Seraphis: Vad det kommer att göra för Monero

Det här inlägget beskriver Seraphis, en uppsättning transaktionsprotokollstrukturer och abstraktioner utvecklade av pseudonym forskningsbidragsgivare koe för Monero-ekosystemet, och med pågående säkerhetsanalys av pseudonym bidragsgivare coinstudent2048.
Vi gör vissa förenklingar och utelämnar vissa tekniska detaljer för tydlighetens skull; av denna anledning, och eftersom designen av Seraphis fortfarande pågår, bör intresserade läsare hänvisa till Seraphis dokumentation för den senaste informationen.

Protokoll som Bitcoin och Monero och andra förlitar sig på en så kallad "utgångsmodell" för drift, där en utgång är en representation av värde som kan överföras.
Transaktioner förbrukar en eller flera utdata som kontrolleras av en avsändare och genererar nya utdata riktade mot mottagare (eller tillbaka till avsändaren som ändring); transaktionen måste balansera genom att förbrukade utdata måste innehålla ett totalt värde som är exakt lika med värdet i nya utdata (plus en nätverkspålagd avgift).
I många protokoll som Bitcoin skrivs värdet i en utdata i klartext, liksom mottagaren.
Dessutom, genom att titta på blockkedjan, är det trivialt att se om och när en utdata har förbrukats (det vill säga om den har förbrukats i en senare transaktion, och vilken transaktion som använde den).

Däremot introducerar protokoll som Monero en annan design:

• Utdatavärden är dolda och inte synliga i blockkedjan
• Mottagaradresser är dolda genom användning av ett engångsadresseringsprotokoll
• Om en utdata har förbrukats eller inte fördunklas av användningen av tvetydiga signaturer

Resultatet är att det, i frånvaro av extern information, är svårt att avgöra om en given utdata har spenderats, vad dess värde är och vem dess mottagare är.

Det nuvarande Monero-transaktionsprotokollet kallas RingCT och använder flera kryptografiska byggstenar för att uppnå dessa designmål.

• Åtaganden döljer belopp på ett matematiskt användbart sätt
• Räckviddssäkringar förhindrar spill som kan blåsa upp försörjningen
• Länkbara ringsignaturer ger undertecknarens tvetydighet och förhindrar försök med dubbla utgifter
• Åtagandeförskjutningar hävdar att transaktioner balanserar

Dessa byggstenar är noggrant sammanflätade för att bygga RingCT-protokollet.

En användbar egenskap hos RingCT-protokollet är att vissa byggstenar kan ändras eller uppgraderas på ett sätt som håller den övergripande designen och egenskaperna intakta, men som kan ge effektivitets- eller säkerhetsförbättringar. Faktum är att den här typen av uppgraderingar har inträffat (eller planeras att ske) flera gånger i Moneros historia. Räckviddsbevis i det ursprungliga RingCT-protokollet var skrymmande och långsamma; de uppdaterades senare till en konstruktion som heter Bulletproofs som gjorde transaktioner mindre och snabbare med bättre säkerhetsanalys, och är planerade att uppdateras till en nyare konstruktion som heter Bulletproofs+ för ännu större effektivitetsfördelar.

En liknande process genomgicks med den länkbara ringsignaturbyggstenen. I det ursprungliga protokollet användes en konstruktion som heter MLSAG. Detta uppdaterades senare till en nyare konstruktion som heter CLSAG som är snabbare, resulterar i mindre transaktioner och har bättre säkerhetsanalys. En ännu nyare länkbar ringsignaturkonstruktion baserad på Triptyk föreslogs, men denna valdes inte för distribution på grund av dess inverkan på multisignaturoperationer.

Seraphis tar denna idé ett steg längre.
Istället för att uppdatera enskilda byggstenar i det befintliga transaktionsprotokollet RingCT, introduceras ett nytt protokoll som kan dra nytta av olika byggstenar och erbjuda förbättrad funktionalitet.

Seraphis använder en annan uppsättning kryptografiska byggstenar för att uppnå sina designmål.

• Åtaganden döljer fortfarande belopp
• Räckviddssäkringar förhindrar fortfarande översvämning och försörjningsuppblåsning
• Medlemskapsbevis ger undertecknarens tvetydighet
• Åtagandeförskjutningar hävdar fortfarande balans
• Auktoriserande korrektur förhindrar försök med dubbla utgifter

Lägg märke till ändringen här: länkbara ringsignaturer ersätts med en kombination av medlemskapsbevis och auktoriseringsbevis. Grovt sett visar medlemsbevis att en konsumerad utdata är en del av en större uppsättning, liknande vad som händer i RingCT. Men till skillnad från RingCT involverar medlemskapsbevis inte länktaggen alls! Auktoriseringsbevis visar att länktaggen är giltig och används för att underteckna den slutliga transaktionen.

Eftersom RingCT bakar in länktaggen i den tvetydiga signaturen, är signering (och multisignatur) operationer mer beräkningsintensiva, och det blir mer utmanande att bygga andra taggrelaterade funktioner. Men i Seraphis kan konstruktion av medlemsbevis på ett säkert sätt delegeras från mycket pålitliga enheter (som kan ha begränsad datorkraft, som en hårdvaruplånbok) till en mindre pålitlig enhet, och signering (och multisignatur) är mycket enklare med det mycket enklare auktoriseringsbeviset .

Lyckligtvis finns några av byggstenarna som krävs av Seraphis redan någon annanstans och behöver inte designas från grunden. Både Bulletproofs och Bulletproofs+ konstruktionerna kan användas som räckviddsbevis. Modifieringar av provningssystem av Schnorr-typ kan användas för att auktorisera bevis. Och ett effektivt provningssystem som redan används som bas för Triptych, Lelantus och Spark^* kan modifieras för medlemskapsbevis. X2127X]

^* Cypher Stack får finansiering för Spark-utveckling.

Tyvärr är de Monero-adresser som används för närvarande inte kompatibla med Seraphis. Användarna skulle behöva generera nya adresser från sina plånboksnycklar för att kunna ta emot Monero om Seraphis implementerades. Denna kostnad för ekosystemet kommer dock med en mängd fördelar.

Bortsett från de strukturella fördelar som diskuterats ovan, är Seraphis design mottaglig för många olika adresskonstruktionsmöjligheter, som var och en kommer med kompromisser. Även om den slutliga adresskonstruktionen som ska användas i Seraphis är beslutas fortfarande (ett schema som får mycket uppmärksamhet kallas JAMTIS), kan vi beskriva några vanliga och användbara funktioner.[X908X ]

Du kanske vet att Monero-adresser erbjuder vynyckel-funktion, där du kan tillhandahålla en vynyckel till en enhet eller tredje part och låta den titta efter inkommande utdata för din räkning, men utan att ge upp utgifterna auktoritet. Detta är användbart för plånböcker, som kan hålla sig uppdaterade samtidigt som du håller din utgiftsnyckel säkert inlåst. Det är också användbart för fall där du vill ha tillgång till extern vy, som en offentlig välgörenhetsorganisation som erbjuder transparens eller ett företag med en redovisningsavdelning.

Nackdelen med Monero-vynycklar är att de inte ger fullständig eller finkornig vyåtkomst. Det är inte möjligt att på ett tillförlitligt sätt upptäcka när en plånbok spenderar pengar, vilket gör det svårt att beräkna plånbokssaldon ordentligt när utgiftsnyckeln inte är tillgänglig. Det är för närvarande inte heller möjligt att upptäcka inkommande utdata utan att också lära sig värdet som finns i dessa utdata (vilket innebär att alla tredje parter som ansvarar för att hitta inkommande utdata kommer att lära sig exakt hur mycket Monero du skaffar).

Seraphis adresseringskonstruktioner kan lösa detta. Med Seraphis är din adress utrustad med olika nycklar som kan göra olika saker:

• Se upp för inkommande utgångar, men dölj deras värde
• Se upp för inkommande utgångar, men visa deras värde
• Se upp för utgående utgångar
• Hjälper dig att generera transaktioner, men inte signera dem
• Skapa nya adresser (användbart för återförsäljare eller utbyten med många kunder)

Som adressinnehavare får du bestämma hur mycket behörighet du delegerar till andra enheter eller tredje part.

Seraphis är en stor förändring av Monero-ekosystemet. Även om det innebär ändringar av adresser och transaktionsbyggstenar, erbjuder dess design flexibilitet och användbar funktionalitet som inte är möjliga med dagens RingCT-protokoll. Även om mycket av designen är färdigställd och utvecklas till en implementering, pågår adressdesign och säkerhetsanalys. Seraphis erbjuder ett utmärkt tillfälle att driva Monero-ekosystemet framåt!