ブロックチェーン×プライバシーと暗号技術

Transcript

1. Copyright ©2018 chaintope, Inc. all rights reserved. e-ZUKA Tech Night

   Vol. 45 ブロックチェーン×プライバシーと暗号技術 2018/10/11 chaintope, Inc Shigeyuki Azuchi

2. Copyright ©2018 chaintope, Inc. all rights reserved. 自己紹介 • Shigeyuki

   Azuchi • 株式会社chaintope CTO • BitcoinプロトコルのRuby実装「bitcoinrb」 • Open Assets ProtocolのRuby実装 「openassets-ruby」 • 共著 「ブロックチェーン・プログラミング 仮想通貨入門」 • ブログ「Develop with pleasure!」 https://techmedia-think.hatenablog.com/

3. Copyright ©2018 chaintope, Inc. all rights reserved. プライバシーの課題 • どのアドレスからどのアドレスへ支払われた

   • どのアドレスにいくら支払われた • どんな契約が行われた

4. Copyright ©2018 chaintope, Inc. all rights reserved. 取引量の秘匿

5. Copyright ©2018 chaintope, Inc. all rights reserved. 取引されるBitcoinの量 量を秘匿するためにはこのデータを秘匿する必要がある 取引するBitcoinの量は、

   トランザクションの各アウトプットにロック スクリプトと一緒に明示的に記載される。 Version 4 bytes TxIn Count 1-9 bytes TxIn variable TxOut Count 1-9 bytes TxOut variable Locktime 4 bytes value 8 bytes ScriptPubkey length 1-9 bytes ScriptPubkey variable “value”: 50000

6. Copyright ©2018 chaintope, Inc. all rights reserved. Pedersen Commitment 1991年にPedersenによって提案された、離散対数を利用した

   秘密分散の仕組み https://www.cs.cornell.edu/courses/cs754/2001fa/129.PDF • シンプルなcommitment commitment = SHA-256(blinding_factor || data) • commitmentの加算 C(BF1, data1) + C（BF2, data2） == C（BF1 + BF2, data1 + data2） C(BF1, data1) − C（BF1, data1） == 0 data1〜3＝{1, 1, 2}、BF1〜BF3＝{5, 10, 15}の場合 C(BF1, data1) + C（BF2, data2） - C（BF3, data3） == 0 C(1 + 1, 5 + 10) − C(2, 15) == 0

7. Copyright ©2018 chaintope, Inc. all rights reserved. Confidential Transaction 楕円曲線を利用したPedersen

   commitmentを利用して、量を公開鍵として管理 • 楕円曲線暗号の秘密鍵(x)と公開鍵(Pub) Pub = xG （※Gは楕円曲線のベースグループ） • 楕円曲線の準同型の加法性 Pub1 + Pub2 = (x1 + x2)G • 楕円曲線を利用したcommitment commitment = xG + aH ※ xは秘密のblinding factor, a はコミットするコインの量 HはGとは異なるベースグループでGから計算する H ＝ to_point（SHA256（ENCODE（G））） ※楕円曲線上の点Hのx座標が（SHA256（ENCODE（G）））

8. Copyright ©2018 chaintope, Inc. all rights reserved. Bitcoin Transactionに適用 value

   8 bytes ScriptPubkey length 1-9 bytes ScriptPubkey variable “value”: 50000 commitment = xG + aH (32 bytes) “commitment”: “08e6cb1c2118fa492df6782f84d496882ced45b4e759d7cafd507cc2211d217cef” xはBlinding Factor aが送金するBitcoinの量 valueをintegerからcommitmentに変更する ※ commitment = 公開鍵（楕円曲線上の点） Blinding Factor(x)とaを知らない第三者は Tx内のコインの量が分からない

9. Copyright ©2018 chaintope, Inc. all rights reserved. 量の検証 秘密を知らないユーザーには送金される量は分からないが、そのトランザクション で送金されている量が正しい量かは誰もが検証できる必要がある。

   （インプットの量 − アウトプットの量 ＝ 手数料） インプットのcommitment − アウトプットのcommitment ＝ 0 になればいい。 （※但し、手数料は明示的に設定する必要がある。） 楕円曲線の点(x, y)の減算は、逆元を(x, -y)を加算する。 問題点 （1 + 1） − （-5 + 7） == 0 も成立し、もともとインプットは2BTCしかないが、7 BTCのアウトプットが 成立（＝通貨発行）してしまう。 ※ グループGは巡回群なのでオーバーフローさせることでマイナスのような振る舞いをする。 commitmentがマイナスの値でない（0〜2^64の範囲である）ことを証明する Range Proofを別途提供する必要がある。 （In1 + In2 + In3 + … ） - （Out1 + Out2 + Out3 + … + fee * H） == 0

10. Copyright ©2018 chaintope, Inc. all rights reserved. 取引先の秘匿

11. Copyright ©2018 chaintope, Inc. all rights reserved. ミキシング Version 4

    bytes TxIn Count 1-9 bytes TxIn variable TxOut Count 1-9 bytes TxOut variable Locktime 4 bytes 複数のユーザーの送金を１つのトランザクションにまとめる （ミックスする）ことで、トランザクショングラフを複雑にし、 送金先を分かりづらくする。 ※管理者が送金元と送金先を知ることができるのが、 プライバシーリスク

12. Copyright ©2018 chaintope, Inc. all rights reserved. TumbleBit ① Tumblerを利用した決済に合意

    ② ボブはTumberとの PCにコインをロック ③ アリスはTumberとの PCにコインをロック ④ ボブはTumberから パズルzを受け取る。 RSAパズルを解かないと キャッシュアウト不可能。 Z B(Z） B(Z） ⑤ アリスはTumberに B(Z)の回答B(ε)を求める。 B(ε) B(ε) ⑥ ボブはB(ε）を変換して真の回答 εを入 手。 ε Puzzle-Promise Protocol

13. Copyright ©2018 chaintope, Inc. all rights reserved. 取引内容の秘匿

14. Copyright ©2018 chaintope, Inc. all rights reserved. Cross-chain Atomic Swap

    HTLC(Hashed Time Lock Contract) シークレットとタイムロックを利用したAtomic Swapプロトコル アリスはLitecoin上でシークレットAを公開してLTCを入手し、 ボブは公開されたAを使ってBTCを入手する。 ※コインを入手する際にスクリプトは公開されブロックチェーンに記録されるため、 Atomic Swapを行ったことは誰もが知ることになる アリスはBitcoinを以下のアンロック条件のスクリプトに送る。 • H(A)のプリイメージ＝シークレットAが分かればボブは BTCを入手できる。 • 10日経過したらアリスはBTCを入手できる。 Secret A H(A) ボブはLTCを以下のアンロック条件のコントラクトに送る。 • H(A)のプリイメージ＝シークレットAが 分かればアリスはLTCを入手できる。 • 5日経過したらボブはLTCを入手できる。 BTC/LTCを交換

15. Copyright ©2018 chaintope, Inc. all rights reserved. Schnorr署名 公開鍵と署名の集約特性を持つデジタル署名方式 •

    楕円曲線のジェネレータ： G • 秘密鍵： x • 公開鍵： P = xG • ハッシュ関数： H() • メッセージ： m 【署名の生成】 1. ランダムなnonce k を選択 2. kを秘密鍵として楕円曲線上の点R = kGを計算 3. s = k + H(P, R, m)x を計算 4. （R, s）が署名データ 【署名の検証】 sG = R + H(P, R, m)P が成立するか検証 Bitcoinへの導入の提案もスタート https://github.com/sipa/bips/blob/bip-schnorr/bip-schnorr.mediawiki

16. Copyright ©2018 chaintope, Inc. all rights reserved. Adaptor Signature Atomic

    Swapで必要なハッシュのプリイメージの交換を 代替するのがAdaptor Signature • 通常のSchnorr署名 (R, s) ： s = k + H(P, R, m)x • Adaptor Signature (R, s’, T)： s’ = k + t + H(P, R, m)x ※いずれもRは同じ値 Adaptor Signature s’ と 署名 ｓ が揃うと t が計算できる s’ - s = t T = tG → tがプリイメージ、Tがハッシュの代替

17. Copyright ©2018 chaintope, Inc. all rights reserved. Adaptor Signatureを利用したAtomic Swap

    ③ アリスはランダムなシークレットt (T = tG)を生成し、マルチシグの 署名を作成するヒントが入ったAdapter Signatureを作ってボブに送る。 ※ 両方のチェーンでそれぞれのPとRを使って同様のことを行う。 　このとき同じ t を使用する。 s’ = k1 + t + H(P, R, m)x1 BTC/LTCを交換 （R, s', T） ②各チェーンで相手に送金する未署名のTxを作成 T = tG ④ ボブはマルチシグの署名データの一部をアリスに渡す sB = k2 + H(P, R, m)x2 ⑥ ボブはアリスの署名 s を使って t の値を知る。 t = s’ + sB - s t が分かるとマルチシグをアンロックするのに必要な アリス側の署名を計算できる。 ｓA = s’’ - t これでもう１方のチェーンのコインを入手する。 ⑤アリスはボブから受け取ったsBを使って、マルチシグの署名を完成させる。 s = s’ + sB - t = k1 + k2 + H(P, R, m)(x1 + x2) 　 署名（R, s）を完成させコインを入手するTxをブロードキャストする。 鍵ペア P1 = x1G nonce R1 = k1G 鍵ペア P2 = x2G nonce R2 = k2G マルチシグ公開鍵 P = P1 + P2 nonce R = R1 + R2 （※ P, R は各チェーンで異なる） ① P 宛にBTCをロック ① P’ 宛にLTCをロック Tx Tx’ sB Tx’ (R, s) t

18. Copyright ©2018 chaintope, Inc. all rights reserved. 最後に エンジニア向けオンライン・コミュニティ ブロックチェーンの技術要素について、初心者向け、

    最先端情報などを動画で配信していきます！