リング署名がMoneroの出力を覆い隠す方法

Monero は、プライバシー コインの王者として、仮想通貨業界全体で広く知られています。 Monero が優れたプライバシーを提供することは誰もが知っていますが、プライバシーがどのように機能するかを理解している人はそれほど多くありません。

他の多くのプライバシー コインは、各コインのプライバシー テクノロジーの名前を一覧表示する比較チャート インフォグラフィックを公開しており、ほとんどの場合、モネロのテクノロジーを RingCT とラベル付けしていますが、これは部分的にしか当てはまりません。実際、Monero はプライバシーに対して 3 つのアプローチを取っています。トランザクションの受信者を隠す技術、送信された金額を隠す技術、使用された出力を隠す技術の 1 つは、それぞれステルス アドレス、RingCT、リング署名です。

この 3 つのアプローチは、テクノロジーの 1 つが壊れても、他のテクノロジーが同じ運命をたどるとは限らないことを意味します。リング署名は、プライバシー スキームにおける最も弱いリンクです。ここでの弱いという言葉は、ヒューリスティック攻撃に対して最も脆弱であることを意味します。時間をかけてそれらを調べてみましょう。

前述のように、リング署名の目的は、トランザクションで使用される出力をわかりにくくすることです。暗号通貨の「入力/出力」という用語が混乱している場合でも、心配しないでください。実際にはそれほど複雑ではありません。 「出力」と聞いたら、ちょっと考えてみてください。もはやあまり一般的ではなくなったものの 1 つで、人々が支払いに使用しているものの 1 つです。小切手のように、10 ドル、32.50 ドルなど、任意の金額で表示でき、取引当事者間で交換されます。暗号通貨の場合、出力はこれらの機能を果たします。

誰かがあなたに 10 モネロを支払うと、あなたは 10 XMR 出力を受け取ります。この出力には値 (10) があり、これが送信者のウォレットから取得されたものです。サービスに対して支払う場合と同じように、請求書は物理的なウォレットから出て、購入者に渡されます。

出力を非表示にする方法は、おとり出力のリング (名前の由来) を構築することです。しかし、これらのおとりは「偽の」アウトプットではありません。それらは、現在のトランザクションとは何の関係もないブロックチェーンからの実際の過去の出力ですが、外部のオブザーバーには、これらの出力のそれぞれが実際のものと同じように可能性が高いように見えるかもしれません。おとり出力のセットのサイズに実際の出力を加えたサイズはリングサイズと呼ばれ、現在 Monero のサイズは 11 です。したがって、10 のおとり出力と 1 つの実際の出力があります。

この数を 100 または 1000 に増やしてみませんか?多ければ多いほどいいですよね？プライバシーの観点からは、そうですが、考慮すべき点が他にもあります。私が言いたいことを理解するために、物理的な例に戻りましょう。 10 枚のおとりの中に 1 ドル札を隠したい場合、使いたい 1 ドルにつき 11 ドルを財布に入れておく必要があります。本物の 1 ドルと偽物の 10 ドル。数ドルでも使いたい場合、これはすでにかなり面倒です。ここで、おとりの金額を 1000 に増やしたとします。1 ドル使うごとに、約 1001 ドルを持ち歩く必要があります。キャンディーバーを1つ買うだけで、ブリーフケースを持ち歩く必要があります。リング署名はこのようには機能しないことに注意することが重要です。たとえば、おとり自体は署名の一部ではなく、それらへの参照のみですが、この類推が基本的な概念を理解するのに役立つことを願っています。< /p>

ブロックチェーン上のおとりも同様に機能します。おとりが追加されるたびに、トランザクションの時間と検証コストが増加します。すべてのノードはトランザクションごとにリング署名全体をダウンロードする必要があり、各リング署名には実際の出力とおとりが含まれています。それだけでなく、これらの出力の少なくとも 1 つが本物であることを数学的に検証する必要があり、数学的な検証時間もおとりごとに増加します。これは、多くのヒューリスティック攻撃に対しても、リングサイズが実際の出力を十分に覆い隠すのに十分な大きさであるが、ブロックチェーンが大幅に増加しないように十分に小さい、幸せな中間点を見つける必要があることを意味します。任意の数値を選択したり、署名を小さくするときに (CLSAG などで) リングサイズを大きくしたりするだけでは十分ではありません。 Monero コミュニティは、どのリングサイズが最良のトレードオフを提供するかについて、具体的で数学的証拠を求めています。数値が小さすぎると、プライバシーはヒューリスティック攻撃に対して十分に強力ではなくなります。大きすぎると、プライバシー面でわずかな利益しか得られず、スケーリングに関して不必要に苦しむ可能性があります。

最後に一言。一部の Monero の文献では、リング署名が送信者を隠すと単純化して述べていますが、これは完全に真実ではなく、その違いは単に衒学的なものではありません。送信者 (人間) と出力 (請求書) の違いは、プライバシーの保護に関しては大きな違いです。出力には送信者とのつながりがある場合がありますが、出力自体は送信者と同じではありません。そのため、指輪の署名が破られたとしても、それが必ずしも個人の身元につながるとは限らず、金額と受取人の両方が依然として隠されているため、すべての関係者のプライバシーへの損害を最小限に抑えることができます。

壊れたリング署名が重要でないと言っているわけではありません。漏えいしたメタデータは悪いものであり、特に他のメタデータと組み合わせて使用すると、私たちが思っているよりも多くの情報を明らかにする可能性があります。そのため、選択されたリングサイズが決定の背後に学術的な厳密さを持ち、他のメタデータの漏洩が最小限に抑えられ、ユーザー エクスペリエンスがデフォルトで可能な限り最良のアクションになるように最善を尽くします。

しかし、署名が壊れる可能性がまだ心配な場合は、信じられないほどのニュースが間近に迫っています。 Triptych、Arcturus、Lelantus など、現在取り組んでいる次世代のプライバシー プロトコルには、非常に優れた機能があります。これらのプロトコルでは、リングサイズが大きくなるにつれて、サイズは線形ではなく対数的にスケーリングされます。これは、100 個のデコイを収めることができることを意味しますが、使用されるスペースは、古い技術ではリングサイズ 10 に近くなります。これは大きな違いであり、あらゆる面でプライバシーが大幅に改善されます。

プライバシーといういたちごっこゲームにおいて、モネロは時代の先を行き、すべての人にとって最高の実用的なプライバシーを確保するために継続的に革新を続けています。