主页

微信大众号：暗码应用技能实战
博客园主页：https://www.cnblogs.com/informatics/
GIT地址：https://github.com/warm3snow

简介

在《门罗币隐私维护之隐形地址》文章中，咱们要点介绍了门罗币Monero的隐形地址技能，门罗币经过隐形地址保证了买卖的不行链接性，并完成了用户的隐私维护和监管需求。

本文将持续介绍门罗币的另一个核心技能——环签名技能，Monero经过环签名技能，完成了买卖的不行追寻性。

• 不行链接性（Unlinkability）：关于任何两笔outgoing买卖，无法证明它们是发送给同一个人的。即关于任何两个 outgoing 买卖，无法证明它们是由同一个人收款的。
• 不行追寻性（Untraceability）：关于每一笔incoming买卖，一切或许的发送者都是等概率的。这意味着，关于任何两个incoming买卖，无法证明它们是由同一个人发送的。

注：incoming和outgoing买卖别离表明用户的收款和开销买卖。

基础常识

术语界说

• \(\mathbb{Z}_l\)：有限域，\(l\)是一个大素数，如：\(l = 2^{252} + 27742317777372353535851937790883648493\)
• \(S\)：环签名的环，一组公钥的调集，\(S = {P_1, P_2, ..., P_n}\)，包括\(P_s\)
• \(P_i\)：公钥，在环签名中表明环中第\(i\)个公钥, 当\(i = s\)时，\(P_s\)是签名者的公钥
• \((x_s, P_s)\)：用户公私钥对, 公钥为\(P_s\), 私钥为\(x_s\)且$ x_s \in \mathbb{Z}_l$
• \(\sigma\)：环签名的签名成果
• \(m\)：待签名的音讯。在签名时，通常会先对音讯进行哈希处理。
• \(H_s\)：暗码学哈希函数, 将输入映射到\(\mathbb{Z}_l\)，如：\(H_s: \{0, 1\}^* \rightarrow \mathbb{Z}_l\)
• \(H_p\)：暗码学哈希函数, 将输入映射到椭圆曲线上的点，如：\(H_p: \{0, 1\}^* \rightarrow E(\mathbb{F}_q)\)
• \(I\)：密钥镜像，在门罗币中运用，用于避免双花进犯

环签名

环签名(Ring Signature)是一种数字签名计划，答应一组用户中的任何一个用户为某个音讯生成签名，而不需要泄漏详细是哪个用户生成的签名。环签名的首要特点是它供给了签名的匿名性和可验证性，保证签名者的身份在签名过程中坚持隐私。

环签名的基本概念

• 环：环签名的“环”指的是一组公钥，这些公钥代表了或许的签名者。签名者在生成签名时，会挑选一个环中的公钥作为自己的身份，但外部观察者无法确认详细是哪个公钥对应的用户。
• 签名：签名者运用自己的私钥和环中其他用户的公钥生成签名。这个签名能够被任何人验证，但无法确认签名者的身份。
• 验证：任何人都能够运用环来验证签名的有用性，保证签名确实是由环中的某个用户生成的。

环的巨细是环签名计划的一个重要参数，环越大，签名者的身份越难以确认，签名的匿名性越高。可是环的巨细也会影响签名的核算和验证功用，因而需要在匿名性和功用之间进行权衡。

环签名结构和验证流程

1. 初始化：签名者Bob挑选环S中的公钥，如{\({P_1, P_2, ..., P_i, ..., P_n}\)}，其间Bob本身的公钥\(P_s\)也在放入环S中
2. 生成签名：Bob根据环S中的公钥和自己的私钥\(x_s\)以及待签名音讯\(m\)，生成环签名\(\sigma\)
3. 验证签名：任何人都能够根据环S，音讯m对签名\(\sigma\)进行验证

环签名计划触及一个三元组\((KeyGen, Sign, Verify)\)，其间：

• \(KeyGen\)：密钥生成算法，签名者运用\(KeyGen\)生成公私钥对\((x_s, P_s)\)
• \(Sign(m, S, x_s)\)：签名算法，签名者运用\(Sign\)生成环签名\(\sigma\), 其间\(m\)是音讯，\(S\)是环，\(x_s\)是签名者的私钥
• \(Verify(m, S, \sigma)\)：验证算法，任何人都能够运用\(Verify\)验证签名的有用性。算法成果为布尔值，\(true\)表明签名有用，\(false\)表明签名无效。

门罗币之环签名

回忆在《门罗币隐私维护之隐形地址》介绍的买卖模型，Bob作为收款方，能够验证每一笔相关买卖的有用性。

进一步阐明：

• Bob作为收款人，在验证每笔买卖时，Bob只需对每个输出履行两次椭圆曲线乘法和一次加法（即生成\(P'\))，以查看该买卖是否归于他。
• 关于每个归于Bob的UTXO，Bob康复一个密钥对\((x, P)\)并将其存储在钱包中。
• 只要Bob能够生成地址\(P\)的私钥\(x\)，因而只要Bob能够花费这笔收入。

值得注意的是，\((x, P)\)是一次性密钥，当Bob花费这笔收入时，会运用该密钥参加环签名，之后能够丢掉。

门罗币环签名

门罗币运用环签名技能，完成了买卖的不行追寻性。门罗币的环签名计划根据CryptoNote协议。在CryptoNode协议中，环签名买卖模型如下：

• 参加环：Bob从门罗币揭露账本中随机挑选UTXO，以及自己待花费的UTXO，放入到新创建的UTXO中，作为买卖的Tx input, 一切UTXO的收款方地址{\({P_1, ..., P_s, ..., P_n}\)}构成环\(S\)
• 生成密钥镜像：Bob运用自己的签名私钥\(x_s\)和公钥\(P_s\), 生成密钥镜像\(I\)，区块链矿工在验证买卖时，会验证\(I\)是否现已被运用过，以避免双花进犯
• 生成签名：Bob运用环\(S\)和自己的私钥\(x_s\)，对买卖进行签名，生成环签名\(\sigma\)

门罗币环签名计划

门罗币环签名计划触及一个四元组\((KeyGen, Sign, Verify, Link)\)，其间：

• \(KeyGen, Sign, Verify\)与一般的环签名计划功用相似
• \(Link\)：区块链矿工经过\(Link\)算法验证对应的密钥镜像\(I\)是否现已被运用过，以避免双花进犯

密钥生成KeyGen

门罗币的KeyGen算法与一般的环签名计划相似，意图都是生成公私钥对\((x_s, P_s)\)，其间\(P_s\)是签名者的公钥，\(x_s\)是签名者的私钥。
不同的是：

• 门罗币的公私钥来自于隐形地址技能，即\(P_s = H_s(aR)G + B\), 对应的私钥\(x_s = H_s(aR) + b\)
• 门罗币的KeyGen算法还会生成密钥镜像\(I\)，与公私钥一一对应。其间, \(I = x_s \cdot H_p(P_s)\)

签名算法Sign

在门罗币中，因为签名公私钥对\((x_s, P_s)\)是由隐形地址技能生成的，而且仅用于一次性签名，因而门罗币环签名咱们也称为一次性环签名。

门罗币的Sign算法如下：

1. 初始化：

• 随机选取其他用户的公钥\(P_i\)，并兼并自己的公钥\(P_s\)，构成环\(S\), 如：\(\{ {P_1, P_s, ..., P_i, ..., P_n}\}\)
• 挑选两个随机数调集\(Q\)和\(W\)，如下
  • \(Q = \{q_i\}\) , \(i = 1, 2, ..., n \quad q_i \in \mathbb{Z}_l\)
  • \(W = \{w_i\}\) , \(i = 1, 2, ..., n \quad i \neq s \quad w_i \in \mathbb{Z}_l\)

1. 核算环签名
   环签名的签名算法，相似零常识许诺，包括：许诺-应战-呼应等几个过程

• 核算许诺，许诺由两个调集组成\(L\)和\(R\)，调集元素核算别离如下：