Mimblewimble协议的隐私并没有“根本上的缺陷”,如果我们事先得到通知,我们就不会有这么多的垃圾。
11月18日,区块链投资基金Dragonfly Capital的研究员Ivan Bogatyy写道,Mimblewimble协议的隐私从根本上是有缺陷的。只要你每周为AWS支付60美元,你就可以实时找到96%的Grin交易和接受者的确切地址。Ivan Bogatyy说,这个问题是Mimblewimble固有的,他认为没有办法解决它,这意味着在隐私方面,Mimblewimble不应该再被视为Zcash或Monero的可行替代品。本文展示了一种对Mimblewimble协议进行攻击的准确方法,在Grin的实际测试中,发现贸易流信息的成功率为96%。
此后不久,丹尼尔•Lehnberg笑容项目的核心开发人员之一,Mimblewimble关键的实现,与别人一起写了反驳,指出Mimblewimble协议的隐私并不是“根本性的缺陷”,伊凡Bogatyy袭击Mimblewimble /笑容是已知的限制的误解。
Grin开发人员的完整回答如下:
编者注:Mimblewimble协议的隐私并没有“根本上的缺陷”。前面在Mimblewimble/Grin中描述的“攻击”是对已知限制的误解。虽然这篇文章提供了一些关于网络分析的有趣的数据,但结果实际上并不构成攻击,也不支持这篇文章耸人听闻的说法。
今天,蜻蜓资本的研究员Ivan Bogatyy发表了一篇题为“打破Mimblewimble的隐私模型”的文章,声称他们以某种方式“打破”了Mimblewimble和Grin的隐私模型。
作者声称,攻击是有案可查的,并讨论了贸易图的输入-输出连接。这对于Grin团队中的任何人或任何研究Mimblewimble协议的人来说都是熟悉的。Grin在其2018年11月发布的《隐私入门》中承认了将输出链接到链上的能力。这个问题包括Ian Mier的“手电筒攻击”,我们当时将其列为开放研究问题之一。
事实上,许多说法,包括这篇文章的标题,金银行情都是不准确的。从更高的角度来看,这篇文章读起来并没有那么含蓄,似乎是为了引人注目。然而,这篇论文的结论包含许多逻辑跳跃,这些逻辑跳跃尚未被描述的网络分析练习所证实。
格林的团队早就承认格林的隐私远非完美。作为我们不断发展的隐私目标的一部分,交易可链接性是我们一直希望减轻的一个限制,但它不会“打破”Mimblewimble或导致Grin隐私保护失败的“根本缺陷”。
除了逐一批驳这篇文章外,我们还指出了本研究的主要问题及其结论。
Mimblewimble没有地址
Mimblewimble的基本隐私优势在于,这项研究和相关文章都存在一个基本问题:Mimblewimble没有地址,比如某个比特币钱包的链接。参与者通过向事务中添加一次性的输出来实现价值交换,这种输出不会在任何时候出现在区块链网络或区块链数据的可识别“地址”中。
无法链接到不存在的地址
这篇论文中的研究人员似乎对这一点采取了一种前后矛盾的方法。本文附带的github库声明:
“没有地址,只有隐藏的UTXO作为Pedersen comitment。”
然后,画出以下方案:
“例如,如果我是一名执法人员,我知道一个属于暗网市场供应商的地址。当你把Grin硬币送到Coinbase交易所时,Coinbase会把你的地址和你的名字联系起来。”
这篇文章继续写道:
或者一个专制政府知道一个地址属于一个持不同政见者。你给持不同政见者捐了一点钱。”
目前还不清楚执法人员是如何知道一个不存在的地址的,也不清楚Coinbase是如何将一个不存在的地址与所有者的名字联系起来的。或者,就此而言,一个霸权政府如何能够将一个不存在的地址与一个持不同政见者联系起来。
我们必须假设作者只是将事务输出(TXO)与地址混淆了,但这两者不是一回事。而且,正如我们已经详细解释过的,能够链接到TXO并不是什么新闻。
3) 95.5%接近100%。但这没有多大意义
文章中关于这个实际实验的详细信息叫做攻击。所谓的“嗅探节点”从节点收集广播协议,作为蒲公英协议的茎和绒毛阶段的一部分。作者在一段特定的时间内收集了网络上95.5%的交易。除了能够知道“输出A花费在输出B上”,还不清楚这里究竟确定了什么,或者作者还可以利用这些信息完成什么。
单是贸易图表并没有显示有关交易对手的信息……
虽然在交易过程中最好避免泄露交易图,99金银但仅凭交易图并不一定能显示发送方和接收方的输出。如果没有数量,就很难区分更改后的输出和接收端输出。即使这篇文章没有尝试这样做,它将是一个有趣的领域,为未来的研究。
5)…作者似乎没有意识到这一点
本文提供的Github库如下:
“我们发现的是一张交易图表:一份谁付钱给谁的记录。”
但事实并非如此。
让我们举一个具体的例子。Alice已经与Bob建立了交易(可能通过TOR、grinbox或直接文件交换)。然后,她通过一个托管节点(如使用wallet713)将事务广播到网络。
在本例中,监视网络的“嗅探器节点”将不会找到关于Alice的任何信息,当然也不会找到谁付钱给谁的记录。“手电筒攻击”是指交易对手参与交易构建过程的主动攻击。那篇文章中的网络分析活动是被动的,这是不正确的。
6. 这篇文章的标题有误导性,没有什么是“坏的”
这篇文章的标题是“打破Mimblewimble的隐私模型”。Mimblewimble的隐私模型不包括阻止被监控节点的链接导出事务的问题。
结论
您获得的隐私将永远不会超过匿名集的大小
Grin是一种最小的加密货币,旨在保护隐私,扩大和公平。它远非完美,但它实现了与比特币相同的安全模型,默认情况下提供了更好的隐私保护,保留的数据更少。它在没有可信设置、ICO或预挖掘的情况下完成所有这些工作。
但是格林还很年轻,还没有完全发挥出他的潜力。主网络启动11个月后,网络使用率仍然很低。在最后的1000个块中,22%只包含一个事务(30%不包含),这意味着它们的输入和输出是可链接的。在网络使用率提高之前,这种情况不会改变,但这并不意味着发送方和接收方的身份会受到影响。
团队合作有助于隐私研究
作为Grin的贡献者,我们很高兴看到对这个项目的兴趣。我们的社区欢迎对Grin的协议和代码库进行科学分析和审查,但也需要一些严格性。事实上,如果我们被要求,我们甚至可以帮助。
Dragonfly Capital的研究人员发表了一篇论文,请Haseeb、Oleg、Elena、Mohammed和Nader回顾他们的工作,但不幸的是,他们没有请Grin社区的任何人参与或提供(友好的)反馈关于他们将要发布的内容。如果他们这样做了,我们这次可能就不会做出回应,而这只会提高工作的质量。在一条推文中,这篇文章的作者写道:
“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题时提供了极大的帮助。”
听起来他们发表文章的时候联系过我们,但是我们在Gitter频道或Keybase上没有看到任何关于作者的信息。双方都错过了进行高质量研究的机会。
合著者:大卫·伯基特,贾斯珀,@joltz,昆汀·勒·塞勒,Yeastplume。
更新:
同样使用Mimblewimble隐私技术的莱特币(litecoin)的创始人李启伟(Lee qi-wei)在twitter上回应称,
MimbleWimble协议的这种限制是众所周知的。MW基本上是一种隐性交易,具有可扩展性和一定的不可链接性。为了更好的保护隐私,用户仍然可以在广播前使用CoinJoin (CJ), CJ和MW由于CT(机密事务)和聚合而工作良好。与BTC/LTC相比,微波上的CJ更易于使用。
1. MW有CT,所以所有的量都是隐藏的,所以不需要确定均匀的输出尺寸;
2. 在没有签署最终CJ事务的情况下在MW中使用聚合。因此,不能通过不签名来拒绝服务。
到目前为止,Ivan Bogatyy已经发布了一个更正,称Mimblewimble协议的隐私不是一个根本性的缺陷。