MoneroKon D1 - Выступление Брэндона Гуделла

22/06/2019

Совершенная анонимность или устойчивое отрицание?

Брендон является математиком и исследователем Исследовательской лаборатории Monero. Он также является контрибьютором сообщества Monero, начиная с 2014 года. В последнее время он в основном работает над доказательствами безопасности новых криптографических протоколов, а также статистическими подходами к анализу блокчейна.

Аннотация

Большинство пользователей (допустим, это Элис и Боб) анонимных реестров пользуется услугами кастодиальной биржи (Ив). Такая биржа может легко подтвердить, что произошло, если Элис заберёт свои средства у Ив, а затем отправит эти средства Бобу, который положит их снова к Ив. Мы обсудим, как эвристический подход, используемый для отслеживания потока денег в ориентированном на обеспечение анонимности реестре, можно также использовать для построения статистических гипотез, как параллелизуемые графо-теоретические подходы можно использовать для построения оценок максимального подобия согласно этим гипотезам истории транзакций в масштабе полилогарифмического времени, а также как кастодиальные биржи могут использовать имеющуюся у них кастодиальную информацию для получения доступа к оценочным данным. Эти техники могут использоваться для быстрого анализа гипотез относительно поведения клиентов, но их недостатком являются проблемы с чувствительностью и спецификой (в частности, в отношении клиентов, которым известны эвристические данные, и которые могут попытаться использовать их против других клиентов). Нами демонстрируются некоторые предварительные результаты исследований того, как размер ряда анонимных участников влияет как на эффективность такого анализа, так и на время, необходимое для применения таких подходов. Мы приходим к выводу, что требования к анонимности в случае с такими криптовалютами, как Monero и ZCash, сводятся к правдоподобному отрицанию, направленному против злоумышленников, обладающих дополнительной информацией.

Стенограмма:

Приветствую всех!

Когда-то давно мне довелось услышать историю, и я понятия не имею, кто именно её автор, так что если кто-то просветит меня в отношении моего анекдота, я буду благодарен. Несколько лет назад ходил слух, что кто-то спросил инженера Google о том, насколько хорош поиск Google. Инженер ответил что-то вроде: «Ну, по шкале от нуля до десяти, где десять — поисковый движок уровня Бога, Google можно оценить на двоечку, а всем остальным поставить ноль или единицу».

Сегодняшнее своё выступление я хотел бы начать с идеи, с предположения, что наилучшим в настоящее время анонимным валютам на рынке можно поставить единицу из десяти, а всем остальным — ноль из десяти. Так что когда вы будете смотреть это выступление, пожалуйста, помните о том, что я буду говорить о большинстве существующих валют, и я попытаюсь делать это предельно понятно.

Итак, я собираюсь говорить о совершенной анонимности и устойчивом отрицании, так как все согласятся с тем, что достичь совершенной анонимности сложно, но разработка чего-то подобного механизму обеспечения правдоподобного отрицания — это уже не такая сложная проблема. И фактически большинство моделей угроз, связанных с криптовалютами, и профилей анонимности сводятся именно к правдоподобному отрицанию.

Вот один общий пример: у нас есть кто-то, кто покупает что-то на бирже, несколько Monero, например, а затем покупают что-то у продавца. А затем продавец кладёт эти деньги обратно на биржу и переводит их в доллары, потому что едва ли кто-то захочет хранить криптовалюты — кто будет хранить сбережения в таком волатильном активе? И, безусловно, Ив тоже не глупа: она видит транзакцию, видит, как пришло 8,675309 Monero, и видит, как 8,675309 было выведено — как же связать это, просто загадка! Итак, Ив использует этот подход множество раз в ряде случаев и со множеством клиентов, это подобно использованию подхода Митчелла, и Ив успешно собирает большое количество информации относительно того, что происходит с этими транзакциями.

Фактически каждый в этой комнате, я надеюсь, имеет опыт в отношении обеспечения анонимности и человеческих прав. Существует целый ряд вопросов, связанных с обеспечением анонимности, начиная с 15-летнего хакера, который живёт по соседству на улице, сидит в мамином подвале и пытается деанонимизировать вас, чтобы впоследствии шантажировать. А затем уже в дело вступает субъект государственного уровня, желающий установить наблюдение за всеми и каждым, как это происходит, например, в Китае. Кроме того, есть некий переходный уровень, какая-нибудь биржа или крупная корпорация, которая хотела бы сделать вас целевым объектом своей рекламы. Ну, или что-то не такое пограничное, как тоталитарное государство, а просто случаи, когда государство желает следить за отмывкой денежных средств, например. Таким образом, мы имеем целый ряд различных ситуаций, в которых анонимность играет важную роль. И некоторые из этих случаев являются неприемлемыми для общества, такие как криминальная деятельность. Криминал для нас является неприемлемым, если кто-то занимается отмывкой денег, то для нас как для общества это является проблемой. Но мы также считаем неприемлемыми тиранические режимы, которые следят за нами. Таким образом, здесь необходимо найти некоторый баланс.

Итак, если мы рассматриваем случай, когда Ив следит за этими транзакциями, то мы получим диаграмму вроде этой. Прошу прощения за своё «умение» в составлении привлекательных диаграмм, эта будет единственной, которую я использую в течение всего выступления.

Кстати, я хотел бы поблагодарить Саранга за фоновые слайды для своего выступления, они просто фантастически великолепны.

Итак, Элис покупает у Ив, затем покупает что-то у Боба, а Боб передаёт всё Ив. Показано стрелками один и три. Если Ив является биржей, то Ив следит за своими транзакциями, она вполне может их деанонимизировать, особенно, если следует правилу KYC. Ив узнает всё об адресе Элис и об адресе Боба, так как ей известно о стрелках один и три. Ей известно довольно немного об этих транзакциях. Фактически в определённом смысле проблема состоит в том, что можно задаться вопросом: при чём здесь вообще Боб? Ведь Элис неизвестно, что она взаимодействует с Ив или Бобом. И фактически, если вы сведёте всё это к тому, что Ив является биржей, и она взломала всё, что можно, и она наблюдает за вами, и она же является продавцом, и всё такое прочее, то вы получите этакую странную игру в анонимность, в которой Ив передаёт Элис монету, а затем Элис возвращает монету Ив, и Ив необходимо выяснить, от кого же пришла монета.

Безусловно, в случае с криптовалютной сетью эта игра будет довольно глупой, так как если Ив контролирует все транзакции, кроме транзакций Элис, то она просто может сказать: «Хорошо, это пришло с транзакцией, которую я не создавала; я — Ив, я — другая половина сети, значит, это Элис». Так что такой игры в анонимность даже недостаточно для того, чтобы описать, что происходит с криптовалютами. Именно поэтому мы пришли к обсуждению этой проблемы EABE в ходе своих обсуждений в Исследовательской лаборатории Monero.

Итак, Митчелл в своём выступлении коснулся пары статистических сигналов, которые Ив может перехватить, чтобы деанонимизировать сеть. Вместо того чтобы рассматривать статистические сигналы, я обращу внимание на вычислительную задачу, проведя красные линии из предыдущего выступления Митчелла через синее дерево. Мне было интересно, насколько это сложно для небольшой лупы из его выступления. Это много чего добавляет. Насколько сложно на деле применить это увеличительное стекло? И оказалось, что гораздо легче, чем мы ожидали.

Общая модель транзакций, в случае с большинством криптовалют, состоит в том, что вы съедаете какие-то ключи и выплёвываете какие-то другие ключи. И единственный способ обосновать, что они являются действительными — это некоторые доказательства с некоторыми комиссиями. Как в случае с подписями: подписи являются доказательством знания. zk-SNARKs являются доказательством принадлежности к большому защищённому пулу. Практически любая валюта, основанная на использовании выходов, может быть визуализирована подобным образом, и именно тут всё и распадается на части, начиная с просмотра входящих и исходящих ключей, подтверждённых подписями, так как мы можем построить большой график, который будет выглядеть так.

О’Кей, это пример с Bitcoin или с Ethereum, пример с прозрачной монетой. Ключи X1 и X2 здесь подписаны sigma1 и sigma2, и они объединены в транзакцию с целью создания выхода Y1. Это первая пара точек сверху. X1 и X2 тратятся, чтобы создать Y1 и подтверждение sigma1 и sigma2. А затем Y1, Y2 и Y3 тратятся в tau1, tau2 и tau3, чтобы создать Z. Пунктирными линиями показаны отношения между выходами, а сплошными — отношения между входами. Поток средств действительно просто отследить по зигзагу.

Но что насчёт ориентированных на обеспечение анонимности валют? Идея, стоящая за некоторыми анонимными валютами, состоит в том, чтобы заменить сплошные рёбра наборами сплошных рёбер, чтобы вы сказали: «Ну, я не знаю, какое из этих рёбер является сплошным». Таким образом, мы заменяем сплошные рёбра парой пунктирных рёбер, каждое сплошное ребро превращается в несколько пунктирных. В данном примере граф похож на тот, что был у Митчелла, поскольку размер нашего кольца равен трём. Есть три ключа, которые используются для построения каждой из этих трёх подписей. На диаграмме слева у нас есть ключи X1, X2, X3; один из них должен был быть использован для создания sigma1, для создания ключа Y1, который затем тратится с Y1, Y2 и Y3 в tau, создавая Z. Он показан слева. Таким образом, мы имеем ясный поток средств. X1 был потрачен в sigma, а затем мы имеем пунктирную линию, и тот, что был потрачен в tau, и это уже другая пунктирная линия, и получается зигзаг. С другой стороны, с правой стороны, у нас история конфликта транзакций; справа sigma и tau не имеют ничего общего друг с другом. Мы не видим потока денег, tau подписана Y2. Выходом sigma был Y1, поэтому поток отсутствует.

Итак, что мы делаем со всем этим? Мы играем в игру под названием сопоставление. По сути, это самая тоскливая часть моего выступления. Первое, с чем вы сталкиваетесь при изучении теории графов, графо-теоретических классов, это игра сопоставления. Это одна из самых старых решённых задач. Это всегда используется при разработке аппаратного обеспечения и при анализе аппаратного обеспечения. Самые оптимальные на сегодняшний день алгоритмы, о которых я буду говорить здесь, или, по крайней мере, их варианты были созданы в начале семидесятых или конце шестидесятых. Итак, это решённая задача. Сопоставление — простой процесс. Переходим от графа с пунктирными рёбрами к графу, который выглядит вот так, со сплошными рёбрами, он крайне прост в вычислении, и о нём я буду говорить сегодня.

Итак, как Ив решает, какие рёбра должны быть сплошными? Для неё это действительно вопрос. В выступлении Митчелла говорилось о паре различных эвристических подходов, которые могут быть использованы для выяснения того, какие рёбра должны быть сплошными. Теперь что произойдёт, если кто-то действительно очень захочет реализовать их и начнёт формализовать эти эвристические подходы, чтобы обеспечить возможность применения точного статистического анализа вместо простой интуиции? Не со злым умыслом, ни в коем случае, выступление Митчелла было фантастическим, и в конце он дал фантастические рекомендации и обрисовал, как он пришёл к своим выводам, и это подобно человеческой визуальной системе — мы работаем как блоки обработки видеоданных. И в конечном счёте люди ведь не так хороши в обработке статистических данных? И мы хотим формализовать эти наши визуальные интуитивные догадки и свести это к точному статистическому анализу, чтобы придать им силы и смысла. О’Кей, так что мы делаем?

Начнём с самого простого примера. Большую часть времени в течение этого выступления я буду говорить о времени. Итак, вся информация, изложенная Митчеллом во время его выступления, является готовым материалом, который я могу использовать в своём, просто можно заменять слово «время» или «возраст» на один из эвристических терминов, о которых говорил Митчелл, например, о комиссиях. По сути, комиссии могут использоваться для оценки возраста. Таким образом, в своё время, по-моему, это был январь 2017 или январь 2016, но это был январь точно, вышла работа по Monero, в которой говорилось об отслеживаемости Monero. И Эндрю Миллер, один из авторов этой работы, предложил эвристический подход «угадай новенького», и Митчелл уже описал его в своём выступлении: если у вас есть группа транзакций, и первая обычно является настоящей тратой, то вы можете просто использовать обычный перебор: действительная трата, действительная трата, действительная трата. И фактически, если все кольцевые подписи будут расположены в хронологическом порядке, а они так и расположены, то вам даже не придётся загружать всё кольцо, вам нужно будет загрузить только первый ключ в кольце, а затем перейти к следующему кольцу.

Итак, как мы можем формализовать это? Мы можем взять то, что обеспечивает возможность использовать эвристический подход с определением самого нового выхода, который основан на том, что кошелёк выбирает слишком много старых выходов и недостаточно новых. Таким образом, образуется разрыв между распределением со стороны кошелька и действительным поведением. Теперь все мы можем спорить, существует или нет на самом деле действительное поведение, но это выходит за пределы темы данного выступления. Как в случае с f0, а f0 является гипотетической вероятностной массовой функцией, которая определяет вероятность, с которой вы будете ждать определённый период времени, пока ваша монета не будет потрачена. И если у меня будет представление относительно вашего поведения во время траты, например, периодический график, продемонстрированный Митчеллом ранее, с разбросанными яркими точками. Это могла быть подписка на журнал. Еженедельный или ежемесячный. Таким образом, если у нас есть какая-либо гипотеза, то мы будем знать значение нашей f0. Мы определим распределение, в основе которого лежит некая периодичность, а затем нарисуем наши линии, согласно нашему подходу, а затем получим улучшенное значение распределения f. Затем мы повторим это снова и снова со многими клиентами, после чего сможем продать наши данные Facebook или ФБР. И мы надеемся, что выступление Аманды, которое касалось третичного или вторичного рынка данных, спасёт нас как пользователей Monero. Это неприемлемая ситуация, особенно учитывая, что основой философии Monero является, в первую очередь, обеспечение безопасности, безопасности пользователей. Некоторые люди используют Monero в жизненно важных ситуациях, и если мы столкнёмся с такой проблемой, то нам понадобится предельно чётко объяснить людям, какими возможностями обладает программное обеспечение. И это в равной степени относится к любой анонимной криптовалюте, между прочим, перед тем как я перейду дальше, позвольте мне вернуться, присесть и немного озадачить вас, ребята, математикой.

Каждая вторая анонимная криптовалюта имеет подобные проблемы со связываемостью, но каждая первая анонимная криптовалюта заявляет о себе: «Только я обеспечиваю анонимность, а вот те ребята просто бесполезны». Поэтому мне хотелось бы, чтобы каждый, находящийся здесь, усвоил, чтобы каждый, кто смотрит нас онлайн, усвоил (я хотел бы, чтобы каждый что-нибудь усвоил) — всегда необходимо помнить о модели угрозы. Вы никогда не сможете использовать что-то вроде Monero или ZCash, чтобы защитить себя, если ваша жизнь зависит от этого. Это очень неудобный факт для многих представителей нашего сообщества. Когда кто-то говорит об этом в новостной статье, мы расстраиваемся, но мы всегда очень рады поговорить о том, насколько ZCash небезопасна с точки зрения использования в повседневной жизни. И в этом плане мне бы хотелось, чтобы каждый в этой комнате понял, что я говорю обо всех валютах, и что мы имеем единицу по десятибалльной шкале. Таково положение вещей с анонимными криптовалютами на сегодняшний день, если позаимствовать название другого выступления.

Теперь более подробно для математиков-заучек, присутствующих в аудитории, у которых может возникнуть вопрос, как нарисовать эти линии? И этому мы посвятим оставшуюся часть моего выступления, так как я всё-таки тоже математик. Проще всего было бы взять этот большой граф, который я показал вам ранее, и задать весовое значение каждому ребру, а затем попытаться найти в графе соответствие, которое бы увеличило весовое значение до максимума. И это я имел в виду во время демонстрации прошлого слайда, когда спросил: «Как Элис может определить, какие рёбра должны быть включены?». Я присваиваю весовое значение каждому ребру и говорю: «Я хочу, чтобы было выбрано самое тяжёлое». Так что мы делаем, учитывая время, возраст выходов, что мы можем сделать, так это допустить независимость между выходами. И мы можем, ох, тут ошибка в написании, вероятно. Это ребро Xi уходит в sigma.

Как бы то ни было, мы определяем подобие включения ребра в сплошное соответствие, и обычно это делается путём допуска независимости. Для статистиков, находящихся в зале, это очевидная вещь, которую необходимо сделать, мы берём произведение вероятностных функций. Если бы мы хотели получить логарифмическое подобие, мы бы взяли логарифм вероятностных функций, что означало бы их простое сложение. Дело в том, что [смеётся] тут у нас неприятная часть, fw является распределением программного обеспечения кошелька, поэтому вы можете просто просмотреть код, чтобы понять, как вычисляется fw. f0 является вашей гипотетической информацией. Итак, большая часть информации, которая хранится в кольцевой подписи a1, с точки зрения возраста, так или иначе, в ней только ai будет истинным подписантом, только он будет использовать неизвестную информацию. Остальная часть этой суммы нам известна. Вся полностью. Таким образом, отсутствует совсем небольшая часть информации. Мы можем не знать, который из этих ai отсутствует, но мы знаем, что отсутствует только одна часть, и это довольно мощно.

Перед тем как мы продолжим, теперь я вижу, почему вы говорили, что этот слайд несколько выпадает из контекста. Возможно, кто-то в аудитории сидит и думает: «Чёрт возьми! Эта статистика действительно сложна, необходимо быть математиком или статистиком, чтобы сделать это, необходимо обладать опытом в этой области, а как получить его? Как же нам защитить себя?» Ну, ответ состоит в том, что, если у вас есть опыт в области, вы практически всегда сможете защитить себя. То есть все помнят сериал «Декстер», там специалист по брызгам крови оказался серийным убийцей, и он воспользовался многими годами работы в области анализа брызг крови, чтобы скрыть тот факт, что он занимался убийством людей в течение многих лет.

Продолжим, мы говорим о привлечении статистиков для очень умного построения группы свидетельств, которые позволят предположить, что эти лица не являются тем, кто сделал это. И как по мне, тут есть ряд недостатков. Во-первых, это нельзя использовать в суде. Вы не можете сказать: «Я невиновен, потому что кто-то мог подделать это свидетельство». Брызги крови могли быть полностью подделаны Декстером, безусловно, но это не обеспечит защиты в суде.

Если это требует знаний в определённой области, и если эти знания необходимо получить быстро, то можно просто нанять пару докторов наук, дать им доступ к облачному сервису Amazon и сказать: «Так, ребята, займитесь этим, исследуйте блокчейн Monero, исследуйте блокчейн ZCash. Ах да, кстати, так как эвристические данные, полученные из множества источников, могут быть объединены с целью усиления эвристического анализа, вы можете использовать информацию блокчейна Monero с блокчейном ZCash». После чего эти ребята построят некий алгоритм и используют алгоритм Хопкрофта-Карпа для того, чтобы найти максимальное соответствие, а затем они используют схожий алгоритм для нахождения самого крупного соответствия.

И всё это представляет собой ряд чисел, который может сбить столку людей, сидящих в зале, которые не имеют к этому отношения, или чисел, букв, которые могут сбить с толку тех, кто не является математиками, но в том графе, который я показывал ранее, E обозначает количество рёбер, то есть линий, а V является количеством точек. Таким образом, когда я говорю, что большая O, умноженная на E, является квадратом V, я имею в виду, что я беру количество рёбер, я беру квадратный корень из количества ключей и умножаю всё вместе, и получаю значение необходимого времени. Но это параллелизуемо, поэтому я могу просто сделать это в десяти ядрах и взять одну десятую времени или же я могу сделать это в 100 ядрах и взять одну сотую времени. Таким образом, эти числа могут быть настолько малыми, насколько требуется. И поэтому я утверждаю, что сейчас эта проблема характерна для каждой криптовалюты. Если вы горячий поклонник Sapling-пула ZCash, то вы можете сказать: «О, отлично, Sapling-пул выглядит, как будто они решили проблемы с доверенными настройками». Да, но милый маленький пул никуда не делся, и почти не нужно никакого времени, чтобы выделить историю транзакций, которая будет статистически правдоподобной. Это приводит нас к правдоподобному отрицанию. В случае с Monero, кстати, количество рёбер является размером кольца, помноженным r раз на количество ключей, так что это всё сводится к ещё более сокращённому уравнению. Таким образом, если я удвою количество ключей в блокчейне, то деанонимизация займёт в четыре раза меньше времени, вот что означает V на 1.5.

Что делает Ив? Она берёт гипотетическое значение f0, а затем собирает некоторые данные. Она вычисляет оптимальное соответствие, а затем сравнивает с известными ей сплошными рёбрами. И кстати, E является той самой великолепной биржей, которая отслеживает всю пользовательскую информацию, поэтому ей известно множество рёбер. А затем она может использовать эту информацию как валидационное множество для получения лучшего гипотетического значения f0. После этого биржа итерационно повторяет этот процесс снова и снова и накапливает информацию по множеству пользователей или по множеству наборов данных. И в последнем слайде я намекал на то, что если я могу таким образом деанонимизировать блокчейн ZCash, то я могу использовать эту информацию для того, чтобы выбрать, какие рёбра следует включить в блокчейн Monero и наоборот.

Итак, я реально разрывался, выбирая название для этого выступления. Я хотел назвать его «Все мы тонем или плаваем вместе», поскольку если вы безответственно используете блокчейн ZCash, то затем, при использовании блокчейна Monero, вы переносите это и на блокчейн Monero. И если я использую блокчейн Monero, уникальный размер кольца равный 58675309 и плачу странные комиссии, есть рациональные и иррациональные комиссии, то в конечном счёте деанонимизированы будут все, и всякий раз, как я буду заходить в новый блокчейн, я буду перетаскивать эти грязные данные с собой.

Где начинается отрицание? Ранее в моём графе, на предыдущем слайде, я говорил, что r — это размер кольца, а E обозначает количество рёбер. Итак, сколько соответствий мы будем иметь на самом деле, если я случайно возьму одно просто из воздуха? Есть это странное число r минус 1 в степени r минус 1 поделённое на r в степени r минус 2, всё возведено в степень n, и это было придумано математиком по фамилии Шрайвер, которым было написано безумное количество работ по теории графов. И вот что я имел в виду под этим: если я поделю на это число, то получу нечто незначительное. Но в мире криптографии ничтожное уже означает многое, так как это означает, что что-то станет проблемой. Если я возьму одно соответствие из большого, очень большого пула, и поделю его на это число, вероятность того, что я прав, будет равна тому, что я, вероятно, не прав. В большинстве случаев выбора r и n я могу выбрать достаточно большие значения r и n, и я практически никогда не буду прав. И это одна из хороших сторон криптографии — нахождение таких незначительных вещей для построения на их основе параметров безопасности.

Но теперь вопрос состоит в следующем: если эта Ив, эта биржа, возьмёт случайное соответствие из воздуха, а затем попытается обвинить одного из своих клиентов в том, что тот сделал что-то не то, или, что более прозаично, они могут попытаться использовать это соответствие, чтобы продать вам что-то при помощи целевой рекламы, что вам не хотелось бы, так как вы не являетесь членом той демографической группы, к которой они вас причислили, и в этом случае вероятность того, что они правы, составляет единицу, поделённую на это число. Грубо говоря, по крайней мере в лучшем случае. Таким образом, Ив, биржа, не может просто случайно найти старое соответствие и просто угадать, что именно это и есть история транзакций, ей придётся подождать. Но неизбежным побочным эффектом применения этих числовых методов является то, что практически всегда будет альтернативная история, на которую вы сможете указать, и которая оправдает вас.

Или, например, возьмём Target. Мне нравится Target, поскольку пару лет назад Target спрогнозировали, что девушка-подросток может быть беременна до того, как она сказала об этом своей семье, и они начали посылать ей домой купоны. Её отец просто бесился. Это пока нечасто встречается в нашем капиталистическом обществе наблюдения, но если у вас есть система подобная этой, то вы можете прийти к выводу: «Эта история транзакций говорит о том, что человек принадлежит к этой демографической группе» или: «Эта история транзакций говорит о том, что я вхожу в эту демографическую группу», или: «Эта история транзакций говорит о том, что я принадлежу к той демографической группе». Зачем вы пытаетесь продать мне дерево Бонсай? Типа: «Я 60-летняя белая женщина из Техаса, и я не могу растить дерево Бонсай, даже ради спасения своей жизни, так зачем вы присылаете мне это?». Таким образом, идея состоит в том, чтобы существовало множество альтернативных историй, которые будут настолько близки к наилучшей догадке, которую может построить биржа, чтобы вы всегда могли указать на что-то, что производило бы другое впечатление. И это мы называем правдоподобным отрицанием.

И мне кажется, что я проскочил этот слайд. Тут возникает важный вопрос: если у меня есть столько альтернативных историй, большинство которых не имеют ничего общего со мной, какого объёма свидетельство необходимо, чтобы привлечь внимание разумного человека? И ответ будет различным, в зависимости от того, какое определение вы даёте слову «разумный». О’Кей, тут можно вернуться к паре примеров, которые уже приводились. Должны ли корпорации пытаться рекламировать что-то при наличии такого большого количества последовательных альтернатив? Не будет ли это тратой времени? С другой стороны, на сколько фальшивых альтернатив они выкинут свои рекламные доллары, как в случае с Target? Должны ли правоохранительные органы озадачиваться свидетельством, которое будет выдернуто из системы со «встроенным» алиби? Я не уверен ни в одном из этих случаев, и все они относятся к различным моделям угрозы. Некоторые из них носят криминальный характер, некоторые связаны с тираническим строем государства, а некоторые со случаем Target, когда вам пытаются продать что-то ненужное.

И это подводит меня к окончанию моего выступления. Этот пример я использовал очень давно, когда преподавал и объяснял ложный положительный парадокс. Если я действительно всё точно проанализировал, с точностью 99,99%, то это заболевание обнаруживается в одном на десять или сто миллионов случаев. Десять в восьмой степени будет равно 100 миллионам людей, так, да, 100, 100 миллионам людей. В итоге получается 1000 ложных положительных на каждый отдельный действительный положительный случай. Это называется ошибкой априорной вероятности, и каждый доктор-первогодка изучает это в медицинском училище, поскольку если вы назначите кому-то анализы, чтобы проверить, есть у пациента рак или нет, и когда придут результаты, вы обнаружите, что они положительны, вы назначите проведение повторных анализов, поскольку 1000 к одному, что пациент скажет, что он не болен, так ведь? Таким образом, мы обсуждаем многие вещи, такие как разработки и медицина. Я не слышал, чтобы это широко обсуждалось в области криптографии или криптовалют.

Итак, одной из вещей, которые мы используем для решения этой проблемы, является статистическая мощность анализа. Вместо того чтобы добиваться точности 99,9%, мы смотрим на статистическую мощность и определяем её очень строго. И действительно, при увеличении размера кольца Monero мощность этих видов анализа снижается до минимума. Также действительно и то, что при минимальном уровне, как в случае с защищённым пулом, показатели будут наилучшими из тех, что мы можем ожидать. Это два факта. Также фактом является то, что размер кольца равен 11 и что в случае с этими другими примерами размеры могут быть миллионными. Так если вы рассмотрите zk-SNARK в качестве кольцевой подписи для всего ряда ключей в блокчейне, что не совсем верно, но если вы взглянете на ряд анонимных участников таким образом, то в случае с Monero получим это, а в случае с ZCash — вот это, и по мере увеличения размера кольца мы приближаемся к таким показателям анонимности. Безусловно, я не стал тут рассматривать прозрачные пулы.

Вот что мы в целом получаем, и кстати, ещё раз хочу поблагодарить Митчелла за эти рисунки, проведение конференции — непростая работа. Итак, мощность данного анализа будет снижаться по мере увеличения ряда анонимных участников. Мы начинаем с минимального размера, который может быть равен одному, как в случае с Bitcoin, вы всегда точно знаете, кем был подписан Bitcoin. В этом случае мощность анализа будет стопроцентной. И по мере увеличения размера кольца, мы можем получить что-то вроде Pirate Chain, к сожалению, это достаточно ново для меня, чтобы говорить об этом на публике. Но выглядит это круто — прозрачный пул отсутствует и используются параметры Sapling, и здесь мы имеем огромный, огромный анонимный пул. Здесь может быть что-то вроде ZCash, или же ZCash может быть здесь. Где-то между будет ZCash и Monero. И мне не ясно, где ZCash или Monero попадут на эту линию. И, таким образом, вы сталкиваетесь с каждым первым злоумышленником, вам приходится иметь дело с каждой моделью угрозы, и найдётся некоторое пороговое значение P, ниже которого они не смогут выдержать мощности. Например, если я пытаюсь обвинить кого-то как самого наихудшего преступника в истории, мне лучше иметь веские доказательства, поскольку если я пойду в суд и не буду уверен, то я, посмотрим сюда… да, если я пойду в суд и я не буду уверен, то преступника отпустят, а в результате двукратного привлечения к ответственности, отпустят навсегда. Поэтому нам как правоохранительным органом необходимы реально мощные доказательства, чтобы довести дело до суда. Вот мы и приходим к этому.

С другой стороны, если вы являетесь Target и вы просто пытаетесь заработать на рекламе, и цена этому не равнозначна тому, как если бы убийца был выпущен на улицы, а всего лишь пара рекламных баксов, то вы можете допустить и более низкую мощность. Таким образом, на деле, мы получаем граф, который выглядит следующим образом.

Злоумышленник с высокими стандартами может допустить размер кольца, который не будет больше указанного здесь. Злоумышленник с реально низкими стандартами сможет незаметно связать транзакции с большим размером кольца. Таким образом, на этом графе красным обозначена необходимость в увеличении размера кольца, а зелёным, что у нас уже всё достаточно хорошо, и повышение размера нашего кольца будет означать трату пространства и времени.

В конце хотелось бы озвучить заключение. Каждая ориентированная на обеспечение анонимности монета как таковая может быть оценена на единицу из десяти с точки зрения анонимности. Каждая вторая криптовалюта вообще получает ноль из десяти. Ориентированные на обеспечение анонимности валюты способны обеспечить только возможность правдоподобного отрицания. Не существует никакой совершенно анонимной валюты. Если вы пользуетесь ZCash, но федералы следят лично за вами, то это вовсе не означает, что вы пользуетесь ZCash, поскольку они видели, что вы покупали или забирали на почте то, что купили. С другой стороны, если за вами следит Target, то снова мы не увидим никакой совершенной анонимности. Target могут совершенно спокойно купить ваши данные у Walmart. А затем эти данные будут использованы против вас. Поэтому неважно что и как, но вы не получите ничего другого, кроме правдоподобного отрицания. По мере увеличения ряда анонимных участников требования правдоподобного отрицания становятся сильнее, и мы слетаем с какого-то максимального уровня, но нам, вероятно, лучше остановиться на каком-то уровне, который мы сочтём достаточно хорошим.

Но для получения достаточно большого ряда анонимных участников… ух, мне не нравится эта последняя строка, не нравится эта строка. Надо убрать слова «по умолчанию» и «опциональный» из предложения. Но в случае достаточно большого ряда анонимных участников малые анонимные ряды могут выполнять роль больших рядов. Этим я хочу сказать, что когда речь заходит о прозрачных пулах при наличии малого ряда анонимных участников, то есть используемого по умолчанию, прозрачного пула нет как такового, есть некая золотая середина. С другой стороны, если вы проходите определённую точку, но вы по-прежнему пользуетесь прозрачными пулами, по сути, вы сами стреляете себе в колено. Но это предварительные результаты, по которым у меня пока нет статистики. Я работал над моделями во время организации конференции, поэтому не успел вовремя. Ещё 4 часа назад я до конца не знал, о чём буду говорить.

Итак, что я хотел сказать всем этим. Я просто хотел бы, чтобы никто в этой аудитории не пострадал от действий преступников, чтобы никто в этой аудитории не пострадал от действий злополучных тиранических режимов, чтобы никто не испытал на себе мощи Target и чтобы вы все знали, что от большинства этих валют можно ожидать максимум возможности правдоподобного отрицания. Если кто-то пытается убедить вас в ином, то он попросту вас обманывает.

У нас осталось время на один или пару быстрых вопросов, перед тем как мы перейдём к заключительной сессии.

Вопрос из зала: В отношении криминалистического анализа, который, как вы сказали, возможен в случае со множеством блокчейнов, как вы думаете, должно ли сообщество Monero прийти к консенсусу и запретить атомные свопы между блокчейнами Monero и Bitcoin, пока Bitcoin допускает такое взаимодействие?

Не ожидал такого вопроса.

Ну, я тут для этого.

Коротким ответом будет нет. Длинный ответ будет сложным. Причина состоит в том, что запрет чего бы то ни было на уровне протокола — это дико опасная вещь, если мы говорим о криптовалютах в целом. Биржи — это уж точно не смысл существования денег. Но если не будет бирж, у вас не будет ликвидности, локальной ликвидности, и мы столкнёмся с той же проблемой, что и Венесуэла, о которой говорил Джамаль ранее. Коротким ответом будет: если вы запретите это, а я не уверен, что это действительно возможно… ууух, я собирался сказать предложение, с которым сам не согласен. Не знаю, остановимся на этом.

Ещё вопросы, перед тем, как…

Саранг: У меня есть короткий вопрос.

Ответ: Давай

Саранг: Ты говорил о том, что существует вероятность наличия золотой середины с точки зрения размера ряда анонимных участников, и что это во многом зависит от мощности злоумышленника. Итак, об этой середине: какое это число, тебе оно известно? Есть какая-нибудь оценка порядка величины?

Ответ: 42, нет. На первой диаграмме, показанной Митчеллом, было показано что-то вроде троичного дерева, поскольку оно расходилось на три ветви на каждом узле. И подобное дерево, которое представляется идеальным случаем, должно быть следующее, должен быть экспоненциальный рост по три в степени n, и, в случае с такого рода примерами, я находил примеры размера кольца, равные 23, что казалось достаточным для разумных моделей. С другой стороны, это идеализированная модель, а в случае с блокчейном Monero такое дерево не может расти вечно. В конечном счёте оно станет перекрывать само себя, поскольку число узлов конечно. И что будет в конце, не ясно. Но лично я всегда выступал за увеличение размера колец.

Перевод: Mr. Pickles
Редактирование: Agent LvM
Коррекция: Kukima