits), which makes the proposal impractical. Authors admit that the protocol is unlikely to ever be accepted by the majority of Bitcoin users [5]. 2.2 The proof-of-work function Bitcoin creator Satoshi Nakamoto described the majority decision making algorithm as “oneCPU-one-vote” and used a CPU-bound pricing function (double SHA-256) for his proof-of-work scheme. Since users vote for the single history of transactions order [1], the reasonableness and consistency of this process are critical conditions for the whole system. The security of this model suﬀers from two drawbacks. First, it requires 51% of the network’s mining power to be under the control of honest users. Secondly, the system’s progress (bug ﬁxes, security ﬁxes, etc...) require the overwhelming majority of users to support and agree to the changes (this occurs when the users update their wallet software) [6].Finally this same voting mechanism is also used for collective polls about implementation of some features [7]. This permits us to conjecture the properties that must be satisﬁed by the proof-of-work pricing function. Such function must not enable a network participant to have a signiﬁcant advantage over another participant; it requires a parity between common hardware and high cost of custom devices. From recent examples [8], we can see that the SHA-256 function used in the Bitcoin architecture does not posses this property as mining becomes more eﬃcient on GPUs and ASIC devices when compared to high-end CPUs. Therefore, Bitcoin creates favourable conditions for a large gap between the voting power of participants as it violates the “one-CPU-one-vote” principle since GPU and ASIC owners posses a much larger voting power when compared with CPU owners. It is a classical example of the Pareto principle where 20% of a system’s participants control more than 80% of the votes. One could argue that such inequality is not relevant to the network’s security since it is not the small number of participants controlling the majority of the votes but the honesty of these participants that matters. However, such argument is somewhat ﬂawed since it is rather the possibility of cheap specialized hardware appearing rather than the participants’ honesty which poses a threat. To demonstrate this, let us take the following example. Suppose a malevolent individual gains signiﬁcant mining power by creating his own mining farm through the cheap 2 4 Presumably, if every user helps their own anonymity out by always generating a new address for EVERY received payment (which is absurd but technically the "correct" way to do it), and if every user helped out everyone else’s anonymity by insisting that they never send funds to the same BTC address twice, then Bitcoin would still only circumstantially pass the unlinkability test. Why? Consumer data can be used to ﬁgure an astonishing amount about people all the time. See, for example http://www.applieddatalabs.com/content/target-knows-it-shows Now, imagine this is 20 years in the future and further imagine that Target didn’t just know about your purchase habits at Target, but they had been mining the blockchain for ALL OF YOUR PERSONAL PURCHASES WITH YOUR COINBASE WALLET FOR THE PAST TWELVE YEARS. They’ll be like "hey buddy you might want to pick up some cough medicine tonight, you won’t feel well tomorrow." This may not be the case if multi-party sorting is exploited correctly. See, for example, this blog post: http://blog.ezyang.com/2012/07/secure-multiparty-bitcoin-anonymization/ I’m not totally convinced of the math on that, but ... one paper at a time, right? Citation needed. Whereas the Zerocoin protocol (standalone) may be insuﬃcient, the Zerocash protocol seems to have implemented a 1kb sized transactions. That project is supported by the US and Israeli militaries, of course, so who knows about it’s robustness. On the other hand, no one wants to be able to spend funds without oversight more than the military. http://zerocash-project.org/ I’m not convinced... see, for example, http://fc14.ifca.ai/bitcoin/papers/bitcoin14_submission_12.pdf Quoting a Cryptonote developer Maurice Planck (presumably a pseudonym) from the cryptonote fora: "Zerocoin, Zerocash. This is the most advanced technology, I must admit. Yes, the quote above is from the analysis of the previous version of the protocol. To my knowledge, it’s not 288, but 384 bytes, but anyway this is good news. They used a brand new technic called SNARK, which has certain downsides: for example, large initial database of public parameters required to create a signature (more than 1 GB) and signiﬁcant time required to create a transaction (more than a minute). Finally, they’re using a young crypto, which I’ve mentioned to be an arguable idea: https://forum.cryptonote.org/viewtopic.php?f= " - Maurice P. Thu Apr 03, 2014 7:56 pm A function that is performed in the CPU and is not suitable for GPU, FPGA, or ASIC computation. The "puzzle" used in proof-of-work is referred to as the pricing function, cost function, or puzzle function.

Bitcoin Hạn chế và giải pháp khả thi

2 Bitcoin nhược điểm và một số giải pháp khả thi 2.1 Truy xuất nguồn gốc của các giao dịch Quyền riêng tư và ẩn danh là những khía cạnh quan trọng nhất của tiền điện tử. Thanh toán ngang hàng tìm cách che giấu tầm nhìn của bên thứ ba, một sự khác biệt rõ rệt khi so sánh với truyền thống ngân hàng. Đặc biệt, T. Okamoto và K. Ohta đã mô tả sáu tiêu chí của tiền điện tử lý tưởng, trong đó bao gồm “quyền riêng tư: mối quan hệ giữa người dùng và giao dịch mua hàng của anh ta phải không thể theo dõi được bởi bất kỳ ai” [30]. Từ mô tả của họ, chúng tôi rút ra được hai thuộc tính ẩn danh hoàn toàn mô hình tiền điện tử phải đáp ứng để tuân thủ các yêu cầu do Okamoto nêu ra và Ohta: Không thể theo dõi: đối với mỗi giao dịch đến, tất cả những người gửi có thể đều có khả năng được trang bị. Không thể liên kết: đối với bất kỳ hai giao dịch gửi đi nào cũng không thể chứng minh được chúng đã được gửi đến cùng một người. Thật không may, Bitcoin không đáp ứng yêu cầu không thể theo dõi. Vì tất cả các giao dịch diễn ra giữa những người tham gia mạng đều công khai nên mọi giao dịch đều có thể được 1 CryptoNote v 2.0 Nicolas van Saberhagen Ngày 17 tháng 10 năm 2013 1 Giới thiệu “Bitcoin” [1] đã triển khai thành công khái niệm tiền điện tử p2p. Cả hai các chuyên gia và công chúng nói chung đã đánh giá cao sự kết hợp thuận tiện của giao dịch công khai và proof-of-work làm mô hình tin cậy. Ngày nay, cơ sở người dùng tiền điện tử đang phát triển với tốc độ ổn định; khách hàng bị thu hút bởi mức phí thấp và tính ẩn danh được cung cấp bằng tiền điện tử và người bán đánh giá mức phát thải được dự đoán và phi tập trung của nó. Bitcoin có đã chứng minh một cách hiệu quả rằng tiền điện tử có thể đơn giản như tiền giấy và thuận tiện như thẻ tín dụng. Thật không may, Bitcoin mắc phải một số thiếu sót. Ví dụ: hệ thống được phân phối Bản chất là không linh hoạt, ngăn cản việc triển khai các tính năng mới cho đến khi gần như tất cả người dùng mạng cập nhật ứng dụng khách của họ. Một số lỗi nghiêm trọng không thể khắc phục nhanh chóng sẽ ngăn cản Bitcoin tuyên truyền rộng rãi. Trong những mô hình không linh hoạt như vậy, việc triển khai một dự án mới sẽ hiệu quả hơn thay vì liên tục sửa chữa dự án ban đầu. Trong bài báo này, chúng tôi nghiên cứu và đề xuất giải pháp khắc phục những thiếu sót chính của Bitcoin. Chúng tôi tin rằng một hệ thống có tính đến các giải pháp mà chúng tôi đề xuất sẽ dẫn đến sự cạnh tranh lành mạnh giữa các hệ thống tiền điện tử khác nhau. Chúng tôi cũng đề xuất tiền điện tử của riêng mình, “CryptoNote”, một cái tên nhấn mạnh bước đột phá tiếp theo của tiền điện tử. 2 Bitcoin nhược điểm và một số giải pháp khả thi 2.1 Truy xuất nguồn gốc của các giao dịch Quyền riêng tư và ẩn danh là những khía cạnh quan trọng nhất của tiền điện tử. Thanh toán ngang hàng tìm cách che giấu tầm nhìn của bên thứ ba, một sự khác biệt rõ rệt khi so sánh với truyền thống ngân hàng. Đặc biệt, T. Okamoto và K. Ohta đã mô tả sáu tiêu chí của tiền điện tử lý tưởng, trong đó bao gồm “quyền riêng tư: mối quan hệ giữa người dùng và giao dịch mua hàng của anh ta phải không thể theo dõi được bởi bất kỳ ai” [30]. Từ mô tả của họ, chúng tôi rút ra được hai thuộc tính ẩn danh hoàn toàn mô hình tiền điện tử phải đáp ứng để tuân thủ các yêu cầu do Okamoto nêu ra và Ohta: Không thể theo dõi: đối với mỗi giao dịch đến, tất cả những người gửi có thể đều có khả năng được trang bị. Không thể liên kết: đối với bất kỳ hai giao dịch gửi đi nào cũng không thể chứng minh được chúng đã được gửi đến cùng một người. Thật không may, Bitcoin không đáp ứng yêu cầu không thể theo dõi. Vì tất cả các giao dịch diễn ra giữa những người tham gia mạng đều công khai nên mọi giao dịch đều có thể được 1 3 Bitcoin chắc chắn không đạt được "không thể theo dõi". Khi tôi gửi BTC cho bạn, ví tiền được gửi từ đó được đóng dấu không thể hủy ngang trên blockchain. Không có câu hỏi nào về việc ai đã gửi số tiền đó, bởi vì chỉ người biết khóa riêng mới có thể gửi chúng.được truy tìm rõ ràng về nguồn gốc duy nhất và người nhận cuối cùng. Ngay cả khi hai người tham gia trao đổi vốn theo cách gián tiếp, một phương pháp tìm đường được thiết kế phù hợp sẽ tiết lộ nguồn gốc và người nhận cuối cùng. Người ta cũng nghi ngờ rằng Bitcoin không đáp ứng thuộc tính thứ hai. Một số nhà nghiên cứu đã nêu ([33, 35, 29, 31]) rằng việc phân tích blockchain cẩn thận có thể tiết lộ mối liên hệ giữa người dùng mạng Bitcoin và các giao dịch của họ. Mặc dù một số phương pháp được đang tranh chấp [25], người ta nghi ngờ rằng nhiều thông tin cá nhân ẩn có thể được trích xuất từ cơ sở dữ liệu công cộng. Việc Bitcoin không đáp ứng được hai thuộc tính được nêu ở trên khiến chúng tôi kết luận rằng đó là không phải là một hệ thống tiền điện tử ẩn danh mà là một hệ thống tiền điện tử giả ẩn danh. Người dùng đã nhanh chóng phát triển giải pháp khắc phục nhược điểm này. Hai giải pháp trực tiếp là “dịch vụ rửa tiền” [2] và sự phát triển của các phương pháp phân tán [3, 4]. Cả hai giải pháp đều dựa trên ý tưởng trộn một số giao dịch công khai và gửi chúng qua một số địa chỉ trung gian; đến lượt nó gặp phải nhược điểm là cần có bên thứ ba đáng tin cậy. Gần đây, một kế hoạch sáng tạo hơn đã được đề xuất bởi I. Miers et al. [28]: “Zerocoin”. Zerocoin sử dụng bộ tích lũy một chiều bằng mật mã và bằng chứng không có kiến thức cho phép người dùng “chuyển đổi” bitcoin thành zerocoin và chi tiêu chúng bằng cách sử dụng bằng chứng quyền sở hữu ẩn danh thay vì chữ ký số dựa trên khóa công khai rõ ràng. Tuy nhiên, những bằng chứng tri thức như vậy có một hằng số nhưng kích thước không thuận tiện - khoảng 30kb (dựa trên giới hạn Bitcoin ngày nay), điều này đưa ra đề xuất không thực tế. Các tác giả thừa nhận rằng giao thức này khó có thể được đa số chấp nhận Bitcoin người dùng [5]. 2.2 Hàm proof-of-work Bitcoin người sáng tạo Satoshi Nakamoto đã mô tả thuật toán ra quyết định đa số là “mộtCPU-một phiếu bầu” và sử dụng chức năng định giá giới hạn CPU (gấp đôi SHA-256) cho proof-of-work của mình kế hoạch. Vì người dùng bỏ phiếu cho lịch sử giao dịch duy nhất [1] nên tính hợp lý và tính nhất quán của quá trình này là điều kiện quan trọng cho toàn bộ hệ thống. Tính bảo mật của mô hình này có hai nhược điểm. Đầu tiên, nó yêu cầu 51% dung lượng mạng sức mạnh khai thác nằm dưới sự kiểm soát của người dùng trung thực. Thứ hai, tiến độ của hệ thống (sửa lỗi, sửa lỗi bảo mật, v.v...) yêu cầu đại đa số người dùng phải ủng hộ và đồng ý với thay đổi (điều này xảy ra khi người dùng cập nhật phần mềm ví của họ) [6].Cuối cùng, cuộc bỏ phiếu tương tự này cơ chế này cũng được sử dụng cho các cuộc thăm dò ý kiến tập thể về việc triển khai một số tính năng [7]. Điều này cho phép chúng ta phỏng đoán các tính chất phải được thỏa mãn bởi proof-of-work chức năng định giá. Chức năng như vậy không được cho phép người tham gia mạng có ảnh hưởng đáng kể lợi thế hơn người tham gia khác; nó đòi hỏi sự tương đương giữa phần cứng thông thường và cao chi phí của các thiết bị tùy chỉnh. Từ các ví dụ gần đây [8], chúng ta có thể thấy rằng hàm SHA-256 được sử dụng trong kiến trúc Bitcoin không có thuộc tính này khi việc khai thác trở nên hiệu quả hơn trên GPU và thiết bị ASIC khi so sánh với CPU cao cấp. Vì vậy, Bitcoin tạo điều kiện thuận lợi cho khoảng cách lớn giữa quyền biểu quyết của người tham gia vì nó vi phạm nguyên tắc “một CPU-một phiếu bầu” do chủ sở hữu GPU và ASIC sở hữu quyền biểu quyết lớn hơn nhiều khi so sánh với chủ sở hữu CPU. Đó là một ví dụ cổ điển về Nguyên tắc Pareto trong đó 20% người tham gia hệ thống kiểm soát hơn 80% số phiếu bầu. Người ta có thể lập luận rằng sự bất bình đẳng như vậy không liên quan đến an ninh mạng vì nó không số lượng nhỏ người tham gia kiểm soát đa số phiếu bầu nhưng tính trung thực của những điều này những người tham gia quan trọng. Tuy nhiên, lập luận như vậy có phần sai sót vì nó đúng hơn là khả năng phần cứng chuyên dụng giá rẻ xuất hiện thay vì sự trung thực của người tham gia đặt ra một mối đe dọa. Để chứng minh điều này, chúng ta hãy lấy ví dụ sau. Giả sử có ác tâm cá nhân đạt được sức mạnh khai thác đáng kể bằng cách tạo ra trang trại khai thác của riêng mình thông qua giá rẻ 2 được truy tìm rõ ràng về nguồn gốc duy nhất và người nhận cuối cùng. Ngay cả khi hai người tham gia trao đổi vốn theo cách gián tiếp, một phương pháp tìm đường được thiết kế phù hợp sẽ tiết lộ nguồn gốc và người nhận cuối cùng. Người ta cũng nghi ngờ rằng Bitcoin không đáp ứng thuộc tính thứ hai. Một số nhà nghiên cứu đã nêu ([33, 35, 29, 31]) rằng việc phân tích blockchain cẩn thận có thể tiết lộ mối liên hệ giữa người dùng mạng Bitcoin và các giao dịch của họ. Mặc dù một số phương pháp được dbị tranh cãi [25], người ta nghi ngờ rằng nhiều thông tin cá nhân ẩn có thể được trích xuất từ cơ sở dữ liệu công cộng. Việc Bitcoin không đáp ứng được hai thuộc tính được nêu ở trên khiến chúng tôi kết luận rằng đó là không phải là một hệ thống tiền điện tử ẩn danh mà là một hệ thống tiền điện tử giả ẩn danh. Người dùng đã nhanh chóng phát triển giải pháp khắc phục nhược điểm này. Hai giải pháp trực tiếp là “dịch vụ rửa tiền” [2] và sự phát triển của các phương pháp phân tán [3, 4]. Cả hai giải pháp đều dựa trên ý tưởng trộn một số giao dịch công khai và gửi chúng qua một số địa chỉ trung gian; đến lượt nó gặp phải nhược điểm là cần có bên thứ ba đáng tin cậy. Gần đây, một kế hoạch sáng tạo hơn đã được đề xuất bởi I. Miers et al. [28]: “Zerocoin”. Zerocoin sử dụng bộ tích lũy một chiều bằng mật mã và bằng chứng không có kiến thức cho phép người dùng “chuyển đổi” bitcoin thành zerocoin và chi tiêu chúng bằng cách sử dụng bằng chứng quyền sở hữu ẩn danh thay vì chữ ký số dựa trên khóa công khai rõ ràng. Tuy nhiên, những bằng chứng tri thức như vậy có một hằng số nhưng kích thước bất tiện - khoảng 30kb (dựa trên giới hạn Bitcoin ngày nay), điều này khiến đề xuất không thực tế. Các tác giả thừa nhận rằng giao thức này khó có thể được đa số chấp nhận Bitcoin người dùng [5]. 2.2 Hàm proof-of-work Bitcoin người sáng tạo Satoshi Nakamoto đã mô tả thuật toán ra quyết định đa số là “mộtCPU-một phiếu bầu” và sử dụng chức năng định giá giới hạn CPU (gấp đôi SHA-256) cho proof-of-work của mình kế hoạch. Vì người dùng bỏ phiếu cho lịch sử giao dịch duy nhất [1] nên tính hợp lý và tính nhất quán của quá trình này là điều kiện quan trọng cho toàn bộ hệ thống. Tính bảo mật của mô hình này có hai nhược điểm. Đầu tiên, nó yêu cầu 51% dung lượng mạng sức mạnh khai thác nằm dưới sự kiểm soát của người dùng trung thực. Thứ hai, tiến độ của hệ thống (sửa lỗi, sửa lỗi bảo mật, v.v...) yêu cầu đại đa số người dùng phải ủng hộ và đồng ý với thay đổi (điều này xảy ra khi người dùng cập nhật phần mềm ví của họ) [6].Cuối cùng, cuộc bỏ phiếu tương tự này cơ chế này cũng được sử dụng cho các cuộc thăm dò ý kiến tập thể về việc triển khai một số tính năng [7]. Điều này cho phép chúng ta phỏng đoán các tính chất phải được thỏa mãn bởi proof-of-work chức năng định giá. Chức năng như vậy không được cho phép người tham gia mạng có ảnh hưởng đáng kể lợi thế hơn người tham gia khác; nó đòi hỏi sự tương đương giữa phần cứng thông thường và cao chi phí của các thiết bị tùy chỉnh. Từ các ví dụ gần đây [8], chúng ta có thể thấy rằng hàm SHA-256 được sử dụng trong kiến trúc Bitcoin không có thuộc tính này khi việc khai thác trở nên hiệu quả hơn trên GPU và thiết bị ASIC khi so sánh với CPU cao cấp. Vì vậy, Bitcoin tạo điều kiện thuận lợi cho khoảng cách lớn giữa quyền biểu quyết của người tham gia vì nó vi phạm nguyên tắc “một CPU-một phiếu bầu” do chủ sở hữu GPU và ASIC sở hữu quyền biểu quyết lớn hơn nhiều khi so sánh với chủ sở hữu CPU. Đó là một ví dụ cổ điển về Nguyên tắc Pareto trong đó 20% người tham gia hệ thống kiểm soát hơn 80% số phiếu bầu. Người ta có thể lập luận rằng sự bất bình đẳng như vậy không liên quan đến an ninh mạng vì nó không số lượng nhỏ người tham gia kiểm soát đa số phiếu bầu nhưng tính trung thực của những điều này những người tham gia quan trọng. Tuy nhiên, lập luận như vậy có phần sai sót vì nó đúng hơn là khả năng phần cứng chuyên dụng giá rẻ xuất hiện thay vì sự trung thực của người tham gia đặt ra một mối đe dọa. Để chứng minh điều này, chúng ta hãy lấy ví dụ sau. Giả sử có ác tâm cá nhân đạt được sức mạnh khai thác đáng kể bằng cách tạo ra trang trại khai thác của riêng mình thông qua giá rẻ 2 4 Có lẽ, nếu mỗi người dùng giúp họ ẩn danh bằng cách luôn tạo một địa chỉ mới đối với MỌI khoản thanh toán đã nhận được (điều này thật vô lý nhưng về mặt kỹ thuật là cách "chính xác" để thực hiện), và nếu mọi người dùng giúp đỡ những người khác ẩn danh bằng cách nhấn mạnh rằng họ không bao giờ gửi tiền đến cùng một địa chỉ BTC hai lần, thì Bitcoin vẫn sẽ chỉ tình cờ vượt qua kiểm tra khả năng không liên kết. Tại sao? Dữ liệu người tiêu dùng có thể được sử dụng để tìm hiểu một lượng thông tin đáng kinh ngạc về con người mọi lúc. Hãy xem, ví dụ http://www.applieddatalabs.com/content/target-knows-it-shows Bây giờ, hãy tưởng tượng đây là 20 năm sau và hãy tưởng tượng thêm rằng Target không chỉ biết về thói quen mua hàng của bạn tại Target nhưng họ đã khai thác blockchain cho TẤT CẢ MUA HÀNG CÁ NHÂN CỦA BẠN BẰNG VÍ COINBASE CỦA BẠN TRONG TRƯỚC ĐÂY MƯỜI HAI NĂM. Họ sẽ nói "Này anh bạn, tối nay anh có muốn mua thuốc ho không, anh sẽ không mua đâu." ngày mai sẽ khỏe." Điều này có thể không xảy ra nếu việc sắp xếp theo nhiều bên được khai thác đúng cách. Hãy xem, ví dụ, điều nàybài đăng trên blog: http://blog.ezyang.com/2012/07/secure-multiparty-bitcoin-anonymization/ Tôi không hoàn toàn bị thuyết phục về phép toán trên đó, nhưng ... từng bài một, phải không? Cần trích dẫn. Trong khi giao thức Zerocoin (độc lập) có thể không hiệu quả thì Zerocash giao thức dường như đã thực hiện một giao dịch có kích thước 1kb. Dự án đó được hỗ trợ bởi tất nhiên là quân đội Hoa Kỳ và Israel, vậy nên ai biết được sức mạnh của nó. Mặt khác Mặt khác, không ai muốn có thể chi tiêu mà không có sự giám sát hơn quân đội. http://zerocash-project.org/ Tôi không bị thuyết phục... xem, ví dụ: http://fc14.ifca.ai/bitcoin/papers/bitcoin14_submission_12.pdf Trích dẫn lời của nhà phát triển tiền điện tử Maurice Planck (có lẽ là một bút danh) từ tiền điện tử diễn đàn: "Zerocoin, Zerocash. Tôi phải thừa nhận đây là công nghệ tiên tiến nhất. Vâng, trích dẫn ở trên là từ phân tích phiên bản trước của giao thức. Theo hiểu biết của tôi, nó không phải 288, nhưng 384 byte, nhưng dù sao đây cũng là tin tốt. Họ đã sử dụng một kỹ thuật hoàn toàn mới có tên là SNARK, kỹ thuật này có một số nhược điểm nhất định: ví dụ: cơ sở dữ liệu ban đầu lớn về các tham số công khai cần thiết để tạo chữ ký (hơn 1 GB) và thời gian đáng kể cần thiết để tạo một giao dịch (hơn một phút). Cuối cùng, họ đang sử dụng một tiền điện tử non trẻ, mà tôi đã đề cập là một ý tưởng đáng tranh cãi: https://forum.cryptonote.org/viewtopic.php?f= " - Maurice P. Thu 03/04/2014 7:56 chiều Một chức năng được thực hiện trong CPU và không phù hợp với GPU, FPGA hoặc ASIC tính toán. "Câu đố" được sử dụng trong proof-of-work được gọi là hàm định giá, hàm chi phí hoặc chức năng câu đố.

được truy tìm rõ ràng về nguồn gốc duy nhất và người nhận cuối cùng. Ngay cả khi hai người tham gia trao đổi vốn theo cách gián tiếp, một phương pháp tìm đường được thiết kế phù hợp sẽ tiết lộ nguồn gốc và người nhận cuối cùng. Người ta cũng nghi ngờ rằng Bitcoin không đáp ứng thuộc tính thứ hai. Một số nhà nghiên cứu đã nêu ([33, 35, 29, 31]) rằng việc phân tích blockchain cẩn thận có thể tiết lộ mối liên hệ giữa người dùng mạng Bitcoin và các giao dịch của họ. Mặc dù một số phương pháp được đang tranh chấp [25], người ta nghi ngờ rằng có thể trích xuất nhiều thông tin cá nhân ẩn từ cơ sở dữ liệu công cộng. Việc Bitcoin không thỏa mãn hai thuộc tính được nêu ở trên khiến chúng tôi kết luận rằng đó là không phải là một hệ thống tiền điện tử ẩn danh mà là một hệ thống tiền điện tử giả ẩn danh. Người dùng đã nhanh chóng phát triển giải pháp khắc phục nhược điểm này. Hai giải pháp trực tiếp là “dịch vụ rửa tiền” [2] và sự phát triển của các phương pháp phân tán [3, 4]. Cả hai giải pháp đều dựa trên ý tưởng trộn một số giao dịch công khai và gửi chúng qua một số địa chỉ trung gian; đến lượt nó gặp phải nhược điểm là cần có bên thứ ba đáng tin cậy. Gần đây, một kế hoạch sáng tạo hơn đã được đề xuất bởi I. Miers et al. [28]: “Zerocoin”. Zerocoin sử dụng bộ tích lũy một chiều bằng mật mã và bằng chứng không có kiến thức cho phép người dùng “chuyển đổi” bitcoin thành zerocoin và chi tiêu chúng bằng cách sử dụng bằng chứng quyền sở hữu ẩn danh thay vì chữ ký số dựa trên khóa công khai rõ ràng. Tuy nhiên, những bằng chứng tri thức như vậy có một hằng số nhưng kích thước không thuận tiện - khoảng 30kb (dựa trên giới hạn Bitcoin của ngày hôm nay), điều này đưa ra đề xuất không thực tế. Các tác giả thừa nhận rằng giao thức này khó có thể được đa số chấp nhận Bitcoin người dùng [5]. 2.2 Hàm proof-of-work Bitcoin người sáng tạo Satoshi Nakamoto đã mô tả thuật toán ra quyết định đa số là “mộtCPU-một phiếu bầu” và sử dụng chức năng định giá giới hạn CPU (gấp đôi SHA-256) cho proof-of-work của mình kế hoạch. Vì người dùng bỏ phiếu cho lịch sử giao dịch duy nhất [1] nên tính hợp lý và tính nhất quán của quá trình này là điều kiện quan trọng cho toàn bộ hệ thống. Tính bảo mật của mô hình này có hai nhược điểm. Đầu tiên, nó yêu cầu 51% dung lượng mạng sức mạnh khai thác nằm dưới sự kiểm soát của người dùng trung thực. Thứ hai, tiến độ của hệ thống (sửa lỗi, sửa lỗi bảo mật, v.v...) yêu cầu đại đa số người dùng phải ủng hộ và đồng ý với thay đổi (điều này xảy ra khi người dùng cập nhật phần mềm ví của họ) [6].Cuối cùng, cuộc bỏ phiếu tương tự này cơ chế này cũng được sử dụng cho các cuộc thăm dò ý kiến tập thể về việc triển khai một số tính năng [7]. Điều này cho phép chúng ta phỏng đoán các tính chất phải được thỏa mãn bởi proof-of-work chức năng định giá. Chức năng như vậy không được cho phép người tham gia mạng có ảnh hưởng đáng kể lợi thế hơn người tham gia khác; nó đòi hỏi sự tương đương giữa phần cứng thông thường và cao chi phí của các thiết bị tùy chỉnh. Từ các ví dụ gần đây [8], chúng ta có thể thấy rằng hàm SHA-256 được sử dụng trong kiến trúc Bitcoin không sở hữu thuộc tính này khi việc khai thác trở nên hiệu quả hơn trên GPU và thiết bị ASIC khi so sánh với CPU cao cấp. Vì vậy, Bitcoin tạo điều kiện thuận lợi cho khoảng cách lớn giữa quyền biểu quyết của người tham gia vì nó vi phạm nguyên tắc “một CPU-một phiếu bầu” do chủ sở hữu GPU và ASIC sở hữu quyền biểu quyết lớn hơn nhiều khi so sánh với chủ sở hữu CPU. Đó là một ví dụ cổ điển về Nguyên tắc Pareto trong đó 20% người tham gia hệ thống kiểm soát hơn 80% số phiếu bầu. Người ta có thể lập luận rằng sự bất bình đẳng như vậy không liên quan đến an ninh mạng vì nó không số lượng nhỏ người tham gia kiểm soát đa số phiếu bầu nhưng tính trung thực của những điều này những người tham gia quan trọng. Tuy nhiên, lập luận như vậy có phần sai sót vì nó đúng hơn là khả năng phần cứng chuyên dụng giá rẻ xuất hiện thay vì sự trung thực của người tham gia đặt ra một mối đe dọa. Để chứng minh điều này, chúng ta hãy lấy ví dụ sau. Giả sử có ác tâm cá nhân đạt được sức mạnh khai thác đáng kể bằng cách tạo ra trang trại khai thác của riêng mình thông qua giá rẻ 2 được truy tìm rõ ràng về nguồn gốc duy nhất và người nhận cuối cùng. Ngay cả khi hai người tham gia trao đổi vốn theo cách gián tiếp, một phương pháp tìm đường được thiết kế phù hợp sẽ tiết lộ nguồn gốc và người nhận cuối cùng. Người ta cũng nghi ngờ rằng Bitcoin không đáp ứng thuộc tính thứ hai. Một số nhà nghiên cứu đã nêu ([33, 35, 29, 31]) rằng việc phân tích blockchain cẩn thận có thể tiết lộ mối liên hệ giữa người dùng mạng Bitcoin và các giao dịch của họ. Mặc dù một số phương pháp được dbị tranh cãi [25], người ta nghi ngờ rằng nhiều thông tin cá nhân ẩn có thể được trích xuất từ cơ sở dữ liệu công cộng. Việc Bitcoin không đáp ứng được hai thuộc tính được nêu ở trên khiến chúng tôi kết luận rằng đó là không phải là một hệ thống tiền điện tử ẩn danh mà là một hệ thống tiền điện tử giả ẩn danh. Người dùng đã nhanh chóng phát triển giải pháp khắc phục nhược điểm này. Hai giải pháp trực tiếp là “dịch vụ rửa tiền” [2] và sự phát triển của các phương pháp phân tán [3, 4]. Cả hai giải pháp đều dựa trên ý tưởng trộn một số giao dịch công khai và gửi chúng qua một số địa chỉ trung gian; đến lượt nó gặp phải nhược điểm là cần có bên thứ ba đáng tin cậy. Gần đây, một kế hoạch sáng tạo hơn đã được đề xuất bởi I. Miers et al. [28]: “Zerocoin”. Zerocoin sử dụng bộ tích lũy một chiều bằng mật mã và bằng chứng không có kiến thức cho phép người dùng “chuyển đổi” bitcoin thành zerocoin và chi tiêu chúng bằng cách sử dụng bằng chứng quyền sở hữu ẩn danh thay vì chữ ký số dựa trên khóa công khai rõ ràng. Tuy nhiên, những bằng chứng tri thức như vậy có một hằng số nhưng kích thước bất tiện - khoảng 30kb (dựa trên giới hạn Bitcoin ngày nay), điều này khiến đề xuất không thực tế. Các tác giả thừa nhận rằng giao thức này khó có thể được đa số chấp nhận Bitcoin người dùng [5]. 2.2 Hàm proof-of-work Bitcoin người sáng tạo Satoshi Nakamoto đã mô tả thuật toán ra quyết định theo đa số là “mộtCPU-một phiếu bầu” và sử dụng chức năng định giá giới hạn CPU (gấp đôi SHA-256) cho proof-of-work của mình kế hoạch. Vì người dùng bỏ phiếu cho lịch sử giao dịch duy nhất [1] nên tính hợp lý và tính nhất quán của quá trình này là điều kiện quan trọng cho toàn bộ hệ thống. Tính bảo mật của mô hình này có hai nhược điểm. Đầu tiên, nó yêu cầu 51% dung lượng mạng sức mạnh khai thác nằm dưới sự kiểm soát của người dùng trung thực. Thứ hai, tiến độ của hệ thống (sửa lỗi, sửa lỗi bảo mật, v.v...) yêu cầu đại đa số người dùng phải ủng hộ và đồng ý với thay đổi (điều này xảy ra khi người dùng cập nhật phần mềm ví của họ) [6].Cuối cùng, cuộc bỏ phiếu tương tự này cơ chế này cũng được sử dụng cho các cuộc thăm dò ý kiến tập thể về việc triển khai một số tính năng [7]. Điều này cho phép chúng ta phỏng đoán các tính chất phải được thỏa mãn bởi proof-of-work chức năng định giá. Chức năng như vậy không được cho phép người tham gia mạng có ảnh hưởng đáng kể lợi thế hơn người tham gia khác; nó đòi hỏi sự tương đương giữa phần cứng thông thường và cao chi phí của các thiết bị tùy chỉnh. Từ các ví dụ gần đây [8], chúng ta có thể thấy rằng hàm SHA-256 được sử dụng trong kiến trúc Bitcoin không sở hữu thuộc tính này khi việc khai thác trở nên hiệu quả hơn trên GPU và thiết bị ASIC khi so sánh với CPU cao cấp. Vì vậy, Bitcoin tạo điều kiện thuận lợi cho khoảng cách lớn giữa quyền biểu quyết của người tham gia vì nó vi phạm nguyên tắc “một CPU-một phiếu bầu” do chủ sở hữu GPU và ASIC sở hữu quyền biểu quyết lớn hơn nhiều khi so sánh với chủ sở hữu CPU. Đó là một ví dụ cổ điển về Nguyên tắc Pareto trong đó 20% người tham gia hệ thống kiểm soát hơn 80% số phiếu bầu. Người ta có thể lập luận rằng sự bất bình đẳng như vậy không liên quan đến an ninh mạng vì nó không số lượng nhỏ người tham gia kiểm soát đa số phiếu bầu nhưng tính trung thực của những điều này những người tham gia quan trọng. Tuy nhiên, lập luận như vậy có phần sai sót vì nó đúng hơn là khả năng phần cứng chuyên dụng giá rẻ xuất hiện thay vì sự trung thực của người tham gia đặt ra một mối đe dọa. Để chứng minh điều này, chúng ta hãy lấy ví dụ sau. Giả sử có ác tâm cá nhân đạt được sức mạnh khai thác đáng kể bằng cách tạo ra trang trại khai thác của riêng mình thông qua giá rẻ 2 Bình luận ở trang 2

The CryptoNote Technology

Now that we have covered the limitations of the Bitcoin technology, we will concentrate on presenting the features of CryptoNote.

Công nghệ CryptoNote

Bây giờ chúng ta đã đề cập đến những hạn chế của công nghệ Bitcoin, chúng ta sẽ tập trung vào trình bày các tính năng của CryptoNote.

Untraceable Transactions

In this section we propose a scheme of fully anonymous transactions satisfying both untraceability and unlinkability conditions. An important feature of our solution is its autonomy: the sender is not required to cooperate with other users or a trusted third party to make his transactions; hence each participant produces a cover traﬃc independently. 4.1 Literature review Our scheme relies on the cryptographic primitive called a group signature. First presented by D. Chaum and E. van Heyst [19], it allows a user to sign his message on behalf of the group. After signing the message the user provides (for veriﬁcation purposes) not his own single public 1This is so-called “soft limit” — the reference client restriction for creating new blocks. Hard maximum of possible blocksize was 1 MB 4 them if necessary that causes the main drawbacks. Unfortunately, it is hard to predict when the constants may need to be changed and replacing them may lead to terrible consequences. A good example of a hardcoded limit change leading to disastrous consequences is the block size limit set to 250kb1. This limit was suﬃcient to hold about 10000 standard transactions. In early 2013, this limit had almost been reached and an agreement was reached to increase the limit. The change was implemented in wallet version 0.8 and ended with a 24-blocks chain split and a successful double-spend attack [9]. While the bug was not in the Bitcoin protocol, but rather in the database engine it could have been easily caught by a simple stress test if there was no artiﬁcially introduced block size limit. Constants also act as a form of centralization point. Despite the peer-to-peer nature of Bitcoin, an overwhelming majority of nodes use the oﬃcial reference client [10] developed by a small group of people. This group makes the decision to implement changes to the protocol and most people accept these changes irrespective of their “correctness”. Some decisions caused heated discussions and even calls for boycott [11], which indicates that the community and the developers may disagree on some important points. It therefore seems logical to have a protocol with user-conﬁgurable and self-adjusting variables as a possible way to avoid these problems. 2.5 Bulky scripts The scripting system in Bitcoin is a heavy and complex feature. It potentially allows one to create sophisticated transactions [12], but some of its features are disabled due to security concerns and some have never even been used [13]. The script (including both senders’ and receivers’ parts) for the most popular transaction in Bitcoin looks like this: OP DUP OP HASH160 OP EQUALVERIFY OP CHECKSIG. The script is 164 bytes long whereas its only purpose is to check if the receiver possess the secret key required to verify his signature. 3 The CryptoNote Technology Now that we have covered the limitations of the Bitcoin technology, we will concentrate on presenting the features of CryptoNote. 4 Untraceable Transactions In this section we propose a scheme of fully anonymous transactions satisfying both untraceability and unlinkability conditions. An important feature of our solution is its autonomy: the sender is not required to cooperate with other users or a trusted third party to make his transactions; hence each participant produces a cover traﬃc independently. 4.1 Literature review Our scheme relies on the cryptographic primitive called a group signature. First presented by D. Chaum and E. van Heyst [19], it allows a user to sign his message on behalf of the group. After signing the message the user provides (for veriﬁcation purposes) not his own single public 1This is so-called “soft limit” — the reference client restriction for creating new blocks. Hard maximum of possible blocksize was 1 MB 4 7 In retrospect, it seems to have been a big mistake to make block size a ﬁxed limit in the code. Visa and Mastercard can process thousands, if not hundreds of thousands, of transactions per second. However, transactions come in a stochastic process, sometimes in massive bursts, sometimes being quiet for hours. Think of the volume of bitcoin exchange. Seems like a grand idea to design a system that increases block size dynamically when necessary to accommodate increased transaction traﬃc, and decrease it dynamically when necessary to increase bandwidth eﬃciency. Now, apply that notion to all system parameters. And as long as we’re careful to keep the system from ﬁshtailing out of control, this should work great. https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki As previously mentioned, if variables self-adjust, some controls must be imposed in order to keep the system from proceeding wildly out of control. We’ll get to that. If this were a wikipedia article, it’d be labeled "STUB." Although we are certainly in the section introducing the "Problems of Bitcoin," I would like some elaboration here. Why is 164 bytes unacceptable for a simple "check for secret key" task? How small can they get for a reasonable scripting language? I’m not a computer scientist, though. http://download.springer.com/static/pdf/412/chp%253A10.1007%252F3-540-46416-6_22.pdf?auth66=140 Group signatures, as described, require a group manager. The group manager is capable of revoking the anonymity of any signer. Hence, there is in-built centralization in a group signature scheme.

key, but the keys of all the users of his group. A veriﬁer is convinced that the real signer is a member of the group, but cannot exclusively identify the signer. The original protocol required a trusted third party (called the Group Manager), and he was the only one who could trace the signer. The next version called a ring signature, introduced by Rivest et al. in [34], was an autonomous scheme without Group Manager and anonymity revocation. Various modiﬁcations of this scheme appeared later: linkable ring signature [26, 27, 17] allowed to determine if two signatures were produced by the same group member, traceable ring signature [24, 23] limited excessive anonymity by providing possibility to trace the signer of two messages with respect to the same metainformation (or “tag” in terms of [24]). A similar cryptographic construction is also known as a ad-hoc group signature [16, 38]. It emphasizes the arbitrary group formation, whereas group/ring signature schemes rather imply a ﬁxed set of members. For the most part, our solution is based on the work “Traceable ring signature” by E. Fujisaki and K. Suzuki [24]. In order to distinguish the original algorithm and our modiﬁcation we will call the latter a one-time ring signature, stressing the user’s capability to produce only one valid signature under his private key. We weakened the traceability property and kept the linkability only to provide one-timeness: the public key may appear in many foreign verifying sets and the private key can be used for generating a unique anonymous signature. In case of a double spend attempt these two signatures will be linked together, but revealing the signer is not necessary for our purposes. 4.2 Deﬁnitions 4.2.1 Elliptic curve parameters As our base signature algorithm we chose to use the fast scheme EdDSA, which is developed and implemented by D.J. Bernstein et al. [18]. Like Bitcoin’s ECDSA it is based on the elliptic curve discrete logarithm problem, so our scheme could also be applied to Bitcoin in future. Common parameters are: \(q\): a prime number; \(q = 2^{255} - 19\); \(d\): an element of \(\mathbb{F}_q\); \(d = -121665/121666\); \(E\): an elliptic curve equation; \(-x^2 + y^2 = 1 + dx^2y^2\); \(G\): a base point; \(G = (x, -4/5)\); \(l\): a prime order of the base point; \(l = 2^{252} + 27742317777372353535851937790883648493\); \(H_s\): a cryptographic hash function \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): a deterministic hash function \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminology Enhanced privacy requires a new terminology which should not be confused with Bitcoin entities. private ec-key is a standard elliptic curve private key: a number \(a \in [1, l - 1]\); public ec-key is a standard elliptic curve public key: a point \(A = aG\); one-time keypair is a pair of private and public ec-keys; 5 key, but the keys of all the users of his group. A veriﬁer is convinced that the real signer is a member of the group, but cannot exclusively identify the signer. The original protocol required a trusted third party (called the Group Manager), and he was the only one who could trace the signer. The next version called a ring signature, introduced by Rivest et al. in [34], was an autonomous scheme without Group Manager and anonymity revocation. Various modiﬁcations of this scheme appeared later: linkable ring signature [26, 27, 17] allowed to determine if two signatures were produced by the same group member, traceable ring signature [24, 23] limited excessive anonymity by providing possibility to trace the signer of two messages with respect to the same metainformation (or “tag” in terms of [24]). A similar cryptographic construction is also known as a ad-hoc group signature [16, 38]. It emphasizes the arbitrary group formation, whereas group/ring signature schemes rather imply a ﬁxed set of members. For the most part, our solution is based on the work “Traceable ring signature” by E. Fujisaki and K. Suzuki [24]. In order to distinguish the original algorithm and our modiﬁcation we will call the latter a one-time ring signature, stressing the user’s capability to produce only one valid signature under his private key. We weakened the traceability property and kept the linkability only to provide one-timeness: the public key may appear in many foreign verifying sets and the private key can be used for generating a unique anonymous signature. In case of a double spend attempt these two signatures will be linked together, but revealing the signer is not necessary for our purposes. 4.2 Deﬁnitions 4.2.1 Elliptic curve parameters As our base signature algorithm we chose to use the fast scheme EdDSA, which is developed and implemented by D.J. Bernstein et al. [18]. Like Bitcoin’s ECDSA it is based on the elliptic curve discrete logarithm problem, so our scheme could also be applied to Bitcoin in future. Common parameters are: \(q\): a prime number; \(q = 2^{255} - 19\); \(d\): an element of \(\mathbb{F}_q\); \(d = -121665/121666\); \(E\): an elliptic curve equation; \(-x^2 + y^2 = 1 + dx^2y^2\); \(G\): a base point; \(G = (x, -4/5)\); \(l\): a prime order of the base point; \(l = 2^{252} + 27742317777372353535851937790883648493\); \(H_s\): a cryptographic hash function \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): a deterministic hash function \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminology Enhanced privacy requires a new terminology which should not be confused with Bitcoin entities. private ec-key is a standard elliptic curve private key: a number \(a \in [1, l - 1]\); public ec-key is a standard elliptic curve public key: a point \(A = aG\); one-time keypair is a pair of private and public ec-keys; 5 8 A ring signature works like this: Alex wants to leak a message to WikiLeaks about her employer. Every employee in her Company has a private/public key pair (Ri, Ui). She composes her signature with input set as her message, m, her private key, Ri, and EVERYBODY’s public keys, (Ui;i=1...n). Anyone (without knowing any private keys) can verify easily that some pair (Rj, Uj) must have been used to construct the signature... someone who works for Alex’s employer... but it’s essentially a random guess to ﬁgure out which one it could be. http://en.wikipedia.org/wiki/Ring_signature#Crypto-currencies http://link.springer.com/chapter/10.1007/3-540-45682-1_32#page-1 http://link.springer.com/chapter/10.1007/11424826_65 http://link.springer.com/chapter/10.1007/978-3-540-27800-9_28 http://link.springer.com/chapter/10.1007%2F11774716_9 Notice that a linkable ring signature described here is kind of the opposite of "unlinkable" described above. Here, we intercept two messages, and we can determine whether the same party sent them, although we should still be unable to determine who that party is. The deﬁnition of "unlinkable" used to construct Cryptonote means we cannot determine whether the same party is receiving them. Hence, what we really have here is FOUR things going on. A system can be linkable or non-linkable, depending on whether or not it’s possible to determine whether the sender of two messages are the same (regardless of whether this requires revoking anonymity). And a system can be unlinkable or non-unlinkable, depending on whether or not it’s possible to determine whether the receiver of two messages are the same (regardless of whether or not this requires revoking anonymity). Please don’t blame me for this terrible terminology. Graph theorists should probably be pleased. Some of you may be more comfortable with "receiver linkable" versus "sender linkable." http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 When I read this, this seemed like a silly feature. Then I read that it may be a feature for electronic voting, and that seemed to make sense. Kinda cool, from that perspective. But I’m not totally sure about purposely implementing traceable ring signatures. http://search.ieice.org/bin/summary.php?id=e95-a_1_151

key, but the keys of all the users of his group. A veriﬁer is convinced that the real signer is a member of the group, but cannot exclusively identify the signer. The original protocol required a trusted third party (called the Group Manager), and he was the only one who could trace the signer. The next version called a ring signature, introduced by Rivest et al. in [34], was an autonomous scheme without Group Manager and anonymity revocation. Various modiﬁcations of this scheme appeared later: linkable ring signature [26, 27, 17] allowed to determine if two signatures were produced by the same group member, traceable ring signature [24, 23] limited excessive anonymity by providing possibility to trace the signer of two messages with respect to the same metainformation (or “tag” in terms of [24]). A similar cryptographic construction is also known as a ad-hoc group signature [16, 38]. It emphasizes the arbitrary group formation, whereas group/ring signature schemes rather imply a ﬁxed set of members. For the most part, our solution is based on the work “Traceable ring signature” by E. Fujisaki and K. Suzuki [24]. In order to distinguish the original algorithm and our modiﬁcation we will call the latter a one-time ring signature, stressing the user’s capability to produce only one valid signature under his private key. We weakened the traceability property and kept the linkability only to provide one-timeness: the public key may appear in many foreign verifying sets and the private key can be used for generating a unique anonymous signature. In case of a double spend attempt these two signatures will be linked together, but revealing the signer is not necessary for our purposes. 4.2 Deﬁnitions 4.2.1 Elliptic curve parameters As our base signature algorithm we chose to use the fast scheme EdDSA, which is developed and implemented by D.J. Bernstein et al. [18]. Like Bitcoin’s ECDSA it is based on the elliptic curve discrete logarithm problem, so our scheme could also be applied to Bitcoin in future. Common parameters are: \(q\): a prime number; \(q = 2^{255} - 19\); \(d\): an element of \(\mathbb{F}_q\); \(d = -121665/121666\); \(E\): an elliptic curve equation; \(-x^2 + y^2 = 1 + dx^2y^2\); \(G\): a base point; \(G = (x, -4/5)\); \(l\): a prime order of the base point; \(l = 2^{252} + 27742317777372353535851937790883648493\); \(H_s\): a cryptographic hash function \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): a deterministic hash function \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminology Enhanced privacy requires a new terminology which should not be confused with Bitcoin entities. private ec-key is a standard elliptic curve private key: a number \(a \in [1, l - 1]\); public ec-key is a standard elliptic curve public key: a point \(A = aG\); one-time keypair is a pair of private and public ec-keys; 5 key, but the keys of all the users of his group. A veriﬁer is convinced that the real signer is a member of the group, but cannot exclusively identify the signer. The original protocol required a trusted third party (called the Group Manager), and he was the only one who could trace the signer. The next version called a ring signature, introduced by Rivest et al. in [34], was an autonomous scheme without Group Manager and anonymity revocation. Various modiﬁcations of this scheme appeared later: linkable ring signature [26, 27, 17] allowed to determine if two signatures were produced by the same group member, traceable ring signature [24, 23] limited excessive anonymity by providing possibility to trace the signer of two messages with respect to the same metainformation (or “tag” in terms of [24]). A similar cryptographic construction is also known as a ad-hoc group signature [16, 38]. It emphasizes the arbitrary group formation, whereas group/ring signature schemes rather imply a ﬁxed set of members. For the most part, our solution is based on the work “Traceable ring signature” by E. Fujisaki and K. Suzuki [24]. In order to distinguish the original algorithm and our modiﬁcation we will call the latter a one-time ring signature, stressing the user’s capability to produce only one valid signature under his private key. We weakened the traceability property and kept the linkability only to provide one-timeness: the public key may appear in many foreign verifying sets and the private key can be used for generating a unique anonymous signature. In case of a double spend attempt these two signatures will be linked together, but revealing the signer is not necessary for our purposes. 4.2 Deﬁnitions 4.2.1 Elliptic curve parameters As our base signature algorithm we chose to use the fast scheme EdDSA, which is developed and implemented by D.J. Bernstein et al. [18]. Like Bitcoin’s ECDSA it is based on the elliptic curve discrete logarithm problem, so our scheme could also be applied to Bitcoin in future. Common parameters are: \(q\): a prime number; \(q = 2^{255} - 19\); \(d\): an element of \(\mathbb{F}_q\); \(d = -121665/121666\); \(E\): an elliptic curve equation; \(-x^2 + y^2 = 1 + dx^2y^2\); \(G\): a base point; \(G = (x, -4/5)\); \(l\): a prime order of the base point; \(l = 2^{252} + 27742317777372353535851937790883648493\); \(H_s\): a cryptographic hash function \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): a deterministic hash function \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminology Enhanced privacy requires a new terminology which should not be confused with Bitcoin entities. private ec-key is a standard elliptic curve private key: a number \(a \in [1, l - 1]\); public ec-key is a standard elliptic curve public key: a point \(A = aG\); one-time keypair is a pair of private and public ec-keys; 5 9 Gosh, the author of this whitepaper sure could have worded this better! Let’s say that an employee-owned company wants to take a vote on whether or not to acquire certain new assets, and Alex and Brenda are both employees. The Company provides each employee a message like "I vote yes on Proposition A!" which has the metainformation "issue" [PROP A] and asks them to sign it with a traceable ring signature if they support the proposition. Using a traditional ring signature, a dishonest employee can sign the message multiple times, presumably with diﬀerent nonces, in order to vote as many times as they like. On the other hand, in a traceable ring signature scheme, Alex will go to vote, and her private key will have been used on the issue [PROP A]. If Alex tries to sign a message like "I, Brenda, approve of proposition A!" to "frame" Brenda and double vote, this new message will also have the issue [PROP A]. Since Alex’s private key has already tripped the [PROP A] issue, Alex’s identity will be immediately revealed as a fraud. Which, face it, is pretty cool! Cryptography enforced voting equality. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 This paper is interesting, essentially creating an ad-hoc ring signature but without any of the other participant’s consent. The structure of the signature may be diﬀerent; I haven’t dug deep, and I haven’t seen whether it’s secure. https://people.csail.mit.edu/rivest/AdidaHohenbergerRivest-AdHocGroupSignaturesFromHijackedKeypai Ad-hoc group signatures are: ring signatures, which are group signatures with no group managers, no centralization, but allows a member in an ad-hoc group to provably claim that it has (not) issued the anonymous signature on behalf of the group. http://link.springer.com/chapter/10.1007/11908739_9 This isn’t quite correct, from my understanding. And my understanding will likely change as I get deeper into this project. But from my understanding, the hierarchy looks like this. Group sigs: group managers control traceability and the ability of adding or removing members from being signers. Ring sigs: Arbitrary group formation without a group manager. No anonymity revocation. No way to repudiate oneself from a particular signature. With traceable and linkable ring signatures, anonymity is somewhat scaleable. Ad-hoc group signatures: like ring signatures, but members can prove that they did not create a particular signature. This is important when anyone in a group can produce a signature. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Fujisaki and Suzuki’s algorithm is tweaked later by the author to provide one-time-ness. So we will analyze Fujisaki and Suzuki’s algorithm concurrently with the new algorithm rather than going over it here.

key, but the keys of all the users of his group. A veriﬁer is convinced that the real signer is a member of the group, but cannot exclusively identify the signer. The original protocol required a trusted third party (called the Group Manager), and he was the only one who could trace the signer. The next version called a ring signature, introduced by Rivest et al. in [34], was an autonomous scheme without Group Manager and anonymity revocation. Various modiﬁcations of this scheme appeared later: linkable ring signature [26, 27, 17] allowed to determine if two signatures were produced by the same group member, traceable ring signature [24, 23] limited excessive anonymity by providing possibility to trace the signer of two messages with respect to the same metainformation (or “tag” in terms of [24]). A similar cryptographic construction is also known as a ad-hoc group signature [16, 38]. It emphasizes the arbitrary group formation, whereas group/ring signature schemes rather imply a ﬁxed set of members. For the most part, our solution is based on the work “Traceable ring signature” by E. Fujisaki and K. Suzuki [24]. In order to distinguish the original algorithm and our modiﬁcation we will call the latter a one-time ring signature, stressing the user’s capability to produce only one valid signature under his private key. We weakened the traceability property and kept the linkability only to provide one-timeness: the public key may appear in many foreign verifying sets and the private key can be used for generating a unique anonymous signature. In case of a double spend attempt these two signatures will be linked together, but revealing the signer is not necessary for our purposes. 4.2 Deﬁnitions 4.2.1 Elliptic curve parameters As our base signature algorithm we chose to use the fast scheme EdDSA, which is developed and implemented by D.J. Bernstein et al. [18]. Like Bitcoin’s ECDSA it is based on the elliptic curve discrete logarithm problem, so our scheme could also be applied to Bitcoin in future. Common parameters are: \(q\): a prime number; \(q = 2^{255} - 19\); \(d\): an element of \(\mathbb{F}_q\); \(d = -121665/121666\); \(E\): an elliptic curve equation; \(-x^2 + y^2 = 1 + dx^2y^2\); \(G\): a base point; \(G = (x, -4/5)\); \(l\): a prime order of the base point; \(l = 2^{252} + 27742317777372353535851937790883648493\); \(H_s\): a cryptographic hash function \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): a deterministic hash function \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminology Enhanced privacy requires a new terminology which should not be confused with Bitcoin entities. private ec-key is a standard elliptic curve private key: a number \(a \in [1, l - 1]\); public ec-key is a standard elliptic curve public key: a point \(A = aG\); one-time keypair is a pair of private and public ec-keys; 5 key, but the keys of all the users of his group. A veriﬁer is convinced that the real signer is a member of the group, but cannot exclusively identify the signer. The original protocol required a trusted third party (called the Group Manager), and he was the only one who could trace the signer. The next version called a ring signature, introduced by Rivest et al. in [34], was an autonomous scheme without Group Manager and anonymity revocation. Various modiﬁcations of this scheme appeared later: linkable ring signature [26, 27, 17] allowed to determine if two signatures were produced by the same group member, traceable ring signature [24, 23] limited excessive anonymity by providing possibility to trace the signer of two messages with respect to the same metainformation (or “tag” in terms of [24]). A similar cryptographic construction is also known as a ad-hoc group signature [16, 38]. It emphasizes the arbitrary group formation, whereas group/ring signature schemes rather imply a ﬁxed set of members. For the most part, our solution is based on the work “Traceable ring signature” by E. Fujisaki and K. Suzuki [24]. In order to distinguish the original algorithm and our modiﬁcation we will call the latter a one-time ring signature, stressing the user’s capability to produce only one valid signature under his private key. We weakened the traceability property and kept the linkability only to provide one-timeness: the public key may appear in many foreign verifying sets and the private key can be used for generating a unique anonymous signature. In case of a double spend attempt these two signatures will be linked together, but revealing the signer is not necessary for our purposes. 4.2 Deﬁnitions 4.2.1 Elliptic curve parameters As our base signature algorithm we chose to use the fast scheme EdDSA, which is developed and implemented by D.J. Bernstein et al. [18]. Like Bitcoin’s ECDSA it is based on the elliptic curve discrete logarithm problem, so our scheme could also be applied to Bitcoin in future. Common parameters are: \(q\): a prime number; \(q = 2^{255} - 19\); \(d\): an element of \(\mathbb{F}_q\); \(d = -121665/121666\); \(E\): an elliptic curve equation; \(-x^2 + y^2 = 1 + dx^2y^2\); \(G\): a base point; \(G = (x, -4/5)\); \(l\): a prime order of the base point; \(l = 2^{252} + 27742317777372353535851937790883648493\); \(H_s\): a cryptographic hash function \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): a deterministic hash function \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Terminology Enhanced privacy requires a new terminology which should not be confused with Bitcoin entities. private ec-key is a standard elliptic curve private key: a number \(a \in [1, l - 1]\); public ec-key is a standard elliptic curve public key: a point \(A = aG\); one-time keypair is a pair of private and public ec-keys; 5 10 Linkability in the sense of "linkable ring signatures" means we can tell if two outgoing transactions came from the same source without revealing who the source is. The authors weakened linkability so as to (a) preserve privacy, but still (b) spot any transaction using a private key a second time as invalid. Okay, so this is an order-of-events question. Consider the following scenario. My mining computer will have the current blockchain, it will have it’s own block of transactions it calls legitimate, it will be working on that block in a proof-of-work puzzle, and it will have a list of pending transactions to be added to the next block. It will also be sending any new transactions into that pool of pending transactions. If I do not solve the next block, but someone else does, I get an updated copy of the blockchain. The block I was working on and my list of pending transactions both may have some transactions that are now incorporated into the blockchain. Unravel my pending block, combine that with my list of pending transactions, and call that my pool of pending transactions. Remove any that are now oﬃcially in the blockchain. Now, what do I do? Should I ﬁrst go through and "remove all double-spends"? On the other hand, should I search through the list and make sure that each private key has not yet been used, and if it has been used already in my list, then I received the ﬁrst copy ﬁrst, and hence any further copy is illegitimate. Thus I proceed to simply delete all instances after the ﬁrst of the the same private key. Algebraic geometry has never been my strong suit. http://en.wikipedia.org/wiki/EdDSA Such speed, much wow. THIS is algebraic geometry for the win. Not that I’d know anything about that. Problematically, or not, discrete logs are getting very fast. And quantum computers eat them for breakfast. http://link.springer.com/article/10.1007/s13389-012-0027-1 This becomes a really important number, but there is no explanation or citation to how it was chosen. Simply choosing a single known large prime would be ﬁne, but if there are known facts about this large prime, that could inﬂuence our choice. Diﬀerent variants of cryptonote could choose diﬀerent values of ell, but there is no discussion in this paper about how that choice will aﬀect our choices of other global parameters listed on page 5. This paper needs a section on choosing parameter values.

private user key is a pair \((a, b)\) of two diﬀerent private ec-keys; tracking key is a pair \((a, B)\) of private and public ec-key (where \(B = bG\) and \(a \neq b\)); public user key is a pair \((A, B)\) of two public ec-keys derived from \((a, b)\); standard address is a representation of a public user key given into human friendly string with error correction; truncated address is a representation of the second half (point \(B\)) of a public user key given into human friendly string with error correction. The transaction structure remains similar to the structure in Bitcoin: every user can choose several independent incoming payments (transactions outputs), sign them with the corresponding private keys and send them to diﬀerent destinations. Contrary to Bitcoin’s model, where a user possesses unique private and public key, in the proposed model a sender generates a one-time public key based on the recipient’s address and some random data. In this sense, an incoming transaction for the same recipient is sent to a one-time public key (not directly to a unique address) and only the recipient can recover the corresponding private part to redeem his funds (using his unique private key). The recipient can spend the funds using a ring signature, keeping his ownership and actual spending anonymous. The details of the protocol are explained in the next subsections. 4.3 Unlinkable payments Classic Bitcoin addresses, once being published, become unambiguous identiﬁer for incoming payments, linking them together and tying to the recipient’s pseudonyms. If someone wants to receive an “untied” transaction, he should convey his address to the sender by a private channel. If he wants to receive diﬀerent transactions which cannot be proven to belong to the same owner he should generate all the diﬀerent addresses and never publish them in his own pseudonym. Public Private Alice Carol Bob’s addr 1 Bob’s addr 2 Bob’s key 1 Bob’s key 2 Bob Fig. 2. Traditional Bitcoin keys/transactions model. We propose a solution allowing a user to publish a single address and receive unconditional unlinkable payments. The destination of each CryptoNote output (by default) is a public key, derived from recipient’s address and sender’s random data. The main advantage against Bitcoin is that every destination key is unique by default (unless the sender uses the same data for each of his transactions to the same recipient). Hence, there is no such issue as “address reuse” by design and no observer can determine if any transactions were sent to a speciﬁc address or link two addresses together. 6 private user key is a pair \((a, b)\) of two diﬀerent private ec-keys; tracking key is a pair \((a, B)\) of private and public ec-key (where \(B = bG\) and \(a \neq b\)); public user key is a pair \((A, B)\) of two public ec-keys derived from \((a, b)\); standard address is a representation of a public user key given into human friendly string with error correction; truncated address is a representation of the second half (point \(B\)) of a public user key given into human friendly string with error correction. The transaction structure remains similar to the structure in Bitcoin: every user can choose several independent incoming payments (transactions outputs), sign them with the corresponding private keys and send them to diﬀerent destinations. Contrary to Bitcoin’s model, where a user possesses unique private and public key, in the proposed model a sender generates a one-time public key based on the recipient’s address and some random data. In this sense, an incoming transaction for the same recipient is sent to a one-time public key (not directly to a unique address) and only the recipient can recover the corresponding private part to redeem his funds (using his unique private key). The recipient can spend the funds using a ring signature, keeping his ownership and actual spending anonymous. The details of the protocol are explained in the next subsections. 4.3 Unlinkable payments Classic Bitcoin addresses, once being published, become unambiguous identiﬁer for incoming payments, linking them together and tying to the recipient’s pseudonyms. If someone wants to receive an “untied” transaction, he should convey his address to the sender by a private channel. If he wants to receive diﬀerent transactions which cannot be proven to belong to the same owner he should generate all the diﬀerent addresses and never publish them in his own pseudonym. Public Private Alice Carol Bob’s addr 1 Bob’s addr 2 Bob’s key 1 Bob’s key 2 Bob Fig. 2. Traditional Bitcoin keys/transactions model. We propose a solution allowing a user to publish a single address and receive unconditional unlinkable payments. The destination of each CryptoNote output (by default) is a public key, derived from recipient’s address and sender’s random data. The main advantage against Bitcoin is that every destination key is unique by default (unless the sender uses the same data for each of his transactions to the same recipient). Hence, there is no such issue as “address reuse” by design and no observer can determine if any transactions were sent to a speciﬁc address or link two addresses together. 6 11 So this is like Bitcoin, but with inﬁnite, anonymous PO Boxes, redeemable only by the receiver generating a private key that is as anonymous as a ring signature can be. Bitcoin works this way. If Alex has 0.112 Bitcoin in her wallet she just received from Frank, she really has a signed message "I, [FRANK], send 0.112 Bitcoin to [alex] + H0 + N0" where 1) Frank has signed the message with his private key [FRANK], 2) Frank has signed the message with Alex’s public key, [alex], 3) Frank has included some form of the history of the bitcoin, H0, and 4) Frank includes a random bit of data called the nonce, N0. If Alex then wants to send 0.011 Bitcoin to Charlene, she will take Frank’s message, and she will set that to H1, and sign two messages: one for her transaction, and one for the change. H1= "I, [FRANK], send 0.112 Bitcoin to [alex] + H0 + N" "I, [ALEX], send 0.011 Bitcoin to [charlene] + H1 + N1" "I, [ALEX], send 0.101 Bitcoin as change to [alex] + H1 + N2." where Alex signs both messages with her private key [ALEX], the ﬁrst message with Charlene’s public key [charlene], the second message with Alex’s public key [alex], and including the histories and some randomly generated nonces N1 and N2 appropriately. Cryptonote works this way: If Alex has 0.112 Cryptonote in her wallet she just received from Frank, she really has a signed message "I, [someone in an ad-hoc group], send 0.112 Cryptonote to [a one-time address] + H0 + N0." Alex discovered that this was her money by checking her private key [ALEX] against [a one-time address] for every passing message, and if she wishes to spend it she does so in the following way. She chooses a recipient of the money, perhaps Charlene has started voting for drone-strikes so Alex wants to send money to Brenda instead. So Alex looks up Brenda’s public key, [brenda], and uses her own private key, [ALEX], to generate a one-time address [ALEX+brenda]. She then chooses an arbitrary collection C from the network of cryptonote users and she constructs a ring signature from this ad-hoc group. We set our history as the previous message, add nonces, and proceed as usual? H1 = "I, [someone in an ad-hoc group], send 0.112 Cryptonote to [a one-time address] + H0 + N0." "I, [someone in the collection C], send 0.011 Cryptonote to [one-time-address-made-fromALEX+brenda] + H1 + N1" "I, [someone in the collection C], send 0.101 Cryptonote as change to [one-time-address-madefrom-ALEX+alex] + H1 + N2" Now, Alex and Brenda both scan all incoming messages for any one-time-addresses that were created using their key. If they ﬁnd any, then that message is their very own brand new cryptonote! And even then, the transaction will still hit the blockchain. If the coins entering that address are known to be sent from criminals, political contributors, or from committees and accounts with strict budgets (i.e. embezzling), or if the new owner of these coins ever makes a mistake and sends these coins to a common address with coins he is known to own, the anonymity jig is up in bitcoin.

private user key is a pair \((a, b)\) of two diﬀerent private ec-keys; tracking key is a pair \((a, B)\) of private and public ec-key (where \(B = bG\) and \(a \neq b\)); public user key is a pair \((A, B)\) of two public ec-keys derived from \((a, b)\); standard address is a representation of a public user key given into human friendly string with error correction; truncated address is a representation of the second half (point \(B\)) of a public user key given into human friendly string with error correction. The transaction structure remains similar to the structure in Bitcoin: every user can choose several independent incoming payments (transactions outputs), sign them with the corresponding private keys and send them to diﬀerent destinations. Contrary to Bitcoin’s model, where a user possesses unique private and public key, in the proposed model a sender generates a one-time public key based on the recipient’s address and some random data. In this sense, an incoming transaction for the same recipient is sent to a one-time public key (not directly to a unique address) and only the recipient can recover the corresponding private part to redeem his funds (using his unique private key). The recipient can spend the funds using a ring signature, keeping his ownership and actual spending anonymous. The details of the protocol are explained in the next subsections. 4.3 Unlinkable payments Classic Bitcoin addresses, once being published, become unambiguous identiﬁer for incoming payments, linking them together and tying to the recipient’s pseudonyms. If someone wants to receive an “untied” transaction, he should convey his address to the sender by a private channel. If he wants to receive diﬀerent transactions which cannot be proven to belong to the same owner he should generate all the diﬀerent addresses and never publish them in his own pseudonym. Public Private Alice Carol Bob’s addr 1 Bob’s addr 2 Bob’s key 1 Bob’s key 2 Bob Fig. 2. Traditional Bitcoin keys/transactions model. We propose a solution allowing a user to publish a single address and receive unconditional unlinkable payments. The destination of each CryptoNote output (by default) is a public key, derived from recipient’s address and sender’s random data. The main advantage against Bitcoin is that every destination key is unique by default (unless the sender uses the same data for each of his transactions to the same recipient). Hence, there is no such issue as “address reuse” by design and no observer can determine if any transactions were sent to a speciﬁc address or link two addresses together. 6 private user key is a pair \((a, b)\) of two diﬀerent private ec-keys; tracking key is a pair \((a, B)\) of private and public ec-key (where \(B = bG\) and \(a \neq b\)); public user key is a pair \((A, B)\) of two public ec-keys derived from \((a, b)\); standard address is a representation of a public user key given into human friendly string with error correction; truncated address is a representation of the second half (point \(B\)) of a public user key given into human friendly string with error correction. The transaction structure remains similar to the structure in Bitcoin: every user can choose several independent incoming payments (transactions outputs), sign them with the corresponding private keys and send them to diﬀerent destinations. Contrary to Bitcoin’s model, where a user possesses unique private and public key, in the proposed model a sender generates a one-time public key based on the recipient’s address and some random data. In this sense, an incoming transaction for the same recipient is sent to a one-time public key (not directly to a unique address) and only the recipient can recover the corresponding private part to redeem his funds (using his unique private key). The recipient can spend the funds using a ring signature, keeping his ownership and actual spending anonymous. The details of the protocol are explained in the next subsections. 4.3 Unlinkable payments Classic Bitcoin addresses, once being published, become unambiguous identiﬁer for incoming payments, linking them together and tying to the recipient’s pseudonyms. If someone wants to receive an “untied” transaction, he should convey his address to the sender by a private channel. If he wants to receive diﬀerent transactions which cannot be proven to belong to the same owner he should generate all the diﬀerent addresses and never publish them in his own pseudonym. Public Private Alice Carol Bob’s addr 1 Bob’s addr 2 Bob’s key 1 Bob’s key 2 Bob Fig. 2. Traditional Bitcoin keys/transactions model. We propose a solution allowing a user to publish a single address and receive unconditional unlinkable payments. The destination of each CryptoNote output (by default) is a public key, derived from recipient’s address and sender’s random data. The main advantage against Bitcoin is that every destination key is unique by default (unless the sender uses the same data for each of his transactions to the same recipient). Hence, there is no such issue as “address reuse” by design and no observer can determine if any transactions were sent to a speciﬁc address or link two addresses together. 6 12 Hence, rather than users sending coins from address (which is really a public key) to address (another public key) using their private keys, users are sending coins from one-time PO-box (which is generating using your friends public key) to one-time PO-box (similarly) using your own private keys. In a sense, we’re saying "Okay, everyone take your hands oﬀthe money while it’s being transferred around! It’s simply enough to know that our keys can open that box and that we know how much money is in the box. Never put your ﬁngerprints on the PO Box or actually use it, just trade the box ﬁlled with cash itself. That way we don’t know who sent what, but the contents of these public addresses are still frictionless, fungible, divisible, and still possess all the other nice qualities of money we desire like bitcoin." An inﬁnite set of PO boxes. You publish an address, I have a private key. I use my private key and your address, and some random data, to generate a public key. The algorithm is designed such that, since your address was used to generate the public key, only YOUR private key works to unlock the message. An observer, Eve, sees you publish your address, and sees the public key I announce. However, she doesn’t know if I announced my public key based on your address or hers, or Brenda’s or Charlene’s, or whoever’s. She checks her private key against the public key I announced and sees it doesn’t work; it isn’t her money. She doens’t know anyone else’s private key, and only the recipient of the message has the private key that can unlock the message. So no one listening in can determine who received the money much less take the money.

Public Private Alice Carol One-time key One-time key One-time key Bob Bob’s Key Bob’s Address Fig. 3. CryptoNote keys/transactions model. First, the sender performs a Diﬃe-Hellman exchange to get a shared secret from his data and half of the recipient’s address. Then he computes a one-time destination key, using the shared secret and the second half of the address. Two diﬀerent ec-keys are required from the recipient for these two steps, so a standard CryptoNote address is nearly twice as large as a Bitcoin wallet address. The receiver also performs a Diﬃe-Hellman exchange to recover the corresponding secret key. A standard transaction sequence goes as follows: 1. Alice wants to send a payment to Bob, who has published his standard address. She unpacks the address and gets Bob’s public key \((A, B)\). 2. Alice generates a random \(r \in [1, l-1]\) and computes a one-time public key \(P = H_s(rA)G + B\). 3. Alice uses \(P\) as a destination key for the output and also packs value \(R = rG\) (as a part of the Diﬃe-Hellman exchange) somewhere into the transaction. Note that she can create other outputs with unique public keys: diﬀerent recipients’ keys \((A_i, B_i)\) imply diﬀerent \(P_i\) even with the same \(r\). Transaction Tx public key Tx output Amount Destination key \(R = rG\) \(P = H_s(rA)G + B\) Receiver’s public key Sender’s random data \(r\) \((A, B)\) Fig. 4. Standard transaction structure. 4. Alice sends the transaction. 5. Bob checks every passing transaction with his private key \((a, b)\), and computes \(P' = H_s(aR)G + B\). If Alice’s transaction for with Bob as the recipient was among them, then \(aR = arG = rA\) and \(P' = P\). 7 Public Private Alice Carol One-time key One-time key One-time key Bob Bob’s Key Bob’s Address Fig. 3. CryptoNote keys/transactions model. First, the sender performs a Diﬃe-Hellman exchange to get a shared secret from his data and half of the recipient’s address. Then he computes a one-time destination key, using the shared secret and the second half of the address. Two diﬀerent ec-keys are required from the recipient for these two steps, so a standard CryptoNote address is nearly twice as large as a Bitcoin wallet address. The receiver also performs a Diﬃe-Hellman exchange to recover the corresponding secret key. A standard transaction sequence goes as follows: 1. Alice wants to send a payment to Bob, who has published his standard address. She unpacks the address and gets Bob’s public key \((A, B)\). 2. Alice generates a random \(r \in [1, l-1]\) and computes a one-time public key \(P = H_s(rA)G + B\). 3. Alice uses \(P\) as a destination key for the output and also packs value \(R = rG\) (as a part of the Diﬃe-Hellman exchange) somewhere into the transaction. Note that she can create other outputs with unique public keys: diﬀerent recipients’ keys \((A_i, B_i)\) imply diﬀerent \(P_i\) even with the same \(r\). Transaction Tx public key Tx output Amount Destination key \(R = rG\) \(P = H_s(rA)G + B\) Receiver’s public key Sender’s random data \(r\) \((A, B)\) Fig. 4. Standard transaction structure. 4. Alice sends the transaction. 5. Bob checks every passing transaction with his private key \((a, b)\), and computes \(P' = H_s(aR)G + B\). If Alice’s transaction for with Bob as the recipient was among them, then \(aR = arG = rA\) and \(P' = P\). 7 13 I wonder how much of a pain in the neck it would be to implement a choice of cryptography scheme. Elliptic or otherwise. So if some scheme is broken in the future, the currency switches without concern. Probably a big pain in the ass. Okay, this is exactly what I just explained in my previous comment. The Diﬃe-Hellman-type exchanges are neato. Say Alex and Brenda each have a secret number, A and B, and a number they don’t care about keeping secret, a and b. They wish to generate a shared secret without Eva discovering it. Diﬃe and Hellman came up with a way for Alex and Brenda to share the public numbers a and b, but not the private numbers A and B, and generate a shared secret, K. Using this shared secret, K, without any Eva listening in being able to generate the same K, Alex and Brenda can now use K as a secret encryption key and pass secret messages back and forth. Here’s how it CAN work, although it should work with much larger numbers than 100. We’ll use 100 because working over the integers modulo 100 is equivalent to "throwing out all but the last two digit of a number." Alex and Brenda each choose A, a, B, and b. They keep A and B secret. Alex tells Brenda her value of a modulo 100 (just the last two digits) and Brenda tells Alex her value of b modulo 100. Now Eva knows (a,b) modulo 100. But Alex knows (a,b,A) so she can compute x=abA modulo 100. Alex chops oﬀall but the last digit because we’re working under the integers modulo 100 again. Similarly, Brenda knows (a,b,B) so she can compute y=abB modulo 100. Alex can now publish x and Brenda can publish y. But now Alex can compute yA = abBA modulo 100, and Brenda can compute xB = abBA modulo 100. They both know the same number! But all Eva has heard is (a,b,abA,abB). She has no easy way of computing abA*B. Now, this is the easiest and least secure way of thinking about the Diﬃe-Hellman exchange. More secure versions exist. But most versions work because integer factorization and discrete logarithms are diﬃcult, and both of those problems are easily solved by quantum computers. I will look into whether any versions that are resistant to quantum exist. http://en.wikipedia.org/wiki/Diﬃe%E2%80%93Hellman_key_exchange The "standard txn sequence" listed here is missing a whole bunch of steps, like SIGNATURES. They’re just taken for granted in here. Which is really bad, because the order in which we sign stuﬀ, the information included in the signed message, and so on... all of this is extremely important to the protocol. Getting one or two of the steps wrong, even slightly out of order, while implementing "the standard transaction sequence" could throw the security of the whole system into question. Furthermore, the proofs presented later in the paper may not be suﬃciently rigorous if the framework under which they work is as loosely deﬁned as in this section.

Public Private Alice Carol One-time key One-time key One-time key Bob Bob’s Key Bob’s Address Fig. 3. CryptoNote keys/transactions model. First, the sender performs a Diﬃe-Hellman exchange to get a shared secret from his data and half of the recipient’s address. Then he computes a one-time destination key, using the shared secret and the second half of the address. Two diﬀerent ec-keys are required from the recipient for these two steps, so a standard CryptoNote address is nearly twice as large as a Bitcoin wallet address. The receiver also performs a Diﬃe-Hellman exchange to recover the corresponding secret key. A standard transaction sequence goes as follows: 1. Alice wants to send a payment to Bob, who has published his standard address. She unpacks the address and gets Bob’s public key \((A, B)\). 2. Alice generates a random \(r \in [1, l-1]\) and computes a one-time public key \(P = H_s(rA)G + B\). 3. Alice uses \(P\) as a destination key for the output and also packs value \(R = rG\) (as a part of the Diﬃe-Hellman exchange) somewhere into the transaction. Note that she can create other outputs with unique public keys: diﬀerent recipients’ keys \((A_i, B_i)\) imply diﬀerent \(P_i\) even with the same \(r\). Transaction Tx public key Tx output Amount Destination key \(R = rG\) \(P = H_s(rA)G + B\) Receiver’s public key Sender’s random data \(r\) \((A, B)\) Fig. 4. Standard transaction structure. 4. Alice sends the transaction. 5. Bob checks every passing transaction with his private key \((a, b)\), and computes \(P' = H_s(aR)G + B\). If Alice’s transaction for with Bob as the recipient was among them, then \(aR = arG = rA\) and \(P' = P\). 7 Public Private Alice Carol One-time key One-time key One-time key Bob Bob’s Key Bob’s Address Fig. 3. CryptoNote keys/transactions model. First, the sender performs a Diﬃe-Hellman exchange to get a shared secret from his data and half of the recipient’s address. Then he computes a one-time destination key, using the shared secret and the second half of the address. Two diﬀerent ec-keys are required from the recipient for these two steps, so a standard CryptoNote address is nearly twice as large as a Bitcoin wallet address. The receiver also performs a Diﬃe-Hellman exchange to recover the corresponding secret key. A standard transaction sequence goes as follows: 1. Alice wants to send a payment to Bob, who has published his standard address. She unpacks the address and gets Bob’s public key \((A, B)\). 2. Alice generates a random \(r \in [1, l-1]\) and computes a one-time public key \(P = H_s(rA)G + B\). 3. Alice uses \(P\) as a destination key for the output and also packs value \(R = rG\) (as a part of the Diﬃe-Hellman exchange) somewhere into the transaction. Note that she can create other outputs with unique public keys: diﬀerent recipients’ keys \((A_i, B_i)\) imply diﬀerent \(P_i\) even with the same \(r\). Transaction Tx public key Tx output Amount Destination key \(R = rG\) \(P = H_s(rA)G + B\) Receiver’s public key Sender’s random data \(r\) \((A, B)\) Fig. 4. Standard transaction structure. 4. Alice sends the transaction. 5. Bob checks every passing transaction with his private key \((a, b)\), and computes \(P' = H_s(aR)G + B\). If Alice’s transaction for with Bob as the recipient was among them, then \(aR = arG = rA\) and \(P' = P\). 7 14 Note that the author(s?) do a terrible job of keeping their terminology straight throughout the text, but especially in this next bit. Next incarnation of this paper will necessarily be much more rigorous. In the text they refer to P as their one-time public key. In the diagram, they refer to R as their "Tx public key" and P as their "Destination key." If I were going to re-write this, I’d very speciﬁcally lay out some terminology before discussing these sections. This ell is massive. See page 5. Who chooses ell? Diagram illustrates that the transaction public key \(R = rG\), which is random and chosen by the sender, is not part of Tx output. This is because it could be the same for multiple transactions to multiple people, and isn’t used LATER to spend. A fresh R is generated every time you want to broadcast a new CryptoNote transaction. Furthermore, R is only used to check if you are the recipient of the transaction. It’s not junk data, but it’s junk to anyone without the private keys associated with (A,B). The Destination key, on the other hand, \(P = H_s(rA)G + B\) is part of Tx output. Everyone riﬂing through every passing transaction’s data must check their own generated P* against this P to see if they own this passing transaction. Anyone with an unspent transaction output (UTXO) will have a bunch of these Ps laying around with amounts. In order to spend, they sign some new message including P. Alice must sign this transaction with one-time private key(s) associated with the unspent transaction output(s) Destination Key(s). Each destination key owned by Alice comes equipped with a one-time private key also owned (presumably) by Alice. Every time Alice wants to send the contents of a destination key to me, or Bob, or Brenda, or Charlie or Charlene, she uses her private key to sign the transaction. Upon receipt of transaction, I will receive a new Tx public key, a new Destination public key, and I will be able to recover a new one-time private key x. Combining my one-time private key, x, with new transaction’s public Destination key(s) is how we send a new transaction

Bob can recover the corresponding one-time private key: \(x = H_s(aR) + b\), so as \(P = xG\). He can spend this output at any time by signing a transaction with \(x\). Transaction Tx public key Tx output Amount Destination key \(P' = H_s(aR)G + bG\) one-time public key \(x = H_s(aR) + b\) one-time private key Receiver’s private key \((a, b)\) \(R\) \(P'\) \(\stackrel{?}{=} P\) Fig. 5. Incoming transaction check. As a result Bob gets incoming payments, associated with one-time public keys which are unlinkable for a spectator. Some additional notes: • When Bob “recognizes” his transactions (see step 5) he practically uses only half of his private information: \((a, B)\). This pair, also known as the tracking key, can be passed to a third party (Carol). Bob can delegate her the processing of new transactions. Bob doesn’t need to explicitly trust Carol, because she can’t recover the one-time secret key \(p\) without Bob’s full private key \((a, b)\). This approach is useful when Bob lacks bandwidth or computation power (smartphones, hardware wallets etc.). • In case Alice wants to prove she sent a transaction to Bob’s address she can either disclose \(r\) or use any kind of zero-knowledge protocol to prove she knows \(r\) (for example by signing the transaction with \(r\)). • If Bob wants to have an audit compatible address where all incoming transaction are linkable, he can either publish his tracking key or use a truncated address. That address represent only one public ec-key \(B\), and the remaining part required by the protocol is derived from it as follows: \(a = H_s(B)\) and \(A = H_s(B)G\). In both cases every person is able to “recognize” all of Bob’s incoming transaction, but, of course, none can spend the funds enclosed within them without the secret key \(b\). 4.4 One-time ring signatures A protocol based on one-time ring signatures allows users to achieve unconditional unlinkability. Unfortunately, ordinary types of cryptographic signatures permit to trace transactions to their respective senders and receivers. Our solution to this deﬁciency lies in using a diﬀerent signature type than those currently used in electronic cash systems. We will ﬁrst provide a general description of our algorithm with no explicit reference to electronic cash. A one-time ring signature contains four algorithms: (GEN, SIG, VER, LNK): GEN: takes public parameters and outputs an ec-pair \((P, x)\) and a public key \(I\). SIG: takes a message \(m\), a set \(S'\) of public keys \(\{P_i\}_{i \neq s}\), a pair \((P_s, x_s)\) and outputs a signature \(\sigma\) and a set \(S = S' \cup \{P_s\}\). 8
Bob can recover the corresponding one-time private key: \(x = H_s(aR) + b\), so as \(P = xG\). He can spend this output at any time by signing a transaction with \(x\). Transaction Tx public key Tx output Amount Destination key \(P' = H_s(aR)G + bG\) one-time public key \(x = H_s(aR) + b\) one-time private key Receiver’s private key \((a, b)\) \(R\) \(P'\) \(\stackrel{?}{=} P\) Fig. 5. Incoming transaction check. As a result Bob gets incoming payments, associated with one-time public keys which are unlinkable for a spectator. Some additional notes: • When Bob “recognizes” his transactions (see step 5) he practically uses only half of his private information: \((a, B)\). This pair, also known as the tracking key, can be passed to a third party (Carol). Bob can delegate her the processing of new transactions. Bob doesn’t need to explicitly trust Carol, because she can’t recover the one-time secret key \(p\) without Bob’s full private key \((a, b)\). This approach is useful when Bob lacks bandwidth or computation power (smartphones, hardware wallets etc.). • In case Alice wants to prove she sent a transaction to Bob’s address she can either disclose \(r\) or use any kind of zero-knowledge protocol to prove she knows \(r\) (for example by signing the transaction with \(r\)). • If Bob wants to have an audit compatible address where all incoming transaction are linkable, he can either publish his tracking key or use a truncated address. That address represent only one public ec-key \(B\), and the remaining part required by the protocol is derived from it as follows: \(a = H_s(B)\) and \(A = H_s(B)G\). In both cases every person is able to “recognize” all of Bob’s incoming transaction, but, of course, none can spend the funds enclosed within them without the secret key \(b\). 4.4 One-time ring signatures A protocol based on one-time ring signatures allows users to achieve unconditional unlinkability. Unfortunately, ordinary types of cryptographic signatures permit to trace transactions to their respective senders and receivers. Our solution to this deﬁciency lies in using a diﬀerent signature type than those currently used in electronic cash systems. We will ﬁrst provide a general description of our algorithm with no explicit reference to electronic cash. A one-time ring signature contains four algorithms: (GEN, SIG, VER, LNK): GEN: takes public parameters and outputs an ec-pair \((P, x)\) and a public key \(I\). SIG: takes a message \(m\), a set \(S'\) of public keys \(\{P_i\}_{i \neq s}\), a pair \((P_s, x_s)\) and outputs a signature \(\sigma\) and a set \(S = S' \cup \{P_s\}\). 8 15 What does an unspent transaction output look like here? The diagram suggests that transaction output consists only of two data points: amount and destination key. But this isn’t suﬃcient because when I try to spend this "output" I will still need to know R=rG. Remember, r is chosen by the sender, and R is a) used to recognize incoming cryptonotes as your own and b) used to generate the one-time private key used to "claim" your cryptonote. The part about this that I don’t understand? Taking the theoretical "okay, we have these signatures and transactions, and we pass ’em back and forth" into the world of programming "okay what information speciﬁcally makes up an individual UTXO?" Best way to answer that question is to dig into the body of completely uncommented code. Way to go, bytecoin team. Recall: linkability means "did the same person send?" and unlinkability means "did the same person receive?". So a system can be linkable or non-linkable, unlinkable or non-unlinkable. Annoying, I know. So when Nic van Saberhagen here says "...incoming payments [are] associated with one-time public keys which are unlinkable for a spectator," let’s see what he means. First, consider a situation in which Alice sends Bob two separate transactions from the same address to the same address. In the Bitcoin universe, Alice has already made the mistake of sending from the same address and so the transaction has failed our desire for limited linkability. Furthermore, since she sent the money to the same address, she’s failed our desire for unlinkability. This bitcoin transaction was both (totally) linkable and non-unlinkable. On the other hand, in the cryptonote universe, let’s say that Alice sends Bob some cryptonote, using Bob’s public address. She chooses as her obfuscating set of public keys all known public keys in the Washington DC metro area. Alex generates a one-time public key using her own information and Bob’s public information. She sends the money oﬀ, and any observer will only be able to glean "Someone from the Washington DC metro area sent 2.3 cryptonotes to the one-time public address XYZ123." We have a probabilistic control over linkability here, so we’ll call this "almost non-linkable." We also only see the one-time public keys money is sent to. Even if we suspected the receiver was Bob, we don’t have his private keys and so we can’t test whether a passing transaction belongs to Bob let alone generate his one-time private key to redeem his cryptonote. So this is, in fact, totally "unlinkable." So, this is the neatest trick of all. Who wants to really trust another MtGox? We may be comfortable storing some amount of BTC on Coinbase, but the ultimate in bitcoin security is a physical wallet. Which is inconvenient. In this case, you can trustlessly give away half of your private key without compromising your own ability to spend money. When doing this, all you are doing is telling someone how to break unlinkability. The other properties of CN acting like a currency are preserved, like proof against double spending and whatnot.
Bob can recover the corresponding one-time private key: \(x = H_s(aR) + b\), so as \(P = xG\). He can spend this output at any time by signing a transaction with \(x\). Transaction Tx public key Tx output Amount Destination key \(P' = H_s(aR)G + bG\) one-time public key \(x = H_s(aR) + b\) one-time private key Receiver’s private key \((a, b)\) \(R\) \(P'\) \(\stackrel{?}{=} P\) Fig. 5. Incoming transaction check. As a result Bob gets incoming payments, associated with one-time public keys which are unlinkable for a spectator. Some additional notes: • When Bob “recognizes” his transactions (see step 5) he practically uses only half of his private information: \((a, B)\). This pair, also known as the tracking key, can be passed to a third party (Carol). Bob can delegate her the processing of new transactions. Bob doesn’t need to explicitly trust Carol, because she can’t recover the one-time secret key \(p\) without Bob’s full private key \((a, b)\). This approach is useful when Bob lacks bandwidth or computation power (smartphones, hardware wallets etc.). • In case Alice wants to prove she sent a transaction to Bob’s address she can either disclose \(r\) or use any kind of zero-knowledge protocol to prove she knows \(r\) (for example by signing the transaction with \(r\)). • If Bob wants to have an audit compatible address where all incoming transaction are linkable, he can either publish his tracking key or use a truncated address. That address represent only one public ec-key \(B\), and the remaining part required by the protocol is derived from it as follows: \(a = H_s(B)\) and \(A = H_s(B)G\). In both cases every person is able to “recognize” all of Bob’s incoming transaction, but, of course, none can spend the funds enclosed within them without the secret key \(b\). 4.4 One-time ring signatures A protocol based on one-time ring signatures allows users to achieve unconditional unlinkability. Unfortunately, ordinary types of cryptographic signatures permit to trace transactions to their respective senders and receivers. Our solution to this deﬁciency lies in using a diﬀerent signature type than those currently used in electronic cash systems. We will ﬁrst provide a general description of our algorithm with no explicit reference to electronic cash. A one-time ring signature contains four algorithms: (GEN, SIG, VER, LNK): GEN: takes public parameters and outputs an ec-pair \((P, x)\) and a public key \(I\). SIG: takes a message \(m\), a set \(S'\) of public keys \(\{P_i\}_{i \neq s}\), a pair \((P_s, x_s)\) and outputs a signature \(\sigma\) and a set \(S = S' \cup \{P_s\}\). 8
Bob can recover the corresponding one-time private key: \(x = H_s(aR) + b\), so as \(P = xG\). He can spend this output at any time by signing a transaction with \(x\). Transaction Tx public key Tx output Amount Destination key \(P' = H_s(aR)G + bG\) one-time public key \(x = H_s(aR) + b\) one-time private key Receiver’s private key \((a, b)\) \(R\) \(P'\) \(\stackrel{?}{=} P\) Fig. 5. Incoming transaction check. As a result Bob gets incoming payments, associated with one-time public keys which are unlinkable for a spectator. Some additional notes: • When Bob “recognizes” his transactions (see step 5) he practically uses only half of his private information: \((a, B)\). This pair, also known as the tracking key, can be passed to a third party (Carol). Bob can delegate her the processing of new transactions. Bob doesn’t need to explicitly trust Carol, because she can’t recover the one-time secret key \(p\) without Bob’s full private key \((a, b)\). This approach is useful when Bob lacks bandwidth or computation power (smartphones, hardware wallets etc.). • In case Alice wants to prove she sent a transaction to Bob’s address she can either disclose \(r\) or use any kind of zero-knowledge protocol to prove she knows \(r\) (for example by signing the transaction with \(r\)). • If Bob wants to have an audit compatible address where all incoming transaction are linkable, he can either publish his tracking key or use a truncated address. That address represent only one public ec-key \(B\), and the remaining part required by the protocol is derived from it as follows: \(a = H_s(B)\) and \(A = H_s(B)G\). In both cases every person is able to “recognize” all of Bob’s incoming transaction, but, of course, none can spend the funds enclosed within them without the secret key \(b\). 4.4 One-time ring signatures A protocol based on one-time ring signatures allows users to achieve unconditional unlinkability. Unfortunately, ordinary types of cryptographic signatures permit to trace transactions to their respective senders and receivers. Our solution to this deﬁciency lies in using a diﬀerent signature type than those currently used in electronic cash systems. We will ﬁrst provide a general description of our algorithm with no explicit reference to electronic cash. A one-time ring signature contains four algorithms: (GEN, SIG, VER, LNK): GEN: takes public parameters and outputs an ec-pair \((P, x)\) and a public key \(I\). SIG: takes a message \(m\), a set \(S'\) of public keys \(\{P_i\}_{i \neq s}\), a pair \((P_s, x_s)\) and outputs a signature \(\sigma\) and a set \(S = S' \cup \{P_s\}\). 8 16 Yes, so now we have a) a payment address and b) a payment ID. A critic could ask "do we really need to do this? After all, if a merchant receives 112.00678952 CN exactly, and that was my order, and I have a screenshot or a receipt or whatever, isn’t that insane degree of precision suﬃcient?" The answer is "maybe, most of the time, in day-to-day, face-to-face transactions." However, the more common situation (especially in the digial world) is this: a merchant sells a set of objects, each with a ﬁxed price. Say object A is 0.001 CN, object B is 0.01 CN and object C is 0.1 CN. Now, if the merchant receives an order for 1.618 CN, there are many many (many!) ways to arrange an order for a customer. And so without some sort of payment ID, identifying the so-called "unique" order of a customer with the so-called "unique" cost of their order becomes impossible. Even funnier: if everything in my online store costs exactly 1.0 CN, and I get 1000 customers a day? And you want to prove that you bought exactly 3 objects two weeks ago? Without a payment ID? Good luck, buddy. Long story short: When Bob publishes a payment address, he may end up also publishing a payment ID as well (see, e.g. Poloniex XMR deposits). This is diﬀerent than what is described in the text here where Alice is the one who generates the payment ID. There must be some way for Bob to generate a payment ID as well. \((a, B)\) Recall that the tracking key \((a, B)\) can be published; losing the secrecy of the value for ’a’ will not violate your ability to spend or allow folks to steal from you (I think... that would have to be proven), it will simply allow folks to see all incoming transactions. A truncated address, as described in this paragraph, simply takes the "private" part of the key and generates it from the "public" part. Revealing the value for ’a’ will remove non-linkability but will preserve the rest of the transactions. The author means "not unlinkable" because unlinkable refers to the receiver and linkable refers to the sender. It’s also clear the author didn’t realize that there were two diﬀerent aspects to linkability. Since, after all, the transaction is a directed object on a graph, there will be two questions: "are these two transactions going to the same person?" and "are these two transactions coming from the same person?" This is a "no-going-back" policy under which the unlinkability property of CryptoNote is conditional. That is to say, Bob can choose his incoming transactions to be not unlinkable using this policy. This is a claim they prove under the Random Oracle Model. We’ll get to that; the Random Oracle has pros and cons.

VER: takes a message \(m\), a set \(S\), a signature \(\sigma\) and outputs "true" or "false". LNK: takes a set \(I = \{I_i\}\), a signature \(\sigma\) and outputs "linked" or "indep". The idea behind the protocol is fairly simple: a user produces a signature which can be checked by a set of public keys rather than a unique public key. The identity of the signer is indistinguishable from the other users whose public keys are in the set until the owner produces a second signature using the same keypair. Private keys \(x_0\) \(\cdots\) \(x_i\) \(\cdots\) \(x_n\) Public keys \(P_0\) \(\cdots\) \(P_i\) \(\cdots\) \(P_n\) Ring Signature sign verify Fig. 6. Ring signature anonymity. GEN: The signer picks a random secret key \(x \in [1, l-1]\) and computes the corresponding public key \(P = xG\). Additionally he computes another public key \(I = xH_p(P)\) which we will call the “key image”. SIG: The signer generates a one-time ring signature with a non-interactive zero-knowledge proof using the techniques from [21]. He selects a random subset \(S'\) of \(n\) from the other users’ public keys \(P_i\), his own keypair \((x, P)\) and key image \(I\). Let \(0 \leq s \leq n\) be signer’s secret index in \(S\) (so that his public key is \(P_s\)). He picks a random \(\{q_i \mid i = 0, \ldots, n\}\) and \(\{w_i \mid i = 0, \ldots, n, i \neq s\}\) from \((1, \ldots, l)\) and applies the following transformations: \[L_i = \begin{cases} q_iG & \text{if } i = s \\ q_iG + w_iP_i & \text{if } i \neq s \end{cases}\] \[R_i = \begin{cases} q_iH_p(P_i) & \text{if } i = s \\ q_iH_p(P_i) + w_iI & \text{if } i \neq s \end{cases}\] The next step is getting the non-interactive challenge: \(c = H_s(m, L_1, \ldots, L_n, R_1, \ldots, R_n)\) Finally the signer computes the response: \(c_i =\)    wi, if i ̸= s c − nP i=0 ci mod l, if i = s ri = ( qi, if i ̸= s qs −csx mod l, if i = s The resulting signature is \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\). 9 VER: takes a message \(m\), a set \(S\), a signature \(\sigma\) and outputs “true” or “false”. LNK: takes a set \(\mathcal{I} = \{I_i\}\), a signature \(\sigma\) and outputs “linked” or “indep”. The idea behind the protocol is fairly simple: a user produces a signature which can be checked by a set of public keys rather than a unique public key. The identity of the signer is indistinguishable from the other users whose public keys are in the set until the owner produces a second signature using the same keypair. Private keys \(x_0\) \(\cdots\) \(x_i\) \(\cdots\) \(x_n\) Public keys \(P_0\) \(\cdots\) \(P_i\) \(\cdots\) \(P_n\) Ring Signature sign verify Fig. 6. Ring signature anonymity. GEN: The signer picks a random secret key \(x \in [1, l - 1]\) and computes the corresponding public key \(P = xG\). Additionally he computes another public key \(I = xH_p(P)\) which we will call the “key image”. SIG: The signer generates a one-time ring signature with a non-interactive zero-knowledge proof using the techniques from [21]. He selects a random subset \(S'\) of \(n\) from the other users’ public keys \(P_i\), his own keypair \((x, P)\) and key image \(I\). Let \(0 \leq s \leq n\) be signer’s secret index in \(S\) (so that his public key is \(P_s\)). He picks a random \(\{q_i \mid i = 0, \ldots, n\}\) and \(\{w_i \mid i = 0, \ldots, n, i \neq s\}\) from \((1, \ldots, l)\) and applies the following transformations: \[L_i = \begin{cases} q_i G, & \text{if } i = s \\\\ q_i G + w_i P_i, & \text{if } i \neq s \end{cases}\] \[R_i = \begin{cases} q_i H_p(P_i), & \text{if } i = s \\\\ q_i H_p(P_i) + w_i I, & \text{if } i \neq s \end{cases}\] The next step is getting the non-interactive challenge:

\[c = H_s(m, L_1, \ldots, L_n, R_1, \ldots, R_n)\] Finally the signer computes the response: \[c_i = \begin{cases} w_i, & \text{if } i \neq s \\\\ c - \sum_{i=0}^{n} c_i \mod l, & \text{if } i = s \end{cases}\] \[r_i = \begin{cases} q_i, & \text{if } i \neq s \\ q_s - c_s x \mod l, & \text{if } i = s \end{cases}\] The resulting signature is \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\). 9 17 Perhaps this is stupid, but care must be taken when unioning S and P_s. If you just append the last public key to the end, unlinkability is broken because anyone checking passing transactions can just check the last public key listed in each transaction and boom. That’s the public key associated with the sender. So after unioning, a pseudorandom number generator must be used to permute the public keys chosen. "...until the owner produces a second signature using the same keypair." I wish the author(s?) would elaborate on this. I believe this means "make sure that every time you choose a set of public keys to obfuscate yourself with, you pick a completely new set with no two keys alike." Which seems like a pretty strong condition to place upon unlinkability. Perhaps "you pick a new random set from all possible keys" with the assumption that, although nontrivial intersections will inevitably happen, they won’t happen often. Either way, I need to dig deeper into this statement. This is generating the ring signature. Zero-knowledge proofs are awesome: I challenge you to prove to me that you know a secret without revealing the secret. For example, say we are at the entrance of a donut-shaped cave, and at the back of the cave (beyond sight from the entrance) is a one-way door to which you claim you have the key. If you go one direction, it always lets you through, but if you go the other direction, you need a key. But you don’t even want to SHOW me the key, let alone show me that it opens the door. But you want to prove to me that you know how to open the door. In the interactive setting, I ﬂip a coin. Heads is left, tails is right, and you go down the donut-shaped cave whichever way the coin directs you. At the back, beyond my sight, you open the door to come back around the other side. We repeat the coin-ﬂipping experiment until I’m satisﬁed that you have the key. But that’s clearly the INTERACTIVE zero-knowledge proof. There are non-interactive versions in which you and I never have to communicate; this way, no eavesdroppers can interfere. http://en.wikipedia.org/wiki/Zero-knowledge_proof This is reversed from the previous deﬁnition.

VER: takes a message \(m\), a set \(S\), a signature \(\sigma\) and outputs “true” or “false”. LNK: takes a set \(\mathcal{I} = \{I_i\}\), a signature \(\sigma\) and outputs “linked” or “indep”. The idea behind the protocol is fairly simple: a user produces a signature which can be checked by a set of public keys rather than a unique public key. The identity of the signer is indistinguishable from the other users whose public keys are in the set until the owner produces a second signature using the same keypair. Private keys \(x_0\) \(\cdots\) \(x_i\) \(\cdots\) \(x_n\) Public keys \(P_0\) \(\cdots\) \(P_i\) \(\cdots\) \(P_n\) Ring Signature sign verify Fig. 6. Ring signature anonymity. GEN: The signer picks a random secret key \(x \in [1, l - 1]\) and computes the corresponding public key \(P = xG\). Additionally he computes another public key \(I = xH_p(P)\) which we will call the “key image”. SIG: The signer generates a one-time ring signature with a non-interactive zero-knowledge proof using the techniques from [21]. He selects a random subset \(S'\) of \(n\) from the other users’ public keys \(P_i\), his own keypair \((x, P)\) and key image \(I\). Let \(0 \leq s \leq n\) be signer’s secret index in \(S\) (so that his public key is \(P_s\)). He picks a random \(\{q_i \mid i = 0, \ldots, n\}\) and \(\{w_i \mid i = 0, \ldots, n, i \neq s\}\) from \((1, \ldots, l)\) and applies the following transformations: \[L_i = \begin{cases} q_i G, & \text{if } i = s \\\\ q_i G + w_i P_i, & \text{if } i \neq s \end{cases}\] \[R_i = \begin{cases} q_i H_p(P_i), & \text{if } i = s \\\\ q_i H_p(P_i) + w_i I, & \text{if } i \neq s \end{cases}\] The next step is getting the non-interactive challenge:

\[c = H_s(m, L_1, \ldots, L_n, R_1, \ldots, R_n)\] Finally the signer computes the response: \[c_i = \begin{cases} w_i, & \text{if } i \neq s \\\\ c - \sum_{i=0}^{n} c_i \mod l, & \text{if } i = s \end{cases}\] \[r_i = \begin{cases} q_i, & \text{if } i \neq s \\ q_s - c_s x \mod l, & \text{if } i = s \end{cases}\] The resulting signature is \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\). 9 VER: takes a message \(m\), a set \(S\), a signature \(\sigma\) and outputs “true” or “false”. LNK: takes a set \(\mathcal{I} = \{I_i\}\), a signature \(\sigma\) and outputs “linked” or “indep”. The idea behind the protocol is fairly simple: a user produces a signature which can be checked by a set of public keys rather than a unique public key. The identity of the signer is indistinguishable from the other users whose public keys are in the set until the owner produces a second signature using the same keypair. Private keys \(x_0\) \(\cdots\) \(x_i\) \(\cdots\) \(x_n\) Public keys \(P_0\) \(\cdots\) \(P_i\) \(\cdots\) \(P_n\) Ring Signature sign verify Fig. 6. Ring signature anonymity. GEN: The signer picks a random secret key \(x \in [1, l - 1]\) and computes the corresponding public key \(P = xG\). Additionally he computes another public key \(I = xH_p(P)\) which we will call the “key image”. SIG: The signer generates a one-time ring signature with a non-interactive zero-knowledge proof using the techniques from [21]. He selects a random subset \(S'\) of \(n\) from the other users’ public keys \(P_i\), his own keypair \((x, P)\) and key image \(I\). Let \(0 \leq s \leq n\) be signer’s secret index in \(S\) (so that his public key is \(P_s\)). He picks a random \(\{q_i \mid i = 0, \ldots, n\}\) and \(\{w_i \mid i = 0, \ldots, n, i \neq s\}\) from \((1, \ldots, l)\) and applies the following transformations: \[L_i = \begin{cases} q_i G, & \text{if } i = s \\\\ q_i G + w_i P_i, & \text{if } i \neq s \end{cases}\] \[R_i = \begin{cases} q_i H_p(P_i), & \text{if } i = s \\\\ q_i H_p(P_i) + w_i I, & \text{if } i \neq s \end{cases}\] The next step is getting the non-interactive challenge:

\[c = H_s(m, L_1, \ldots, L_n, R_1, \ldots, R_n)\] Finally the signer computes the response: \[c_i = \begin{cases} w_i, & \text{if } i \neq s \\\\ c - \sum_{i=0}^{n} c_i \mod l, & \text{if } i = s \end{cases}\] \[r_i = \begin{cases} q_i, & \text{if } i \neq s \\ q_s - c_s x \mod l, & \text{if } i = s \end{cases}\] The resulting signature is \(\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)\). 9 18 This whole area is cryptonote agnostic, simply describing the ring signature algorithm without reference to currencies. I suspect some of the notation is consistent with the rest of the paper, though. For example, x is the "random" secret key chosen in GEN, which gives public key P and public key image I. This value of x is the value Bob computes in part 6 page 8. So this is starting to clear up some of the confusion from the previous description. This is kind of cool; money isn’t being transferred from "Alice’s public address to Bob’s public address." It’s being transferred from one-time address to one-time address. So, in a sense, here’s how stuﬀis working. If Alex has some cryptonotes because someone sent them to her, this means she has the private keys needed to send them to Bob. She uses a Diﬃe-Hellman exchange using Bob’s public information to generate a new one-time address and the cryptonotes are transferred to that address. Now, since a (presumably secure) DH exchange was used to generate the new one-time address to which Alex sent her CN, Bob is the only one with the private keys needed to repeat the above. So now, Bob is Alex. http://en.wikipedia.org/wiki/Piecewise#Notation_and_interpretation Summation should be indexed over j not i. Each c_i is random junk (since w_i is random) except for the c_i associated with the actual key involved in this signature. The value of c is a hash of the previous information. I think this may contain a typo worse than re-using the index ’i,’ though, because c_s seems to be implicitly, not explicitly, deﬁned. Indeed, if we take this equation on faith, then we determine that c_s = (1/2)c - (1/2) sum_i neq s c_i. That is, a hash minus a whole bunch of random numbers. On the other hand, if this summation is intended to be read "c_s = (c - sum_j neq s c_j) mod l", then we take the hash of our previous information, generate a bunch of random numbers, subtract all of those random numbers oﬀthe hash, and that gives us c_s. This seems to be what "should" be happening given my intuition, and matches the veriﬁcation step on page 10. But intuition is not mathematics. I’ll dig deeper into this. Same as before; all of these will be random junk except for the one associated with the actual signer’s public key x. Except this time, this is more what I would expect from the structure: r_i is random for i!=s and r_s is determined only by the secret x and the s-indexed values of q_i and c_i.

VER: The verifier checks the signature by applying the inverse transformations:

\[L'_i = r_i G + c_i P_i\]

\[R'_i = r_i H_p(P_i) + c_i I\] Finally, the verifier checks if

\[L'_i = r_i G + c_i P_i\]

\[R'_i = r_i H_p(P_i) + c_i I\] Finally, the verifier checks if

\[\sum_{i=0}^{n} c_i \stackrel{?}{=} H_s(m, L'_0, \ldots, L'_n, R'_0, \ldots, R'_n) \mod l\] If this equality is correct, the verifier runs the algorithm LNK. Otherwise the verifier rejects the signature. LNK: The verifier checks if \(I\) has been used in past signatures (these values are stored in the set \(\mathcal{I}\)). Multiple uses imply that two signatures were produced under the same secret key. The meaning of the protocol: by applying L-transformations the signer proves that he knows such \(x\) that at least one \(P_i = xG\). To make this proof non-repeatable we introduce the key image as \(I = xH_p(P)\). The signer uses the same coefficients \((r_i, c_i)\) to prove almost the same statement: he knows such \(x\) that at least one \(H_p(P_i) = I \cdot x^{-1}\). If the mapping \(x \to I\) is an injection: 1. Nobody can recover the public key from the key image and identify the signer; 2. The signer cannot make two signatures with different \(I\)'s and the same \(x\). A full security analysis is provided in Appendix A. 4.5 Standard CryptoNote transaction By combining both methods (unlinkable public keys and untraceable ring signature) Bob achieves new level of privacy in comparison with the original Bitcoin scheme. It requires him to store only one private key \((a, b)\) and publish \((A, B)\) to start receiving and sending anonymous transactions. While validating each transaction Bob additionally performs only two elliptic curve multiplications and one addition per output to check if a transaction belongs to him. For his every output Bob recovers a one-time keypair \((p_i, P_i)\) and stores it in his wallet. Any inputs can be circumstantially proved to have the same owner only if they appear in a single transaction. In fact this relationship is much harder to establish due to the one-time ring signature. With a ring signature Bob can effectively hide every input among somebody else’s; all possible spenders will be equiprobable, even the previous owner (Alice) has no more information than any observer. When signing his transaction Bob specifies \(n\) foreign outputs with the same amount as his output, mixing all of them without the participation of other users. Bob himself (as well as anybody else) does not know if any of these payments have been spent: an output can be used in thousands of signatures as an ambiguity factor and never as a target of hiding. The double spend check occurs in the LNK phase when checking against the used key images set. Bob can choose the ambiguity degree on his own: \(n = 1\) means that the probability he has spent the output is 50% probability, \(n = 99\) gives 1%. The size of the resulting signature increases linearly as \(O(n+1)\), so the improved anonymity costs to Bob extra transaction fees. He also can set \(n = 0\) and make his ring signature to consist of only one element, however this will instantly reveal him as a spender. 10 19 At this point, I’m terribly confused. Alex receives a message M with signature (I,c_1, ..., c_n, r_1, ..., r_n) and list of public keys S. and she runs VER. This will compute L_i’ and R_i’ This veriﬁes that c_s = c - sum_i neq s c_i on the previous page. At ﬁrst I was VERy (ha) confused. Anyone can compute L_i’ and R_i’. Indeed, each r_i and c_i have been published in the signature sigma together with the value for I. The set S = P_i of all public keys has also been published. So anyone who has seen sigma and the set of keys S = P_i will get the same values for L_i’ and R_i’ and hence check the signature. But then I remembered this section is simply describing a signature algorithm, not a "check if signed, check if SENT TO ME, and if so, then go spend the money." This is SIMPLY the signature part of the game. I’m interested to read Appendix A when I ﬁnally get there. I would like to see a full-scale operation-by-operation comparison of Cryptonote to Bitcoin. Also, electricity/sustainability. What pieces of the algorithms constitute "input" here? Transaction input, I believe, is an Amount and a set of UTXOs that sum to a greater amount than the Amount. This is unclear. "Target of hiding?" I have thought about this for a few minutes now and I still haven’t the foggiest idea of what it could mean. A double-spend attack can be executed only by manipulating a node’s perceived used-key images set \(I\). "Ambiguity degree" = n but the total number of public keys included in the transaction is n+1. That is to say, ambiguity degree would be "how many OTHER people do you want in the crowd?" The answer will probably be, by default "as many as possible."

VER: The verifier checks the signature by applying the inverse transformations:

\[L'_i = r_i G + c_i P_i\]

\[R'_i = r_i H_p(P_i) + c_i I\] Finally, the verifier checks if

\[L'_i = r_i G + c_i P_i\]

\[R'_i = r_i H_p(P_i) + c_i I\] Finally, the verifier checks if

\[\sum_{i=0}^{n} c_i \stackrel{?}{=} H_s(m, L'_0, \ldots, L'_n, R'_0, \ldots, R'_n) \mod l\] If this equality is correct, the verifier runs the algorithm LNK. Otherwise the verifier rejects the signature. LNK: The verifier checks if \(I\) has been used in past signatures (these values are stored in the set \(\mathcal{I}\)). Multiple uses imply that two signatures were produced under the same secret key. The meaning of the protocol: by applying L-transformations the signer proves that he knows such \(x\) that at least one \(P_i = xG\). To make this proof non-repeatable we introduce the key image as \(I = xH_p(P)\). The signer uses the same coefficients \((r_i, c_i)\) to prove almost the same statement: he knows such \(x\) that at least one \(H_p(P_i) = I \cdot x^{-1}\). If the mapping \(x \to I\) is an injection: 1. Nobody can recover the public key from the key image and identify the signer; 2. The signer cannot make two signatures with different \(I\)'s and the same \(x\). A full security analysis is provided in Appendix A. 4.5 Standard CryptoNote transaction By combining both methods (unlinkable public keys and untraceable ring signature) Bob achieves new level of privacy in comparison with the original Bitcoin scheme. It requires him to store only one private key \((a, b)\) and publish \((A, B)\) to start receiving and sending anonymous transactions. While validating each transaction Bob additionally performs only two elliptic curve multiplications and one addition per output to check if a transaction belongs to him. For his every output Bob recovers a one-time keypair \((p_i, P_i)\) and stores it in his wallet. Any inputs can be circumstantially proved to have the same owner only if they appear in a single transaction. In fact this relationship is much harder to establish due to the one-time ring signature. With a ring signature Bob can effectively hide every input among somebody else’s; all possible spenders will be equiprobable, even the previous owner (Alice) has no more information than any observer. When signing his transaction Bob specifies \(n\) foreign outputs with the same amount as his output, mixing all of them without the participation of other users. Bob himself (as well as anybody else) does not know if any of these payments have been spent: an output can be used in thousands of signatures as an ambiguity factor and never as a target of hiding. The double spend check occurs in the LNK phase when checking against the used key images set. Bob can choose the ambiguity degree on his own: \(n = 1\) means that the probability he has spent the output is 50% probability, \(n = 99\) gives 1%. The size of the resulting signature increases linearly as \(O(n+1)\), so the improved anonymity costs to Bob extra transaction fees. He also can set \(n = 0\) and make his ring signature to consist of only one element, however this will instantly reveal him as a spender. 10 20 This is interesting; earlier, we provided a way for a receiver, Bob, to make all INCOMING transactions non-unlinkable either by choosing half of his private keys deterministically or by publishing half his private keys as public. This is a no-going-back sort of policy. Here, we see a way of a sender, Alex, to choose a single outgoing transaction as linkable, but in fact this reveals Alex as the sender to the whole network. This is NOT a no-going-back sort of policy. This is transaction-by-transaction. Is there a third policy? Can a receiver, Bob, generate a unique payment ID for Alex that never changes, perhaps using a Diﬃe-Hellman exchange? If anyone includes that payment ID bundled somewhere in her transaction to Bob’s address, it must have come from Alex. This way, Alex need not reveal herself to the whole network by choosing to link a particular transaction, but she can still identify herself to the person to whom she sends her money. Isn’t this what Poloniex does?

Transaction Tx input \(\text{Output}_0\) \(\ldots\) \(\text{Output}_i\) \(\ldots\) \(\text{Output}_n\) Key image Signatures Ring Signature Destination key Output1 Destination key Outputn Foreign transactions Sender’s output Destination key One-time keypair One-time private key \(I = xH_p(P)\) \(P\), \(x\) Fig. 7. Ring signature generation in a standard transaction. 5 Egalitarian Proof-of-work In this section we propose and ground the new proof-of-work algorithm. Our primary goal is to close the gap between CPU (majority) and GPU/FPGA/ASIC (minority) miners. It is appropriate that some users can have a certain advantage over others, but their investments should grow at least linearly with the power. More generally, producing special-purpose devices has to be as less proﬁtable as possible. 5.1 Related works The original Bitcoin proof-of-work protocol uses the CPU-intensive pricing function SHA-256. It mainly consists of basic logical operators and relies solely on the computational speed of processor, therefore is perfectly suitable for multicore/conveyer implementation. However, modern computers are not limited by the number of operations per second alone, but also by memory size. While some processors can be substantially faster than others [8], memory sizes are less likely to vary between machines. Memory-bound price functions were ﬁrst introduced by Abadi et al and were deﬁned as “functions whose computation time is dominated by the time spent accessing memory” [15]. The main idea is to construct an algorithm allocating a large block of data (“scratchpad”) within memory that can be accessed relatively slowly (for example, RAM) and “accessing an unpredictable sequence of locations” within it. A block should be large enough to make preserving the data more advantageous than recomputing it for each access. The algorithm also should prevent internal parallelism, hence \(N\) simultaneous threads should require \(N\) times more memory at once. Dwork et al [22] investigated and formalized this approach leading them to suggest another variant of the pricing function: “Mbound”. One more work belongs to F. Coelho [20], who 11 Transaction Tx input \(\text{Output}_0\) \(\ldots\) \(\text{Output}_i\) \(\ldots\) \(\text{Output}_n\) Key image Signatures Ring Signature Destination key Output1 Destination key Outputn Foreign transactions Sender’s output Destination key One-time keypair One-time private key \(I = xH_p(P)\) \(P\), \(x\) Fig. 7. Ring signature generation in a standard transaction. 5 Egalitarian Proof-of-work In this section we propose and ground the new proof-of-work algorithm. Our primary goal is to close the gap between CPU (majority) and GPU/FPGA/ASIC (minority) miners. It is appropriate that some users can have a certain advantage over others, but their investments should grow at least linearly with the power. More generally, producing special-purpose devices has to be as less proﬁtable as possible. 5.1 Related works The original Bitcoin proof-of-work protocol uses the CPU-intensive pricing function SHA-256. It mainly consists of basic logical operators and relies solely on the computational speed of processor, therefore is perfectly suitable for multicore/conveyer implementation. However, modern computers are not limited by the number of operations per second alone, but also by memory size. While some processors can be substantially faster than others [8], memory sizes are less likely to vary between machines. Memory-bound price functions were ﬁrst introduced by Abadi et al and were deﬁned as “functions whose computation time is dominated by the time spent accessing memory” [15]. The main idea is to construct an algorithm allocating a large block of data (“scratchpad”) within memory that can be accessed relatively slowly (for example, RAM) and “accessing an unpredictable sequence of locations” within it. A block should be large enough to make preserving the data more advantageous than recomputing it for each access. The algorithm also should prevent internal parallelism, hence \(N\) simultaneous threads should require \(N\) times more memory at once. Dwork et al [22] investigated and formalized this approach leading them to suggest another variant of the pricing function: "Mbound". One more work belongs to F. Coelho [20], who 11 21 These are, ostensibly, our UTXO’s: amounts and destination keys. If Alex is the one constructing this standard transaction and is sending to Bob, then Alex also has the private keys to each of these. I like this diagram a whole lot, because it answers some earlier questions. A Txn input consists of a set of Txn outputs and a key image. It is then signed with a ring signature, including all of the private keys Alex owns to all of the foreign transactions wrapped up in the deal. The Txn output consists of an amount and a destination key. The receiver of the transaction may, at will, generate their one-time private key as described earlier in the paper in order to spend the money. It will be delightful to ﬁnd out how much this matches the actual code... No, Nic van Saberhagen describes loosely some properties of a proof of work algorithm, without actually describing that algorithm. The CryptoNight algorithm itself will REQUIRE a deep analysis. When I read this, I stuttered. Should investment grow at least linearly with power, or should investment grow at most linearly with power? And then I realized; I, as a miner, or an investor, usually think of "how much power can I get for an investment?" not "how much investment is required for a ﬁxed amount of power?" Of course, denote investment by \(I\) and power by \(P\). If \(I(P)\) is investment as a function of power and \(P(I)\) is power as a function of investment, they'll be inverses of each other (wherever inverses can exist). And if \(I(P)\) is faster-than-linear than \(P(I)\) is slower-than-linear. Hence, there will be a reduced rate of returns for investors. That is to say, what the author is saying here is: "sure, as you invest more, you’ll get more power. But we should try to make that a reduced rate of returns thing." CPU investments will cap out sub-linearly, eventually; the question is whether the authors have designed a POW algorithm that will force the ASICs to also do this. Should a hypothetical "future currency" always mine with the slowest/most limited resources? The paper by Abadi et al, (which has some Google and Microsoft engineers as authors) is, essentially, using the fact that for the past few years memory size has had a much smaller variance across machines than processor speed, and with a more-than-linear investment-forpower ratio. In a few years, this may have to be re-assessed! Everything is an arms race... Constructing a hash function is diﬃcult; constructing a hash function satisfying these constraints seems to be more diﬃcult. This paper seems to have no explanation of the actual hashing algorithm CryptoNight. I think it’s a memory-hard implementation of SHA-3, based on forum posts but I have no idea... and that’s the point. It must be explained.

proposed the most eﬀective solution: “Hokkaido”. To our knowledge the last work based on the idea of pseudo-random searches in a big array is the algorithm known as “scrypt” by C. Percival [32]. Unlike the previous functions it focuses on key derivation, and not proof-of-work systems. Despite this fact scrypt can serve our purpose: it works well as a pricing function in the partial hash conversion problem such as SHA-256 in Bitcoin. By now scrypt has already been applied in Litecoin [14] and some other Bitcoin forks. However, its implementation is not really memory-bound: the ratio “memory access time / overall time” is not large enough because each instance uses only 128 KB. This permits GPU miners to be roughly 10 times more eﬀective and continues to leave the possibility of creating relatively cheap but highly-eﬃcient mining devices. Moreover, the scrypt construction itself allows a linear trade-oﬀbetween memory size and CPU speed due to the fact that every block in the scratchpad is derived only from the previous. For example, you can store every second block and recalculate the others in a lazy way, i.e. only when it becomes necessary. The pseudo-random indexes are assumed to be uniformly distributed, hence the expected value of the additional blocks' recalculations is \(\frac{1}{2} \cdot N\), where \(N\) is the number of iterations. The overall computation time increases less than by half because there are also time independent (constant time) operations such as preparing the scratchpad and hashing on every iteration. Saving 2/3 of the memory costs \(\frac{1}{3} \cdot N + \frac{1}{3} \cdot 2 \cdot N = N\) additional recalculations; 9/10 results in \(\frac{1}{10} \cdot N + \ldots + \frac{1}{10} \cdot 9 \cdot N = 4.5N\). It is easy to show that storing only \(\frac{1}{s}\) of all blocks increases the time less than by a factor of \(\frac{s-1}{2}\). This in turn implies that a machine with a CPU 200 times faster than the modern chips can store only 320 bytes of the scratchpad. 5.2 The proposed algorithm We propose a new memory-bound algorithm for the proof-of-work pricing function. It relies on random access to a slow memory and emphasizes latency dependence. As opposed to scrypt every new block (64 bytes in length) depends on all the previous blocks. As a result a hypothetical "memory-saver" should increase his calculation speed exponentially. Our algorithm requires about 2 Mb per instance for the following reasons: 1. It ﬁts in the L3 cache (per core) of modern processors, which should become mainstream in a few years; 2. A megabyte of internal memory is an almost unacceptable size for a modern ASIC pipeline; 3. GPUs may run hundreds of concurrent instances, but they are limited in other ways: GDDR5 memory is slower than the CPU L3 cache and remarkable for its bandwidth, not random access speed. 4. Signiﬁcant expansion of the scratchpad would require an increase in iterations, which in turn implies an overall time increase. "Heavy" calls in a trust-less p2p network may lead to serious vulnerabilities, because nodes are obliged to check every new block's proof-of-work. If a node spends a considerable amount of time on each hash evaluation, it can be easily DDoSed by a ﬂood of fake objects with arbitrary work data (nonce values). 12 proposed the most eﬀective solution: "Hokkaido". To our knowledge the last work based on the idea of pseudo-random searches in a big array is the algorithm known as “scrypt” by C. Percival [32]. Unlike the previous functions it focuses on key derivation, and not proof-of-work systems. Despite this fact scrypt can serve our purpose: it works well as a pricing function in the partial hash conversion problem such as SHA-256 in Bitcoin. By now scrypt has already been applied in Litecoin [14] and some other Bitcoin forks. However, its implementation is not really memory-bound: the ratio “memory access time / overall time” is not large enough because each instance uses only 128 KB. This permits GPU miners to be roughly 10 times more eﬀective and continues to leave the possibility of creating relatively cheap but highly-eﬃcient mining devices. Moreover, the scrypt construction itself allows a linear trade-oﬀbetween memory size and CPU speed due to the fact that every block in the scratchpad is derived only from the previous. For example, you can store every second block and recalculate the others in a lazy way, i.e. only when it becomes necessary. The pseudo-random indexes are assumed to be uniformly distributed, hence the expected value of the additional blocks’ recalculations is \(\frac{1}{2} \cdot N\), where \(N\) is the number of iterations. The overall computation time increases less than by half because there are also time independent (constant time) operations such as preparing the scratchpad and hashing on every iteration. Saving 2/3 of the memory costs \(\frac{1}{3} \cdot N + \frac{1}{3} \cdot 2 \cdot N = N\) additional recalculations; 9/10 results in \(\frac{1}{10} \cdot N + \ldots + \frac{1}{10} \cdot 9 \cdot N = 4.5N\). It is easy to show that storing only \(\frac{1}{s}\) of all blocks increases the time less than by a factor of \(\frac{s-1}{2}\). This in turn implies that a machine with a CPU 200 times faster than the modern chips can store only 320 bytes of the scratchpad. 5.2 The proposed algorithm We propose a new memory-bound algorithm for the proof-of-work pricing function. It relies on random access to a slow memory and emphasizes latency dependence. As opposed to scrypt every new block (64 bytes in length) depends on all the previous blocks. As a result a hypothetical “memory-saver” should increase his calculation speed exponentially. Our algorithm requires about 2 Mb per instance for the following reasons: 1. It ﬁts in the L3 cache (per core) of modern processors, which should become mainstream in a few years; 2. A megabyte of internal memory is an almost unacceptable size for a modern ASIC pipeline; 3. GPUs may run hundreds of concurrent instances, but they are limited in other ways: GDDR5 memory is slower than the CPU L3 cache and remarkable for its bandwidth, not random access speed. 4. Signiﬁcant expansion of the scratchpad would require an increase in iterations, which in turn implies an overall time increase. “Heavy” calls in a trust-less p2p network may lead to serious vulnerabilities, because nodes are obliged to check every new block’s proof-of-work. If a node spends a considerable amount of time on each hash evaluation, it can be easily DDoSed by a ﬂood of fake objects with arbitrary work data (nonce values). 12 22 Nevermind, it’s a scrypt coin? Where is the algorithm? All I see is an advertisement. This is where Cryptonote, if their PoW algorithm is worthwhile, will really shine. It’s not really SHA-256, it’s not really scrypt. It’s new, memory bound, and non-recursive.

6 Further advantages 6.1 Smooth emission The upper bound for the overall amount of CryptoNote digital coins is: \(M_{Supply} = 2^{64} - 1\) atomic units. This is a natural restriction based only on implementation limits, not on intuition such as “N coins ought to be enough for anybody”. To ensure the smoothness of the emission process we use the following formula for block rewards: \(BaseReward = (M_{Supply} - A) \gg 18\), where \(A\) is amount of previously generated coins. 6.2 Adjustable parameters 6.2.1 Diﬃculty CryptoNote contains a targeting algorithm which changes the diﬃculty of every block. This decreases the system’s reaction time when the network hashrate is intensely growing or shrinking, preserving a constant block rate. The original Bitcoin method calculates the relation of actual and target time-span between the last 2016 blocks and uses it as the multiplier for the current diﬃculty. Obviously this is unsuitable for rapid recalculations (because of large inertia) and results in oscillations. The general idea behind our algorithm is to sum all the work completed by the nodes and divide it by the time they have spent. The measure of work is the corresponding diﬃculty values in each block. But due to inaccurate and untrusted timestamps we cannot determine the exact time interval between blocks. A user can shift his timestamp into the future and the next time intervals might be improbably small or even negative. Presumably there will be few incidents of this kind, so we can just sort the timestamps and cut-oﬀthe outliers (i.e. 20%). The range of the rest values is the time which was spent for 80% of the corresponding blocks. 6.2.2 Size limits Users pay for storing the blockchain and shall be entitled to vote for its size. Every miner deals with the trade-oﬀbetween balancing the costs and proﬁt from the fees and sets his own “soft-limit” for creating blocks. Also the core rule for the maximum block size is necessary for preventing the blockchain from being ﬂooded with bogus transaction, however this value should not be hard-coded. Let \(M_N\) be the median value of the last \(N\) blocks sizes. Then the “hard-limit” for the size of accepting blocks is \(2 \cdot M_N\). It averts the blockchain from bloating but still allows the limit to slowly grow with time if necessary. Transaction size does not need to be limited explicitly. It is bounded by the size of a block; and if somebody wants to create a huge transaction with hundreds of inputs/outputs (or with the high ambiguity degree in ring signatures), he can do so by paying suﬃcient fee. 6.2.3 Excess size penalty A miner still has the ability to stuﬀa block full of his own zero-fee transactions up to its maximum size \(2 \cdot M_b\). Even though only the majority of miners can shift the median value, there is still a 13 6 Further advantages 6.1 Smooth emission The upper bound for the overall amount of CryptoNote digital coins is: \(M_{Supply} = 2^{64} - 1\) atomic units. This is a natural restriction based only on implementation limits, not on intuition such as “N coins ought to be enough for anybody”. To ensure the smoothness of the emission process we use the following formula for block rewards: \(BaseReward = (M_{Supply} - A) \gg 18\), where \(A\) is amount of previously generated coins. 6.2 Adjustable parameters 6.2.1 Diﬃculty CryptoNote contains a targeting algorithm which changes the diﬃculty of every block. This decreases the system’s reaction time when the network hashrate is intensely growing or shrinking, preserving a constant block rate. The original Bitcoin method calculates the relation of actual and target time-span between the last 2016 blocks and uses it as the multiplier for the current diﬃculty. Obviously this is unsuitable for rapid recalculations (because of large inertia) and results in oscillations. The general idea behind our algorithm is to sum all the work completed by the nodes and divide it by the time they have spent. The measure of work is the corresponding diﬃculty values in each block. But due to inaccurate and untrusted timestamps we cannot determine the exact time interval between blocks. A user can shift his timestamp into the future and the next time intervals might be improbably small or even negative. Presumably there will be few incidents of this kind, so we can just sort the timestamps and cut-oﬀthe outliers (i.e. 20%). The range of the rest values is the time which was spent for 80% of the corresponding blocks. 6.2.2 Size limits Users pay for storing the blockchain and shall be entitled to vote for its size. Every miner deals with the trade-oﬀbetween balancing the costs and proﬁt from the fees and sets his own “soft-limit” for creating blocks. Also the core rule for the maximum block size is necessary for preventing the blockchain from being ﬂooded with bogus transaction, however this value should not be hard-coded. Let \(M_N\) be the median value of the last \(N\) blocks sizes. Then the “hard-limit” for the size of accepting blocks is \(2 \cdot M_N\). It averts the blockchain from bloating but still allows the limit to slowly grow with time if necessary. Transaction size does not need to be limited explicitly. It is bounded by the size of a block; and if somebody wants to create a huge transaction with hundreds of inputs/outputs (or with the high ambiguity degree in ring signatures), he can do so by paying suﬃcient fee. 6.2.3 Excess size penalty A miner still has the ability to stuﬀa block full of his own zero-fee transactions up to its maximum size \(2 \cdot M_b\). Even though only the majority of miners can shift the median value, there is still a 13 23 Atomic units. I like that. Is this the equivalent of Satoshis? If so, then that means there are going to be 185 billion cryptonote. I know this must be, eventually, tweaked in a few pages, or maybe there’s a typo? If the base reward is "all remaining coins" then only one block is suﬃcient to get all coins. Instamine. On the other hand, if this is supposed to be proportional in some way to the diﬀerence in time between now and some coin-production-termination-date? That would make sense. Also, in my world, two greater than signs like this means "much greater than." Did the author possibly mean something else? If adjustment to diﬃculty occurs every block then an attacker could have a very large farm of machines mine on and oﬀin carefully chosen time intervals. This could cause a chaotic explosion (or crash to zero) in diﬃculty, if diﬃculty adjustment formulas aren’t suitably damped. No doubt that Bitcoin’s method is unsuitable for rapid recalculations, but the idea of inertia in these systems would need to be proven, not taken for granted. Furthermore, oscillations in network diﬃculty isn’t necessarily a problem unless it results in oscillations of ostensible supply of coins - and having a very rapidly changing diﬃculty could cause "over-correction." Time spent, especially over a short time span like a few minutes, will be proportional to "total number of blocks created on the network." The constant of proportionality will, itself, grow over time, presumably exponentially if CN takes oﬀ. It may be a better idea to simply adjust the diﬃculty to keep "total blocks created on the network since the last block was added to the main chain" within some constant value, or with bounded variation or something like that. If an adaptive algorithm that is computationally easy to implement can be determined, this would seem to solve the problem. But then, if we used that method, someone with a big mining farm could shut their farm down for a few hours, and switch it back on again. For the ﬁrst few blocks, that farm will make bank. So, actually, this method would bring up an interesting point: mining becomes (on average) a losing game with no ROI, especially as more folks hop on the network. If the mining diﬃculty very closely tracked network hashrate, I somehow doubt people would mine as much as they currently do. Or, on the other hand, instead of keeping their mining farms going 24/7, they may turn them on for 6 hours, oﬀfor 2, on for 6, oﬀfor 2, or something like that. Just switch to another coin for a few hours, wait for diﬃculty to drop, then hop back on in order to gain those few extra blocks of proﬁtability as the network adapts. And you know what? This is actually probably one of the better mining scenarios I’ve put my mind into... This could be circular, but if block creation time averages to about a minute, can we just use the number of blocks as a proxy for "time spent?"

6 Further advantages 6.1 Smooth emission The upper bound for the overall amount of CryptoNote digital coins is: \(M_{Supply} = 2^{64} - 1\) atomic units. This is a natural restriction based only on implementation limits, not on intuition such as “N coins ought to be enough for anybody”. To ensure the smoothness of the emission process we use the following formula for block rewards: \(BaseReward = (M_{Supply} - A) \gg 18\), where \(A\) is amount of previously generated coins. 6.2 Adjustable parameters 6.2.1 Diﬃculty CryptoNote contains a targeting algorithm which changes the diﬃculty of every block. This decreases the system’s reaction time when the network hashrate is intensely growing or shrinking, preserving a constant block rate. The original Bitcoin method calculates the relation of actual and target time-span between the last 2016 blocks and uses it as the multiplier for the current diﬃculty. Obviously this is unsuitable for rapid recalculations (because of large inertia) and results in oscillations. The general idea behind our algorithm is to sum all the work completed by the nodes and divide it by the time they have spent. The measure of work is the corresponding diﬃculty values in each block. But due to inaccurate and untrusted timestamps we cannot determine the exact time interval between blocks. A user can shift his timestamp into the future and the next time intervals might be improbably small or even negative. Presumably there will be few incidents of this kind, so we can just sort the timestamps and cut-oﬀthe outliers (i.e. 20%). The range of the rest values is the time which was spent for 80% of the corresponding blocks. 6.2.2 Size limits Users pay for storing the blockchain and shall be entitled to vote for its size. Every miner deals with the trade-oﬀbetween balancing the costs and proﬁt from the fees and sets his own “soft-limit” for creating blocks. Also the core rule for the maximum block size is necessary for preventing the blockchain from being ﬂooded with bogus transaction, however this value should not be hard-coded. Let \(M_N\) be the median value of the last \(N\) blocks sizes. Then the “hard-limit” for the size of accepting blocks is \(2 \cdot M_N\). It averts the blockchain from bloating but still allows the limit to slowly grow with time if necessary. Transaction size does not need to be limited explicitly. It is bounded by the size of a block; and if somebody wants to create a huge transaction with hundreds of inputs/outputs (or with the high ambiguity degree in ring signatures), he can do so by paying suﬃcient fee. 6.2.3 Excess size penalty A miner still has the ability to stuﬀa block full of his own zero-fee transactions up to its maximum size \(2 \cdot M_b\). Even though only the majority of miners can shift the median value, there is still a 13 6 Further advantages 6.1 Smooth emission The upper bound for the overall amount of CryptoNote digital coins is: \(M_{Supply} = 2^{64} - 1\) atomic units. This is a natural restriction based only on implementation limits, not on intuition such as “N coins ought to be enough for anybody”. To ensure the smoothness of the emission process we use the following formula for block rewards: \(BaseReward = (M_{Supply} - A) \gg 18\), where \(A\) is amount of previously generated coins. 6.2 Adjustable parameters 6.2.1 Diﬃculty CryptoNote contains a targeting algorithm which changes the diﬃculty of every block. This decreases the system’s reaction time when the network hashrate is intensely growing or shrinking, preserving a constant block rate. The original Bitcoin method calculates the relation of actual and target time-span between the last 2016 blocks and uses it as the multiplier for the current diﬃculty. Obviously this is unsuitable for rapid recalculations (because of large inertia) and results in oscillations. The general idea behind our algorithm is to sum all the work completed by the nodes and divide it by the time they have spent. The measure of work is the corresponding diﬃculty values in each block. But due to inaccurate and untrusted timestamps we cannot determine the exact time interval between blocks. A user can shift his timestamp into the future and the next time intervals might be improbably small or even negative. Presumably there will be few incidents of this kind, so we can just sort the timestamps and cut-oﬀthe outliers (i.e. 20%). The range of the rest values is the time which was spent for 80% of the corresponding blocks. 6.2.2 Size limits Users pay for storing the blockchain and shall be entitled to vote for its size. Every miner deals with the trade-oﬀbetween balancing the costs and proﬁt from the fees and sets his own “soft-limit” for creating blocks. Also the core rule for the maximum block size is necessary for preventing the blockchain from being ﬂooded with bogus transaction, however this value should not be hard-coded. Let \(M_N\) be the median value of the last \(N\) blocks sizes. Then the “hard-limit” for the size of accepting blocks is \(2 \cdot M_N\). It averts the blockchain from bloating but still allows the limit to slowly grow with time if necessary. Transaction size does not need to be limited explicitly. It is bounded by the size of a block; and if somebody wants to create a huge transaction with hundreds of inputs/outputs (or with the high ambiguity degree in ring signatures), he can do so by paying suﬃcient fee. 6.2.3 Excess size penalty A miner still has the ability to stuﬀa block full of his own zero-fee transactions up to its maximum size \(2 \cdot M_b\). Even though only the majority of miners can shift the median value, there is still a 13 24 Okay, so we have a blockchain, and each block has timestamps IN ADDITION to simply being ordered. This was clearly inserted simply for diﬃculty adjustment, because timestamps are very unreliable, as mentioned. Are we allowed to have contradicting timestamps in the chain? If Block A comes before Block B in the chain, and everything is consistent in terms of ﬁnances, but Block A appears to have been created after Block B? Because, perhaps, someone owned a large part of the network? Is that ok? Probably, because the ﬁnances aren’t goofed up. Okay, so I hate this arbitrary "only 80% of the blocks are legitimate for the main blockchain" approach. It was intended to prevent liars from tweaking their timestamps? But now, it adds incentive for everyone to lie about their timestamps and just pick the median. Please deﬁne. Meaning "for this block, only include transactions that include fees greater than p%, preferentially with fees greater than 2p%" or something like that? What do they mean by bogus? If the transaction is consistent with past history of the blockchain, and the transaction includes fees that satisfy miners, is that not enough? Well, no, not necessarily. If no maximum block size exists, there is nothing to keep a malicious user from simply uploading a massive block of transactions to himself all at once just to slow down the network. A core rule for maximum block size prevents people from putting enormous amounts of junk data on the blockchain all at once just to slow things down. But such a rule certianly has to be adaptive - during the christmas season, for example, we could expect traﬃc to spike, and block size to get very big, and immediately afterward, for the block size to subsequently drop again. So we need either a) some sort of adaptive cap or b) a cap large enough so that 99% of reasonable christmas peaks don’t break the cap. Of course, that second one is impossible to estimate - who knows if a currency will catch on? Better to make it adaptive and not worry about it. But then we have a control theory problem: how to make this adaptive without vulnerability to attack or wild & crazy oscillations? Notice an adaptive method doesn’t stop malicious users from accumulating small amounts of junk data over time on the blockchain to cause long-term bloat. This is a diﬀerent issue altogether and one that cryptonote coins have serious problems with.

6 Further advantages 6.1 Smooth emission The upper bound for the overall amount of CryptoNote digital coins is: \(M_{Supply} = 2^{64} - 1\) atomic units. This is a natural restriction based only on implementation limits, not on intuition such as “N coins ought to be enough for anybody”. To ensure the smoothness of the emission process we use the following formula for block rewards: \(BaseReward = (M_{Supply} - A) \gg 18\), where \(A\) is amount of previously generated coins. 6.2 Adjustable parameters 6.2.1 Diﬃculty CryptoNote contains a targeting algorithm which changes the diﬃculty of every block. This decreases the system’s reaction time when the network hashrate is intensely growing or shrinking, preserving a constant block rate. The original Bitcoin method calculates the relation of actual and target time-span between the last 2016 blocks and uses it as the multiplier for the current diﬃculty. Obviously this is unsuitable for rapid recalculations (because of large inertia) and results in oscillations. The general idea behind our algorithm is to sum all the work completed by the nodes and divide it by the time they have spent. The measure of work is the corresponding diﬃculty values in each block. But due to inaccurate and untrusted timestamps we cannot determine the exact time interval between blocks. A user can shift his timestamp into the future and the next time intervals might be improbably small or even negative. Presumably there will be few incidents of this kind, so we can just sort the timestamps and cut-oﬀthe outliers (i.e. 20%). The range of the rest values is the time which was spent for 80% of the corresponding blocks. 6.2.2 Size limits Users pay for storing the blockchain and shall be entitled to vote for its size. Every miner deals with the trade-oﬀbetween balancing the costs and proﬁt from the fees and sets his own “soft-limit” for creating blocks. Also the core rule for the maximum block size is necessary for preventing the blockchain from being ﬂooded with bogus transaction, however this value should not be hard-coded. Let \(M_N\) be the median value of the last \(N\) blocks sizes. Then the “hard-limit” for the size of accepting blocks is \(2 \cdot M_N\). It averts the blockchain from bloating but still allows the limit to slowly grow with time if necessary. Transaction size does not need to be limited explicitly. It is bounded by the size of a block; and if somebody wants to create a huge transaction with hundreds of inputs/outputs (or with the high ambiguity degree in ring signatures), he can do so by paying suﬃcient fee. 6.2.3 Excess size penalty A miner still has the ability to stuﬀa block full of his own zero-fee transactions up to its maximum size \(2 \cdot M_b\). Even though only the majority of miners can shift the median value, there is still a 13 6 Further advantages 6.1 Smooth emission The upper bound for the overall amount of CryptoNote digital coins is: \(M_{Supply} = 2^{64} - 1\) atomic units. This is a natural restriction based only on implementation limits, not on intuition such as “N coins ought to be enough for anybody”. To ensure the smoothness of the emission process we use the following formula for block rewards: \(BaseReward = (M_{Supply} - A) \gg 18\), where \(A\) is amount of previously generated coins. 6.2 Adjustable parameters 6.2.1 Diﬃculty CryptoNote contains a targeting algorithm which changes the diﬃculty of every block. This decreases the system’s reaction time when the network hashrate is intensely growing or shrinking, preserving a constant block rate. The original Bitcoin method calculates the relation of actual and target time-span between the last 2016 blocks and uses it as the multiplier for the current diﬃculty. Obviously this is unsuitable for rapid recalculations (because of large inertia) and results in oscillations. The general idea behind our algorithm is to sum all the work completed by the nodes and divide it by the time they have spent. The measure of work is the corresponding diﬃculty values in each block. But due to inaccurate and untrusted timestamps we cannot determine the exact time interval between blocks. A user can shift his timestamp into the future and the next time intervals might be improbably small or even negative. Presumably there will be few incidents of this kind, so we can just sort the timestamps and cut-oﬀthe outliers (i.e. 20%). The range of the rest values is the time which was spent for 80% of the corresponding blocks. 6.2.2 Size limits Users pay for storing the blockchain and shall be entitled to vote for its size. Every miner deals with the trade-oﬀbetween balancing the costs and proﬁt from the fees and sets his own “soft-limit” for creating blocks. Also the core rule for the maximum block size is necessary for preventing the blockchain from being ﬂooded with bogus transaction, however this value should not be hard-coded. Let \(M_N\) be the median value of the last \(N\) blocks sizes. Then the “hard-limit” for the size of accepting blocks is \(2 \cdot M_N\). It averts the blockchain from bloating but still allows the limit to slowly grow with time if necessary. Transaction size does not need to be limited explicitly. It is bounded by the size of a block; and if somebody wants to create a huge transaction with hundreds of inputs/outputs (or with the high ambiguity degree in ring signatures), he can do so by paying suﬃcient fee. 6.2.3 Excess size penalty A miner still has the ability to stuﬀa block full of his own zero-fee transactions up to its maximum size \(2 \cdot M_b\). Even though only the majority of miners can shift the median value, there is still a 13 25 Rescaling time so that one unit of time is \(N\) blocks, the average block size could still, theoretically, grow exponentially proportionally to \(2^t\). On the other hand, a more general cap on the next block would be \(M_n \cdot f(M_n)\) for some function \(f\). What properties of \(f\) would we choose in order to guarantee some "reasonable growth" of block size? The progression of block sizes (after rescaling time) would go like this: \(M_n \quad f(M_n) \cdot M_n \quad f(f(M_n) \cdot M_n) \cdot f(M_n) \cdot M_n \quad f(f(f(M_n) \cdot M_n) \cdot f(M_n) \cdot M_n) \cdot f(f(M_n) \cdot M_n) \cdot f(\ldots)\) \(\ldots\) And the goal here is to choose \(f\) such that this sequence grows no faster than, say, linearly, or perhaps even as \(\log(t)\). Of course, if \(f(M_n) = a\) for some constant \(a\), this sequence is actually \(M_n \quad a \cdot M_n \quad a^2 \cdot M_n \quad a^3 \cdot M_n \quad \ldots\) And, of course, the only way this can be limited to at-most linear growth is by choosing \(a = 1\). This is, of course, infeasible. It does not allow growth at all. If, on the other hand, \(f(M_n)\) is a non-constant function, then the situation is much more complicated and may allow for an elegant solution. I’ll think on this for awhile. This fee will have to be large enough to discount the excess size penalty from the next section. Why is a general user assumed male, huh? Huh?

possibility to bloat the blockchain and produce an additional load on the nodes. To discourage malevolent participants from creating large blocks we introduce a penalty function: \[NewReward = BaseReward \cdot \left(\frac{BlkSize}{M_N} - 1\right)^2\] This rule is applied only when \(BlkSize\) is greater than minimal free block size which should be close to \(\max(10kb, M_N \cdot 110\%)\). Miners are permitted to create blocks of “usual size” and even exceed it with proﬁt when the overall fees surpass the penalty. But fees are unlikely to grow quadratically unlike the penalty value so there will be an equilibrium. 6.3 Transaction scripts CryptoNote has a very minimalistic scripting subsystem. A sender speciﬁes an expression \(\Phi = f(x_1, x_2, \ldots, x_n)\), where \(n\) is the number of destination public keys \(\{P_i\}_{i=1}^{n}\). Only ﬁve binary operators are supported: min, max, sum, mul and cmp. When the receiver spends this payment, he produces \(0 \leq k \leq n\) signatures and passes them to transaction input. The veriﬁcation process simply evaluates \(\Phi\) with \(x_i = 1\) to check for a valid signature for the public key \(P_i\), and \(x_i = 0\). A veriﬁer accepts the proof iff \(\Phi > 0\). Despite its simplicity this approach covers every possible case: • Multi-/Threshold signature. For the Bitcoin-style “M-out-of-N” multi-signature (i.e. the receiver should provide at least \(0 \leq M \leq N\) valid signatures) \(\Phi = x_1 + x_2 + \ldots + x_N \geq M\) (for clarity we are using common algebraic notation). The weighted threshold signature (some keys can be more important than other) could be expressed as \(\Phi = w_1 \cdot x_1 + w_2 \cdot x_2 + \ldots + w_N \cdot x_N \geq w_M\). And scenario where the master-key corresponds to \(\Phi = \max(M \cdot x, x_1 + x_2 + \ldots + x_N) \geq M\). It is easy to show that any sophisticated case can be expressed with these operators, i.e. they form basis. • Password protection. Possession of a secret password \(s\) is equivalent to the knowledge of a private key, deterministically derived from the password: \(k = KDF(s)\). Hence, a receiver can prove that he knows the password by providing another signature under the key \(k\). The sender simply adds the corresponding public key to his own output. Note that this method is much more secure than the “transaction puzzle” used in Bitcoin [13], where the password is explicitly passed in the inputs. • Degenerate cases. \(\Phi = 1\) means that anybody can spend the money; \(\Phi = 0\) marks the output as not spendable forever. In the case when the output script combined with public keys is too large for a sender, he can use special output type, which indicates that the recipient will put this data in his input while the sender provides only a hash of it. This approach is similar to Bitcoin’s “pay-to-hash” feature, but instead of adding new script commands we handle this case at the data structure level. 7 Conclusion We have investigated the major ﬂaws in Bitcoin and proposed some possible solutions. These advantageous features and our ongoing development make new electronic cash system CryptoNote a serious rival to Bitcoin, outclassing all its forks. 14 possibility to bloat the blockchain and produce an additional load on the nodes. To discourage malevolent participants from creating large blocks we introduce a penalty function: \[NewReward = BaseReward \cdot \left(\frac{BlkSize}{M_N} - 1\right)^2\] This rule is applied only when \(BlkSize\) is greater than minimal free block size which should be close to \(\max(10kb, M_N \cdot 110\%)\). Miners are permitted to create blocks of “usual size” and even exceed it with proﬁt when the overall fees surpass the penalty. But fees are unlikely to grow quadratically unlike the penalty value so there will be an equilibrium. 6.3 Transaction scripts CryptoNote has a very minimalistic scripting subsystem. A sender speciﬁes an expression \(\Phi = f(x_1, x_2, \ldots, x_n)\), where \(n\) is the number of destination public keys \(\{P_i\}_{i=1}^{n}\). Only ﬁve binary operators are supported: min, max, sum, mul and cmp. When the receiver spends this payment, he produces \(0 \leq k \leq n\) signatures and passes them to transaction input. The veriﬁcation process simply evaluates \(\Phi\) with \(x_i = 1\) to check for a valid signature for the public key \(P_i\), and \(x_i = 0\). A veriﬁer accepts the proof iff \(\Phi > 0\). Despite its simplicity this approach covers every possible case: • Multi-/Threshold signature. For the Bitcoin-style “M-out-of-N” multi-signature (i.e. the receiver should provide at least \(0 \leq M \leq N\) valid signatures) \(\Phi = x_1 + x_2 + \ldots + x_N \geq M\) (for clarity we are using common algebraic notation). The weighted threshold signature (some keys can be more important than other) could be expressed as \(\Phi = w_1 \cdot x_1 + w_2 \cdot x_2 + \ldots + w_N \cdot x_N \geq w_M\). And scenario where the master-key corresponds to \(\Phi = \max(M \cdot x, x_1 + x_2 + \ldots + x_N) \geq M\). It is easy to show that any sophisticated case can be expressed with these operators, i.e. they form basis. • Password protection. Possession of a secret password \(s\) is equivalent to the knowledge of a private key, deterministically derived from the password: \(k = KDF(s)\). Hence, a receiver can prove that he knows the password by providing another signature under the key \(k\). The sender simply adds the corresponding public key to his own output. Note that this method is much more secure than the “transaction puzzle” used in Bitcoin [13], where the password is explicitly passed in the inputs. • Degenerate cases. \(\Phi = 1\) means that anybody can spend the money; \(\Phi = 0\) marks the output as not spendable forever. In the case when the output script combined with public keys is too large for a sender, he can use special output type, which indicates that the recipient will put this data in his input while the sender provides only a hash of it. This approach is similar to Bitcoin’s “pay-to-hash” feature, but instead of adding new script commands we handle this case at the data structure level. 7 Conclusion We have investigated the major ﬂaws in Bitcoin and proposed some possible solutions. These advantageous features and our ongoing development make new electronic cash system CryptoNote a serious rival to Bitcoin, outclassing all its forks. 14 26 This may be unnecessary if we can ﬁgure out a way to bound block size over time... This also cannot be correct. They just set "NewReward" to an upward-facing parabola where block size is the independent variable. So new reward blows up to inﬁnity. If, on the other hand, the new reward is \(\max(0, BaseReward \cdot (1 - (BlkSize/M_n - 1)^2))\), then the new reward would be a downward facing parabola with peak at \(blocksize = M_n\), and with intercepts at \(Blocksize = 0\) and \(Blocksize = 2 \cdot M_n\). And that seems to be what they are trying to describe. However, this does not

Giao dịch không thể theo dõi

Trong phần này, chúng tôi đề xuất một sơ đồ các giao dịch ẩn danh hoàn toàn thỏa mãn cả khả năng không thể theo dõi và điều kiện không thể liên kết. Một tính năng quan trọng trong giải pháp của chúng tôi là tính tự chủ của nó: người gửi không bắt buộc phải hợp tác với người dùng khác hoặc bên thứ ba đáng tin cậy để thực hiện các giao dịch của mình; do đó mỗi người tham gia tạo ra một lưu lượng truy cập bìa một cách độc lập. 4.1 Bình luận văn học Sơ đồ của chúng tôi dựa trên nguyên tắc mật mã được gọi là chữ ký nhóm. Lần đầu tiên được trình bày bởi D. Chaum và E. van Heyst [19], nó cho phép người dùng ký vào tin nhắn của mình thay mặt cho nhóm. Sau khi ký tin nhắn, người dùng cung cấp (vì mục đích xác minh) chứ không phải thông tin công khai của riêng mình 1Đây được gọi là “giới hạn mềm” — hạn chế máy khách tham chiếu để tạo khối mới. Tối đa cứng của kích thước khối có thể là 1 MB 4 chúng nếu cần thiết sẽ gây ra những hạn chế chính. Thật không may, thật khó để dự đoán khi nào các hằng số có thể cần phải được thay đổi và việc thay thế chúng có thể dẫn đến những hậu quả khủng khiếp. Một ví dụ điển hình về thay đổi giới hạn được mã hóa cứng dẫn đến hậu quả tai hại là khối giới hạn kích thước được đặt thành 250kb1. Giới hạn này đủ để chứa khoảng 10000 giao dịch tiêu chuẩn. trong đầu năm 2013, giới hạn này gần như đã đạt được và đạt được thỏa thuận nhằm tăng giới hạn. Thay đổi được triển khai trong phiên bản ví 0.8 và kết thúc bằng việc chia chuỗi 24 khối và một cuộc tấn công chi tiêu gấp đôi thành công [9]. Mặc dù lỗi không nằm trong giao thức Bitcoin nhưng đúng hơn là trong công cụ cơ sở dữ liệu, nó có thể dễ dàng bị phát hiện bằng một bài kiểm tra căng thẳng đơn giản nếu có không có giới hạn kích thước khối được giới thiệu một cách giả tạo. Các hằng số cũng hoạt động như một dạng điểm tập trung. Bất chấp bản chất ngang hàng của Bitcoin, phần lớn các nút sử dụng ứng dụng khách tham chiếu chính thức [10] được phát triển bởi một nhóm nhỏ người Nhóm này đưa ra quyết định thực hiện các thay đổi đối với giao thức và hầu hết mọi người đều chấp nhận những thay đổi này bất kể “tính đúng đắn” của chúng. Một số quyết định gây ra các cuộc thảo luận sôi nổi và thậm chí còn kêu gọi tẩy chay [11], điều này cho thấy rằng cộng đồng và các nhà phát triển có thể không đồng ý ở một số điểm quan trọng. Do đó, có vẻ hợp lý khi có một giao thức với các biến do người dùng cấu hình và tự điều chỉnh như một cách có thể để tránh những vấn đề này. 2,5 Tập lệnh cồng kềnh Hệ thống tập lệnh trong Bitcoin là một tính năng nặng nề và phức tạp. Nó có khả năng cho phép người ta tạo ra các giao dịch phức tạp [12], nhưng một số tính năng của nó bị vô hiệu hóa do lo ngại về bảo mật và một số thậm chí chưa bao giờ được sử dụng [13]. Kịch bản (bao gồm cả phần người gửi và người nhận) đối với giao dịch phổ biến nhất trong Bitcoin trông như thế này: OP DUP OP HASH160 OP XÁC MINH BẰNG CÁCH OP CHECKSIG. Tập lệnh dài 164 byte trong khi mục đích duy nhất của nó là kiểm tra xem người nhận có sở hữu khóa bí mật cần thiết để xác minh chữ ký của mình. 3 Công nghệ CryptoNote Bây giờ chúng ta đã đề cập đến những hạn chế của công nghệ Bitcoin, chúng ta sẽ tập trung vào trình bày các tính năng của CryptoNote. 4 Giao dịch không thể theo dõi Trong phần này, chúng tôi đề xuất một sơ đồ các giao dịch ẩn danh hoàn toàn thỏa mãn cả khả năng không thể theo dõi và điều kiện không thể liên kết. Một tính năng quan trọng trong giải pháp của chúng tôi là tính tự chủ của nó: người gửi không bắt buộc phải hợp tác với người dùng khác hoặc bên thứ ba đáng tin cậy để thực hiện các giao dịch của mình; do đó mỗi người tham gia tạo ra một lưu lượng truy cập bìa một cách độc lập. 4.1 Bình luận văn học Sơ đồ của chúng tôi dựa trên nguyên tắc mật mã được gọi là chữ ký nhóm. Lần đầu tiên được trình bày bởi D. Chaum và E. van Heyst [19], nó cho phép người dùng ký vào tin nhắn của mình thay mặt cho nhóm. Sau khi ký tin nhắn, người dùng cung cấp (vì mục đích xác minh) chứ không phải thông tin công khai của riêng mình 1Đây được gọi là “giới hạn mềm” — hạn chế máy khách tham chiếu để tạo khối mới. Tối đa cứng của kích thước khối có thể là 1 MB 4 7 Nhìn lại, có vẻ như đó là một sai lầm lớn khi biến kích thước khối thành giới hạn cố định trong mã. Visa và Mastercard có thể xử lý hàng nghìn, nếu không phải hàng trăm nghìn giao dịch mỗi giây. Tuy nhiên, các giao dịch diễn ra theo một quá trình ngẫu nhiên, đôi khi diễn ra theo từng đợt lớn, có khi im lặng hàng giờ. Hãy nghĩ về khối lượng trao đổi bitcoin. Có vẻ như là một ý tưởng tuyệt vời để thiết kế một hệ thống tăng kích thước khối một cách linh hoạt khi cần thiết để đáp ứng lưu lượng giao dịch tăng lên và giảm nó một cách linh hoạt khi cần thiết tăng hiệu quả băng thông. Bây giờ, hãy áp dụng khái niệm đó cho tất cả các tham số của hệ thống. Và miễn là chúng ta cẩn thận giữ hệ thống thoát khỏi sự mất kiểm soát, sh nàysẽ hoạt động tuyệt vời. https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki Như đã đề cập trước đó, nếu các biến số tự điều chỉnh thì phải áp dụng một số biện pháp kiểm soát để giữ cho hệ thống không bị mất kiểm soát. Chúng ta sẽ đạt được điều đó. Nếu đây là một bài viết trên wikipedia thì nó sẽ được gắn nhãn "STUB". Mặc dù chúng tôi chắc chắn đang ở trong phần giới thiệu "Sự cố của Bitcoin", tôi muốn giải thích chi tiết ở đây. Tại sao là 164 byte không được chấp nhận cho tác vụ "kiểm tra khóa bí mật" đơn giản? Họ có thể nhận được nhỏ đến mức nào một ngôn ngữ kịch bản hợp lý? Tuy nhiên, tôi không phải là nhà khoa học máy tính. http://download.springer.com/static/pdf/412/chp%253A10.1007%252F3-540-46416-6_22.pdf?auth66=140 Chữ ký nhóm, như được mô tả, yêu cầu người quản lý nhóm. Người quản lý nhóm có khả năng hủy bỏ sự ẩn danh của bất kỳ người ký nào. Do đó, có sự tập trung sẵn có trong một nhóm sơ đồ chữ ký.

chìa khóa, mà là chìa khóa của tất cả người dùng trong nhóm của anh ấy. Người xác minh bị thuyết phục rằng người ký thực sự là một thành viên của nhóm, nhưng không thể xác định riêng người ký. Giao thức ban đầu yêu cầu một bên thứ ba đáng tin cậy (được gọi là Người quản lý nhóm) và anh ta người duy nhất có thể tìm ra người ký. Phiên bản tiếp theo được gọi là chữ ký vòng, được giới thiệu bởi Rivest và cộng sự. trong [34], là một chương trình tự trị không có Trình quản lý nhóm và ẩn danh thu hồi. Nhiều sửa đổi khác nhau của sơ đồ này xuất hiện sau đó: chữ ký vòng có thể liên kết [26, 27, 17] được phép xác định xem hai chữ ký có được tạo bởi cùng một thành viên nhóm hay không, có thể theo dõi được chữ ký vòng [24, 23] hạn chế tính ẩn danh quá mức bằng cách cung cấp khả năng theo dõi người ký hai thông báo liên quan đến cùng một siêu thông tin (hoặc “thẻ” theo thuật ngữ [24]). Một cấu trúc mật mã tương tự còn được gọi là chữ ký nhóm đặc biệt [16, 38]. Nó nhấn mạnh sự hình thành nhóm tùy ý, trong khi các sơ đồ chữ ký nhóm/vòng ngụ ý một tập hợp các thành viên cố định. Phần lớn giải pháp của chúng tôi dựa trên tác phẩm “Chữ ký vòng có thể theo dõi” của E. Fujisaki và K. Suzuki [24]. Để phân biệt thuật toán gốc và thuật toán sửa đổi của chúng tôi, chúng tôi sẽ gọi cái sau là chữ ký vòng một lần, nhấn mạnh khả năng của người dùng chỉ tạo ra một chữ ký hợp lệ chữ ký dưới khóa riêng của mình. Chúng tôi đã làm suy yếu đặc tính truy xuất nguồn gốc và giữ nguyên khả năng liên kết chỉ để cung cấp tính chất một lần: khóa chung có thể xuất hiện trong nhiều bộ xác minh nước ngoài và khóa riêng có thể được sử dụng để tạo chữ ký ẩn danh duy nhất. Trường hợp chi tiêu gấp đôi thử 2 chữ ký này sẽ được liên kết với nhau nhưng việc tiết lộ người ký là không cần thiết cho mục đích của chúng tôi. 4.2 định nghĩa 4.2.1 Thông số đường cong elip Là thuật toán chữ ký cơ sở, chúng tôi đã chọn sử dụng lược đồ nhanh EdDSA, được phát triển và được thực hiện bởi D.J. Bernstein và cộng sự. [18]. Giống như ECDSA của Bitcoin nó dựa trên đường cong elip vấn đề logarit rời rạc, do đó lược đồ của chúng tôi cũng có thể được áp dụng cho Bitcoin trong tương lai. Các thông số phổ biến là: q: số nguyên tố; q = 2255 −19; d: một phần tử của Fq; d = −121665/121666; E: phương trình đường cong elip; −x2 + y2 = 1 + dx2y2; G: điểm cơ sở; G = (x, −4/5); l: thứ tự nguyên tố của điểm cơ sở; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): hàm mật mã hash \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): hàm hash tất định \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Thuật ngữ Quyền riêng tư nâng cao yêu cầu thuật ngữ mới không được nhầm lẫn với các thực thể Bitcoin. khóa riêng ec-key là khóa riêng có đường cong elip tiêu chuẩn: một số \(a \in [1, l - 1]\); public ec-key là khóa công khai có đường cong elip tiêu chuẩn: a điểm A = aG; cặp khóa dùng một lần là một cặp khóa điện tử riêng tư và công khai; 5 chìa khóa, mà là chìa khóa của tất cả người dùng trong nhóm của anh ấy. Người xác minh bị thuyết phục rằng người ký thực sự là một thành viên của nhóm, nhưng không thể xác định riêng người ký. Giao thức ban đầu yêu cầu một bên thứ ba đáng tin cậy (được gọi là Người quản lý nhóm) và anh ta người duy nhất có thể tìm ra người ký. Phiên bản tiếp theo được gọi là chữ ký vòng, được giới thiệu bởi Rivest và cộng sự. trong [34], là một chương trình tự trị không có Trình quản lý nhóm và ẩn danh thu hồi. Nhiều sửa đổi khác nhau của sơ đồ này xuất hiện sau đó: chữ ký vòng có thể liên kết [26, 27, 17] được phép xác định xem hai chữ ký có được tạo bởi cùng một thành viên nhóm hay không, có thể theo dõi được chữ ký vòng [24, 23] hạn chế tính ẩn danh quá mức bằng cách cung cấp khả năng theo dõi người ký hai thông báo liên quan đến cùng một siêu thông tin (hoặc “thẻ” theo thuật ngữ [24]). Một cấu trúc mật mã tương tự còn được gọi là chữ ký nhóm đặc biệt [16, 38]. Nó nhấn mạnh sự hình thành nhóm tùy ý, trong khi các sơ đồ chữ ký nhóm/vòng ngụ ý một tập hợp các thành viên cố định. Phần lớn giải pháp của chúng tôi dựa trên tác phẩm “Chữ ký vòng có thể theo dõi” của E. Fujisaki và K. Suzuki [24]. Để phân biệt thuật toán gốc và thuật toán sửa đổi của chúng tôi, chúng tôi sẽ gọi cái sau là chữ ký vòng một lần, nhấn mạnh khả năng của người dùng chỉ tạo ra một chữ ký hợp lệ chữ ký dưới khóa riêng của mình. Chúng tôi đã làm suy yếu đặc tính truy xuất nguồn gốc và giữ nguyên khả năng liên kết chỉ để cung cấp tính chất một lần: khóa công khai có thể xuất hiện trong nhiều bộ xác minh nước ngoài và khóa riêng có thể được sử dụng để tạo chữ ký ẩn danh duy nhất. Trường hợp chi tiêu gấp đôi thử 2 chữ ký này sẽ được liên kết với nhau nhưng việc tiết lộ người ký là không cần thiết cho mục đích của chúng tôi. 4.2 định nghĩa 4.2.1 Thông số đường cong elip Là thuật toán chữ ký cơ sở, chúng tôi chọne sử dụng sơ đồ nhanh EdDSA, được phát triển và được thực hiện bởi D.J. Bernstein và cộng sự. [18]. Giống như ECDSA của Bitcoin nó dựa trên đường cong elip vấn đề logarit rời rạc, do đó lược đồ của chúng tôi cũng có thể được áp dụng cho Bitcoin trong tương lai. Các thông số phổ biến là: q: số nguyên tố; q = 2255 −19; d: một phần tử của Fq; d = −121665/121666; E: phương trình đường cong elip; −x2 + y2 = 1 + dx2y2; G: điểm cơ sở; G = (x, −4/5); l: thứ tự nguyên tố của điểm cơ sở; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): hàm mật mã hash \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): hàm hash tất định \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Thuật ngữ Quyền riêng tư nâng cao yêu cầu thuật ngữ mới không được nhầm lẫn với các thực thể Bitcoin. khóa riêng ec-key là khóa riêng có đường cong elip tiêu chuẩn: một số \(a \in [1, l - 1]\); public ec-key là khóa công khai có đường cong elip tiêu chuẩn: a điểm A = aG; cặp khóa dùng một lần là một cặp khóa điện tử riêng tư và công khai; 5 8 Chữ ký vòng hoạt động như thế này: Alex muốn tiết lộ một thông điệp tới WikiLeaks về chủ nhân của cô ấy. Mỗi nhân viên trong Công ty của cô đều có một cặp khóa riêng/chung (Ri, Ui). Cô ấy sáng tác chữ ký của cô ấy với thông tin đầu vào được đặt là tin nhắn của cô ấy, m, khóa riêng của cô ấy, Ri và MỌI NGƯỜI khóa công khai, (Ui;i=1...n). Bất kỳ ai (không biết bất kỳ khóa riêng nào) đều có thể xác minh dễ dàng rằng cặp some (Rj, Uj) phải được sử dụng để tạo chữ ký... ai đó làm việc cho người chủ của Alex... nhưng về cơ bản đó chỉ là phỏng đoán ngẫu nhiên để tìm ra đó có thể là ai. http://en.wikipedia.org/wiki/Ring_signature#Crypto-currencies http://link.springer.com/chapter/10.1007/3-540-45682-1_32#page-1 http://link.springer.com/chapter/10.1007/11424826_65 http://link.springer.com/chapter/10.1007/978-3-540-27800-9_28 http://link.springer.com/chapter/10.1007%2F11774716_9 Lưu ý rằng chữ ký vòng có thể liên kết được mô tả ở đây trái ngược với "không thể liên kết" được mô tả ở trên. Ở đây, chúng tôi chặn hai tin nhắn và chúng tôi có thể xác định xem liệu chúng có giống nhau không bên đã gửi chúng, mặc dù chúng tôi vẫn không thể xác định được bên đó là ai. các định nghĩa "không thể liên kết" được sử dụng để xây dựng Cryptonote có nghĩa là chúng tôi không thể xác định liệu cùng một bên đang nhận chúng. Do đó, những gì chúng ta thực sự có ở đây là BỐN điều đang diễn ra. Một hệ thống có thể được liên kết hoặc không thể liên kết được, tùy thuộc vào việc có thể xác định được người gửi của hai tin nhắn giống nhau (bất kể điều này có yêu cầu thu hồi tính ẩn danh hay không). Và một hệ thống có thể không thể liên kết được hoặc không thể hủy liên kết được, tùy thuộc vào việc có thể thực hiện được hay không. xác định xem người nhận hai tin nhắn có giống nhau hay không (bất kể có hay không điều này yêu cầu thu hồi ẩn danh). Xin đừng trách tôi vì thuật ngữ khủng khiếp này. Các nhà lý thuyết đồ thị có lẽ nên hài lòng. Một số bạn có thể cảm thấy thoải mái hơn với "có thể liên kết được với người nhận" so với "có thể liên kết được với người gửi". http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Khi tôi đọc điều này, đây có vẻ là một tính năng ngớ ngẩn. Sau đó tôi đọc được rằng nó có thể là một tính năng dành cho bỏ phiếu điện tử, và điều đó có vẻ hợp lý. Thật tuyệt, từ quan điểm đó. Nhưng tôi không hoàn toàn chắc chắn về việc cố tình thực hiện chữ ký vòng có thể theo dõi. http://search.ieice.org/bin/summary.php?id=e95-a_1_151

chìa khóa, mà là chìa khóa của tất cả người dùng trong nhóm của anh ấy. Người xác minh bị thuyết phục rằng người ký thực sự là một thành viên của nhóm, nhưng không thể xác định riêng người ký. Giao thức ban đầu yêu cầu một bên thứ ba đáng tin cậy (được gọi là Người quản lý nhóm) và anh ta người duy nhất có thể tìm ra người ký. Phiên bản tiếp theo được gọi là chữ ký vòng, được giới thiệu bởi Rivest và cộng sự. trong [34], là một chương trình tự trị không có Trình quản lý nhóm và ẩn danh thu hồi. Nhiều sửa đổi khác nhau của sơ đồ này xuất hiện sau đó: chữ ký vòng có thể liên kết [26, 27, 17] được phép xác định xem hai chữ ký có được tạo bởi cùng một thành viên nhóm hay không, có thể theo dõi được chữ ký vòng [24, 23] hạn chế tính ẩn danh quá mức bằng cách cung cấp khả năng theo dõi người ký hai thông báo liên quan đến cùng một siêu thông tin (hoặc “thẻ” theo thuật ngữ [24]). Một cấu trúc mật mã tương tự còn được gọi là chữ ký nhóm đặc biệt [16, 38]. Nó nhấn mạnh sự hình thành nhóm tùy ý, trong khi các sơ đồ chữ ký nhóm/vòng ngụ ý một tập hợp các thành viên cố định. Phần lớn giải pháp của chúng tôi dựa trên tác phẩm “Chữ ký vòng có thể theo dõi” của E. Fujisaki và K. Suzuki [24]. Để phân biệt thuật toán gốc và thuật toán sửa đổi của chúng tôi, chúng tôi sẽ gọi cái sau là chữ ký vòng một lần, nhấn mạnh khả năng của người dùng chỉ tạo ra một chữ ký hợp lệ chữ ký dưới khóa riêng của mình. Chúng tôi đã làm suy yếu đặc tính truy xuất nguồn gốc và giữ nguyên khả năng liên kết chỉ để cung cấp tính chất một lần: khóa công khai có thể xuất hiện trong nhiều bộ xác minh nước ngoài và khóa riêng có thể được sử dụng để tạo chữ ký ẩn danh duy nhất. Trường hợp chi tiêu gấp đôi thử 2 chữ ký này sẽ được liên kết với nhau nhưng việc tiết lộ người ký là không cần thiết cho mục đích của chúng tôi. 4.2 định nghĩa 4.2.1 Thông số đường cong elip Là thuật toán chữ ký cơ sở, chúng tôi đã chọn sử dụng lược đồ nhanh EdDSA, được phát triển và được thực hiện bởi D.J. Bernstein và cộng sự. [18]. Giống như ECDSA của Bitcoin nó dựa trên đường cong elip vấn đề logarit rời rạc, do đó lược đồ của chúng tôi cũng có thể được áp dụng cho Bitcoin trong tương lai. Các thông số phổ biến là: q: số nguyên tố; q = 2255 −19; d: một phần tử của Fq; d = −121665/121666; E: phương trình đường cong elip; −x2 + y2 = 1 + dx2y2; G: điểm cơ sở; G = (x, −4/5); l: thứ tự nguyên tố của điểm cơ sở; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): hàm mật mã hash \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): hàm hash tất định \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Thuật ngữ Quyền riêng tư nâng cao yêu cầu thuật ngữ mới không được nhầm lẫn với các thực thể Bitcoin. khóa riêng ec-key là khóa riêng có đường cong elip tiêu chuẩn: một số \(a \in [1, l - 1]\); public ec-key là khóa công khai có đường cong elip tiêu chuẩn: a điểm A = aG; cặp khóa dùng một lần là một cặp khóa điện tử riêng tư và công khai; 5 chìa khóa, mà là chìa khóa của tất cả người dùng trong nhóm của anh ấy. Người xác minh bị thuyết phục rằng người ký thực sự là một thành viên của nhóm, nhưng không thể xác định riêng người ký. Giao thức ban đầu yêu cầu một bên thứ ba đáng tin cậy (được gọi là Người quản lý nhóm) và anh ta người duy nhất có thể tìm ra người ký. Phiên bản tiếp theo được gọi là chữ ký vòng, được giới thiệu bởi Rivest và cộng sự. trong [34], là một chương trình tự trị không có Trình quản lý nhóm và ẩn danh thu hồi. Nhiều sửa đổi khác nhau của sơ đồ này xuất hiện sau đó: chữ ký vòng có thể liên kết [26, 27, 17] được phép xác định xem hai chữ ký có được tạo bởi cùng một thành viên nhóm hay không, có thể theo dõi được chữ ký vòng [24, 23] hạn chế tính ẩn danh quá mức bằng cách cung cấp khả năng theo dõi người ký hai thông báo liên quan đến cùng một siêu thông tin (hoặc “thẻ” theo thuật ngữ [24]). Một cấu trúc mật mã tương tự còn được gọi là chữ ký nhóm đặc biệt [16, 38]. Nó nhấn mạnh sự hình thành nhóm tùy ý, trong khi các sơ đồ chữ ký nhóm/vòng ngụ ý một tập hợp các thành viên cố định. Phần lớn giải pháp của chúng tôi dựa trên tác phẩm “Chữ ký vòng có thể theo dõi” của E. Fujisaki và K. Suzuki [24]. Để phân biệt thuật toán gốc và thuật toán sửa đổi của chúng tôi, chúng tôi sẽ gọi cái sau là chữ ký vòng một lần, nhấn mạnh khả năng của người dùng chỉ tạo ra một chữ ký hợp lệ chữ ký dưới khóa riêng của mình. Chúng tôi đã làm suy yếu đặc tính truy xuất nguồn gốc và giữ nguyên khả năng liên kết chỉ để cung cấp tính chất một lần: khóa công khai có thể xuất hiện trong nhiều bộ xác minh nước ngoài và khóa riêng có thể được sử dụng để tạo chữ ký ẩn danh duy nhất. Trường hợp chi tiêu gấp đôi thử 2 chữ ký này sẽ được liên kết với nhau nhưng việc tiết lộ người ký là không cần thiết cho mục đích của chúng tôi. 4.2 định nghĩa 4.2.1 Thông số đường cong elip Là thuật toán chữ ký cơ sở, chúng tôi chọne sử dụng sơ đồ nhanh EdDSA, được phát triển và được thực hiện bởi D.J. Bernstein và cộng sự. [18]. Giống như ECDSA của Bitcoin nó dựa trên đường cong elip vấn đề logarit rời rạc, do đó lược đồ của chúng tôi cũng có thể được áp dụng cho Bitcoin trong tương lai. Các thông số phổ biến là: q: số nguyên tố; q = 2255 −19; d: một phần tử của Fq; d = −121665/121666; E: phương trình đường cong elip; −x2 + y2 = 1 + dx2y2; G: điểm cơ sở; G = (x, −4/5); l: thứ tự nguyên tố của điểm cơ sở; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): hàm mật mã hash \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): hàm hash tất định \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Thuật ngữ Quyền riêng tư nâng cao yêu cầu thuật ngữ mới không được nhầm lẫn với các thực thể Bitcoin. khóa riêng ec-key là khóa riêng có đường cong elip tiêu chuẩn: một số \(a \in [1, l - 1]\); public ec-key là khóa công khai có đường cong elip tiêu chuẩn: a điểm A = aG; cặp khóa dùng một lần là một cặp khóa điện tử riêng tư và công khai; 5 9 Trời ơi, tác giả của sách trắng này chắc chắn có thể diễn đạt điều này tốt hơn! Hãy nói rằng một công ty do nhân viên sở hữu muốn bỏ phiếu về việc có nên mua một số sản phẩm mới hay không tài sản, Alex và Brenda đều là nhân viên. Công ty cung cấp cho mỗi nhân viên một thông báo như "Tôi bỏ phiếu đồng ý cho Dự luật A!" có "vấn đề" siêu thông tin [ĐỀ XUẤT A] và yêu cầu họ ký vào đó bằng chữ ký vòng có thể theo dõi được nếu họ ủng hộ đề xuất. Sử dụng chữ ký vòng truyền thống, một nhân viên không trung thực có thể ký tin nhắn nhiều lần, có lẽ là với nonce khác nhau, để bỏ phiếu bao nhiêu lần tùy thích. Mặt khác tay, trong sơ đồ chữ ký vòng có thể theo dõi, Alex sẽ bỏ phiếu và khóa riêng của cô ấy sẽ có đã được sử dụng trong vấn đề [ĐỀ XUẤT A]. Nếu Alex cố gắng ký một tin nhắn như "Tôi, Brenda, chấp thuận đề xuất A!” để "đóng khung" Brenda và bỏ phiếu kép, tin nhắn mới này cũng sẽ có vấn đề [ĐỀ XUẤT A]. Vì khóa riêng của Alex đã giải quyết được vấn đề [PROP A] nên danh tính của Alex sẽ ngay lập tức bị phát hiện là lừa đảo. Mà, đối mặt với nó, là khá tuyệt! Mật mã thực thi sự bình đẳng trong bỏ phiếu. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Bài viết này rất thú vị, về cơ bản là tạo ra một chữ ký vòng đặc biệt nhưng không có bất kỳ sự đồng ý của người tham gia khác. Cấu trúc chữ ký có thể khác nhau; Tôi chưa đào sâu và tôi chưa biết liệu nó có an toàn hay không. https://people.csail.mit.edu/rivest/AdidaHohenbergerRivest-AdHocGroupSignaturesFromHijackedKeypai Chữ ký nhóm đặc biệt là: chữ ký vòng, là chữ ký nhóm không có nhóm người quản lý, không tập trung hóa, nhưng cho phép một thành viên trong một nhóm đặc biệt tuyên bố một cách có căn cứ rằng nó đã (không) ban hành chữ ký ẩn danh thay mặt cho nhóm. http://link.springer.com/chapter/10.1007/11908739_9 Điều này không hoàn toàn chính xác, theo sự hiểu biết của tôi. Và sự hiểu biết của tôi có thể sẽ thay đổi khi Tôi hiểu sâu hơn về dự án này. Nhưng theo hiểu biết của tôi, hệ thống phân cấp trông như thế này. Dấu hiệu nhóm: người quản lý nhóm kiểm soát khả năng truy xuất nguồn gốc và khả năng thêm hoặc xóa thành viên từ việc trở thành người ký kết. Ring sigs: Thành lập nhóm tùy ý không có người quản lý nhóm. Không thu hồi ẩn danh. Không có cách nào để từ chối chính mình từ một chữ ký cụ thể. Với vòng có thể theo dõi và liên kết được chữ ký, tính ẩn danh có thể mở rộng được phần nào. Chữ ký nhóm đặc biệt: giống như chữ ký vòng, nhưng các thành viên có thể chứng minh rằng họ không tạo ra một chữ ký cụ thể. Điều này rất quan trọng khi bất kỳ ai trong nhóm đều có thể tạo ra chữ ký. http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 Thuật toán của Fujisaki và Suzuki sau đó được tác giả điều chỉnh để mang lại tính chất một lần. Vì vậy chúng ta sẽ phân tích thuật toán của Fujisaki và Suzuki đồng thời với thuật toán mới thay vì hơn là đi qua nó ở đây.

chìa khóa, mà là chìa khóa của tất cả người dùng trong nhóm của anh ấy. Người xác minh bị thuyết phục rằng người ký thực sự là một thành viên của nhóm, nhưng không thể xác định riêng người ký. Giao thức ban đầu yêu cầu một bên thứ ba đáng tin cậy (được gọi là Người quản lý nhóm) và anh ta người duy nhất có thể tìm ra người ký. Phiên bản tiếp theo được gọi là chữ ký vòng, được giới thiệu bởi Rivest và cộng sự. trong [34], là một chương trình tự trị không có Trình quản lý nhóm và ẩn danh thu hồi. Nhiều sửa đổi khác nhau của sơ đồ này xuất hiện sau đó: chữ ký vòng có thể liên kết [26, 27, 17] được phép xác định xem hai chữ ký có được tạo bởi cùng một thành viên nhóm hay không, có thể theo dõi được chữ ký vòng [24, 23] hạn chế tính ẩn danh quá mức bằng cách cung cấp khả năng theo dõi người ký hai thông báo liên quan đến cùng một siêu thông tin (hoặc “thẻ” theo thuật ngữ [24]). Một cấu trúc mật mã tương tự còn được gọi là chữ ký nhóm đặc biệt [16, 38]. Nó nhấn mạnh sự hình thành nhóm tùy ý, trong khi các sơ đồ chữ ký nhóm/vòng ngụ ý một tập hợp các thành viên cố định. Phần lớn giải pháp của chúng tôi dựa trên tác phẩm “Chữ ký vòng có thể theo dõi” của E. Fujisaki và K. Suzuki [24]. Để phân biệt thuật toán gốc và thuật toán sửa đổi của chúng tôi, chúng tôi sẽ gọi cái sau là chữ ký vòng một lần, nhấn mạnh khả năng của người dùng chỉ tạo ra một chữ ký hợp lệ chữ ký dưới khóa riêng của mình. Chúng tôi đã làm suy yếu đặc tính truy xuất nguồn gốc và giữ nguyên khả năng liên kết chỉ để cung cấp tính chất một lần: khóa công khai có thể xuất hiện trong nhiều bộ xác minh nước ngoài và khóa riêng có thể được sử dụng để tạo chữ ký ẩn danh duy nhất. Trường hợp chi tiêu gấp đôi thử 2 chữ ký này sẽ được liên kết với nhau nhưng việc tiết lộ người ký là không cần thiết cho mục đích của chúng tôi. 4.2 định nghĩa 4.2.1 Thông số đường cong elip Là thuật toán chữ ký cơ sở, chúng tôi đã chọn sử dụng lược đồ nhanh EdDSA, được phát triển và được thực hiện bởi D.J. Bernstein và cộng sự. [18]. Giống như ECDSA của Bitcoin nó dựa trên đường cong elip vấn đề logarit rời rạc, do đó lược đồ của chúng tôi cũng có thể được áp dụng cho Bitcoin trong tương lai. Các thông số phổ biến là: q: số nguyên tố; q = 2255 −19; d: một phần tử của Fq; d = −121665/121666; E: phương trình đường cong elip; −x2 + y2 = 1 + dx2y2; G: điểm cơ sở; G = (x, −4/5); l: thứ tự nguyên tố của điểm cơ sở; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): hàm mật mã hash \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): hàm hash tất định \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Thuật ngữ Quyền riêng tư nâng cao yêu cầu thuật ngữ mới không được nhầm lẫn với các thực thể Bitcoin. khóa riêng ec-key là khóa riêng có đường cong elip tiêu chuẩn: một số \(a \in [1, l - 1]\); public ec-key là khóa công khai có đường cong elip tiêu chuẩn: a điểm A = aG; cặp khóa dùng một lần là một cặp khóa điện tử riêng tư và công khai; 5 chìa khóa, mà là chìa khóa của tất cả người dùng trong nhóm của anh ấy. Người xác minh bị thuyết phục rằng người ký thực sự là một thành viên của nhóm, nhưng không thể xác định riêng người ký. Giao thức ban đầu yêu cầu một bên thứ ba đáng tin cậy (được gọi là Người quản lý nhóm) và anh ta người duy nhất có thể tìm ra người ký. Phiên bản tiếp theo được gọi là chữ ký vòng, được giới thiệu bởi Rivest và cộng sự. trong [34], là một chương trình tự trị không có Trình quản lý nhóm và ẩn danh thu hồi. Nhiều sửa đổi khác nhau của sơ đồ này xuất hiện sau đó: chữ ký vòng có thể liên kết [26, 27, 17] được phép xác định xem hai chữ ký có được tạo bởi cùng một thành viên nhóm hay không, có thể theo dõi được chữ ký vòng [24, 23] hạn chế tính ẩn danh quá mức bằng cách cung cấp khả năng theo dõi người ký hai thông báo liên quan đến cùng một siêu thông tin (hoặc “thẻ” theo thuật ngữ [24]). Một cấu trúc mật mã tương tự còn được gọi là chữ ký nhóm đặc biệt [16, 38]. Nó nhấn mạnh sự hình thành nhóm tùy ý, trong khi các sơ đồ chữ ký nhóm/vòng ngụ ý một tập hợp các thành viên cố định. Phần lớn giải pháp của chúng tôi dựa trên tác phẩm “Chữ ký vòng có thể theo dõi” của E. Fujisaki và K. Suzuki [24]. Để phân biệt thuật toán gốc và thuật toán sửa đổi của chúng tôi, chúng tôi sẽ gọi cái sau là chữ ký vòng một lần, nhấn mạnh khả năng của người dùng chỉ tạo ra một chữ ký hợp lệ chữ ký dưới khóa riêng của mình. Chúng tôi đã làm suy yếu đặc tính truy xuất nguồn gốc và giữ nguyên khả năng liên kết chỉ để cung cấp tính chất một lần: khóa công khai có thể xuất hiện trong nhiều bộ xác minh nước ngoài và khóa riêng có thể được sử dụng để tạo chữ ký ẩn danh duy nhất. Trường hợp chi tiêu gấp đôi thử 2 chữ ký này sẽ được liên kết với nhau nhưng việc tiết lộ người ký là không cần thiết cho mục đích của chúng tôi. 4.2 định nghĩa 4.2.1 Thông số đường cong elip Là thuật toán chữ ký cơ sở, chúng tôi chọne sử dụng sơ đồ nhanh EdDSA, được phát triển và được thực hiện bởi D.J. Bernstein và cộng sự. [18]. Giống như ECDSA của Bitcoin nó dựa trên đường cong elip vấn đề logarit rời rạc, do đó lược đồ của chúng tôi cũng có thể được áp dụng cho Bitcoin trong tương lai. Các thông số phổ biến là: q: số nguyên tố; q = 2255 −19; d: một phần tử của Fq; d = −121665/121666; E: phương trình đường cong elip; −x2 + y2 = 1 + dx2y2; G: điểm cơ sở; G = (x, −4/5); l: thứ tự nguyên tố của điểm cơ sở; l = 2252 + 27742317777372353535851937790883648493; \(H_s\): hàm mật mã hash \(\{0, 1\}^* \to \mathbb{F}_q\); \(H_p\): hàm hash tất định \(E(\mathbb{F}_q) \to E(\mathbb{F}_q)\). 4.2.2 Thuật ngữ Quyền riêng tư nâng cao yêu cầu thuật ngữ mới không được nhầm lẫn với các thực thể Bitcoin. khóa riêng ec-key là khóa riêng có đường cong elip tiêu chuẩn: một số \(a \in [1, l - 1]\); public ec-key là khóa công khai có đường cong elip tiêu chuẩn: a điểm A = aG; cặp khóa dùng một lần là một cặp khóa điện tử riêng tư và công khai; 5 10 Khả năng liên kết theo nghĩa "chữ ký vòng có thể liên kết" có nghĩa là chúng tôi có thể biết liệu hai giao dịch gửi đi có đến từ cùng một nguồn hay không mà không tiết lộ nguồn đó là ai. Tác giả suy yếu khả năng liên kết để (a) bảo vệ quyền riêng tư nhưng vẫn (b) phát hiện bất kỳ giao dịch nào bằng khóa riêng lần thứ hai là không hợp lệ. Được rồi, đây là câu hỏi về thứ tự sự kiện. Hãy xem xét kịch bản sau đây. Khai thác của tôi máy tính sẽ có blockchain hiện tại, nó sẽ có khối giao dịch riêng mà nó gọi hợp pháp, nó sẽ hoạt động trên khối đó trong câu đố proof-of-work và nó sẽ có một danh sách các giao dịch đang chờ xử lý sẽ được thêm vào khối tiếp theo. Nó cũng sẽ gửi bất kỳ thông tin mới nào giao dịch vào nhóm giao dịch đang chờ xử lý đó. Nếu tôi không giải được khối tiếp theo, nhưng người khác làm vậy, tôi nhận được bản sao cập nhật của blockchain. Khối tôi đang làm việc và danh sách các giao dịch đang chờ xử lý của tôi đều có thể có một số giao dịch hiện đã được kết hợp vào blockchain. Làm sáng tỏ khối đang chờ xử lý của tôi, kết hợp khối đó với danh sách các giao dịch đang chờ xử lý của tôi và gọi đó là nhóm giao dịch đang chờ xử lý của tôi. Xóa mọi thứ hiện có chính thức trong blockchain. Bây giờ tôi phải làm gì? Trước tiên tôi có nên xem qua và "loại bỏ tất cả các khoản chi tiêu gấp đôi" không? Mặt khác tay, tôi có nên tìm kiếm trong danh sách và đảm bảo rằng mỗi khóa riêng tư đều chưa được được sử dụng và nếu nó đã được sử dụng trong danh sách của tôi thì tôi đã nhận được bản sao đầu tiên trước, và do đó bất kỳ bản sao nào nữa là bất hợp pháp. Vì vậy, tôi tiến hành xóa tất cả các phiên bản sau lần đầu tiên của cùng một khóa riêng. Hình học đại số chưa bao giờ là điểm mạnh của tôi. http://en.wikipedia.org/wiki/EdDSA Tốc độ như vậy, nhiều wow. ĐÂY là hình học đại số để giành chiến thắng. Không phải là tôi biết bất cứ điều gì về điều đó. Có vấn đề hay không, các nhật ký rời rạc đang hoạt động rất nhanh. Và máy tính lượng tử ăn chúng cho bữa sáng. http://link.springer.com/article/10.1007/s13389-012-0027-1 Đây trở thành một con số thực sự quan trọng, nhưng không có lời giải thích hay trích dẫn nào về việc nó đã được chọn. Đơn giản chỉ cần chọn một số nguyên tố lớn đã biết là được, nhưng nếu có sự thật về số nguyên tố lớn này, điều đó có thể ảnh hưởng đến sự lựa chọn của chúng ta. Các biến thể khác nhau của tiền điện tử có thể chọn các giá trị khác nhau của ồ, nhưng không có cuộc thảo luận nào trong bài viết này về cách điều đó sự lựa chọn sẽ ảnh hưởng đến sự lựa chọn của chúng ta về các thông số tổng thể khác được liệt kê ở trang 5. Bài viết này cần một phần về việc lựa chọn các giá trị tham số.

khóa người dùng riêng là một cặp (a, b) gồm hai khóa ec-key riêng khác nhau; khóa theo dõi là một cặp (a, B) khóa ec-key riêng và công khai (trong đó B = bG và a ̸= b); khóa người dùng chung là một cặp (A, B) gồm hai khóa ec-key công khai được dẫn xuất từ (a, b); địa chỉ tiêu chuẩn là sự thể hiện khóa người dùng công cộng được đưa vào chuỗi thân thiện với con người với việc sửa lỗi; địa chỉ bị cắt ngắn là sự thể hiện nửa sau (điểm B) của khóa người dùng công khai được cung cấp thành chuỗi thân thiện với con người có sửa lỗi. Cấu trúc giao dịch vẫn tương tự như cấu trúc trong Bitcoin: mọi người dùng đều có thể chọn một số khoản thanh toán đến độc lập (đầu ra giao dịch), ký chúng với các khóa riêng và gửi chúng đến các điểm đến khác nhau. Ngược lại với mô hình của Bitcoin, trong đó người dùng sở hữu khóa riêng và khóa chung duy nhất, trong mô hình mô hình đề xuất, người gửi tạo khóa công khai một lần dựa trên địa chỉ của người nhận và một số dữ liệu ngẫu nhiên Theo nghĩa này, một giao dịch đến cho cùng một người nhận sẽ được gửi đến một khóa chung một lần (không trực tiếp đến một địa chỉ duy nhất) và chỉ người nhận mới có thể khôi phục khóa phần riêng tư tương ứng để lấy lại tiền của anh ấy (sử dụng khóa riêng tư duy nhất của anh ấy). Người nhận có thể chi tiêu số tiền bằng cách sử dụng chữ ký vòng, giữ kín quyền sở hữu và chi tiêu thực tế của mình. Các chi tiết của giao thức được giải thích trong các phần phụ tiếp theo. 4.3 Thanh toán không thể liên kết Địa chỉ Bitcoin cổ điển, sau khi được xuất bản, sẽ trở thành mã nhận dạng rõ ràng cho các địa chỉ gửi đến các khoản thanh toán, liên kết chúng lại với nhau và gắn với bút danh của người nhận. Nếu ai đó muốn nhận được một giao dịch “không bị ràng buộc”, anh ta phải chuyển địa chỉ của mình đến người gửi bằng một kênh riêng. Nếu anh ta muốn nhận các giao dịch khác nhau mà không thể chứng minh được là thuộc về cùng một chủ sở hữu anh ta nên tạo ra tất cả các địa chỉ khác nhau và không bao giờ xuất bản chúng dưới bút danh của chính mình. công cộng Riêng tư Alice Carol Địa chỉ 1 của Bob Địa chỉ 2 của Bob Chìa khóa của Bob 1 Chìa khóa 2 của Bob Bob Hình 2. Mô hình khóa/giao dịch Bitcoin truyền thống. Chúng tôi đề xuất giải pháp cho phép người dùng xuất bản một địa chỉ duy nhất và nhận được vô điều kiện thanh toán không thể liên kết. Đích của mỗi đầu ra CryptoNote (theo mặc định) là khóa chung, bắt nguồn từ địa chỉ của người nhận và dữ liệu ngẫu nhiên của người gửi. Ưu điểm chính so với Bitcoin là mỗi khóa đích là duy nhất theo mặc định (trừ khi người gửi sử dụng cùng một dữ liệu cho mỗi khóa đích). giao dịch của mình cho cùng một người nhận). Do đó, không có vấn đề như “tái sử dụng địa chỉ” bởi thiết kế và không người quan sát nào có thể xác định liệu có bất kỳ giao dịch nào được gửi đến một địa chỉ hoặc liên kết cụ thể hay không hai địa chỉ với nhau. 6 khóa người dùng riêng là một cặp (a, b) gồm hai khóa ec-key riêng khác nhau; khóa theo dõi là một cặp (a, B) khóa ec-key riêng và công khai (trong đó B = bG và a ̸= b); khóa người dùng chung là một cặp (A, B) gồm hai khóa ec-key công khai được dẫn xuất từ (a, b); địa chỉ tiêu chuẩn là sự thể hiện khóa người dùng công cộng được đưa vào chuỗi thân thiện với con người với việc sửa lỗi; địa chỉ bị cắt ngắn là sự thể hiện nửa sau (điểm B) của khóa người dùng công khai được cung cấp thành chuỗi thân thiện với con người có sửa lỗi. Cấu trúc giao dịch vẫn tương tự như cấu trúc trong Bitcoin: mọi người dùng đều có thể chọn một số khoản thanh toán đến độc lập (đầu ra giao dịch), ký chúng với các khóa riêng và gửi chúng đến các điểm đến khác nhau. Ngược lại với mô hình của Bitcoin, trong đó người dùng sở hữu khóa riêng và khóa chung duy nhất, trong mô hình mô hình đề xuất, người gửi tạo khóa công khai một lần dựa trên địa chỉ của người nhận và một số dữ liệu ngẫu nhiên Theo nghĩa này, một giao dịch đến cho cùng một người nhận sẽ được gửi đến một khóa chung một lần (không trực tiếp đến một địa chỉ duy nhất) và chỉ người nhận mới có thể khôi phục khóa phần riêng tư tương ứng để lấy lại tiền của anh ấy (sử dụng khóa riêng tư duy nhất của anh ấy). Người nhận có thể chi tiêu số tiền bằng cách sử dụng chữ ký vòng, giữ kín quyền sở hữu và chi tiêu thực tế của mình. Các chi tiết của giao thức được giải thích trong các phần phụ tiếp theo. 4.3 Thanh toán không thể liên kết Địa chỉ Bitcoin cổ điển, sau khi được xuất bản, sẽ trở thành mã nhận dạng rõ ràng cho các địa chỉ gửi đến các khoản thanh toán, liên kết chúng lại với nhau và gắn với bút danh của người nhận. Nếu ai đó muốn nhận được một giao dịch “không bị ràng buộc”, anh ta phải chuyển địa chỉ của mình đến người gửi bằng một kênh riêng. Nếu anh ta muốn nhận các giao dịch khác nhau mà không thể chứng minh được là thuộc về cùng một chủ sở hữu anh ta nên tạo ra tất cả các địa chỉ khác nhau và không bao giờ xuất bản chúng dưới bút danh của chính mình. công cộng Riêng tư Alice Carol Địa chỉ 1 của Bob Địa chỉ 2 của Bob Chìa khóa của Bob 1 Chìa khóa 2 của Bob Bob Hình 2. Mod khóa/giao dịch Bitcoin truyền thốngel. Chúng tôi đề xuất giải pháp cho phép người dùng xuất bản một địa chỉ duy nhất và nhận được vô điều kiện thanh toán không thể liên kết. Đích của mỗi đầu ra CryptoNote (theo mặc định) là khóa chung, bắt nguồn từ địa chỉ của người nhận và dữ liệu ngẫu nhiên của người gửi. Ưu điểm chính so với Bitcoin là mỗi khóa đích là duy nhất theo mặc định (trừ khi người gửi sử dụng cùng một dữ liệu cho mỗi khóa đích). giao dịch của mình cho cùng một người nhận). Do đó, không có vấn đề như “tái sử dụng địa chỉ” bởi thiết kế và không người quan sát nào có thể xác định liệu có bất kỳ giao dịch nào được gửi đến một địa chỉ hoặc liên kết cụ thể hay không hai địa chỉ với nhau. 6 11 Vì vậy, điều này giống như Bitcoin, nhưng với Hộp thư bưu điện ẩn danh, vô hạn, chỉ người nhận mới có thể đổi tạo khóa riêng ẩn danh như chữ ký vòng có thể. Bitcoin hoạt động theo cách này. Nếu Alex có 0,112 Bitcoin trong ví mà cô ấy vừa nhận được từ Frank thì cô ấy thực sự có chữ ký tin nhắn "Tôi, [FRANK], gửi 0,112 Bitcoin tới [alex] + H0 + N0" trong đó 1) Frank đã ký vào tin nhắn bằng khóa riêng của anh ấy [FRANK], 2) Frank đã ký tin nhắn với công khai của Alex key, [alex], 3) Frank đã đưa vào một số dạng lịch sử của bitcoin, H0 và 4) Frank bao gồm một bit dữ liệu ngẫu nhiên được gọi là nonce, N0. Sau đó, nếu Alex muốn gửi 0,011 Bitcoin cho Charlene, cô ấy sẽ nhận tin nhắn của Frank và cô ấy sẽ đặt giá trị đó thành H1 và ký hai tin nhắn: một cho giao dịch của cô ấy và một cho thay đổi. H1= "Tôi, [FRANK], gửi 0,112 Bitcoin tới [alex] + H0 + N" "Tôi, [ALEX], gửi 0,011 Bitcoin tới [charlene] + H1 + N1" "Tôi, [ALEX], gửi 0,101 Bitcoin khi thay đổi thành [alex] + H1 + N2." trong đó Alex ký cả hai tin nhắn bằng khóa riêng của cô ấy [ALEX], tin nhắn đầu tiên bằng khóa riêng của Charlene. khóa công khai [charlene], tin nhắn thứ hai có khóa công khai [alex] của Alex và bao gồm cả lịch sử và một số nonces N1 và N2 được tạo ngẫu nhiên một cách thích hợp. Tiền điện tử hoạt động theo cách này: Nếu Alex có 0,112 tiền điện tử trong ví mà cô ấy vừa nhận được từ Frank, thì cô ấy thực sự có một tờ tiền đã ký. tin nhắn "Tôi, [ai đó trong nhóm đặc biệt], gửi 0,112 Cryptonote đến [địa chỉ một lần] + H0 + N0.” Alex phát hiện ra rằng đây là tiền của cô ấy bằng cách kiểm tra khóa riêng [ALEX] của cô ấy. [địa chỉ một lần] cho mỗi tin nhắn gửi đi và nếu cô ấy muốn sử dụng nó, cô ấy sẽ làm như vậy cách sau đây. Cô ấy chọn người nhận tiền, có lẽ Charlene đã bắt đầu bỏ phiếu cho các cuộc tấn công bằng máy bay không người lái nên Alex muốn gửi tiền cho Brenda. Vì vậy, Alex tra cứu khóa công khai của Brenda, [brenda], và sử dụng khóa riêng của cô ấy, [ALEX], để tạo địa chỉ một lần [ALEX+brenda]. Cô ấy sau đó chọn một bộ sưu tập C tùy ý từ mạng lưới người dùng tiền điện tử và cô ấy xây dựng một chữ ký vòng từ nhóm đặc biệt này. Chúng tôi đặt lịch sử của mình làm tin nhắn trước đó, thêm nonces và tiếp tục như bình thường? H1 = "Tôi, [ai đó trong nhóm đặc biệt], gửi 0,112 tiền điện tử đến [địa chỉ một lần] + H0 + N0.” "Tôi, [ai đó trong bộ sưu tập C], gửi 0,011 Cryptonote tới [địa chỉ một lần được tạo từALEX+brenda] + H1 + N1" "Tôi, [ai đó trong bộ sưu tập C], gửi 0.101 Cryptonote dưới dạng thay đổi thành [địa chỉ một lần-madefrom-ALEX+alex] + H1 + N2" Bây giờ, Alex và Brenda đều quét tất cả các tin nhắn đến để tìm bất kỳ địa chỉ một lần nào đã được lưu trữ. được tạo bằng chìa khóa của họ. Nếu họ tìm thấy thì tin nhắn đó là tin nhắn hoàn toàn mới của họ. tiền điện tử! Và thậm chí sau đó, giao dịch vẫn sẽ đạt blockchain. Nếu đồng tiền nhập vào địa chỉ đó được biết là được gửi từ tội phạm, những người đóng góp chính trị hoặc từ các ủy ban và tài khoản với ngân sách nghiêm ngặt (tức là tham ô) hoặc nếu chủ sở hữu mới của những đồng tiền này mắc sai lầm và gửi những đồng tiền này đến một địa chỉ chung với những đồng tiền mà anh ta được biết là sở hữu, khuôn mẫu ẩn danh bitcoin tăng giá.

khóa người dùng riêng là một cặp (a, b) gồm hai khóa ec-key riêng khác nhau; khóa theo dõi là một cặp (a, B) khóa ec-key riêng và công khai (trong đó B = bG và a ̸= b); khóa người dùng chung là một cặp (A, B) gồm hai khóa ec-key công khai được dẫn xuất từ (a, b); địa chỉ tiêu chuẩn là sự thể hiện khóa người dùng công cộng được đưa vào chuỗi thân thiện với con người với việc sửa lỗi; địa chỉ bị cắt ngắn là sự thể hiện nửa sau (điểm B) của khóa người dùng công khai được cung cấp thành chuỗi thân thiện với con người có sửa lỗi. Cấu trúc giao dịch vẫn tương tự như cấu trúc trong Bitcoin: mọi người dùng đều có thể chọn một số khoản thanh toán đến độc lập (đầu ra giao dịch), ký chúng với các khóa riêng và gửi chúng đến các điểm đến khác nhau. Ngược lại với mô hình của Bitcoin, trong đó người dùng sở hữu khóa riêng và khóa chung duy nhất, trong mô hình mô hình đề xuất, người gửi tạo khóa công khai một lần dựa trên địa chỉ của người nhận và một số dữ liệu ngẫu nhiên Theo nghĩa này, một giao dịch đến cho cùng một người nhận sẽ được gửi đến một khóa chung một lần (không trực tiếp đến một địa chỉ duy nhất) và chỉ người nhận mới có thể khôi phục khóa phần riêng tư tương ứng để lấy lại tiền của anh ấy (sử dụng khóa riêng tư duy nhất của anh ấy). Người nhận có thể chi tiêu số tiền bằng cách sử dụng chữ ký vòng, giữ kín quyền sở hữu và chi tiêu thực tế của mình. Các chi tiết của giao thức được giải thích trong các phần phụ tiếp theo. 4.3 Thanh toán không thể liên kết Địa chỉ Bitcoin cổ điển, sau khi được xuất bản, sẽ trở thành mã nhận dạng rõ ràng cho các địa chỉ gửi đến các khoản thanh toán, liên kết chúng lại với nhau và gắn với bút danh của người nhận. Nếu ai đó muốn nhận được một giao dịch “không bị ràng buộc”, anh ta phải chuyển địa chỉ của mình đến người gửi bằng một kênh riêng. Nếu anh ta muốn nhận các giao dịch khác nhau mà không thể chứng minh được là thuộc về cùng một chủ sở hữu anh ta nên tạo ra tất cả các địa chỉ khác nhau và không bao giờ xuất bản chúng dưới bút danh của chính mình. công cộng Riêng tư Alice Carol Địa chỉ 1 của Bob Địa chỉ 2 của Bob Chìa khóa của Bob 1 Chìa khóa 2 của Bob Bob Hình 2. Mô hình khóa/giao dịch Bitcoin truyền thống. Chúng tôi đề xuất giải pháp cho phép người dùng xuất bản một địa chỉ duy nhất và nhận được vô điều kiện thanh toán không thể liên kết. Đích của mỗi đầu ra CryptoNote (theo mặc định) là khóa chung, bắt nguồn từ địa chỉ của người nhận và dữ liệu ngẫu nhiên của người gửi. Ưu điểm chính so với Bitcoin là mỗi khóa đích là duy nhất theo mặc định (trừ khi người gửi sử dụng cùng một dữ liệu cho mỗi khóa đích). giao dịch của mình cho cùng một người nhận). Do đó, không có vấn đề như “tái sử dụng địa chỉ” bởi thiết kế và không người quan sát nào có thể xác định liệu có bất kỳ giao dịch nào được gửi đến một địa chỉ hoặc liên kết cụ thể hay không hai địa chỉ với nhau. 6 khóa người dùng riêng là một cặp (a, b) gồm hai khóa ec-key riêng khác nhau; khóa theo dõi là một cặp (a, B) khóa ec-key riêng và công khai (trong đó B = bG và a ̸= b); khóa người dùng chung là một cặp (A, B) gồm hai khóa ec-key công khai được dẫn xuất từ (a, b); địa chỉ tiêu chuẩn là sự thể hiện khóa người dùng công cộng được đưa vào chuỗi thân thiện với con người với việc sửa lỗi; địa chỉ bị cắt ngắn là sự thể hiện nửa sau (điểm B) của khóa người dùng công khai được cung cấp thành chuỗi thân thiện với con người có sửa lỗi. Cấu trúc giao dịch vẫn tương tự như cấu trúc trong Bitcoin: mọi người dùng đều có thể chọn một số khoản thanh toán đến độc lập (đầu ra giao dịch), ký chúng với các khóa riêng và gửi chúng đến các điểm đến khác nhau. Ngược lại với mô hình của Bitcoin, trong đó người dùng sở hữu khóa riêng và khóa chung duy nhất, trong mô hình mô hình đề xuất, người gửi tạo khóa công khai một lần dựa trên địa chỉ của người nhận và một số dữ liệu ngẫu nhiên Theo nghĩa này, một giao dịch đến cho cùng một người nhận sẽ được gửi đến một khóa chung một lần (không trực tiếp đến một địa chỉ duy nhất) và chỉ người nhận mới có thể khôi phục khóa phần riêng tư tương ứng để lấy lại tiền của anh ấy (sử dụng khóa riêng tư duy nhất của anh ấy). Người nhận có thể chi tiêu số tiền bằng cách sử dụng chữ ký vòng, giữ kín quyền sở hữu và chi tiêu thực tế của mình. Các chi tiết của giao thức được giải thích trong các phần phụ tiếp theo. 4.3 Thanh toán không thể liên kết Địa chỉ Bitcoin cổ điển, sau khi được xuất bản, sẽ trở thành mã nhận dạng rõ ràng cho các địa chỉ gửi đến các khoản thanh toán, liên kết chúng lại với nhau và gắn với bút danh của người nhận. Nếu ai đó muốn nhận được một giao dịch “không bị ràng buộc”, anh ta phải chuyển địa chỉ của mình đến người gửi bằng một kênh riêng. Nếu anh ta muốn nhận các giao dịch khác nhau mà không thể chứng minh được là thuộc về cùng một chủ sở hữu anh ta nên tạo ra tất cả các địa chỉ khác nhau và không bao giờ xuất bản chúng dưới bút danh của chính mình. công cộng Riêng tư Alice Carol Địa chỉ 1 của Bob Địa chỉ 2 của Bob Chìa khóa của Bob 1 Chìa khóa 2 của Bob Bob Hình 2. Mod khóa/giao dịch Bitcoin truyền thốngel. Chúng tôi đề xuất giải pháp cho phép người dùng xuất bản một địa chỉ duy nhất và nhận được vô điều kiện thanh toán không thể liên kết. Đích của mỗi đầu ra CryptoNote (theo mặc định) là khóa chung, bắt nguồn từ địa chỉ của người nhận và dữ liệu ngẫu nhiên của người gửi. Ưu điểm chính so với Bitcoin là mỗi khóa đích là duy nhất theo mặc định (trừ khi người gửi sử dụng cùng một dữ liệu cho mỗi khóa đích). giao dịch của mình cho cùng một người nhận). Do đó, không có vấn đề như “tái sử dụng địa chỉ” bởi thiết kế và không người quan sát nào có thể xác định liệu có bất kỳ giao dịch nào được gửi đến một địa chỉ hoặc liên kết cụ thể hay không hai địa chỉ với nhau. 6 12 Do đó, thay vì người dùng gửi tiền từ địa chỉ (thực sự là khóa công khai) đến địa chỉ (một khóa công khai khác) bằng cách sử dụng khóa riêng của họ, người dùng sẽ gửi tiền từ hộp thư bưu điện một lần (đang tạo bằng khóa chung của bạn bè bạn) tới hộp thư bưu điện một lần (tương tự) bằng cách sử dụng khóa riêng của mình. Theo một nghĩa nào đó, chúng tôi đang nói "Được rồi, mọi người hãy rút tiền ra khi nó đang diễn ra." chuyển xung quanh! Chỉ cần biết rằng chìa khóa của chúng ta có thể mở được chiếc hộp đó là đủ chúng ta biết trong hộp có bao nhiêu tiền. Đừng bao giờ để dấu vân tay của bạn trên Hộp thư bưu điện hoặc thực sự sử dụng nó, chỉ cần trao đổi chiếc hộp chứa đầy tiền mặt. Bằng cách đó chúng tôi không biết ai đã gửi cái gì, nhưng nội dung của những địa chỉ công cộng này vẫn không có ma sát, có thể thay thế được, có thể chia được và vẫn sở hữu tất cả những phẩm chất tốt đẹp khác của tiền mà chúng ta mong muốn như bitcoin.” Một tập hợp vô hạn các hộp PO. Bạn công bố địa chỉ, tôi có khóa riêng. Tôi sử dụng khóa riêng của tôi và địa chỉ của bạn, và một số dữ liệu ngẫu nhiên để tạo khóa công khai. Thuật toán được thiết kế sao cho, vì địa chỉ đã được sử dụng để tạo khóa chung, chỉ khóa riêng CỦA BẠN mới hoạt động để mở khóa tin nhắn. Một người quan sát, Eve, thấy bạn công bố địa chỉ của mình và thấy khóa công khai mà tôi công bố. Tuy nhiên, cô ấy không biết liệu tôi đã công bố khóa công khai của mình dựa trên địa chỉ của bạn hay của cô ấy, hay của Brenda hoặc của Charlene, hoặc của bất cứ ai. Cô ấy kiểm tra khóa riêng của mình với khóa chung mà tôi đã thông báo và thấy nó không hoạt động; đó không phải là tiền của cô ấy. Cô ấy không biết khóa riêng của người khác và chỉ người nhận tin nhắn mới có khóa riêng mới có thể mở khóa tin nhắn. Vì vậy không có ai lắng nghe có thể xác định ai đã nhận tiền ít hơn nhiều là lấy tiền.

công cộng Riêng tư Alice Carol Chìa khóa một lần Chìa khóa một lần Chìa khóa một lần Bob Chìa khóa của Bob Địa chỉ của Bob Hình 3. Mô hình khóa/giao dịch CryptoNote. Đầu tiên, người gửi thực hiện trao đổi Diffe-Hellman để lấy bí mật chung từ dữ liệu của mình và một nửa địa chỉ của người nhận. Sau đó, anh ta tính toán khóa đích một lần bằng cách sử dụng khóa chia sẻ bí mật và nửa sau của địa chỉ. Hai ec-key khác nhau được yêu cầu từ người nhận đối với hai bước này, do đó, địa chỉ CryptoNote tiêu chuẩn lớn gần gấp đôi ví Bitcoin địa chỉ. Người nhận cũng thực hiện trao đổi Diffe-Hellman để khôi phục thông tin tương ứng chìa khóa bí mật. Một chuỗi giao dịch tiêu chuẩn diễn ra như sau: 1. Alice muốn gửi thanh toán cho Bob, người đã công bố địa chỉ tiêu chuẩn của mình. Cô ấy giải nén địa chỉ và lấy khóa chung của Bob (A, B). 2. Alice tạo ra một \(r \in [1, l - 1]\) ngẫu nhiên và tính khóa công khai một lần \(P = H_s(rA)G +\) B. 3. Alice sử dụng P làm khóa đích cho đầu ra và cũng đóng gói giá trị R = rG (như một phần của sàn giao dịch Diﬃe-Hellman) ở đâu đó trong giao dịch. Lưu ý rằng cô ấy có thể tạo các đầu ra khác có khóa chung duy nhất: khóa của người nhận khác nhau (Ai, Bi) ngụ ý Pi khác nhau ngay cả với cùng một r. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích R = rG P = Hs(rA)G + B Người nhận khóa công khai Dữ liệu ngẫu nhiên của người gửi r (A, B) Hình 4. Cấu trúc giao dịch tiêu chuẩn. 4. Alice gửi giao dịch. 5. Bob kiểm tra mọi giao dịch được chuyển bằng khóa riêng của mình (a, b) và tính P ′ = Hs(aR)G + B. Nếu giao dịch của Alice với Bob là người nhận nằm trong số đó, thì aR = arG = rA và P ′ = P. 7 công cộng Riêng tư Alice Carol Chìa khóa một lần Chìa khóa một lần Chìa khóa một lần Bob Chìa khóa của Bob Địa chỉ của Bob Hình 3. Mô hình khóa/giao dịch CryptoNote. Đầu tiên, người gửi thực hiện trao đổi Diffe-Hellman để lấy bí mật chung từ dữ liệu của mình và một nửa địa chỉ của người nhận. Sau đó, anh ta tính toán khóa đích một lần bằng cách sử dụng khóa chia sẻ bí mật và nửa sau của địa chỉ. Hai ec-key khác nhau được yêu cầu từ người nhận đối với hai bước này, do đó, địa chỉ CryptoNote tiêu chuẩn lớn gần gấp đôi so với ví Bitcoin địa chỉ. Người nhận cũng thực hiện trao đổi Diffe-Hellman để khôi phục thông tin tương ứng chìa khóa bí mật. Một chuỗi giao dịch tiêu chuẩn diễn ra như sau: 1. Alice muốn gửi thanh toán cho Bob, người đã công bố địa chỉ tiêu chuẩn của mình. Cô ấy giải nén địa chỉ và lấy khóa chung của Bob (A, B). 2. Alice tạo ra một \(r \in [1, l - 1]\) ngẫu nhiên và tính khóa công khai một lần \(P = H_s(rA)G +\) B. 3. Alice sử dụng P làm khóa đích cho đầu ra và cũng đóng gói giá trị R = rG (như một phần của sàn giao dịch Diﬃe-Hellman) ở đâu đó trong giao dịch. Lưu ý rằng cô ấy có thể tạo các đầu ra khác có khóa chung duy nhất: khóa của người nhận khác nhau (Ai, Bi) ngụ ý Pi khác nhau ngay cả với cùng một r. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích R = rG P = Hs(rA)G + B Người nhận khóa công khai Dữ liệu ngẫu nhiên của người gửi r (A, B) Hình 4. Cấu trúc giao dịch tiêu chuẩn. 4. Alice gửi giao dịch. 5. Bob kiểm tra mọi giao dịch được chuyển bằng khóa riêng của mình (a, b) và tính P ′ = Hs(aR)G + B. Nếu giao dịch của Alice với Bob là người nhận nằm trong số đó, thì aR = arG = rA và P ′ = P. 7 13 Tôi tự hỏi sẽ đau đầu đến thế nào khi thực hiện một lựa chọn mật mã kế hoạch. Hình elip hoặc cách khác. Vì vậy, nếu kế hoạch nào đó bị phá vỡ trong tương lai, tiền tệ sẽ chuyển đổi mà không cần quan tâm. Có lẽ là một cơn đau lớn ở mông. Được rồi, đây chính xác là những gì tôi vừa giải thích trong bình luận trước đó. Kiểu Diﬃe-Hellman trao đổi rất gọn gàng. Giả sử Alex và Brenda mỗi người có một số bí mật A và B và một số họ không quan tâm đến việc giữ bí mật, a và b. Họ mong muốn tạo ra một bí mật được chia sẻ mà không cần Eva phát hiện ra nó. Diﬃe và Hellman đã nghĩ ra cách để Alex và Brenda chia sẻ các số công khai a và b, nhưng không phải các số riêng tư A và B, và tạo ra một bí mật chung, K. Sử dụng bí mật được chia sẻ này, K, mà không có bất kỳ Eva nào lắng nghe để có thể tạo ra bí mật tương tự K, Alex và Brenda hiện có thể sử dụng K làm khóa mã hóa bí mật và gửi lại các tin nhắn bí mật trở đi. Đây là cách nó CÓ THỂ hoạt động, mặc dù nó sẽ hoạt động với các số lớn hơn 100. Chúng ta sẽ sử dụng 100 vì tính toán các số nguyên theo modulo 100 tương đương với việc "loại bỏ tất cả nhưng là hai chữ số cuối cùng của một số." Alex và Brenda mỗi người chọn A, a, B và b. Họ giữ bí mật cho A và B. Alex nói với Brenda giá trị của modulo 100 (chỉ hai chữ số cuối) và Brenda nói với Alex giá trị của cô ấy là b modulo 100. Bây giờ Eva biết (a,b) modulo 100. Nhưng Alex biết (a,b,A) nên cô ấy có thể tính x=abA modulo 100.Alex bỏ qua tất cả trừ chữ số cuối cùng vì chúng ta đang làm việc lại theo số nguyên modulo 100. Tương tự, Brenda biết (a,b,B) nên cô ấy có thể tính y=abB modulo 100. Bây giờ Alex có thể xuất bản x và Brenda có thể xuất bản y. Nhưng bây giờ Alex có thể tính yA = abBA modulo 100 và Brenda có thể tính xB = abBA modulo 100. Cả hai đều biết cùng một số! Nhưng tất cả những gì Eva đã nghe là (a,b,abA,abB). Cô ấy không có cách nào dễ dàng để tính abA*B. Bây giờ, đây là cách suy nghĩ dễ dàng và kém an toàn nhất về sàn giao dịch Diﬃ-Hellman. Có nhiều phiên bản an toàn hơn. Nhưng hầu hết các phiên bản đều hoạt động vì hệ số nguyên và rời rạc logarit rất khó và cả hai vấn đề đó đều được giải quyết dễ dàng bằng máy tính lượng tử. Tôi sẽ xem xét liệu có tồn tại phiên bản nào chống lại lượng tử hay không. http://en.wikipedia.org/wiki/Diﬃe%E2%80%93Hellman_key_exchange "Chuỗi txn tiêu chuẩn" được liệt kê ở đây thiếu rất nhiều bước, chẳng hạn như CHỮ KÝ. Họ chỉ được coi là đương nhiên ở đây. Điều này thực sự tồi tệ, bởi vì thứ tự mà chúng ta nội dung ký tên, thông tin có trong tin nhắn đã ký, v.v.... tất cả những điều này cực kỳ quan trọng đối với giao thức. Thực hiện sai một hoặc hai bước, thậm chí hơi sai trật tự trong khi triển khai " trình tự giao dịch tiêu chuẩn" có thể khiến tính bảo mật của toàn bộ hệ thống bị nghi ngờ. Hơn nữa, các bằng chứng được trình bày sau trong bài báo có thể không đủ chặt chẽ nếu khuôn khổ mà chúng hoạt động được xác định một cách lỏng lẻo như trong phần này.

công cộng Riêng tư Alice Carol Chìa khóa một lần Chìa khóa một lần Chìa khóa một lần Bob Chìa khóa của Bob Địa chỉ của Bob Hình 3. Mô hình khóa/giao dịch CryptoNote. Đầu tiên, người gửi thực hiện trao đổi Diffe-Hellman để lấy bí mật chung từ dữ liệu của mình và một nửa địa chỉ của người nhận. Sau đó, anh ta tính toán khóa đích một lần bằng cách sử dụng khóa chia sẻ bí mật và nửa sau của địa chỉ. Hai ec-key khác nhau được yêu cầu từ người nhận đối với hai bước này, do đó, địa chỉ CryptoNote tiêu chuẩn lớn gần gấp đôi ví Bitcoin địa chỉ. Người nhận cũng thực hiện trao đổi Diffe-Hellman để khôi phục thông tin tương ứng chìa khóa bí mật. Một chuỗi giao dịch tiêu chuẩn diễn ra như sau: 1. Alice muốn gửi thanh toán cho Bob, người đã công bố địa chỉ tiêu chuẩn của mình. Cô ấy giải nén địa chỉ và lấy khóa chung của Bob (A, B). 2. Alice tạo ra một \(r \in [1, l - 1]\) ngẫu nhiên và tính khóa công khai một lần \(P = H_s(rA)G +\) B. 3. Alice sử dụng P làm khóa đích cho đầu ra và cũng đóng gói giá trị R = rG (như một phần của sàn giao dịch Diﬃe-Hellman) ở đâu đó trong giao dịch. Lưu ý rằng cô ấy có thể tạo các đầu ra khác có khóa chung duy nhất: khóa của người nhận khác nhau (Ai, Bi) ngụ ý Pi khác nhau ngay cả với cùng một r. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích R = rG P = Hs(rA)G + B Người nhận khóa công khai Dữ liệu ngẫu nhiên của người gửi r (A, B) Hình 4. Cấu trúc giao dịch tiêu chuẩn. 4. Alice gửi giao dịch. 5. Bob kiểm tra mọi giao dịch được chuyển bằng khóa riêng của mình (a, b) và tính P ′ = Hs(aR)G + B. Nếu giao dịch của Alice với Bob là người nhận nằm trong số đó, thì aR = arG = rA và P ′ = P. 7 công cộng Riêng tư Alice Carol Chìa khóa một lần Chìa khóa một lần Chìa khóa một lần Bob Chìa khóa của Bob Địa chỉ của Bob Hình 3. Mô hình khóa/giao dịch CryptoNote. Đầu tiên, người gửi thực hiện trao đổi Diffe-Hellman để lấy bí mật chung từ dữ liệu của mình và một nửa địa chỉ của người nhận. Sau đó, anh ta tính toán khóa đích một lần bằng cách sử dụng khóa chia sẻ bí mật và nửa sau của địa chỉ. Hai ec-key khác nhau được yêu cầu từ người nhận đối với hai bước này, do đó, địa chỉ CryptoNote tiêu chuẩn lớn gần gấp đôi so với ví Bitcoin địa chỉ. Người nhận cũng thực hiện trao đổi Diffe-Hellman để khôi phục thông tin tương ứng chìa khóa bí mật. Một chuỗi giao dịch tiêu chuẩn diễn ra như sau: 1. Alice muốn gửi thanh toán cho Bob, người đã công bố địa chỉ tiêu chuẩn của mình. Cô ấy giải nén địa chỉ và lấy khóa chung của Bob (A, B). 2. Alice tạo ra một \(r \in [1, l - 1]\) ngẫu nhiên và tính khóa công khai một lần \(P = H_s(rA)G +\) B. 3. Alice sử dụng P làm khóa đích cho đầu ra và cũng đóng gói giá trị R = rG (như một phần của sàn giao dịch Diﬃe-Hellman) ở đâu đó trong giao dịch. Lưu ý rằng cô ấy có thể tạo các đầu ra khác có khóa chung duy nhất: khóa của người nhận khác nhau (Ai, Bi) ngụ ý Pi khác nhau ngay cả với cùng một r. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích R = rG P = Hs(rA)G + B Người nhận khóa công khai Dữ liệu ngẫu nhiên của người gửi r (A, B) Hình 4. Cấu trúc giao dịch tiêu chuẩn. 4. Alice gửi giao dịch. 5. Bob kiểm tra mọi giao dịch được chuyển bằng khóa riêng của mình (a, b) và tính P ′ = Hs(aR)G + B. Nếu giao dịch của Alice với Bob là người nhận nằm trong số đó, thì aR = arG = rA và P ′ = P. 7 14 Lưu ý rằng (các) tác giả đã làm rất tốt việc giữ cho thuật ngữ của họ rõ ràng xuyên suốt văn bản, nhưng đặc biệt là ở phần tiếp theo này. Sự tái sinh tiếp theo của bài viết này nhất thiết sẽ là khắt khe hơn rất nhiều. Trong văn bản họ gọi P là khóa công khai một lần của họ. Trong sơ đồ, họ gọi R là "Khóa công khai Tx" và P là "Khóa đích" của họ. Nếu tôi định viết lại điều này, tôi sẽ trình bày rất cụ thể một số thuật ngữ trước khi thảo luận về các phần này. Cái giếng này rất lớn. Xem trang 5. Ai chọn ell? Sơ đồ minh họa khóa công khai giao dịch R = rG, ngẫu nhiên và được chọn bởi người gửi, không phải là một phần của đầu ra Tx. Điều này là do nó có thể giống nhau đối với nhiều giao dịch cho nhiều người và không được sử dụng SAU ĐÓ để chi tiêu. Một R mới được tạo ra mỗi khi bạn muốn phát một giao dịch CryptoNote mới. Hơn nữa, R chỉ được sử dụng để kiểm tra xem bạn có phải là người nhận giao dịch hay không. Đó không phải là dữ liệu rác mà là rác đối với bất kỳ ai không có khóa riêng được liên kết với (A, B). Mặt khác, khóa Đích P = Hs(rA)G + B là một phần của đầu ra Tx. mọi người việc duyệt qua mọi dữ liệu của giao dịch đi qua phải kiểm tra P* được tạo bởi chính chúng với P này để xem liệu họ có sở hữu giao dịch chuyển tiếp này hay không. Bất kỳ ai có đầu ra giao dịch chưa chi tiêu (UTXO) sẽ có một loạt các chữ P này được sắp xếp với số lượng. Để chi tiêud, họ ký một số tin nhắn mới bao gồm P. Alice phải ký giao dịch này bằng (các) khóa riêng một lần được liên kết với (các) Khóa đích đầu ra giao dịch chưa được chi tiêu. Mỗi khóa đích do Alice sở hữu đều được trang bị với khóa riêng một lần cũng được sở hữu (có lẽ) bởi Alice. Mỗi lần Alice muốn gửi nội dung của khóa đích cho tôi, hoặc Bob, hoặc Brenda, hoặc Charlie hoặc Charlene, cô ấy sử dụng khóa riêng của mình để ký giao dịch. Khi nhận được giao dịch, tôi sẽ nhận được một giao dịch mới Khóa công khai Tx, khóa công khai Đích mới và tôi sẽ có thể khôi phục khóa riêng x một lần mới. Kết hợp khóa riêng một lần của tôi, x, với Đích công khai của giao dịch mới (các) khóa là cách chúng tôi gửi một giao dịch mới

Bob có thể khôi phục khóa riêng một lần tương ứng: x = Hs(aR) + b, do đó P = xG. Anh ta có thể sử dụng sản lượng này bất cứ lúc nào bằng cách ký một giao dịch với x. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích P ′ = Hs(aR)G + bG khóa công khai một lần x = Hs(aR) + b khóa riêng một lần Người nhận khóa riêng (a, b) R P' ?= P Hình 5. Kiểm tra giao dịch đến. Kết quả là Bob nhận được các khoản thanh toán đến, được liên kết với các khóa công khai một lần. không thể liên kết được đối với người xem. Một số lưu ý bổ sung: • Khi Bob “nhận ra” các giao dịch của mình (xem bước 5), thực tế anh ấy chỉ sử dụng một nửa số tiền của mình thông tin cá nhân: (a, B). Cặp này còn được gọi là khóa theo dõi, có thể được chuyển qua cho bên thứ ba (Carol). Bob có thể ủy quyền cho cô ấy xử lý các giao dịch mới. Bob không cần phải tin tưởng Carol một cách rõ ràng, vì cô ấy không thể khôi phục được khóa bí mật một lần. không có khóa riêng đầy đủ của Bob (a, b). Cách tiếp cận này hữu ích khi Bob thiếu băng thông hoặc sức mạnh tính toán (điện thoại thông minh, ví phần cứng, v.v.). • Trong trường hợp Alice muốn chứng minh cô ấy đã gửi giao dịch đến địa chỉ của Bob, cô ấy có thể tiết lộ r hoặc sử dụng bất kỳ loại giao thức không có kiến thức nào để chứng minh rằng cô ấy biết r (ví dụ bằng cách ký giao dịch với r). • Nếu Bob muốn có một địa chỉ tương thích với việc kiểm tra, nơi tất cả các giao dịch đến đều được có thể liên kết được, anh ta có thể xuất bản khóa theo dõi của mình hoặc sử dụng địa chỉ bị cắt ngắn. Địa chỉ đó chỉ đại diện cho một khóa ec công khai B và phần còn lại mà giao thức yêu cầu là suy ra từ nó như sau: a = Hs(B) và A = Hs(B)G. Trong cả hai trường hợp, mỗi người đều có thể “nhận ra” tất cả giao dịch đến của Bob, nhưng tất nhiên, không ai có thể chi tiêu các khoản tiền được bao bọc bên trong chúng mà không có khóa bí mật b. 4.4 Chữ ký đổ chuông một lần Giao thức dựa trên chữ ký vòng một lần cho phép người dùng đạt được khả năng hủy liên kết vô điều kiện. Thật không may, các loại chữ ký mật mã thông thường cho phép theo dõi các giao dịch người gửi và người nhận tương ứng. Giải pháp của chúng tôi cho sự thiếu sót này nằm ở việc sử dụng một chữ ký khác hơn những loại hiện đang được sử dụng trong hệ thống tiền điện tử. Đầu tiên chúng tôi sẽ cung cấp một mô tả chung về thuật toán của chúng tôi mà không có tham chiếu rõ ràng đến tiền điện tử. Chữ ký vòng một lần chứa bốn thuật toán: (GEN, SIG, VER, LNK): GEN: lấy tham số công khai và xuất ra cặp ec (P, x) và khóa chung I. SIG: nhận thông điệp m, tập \(S'\) khóa công khai {Pi}i̸=s, một cặp (Ps, xs) và xuất ra chữ ký \(\sigma\) và một tập hợp \(S = \)S'\( \cup \{P_s\}\). 8
Bob có thể khôi phục khóa riêng một lần tương ứng: x = Hs(aR) + b, do đó P = xG. Anh ta có thể sử dụng sản lượng này bất cứ lúc nào bằng cách ký một giao dịch với x. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích P ′ = Hs(aR)G + bG khóa công khai một lần x = Hs(aR) + b khóa riêng một lần Người nhận khóa riêng (a, b) R P' ?= P Hình 5. Kiểm tra giao dịch đến. Kết quả là Bob nhận được các khoản thanh toán đến, được liên kết với các khóa công khai một lần. không thể liên kết được đối với người xem. Một số lưu ý bổ sung: • Khi Bob “nhận ra” các giao dịch của mình (xem bước 5), thực tế anh ấy chỉ sử dụng một nửa số tiền của mình thông tin cá nhân: (a, B). Cặp này còn được gọi là khóa theo dõi, có thể được chuyển qua cho bên thứ ba (Carol). Bob có thể ủy quyền cho cô ấy xử lý các giao dịch mới. Bob không cần phải tin tưởng Carol một cách rõ ràng, vì cô ấy không thể khôi phục được khóa bí mật một lần. không có khóa riêng đầy đủ của Bob (a, b). Cách tiếp cận này hữu ích khi Bob thiếu băng thông hoặc sức mạnh tính toán (điện thoại thông minh, ví phần cứng, v.v.). • Trong trường hợp Alice muốn chứng minh cô ấy đã gửi giao dịch đến địa chỉ của Bob, cô ấy có thể tiết lộ r hoặc sử dụng bất kỳ loại giao thức không có kiến thức nào để chứng minh rằng cô ấy biết r (ví dụ bằng cách ký giao dịch với r). • Nếu Bob muốn có một địa chỉ tương thích với việc kiểm tra, nơi tất cả các giao dịch đến đều được có thể liên kết được, anh ta có thể xuất bản khóa theo dõi của mình hoặc sử dụng địa chỉ bị cắt ngắn. Địa chỉ đó chỉ đại diện cho một khóa ec công khai B và phần còn lại mà giao thức yêu cầu là suy ra từ nó như sau: a = Hs(B) và A = Hs(B)G. Trong cả hai trường hợp, mỗi người đều có thể “nhận ra” tất cả giao dịch đến của Bob, nhưng tất nhiên, không ai có thể chi tiêu các khoản tiền được bao bọc bên trong chúng mà không có khóa bí mật b. 4.4 Chữ ký đổ chuông một lần Giao thức dựa trên chữ ký vòng một lần cho phép người dùng đạt được khả năng hủy liên kết vô điều kiện. Thật không may, các loại chữ ký mật mã thông thường cho phép theo dõi các giao dịch người gửi và người nhận tương ứng. Giải pháp của chúng tôi cho sự thiếu sót này nằm ở việc sử dụng một chữ ký khác hơn những loại hiện đang được sử dụng trong hệ thống tiền điện tử. Đầu tiên chúng tôi sẽ cung cấp một gentất cả mô tả về thuật toán của chúng tôi mà không có tham chiếu rõ ràng đến tiền điện tử. Chữ ký vòng một lần chứa bốn thuật toán: (GEN, SIG, VER, LNK): GEN: lấy tham số công khai và xuất ra cặp ec (P, x) và khóa chung I. SIG: nhận thông điệp m, tập \(S'\) khóa công khai {Pi}i̸=s, một cặp (Ps, xs) và xuất ra chữ ký \(\sigma\) và một tập hợp \(S = \)S'\( \cup \{P_s\}\). 8 15 Đầu ra giao dịch chưa chi tiêu ở đây trông như thế nào? Sơ đồ gợi ý rằng đầu ra giao dịch chỉ bao gồm hai điểm dữ liệu: số tiền và khóa đích. Nhưng đây không phải đủ vì khi tôi cố gắng sử dụng "đầu ra" này, tôi vẫn cần biết R=rG. Hãy nhớ rằng, r được người gửi chọn và R là a) được sử dụng để nhận dạng các ghi chú tiền điện tử đến là của bạn sở hữu và b) được sử dụng để tạo khóa riêng một lần được sử dụng để "yêu cầu" tiền điện tử của bạn. Phần này tôi không hiểu? Lấy lý thuyết "được rồi, chúng tôi có những thứ này chữ ký và giao dịch, và chúng tôi chuyển chúng qua lại" vào thế giới lập trình "được rồi, thông tin cụ thể nào tạo nên một cá nhân UTXO?" Cách tốt nhất để trả lời câu hỏi đó là đào sâu vào nội dung của mã hoàn toàn không có chú thích. Làm tốt lắm, nhóm bytecoin. Nhớ lại: khả năng liên kết có nghĩa là "có phải cùng một người đã gửi không?" và khả năng không liên kết có nghĩa là "đã làm như vậy người ta nhận được không?”. Vì vậy, một hệ thống có thể liên kết được hoặc không thể liên kết được, không thể liên kết được hoặc không thể liên kết được. Khó chịu, tôi biết. Vì vậy, khi Nic van Saberhagen ở đây nói "...các khoản thanh toán đến [được] liên kết với một lần các khóa công khai mà người xem không thể liên kết được", hãy xem ý anh ấy là gì. Đầu tiên, hãy xem xét tình huống trong đó Alice gửi cho Bob hai giao dịch riêng biệt từ cùng một địa chỉ đến cùng một địa chỉ. Trong vũ trụ Bitcoin, Alice đã phạm sai lầm rồi gửi từ cùng một địa chỉ và do đó giao dịch đã không đạt được mong muốn của chúng tôi về số lượng có hạn khả năng liên kết. Hơn nữa, vì cô ấy đã gửi tiền đến cùng một địa chỉ nên cô ấy đã thất bại trong mong muốn của chúng tôi. vì khả năng không liên kết được. Giao dịch bitcoin này vừa có thể (hoàn toàn) có thể liên kết vừa không thể hủy liên kết. Mặt khác, trong thế giới tiền điện tử, giả sử Alice gửi cho Bob một số tiền điện tử, sử dụng địa chỉ công cộng của Bob. Cô ấy chọn làm bộ khóa công khai khó hiểu của mình, tất cả đều được công khai chìa khóa trong khu vực tàu điện ngầm Washington DC. Alex tạo khóa công khai một lần bằng chính khóa của cô ấy thông tin và thông tin công khai của Bob. Cô ấy gửi tiền đi và bất kỳ người quan sát nào cũng sẽ chỉ có thể thu thập được "Ai đó từ khu vực đô thị Washington DC đã gửi 2,3 tiền điện tử tới địa chỉ công khai một lần XYZ123." Chúng tôi có quyền kiểm soát xác suất đối với khả năng liên kết ở đây, vì vậy chúng tôi sẽ gọi đây là "gần như không thể liên kết". Chúng tôi cũng chỉ thấy tiền khóa công khai một lần được gửi tới. Ngay cả khi chúng tôi nghi ngờ người nhận là Bob, chúng tôi không có khóa riêng của anh ấy và vì vậy chúng tôi không thể kiểm tra xem một giao dịch được chuyển thuộc về Bob chứ đừng nói đến việc tạo khóa riêng một lần của anh ấy để đổi tiền điện tử của anh ấy. Vậy cái này trên thực tế là hoàn toàn "không thể liên kết được". Vì vậy, đây là thủ thuật gọn gàng nhất trong tất cả. Ai muốn thực sự tin tưởng một MtGox khác? Chúng tôi có thể thoải mái lưu trữ một số lượng BTC trên Coinbase, nhưng bảo mật bitcoin cao nhất là một ví vật lý. Điều đó thật bất tiện. Trong trường hợp này, bạn có thể cho đi một nửa khóa riêng của mình một cách đáng tin cậy mà không ảnh hưởng đến tài khoản của bạn. khả năng tiêu tiền của bản thân. Khi làm điều này, tất cả những gì bạn đang làm là nói cho ai đó cách phá vỡ tính không liên kết. Cái khác các đặc tính của CN hoạt động giống như một loại tiền tệ được bảo toàn, như bằng chứng chống chi tiêu gấp đôi và không có gì.
Bob có thể khôi phục khóa riêng một lần tương ứng: x = Hs(aR) + b, do đó P = xG. Anh ta có thể sử dụng sản lượng này bất cứ lúc nào bằng cách ký một giao dịch với x. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích P ′ = Hs(aR)G + bG khóa công khai một lần x = Hs(aR) + b khóa riêng một lần Người nhận khóa riêng (a, b) R P' ?= P Hình 5. Kiểm tra giao dịch đến. Kết quả là Bob nhận được các khoản thanh toán đến, được liên kết với các khóa công khai một lần. không thể liên kết được đối với người xem. Một số lưu ý bổ sung: • Khi Bob “nhận ra” các giao dịch của mình (xem bước 5), thực tế anh ấy chỉ sử dụng một nửa số tiền của mình thông tin cá nhân: (a, B). Cặp này còn được gọi là khóa theo dõi, có thể được chuyển qua cho bên thứ ba (Carol). Bob có thể ủy quyền cho cô ấy xử lý các giao dịch mới. Bob không cần phải tin tưởng Carol một cách rõ ràng, vì cô ấy không thể khôi phục được khóa bí mật một lần. không có khóa riêng đầy đủ của Bob (a, b). Cách tiếp cận này hữu ích khi Bob thiếu băng thông hoặc sức mạnh tính toán (điện thoại thông minh, ví phần cứng, v.v.). • Trong trường hợp Alice muốn chứng minh cô ấy đã gửi giao dịch đến địa chỉ của Bob, cô ấy có thể tiết lộ r hoặc sử dụng bất kỳ loại giao thức không có kiến thức nào để chứng minh rằng cô ấy biết r (ví dụ bằng cách ký giao dịch với r). • Nếu Bob muốn có một địa chỉ tương thích với việc kiểm tra, nơi tất cả các giao dịch đến đều được có thể liên kết được, anh ta có thể xuất bản khóa theo dõi của mình hoặc sử dụng địa chỉ bị cắt ngắn. Địa chỉ đó chỉ đại diện cho một khóa ec công khai B và phần còn lại mà giao thức yêu cầu là suy ra từ nó như sau: a = Hs(B) và A = Hs(B)G. Trong cả hai trường hợp, mỗi người đều có thể “nhận ra” tất cả giao dịch đến của Bob, nhưng tất nhiên, không ai có thể chi tiêu các khoản tiền được bao bọc bên trong chúng mà không có khóa bí mật b. 4.4 Chữ ký đổ chuông một lần Giao thức dựa trên chữ ký vòng một lần cho phép người dùng đạt được khả năng hủy liên kết vô điều kiện. Thật không may, các loại chữ ký mật mã thông thường cho phép theo dõi các giao dịch người gửi và người nhận tương ứng. Giải pháp của chúng tôi cho sự thiếu sót này nằm ở việc sử dụng một chữ ký khác hơn những loại hiện đang được sử dụng trong hệ thống tiền điện tử. Đầu tiên chúng tôi sẽ cung cấp một mô tả chung về thuật toán của chúng tôi mà không có tham chiếu rõ ràng đến tiền điện tử. Chữ ký vòng một lần chứa bốn thuật toán: (GEN, SIG, VER, LNK): GEN: lấy tham số công khai và xuất ra cặp ec (P, x) và khóa chung I. SIG: nhận thông điệp m, tập \(S'\) khóa công khai {Pi}i̸=s, một cặp (Ps, xs) và xuất ra chữ ký \(\sigma\) và một tập hợp \(S = \)S'\( \cup \{P_s\}\). 8
Bob có thể khôi phục khóa riêng một lần tương ứng: x = Hs(aR) + b, do đó P = xG. Anh ta có thể sử dụng sản lượng này bất cứ lúc nào bằng cách ký một giao dịch với x. Giao dịch Khóa công khai Tx Đầu ra Tx Số tiền Khóa đích P ′ = Hs(aR)G + bG khóa công khai một lần x = Hs(aR) + b khóa riêng một lần Người nhận khóa riêng (a, b) R P' ?= P Hình 5. Kiểm tra giao dịch đến. Kết quả là Bob nhận được các khoản thanh toán đến, được liên kết với các khóa công khai một lần. không thể liên kết được đối với người xem. Một số lưu ý bổ sung: • Khi Bob “nhận ra” các giao dịch của mình (xem bước 5), thực tế anh ấy chỉ sử dụng một nửa số tiền của mình thông tin cá nhân: (a, B). Cặp này còn được gọi là khóa theo dõi, có thể được chuyển qua cho bên thứ ba (Carol). Bob có thể ủy quyền cho cô ấy xử lý các giao dịch mới. Bob không cần phải tin tưởng Carol một cách rõ ràng, vì cô ấy không thể khôi phục được khóa bí mật một lần. không có khóa riêng đầy đủ của Bob (a, b). Cách tiếp cận này hữu ích khi Bob thiếu băng thông hoặc sức mạnh tính toán (điện thoại thông minh, ví phần cứng, v.v.). • Trong trường hợp Alice muốn chứng minh cô ấy đã gửi giao dịch đến địa chỉ của Bob, cô ấy có thể tiết lộ r hoặc sử dụng bất kỳ loại giao thức không có kiến thức nào để chứng minh rằng cô ấy biết r (ví dụ bằng cách ký giao dịch với r). • Nếu Bob muốn có một địa chỉ tương thích với việc kiểm tra, nơi tất cả các giao dịch đến đều được có thể liên kết được, anh ta có thể xuất bản khóa theo dõi của mình hoặc sử dụng địa chỉ bị cắt ngắn. Địa chỉ đó chỉ đại diện cho một khóa ec công khai B và phần còn lại mà giao thức yêu cầu là suy ra từ nó như sau: a = Hs(B) và A = Hs(B)G. Trong cả hai trường hợp, mỗi người đều có thể “nhận ra” tất cả giao dịch đến của Bob, nhưng tất nhiên, không ai có thể chi tiêu các khoản tiền được bao bọc bên trong chúng mà không có khóa bí mật b. 4.4 Chữ ký đổ chuông một lần Giao thức dựa trên chữ ký vòng một lần cho phép người dùng đạt được khả năng hủy liên kết vô điều kiện. Thật không may, các loại chữ ký mật mã thông thường cho phép theo dõi các giao dịch người gửi và người nhận tương ứng. Giải pháp của chúng tôi cho sự thiếu sót này nằm ở việc sử dụng một chữ ký khác hơn những loại hiện đang được sử dụng trong hệ thống tiền điện tử. Đầu tiên chúng tôi sẽ cung cấp một gentất cả mô tả về thuật toán của chúng tôi mà không có tham chiếu rõ ràng đến tiền điện tử. Chữ ký vòng một lần chứa bốn thuật toán: (GEN, SIG, VER, LNK): GEN: lấy tham số công khai và xuất ra cặp ec (P, x) và khóa chung I. SIG: nhận thông điệp m, tập \(S'\) khóa công khai {Pi}i̸=s, một cặp (Ps, xs) và xuất ra chữ ký \(\sigma\) và một tập hợp \(S = \)S'\( \cup \{P_s\}\). 8 16 Có, vậy là bây giờ chúng ta có a) địa chỉ thanh toán và b) ID thanh toán. Một nhà phê bình có thể hỏi "chúng ta có thực sự cần phải làm điều này không? Rốt cuộc, nếu một thương gia nhận được 112.00678952 CN chính xác, và đó là đơn đặt hàng của tôi, và tôi có ảnh chụp màn hình hoặc biên nhận hay bất cứ thứ gì, phải không? mức độ chính xác điên rồ có đủ không?" Câu trả lời là "có lẽ, hầu hết thời gian, hàng ngày, giao dịch trực tiếp." Tuy nhiên, tình huống phổ biến hơn (đặc biệt là trong thế giới kỹ thuật số) là: một thương gia bán một tập hợp các đối tượng, mỗi đối tượng có một mức giá cố định. Giả sử vật A là 0,001 CN, vật B là 0,01 CN và vật C là 0,1 CN. Bây giờ, nếu người bán nhận được đơn hàng với giá 1.618 CN thì có rất nhiều (nhiều!) cách để sắp xếp đơn hàng cho khách hàng. Và do đó, nếu không có loại ID thanh toán nào đó, xác định cái gọi là đơn hàng "duy nhất" của một khách hàng với cái gọi là chi phí "duy nhất" của họ trật tự trở nên không thể. Buồn cười hơn nữa: nếu mọi thứ trong cửa hàng trực tuyến của tôi có giá chính xác là 1,0 CN, và tôi có được 1000 khách hàng mỗi ngày? Và bạn muốn chứng minh rằng bạn đã mua đúng 3 đồ vật hai tuần trước? Không có ID thanh toán? Chúc may mắn, anh bạn. Tóm tắt câu chuyện: Khi Bob công bố một địa chỉ thanh toán, cuối cùng anh ấy cũng có thể công bố một địa chỉ thanh toán. ID thanh toán (xem ví dụ: tiền gửi Poloniex XMR). Điều này khác với những gì được mô tả trong văn bản ở đây Alice là người tạo ID thanh toán. Phải có cách nào đó để Bob tạo ID thanh toán. (a,B) Hãy nhớ lại rằng khóa theo dõi (a,B) có thể được công bố; mất đi tính bí mật về giá trị của ý chí 'a' không vi phạm khả năng chi tiêu của bạn hoặc cho phép người khác ăn trộm của bạn (tôi nghĩ... điều đó sẽ có được chứng minh), nó sẽ chỉ cho phép mọi người xem tất cả các giao dịch đến. Một địa chỉ bị cắt ngắn, như được mô tả trong đoạn này, chỉ cần lấy phần "riêng tư" của khóa và tạo ra nó từ phần "công khai". Tiết lộ giá trị cho 'a' sẽ loại bỏ khả năng không liên kết nhưng sẽ bảo toàn phần còn lại của giao dịch. Tác giả muốn nói là "không thể hủy liên kết" vì không thể liên kết được đề cập đến người nhận và có thể liên kết được đề cập đến người gửi. Cũng rõ ràng là tác giả đã không nhận ra rằng có hai khía cạnh khác nhau về khả năng liên kết. Vì xét cho cùng, giao dịch là một đối tượng được định hướng trên biểu đồ nên sẽ có hai câu hỏi: "hai giao dịch này có đến cùng một người không?" và "hai giao dịch này sắp diễn ra từ cùng một người?” Đây là chính sách "không quay lại", theo đó thuộc tính không thể liên kết của CryptoNote được có điều kiện. Điều đó có nghĩa là Bob có thể chọn các giao dịch đến của mình để không thể hủy liên kết được sử dụng chính sách này. Đây là một tuyên bố mà họ chứng minh theo Mô hình Oracle ngẫu nhiên. Chúng ta sẽ đạt được điều đó; sự ngẫu nhiên Oracle có ưu và nhược điểm.

VER: nhận thông điệp m, tập S, chữ ký \(\sigma\) và xuất ra “true” hoặc “false”. LNK: lấy tập I = {Ii}, chữ ký \(\sigma\) và xuất ra “được liên kết” hoặc “độc lập”. Ý tưởng đằng sau giao thức này khá đơn giản: người dùng tạo ra một chữ ký có thể được được kiểm tra bằng một bộ khóa công khai chứ không phải bằng một khóa chung duy nhất. Danh tính của người ký là không thể phân biệt được với những người dùng khác có khóa chung trong bộ cho đến khi chủ sở hữu tạo ra chữ ký thứ hai sử dụng cùng một cặp khóa. Khóa riêng x0 \(\cdots\) xi \(\cdots\) xn Khóa công khai P0 \(\cdots\) Pi \(\cdots\) Pn Nhẫn Chữ ký ký tên xác minh Hình 6. Ẩn danh chữ ký vòng. GEN: Người ký chọn một khóa bí mật ngẫu nhiên \(x \in [1, l - 1]\) và tính toán tương ứng khóa công khai P = xG. Ngoài ra, anh ta còn tính một khóa công khai khác I = xHp(P) mà chúng ta sẽ gọi là “hình ảnh quan trọng”. SIG: Người ký tạo chữ ký vòng một lần với kiến thức không tương tác chứng minh bằng cách sử dụng các kỹ thuật từ [21]. Anh ta chọn một tập con ngẫu nhiên \(S'\) của n từ những người dùng khác khóa công khai Pi, cặp khóa riêng của anh ta (x, P) và ảnh khóa I. Giả sử 0  n là chỉ số bí mật của người ký trong S (để khóa công khai của anh ta là Ps). Anh ấy chọn ngẫu nhiên một {qi | tôi = 0 . . . n} và {wi | tôi = 0 . . . n, i ̸= s} từ (1 . . . l) và áp dụng các phép biến đổi sau: Lý = ( khí công, nếu tôi = s qiG + wiPi, nếu tôi ̸= s Ri = ( qiHp(Pi), nếu tôi = s qiHp(Pi) + wiI, nếu tôi ̸= s Bước tiếp theo là nhận thử thách không tương tác: c = Hs(m, L1, . . , Ln, R1, . . . , Rn) Cuối cùng người ký tính toán phản hồi: ci =    , nếu tôi ̸= s c − nP tôi=0 ci mod tôi, nếu tôi = s ri = ( khí, nếu tôi ̸= s qs −csx mod tôi, nếu tôi = s Chữ ký thu được là \(\sigma\) = (I, c1, . . , cn, r1, . . . , rn). 9 VER: nhận thông điệp m, tập S, chữ ký \(\sigma\) và xuất ra “true” hoặc “false”. LNK: lấy tập I = {Ii}, chữ ký \(\sigma\) và xuất ra “được liên kết” hoặc “độc lập”. Ý tưởng đằng sau giao thức này khá đơn giản: người dùng tạo ra một chữ ký có thể được được kiểm tra bằng một bộ khóa công khai chứ không phải bằng một khóa chung duy nhất. Danh tính của người ký là không thể phân biệt được với những người dùng khác có khóa chung trong bộ cho đến khi chủ sở hữu tạo ra chữ ký thứ hai sử dụng cùng một cặp khóa. Khóa riêng x0 \(\cdots\) xi \(\cdots\) xn Khóa công khai P0 \(\cdots\) Pi \(\cdots\) Pn Nhẫn Chữ ký ký tên xác minh Hình 6. Ẩn danh chữ ký vòng. GEN: Người ký chọn một khóa bí mật ngẫu nhiên \(x \in [1, l - 1]\) và tính toán tương ứng khóa công khai P = xG. Ngoài ra, anh ta còn tính một khóa công khai khác I = xHp(P) mà chúng ta sẽ gọi là “hình ảnh quan trọng”. SIG: Người ký tạo chữ ký vòng một lần với kiến thức không tương tác chứng minh bằng cách sử dụng các kỹ thuật từ [21]. Anh ta chọn một tập con ngẫu nhiên \(S'\) của n từ những người dùng khác khóa công khai Pi, cặp khóa riêng của anh ta (x, P) và ảnh khóa I. Giả sử 0  n là chỉ số bí mật của người ký trong S (để khóa công khai của anh ta là Ps). Anh ấy chọn ngẫu nhiên một {qi | tôi = 0 . . . n} và {wi | tôi = 0 . . . n, i ̸= s} từ (1 . . . l) và áp dụng các phép biến đổi sau: Lý = ( khí công, nếu tôi = s qiG + wiPi, nếu tôi ̸= s Ri = ( qiHp(Pi), nếu tôi = s qiHp(Pi) + wiI, nếu tôi ̸= s Bước tiếp theo là nhận thử thách không tương tác: c = Hs(m, L1, . . , Ln, R1, . . . , Rn) Cuối cùng người ký tính toán phản hồi: ci =    , nếu tôi ̸= s c − nP tôi=0 ci mod tôi, nếu tôi = s ri = ( khí, nếu tôi ̸= s qs −csx mod tôi, nếu tôi = s Chữ ký thu được là \(\sigma\) = (I, c1, . . , cn, r1, . . . , rn). 9 17 Có lẽ điều này thật ngu ngốc nhưng phải cẩn thận khi kết hợp S và P_s. Nếu bạn chỉ nối thêm khóa công khai cuối cùng đến cuối, khả năng không liên kết bị hỏng vì bất kỳ ai kiểm tra các giao dịch chuyển qua chỉ có thể kiểm tra khóa công khai cuối cùng được liệt kê trong mỗi giao dịch và bùng nổ. Đó là khóa công khai liên quan đến người gửi. Vì vậy, sau khi hợp nhất, một bộ tạo số giả ngẫu nhiên phải được được sử dụng để hoán vị các khóa công khai đã chọn. "...cho đến khi chủ sở hữu tạo ra chữ ký thứ hai bằng cách sử dụng cùng một cặp khóa." Tôi ước (các) tác giả? sẽ giải thích chi tiết về điều này. Tôi tin rằng điều này có nghĩa là "hãy đảm bảo rằng mỗi khi bạn chọn một bộ khóa công khai để làm xáo trộn với chính mình, bạn chọn một bộ chìa khóa hoàn toàn mới không có hai chiếc chìa khóa nào giống nhau." Điều này có vẻ giống như một điều kiện khá mạnh để đặt vào tình trạng không thể liên kết được. Có lẽ "bạn chọn một bộ ngẫu nhiên mới từ tất cả các khóa có thể" với giả định rằng, mặc dù các giao lộ không tầm thường chắc chắn sẽ xảy ra, chúng sẽ không xảy ra thường xuyên. Dù bằng cách nào, tôi cần phải tìm hiểu sâu hơn về tuyên bố này. Điều này đang tạo ra chữ ký vòng. Bằng chứng không có kiến thức thật tuyệt vời: Tôi thách bạn chứng minh cho tôi thấy rằng bạn biết một bí mật mà không tiết lộ bí mật. Ví dụ: giả sử chúng ta đang ở lối vào của một hang động hình bánh rán, và ở phía sau hang động (ngoài tầm nhìn từ lối vào) là một ocánh cửa mới mà bạn khẳng định bạn có chìa khóa. Nếu bạn đi một hướng, nó luôn cho phép bạn đi qua, nhưng nếu bạn đi hướng hướng khác, bạn cần một chìa khóa. Nhưng bạn thậm chí còn không muốn cho tôi xem chìa khóa chứ đừng nói đến cho tôi thấy rằng nó mở được cánh cửa. Nhưng bạn muốn chứng minh cho tôi thấy rằng bạn biết cách mở cửa. Trong cài đặt tương tác, tôi tung đồng xu. Đầu ở bên trái, đuôi ở bên phải và bạn đi xuống hang động hình bánh rán theo cách đồng xu hướng dẫn bạn. Ở phía sau, ngoài tầm nhìn của tôi, bạn mở cửa để quay lại phía bên kia. Chúng tôi lặp lại thí nghiệm tung đồng xu cho đến khi tôi hài lòng rằng bạn có chìa khóa. Nhưng đó rõ ràng là bằng chứng không có kiến thức TƯƠNG TÁC. Có những phiên bản không tương tác mà bạn và tôi không bao giờ phải giao tiếp; Bằng cách này, không kẻ nghe trộm nào có thể can thiệp được. http://en.wikipedia.org/wiki/Zero-knowledge_proof Điều này trái ngược với định nghĩa trước đó.

VER: nhận thông điệp m, tập S, chữ ký \(\sigma\) và xuất ra “true” hoặc “false”. LNK: lấy tập I = {Ii}, chữ ký \(\sigma\) và xuất ra “được liên kết” hoặc “độc lập”. Ý tưởng đằng sau giao thức này khá đơn giản: người dùng tạo ra một chữ ký có thể được được kiểm tra bằng một bộ khóa công khai chứ không phải bằng một khóa chung duy nhất. Danh tính của người ký là không thể phân biệt được với những người dùng khác có khóa chung trong bộ cho đến khi chủ sở hữu tạo ra chữ ký thứ hai sử dụng cùng một cặp khóa. Khóa riêng x0 \(\cdots\) xi \(\cdots\) xn Khóa công khai P0 \(\cdots\) Pi \(\cdots\) Pn Nhẫn Chữ ký ký tên xác minh Hình 6. Ẩn danh chữ ký vòng. GEN: Người ký chọn một khóa bí mật ngẫu nhiên \(x \in [1, l - 1]\) và tính toán tương ứng khóa công khai P = xG. Ngoài ra, anh ta còn tính một khóa công khai khác I = xHp(P) mà chúng ta sẽ gọi là “hình ảnh quan trọng”. SIG: Người ký tạo chữ ký vòng một lần với kiến thức không tương tác chứng minh bằng cách sử dụng các kỹ thuật từ [21]. Anh ta chọn một tập con ngẫu nhiên \(S'\) của n từ những người dùng khác khóa công khai Pi, cặp khóa riêng của anh ta (x, P) và ảnh khóa I. Giả sử 0  n là chỉ số bí mật của người ký trong S (để khóa công khai của anh ta là Ps). Anh ấy chọn ngẫu nhiên một {qi | tôi = 0 . . . n} và {wi | tôi = 0 . . . n, i ̸= s} từ (1 . . . l) và áp dụng các phép biến đổi sau: Lý = ( khí công, nếu tôi = s qiG + wiPi, nếu tôi ̸= s Ri = ( qiHp(Pi), nếu tôi = s qiHp(Pi) + wiI, nếu tôi ̸= s Bước tiếp theo là nhận thử thách không tương tác: c = Hs(m, L1, . . , Ln, R1, . . . , Rn) Cuối cùng người ký tính toán phản hồi: ci =    , nếu tôi ̸= s c − nP tôi=0 ci mod tôi, nếu tôi = s ri = ( khí, nếu tôi ̸= s qs −csx mod tôi, nếu tôi = s Chữ ký thu được là \(\sigma\) = (I, c1, . . , cn, r1, . . . , rn). 9 VER: nhận thông điệp m, tập S, chữ ký \(\sigma\) và xuất ra “true” hoặc “false”. LNK: lấy tập I = {Ii}, chữ ký \(\sigma\) và xuất ra “được liên kết” hoặc “độc lập”. Ý tưởng đằng sau giao thức này khá đơn giản: người dùng tạo ra một chữ ký có thể được được kiểm tra bằng một bộ khóa công khai chứ không phải bằng một khóa chung duy nhất. Danh tính của người ký là không thể phân biệt được với những người dùng khác có khóa chung trong bộ cho đến khi chủ sở hữu tạo ra chữ ký thứ hai sử dụng cùng một cặp khóa. Khóa riêng x0 \(\cdots\) xi \(\cdots\) xn Khóa công khai P0 \(\cdots\) Pi \(\cdots\) Pn Nhẫn Chữ ký ký tên xác minh Hình 6. Ẩn danh chữ ký vòng. GEN: Người ký chọn một khóa bí mật ngẫu nhiên \(x \in [1, l - 1]\) và tính toán tương ứng khóa công khai P = xG. Ngoài ra, anh ta còn tính một khóa công khai khác I = xHp(P) mà chúng ta sẽ gọi là “hình ảnh quan trọng”. SIG: Người ký tạo chữ ký vòng một lần với kiến thức không tương tác chứng minh bằng cách sử dụng các kỹ thuật từ [21]. Anh ta chọn một tập con ngẫu nhiên \(S'\) của n từ những người dùng khác khóa công khai Pi, cặp khóa riêng của anh ta (x, P) và ảnh khóa I. Giả sử 0  n là chỉ số bí mật của người ký trong S (để khóa công khai của anh ta là Ps). Anh ấy chọn ngẫu nhiên một {qi | tôi = 0 . . . n} và {wi | tôi = 0 . . . n, i ̸= s} từ (1 . . . l) và áp dụng các phép biến đổi sau: Lý = ( khí công, nếu tôi = s qiG + wiPi, nếu tôi ̸= s Ri = ( qiHp(Pi), nếu tôi = s qiHp(Pi) + wiI, nếu tôi ̸= s Bước tiếp theo là nhận thử thách không tương tác: c = Hs(m, L1, . . , Ln, R1, . . . , Rn) Cuối cùng người ký tính toán phản hồi: ci =    , nếu tôi ̸= s c − nP tôi=0 ci mod tôi, nếu tôi = s ri = ( khí, nếu tôi ̸= s qs −csx mod tôi, nếu tôi = s Chữ ký thu được là \(\sigma\) = (I, c1, . . , cn, r1, . . . , rn). 9 18 Toàn bộ lĩnh vực này là bất khả tri về tiền điện tử, chỉ mô tả thuật toán chữ ký vòng mà không cần tham chiếu đến tiền tệ. Tôi nghi ngờ một số ký hiệu nhất quán với phần còn lại của bài báo, mặc dù. Ví dụ: x là khóa bí mật "ngẫu nhiên" được chọn trong GEN, cung cấp khóa chung P và hình ảnh khóa công khai I. Giá trị này của x là giá trị Bob tính toán ở phần 6 trang 8. Vậy đây là bắt đầu làm sáng tỏ một số nhầm lẫn từ mô tả trước đó. Điều này thật tuyệt vời; tiền không được chuyển từ "địa chỉ công cộng của Alice sang địa chỉ công cộng của Bob địa chỉ." Nó đang được chuyển từ địa chỉ một lần sang địa chỉ một lần. Vì vậy, theo một nghĩa nào đó, đây là cách mọi thứ hoạt động. Nếu Alex có một số tiền điện tử vì ai đó đã gửi chúng cho cô ấy, điều này có nghĩa là cô ấy có khóa riêng cần thiết để gửi chúng cho Bob. Cô ấy sử dụng trao đổi Diﬃe-Hellman sử dụng thông tin công khai của Bob để tạo địa chỉ một lần mới và các tiền điện tử được chuyển đến địa chỉ đó. Bây giờ, do trao đổi DH (có lẽ là an toàn) đã được sử dụng để tạo địa chỉ một lần mới mà Alex đã gửi CN của cô ấy tới, Bob là người duy nhất có khóa riêng cần thiết để lặp lại ở trên. Vậy bây giờ Bob là Alex. http://en.wikipedia.org/wiki/Piecewise#Notation_and_interpretation Tổng kết nên được lập chỉ mục trên j chứ không phải i. Mỗi c_i là rác ngẫu nhiên (vì w_i là ngẫu nhiên) ngoại trừ cái mông c_iđược liên kết với khóa thực tế liên quan đến chữ ký này. Giá trị của c là hash của thông tin trước đó. Tuy nhiên, tôi nghĩ rằng điều này có thể chứa một lỗi đánh máy tệ hơn việc sử dụng lại chỉ mục 'i', vì c_s dường như được xác định một cách ngầm định, không rõ ràng. Thật vậy, nếu chúng ta tin vào phương trình này thì chúng ta xác định được rằng c_s = (1/2)c - (1/2) tổng_i neq s c_i. Tức là hash trừ đi cả đống số ngẫu nhiên. Mặt khác, nếu phép tính tổng này được đọc là "c_s = (c - sum_j neq s c_j) mod l", sau đó chúng tôi lấy hash thông tin trước đó của chúng tôi, tạo ra một loạt các số ngẫu nhiên, trừ tất cả các số ngẫu nhiên đó khỏi hash và kết quả là c_s. Điều này có vẻ là điều gì "nên" xảy ra theo trực giác của tôi và phù hợp với bước xác minh ở trang 10. Nhưng trực giác không phải là toán học. Tôi sẽ tìm hiểu sâu hơn về điều này. Tương tự như trước; tất cả những thứ này sẽ là rác ngẫu nhiên ngoại trừ thứ liên quan đến thực tế khóa công khai của người ký x. Ngoại trừ lần này, đây là những gì tôi mong đợi hơn từ cấu trúc: r_i là ngẫu nhiên đối với i!=s và r_s chỉ được xác định bởi bí mật x và các giá trị được lập chỉ mục s của q_i và c_i.

VER: Người xác minh kiểm tra chữ ký bằng cách áp dụng các phép biến đổi nghịch đảo: ( L’ i = riG + ciPi R’ i = riHp(Pi) + ciI Cuối cùng, người xác minh sẽ kiểm tra xem nP tôi=0 ci ?= Hs(m, L′ 0, . . . , L' n, R' 0, . . . , R′ n) mod l Nếu đẳng thức này đúng, trình xác minh sẽ chạy thuật toán LNK. Ngược lại, người xác minh sẽ từ chối chữ ký. LNK: Trình xác minh kiểm tra xem liệu tôi có được sử dụng trong các chữ ký trước đây hay không (các giá trị này được lưu trong tập I). Việc sử dụng nhiều lần ngụ ý rằng hai chữ ký được tạo ra dưới cùng một khóa bí mật. Ý nghĩa của giao thức: bằng cách áp dụng phép biến đổi L, người ký chứng minh rằng mình biết sao cho x có ít nhất một Pi = xG. Để làm cho bằng chứng này không thể lặp lại, chúng tôi giới thiệu hình ảnh chính vì I = xHp(P). Người ký sử dụng cùng các hệ số (ri, ci) để chứng minh gần như cùng một tuyên bố: anh ta biết x sao cho ít nhất một \(H_p(P_i) = I \cdot x^{-1}\). Nếu ánh xạ \(x \to I\) là một phép tiêm: 1. Không ai có thể khôi phục khóa chung từ hình ảnh khóa và xác định người ký; 2. Người ký không được phép ký hai chữ ký có chữ I khác nhau và cùng chữ x. Phân tích bảo mật đầy đủ được cung cấp trong Phụ lục A. 4,5 Giao dịch CryptoNote tiêu chuẩn Bằng cách kết hợp cả hai phương pháp (khóa công khai không thể liên kết và chữ ký vòng không thể theo dõi), Bob đạt được mức độ riêng tư mới so với sơ đồ Bitcoin ban đầu. Nó yêu cầu anh ta chỉ lưu trữ một khóa riêng (a, b) và xuất bản (A, B) để bắt đầu nhận và gửi các giao dịch ẩn danh. Trong khi xác thực mỗi giao dịch, Bob chỉ thực hiện thêm hai phép nhân đường cong elip và một phép cộng cho mỗi đầu ra để kiểm tra xem giao dịch có thuộc về anh ta hay không. Đối với mỗi anh ấy đầu ra Bob khôi phục cặp khóa dùng một lần (pi, Pi) và lưu nó vào ví của mình. Mọi đầu vào đều có thể được chứng minh một cách gián tiếp là có cùng một chủ sở hữu chỉ khi chúng xuất hiện trong một giao dịch duy nhất. trong trên thực tế, mối quan hệ này khó thiết lập hơn nhiều do chữ ký vòng một lần. Với chữ ký vòng Bob có thể ẩn mọi đầu vào của người khác một cách hiệu quả; tất cả có thể người chi tiêu sẽ có thể trang bị được, ngay cả chủ sở hữu trước đó (Alice) cũng không có nhiều thông tin hơn bất kỳ người quan sát nào. Khi ký giao dịch của mình, Bob chỉ định n đầu ra nước ngoài với số tiền tương đương với số tiền của anh ấy. đầu ra, trộn tất cả chúng mà không có sự tham gia của người dùng khác. Bản thân Bob (cũng như bất kỳ ai khác) không biết liệu bất kỳ khoản thanh toán nào trong số này đã được chi tiêu hay chưa: một đầu ra có thể được sử dụng trong hàng nghìn chữ ký như một yếu tố mơ hồ và không bao giờ là mục tiêu che giấu. gấp đôi kiểm tra chi tiêu xảy ra trong giai đoạn LNK khi kiểm tra bộ ảnh chính đã sử dụng. Bob có thể tự mình chọn mức độ mơ hồ: n = 1 nghĩa là xác suất anh ta có chi tiêu đầu ra có xác suất 50%, n = 99 cho 1%. Kích thước của chữ ký kết quả tăng lên tuyến tính như O(n+1), do đó, tính ẩn danh được cải thiện sẽ khiến Bob phải trả thêm phí giao dịch. Anh ấy cũng có thể đặt n = 0 và làm cho chữ ký vòng của anh ta chỉ bao gồm một phần tử, tuy nhiên điều này sẽ ngay lập tức tiết lộ anh ta là một người chi tiêu. 10 VER: Người xác minh kiểm tra chữ ký bằng cách áp dụng các phép biến đổi nghịch đảo: ( L' i = riG + ciPi R’ i = riHp(Pi) + ciI Cuối cùng, người xác minh sẽ kiểm tra xem nP tôi=0 ci ?= Hs(m, L′ 0, . . . , L' n, R' 0, . . . , R′ n) mod l Nếu đẳng thức này đúng, trình xác minh sẽ chạy thuật toán LNK. Ngược lại, người xác minh sẽ từ chối chữ ký. LNK: Trình xác minh kiểm tra xem liệu tôi có được sử dụng trong các chữ ký trước đây hay không (các giá trị này được lưu trong tập I). Việc sử dụng nhiều lần ngụ ý rằng hai chữ ký được tạo ra dưới cùng một khóa bí mật. Ý nghĩa của giao thức: bằng cách áp dụng phép biến đổi L, người ký chứng minh rằng mình biết sao cho x có ít nhất một Pi = xG. Để làm cho bằng chứng này không thể lặp lại, chúng tôi giới thiệu hình ảnh chính vì I = xHp(P). Người ký sử dụng cùng các hệ số (ri, ci) để chứng minh gần như cùng một tuyên bố: anh ta biết x sao cho ít nhất một \(H_p(P_i) = I \cdot x^{-1}\). Nếu ánh xạ \(x \to I\) là một phép tiêm: 1. Không ai có thể khôi phục khóa chung từ hình ảnh khóa và xác định người ký; 2. Người ký không được phép ký hai chữ ký có chữ I khác nhau và cùng chữ x. Phân tích bảo mật đầy đủ được cung cấp trong Phụ lục A. 4,5 Giao dịch CryptoNote tiêu chuẩn Bằng cách kết hợp cả hai phương pháp (khóa công khai không thể liên kết và chữ ký vòng không thể theo dõi), Bob đạt được mức độ riêng tư mới so với sơ đồ Bitcoin ban đầu. Nó yêu cầu anh ta chỉ lưu trữ một khóa riêng (a, b) và xuất bản (A, B) để bắt đầu nhận và gửi các giao dịch ẩn danh. Trong khi xác thực mỗi giao dịch, Bob chỉ thực hiện thêm hai phép nhân đường cong elip và một phép cộng cho mỗi đầu ra để kiểm tra xem giao dịch có thuộc về anh ta hay không. Đối với mỗi anh ấy đầu ra Bob khôi phục cặp khóa một lần (pi, Pi) và stquặng nó vào ví của mình. Mọi đầu vào đều có thể được chứng minh một cách gián tiếp là có cùng một chủ sở hữu chỉ khi chúng xuất hiện trong một giao dịch duy nhất. trong trên thực tế, mối quan hệ này khó thiết lập hơn nhiều do chữ ký vòng một lần. Với chữ ký vòng Bob có thể ẩn mọi đầu vào của người khác một cách hiệu quả; tất cả có thể người chi tiêu sẽ có thể trang bị được, ngay cả chủ sở hữu trước đó (Alice) cũng không có nhiều thông tin hơn bất kỳ người quan sát nào. Khi ký giao dịch của mình, Bob chỉ định n đầu ra nước ngoài với số tiền tương đương với số tiền của anh ấy. đầu ra, trộn tất cả chúng mà không có sự tham gia của người dùng khác. Bản thân Bob (cũng như bất kỳ ai khác) không biết liệu bất kỳ khoản thanh toán nào trong số này đã được chi tiêu hay chưa: một đầu ra có thể được sử dụng trong hàng nghìn chữ ký như một yếu tố mơ hồ và không bao giờ là mục tiêu che giấu. gấp đôi kiểm tra chi tiêu xảy ra trong giai đoạn LNK khi kiểm tra bộ ảnh chính đã sử dụng. Bob có thể tự mình chọn mức độ mơ hồ: n = 1 nghĩa là xác suất anh ta có chi tiêu đầu ra có xác suất 50%, n = 99 cho 1%. Kích thước của chữ ký kết quả tăng lên tuyến tính như O(n+1), do đó, tính ẩn danh được cải thiện sẽ khiến Bob phải trả thêm phí giao dịch. Anh ấy cũng có thể đặt n = 0 và làm cho chữ ký vòng của anh ta chỉ bao gồm một phần tử, tuy nhiên điều này sẽ ngay lập tức tiết lộ anh ta là một người chi tiêu. 10 19 Lúc này, tôi vô cùng bối rối. Alex nhận được tin nhắn M có chữ ký (I,c_1, ..., c_n, r_1, ..., r_n) và danh sách công khai phím S. và cô ấy chạy VER. Điều này sẽ tính toán L_i’ và R_i’ Điều này xác minh rằng c_s = c - sum_i neq s c_i ở trang trước. Lúc đầu tôi RẤT (ha) bối rối. Bất kỳ ai cũng có thể tính L_i’ và R_i’. Thật vậy, mỗi r_i và c_i đã được công bố ở phần chữ ký sigma cùng với giá trị của I. Tập S = P_i của tất cả các khóa công khai cũng đã được công bố. Vì vậy, bất cứ ai đã nhìn thấy sigma và tập hợp khóa S = P_i sẽ nhận cùng giá trị cho L_i’ và R_i’ và do đó kiểm tra chữ ký. Nhưng rồi tôi nhớ ra phần này chỉ mô tả thuật toán chữ ký chứ không phải "kiểm tra nếu đã ký, hãy kiểm tra xem đã GỬI CHO TÔI chưa, và nếu vậy thì hãy tiêu tiền." Đây ĐƠN GIẢN là phần chữ ký của trò chơi. Tôi muốn đọc Phụ lục A khi tôi đến đó. Tôi muốn xem bản so sánh toàn diện giữa từng hoạt động của Cryptonote với Bitcoin. Ngoài ra, điện/sự bền vững. Những phần nào của thuật toán tạo thành "đầu vào" ở đây? Tôi tin rằng đầu vào giao dịch là Số tiền và tập hợp UTXO có tổng số tiền lớn hơn số tiền Số tiền. Điều này không rõ ràng. "Mục tiêu ẩn nấp?" Tôi đã nghĩ về điều này được vài phút rồi nhưng tôi vẫn chưa ý tưởng mù mờ nhất về ý nghĩa của nó. Một cuộc tấn công chi tiêu gấp đôi chỉ có thể được thực hiện bằng cách thao túng khóa đã sử dụng của nút bộ hình ảnh \(I\). "Mức độ mơ hồ" = n nhưng tổng số khóa công khai có trong giao dịch là n+1. Điều đó có nghĩa là, mức độ mơ hồ sẽ là "bạn muốn có bao nhiêu người KHÁC tham gia" đám đông à?" Theo mặc định, câu trả lời có thể sẽ là "càng nhiều càng tốt".

VER: Người xác minh kiểm tra chữ ký bằng cách áp dụng các phép biến đổi nghịch đảo: ( L' i = riG + ciPi R’ i = riHp(Pi) + ciI Cuối cùng, người xác minh sẽ kiểm tra xem nP tôi=0 ci ?= Hs(m, L′ 0, . . . , L' n, R' 0, . . . , R′ n) mod l Nếu đẳng thức này đúng, trình xác minh sẽ chạy thuật toán LNK. Ngược lại, người xác minh sẽ từ chối chữ ký. LNK: Trình xác minh kiểm tra xem liệu tôi có được sử dụng trong các chữ ký trước đây hay không (các giá trị này được lưu trong tập I). Việc sử dụng nhiều lần ngụ ý rằng hai chữ ký được tạo ra dưới cùng một khóa bí mật. Ý nghĩa của giao thức: bằng cách áp dụng phép biến đổi L, người ký chứng minh rằng mình biết sao cho x có ít nhất một Pi = xG. Để làm cho bằng chứng này không thể lặp lại, chúng tôi giới thiệu hình ảnh chính vì I = xHp(P). Người ký sử dụng cùng các hệ số (ri, ci) để chứng minh gần như cùng một tuyên bố: anh ta biết x sao cho ít nhất một \(H_p(P_i) = I \cdot x^{-1}\). Nếu ánh xạ \(x \to I\) là một phép tiêm: 1. Không ai có thể khôi phục khóa chung từ hình ảnh khóa và xác định người ký; 2. Người ký không được phép ký hai chữ ký có chữ I khác nhau và cùng chữ x. Phân tích bảo mật đầy đủ được cung cấp trong Phụ lục A. 4,5 Giao dịch CryptoNote tiêu chuẩn Bằng cách kết hợp cả hai phương pháp (khóa công khai không thể liên kết và chữ ký vòng không thể theo dõi), Bob đạt được mức độ bảo mật mới so với sơ đồ Bitcoin ban đầu. Nó yêu cầu anh ta chỉ lưu trữ một khóa riêng (a, b) và xuất bản (A, B) để bắt đầu nhận và gửi các giao dịch ẩn danh. Trong khi xác thực mỗi giao dịch, Bob chỉ thực hiện thêm hai phép nhân đường cong elip và một phép cộng cho mỗi đầu ra để kiểm tra xem giao dịch có thuộc về anh ta hay không. Đối với mỗi anh ấy đầu ra Bob khôi phục cặp khóa dùng một lần (pi, Pi) và lưu nó vào ví của mình. Mọi đầu vào đều có thể được chứng minh một cách gián tiếp là có cùng một chủ sở hữu chỉ khi chúng xuất hiện trong một giao dịch duy nhất. trong trên thực tế, mối quan hệ này khó thiết lập hơn nhiều do chữ ký vòng một lần. Với chữ ký vòng Bob có thể ẩn mọi đầu vào của người khác một cách hiệu quả; tất cả có thể người chi tiêu sẽ có thể trang bị được, ngay cả chủ sở hữu trước đó (Alice) cũng không có nhiều thông tin hơn bất kỳ người quan sát nào. Khi ký giao dịch của mình, Bob chỉ định n đầu ra nước ngoài với số tiền tương đương với số tiền của anh ấy. đầu ra, trộn tất cả chúng mà không có sự tham gia của người dùng khác. Bản thân Bob (cũng như bất kỳ ai khác) không biết liệu bất kỳ khoản thanh toán nào trong số này đã được chi tiêu hay chưa: một đầu ra có thể được sử dụng trong hàng nghìn chữ ký như một yếu tố mơ hồ và không bao giờ là mục tiêu che giấu. gấp đôi kiểm tra chi tiêu xảy ra trong giai đoạn LNK khi kiểm tra bộ ảnh chính đã sử dụng. Bob có thể tự mình chọn mức độ mơ hồ: n = 1 nghĩa là xác suất anh ta có chi tiêu đầu ra có xác suất 50%, n = 99 cho 1%. Kích thước của chữ ký kết quả tăng lên tuyến tính như O(n+1), do đó, tính ẩn danh được cải thiện sẽ khiến Bob phải trả thêm phí giao dịch. Anh ấy cũng có thể đặt n = 0 và làm cho chữ ký vòng của anh ta chỉ bao gồm một phần tử, tuy nhiên điều này sẽ ngay lập tức tiết lộ anh ta là một người chi tiêu. 10 VER: Người xác minh kiểm tra chữ ký bằng cách áp dụng các phép biến đổi nghịch đảo: ( L' i = riG + ciPi R’ i = riHp(Pi) + ciI Cuối cùng, người xác minh sẽ kiểm tra xem nP tôi=0 ci ?= Hs(m, L′ 0, . . . , L' n, R' 0, . . . , R′ n) mod l Nếu đẳng thức này đúng, trình xác minh sẽ chạy thuật toán LNK. Ngược lại, người xác minh sẽ từ chối chữ ký. LNK: Trình xác minh kiểm tra xem liệu tôi có được sử dụng trong các chữ ký trước đây hay không (các giá trị này được lưu trong tập I). Việc sử dụng nhiều lần ngụ ý rằng hai chữ ký được tạo ra dưới cùng một khóa bí mật. Ý nghĩa của giao thức: bằng cách áp dụng phép biến đổi L, người ký chứng minh rằng mình biết sao cho x có ít nhất một Pi = xG. Để làm cho bằng chứng này không thể lặp lại, chúng tôi giới thiệu hình ảnh chính vì I = xHp(P). Người ký sử dụng cùng các hệ số (ri, ci) để chứng minh gần như cùng một tuyên bố: anh ta biết x sao cho ít nhất một \(H_p(P_i) = I \cdot x^{-1}\). Nếu ánh xạ \(x \to I\) là một phép tiêm: 1. Không ai có thể khôi phục khóa chung từ hình ảnh khóa và xác định người ký; 2. Người ký không được phép ký hai chữ ký có chữ I khác nhau và cùng chữ x. Phân tích bảo mật đầy đủ được cung cấp trong Phụ lục A. 4,5 Giao dịch CryptoNote tiêu chuẩn Bằng cách kết hợp cả hai phương pháp (khóa công khai không thể liên kết và chữ ký vòng không thể theo dõi), Bob đạt được mức độ riêng tư mới so với sơ đồ Bitcoin ban đầu. Nó yêu cầu anh ta chỉ lưu trữ một khóa riêng (a, b) và xuất bản (A, B) để bắt đầu nhận và gửi các giao dịch ẩn danh. Trong khi xác thực mỗi giao dịch, Bob chỉ thực hiện thêm hai phép nhân đường cong elip và một phép cộng cho mỗi đầu ra để kiểm tra xem giao dịch có thuộc về anh ta hay không. Đối với mỗi anh ấy đầu ra Bob khôi phục cặp khóa một lần (pi, Pi) và stquặng nó vào ví của mình. Mọi đầu vào đều có thể được chứng minh một cách gián tiếp là có cùng một chủ sở hữu chỉ khi chúng xuất hiện trong một giao dịch duy nhất. trong trên thực tế, mối quan hệ này khó thiết lập hơn nhiều do chữ ký vòng một lần. Với chữ ký vòng Bob có thể ẩn mọi đầu vào của người khác một cách hiệu quả; tất cả có thể người chi tiêu sẽ có thể trang bị được, ngay cả chủ sở hữu trước đó (Alice) cũng không có nhiều thông tin hơn bất kỳ người quan sát nào. Khi ký giao dịch của mình, Bob chỉ định n đầu ra nước ngoài với số tiền tương đương với số tiền của anh ấy. đầu ra, trộn tất cả chúng mà không có sự tham gia của người dùng khác. Bản thân Bob (cũng như bất kỳ ai khác) không biết liệu bất kỳ khoản thanh toán nào trong số này đã được chi tiêu hay chưa: một đầu ra có thể được sử dụng trong hàng nghìn chữ ký như một yếu tố mơ hồ và không bao giờ là mục tiêu che giấu. gấp đôi kiểm tra chi tiêu xảy ra trong giai đoạn LNK khi kiểm tra bộ ảnh chính đã sử dụng. Bob có thể tự mình chọn mức độ mơ hồ: n = 1 nghĩa là xác suất anh ta có chi tiêu đầu ra có xác suất 50%, n = 99 cho 1%. Kích thước của chữ ký kết quả tăng lên tuyến tính như O(n+1), do đó, tính ẩn danh được cải thiện sẽ khiến Bob phải trả thêm phí giao dịch. Anh ấy cũng có thể đặt n = 0 và làm cho chữ ký vòng của anh ta chỉ bao gồm một phần tử, tuy nhiên điều này sẽ ngay lập tức tiết lộ anh ta là một người chi tiêu. 10 20 Điều này thật thú vị; trước đó, chúng tôi đã cung cấp một cách để người nhận, Bob, thực hiện tất cả việc THU NHẬP giao dịch không thể hủy liên kết bằng cách chọn một nửa số khóa riêng của anh ta một cách xác định hoặc bằng cách xuất bản một nửa khóa riêng của mình dưới dạng công khai. Đây là một loại chính sách không quay trở lại. Ở đây, chúng ta thấy một cách để người gửi, Alex, chọn một giao dịch gửi đi duy nhất có thể liên kết được, nhưng trên thực tế, điều này tiết lộ Alex là người gửi toàn bộ mạng lưới. Đây KHÔNG phải là một loại chính sách không thể quay lại. Đây là giao dịch theo giao dịch. Có chính sách thứ ba không? Người nhận, Bob, có thể tạo ID thanh toán duy nhất cho Alex không? không bao giờ thay đổi, có lẽ sử dụng trao đổi Diﬃe-Hellman? Nếu có ai bao gồm khoản thanh toán đó ID được gói ở đâu đó trong giao dịch của cô ấy tới địa chỉ của Bob, nó phải đến từ Alex. Bằng cách này, Alex không cần phải tiết lộ bản thân với toàn bộ mạng lưới bằng cách chọn liên kết một địa chỉ cụ thể giao dịch, nhưng cô ấy vẫn có thể nhận dạng chính mình với người mà cô ấy gửi tiền. Đây không phải là điều Poloniex làm sao?

Giao dịch đầu vào TX Đầu ra0 . . . đầu ra . . . đầu ra Hình ảnh chính Chữ ký Chữ ký nhẫn Khóa đích Đầu ra1 Khóa đích đầu ra Giao dịch nước ngoài Đầu ra của người gửi Khóa đích Cặp khóa dùng một lần Một lần khóa riêng Tôi = xHp(P) P, x Hình 7. Tạo chữ ký vòng trong một giao dịch tiêu chuẩn. 5 Bằng chứng công việc bình đẳng Trong phần này, chúng tôi đề xuất và xây dựng thuật toán proof-of-work mới. Mục tiêu chính của chúng tôi là thu hẹp khoảng cách giữa các công cụ khai thác CPU (đa số) và GPU/FPGA/ASIC (thiểu số). Đó là thích hợp là một số người dùng có thể có lợi thế nhất định so với những người khác, nhưng khoản đầu tư của họ ít nhất phải tăng trưởng tuyến tính với sức mạnh. Tổng quát hơn, sản xuất các thiết bị có mục đích đặc biệt phải càng ít lợi nhuận càng tốt. 5.1 Công trình liên quan Giao thức Bitcoin proof-of-work ban đầu sử dụng chức năng định giá sử dụng nhiều CPU SHA-256. Nó chủ yếu bao gồm các toán tử logic cơ bản và chỉ dựa vào tốc độ tính toán của do đó bộ xử lý hoàn toàn phù hợp cho việc triển khai đa lõi/băng tải. Tuy nhiên, máy tính hiện đại không bị giới hạn bởi số lượng thao tác mỗi giây, mà còn theo kích thước bộ nhớ. Mặc dù một số bộ xử lý có thể nhanh hơn đáng kể so với những bộ xử lý khác [8], kích thước bộ nhớ ít có khả năng khác nhau giữa các máy. Hàm giá giới hạn theo bộ nhớ lần đầu tiên được giới thiệu bởi Abadi và cộng sự và được định nghĩa là “các hàm có thời gian tính toán bị chi phối bởi thời gian truy cập bộ nhớ” [15]. Ý tưởng chính là xây dựng một thuật toán phân bổ một khối dữ liệu lớn (“scratchpad”) trong bộ nhớ có thể được truy cập tương đối chậm (ví dụ: RAM) và “truy cập vào chuỗi vị trí không thể đoán trước” bên trong nó. Một khối phải đủ lớn để bảo quản dữ liệu có lợi hơn việc tính toán lại nó cho mỗi lần truy cập. Thuật toán cũng nên ngăn chặn sự song song bên trong, do đó N luồng đồng thời sẽ cần bộ nhớ gấp N lần cùng một lúc. Dwork và cộng sự [22] đã nghiên cứu và chính thức hóa cách tiếp cận này khiến họ đề xuất một phương pháp khác biến thể của hàm định giá: “Mbound”. Một tác phẩm nữa thuộc về F. Coelho [20], người 11 Giao dịch đầu vào TX Đầu ra0 . . . đầu ra . . . đầu ra Hình ảnh chính Chữ ký Chữ ký nhẫn Khóa đích Đầu ra1 Khóa đích đầu ra Giao dịch nước ngoài Đầu ra của người gửi Khóa đích Cặp khóa dùng một lần Một lần khóa riêng Tôi = xHp(P) P, x Hình 7. Tạo chữ ký vòng trong một giao dịch tiêu chuẩn. 5 Bằng chứng công việc bình đẳng Trong phần này, chúng tôi đề xuất và xây dựng thuật toán proof-of-work mới. Mục tiêu chính của chúng tôi là thu hẹp khoảng cách giữa các công cụ khai thác CPU (đa số) và GPU/FPGA/ASIC (thiểu số). Đó là thích hợp là một số người dùng có thể có lợi thế nhất định so với những người khác, nhưng khoản đầu tư của họ ít nhất phải tăng trưởng tuyến tính với sức mạnh. Tổng quát hơn, sản xuất các thiết bị có mục đích đặc biệt phải càng ít lợi nhuận càng tốt. 5.1 Công trình liên quan Giao thức Bitcoin proof-of-work ban đầu sử dụng chức năng định giá sử dụng nhiều CPU SHA-256. Nó chủ yếu bao gồm các toán tử logic cơ bản và chỉ dựa vào tốc độ tính toán của do đó bộ xử lý hoàn toàn phù hợp cho việc triển khai đa lõi/băng tải. Tuy nhiên, máy tính hiện đại không bị giới hạn bởi số lượng thao tác mỗi giây, mà còn theo kích thước bộ nhớ. Mặc dù một số bộ xử lý có thể nhanh hơn đáng kể so với những bộ xử lý khác [8], kích thước bộ nhớ ít có khả năng khác nhau giữa các máy. Hàm giá giới hạn theo bộ nhớ lần đầu tiên được giới thiệu bởi Abadi và cộng sự và được định nghĩa là “các hàm có thời gian tính toán bị chi phối bởi thời gian truy cập bộ nhớ” [15]. Ý tưởng chính là xây dựng một thuật toán phân bổ một khối dữ liệu lớn (“scratchpad”) trong bộ nhớ có thể được truy cập tương đối chậm (ví dụ: RAM) và “truy cập vào chuỗi vị trí không thể đoán trước” bên trong nó. Một khối phải đủ lớn để bảo quản dữ liệu có lợi hơn việc tính toán lại nó cho mỗi lần truy cập. Thuật toán cũng nên ngăn chặn sự song song bên trong, do đó N luồng đồng thời sẽ cần bộ nhớ gấp N lần cùng một lúc. Dwork và cộng sự [22] đã nghiên cứu và chính thức hóa phương pháp này khiến họ đề xuất một phương pháp khác biến thể của hàm định giá: “Mbound”. Một tác phẩm nữa thuộc về F. Coelho [20], người 11 21 Bề ngoài, đây là UTXO của chúng tôi: số tiền và khóa đích. Nếu Alex là người xây dựng giao dịch tiêu chuẩn này và gửi cho Bob thì Alex cũng có khóa riêng đến từng điều này. Tôi rất thích sơ đồ này vì nó trả lời một số câu hỏi trước đó. Một đầu vào Txn bao gồm của một tập hợp các đầu ra Txn và một kehình ảnh y. Sau đó nó được ký bằng chữ ký vòng, bao gồm tất cả trong số các khóa riêng mà Alex sở hữu đối với tất cả các giao dịch nước ngoài được gói gọn trong thỏa thuận. các Đầu ra Txn bao gồm một số tiền và một khóa đích. Người nhận giao dịch có thể, theo ý muốn, tạo khóa riêng một lần của họ như được mô tả trước đó trong bài viết để sử dụng tiền. Sẽ rất thú vị khi tìm hiểu xem mã này khớp với mã thực tế đến mức nào... Không, Nic van Saberhagen mô tả một cách lỏng lẻo một số thuộc tính của thuật toán bằng chứng công việc, mà không thực sự mô tả thuật toán đó. Bản thân thuật toán CryptoNight sẽ YÊU CẦU phân tích sâu. Khi tôi đọc điều này, tôi lắp bắp. Đầu tư có nên tăng trưởng ít nhất là tuyến tính với sức mạnh hay nên đầu tư tăng trưởng nhiều nhất tuyến tính với sức mạnh? Và rồi tôi nhận ra; Tôi, với tư cách là một thợ mỏ hoặc một nhà đầu tư, thường nghĩ "tôi có thể nhận được bao nhiêu năng lượng" để đầu tư à?" chứ không phải "cần đầu tư bao nhiêu cho một lượng điện năng cố định?" Tất nhiên, biểu thị đầu tư là I và lũy thừa là P. Nếu I(P) là đầu tư là hàm của lũy thừa và P(I) là quyền lực như một hàm của đầu tư, chúng sẽ nghịch đảo với nhau (bất cứ nơi nào có thể tồn tại nghịch đảo). Và nếu I(P) nhanh hơn tuyến tính thì P(I) chậm hơn tuyến tính. Do đó, sẽ có một tỷ lệ lợi nhuận giảm cho các nhà đầu tư. Điều đó có nghĩa là, điều tác giả muốn nói ở đây là: "chắc chắn rồi, khi bạn đầu tư nhiều hơn, bạn sẽ nhận được nhiều hơn." quyền lực. Nhưng chúng ta nên cố gắng làm cho tỷ lệ lợi nhuận giảm đi." Cuối cùng, các khoản đầu tư vào CPU sẽ đạt mức cận tuyến tính; câu hỏi đặt ra là liệu các tác giả đã thiết kế một thuật toán POW sẽ buộc ASIC cũng phải làm điều này. Liệu một "tiền tệ tương lai" giả định có nên luôn được khai thác với nguồn tài nguyên chậm nhất/hạn chế nhất không? Bài báo của Abadi và cộng sự (có một số kỹ sư của Google và Microsoft là tác giả) là, về cơ bản, sử dụng thực tế là trong vài năm qua kích thước bộ nhớ đã nhỏ hơn nhiều sự khác biệt giữa các máy so với tốc độ bộ xử lý và với tỷ lệ công suất đầu tư cao hơn tuyến tính. Trong một vài năm nữa, điều này có thể phải được đánh giá lại! Mọi thứ đều là một cuộc chạy đua vũ trang... Việc xây dựng hàm hash là khó; việc xây dựng hàm hash thỏa mãn các ràng buộc này có vẻ khó khăn hơn. Bài viết này dường như không có lời giải thích nào về thực tế hashing thuật toán CryptoNight. Tôi nghĩ đó là cách triển khai SHA-3 sử dụng bộ nhớ cứng, dựa trên trên các bài đăng trên diễn đàn nhưng tôi không biết... và đó chính là vấn đề. Nó phải được giải thích.

đề xuất giải pháp hiệu quả nhất: “Hokkaido”. Theo hiểu biết của chúng tôi, công việc cuối cùng dựa trên ý tưởng tìm kiếm giả ngẫu nhiên trong một mảng lớn là thuật toán được gọi là “mã hóa” của C. Percival [32]. Không giống như các chức năng trước đó, nó tập trung vào dẫn xuất khóa chứ không phải hệ thống proof-of-work. Bất chấp thực tế này, tiền điện tử có thể phục vụ mục đích của chúng tôi: nó hoạt động tốt như một hàm định giá trong bài toán chuyển đổi một phần hash chẳng hạn như SHA-256 trong Bitcoin. Hiện tại, tiền điện tử đã được áp dụng trong Litecoin [14] và một số nhánh Bitcoin khác. Tuy nhiên, việc triển khai nó không thực sự bị giới hạn về bộ nhớ: tỷ lệ “thời gian truy cập bộ nhớ/tổng thể time” không đủ lớn vì mỗi phiên bản chỉ sử dụng 128 KB. Điều này cho phép các công cụ khai thác GPU hiệu quả hơn khoảng 10 lần và tiếp tục để lại khả năng tạo ra tương đối thiết bị khai thác rẻ tiền nhưng hiệu quả cao. Hơn nữa, bản thân việc xây dựng mật mã cho phép trao đổi tuyến tính giữa kích thước bộ nhớ và Tốc độ CPU do thực tế là mọi khối trong bảng ghi nhớ chỉ bắt nguồn từ khối trước đó. Ví dụ: bạn có thể lưu trữ từng khối thứ hai và tính toán lại các khối khác một cách lười biếng, tức là chỉ khi nó trở nên cần thiết. Các chỉ mục giả ngẫu nhiên được giả định là phân bố đồng đều, do đó giá trị kỳ vọng của việc tính toán lại các khối bổ sung là 1 \(2 \cdot N\), trong đó N là số của các lần lặp. Tổng thời gian tính toán tăng ít hơn một nửa vì cũng có các hoạt động độc lập với thời gian (thời gian không đổi) chẳng hạn như chuẩn bị bảng ghi nhớ và hash bật mỗi lần lặp. Tiết kiệm 2/3 chi phí bộ nhớ 1 \(3 \cdot N\) + 1 3 \(\cdot\) \(2 \cdot N\) = N phép tính lại bổ sung; Kết quả 10/9 1 \(10 \cdot N\)+ . . . + 1 \(10 \cdot 9 \cdot N\) = 4,5N. Dễ dàng chứng minh rằng chỉ lưu trữ 1 s của tất cả các khối tăng thời gian ít hơn hệ số s−1 2 . Điều này ngụ ý rằng một máy có CPU Nhanh hơn 200 lần so với các chip hiện đại, chỉ có thể lưu trữ 320 byte của bảng ghi nhớ. 5.2 Thuật toán đề xuất Chúng tôi đề xuất thuật toán giới hạn bộ nhớ mới cho hàm định giá proof-of-work. Nó dựa vào truy cập ngẫu nhiên vào bộ nhớ chậm và nhấn mạnh sự phụ thuộc vào độ trễ. Ngược lại với việc mã hóa mọi khối mới (dài 64 byte) phụ thuộc vào tất cả các khối trước đó. Kết quả là một giả thuyết “Trình tiết kiệm bộ nhớ” sẽ tăng tốc độ tính toán của anh ấy theo cấp số nhân. Thuật toán của chúng tôi yêu cầu khoảng 2 Mb cho mỗi phiên bản vì những lý do sau: 1. Nó phù hợp với bộ đệm L3 (mỗi lõi) của bộ xử lý hiện đại, sẽ trở thành xu hướng chủ đạo trong một vài năm nữa; 2. Một megabyte bộ nhớ trong là kích thước gần như không thể chấp nhận được đối với đường dẫn ASIC hiện đại; 3. GPU có thể chạy hàng trăm phiên bản đồng thời, nhưng chúng bị hạn chế theo những cách khác: Bộ nhớ GDDR5 chậm hơn bộ nhớ đệm CPU L3 và đáng chú ý về băng thông của nó, không phải tốc độ truy cập ngẫu nhiên 4. Việc mở rộng đáng kể bàn di chuột sẽ đòi hỏi phải tăng số lần lặp lại, trong đó lần lượt ngụ ý sự gia tăng thời gian tổng thể. Các cuộc gọi “nặng” trong mạng p2p không tin cậy có thể dẫn đến các lỗ hổng nghiêm trọng vì các nút có nghĩa vụ kiểm tra proof-of-work của mọi khối mới. Nếu một nút dành một lượng thời gian đáng kể cho mỗi lần đánh giá hash, nó có thể dễ dàng Bị tấn công DDoS bởi hàng loạt đối tượng giả mạo có dữ liệu công việc tùy ý (giá trị nonce). 12 đề xuất giải pháp hiệu quả nhất: “Hokkaido”. Theo hiểu biết của chúng tôi, công việc cuối cùng dựa trên ý tưởng tìm kiếm giả ngẫu nhiên trong một mảng lớn là thuật toán được gọi là “mã hóa” của C. Percival [32]. Không giống như các chức năng trước đó, nó tập trung vào dẫn xuất khóa chứ không phải hệ thống proof-of-work. Bất chấp thực tế này, tiền điện tử có thể phục vụ mục đích của chúng tôi: nó hoạt động tốt như một hàm định giá trong bài toán chuyển đổi một phần hash chẳng hạn như SHA-256 trong Bitcoin. Hiện tại, tiền điện tử đã được áp dụng trong Litecoin [14] và một số nhánh Bitcoin khác. Tuy nhiên, việc triển khai nó không thực sự bị giới hạn về bộ nhớ: tỷ lệ “thời gian truy cập bộ nhớ/tổng thể time” không đủ lớn vì mỗi phiên bản chỉ sử dụng 128 KB. Điều này cho phép các công cụ khai thác GPU hiệu quả hơn khoảng 10 lần và tiếp tục để lại khả năng tạo ra tương đối thiết bị khai thác rẻ tiền nhưng hiệu quả cao. Hơn nữa, bản thân việc xây dựng mật mã cho phép trao đổi tuyến tính giữa kích thước bộ nhớ và Tốc độ CPU do thực tế là mọi khối trong bảng ghi nhớ chỉ bắt nguồn từ khối trước đó. Ví dụ: bạn có thể lưu trữ từng khối thứ hai và tính toán lại các khối khác một cách lười biếng, tức là chỉ khi nó trở nên cần thiết. Các chỉ mục giả ngẫu nhiên được giả định là phân bố đồng đều, do đó giá trị kỳ vọng của việc tính toán lại các khối bổ sung là 1 \(2 \cdot N\), ở đâuN là số của các lần lặp. Tổng thời gian tính toán tăng ít hơn một nửa vì cũng có các hoạt động độc lập với thời gian (thời gian không đổi) chẳng hạn như chuẩn bị bảng ghi nhớ và hash bật mỗi lần lặp. Tiết kiệm 2/3 chi phí bộ nhớ 1 \(3 \cdot N\) + 1 3 \(\cdot\) \(2 \cdot N\) = N phép tính lại bổ sung; Kết quả 10/9 1 \(10 \cdot N\)+ . . . + 1 \(10 \cdot 9 \cdot N\) = 4,5N. Dễ dàng chứng minh rằng chỉ lưu trữ 1 s của tất cả các khối tăng thời gian ít hơn hệ số s−1 2 . Điều này ngụ ý rằng một máy có CPU Nhanh hơn 200 lần so với các chip hiện đại, chỉ có thể lưu trữ 320 byte của bảng ghi nhớ. 5.2 Thuật toán đề xuất Chúng tôi đề xuất thuật toán giới hạn bộ nhớ mới cho hàm định giá proof-of-work. Nó dựa vào truy cập ngẫu nhiên vào bộ nhớ chậm và nhấn mạnh sự phụ thuộc vào độ trễ. Ngược lại với việc mã hóa mọi khối mới (dài 64 byte) phụ thuộc vào tất cả các khối trước đó. Kết quả là một giả thuyết “Trình tiết kiệm bộ nhớ” sẽ tăng tốc độ tính toán của anh ấy theo cấp số nhân. Thuật toán của chúng tôi yêu cầu khoảng 2 Mb cho mỗi phiên bản vì những lý do sau: 1. Nó phù hợp với bộ đệm L3 (mỗi lõi) của bộ xử lý hiện đại, sẽ trở thành xu hướng chủ đạo trong một vài năm nữa; 2. Một megabyte bộ nhớ trong là kích thước gần như không thể chấp nhận được đối với đường dẫn ASIC hiện đại; 3. GPU có thể chạy hàng trăm phiên bản đồng thời, nhưng chúng bị hạn chế theo những cách khác: Bộ nhớ GDDR5 chậm hơn bộ nhớ đệm CPU L3 và đáng chú ý về băng thông của nó, không phải tốc độ truy cập ngẫu nhiên 4. Việc mở rộng đáng kể bàn di chuột sẽ đòi hỏi phải tăng số lần lặp lại, trong đó lần lượt ngụ ý sự gia tăng thời gian tổng thể. Các cuộc gọi “nặng” trong mạng p2p không tin cậy có thể dẫn đến các lỗ hổng nghiêm trọng vì các nút có nghĩa vụ kiểm tra proof-of-work của mọi khối mới. Nếu một nút dành một lượng thời gian đáng kể cho mỗi lần đánh giá hash, nó có thể dễ dàng Bị tấn công DDoS bởi hàng loạt đối tượng giả mạo có dữ liệu công việc tùy ý (giá trị nonce). 12 22 Đừng bận tâm, đó là một đồng tiền điện tử? Thuật toán ở đâu? Tất cả những gì tôi thấy là một quảng cáo. Đây là nơi Cryptonote, nếu thuật toán PoW của họ đáng giá, sẽ thực sự tỏa sáng. Nó không phải thực sự là SHA-256, nó không hẳn là mã hóa. Nó mới, bị ràng buộc về bộ nhớ và không đệ quy.

6 Ưu điểm hơn nữa 6.1 Phát xạ trơn tru Giới hạn trên của tổng số tiền kỹ thuật số CryptoNote là: MSupply = 264 −1 đơn vị nguyên tử. Đây là hạn chế tự nhiên chỉ dựa trên giới hạn thực hiện chứ không dựa trên trực giác chẳng hạn như “N xu là đủ cho bất kỳ ai”. Để đảm bảo quá trình phát xạ diễn ra suôn sẻ chúng ta sử dụng công thức sau cho khối phần thưởng: Phần thưởng cơ bản = (MSupply −A) ≫18, Trong đó A là số lượng tiền được tạo ra trước đó. 6.2 Thông số điều chỉnh 6.2.1 khó khăn CryptoNote chứa thuật toán nhắm mục tiêu thay đổi độ khó của mọi khối. Cái này giảm thời gian phản ứng của hệ thống khi tốc độ mạng hash tăng hoặc giảm mạnh, duy trì tốc độ chặn không đổi. Phương thức Bitcoin ban đầu tính toán mối quan hệ của giá trị thực tế và khoảng thời gian mục tiêu giữa các khối cuối cùng của năm 2016 và sử dụng nó làm hệ số nhân cho khối hiện tại khó khăn. Rõ ràng điều này không phù hợp để tính toán lại nhanh chóng (vì quán tính lớn) và dẫn đến dao động. Ý tưởng chung đằng sau thuật toán của chúng tôi là tổng hợp tất cả công việc được hoàn thành bởi các nút và chia nó cho thời gian họ đã bỏ ra. Thước đo của công việc là các giá trị độ khó tương ứng trong mỗi khối. Nhưng do dấu thời gian không chính xác và không đáng tin cậy nên chúng tôi không thể xác định chính xác khoảng thời gian giữa các khối. Người dùng có thể chuyển dấu thời gian của mình sang tương lai và lần tiếp theo các khoảng có thể rất nhỏ hoặc thậm chí âm. Có lẽ sẽ có ít sự cố xảy ra loại này, vì vậy chúng tôi chỉ có thể sắp xếp các dấu thời gian và các giá trị ngoại lệ (tức là 20%). Phạm vi của các giá trị còn lại là thời gian dành cho 80% khối tương ứng. 6.2.2 Giới hạn kích thước Người dùng trả tiền để lưu trữ blockchain và có quyền bỏ phiếu cho kích thước của nó. Mỗi thợ mỏ giải quyết vấn đề cân bằng giữa chi phí và lợi nhuận từ phí và tự đặt ra “giới hạn mềm” để tạo khối. Ngoài ra, quy tắc cốt lõi cho kích thước khối tối đa là cần thiết cho ngăn chặn blockchain tràn ngập giao dịch không có thật, tuy nhiên giá trị này sẽ không được mã hóa cứng. Gọi MN là giá trị trung bình của N kích thước khối cuối cùng. Sau đó là “giới hạn cứng” cho kích thước khối chấp nhận là \(2 \cdot M_N\). Nó giúp blockchain khỏi bị đầy hơi nhưng vẫn cho phép giới hạn từ từ phát triển theo thời gian nếu cần thiết. Quy mô giao dịch không cần phải bị giới hạn một cách rõ ràng. Nó được giới hạn bởi kích thước của một khối; và nếu ai đó muốn tạo một giao dịch lớn với hàng trăm đầu vào/đầu ra (hoặc với mức độ mơ hồ cao trong chữ ký vòng), anh ta có thể làm như vậy bằng cách trả đủ phí. 6.2.3 Hình phạt vượt quá kích thước Người khai thác vẫn có khả năng lưu trữ một khối chứa đầy các giao dịch không tính phí của riêng mình lên đến mức tối đa cỡ \(2 \cdot M_b\). Mặc dù chỉ có phần lớn các thợ mỏ có thể thay đổi giá trị trung bình, nhưng vẫn có một 13 6 Ưu điểm hơn nữa 6.1 Phát xạ trơn tru Giới hạn trên của tổng số tiền kỹ thuật số CryptoNote là: MSupply = 264 −1 đơn vị nguyên tử. Đây là hạn chế tự nhiên chỉ dựa trên giới hạn thực hiện chứ không dựa trên trực giác chẳng hạn như “N xu là đủ cho bất kỳ ai”. Để đảm bảo quá trình phát xạ diễn ra suôn sẻ chúng ta sử dụng công thức sau cho khối phần thưởng: Phần thưởng cơ bản = (MSupply −A) ≫18, Trong đó A là số lượng tiền được tạo ra trước đó. 6.2 Thông số điều chỉnh 6.2.1 khó khăn CryptoNote chứa thuật toán nhắm mục tiêu thay đổi độ khó của mọi khối. Cái này giảm thời gian phản ứng của hệ thống khi tốc độ mạng hash tăng hoặc giảm mạnh, duy trì tốc độ chặn không đổi. Phương thức Bitcoin ban đầu tính toán mối quan hệ thực tế và khoảng thời gian mục tiêu giữa các khối cuối cùng của năm 2016 và sử dụng nó làm hệ số nhân cho khối hiện tại khó khăn. Rõ ràng điều này không phù hợp để tính toán lại nhanh chóng (vì quán tính lớn) và dẫn đến dao động. Ý tưởng chung đằng sau thuật toán của chúng tôi là tổng hợp tất cả công việc được hoàn thành bởi các nút và chia nó cho thời gian họ đã bỏ ra. Thước đo của công việc là các giá trị độ khó tương ứng trong mỗi khối. Nhưng do dấu thời gian không chính xác và không đáng tin cậy nên chúng tôi không thể xác định chính xác khoảng thời gian giữa các khối. Người dùng có thể chuyển dấu thời gian của mình sang tương lai và lần tiếp theo các khoảng có thể rất nhỏ hoặc thậm chí âm. Có lẽ sẽ có ít sự cố xảy ra loại này, vì vậy chúng tôi chỉ có thể sắp xếp các dấu thời gian và các giá trị ngoại lệ (tức là 20%). Phạm vi của các giá trị còn lại là thời gian dành cho 80% khối tương ứng. 6.2.2 Giới hạn kích thước Người dùng trả tiền để lưu trữ blockchain và có quyền bỏ phiếu cho kích thước của nó. Mỗi thợ mỏ đề cập đến sự đánh đổi giữa việc cân bằnge chi phí và lợi nhuận từ phí và tự đặt ra “giới hạn mềm” để tạo khối. Ngoài ra, quy tắc cốt lõi cho kích thước khối tối đa là cần thiết cho ngăn chặn blockchain tràn ngập giao dịch không có thật, tuy nhiên giá trị này sẽ không được mã hóa cứng. Gọi MN là giá trị trung bình của N kích thước khối cuối cùng. Sau đó là “giới hạn cứng” cho kích thước khối chấp nhận là \(2 \cdot M_N\). Nó giúp blockchain khỏi bị đầy hơi nhưng vẫn cho phép giới hạn từ từ phát triển theo thời gian nếu cần thiết. Quy mô giao dịch không cần phải bị giới hạn một cách rõ ràng. Nó được giới hạn bởi kích thước của một khối; và nếu ai đó muốn tạo một giao dịch lớn với hàng trăm đầu vào/đầu ra (hoặc với mức độ mơ hồ cao trong chữ ký vòng), anh ta có thể làm như vậy bằng cách trả đủ phí. 6.2.3 Hình phạt vượt quá kích thước Người khai thác vẫn có khả năng lưu trữ một khối chứa đầy các giao dịch không tính phí của riêng mình lên đến mức tối đa cỡ \(2 \cdot M_b\). Mặc dù chỉ có phần lớn các thợ mỏ có thể thay đổi giá trị trung bình, nhưng vẫn có một 13 23 Đơn vị nguyên tử. Tôi thích điều đó. Đây có phải là tương đương với Satoshi không? Nếu vậy thì điều đó có nghĩa là sẽ có 185 tỷ tiền điện tử. Tôi biết điều này cuối cùng phải được điều chỉnh trong một vài trang hoặc có thể có lỗi đánh máy? Nếu phần thưởng cơ bản là "tất cả các đồng xu còn lại" thì chỉ cần một khối là đủ để nhận được tất cả các đồng xu. Instamine. Mặt khác, nếu điều này được cho là tỷ lệ thuận theo một cách nào đó với sự khác biệt về thời gian giữa hiện tại và một số ngày chấm dứt sản xuất tiền xu? Điều đó sẽ có ý nghĩa. Ngoài ra, trong thế giới của tôi, hai dấu hiệu lớn hơn như thế này có nghĩa là "lớn hơn nhiều". Có phải tác giả có thể có ý nghĩa gì khác? Nếu việc điều chỉnh độ khó xảy ra ở mỗi khối thì kẻ tấn công có thể có một trang trại rất lớn máy móc khai thác và tắt trong những khoảng thời gian được lựa chọn cẩn thận. Điều này có thể gây ra một vụ nổ hỗn loạn (hoặc sụp đổ về 0) một cách khó khăn nếu các công thức điều chỉnh độ khó không được giảm bớt một cách thích hợp. Không còn nghi ngờ gì nữa, phương pháp của Bitcoin không phù hợp để tính toán lại nhanh chóng, nhưng ý tưởng về quán tính trong những hệ thống này cần phải được chứng minh chứ không phải được coi là đương nhiên. Hơn nữa, dao động trong mạng không nhất thiết là một vấn đề trừ khi nó dẫn đến sự dao động của giá trị bề ngoài nguồn cung tiền xu - và việc có độ khó thay đổi rất nhanh có thể gây ra "sự điều chỉnh quá mức". Thời gian sử dụng, đặc biệt là trong một khoảng thời gian ngắn như vài phút, sẽ tỷ lệ thuận với "tổng thời gian". số khối được tạo trên mạng." Hằng số tỷ lệ sẽ tự tăng lên theo thời gian, có lẽ sẽ tăng theo cấp số nhân nếu CN thành công. Có thể là một ý tưởng tốt hơn nếu bạn chỉ cần điều chỉnh độ khó để giữ “tổng số khối được tạo trên mạng kể từ khi khối cuối cùng được thêm vào chuỗi chính" trong một số giá trị không đổi hoặc với biến thể giới hạn hoặc một cái gì đó như thế. Nếu một thuật toán thích ứng được tính toán dễ thực hiện có thể được xác định, điều này dường như sẽ giải quyết được vấn đề. Nhưng sau đó, nếu chúng tôi sử dụng phương pháp đó, ai đó có trang trại khai thác lớn có thể đóng cửa trang trại của họ trong vài giờ và bật lại. Trong vài khối đầu tiên, trang trại đó sẽ tạo ra ngân hàng. Vì vậy, trên thực tế, phương pháp này sẽ đưa ra một điểm thú vị: việc khai thác trở thành (trung bình) một thua trò chơi mà không có ROI, đặc biệt khi có nhiều người truy cập mạng hơn. Nếu độ khó khai thác mạng được theo dõi rất chặt chẽ hashtỷ lệ, bằng cách nào đó tôi nghi ngờ mọi người sẽ khai thác nhiều như họ hiện tại làm. Hoặc mặt khác, thay vì giữ cho trang trại khai thác của họ hoạt động 24/7, họ có thể biến chúng thành bật trong 6 giờ, tắt trong 2 giờ, bật trong 6 giờ, tắt trong 2 giờ, hoặc tương tự. Chỉ cần chuyển sang đồng tiền khác trong vài giờ, đợi cho độ khó giảm xuống, sau đó nhảy trở lại để nhận thêm một ít các khối lợi nhuận khi mạng thích ứng. Và bạn biết gì không? Điều này thực sự có lẽ một trong những kịch bản khai thác tốt hơn mà tôi đã đặt tâm trí vào... Đây có thể là một vòng tròn, nhưng nếu thời gian tạo khối trung bình là khoảng một phút, chúng ta có thể sử dụng số khối làm đại diện cho "thời gian đã sử dụng?"

6 Ưu điểm hơn nữa 6.1 Phát xạ trơn tru Giới hạn trên của tổng số tiền kỹ thuật số CryptoNote là: MSupply = 264 −1 đơn vị nguyên tử. Đây là hạn chế tự nhiên chỉ dựa trên giới hạn thực hiện chứ không dựa trên trực giác chẳng hạn như “N xu là đủ cho bất kỳ ai”. Để đảm bảo quá trình phát xạ diễn ra suôn sẻ chúng ta sử dụng công thức sau cho khối phần thưởng: Phần thưởng cơ bản = (MSupply −A) ≫18, Trong đó A là số lượng tiền được tạo ra trước đó. 6.2 Thông số điều chỉnh 6.2.1 khó khăn CryptoNote chứa thuật toán nhắm mục tiêu thay đổi độ khó của mọi khối. Cái này giảm thời gian phản ứng của hệ thống khi tốc độ mạng hash tăng hoặc giảm mạnh, duy trì tốc độ chặn không đổi. Phương thức Bitcoin ban đầu tính toán mối quan hệ của giá trị thực tế và khoảng thời gian mục tiêu giữa các khối cuối cùng của năm 2016 và sử dụng nó làm hệ số nhân cho khối hiện tại khó khăn. Rõ ràng điều này không phù hợp để tính toán lại nhanh chóng (vì quán tính lớn) và dẫn đến dao động. Ý tưởng chung đằng sau thuật toán của chúng tôi là tổng hợp tất cả công việc được hoàn thành bởi các nút và chia nó cho thời gian họ đã bỏ ra. Thước đo của công việc là các giá trị độ khó tương ứng trong mỗi khối. Nhưng do dấu thời gian không chính xác và không đáng tin cậy nên chúng tôi không thể xác định chính xác khoảng thời gian giữa các khối. Người dùng có thể chuyển dấu thời gian của mình sang tương lai và lần tiếp theo các khoảng có thể rất nhỏ hoặc thậm chí âm. Có lẽ sẽ có ít sự cố xảy ra loại này, vì vậy chúng tôi chỉ có thể sắp xếp các dấu thời gian và các giá trị ngoại lệ (tức là 20%). Phạm vi của các giá trị còn lại là thời gian dành cho 80% khối tương ứng. 6.2.2 Giới hạn kích thước Người dùng trả tiền để lưu trữ blockchain và có quyền bỏ phiếu cho kích thước của nó. Mỗi thợ mỏ giải quyết vấn đề cân bằng giữa chi phí và lợi nhuận từ phí và tự đặt ra “giới hạn mềm” để tạo khối. Ngoài ra, quy tắc cốt lõi cho kích thước khối tối đa là cần thiết cho ngăn chặn blockchain tràn ngập giao dịch không có thật, tuy nhiên giá trị này sẽ không được mã hóa cứng. Gọi MN là giá trị trung bình của N kích thước khối cuối cùng. Sau đó là “giới hạn cứng” cho kích thước khối chấp nhận là \(2 \cdot M_N\). Nó giúp blockchain khỏi bị đầy hơi nhưng vẫn cho phép giới hạn từ từ phát triển theo thời gian nếu cần thiết. Quy mô giao dịch không cần phải bị giới hạn một cách rõ ràng. Nó được giới hạn bởi kích thước của một khối; và nếu ai đó muốn tạo một giao dịch lớn với hàng trăm đầu vào/đầu ra (hoặc với mức độ mơ hồ cao trong chữ ký vòng), anh ta có thể làm như vậy bằng cách trả đủ phí. 6.2.3 Hình phạt vượt quá kích thước Người khai thác vẫn có khả năng lưu trữ một khối chứa đầy các giao dịch không tính phí của riêng mình lên đến mức tối đa cỡ \(2 \cdot M_b\). Mặc dù chỉ có phần lớn các thợ mỏ có thể thay đổi giá trị trung bình, nhưng vẫn có một 13 6 Ưu điểm hơn nữa 6.1 Phát xạ trơn tru Giới hạn trên của tổng số tiền kỹ thuật số CryptoNote là: MSupply = 264 −1 đơn vị nguyên tử. Đây là hạn chế tự nhiên chỉ dựa trên giới hạn thực hiện chứ không dựa trên trực giác chẳng hạn như “N xu là đủ cho bất kỳ ai”. Để đảm bảo quá trình phát xạ diễn ra suôn sẻ chúng ta sử dụng công thức sau cho khối phần thưởng: Phần thưởng cơ bản = (MSupply −A) ≫18, Trong đó A là số lượng tiền được tạo ra trước đó. 6.2 Thông số điều chỉnh 6.2.1 khó khăn CryptoNote chứa thuật toán nhắm mục tiêu thay đổi độ khó của mọi khối. Cái này giảm thời gian phản ứng của hệ thống khi tốc độ mạng hash tăng hoặc giảm mạnh, duy trì tốc độ chặn không đổi. Phương thức Bitcoin ban đầu tính toán mối quan hệ thực tế và khoảng thời gian mục tiêu giữa các khối cuối cùng của năm 2016 và sử dụng nó làm hệ số nhân cho khối hiện tại khó khăn. Rõ ràng điều này không phù hợp để tính toán lại nhanh chóng (vì quán tính lớn) và dẫn đến dao động. Ý tưởng chung đằng sau thuật toán của chúng tôi là tổng hợp tất cả công việc được hoàn thành bởi các nút và chia nó cho thời gian họ đã bỏ ra. Thước đo của công việc là các giá trị độ khó tương ứng trong mỗi khối. Nhưng do dấu thời gian không chính xác và không đáng tin cậy nên chúng tôi không thể xác định chính xác khoảng thời gian giữa các khối. Người dùng có thể chuyển dấu thời gian của mình sang tương lai và lần tiếp theo các khoảng có thể rất nhỏ hoặc thậm chí âm. Có lẽ sẽ có ít sự cố xảy ra loại này, vì vậy chúng tôi chỉ có thể sắp xếp các dấu thời gian và các giá trị ngoại lệ (tức là 20%). Phạm vi của các giá trị còn lại là thời gian dành cho 80% khối tương ứng. 6.2.2 Giới hạn kích thước Người dùng trả tiền để lưu trữ blockchain và có quyền bỏ phiếu cho kích thước của nó. Mỗi thợ mỏ đề cập đến sự đánh đổi giữa việc cân bằnge chi phí và lợi nhuận từ phí và tự đặt ra “giới hạn mềm” để tạo khối. Ngoài ra, quy tắc cốt lõi cho kích thước khối tối đa là cần thiết cho ngăn chặn blockchain tràn ngập giao dịch không có thật, tuy nhiên giá trị này sẽ không được mã hóa cứng. Gọi MN là giá trị trung bình của N kích thước khối cuối cùng. Sau đó là “giới hạn cứng” cho kích thước khối chấp nhận là \(2 \cdot M_N\). Nó giúp blockchain khỏi bị đầy hơi nhưng vẫn cho phép giới hạn từ từ phát triển theo thời gian nếu cần thiết. Quy mô giao dịch không cần phải bị giới hạn một cách rõ ràng. Nó được giới hạn bởi kích thước của một khối; và nếu ai đó muốn tạo một giao dịch lớn với hàng trăm đầu vào/đầu ra (hoặc với mức độ mơ hồ cao trong chữ ký vòng), anh ta có thể làm như vậy bằng cách trả đủ phí. 6.2.3 Hình phạt vượt quá kích thước Người khai thác vẫn có khả năng lưu trữ một khối chứa đầy các giao dịch không tính phí của riêng mình lên đến mức tối đa cỡ \(2 \cdot M_b\). Mặc dù chỉ có phần lớn các thợ mỏ có thể thay đổi giá trị trung bình, nhưng vẫn có một 13 24 Được rồi, vậy là chúng ta có blockchain và mỗi khối có dấu thời gian NGOÀI RA để chỉ đơn giản là ra lệnh. Điều này rõ ràng được chèn vào đơn giản chỉ để điều chỉnh độ khó, bởi vì dấu thời gian được rất không đáng tin cậy, như đã đề cập. Chúng ta có được phép có dấu thời gian mâu thuẫn trong chuỗi không? Nếu Khối A xuất hiện trước Khối B trong chuỗi và mọi thứ đều nhất quán về mặt tài chính, nhưng Khối A dường như được tạo ra sau Khối B? Bởi vì, có lẽ, ai đó đã sở hữu một phần lớn của mạng? Thế có ổn không? Có lẽ là do tình hình tài chính không được cải thiện. Được rồi, vì vậy tôi ghét sự tùy tiện này "chỉ 80% khối là hợp pháp cho blockchain chính" cách tiếp cận. Nó nhằm mục đích ngăn chặn những kẻ nói dối điều chỉnh dấu thời gian của họ? Nhưng bây giờ, nó bổ sung thêm khuyến khích mọi người nói dối về dấu thời gian của họ và chỉ chọn mức trung bình. Hãy xác định. Có nghĩa là "đối với khối này, chỉ bao gồm các giao dịch bao gồm phí lớn hơn hơn p%, tốt nhất là với mức phí lớn hơn 2p%" hay đại loại như thế? Họ có ý gì khi nói không có thật? Nếu giao dịch nhất quán với lịch sử trong quá khứ của blockchain và giao dịch bao gồm các khoản phí làm hài lòng người khai thác, điều đó chưa đủ sao? Vâng, không, không nhất thiết. Nếu không tồn tại kích thước khối tối đa thì sẽ không có gì để giữ người dùng độc hại từ việc đơn giản tải lên một khối giao dịch khổng lồ cho chính mình cùng một lúc chỉ để làm chậm lại mạng lưới. Quy tắc cốt lõi về kích thước khối tối đa ngăn cản mọi người đưa một lượng lớn rác vào dữ liệu trên blockchain cùng một lúc chỉ để làm chậm quá trình. Nhưng một quy định như vậy chắc chắn phải hãy thích ứng - chẳng hạn như trong mùa Giáng sinh, chúng ta có thể dự kiến lưu lượng truy cập sẽ tăng đột biến và kích thước khối sẽ trở nên rất lớn và ngay sau đó, kích thước khối sẽ giảm xuống một lần nữa. Vì vậy, chúng ta cần a) một loại giới hạn thích ứng nào đó hoặc b) một giới hạn đủ lớn để 99% đỉnh Giáng sinh hợp lý không phá vỡ giới hạn. Tất nhiên, điều thứ hai là không thể ước tính - ai biết liệu một loại tiền tệ có được ưa chuộng hay không? Tốt hơn là hãy làm cho nó thích ứng và không phải lo lắng về nó. Nhưng sau đó chúng ta có một vấn đề về lý thuyết điều khiển: làm thế nào để điều này thích ứng mà không cần dễ bị tấn công hoặc dao động điên cuồng và điên cuồng? Lưu ý rằng phương pháp thích ứng không ngăn người dùng độc hại tích lũy số tiền nhỏ dữ liệu rác theo thời gian trên blockchain gây ra tình trạng phình to trong thời gian dài. Đây là một vấn đề khác hoàn toàn và một đồng tiền điện tử có vấn đề nghiêm trọng.

6 Ưu điểm hơn nữa 6.1 Phát xạ trơn tru Giới hạn trên của tổng số tiền kỹ thuật số CryptoNote là: MSupply = 264 −1 đơn vị nguyên tử. Đây là hạn chế tự nhiên chỉ dựa trên giới hạn thực hiện chứ không dựa trên trực giác chẳng hạn như “N xu là đủ cho bất kỳ ai”. Để đảm bảo quá trình phát xạ diễn ra suôn sẻ chúng ta sử dụng công thức sau cho khối phần thưởng: Phần thưởng cơ bản = (MSupply −A) ≫18, Trong đó A là số lượng tiền được tạo ra trước đó. 6.2 Thông số điều chỉnh 6.2.1 khó khăn CryptoNote chứa thuật toán nhắm mục tiêu thay đổi độ khó của mọi khối. Cái này giảm thời gian phản ứng của hệ thống khi tốc độ mạng hash tăng hoặc giảm mạnh, duy trì tốc độ chặn không đổi. Phương thức Bitcoin ban đầu tính toán mối quan hệ của giá trị thực tế và khoảng thời gian mục tiêu giữa các khối cuối cùng của năm 2016 và sử dụng nó làm hệ số nhân cho khối hiện tại khó khăn. Rõ ràng điều này không phù hợp để tính toán lại nhanh chóng (vì quán tính lớn) và dẫn đến dao động. Ý tưởng chung đằng sau thuật toán của chúng tôi là tổng hợp tất cả công việc được hoàn thành bởi các nút và chia nó cho thời gian họ đã bỏ ra. Thước đo của công việc là các giá trị độ khó tương ứng trong mỗi khối. Nhưng do dấu thời gian không chính xác và không đáng tin cậy nên chúng tôi không thể xác định chính xác khoảng thời gian giữa các khối. Người dùng có thể chuyển dấu thời gian của mình sang tương lai và lần tiếp theo các khoảng có thể rất nhỏ hoặc thậm chí âm. Có lẽ sẽ có ít sự cố xảy ra loại này, vì vậy chúng tôi chỉ có thể sắp xếp các dấu thời gian và các giá trị ngoại lệ (tức là 20%). Phạm vi của các giá trị còn lại là thời gian dành cho 80% khối tương ứng. 6.2.2 Giới hạn kích thước Người dùng trả tiền để lưu trữ blockchain và có quyền bỏ phiếu cho kích thước của nó. Mỗi thợ mỏ giải quyết vấn đề cân bằng giữa chi phí và lợi nhuận từ phí và tự đặt ra “giới hạn mềm” để tạo khối. Ngoài ra, quy tắc cốt lõi cho kích thước khối tối đa là cần thiết cho ngăn chặn blockchain tràn ngập giao dịch không có thật, tuy nhiên giá trị này sẽ không được mã hóa cứng. Gọi MN là giá trị trung bình của N kích thước khối cuối cùng. Sau đó là “giới hạn cứng” cho kích thước khối chấp nhận là \(2 \cdot M_N\). Nó giúp blockchain khỏi bị đầy hơi nhưng vẫn cho phép giới hạn từ từ phát triển theo thời gian nếu cần thiết. Quy mô giao dịch không cần phải bị giới hạn một cách rõ ràng. Nó được giới hạn bởi kích thước của một khối; và nếu ai đó muốn tạo một giao dịch lớn với hàng trăm đầu vào/đầu ra (hoặc với mức độ mơ hồ cao trong chữ ký vòng), anh ta có thể làm như vậy bằng cách trả đủ phí. 6.2.3 Hình phạt vượt quá kích thước Người khai thác vẫn có khả năng lưu trữ một khối chứa đầy các giao dịch không tính phí của riêng mình lên đến mức tối đa cỡ \(2 \cdot M_b\). Mặc dù chỉ có phần lớn các thợ mỏ có thể thay đổi giá trị trung bình, nhưng vẫn có một 13 6 Ưu điểm hơn nữa 6.1 Phát xạ trơn tru Giới hạn trên của tổng số tiền kỹ thuật số CryptoNote là: MSupply = 264 −1 đơn vị nguyên tử. Đây là hạn chế tự nhiên chỉ dựa trên giới hạn thực hiện chứ không dựa trên trực giác chẳng hạn như “N xu là đủ cho bất kỳ ai”. Để đảm bảo quá trình phát xạ diễn ra suôn sẻ chúng ta sử dụng công thức sau cho khối phần thưởng: Phần thưởng cơ bản = (MSupply −A) ≫18, Trong đó A là số lượng tiền được tạo ra trước đó. 6.2 Thông số điều chỉnh 6.2.1 khó khăn CryptoNote chứa thuật toán nhắm mục tiêu thay đổi độ khó của mọi khối. Cái này giảm thời gian phản ứng của hệ thống khi tốc độ mạng hash tăng hoặc giảm mạnh, duy trì tốc độ chặn không đổi. Phương thức Bitcoin ban đầu tính toán mối quan hệ của giá trị thực tế và khoảng thời gian mục tiêu giữa các khối cuối cùng của năm 2016 và sử dụng nó làm hệ số nhân cho khối hiện tại khó khăn. Rõ ràng điều này không phù hợp để tính toán lại nhanh chóng (vì quán tính lớn) và dẫn đến dao động. Ý tưởng chung đằng sau thuật toán của chúng tôi là tổng hợp tất cả công việc được hoàn thành bởi các nút và chia nó cho thời gian họ đã bỏ ra. Thước đo của công việc là các giá trị độ khó tương ứng trong mỗi khối. Nhưng do dấu thời gian không chính xác và không đáng tin cậy nên chúng tôi không thể xác định chính xác khoảng thời gian giữa các khối. Người dùng có thể chuyển dấu thời gian của mình sang tương lai và lần tiếp theo các khoảng có thể rất nhỏ hoặc thậm chí âm. Có lẽ sẽ có ít sự cố xảy ra loại này, vì vậy chúng tôi chỉ có thể sắp xếp các dấu thời gian và các giá trị ngoại lệ (tức là 20%). Phạm vi của các giá trị còn lại là thời gian dành cho 80% khối tương ứng. 6.2.2 Giới hạn kích thước Người dùng trả tiền để lưu trữ blockchain và có quyền bỏ phiếu cho kích thước của nó. Mỗi thợ mỏ đề cập đến sự đánh đổi giữa việc cân bằnge chi phí và lợi nhuận từ phí và tự đặt ra “giới hạn mềm” để tạo khối. Ngoài ra, quy tắc cốt lõi cho kích thước khối tối đa là cần thiết cho ngăn chặn blockchain tràn ngập giao dịch không có thật, tuy nhiên giá trị này sẽ không được mã hóa cứng. Gọi MN là giá trị trung bình của N kích thước khối cuối cùng. Sau đó là “giới hạn cứng” cho kích thước khối chấp nhận là \(2 \cdot M_N\). Nó giúp blockchain khỏi bị đầy hơi nhưng vẫn cho phép giới hạn từ từ phát triển theo thời gian nếu cần thiết. Quy mô giao dịch không cần phải bị giới hạn một cách rõ ràng. Nó được giới hạn bởi kích thước của một khối; và nếu ai đó muốn tạo một giao dịch lớn với hàng trăm đầu vào/đầu ra (hoặc với mức độ mơ hồ cao trong chữ ký vòng), anh ta có thể làm như vậy bằng cách trả đủ phí. 6.2.3 Hình phạt vượt quá kích thước Người khai thác vẫn có khả năng lưu trữ một khối chứa đầy các giao dịch không tính phí của riêng mình lên đến mức tối đa cỡ \(2 \cdot M_b\). Mặc dù chỉ có phần lớn các thợ mỏ có thể thay đổi giá trị trung bình, nhưng vẫn có một 13 25 Thay đổi tỷ lệ thời gian sao cho một đơn vị thời gian là N khối, về mặt lý thuyết, kích thước khối trung bình vẫn có thể tăng theo cấp số nhân thành 2ˆt. Mặt khác, một giới hạn tổng quát hơn trên khối tiếp theo sẽ là M_nf(M_n) cho một số hàm f. Những tính chất nào của f sẽ chúng tôi chọn để đảm bảo một số "tăng trưởng hợp lý" về kích thước khối? Sự tiến triển của kích thước khối (sau thời gian thay đổi tỷ lệ) sẽ như sau: M_n f(M_n)M_n f(f(M_n)M_n)f(M_n)M_n f(f(f(M_n)M_n)f(M_n)M_n)f(f(M_n)M_n)f( ... Và mục tiêu ở đây là chọn f sao cho chuỗi này tăng không nhanh hơn, chẳng hạn, tuyến tính, hoặc thậm chí có thể là Log(t). Tất nhiên, nếu f(M_n) = a với hằng số a nào đó thì chuỗi này là thực sự M_n aM_n aˆ2M_n aˆ3M_n ... Và tất nhiên, cách duy nhất có thể hạn chế điều này ở mức tăng trưởng tuyến tính tối đa là chọn a=1. Tất nhiên, điều này là không thể thực hiện được. Nó không cho phép tăng trưởng chút nào. Mặt khác, nếu f(M_n) là một hàm không hằng thì tình huống còn phức tạp hơn nhiều. phức tạp và có thể cho phép một giải pháp tao nhã. Tôi sẽ suy nghĩ về điều này một lúc. Khoản phí này sẽ phải đủ lớn để giảm bớt hình phạt vượt quá kích thước từ phần tiếp theo. Tại sao người dùng phổ thông lại được coi là nam giới nhỉ? Hả?

khả năng làm tăng blockchain và tạo thêm tải cho các nút. Để ngăn cản những người tham gia ác ý tạo ra các khối lớn, chúng tôi giới thiệu một chức năng phạt: Phần thưởng mới = Phần thưởng cơ bản \(\cdot\) kích thước khối MN −1 2 Quy tắc này chỉ được áp dụng khi BlkSize lớn hơn kích thước khối trống tối thiểu cần thiết gần đạt mức tối đa(10kb, \(M_N \cdot 110\%\)). Người khai thác được phép tạo các khối có “kích thước thông thường” và thậm chí vượt quá nó với lợi nhuận khi tổng phí vượt quá mức phạt. Nhưng phí khó có thể tăng bậc hai không giống giá trị phạt nên sẽ có sự cân bằng. 6.3 Kịch bản giao dịch CryptoNote có một hệ thống con viết kịch bản rất tối giản. Người gửi chỉ định một biểu thức Φ = f (x1, x2, . . . , xn), trong đó n là số khóa công khai đích {Pi}n tôi = 1. Chỉ có năm nhị phân các toán tử được hỗ trợ: min, max, sum, mul và cmp. Khi người nhận chi tiêu khoản thanh toán này, anh ta tạo ra 0 k n chữ ký và chuyển chúng đến đầu vào giao dịch. Quá trình xác minh chỉ cần đánh giá Φ với xi = 1 để kiểm tra chữ ký hợp lệ cho khóa chung Pi và xi = 0. Người xác minh chấp nhận bằng chứng nếu ﬀΦ > 0. Mặc dù đơn giản, cách tiếp cận này bao gồm mọi trường hợp có thể xảy ra: • Chữ ký đa/ngưỡng. Đối với chữ ký đa chữ ký “M-out-of-N” kiểu Bitcoin (tức là người nhận phải cung cấp ít nhất 0 ∼M ∼N chữ ký hợp lệ) Φ = x1+x2+. . .+xN \(\geq M\) (để rõ ràng, chúng tôi đang sử dụng ký hiệu đại số chung). Chữ ký ngưỡng có trọng số (một số phím có thể quan trọng hơn các phím khác) có thể được biểu thị dưới dạng Φ = \(w_1 \cdot x_1\) + \(w_2 \cdot x_2\) + . . . + \(w_N \cdot x_N\) \(\geq wM\). Và kịch bản trong đó khóa chính tương ứng với Φ = max(\(M \cdot x\), x1 + x2 + . . . + xN) \(\geq M\). Dễ dàng chứng minh được rằng bất kỳ trường hợp phức tạp nào cũng có thể được biểu thị bằng các toán tử này, tức là chúng tạo thành cơ sở. • Bảo vệ bằng mật khẩu. Việc sở hữu mật khẩu bí mật s tương đương với kiến thức về một khóa riêng, được xác định từ mật khẩu: k = KDF(s). Do đó, một máy thu có thể chứng minh rằng mình biết mật khẩu bằng cách cung cấp một chữ ký khác dưới khóa k. Người gửi chỉ cần thêm khóa công khai tương ứng vào đầu ra của chính mình. Lưu ý rằng điều này phương pháp này an toàn hơn nhiều so với “câu đố giao dịch” được sử dụng trong Bitcoin [13], trong đó mật khẩu được chuyển rõ ràng trong đầu vào. • Các trường hợp thoái hóa. Φ = 1 có nghĩa là bất kỳ ai cũng có thể tiêu tiền; Φ = 0 đánh dấu đầu ra là không thể chi tiêu mãi mãi. Trong trường hợp tập lệnh đầu ra kết hợp với khóa chung quá lớn đối với người gửi, anh ta có thể sử dụng loại đầu ra đặc biệt, cho biết người nhận sẽ đưa dữ liệu này vào đầu vào của mình trong khi người gửi chỉ cung cấp hash trong số đó. Cách tiếp cận này tương tự như “trả tiền chohash” của Bitcoin tính năng này, nhưng thay vì thêm các lệnh script mới, chúng tôi xử lý trường hợp này ở cấu trúc dữ liệu cấp độ. 7 Kết luận Chúng tôi đã điều tra các lỗ hổng lớn trong Bitcoin và đề xuất một số giải pháp khả thi. Những tính năng thuận lợi này và sự phát triển không ngừng của chúng tôi tạo nên hệ thống tiền điện tử mới CryptoNote một đối thủ nặng ký của Bitcoin, vượt trội hơn tất cả các nhánh của nó. 14 khả năng làm tăng blockchain và tạo thêm tải cho các nút. Để ngăn cản những người tham gia ác ý tạo ra các khối lớn, chúng tôi giới thiệu một chức năng phạt: Phần thưởng mới = Phần thưởng cơ bản \(\cdot\) kích thước khối MN −1 2 Quy tắc này chỉ được áp dụng khi BlkSize lớn hơn kích thước khối trống tối thiểu cần thiết gần đạt mức tối đa(10kb, \(M_N \cdot 110\%\)). Người khai thác được phép tạo các khối có “kích thước thông thường” và thậm chí vượt quá nó với lợi nhuận khi tổng phí vượt quá mức phạt. Nhưng phí khó có thể tăng bậc hai không giống giá trị phạt nên sẽ có sự cân bằng. 6.3 Kịch bản giao dịch CryptoNote có một hệ thống con viết kịch bản rất tối giản. Người gửi chỉ định một biểu thức Φ = f (x1, x2, . . . , xn), trong đó n là số khóa công khai đích {Pi}n tôi = 1. Chỉ có năm nhị phân các toán tử được hỗ trợ: min, max, sum, mul và cmp. Khi người nhận chi tiêu khoản thanh toán này, anh ta tạo ra 0 k n chữ ký và chuyển chúng đến đầu vào giao dịch. Quá trình xác minh chỉ cần đánh giá Φ với xi = 1 để kiểm tra chữ ký hợp lệ cho khóa chung Pi và xi = 0. Người xác minh chấp nhận bằng chứng nếu ﬀΦ > 0. Mặc dù đơn giản, cách tiếp cận này bao gồm mọi trường hợp có thể xảy ra: • Chữ ký đa/ngưỡng. Đối với chữ ký đa chữ ký “M-out-of-N” kiểu Bitcoin (tức là người nhận phải cung cấp ít nhất 0 ∼M ∼N chữ ký hợp lệ) Φ = x1+x2+. . .+xN \(\geq M\) (để rõ ràng, chúng tôi đang sử dụng ký hiệu đại số chung). Chữ ký ngưỡng có trọng số (một số phím có thể quan trọng hơn các phím khác) có thể được biểu thị dưới dạng Φ = \(w_1 \cdot x_1\) + \(w_2 \cdot x_2\) + . . . + \(w_N \cdot x_N\) \(\geq wM\). Và bối cảnhio trong đó khóa chính tương ứng với Φ = max(\(M \cdot x\), x1 + x2 + . . . + xN) \(\geq M\). Dễ dàng chứng minh được rằng bất kỳ trường hợp phức tạp nào cũng có thể được biểu thị bằng các toán tử này, tức là chúng tạo thành cơ sở. • Bảo vệ bằng mật khẩu. Việc sở hữu mật khẩu bí mật s tương đương với kiến thức về một khóa riêng, được xác định từ mật khẩu: k = KDF(s). Do đó, một máy thu có thể chứng minh rằng mình biết mật khẩu bằng cách cung cấp một chữ ký khác dưới khóa k. Người gửi chỉ cần thêm khóa công khai tương ứng vào đầu ra của chính mình. Lưu ý rằng điều này phương pháp này an toàn hơn nhiều so với “câu đố giao dịch” được sử dụng trong Bitcoin [13], trong đó mật khẩu được chuyển rõ ràng trong đầu vào. • Các trường hợp thoái hóa. Φ = 1 có nghĩa là bất kỳ ai cũng có thể tiêu tiền; Φ = 0 đánh dấu đầu ra là không thể chi tiêu mãi mãi. Trong trường hợp tập lệnh đầu ra kết hợp với khóa chung quá lớn đối với người gửi, anh ta có thể sử dụng loại đầu ra đặc biệt, cho biết người nhận sẽ đưa dữ liệu này vào đầu vào của mình trong khi người gửi chỉ cung cấp hash trong số đó. Cách tiếp cận này tương tự như “trả tiền chohash” của Bitcoin tính năng này, nhưng thay vì thêm các lệnh script mới, chúng tôi xử lý trường hợp này ở cấu trúc dữ liệu cấp độ. 7 Kết luận Chúng tôi đã điều tra các lỗ hổng lớn trong Bitcoin và đề xuất một số giải pháp khả thi. Những tính năng thuận lợi này và sự phát triển không ngừng của chúng tôi tạo nên hệ thống tiền điện tử mới CryptoNote một đối thủ nặng ký của Bitcoin, vượt trội hơn tất cả các nhánh của nó. 14 26 Điều này có thể không cần thiết nếu chúng ta có thể tìm ra cách giới hạn kích thước khối theo thời gian... Điều này cũng không thể đúng được. Họ chỉ đặt "NewReward" thành một hình parabol hướng lên trong đó kích thước khối là biến độc lập. Vì vậy, phần thưởng mới sẽ tăng lên đến vô tận. Mặt khác, nếu tay, phần thưởng mới là Max(0,Phần thưởng cơ bản(1-(BlkSize/Mn - 1)ˆ2)), sau đó phần thưởng mới sẽ là một parabol hướng xuống dưới với đỉnh ở kích thước khối = Mn và có điểm chặn tại Kích thước khối = 0 và Kích thước khối = 2Mn. Và đó dường như là những gì họ đang cố gắng mô tả. Tuy nhiên, điều này không

Analysis

5 Not that it matters too much when a billion people in the world live on less than a dollar a day and have no hope in ever participating in any sort of mining network... but an economic world driven by a p2p currency system with one-cpu-one-vote would be, presumably, more fair than a system driven by fractional reserve banking. But Cryptonote’s protocol still requires 51% honest users... see, for example, the Cryptonote forums where one of the developers, Pliskov, says that a traditional replace-the-data-on-theblockchain 51% attack can still work. https://forum.cryptonote.org/viewtopic.php?f=2&t=198 Note that you don’t really need 51% honest users. You just really need "no single dishonest faction with more than 51% of the hashing power of the network." Let’s call this so-called problem of bitcoin "adaptive rigidity." Cryptonote’s solution to adaptive rigidity is adaptive ﬂexibility in the protocol parameter values. If you need block sizes bigger, no problem, the network will have been gently adjusting the whole time. That is to say, the way that Bitcoin adjusts diﬃculty over time can be replicated across all of our protocol parameters so that network consensus need not be obtained for updating the protocol. On the surface this seems like a good idea, but without careful forethought, a self-adjusting system can become quite unpredictable and chaotic. We’ll look further into this later as the opportunities arise. "Good" systems are somewhere between adaptively rigid and adaptively ﬂexible, and perhaps even the rigidity itself are adaptive. If we truly had "one-CPU-one-vote," then collaborating and developing pools to get to 51% would be more diﬃcult. We would expect every CPU in the world to be mining, from phones to the on-board CPU in your Tesla while it’s charging. http://en.wikipedia.org/wiki/Pareto_principle I claim that the Pareto equilibrium is somewhat unavoidable. Either 20% of the system will own 80% of the CPUs, or 20% of the system will own 80% of the ASICs. I hypothesize this because the underlying distribution of wealth in society already exhibits the Pareto distribution, and as new miners join up, they are drawn from that underlying distribution. However, I argue that protocols with one-cpu-one-vote will see ROI on hardware. Block reward per node will be more closely proportional to number of nodes in the network because distribution of performance across the nodes will be much more tight. Bitcoin, on the other hand, sees a block reward (per node) more proportional to the computational capacity of that node. That is to say, only the "big boys" are still in the mining game. On the other hand, even though the Pareto principle will still be in play, in a one-cpu-one-vote world, everyone participates in network security and gains a bit of mining income. In an ASIC world, it’s not sensible to rig every XBox and cell phone to mine. In a onecpu-one-vote world, it’s very sensible in terms of mining reward. As a delightful consequence, gaining 51% of the vote is more diﬃcult when there are more and more votes, yielding a lovely beneﬁt to network security..

Bitcoin network total computation speed chart showing hashrate and difficulty from 2012 to 2013

hardware described previously. Suppose that the global hashrate decreases signiﬁcantly, even for a moment, he can now use his mining power to fork the chain and double-spend. As we shall see later in this article, it is not unlikely for the previously described event to take place. 2.3 Irregular emission Bitcoin has a predetermined emission rate: each solved block produces a ﬁxed amount of coins. Approximately every four years this reward is halved. The original intention was to create a limited smooth emission with exponential decay, but in fact we have a piecewise linear emission function whose breakpoints may cause problems to the Bitcoin infrastructure. When the breakpoint occurs, miners start to receive only half of the value of their previous reward. The absolute diﬀerence between 12.5 and 6.25 BTC (projected for the year 2020) may seem tolerable. However, when examining the 50 to 25 BTC drop that took place on November 28 2012, felt inappropriate for a signiﬁcant number of members of the mining community. Figure 1 shows a dramatic decrease in the network’s hashrate in the end of November, exactly when the halving took place. This event could have been the perfect moment for the malevolent individual described in the proof-of-work function section to carry-out a double spending attack [36]. Fig. 1. Bitcoin hashrate chart (source: http://bitcoin.sipa.be) 2.4 Hardcoded constants Bitcoin has many hard-coded limits, where some are natural elements of the original design (e.g. block frequency, maximum amount of money supply, number of conﬁrmations) whereas other seem to be artiﬁcial constraints. It is not so much the limits, as the inability of quickly changing 3 hardware described previously. Suppose that the global hashrate decreases signiﬁcantly, even for a moment, he can now use his mining power to fork the chain and double-spend. As we shall see later in this article, it is not unlikely for the previously described event to take place. 2.3 Irregular emission Bitcoin has a predetermined emission rate: each solved block produces a ﬁxed amount of coins. Approximately every four years this reward is halved. The original intention was to create a limited smooth emission with exponential decay, but in fact we have a piecewise linear emission function whose breakpoints may cause problems to the Bitcoin infrastructure. When the breakpoint occurs, miners start to receive only half of the value of their previous reward. The absolute diﬀerence between 12.5 and 6.25 BTC (projected for the year 2020) may seem tolerable. However, when examining the 50 to 25 BTC drop that took place on November 28 2012, felt inappropriate for a signiﬁcant number of members of the mining community. Figure 1 shows a dramatic decrease in the network’s hashrate in the end of November, exactly when the halving took place. This event could have been the perfect moment for the malevolent individual described in the proof-of-work function section to carry-out a double spending attack [36]. Fig. 1. Bitcoin hashrate chart (source: http://bitcoin.sipa.be) 2.4 Hardcoded constants Bitcoin has many hard-coded limits, where some are natural elements of the original design (e.g. block frequency, maximum amount of money supply, number of conﬁrmations) whereas other seem to be artiﬁcial constraints. It is not so much the limits, as the inability of quickly changing 3 6 Let’s call this what it is, a zombie attack. Let’s discuss how continuous emission may be related to one-cpu-one-vote in a zombie attack scenario. In a one-cpu-one-vote world, every cell phone and car, whenever idle, would be mining. Collecting heaps of cheap hardware to create a mining farm would be very very easy, because just about everything has a CPU in it. On the other hand, at that point, the number of CPUs required to launch a 51% attack would be quite astonishing, I would think. Furthermore, precisely because it would be easy to collect cheap hardware, we can reasonably expect a lot of folks to start hoarding anything with a CPU. The arms race in a one-cpu-one-vote world is necessarily more egalitarian than in an ASIC world. Hence, a discontinuity in network security due to emission rates should be LESS of a problem in a one-cpu-one-vote world. However, two facts remain: 1) discontinuity in emission rate can lead to a stuttering eﬀect in the economy and in network security both, which is bad, and 2) even though a 51% attack performed by someone collecting cheap hardware can still occur in a one-cpu-one-vote world, it seems like it should be harder. Presumably, the safeguard against this is that all the dishonest actors will be trying this simultaneously, and we fall back to Bitcoin’s previous security notion: "we require no dishonest faction to control more than 51% of the network." The author is claiming here that one problem with bitcoin is that discontinuity in coin emission rate could lead to sudden drops in network participation, and hence network security. Thus, a continuous, diﬀerentiable, smooth coin emission rate is preferable. The author ain’t wrong, necessarily. Any sort of sudden decrease in network participation can lead to such a problem, and if we can remove one source of it, we should. Having said that, it’s possible that long periods of "relatively constant" coin emission punctuated by sudden changes is the ideal way to go from an economics point of view. I’m not an economist. So, perhaps we must decide if we are going to trade network security for economic something-whatsit here? http://arxiv.org/abs/1402.2009

them if necessary that causes the main drawbacks. Unfortunately, it is hard to predict when the constants may need to be changed and replacing them may lead to terrible consequences. A good example of a hardcoded limit change leading to disastrous consequences is the block size limit set to 250kb1. This limit was suﬃcient to hold about 10000 standard transactions. In early 2013, this limit had almost been reached and an agreement was reached to increase the limit. The change was implemented in wallet version 0.8 and ended with a 24-blocks chain split and a successful double-spend attack [9]. While the bug was not in the Bitcoin protocol, but rather in the database engine it could have been easily caught by a simple stress test if there was no artiﬁcially introduced block size limit. Constants also act as a form of centralization point. Despite the peer-to-peer nature of Bitcoin, an overwhelming majority of nodes use the oﬃcial reference client [10] developed by a small group of people. This group makes the decision to implement changes to the protocol and most people accept these changes irrespective of their “correctness”. Some decisions caused heated discussions and even calls for boycott [11], which indicates that the community and the developers may disagree on some important points. It therefore seems logical to have a protocol with user-conﬁgurable and self-adjusting variables as a possible way to avoid these problems. 2.5 Bulky scripts The scripting system in Bitcoin is a heavy and complex feature. It potentially allows one to create sophisticated transactions [12], but some of its features are disabled due to security concerns and some have never even been used [13]. The script (including both senders’ and receivers’ parts) for the most popular transaction in Bitcoin looks like this: OP DUP OP HASH160 OP EQUALVERIFY OP CHECKSIG. The script is 164 bytes long whereas its only purpose is to check if the receiver possess the secret key required to verify his signature.

Phân tích

Bitcoin network total computation speed chart showing hashrate and difficulty from 2012 to 2013

5 Điều đó không quá quan trọng khi một tỷ người trên thế giới sống với mức thu nhập dưới một đô la mỗi năm. ngày và không có hy vọng tham gia vào bất kỳ loại mạng lưới khai thác nào... ngoại trừ một nền kinh tế thế giới được thúc đẩy bởi hệ thống tiền tệ p2p với một CPU-một phiếu bầu, có lẽ sẽ còn hơn thế nữa công bằng hơn một hệ thống được thúc đẩy bởi ngân hàng dự trữ một phần. Nhưng giao thức của Cryptonote vẫn yêu cầu 51% người dùng trung thực... xem ví dụ: Cryptonote diễn đàn nơi một trong những nhà phát triển, Pliskov, nói rằng một cuộc tấn công 51% thay thế dữ liệu trên blockchain truyền thống vẫn có thể hoạt động. https://forum.cryptonote.org/viewtopic.php?f=2&t=198 Lưu ý rằng bạn không thực sự cần 51% người dùng trung thực. Bạn chỉ thực sự cần "không một lời gian dối nào phe có hơn 51% sức mạnh hash của mạng." Hãy gọi vấn đề này của bitcoin là “sự cứng nhắc thích ứng”. Giải pháp thích ứng của Cryptonote độ cứng nhắc là tính linh hoạt thích ứng trong các giá trị tham số giao thức. Nếu bạn cần kích thước khối lớn hơn, không vấn đề gì, mạng sẽ được điều chỉnh nhẹ nhàng trong suốt thời gian qua. Tức là, cách Bitcoin điều chỉnh độ khó theo thời gian có thể được sao chép trên tất cả giao thức của chúng tôi các tham số để không cần phải đạt được sự đồng thuận của mạng để cập nhật giao thức. Nhìn bề ngoài thì đây có vẻ là một ý tưởng hay, nhưng nếu không có sự suy tính cẩn thận, nó sẽ tự điều chỉnh. hệ thống có thể trở nên khá khó lường và hỗn loạn. Chúng ta sẽ xem xét sâu hơn về vấn đề này sau vì cơ hội phát sinh. Các hệ thống "tốt" nằm ở đâu đó giữa tính cứng nhắc về mặt thích ứng và tính thích ứng linh hoạt, và có lẽ ngay cả sự cứng nhắc cũng có tính thích ứng. Nếu chúng tôi thực sự có "một CPU-một phiếu bầu", thì hãy hợp tác và phát triển các nhóm để đạt được 51% sẽ khó khăn hơn. Chúng tôi kỳ vọng mọi CPU trên thế giới đều có thể khai thác, từ điện thoại tới CPU tích hợp trong chiếc Tesla của bạn trong khi nó đang sạc. http://en.wikipedia.org/wiki/Pareto_principle Tôi khẳng định rằng trạng thái cân bằng Pareto là điều không thể tránh khỏi. 20% hệ thống sẽ sở hữu 80% số CPU hoặc 20% hệ thống sẽ sở hữu 80% số ASIC. Tôi đưa ra giả thuyết này bởi vì sự phân bổ của cải cơ bản trong xã hội đã thể hiện sự phân phối Pareto, và khi những người khai thác mới tham gia, họ sẽ được rút ra từ sự phân phối cơ bản đó. Tuy nhiên, tôi lập luận rằng các giao thức với một CPU-một phiếu bầu sẽ thấy ROI trên phần cứng. Chặn phần thưởng cho mỗi nút sẽ tỷ lệ chặt chẽ hơn với số lượng nút trong mạng vì phân phối hiệu suất giữa các nút sẽ chặt chẽ hơn nhiều. Bitcoin, mặt khác trong tay, sẽ thấy phần thưởng khối (trên mỗi nút) tỷ lệ thuận hơn với khả năng tính toán của khối đó nút. Nghĩa là, chỉ còn những “ông lớn” mới tham gia trò chơi khai thác. Mặt khác, mặc dù nguyên tắc Pareto vẫn được áp dụng, nhưng trong thế giới một CPU một phiếu bầu, mọi người tham gia vào an ninh mạng và kiếm được một chút thu nhập từ khai thác. Trong thế giới ASIC, việc khai thác mọi XBox và điện thoại di động là không hợp lý. Trong thế giới onecpu-one-vote, việc thưởng khai thác là rất hợp lý. Như một kết quả thú vị, việc giành được 51% phiếu bầu càng khó khăn hơn khi số phiếu bầu ngày càng nhiều, mang lại một kết quả đáng yêu có lợi cho an ninh mạng..phần cứng được mô tả trước đó. Giả sử rằng tỷ lệ hash toàn cầu giảm đáng kể, ngay cả đối với trong giây lát, giờ anh ta có thể sử dụng sức mạnh khai thác của mình để phân nhánh chuỗi và chi tiêu gấp đôi. Như chúng ta sẽ thấy ở phần sau của bài viết này, không có khả năng xảy ra sự kiện được mô tả trước đó. 2.3 Phát thải không đều Bitcoin có tốc độ phát thải được xác định trước: mỗi khối được giải sẽ tạo ra một lượng xu cố định. Khoảng bốn năm một lần phần thưởng này sẽ giảm đi một nửa. Mục đích ban đầu là tạo ra một phát xạ trơn tru hạn chế với sự phân rã theo cấp số nhân, nhưng trên thực tế, chúng ta có phát xạ tuyến tính từng phần chức năng có điểm dừng có thể gây ra sự cố cho cơ sở hạ tầng Bitcoin. Khi điểm dừng xảy ra, người khai thác bắt đầu chỉ nhận được một nửa giá trị trước đó của họ phần thưởng. Sự khác biệt tuyệt đối giữa 12,5 và 6,25 BTC (dự kiến cho năm 2020) có thể có vẻ có thể chịu đựng được. Tuy nhiên, khi kiểm tra mức giảm 50 đến 25 BTC diễn ra vào tháng 11 28 năm 2012, cảm thấy không phù hợp với một số lượng đáng kể thành viên của cộng đồng khai thác mỏ. Hình Hình 1 cho thấy tốc độ hash của mạng giảm đáng kể vào cuối tháng 11, chính xác là khi việc giảm một nửa đã diễn ra. Sự kiện này có thể là thời điểm hoàn hảo cho cá nhân độc ác được mô tả trong phần chức năng proof-of-work để thực hiện cuộc tấn công chi tiêu gấp đôi [36]. Hình 1. Bitcoin hash biểu đồ tỷ lệ (nguồn: http://bitcoin.sipa.be) 2.4 Hằng số được mã hóa cứng Bitcoin có nhiều giới hạn được mã hóa cứng, trong đó một số là yếu tố tự nhiên của thiết kế ban đầu (ví dụ: tần suất chặn, lượng cung tiền tối đa, số lượng xác nhận) trong khi các yếu tố khác dường như là những hạn chế nhân tạo. Đó không phải là những giới hạn mà là việc không có khả năng thay đổi nhanh chóng 3 phần cứng được mô tả trước đó. Giả sử rằng tỷ lệ hash toàn cầu giảm đáng kể, ngay cả đối với trong giây lát, giờ anh ta có thể sử dụng sức mạnh khai thác của mình để phân nhánh chuỗi và chi tiêu gấp đôi. Như chúng ta sẽ thấy ở phần sau của bài viết này, không có khả năng xảy ra sự kiện được mô tả trước đó. 2.3 Phát thải không đều Bitcoin có tốc độ phát thải được xác định trước: mỗi khối được giải sẽ tạo ra một lượng xu cố định. Khoảng bốn năm một lần phần thưởng này sẽ giảm đi một nửa. Mục đích ban đầu là tạo ra một phát xạ trơn tru hạn chế với sự phân rã theo cấp số nhân, nhưng trên thực tế, chúng ta có phát xạ tuyến tính từng phần chức năng có điểm dừng có thể gây ra sự cố cho cơ sở hạ tầng Bitcoin. Khi điểm dừng xảy ra, người khai thác bắt đầu chỉ nhận được một nửa giá trị trước đó của họ phần thưởng. Sự khác biệt tuyệt đối giữa 12,5 và 6,25 BTC (dự kiến cho năm 2020) có thể có vẻ có thể chịu đựng được. Tuy nhiên, khi kiểm tra mức giảm 50 đến 25 BTC diễn ra vào tháng 11 28 năm 2012, cảm thấy không phù hợp với một số lượng đáng kể thành viên của cộng đồng khai thác mỏ. Hình Hình 1 cho thấy tỷ lệ hash của mạng giảm đáng kể vào cuối tháng 11, chính xác là khi việc giảm một nửa đã diễn ra. Sự kiện này có thể là thời điểm hoàn hảo cho cá nhân độc ác được mô tả trong phần chức năng proof-of-work để thực hiện cuộc tấn công chi tiêu gấp đôi [36]. Hình 1. Bitcoin hash biểu đồ tỷ lệ (nguồn: http://bitcoin.sipa.be) 2.4 Hằng số được mã hóa cứng Bitcoin có nhiều giới hạn được mã hóa cứng, trong đó một số là yếu tố tự nhiên của thiết kế ban đầu (ví dụ: tần suất chặn, lượng cung tiền tối đa, số lượng xác nhận) trong khi các yếu tố khác dường như là những hạn chế nhân tạo. Đó không phải là những giới hạn mà là việc không có khả năng thay đổi nhanh chóng 3 6 Hãy gọi đây là cuộc tấn công của zombie. Hãy cùng thảo luận về việc phát xạ liên tục có thể xảy ra như thế nào liên quan đến một CPU-một phiếu bầu trong kịch bản tấn công zombie. Trong thế giới một CPU-một phiếu bầu, mọi điện thoại di động và ô tô, bất cứ khi nào không hoạt động, đều sẽ được khai thác. Việc thu thập hàng đống phần cứng giá rẻ để tạo ra một trang trại khai thác sẽ rất dễ dàng, bởi vì chỉ cần về mọi thứ đều có CPU trong đó. Mặt khác, tại thời điểm đó, số lượng CPU Tôi nghĩ yêu cầu cần thiết để thực hiện một cuộc tấn công 51% sẽ khá đáng kinh ngạc. Hơn nữa, chính xác là bởi vì sẽ dễ dàng thu thập phần cứng giá rẻ nên chúng ta có thể mong đợi một cách hợp lý rất nhiều người bắt đầu tích trữ bất cứ thứ gì có CPU. Cuộc chạy đua vũ trang trong thế giới một CPU một phiếu bầu nhất thiết phải bình đẳng hơn trong thế giới ASIC. Do đó, sự gián đoạn trong mạng an ninh do tỷ lệ phát thải sẽ ÍT hơn một vấn đề trong thế giới một CPU-một phiếu bầu. Tuy nhiên, vẫn còn hai sự thật: 1) sự gián đoạn về tốc độ phát thải có thể dẫn đến hiệu ứng lắp bắp trong cả nền kinh tế và an ninh mạng, điều này đều tệ và 2) mặc dù một cuộc tấn công 51% được thực hiện bởi ai đó thu thập phần cứng giá rẻ vẫn có thể xảy ra trong một CPU-bầu chọn thế giới, có vẻ như nó sẽ khó hơn. Có lẽ, biện pháp bảo vệ chống lại điều này là tất cả những kẻ không trung thực sẽ thử điều này đồng thời và chúng tôi quay trở lại khái niệm bảo mật trước đó của Bitcoin: "chúng tôi không yêu cầu sự thiếu trung thực phe kiểm soát hơn 51% mạng lưới." Tác giả khẳng định ở đây rằng một vấn đề với bitcoin là sự gián đoạn trong việc phát hành tiền xu. tỷ lệ này có thể dẫn đến sự sụt giảm đột ngột trong việc tham gia mạng và do đó dẫn đến an ninh mạng. Như vậy, thích hợp hơn là tốc độ phát thải đồng xu trơn tru, khác biệt và liên tục. Chắc chắn là tác giả không sai. Bất kỳ sự giảm đột ngột nào về mức độ tham gia mạng lưới đều có thể dẫn đến một vấn đề như vậy, và nếu chúng ta có thể loại bỏ một nguồn của nó thì chúng ta nên làm như vậy. Nói xong, đó là có thể là thời gian phát thải tiền xu "tương đối ổn định" bị ngắt quãng bởi những thay đổi đột ngột là cách lý tưởng để đi từ quan điểm kinh tế. Tôi không phải là một nhà kinh tế. Vì vậy, có lẽ chúng ta phải quyết định xem liệu chúng ta có định đánh đổi an ninh mạng để lấy kinh tế hay không - đây là cái gì vậy? http://arxiv.org/abs/1402.2009chúng nếu cần thiết sẽ gây ra những hạn chế chính. Thật không may, thật khó để dự đoán khi nào các hằng số có thể cần phải được thay đổi và việc thay thế chúng có thể dẫn đến những hậu quả khủng khiếp. Một ví dụ điển hình về thay đổi giới hạn được mã hóa cứng dẫn đến hậu quả tai hại là khối giới hạn kích thước được đặt thành 250kb1. Giới hạn này đủ để chứa khoảng 10000 giao dịch tiêu chuẩn. trong đầu năm 2013, giới hạn này gần như đã đạt được và đạt được thỏa thuận nhằm tăng giới hạn. Thay đổi được triển khai trong phiên bản ví 0.8 và kết thúc bằng việc chia chuỗi 24 khối và một cuộc tấn công chi tiêu gấp đôi thành công [9]. Mặc dù lỗi không nằm trong giao thức Bitcoin nhưng đúng hơn là trong công cụ cơ sở dữ liệu, nó có thể dễ dàng bị phát hiện bằng một bài kiểm tra căng thẳng đơn giản nếu có không có giới hạn kích thước khối được giới thiệu một cách giả tạo. Các hằng số cũng hoạt động như một dạng điểm tập trung. Bất chấp bản chất ngang hàng của Bitcoin, phần lớn các nút sử dụng ứng dụng khách tham chiếu chính thức [10] được phát triển bởi một nhóm nhỏ người Nhóm này đưa ra quyết định thực hiện các thay đổi đối với giao thức và hầu hết mọi người đều chấp nhận những thay đổi này bất kể “tính đúng đắn” của chúng. Một số quyết định gây ra các cuộc thảo luận sôi nổi và thậm chí còn kêu gọi tẩy chay [11], điều này cho thấy rằng cộng đồng và các nhà phát triển có thể không đồng ý ở một số điểm quan trọng. Do đó, có vẻ hợp lý khi có một giao thức với các biến do người dùng cấu hình và tự điều chỉnh như một cách có thể để tránh những vấn đề này. 2,5 Tập lệnh cồng kềnh Hệ thống tập lệnh trong Bitcoin là một tính năng nặng nề và phức tạp. Nó có khả năng cho phép người ta tạo ra các giao dịch phức tạp [12], nhưng một số tính năng của nó bị vô hiệu hóa do lo ngại về bảo mật và một số thậm chí chưa bao giờ được sử dụng [13]. Kịch bản (bao gồm cả phần người gửi và người nhận) đối với giao dịch phổ biến nhất trong Bitcoin trông như thế này: OP DUP OP HASH160 OP XÁC MINH BẰNG CÁCH OP CHECKSIG. Tập lệnh dài 164 byte trong khi mục đích duy nhất của nó là kiểm tra xem người nhận có sở hữu khóa bí mật cần thiết để xác minh chữ ký của mình.