Мы (Джозеф Бонно, Эрвинд Нарайанан, Эндрю Миллер, Джереми Кларк, Джошуа Kroll) Представляет собой группа криптографов распространения через несколько университетов (в основном Принстон, также UMD и Конкордия), которые время проводят исследования на Bitcoin. Некоторые из наших прошлых и текущих проектов включают в себя Анонимность в Bitcoin, обсуждение «Bitcoin Сломанный» бумага (1, 2, 3), распределенные рынки прогнозирования, прошедшие проверку структуры данных, Bitcoin в качестве консенсусной игры, а также CommitCoin.

Мы недавно написал Бумага о смешивании Bitcoin которые будут появляться в финансовой криптографии 2014, и хотел представить его сообществу Bitcoin здесь в этой теме.


Наша широкая исследовательская цель состоит в том, чтобы проанализировать Bitcoin с оглядкой в ​​сторону улучшения, которые помогут cryptocurrencies получить больше принятие и признание. Мы считаем, что есть преимущества финансовой конфиденциальности и улучшение это было бы в интересах общества Bitcoin и общества в целом.

Наш метод был разработать протокол для услуг смесительных третьих лиц, а затем проанализировать его в экономической модели, включающей конкурирующие рациональные смеси и населенность пользователей. Опишем потенциал разработки стратегии, которую мы называем «Mixcoin» в Полная статья. Чтобы было ясно, мы не предлагаем в altcoin но и обеспечивает предложения для смешивания слоя, который может быть реализован немедленно, постепенно, и без каких-либо изменений в Bitcoin. В то время как мы не обеспечиваем полную систему запуска кода, существующие услуги смешивания может включать в себя наш дизайн, как разработка ниже.

Там это хорошо известный принцип в исследовании анонимности «Анонимность любит компанию». Это означает, что любая услуга Анонимности требует большого населения участвующих пользователей, в идеале с различными противниками, так что никто не может просто взять на себя все монеты, проходящие из службы смесительной является «испорченным» (замешано в участии в смеси). Поэтому очень важно, что смешивание достаточно автоматизирован, быстро, недорогой и безопасный, что большое количество пользователей желают участвовать. Наш экономический анализ о мире с несколькими независимыми смесями, которые конкурируют экономически, но и работают взаимно-совместимые службы. Наш анализ включает стимулы смесей; например, мы заинтересованы в понимании того, максимизации полезности смеси, вероятно, правильно вести себя и обеспечить достаточный объем услуг. В целом, заключение нашего анализа является то, что мир с конкурирующими некоммерческими смесями может поддерживать себя и обеспечить достаточную анонимность.

Функциональность мы должны были разработать для наших смесей для того, чтобы прийти к этому результату можно, таким образом, можно рассматривать как хорошие рекомендации для проектирования смесей. Мы надеемся, что исполнители проектов смеси (например, CoinJoin или DarkWallet), будет проинформирован нашей системы анализа и оценки, и может извлечь выгоду из наших конкретных предложений дизайна. Мы бы высоко ценим обратную связь от сообщества на наши предложения, и мы будем рады обсудить наши идеи и перспективы получили от наших исследований.


Мы сделали следующие конкретные предложения для смесей:

- Во-первых, пользователи хотят использовать несколько смесей и смесей должны сделать это легко. В первую очередь, они должны иметь стандартные интерфейсы для инициирования запуска протокола смешивания. Некоторые из наших других предложений зависит в определенной степени от пользователей, находящихся в состоянии автоматизировать их взаимодействие со смесями.

- Во-вторых, все смесительные операции должны появляться неразличимы в blockchain. В противном случае, злоумышленник может попытаться отдельно deanonymize различных подмножеств пользователей, которые смешиваются в различимо разных способах. Это означает, прежде всего, что все смесительные операции должны быть одного и того же значения (Который мы называем «размер блока»), так же, как Tor пакеты имеют постоянный размер.

- В-третья, автоматизация стороны клиента необходима для достижения значимой анонимности. Это не только потому, что средства должны быть смешаны должно быть разделено на большое количество кусков, но и потому, что смешивание открывает слишком много побочных каналов. Наш протокол имеет логику встроенные в нее, что минимизирует эти боковые каналы. В частности, участие в раундах перемешивания должно происходить периодически, с интервалами, выбранных случайным образом из (экспоненциальных) распределений без памяти. Такое распределение должно быть в основном стандартизованы среди программных реализаций клиента.

Тем не менее, существуют пределы того, насколько хорошо вы можете скрыть боковые каналы в смесительной системы на основе анонимности. Потоки на высоком уровне еще можно идентифицировать. Например, если Алиса получает 43.12312 BTC в неделю в качестве заработной платы / дохода и всегда передает эти платежи Бобу, мы подозреваем, что эта модель может быть в лучшем случае запутываются, не стирается. Есть еще некоторые открытые вопросы количественной оценки боковых каналов.

Эти параметры должны быть оставлены свободными, чтобы измениться в будущем, но по умолчанию имеют важное значение. Если большинство пользователей используют один из небольшого числа реализаций клиента, то мы ожидаем, что они будут сходиться на постоянных параметрах, включая постоянный размер куска.

- В-четвертых, смешивание платы не должно быть все или ничего, то есть для каждой порции денег смесь должна либо сохранить все это или нет. Это может показаться странным, но это значительно повышает анонимность против умного анализа blockchain. Если каждый раз, когда пользователь смешивает кусок смеси принимает постоянное 2% сокращение (или рандомизированное 1-3% сокращение) в виде платы, то кусок проходя через множество смесей в строке будет иметь свое уменьшение значения в отслеживаемом образом. Мы можем избежать этого все или ничего платы.

Есть два последствия этого. Во-первых, куски должны быть достаточно малы (скажем 0,01 BTC по текущему обменному курсу), что большинство пользователей микса будет принимать дисперсию, связанную со случайными операционные издержки. Во-вторых, это будет означать, что смешивать реалистичные объемы, пользователи обязательно должны автоматизировать их взаимодействие со смесями.

Как пользователи (или их клиентское программное обеспечение) будет проверять, что смеси, которые не принимают больше, чем их вырезать? В статье мы приводим криптографически безопасный способ сделать это. Но это не является строго необходимым - так как эти куски довольно малы, и большинство пользователей будут иметь значительное количество кусков, которые они будут перемещаться по каждой смеси, клиенты могут статистически проверить, если смесь отклоняется от он опубликовал политику платы за транзакцию.

- Наконец, с криптографической точки зрения, Основное нововведение в нашей работе является механизмом «гарантии», что позволяет пользователям доказуемо подвергать махинации смесь. Это то, что позволяет нам доказать, в определенной экономической модели, что рациональные смеси предпочтут остаться в бизнесе, а не дефект со средствами пользователей. На практике это правдоподобно, что если смесь включать другие наши предложения и увидеть много объема в результате, а затем сообщает члены сообщества в обмане против честных смесей должна быть достаточно, чтобы выступать в качестве механизма репутации. Тем не менее, следует рассмотреть вопрос о гарантии механизм, который мы предлагаем в качестве дополнительной гарантии обслуживания.


Сравнения CoinJoin и Zerocoin
Существующие предложения по монеты смешивания попадают в 3-х основных моделей: смешивание с использованием третьей стороны (например, Mixcoin), перемешивание организованы через равный-равному взаимодействий (например, CoinJoin), а также интеграции протокола уровня анонимности, где анонимную обрабатывается шахтеры (например, Zerocoin).

CoinJoin это метод равный-равному смешиванию, что требует, чтобы пользователи координат через какой-то механизм сближения. Реализации на сегодняшний день доверили сват третьей стороны для выполнения этой роли. Хотя CoinJoin имеет то преимущество, что не существует и не риск потери монет, он восприимчив к отказу в обслуживании, поскольку стороны могут уйти после второго взаимодействия, необходимого для сделки, чтобы закончить. Как и смеси, анонимность может быть поставлена ​​под угрозой, даже если используются ослепленные жетоны (как это было предложено gmaxwell), путем сопоставления до реальных пользователей с носком-марионетками. Короче говоря, как третья сторона и равный-сверстников смешивания, кажется, предлагают возможности, что другой не делает.

Zerocoin (В том числе улучшенный вариант, Zerocash) требует существенных изменений в существующий протокол, и поэтому кажется маловероятным, чтобы поймать, если она не будет введена в качестве altcoin (как его авторы недавно предложили сделать). Zerocoin также опирается на неявную доверенную третьей стороне для этапа установки - партии, которая узнает лазейку, созданную на этапе установки может молча подделать монеты и увеличить денежную массу.

Тем не менее, большая часть нашего анализа не зависит от точности, как достигается анонимность, и относится к CoinJoin и Zerocoin, а также. В качестве одного примера, если услуга сваха для Coinjoin была взимать плату за услуги, наш анализ показывает способ сделать это без гонорара суммы компрометирующей анонимности; другой побеждает временный побочные каналы путем отбора проб из-распределений без памяти, чтобы решить, когда для участия в смеси. В статье идет в подробности по этому и другим вопросам. Мы не считаем Mixcoin быть последним словом, и некоторая комбинация этих методов может привести к лучшей конструкции.


Т.Л., д-р: Мы написали бумага о Bitcoin смесей, в котором мы предложили методы, чтобы сохранить миксы подотчетными и взаимно совместимыми, и утверждали, что они экономически жизнеспособными.