Säkerhetsråd om "CoinShuffle" och "Darkwallet"

Bergstrom

Well-known Member
Foundation Member
Dec 12, 2014
69
62
158
35
Malmö
Det är välkänt att "Bitcoin"s anonymitet är enkel att bryta och många projekt har startat med en avsikt att skapa anonymitet till den digital valutan för att skydda konsumenter och företag.

"Darkcoin" är den första privatcentrerade digitala valutan, grundad 2014. "Darkcoin" använder sin anonymiseringsteknologi, vid namn "Darksend", för att hålla användares kapital säkra och för att hålla blockkedjan skyddad för vanligt användande utan att bli spårad någon gång i framtiden.

"CoinShuffle" och "DarkWallet" är nya teknologier som inriktar sig på att tillhandahålla anonymitet i "Bitcoin"s nätverk. "Coinshuffle" skapades av forskare från "Saarland University". Där ingår: Tim Ruffing, Pedro Moreno-Sanchez och Aniket Kate. Deras text hittas på: http://crypsys.mmci.uni-saarland.de/projects/CoinShuffle/coinshuffle.pdf

"Darkwallet" skapas 2013 av Amir Taaki och Cody Wilson men har sedan dess anammats av ett gäng öppen källkod-programmerare.

Problemet med "CoinShuffle" uppstår från behovet att returnera växel till deltagare. Växeln måste hanteras med största omsorg i situationer där anonymitet är viktigt. Växeln är mycket viktig eftersom den kan avslöja anonymiserade transaktioner om det hanteras felaktigt. Detta kan hända genom att titta på vad som görs med växeln efter att ha gjort anonymiserade transaktioner.

När man bygger en anonymiseringsteknologi måste man komma ihåg att blockkedjan kan spåras i båda riktningar. Dessa sårbarheter kommer från kännedomen att om du anonymiserar 1 BTC vid ett tillfälle, spenderar lite av det, sedan måste växeln hållas separat från alla identifierbara transaktioner. Annars kan du helt enkelt gå tillbaka genom transaktionerna från den identifierbara transaktionen. Till transaktionen som skulle vara anonym.

Från texten:

"Användningen av växeladresser stöds av "CoinShuffle": Deltagare kan tillkännage ytterligare växeladresser i fas 1. Om de inte har en adress med exakt mixningsbelopp. I fas 5 lägger alla användare till växeladresserna som utdata innan den signeras. "CoinShuffle" bibehåller fortfarande icke-kopplingen mellan indataadresserna och (de vanliga) utdataadresserna från de ärliga deltagarna."

Det finns två ihopkopplade problem med misskötseln av växeln. Mario Müller ("Darkcoin Talk"-användare, "Aswan") hittade problemet först, i "Darksend". Nu har detta lösts och är inte sårbart för dessa typer av attacker.

  1. CoinShuffles sårbarhet
    Framåtgående växelkopplingar:





    I detta exempel: Alice anonymiserar 1,2 BTC vilket går till två utdata, 1 BTC och 0,2 BTC. Hon spenderar därefter 0,7 BTC från 1 BTC-utdatan och får tillbaka växeln 0,3 BTC. Dessa 0,3 BTC går sedan till en identifierbar källa och bekräftar att Alice också spenderade 0,7 BTC i föregående transaktion.
För att identifiera sändaren av den anonyma transaktionen, starta på "Coinbase"-transaktionen och gå baklänges i blockkedjan tills du får: "Alice skickar 0,7 BTC anonymt". Som "Coinbase" vet du att det var din användare som precis köpte någonting anonymt, därmed bryter man anonymiteten helt.


2. Genom växelkoppling:




  1. I det andra exemplet: Alice köper 1,2 BTC från "Coinbase", anonymiserar sedan denna summa till 1 BTC. Därefter spenderar hon 1 BTC, får växeln tillbaka i summan 0,3 BTC och kombinerar detta med hennes tidigare 0,2 från tidigare växel.

    Genom att kombinera växeln med den anonyma transaktionen (0,3 BTC) och växeln hon får från "CoinShuffle"-transaktionen kan man koppla hela historiken, före och efter, anonymiteten bryts helt och hållet.

    Lösning:

  1. Alla problem som presenteras här kan lösas men kräver denominerade in- och utdata, exakt som "United States Dollar" vilken har denominationerna: $1, $5, $10 och $20. "Darksend använder: 0.1 DRK, 1 DRK, 10 DRK och100 DRK. När man mixar i nätverket kan användare endast skicka och motta dessa denominationer. Efteråt är transaktionerna skyddade genom att kombinera denominationerna för att betala lite högre än det nödvändiga beloppet.

    Till exempel, om en användare behöver betala 1,17 DRK anonymt behöver den använda 1 DRK + 0,1 DRK + 0,1 DRK. Detta resulterar i att en transaktion betalar ut 1,17 DRK precis till mottagaren och betalar en gruvbrytningsavgift på 0,03 DRK för att eliminera växelrelaterad spårning.

    3. "DarkWallets" sårbarhet : Unika identifierbara summor

    Denna mixare är konstruerad på ett sådant sätt att flera användare (eller overksamma mixarbottar) paras ihop med användare som vill skicka kapital i realtid. Det är enkelt att avanonymisera vilken transaktion som helst vilken används i "DarkWallet" på grund av transaktionens summa.



    Till exempel:

    I denna transaktion skickades 0,05 BTC genom mixaren. För att identifiera pengakällan behöver man bara addera värdena till höger tills de överensstämmer med värdena till vänster.

    0,05+0,0499 + 0,0001 (avgift) = 0,10 BTC.
    0,0499 + 0,05940182 + 0,0001 (avgift) = 0,10940182 BTC.

    Detta blir exponentiellt svårare då fler användare läggs till i mixaren. I vilket fall som helst kan dessa sessioner avanonymiseras retroaktivt när som helst i framtiden.

    Inblandade transaktioner:
    https://blockchain.info/tx/4eb3b2f9fe597d0aef6e43b58bbaa7b8fb727e645fa89f922952f3e57ee6d603
    https://blockchain.info/tx/1694122b34c8543d01ad422ce600d59f8d8fde495ac9ddd894edc7139aed7617

    Lösning:

    Det finns ingen känd lösning på detta problem.

    4. Sårbarhet i "CoinShuffle" och "DarkWallet": DOS-attack

    Både "CoinShuffle" och "Darkwallet" är känsliga för DOS-attacker där en ondsint användare helt sonika vägrar att signera den sista transaktionen eller loggar ut under en av de sista faserna. I och med att en signatur krävs för att framgångsrikt utföra den sista transaktionen kan denna process stoppas helt enkelt vägra att delta.

    "DarkWallet" och "CoinShuffle" har föreslagit några olika tillvägagångssätt för att lösa detta men alla dessa tillåter att inledande attacker utspelar sig på nätverket innan något kan göras för att skydda nätverket vidare.

    Lösning:

    "Darksend" använder en ny metod för att skydda nätverket från attacker, känd som en säkerhetstransaktion. När man öppnar en ny mixningssession måste användaren skapa en fullständig transaktion till "Masternoden" den vill mixa på. När processen börjar måste användaren fullgöra processen genom att svara på förfrågningar och genomföra mixningssessionen annars kommer säkerhetstransaktionen att lösas in. Detta kan liknas vid att lägga in en deposition på ett hyreskontrakt, efteråt får du pengarna enligt kontraktet.
 
Last edited by a moderator:
  • Like
Reactions: tungfa

Bergstrom

Well-known Member
Foundation Member
Dec 12, 2014
69
62
158
35
Malmö
Can´t get rid of the "1."s in two places. I do not see them in my word processor or in the preview here on Darkcointalk!
 

tungfa

Administrator
Dash Core Team
Moderator
Foundation Member
Masternode Owner/Operator
Apr 9, 2014
8,902
6,733
1,283
very cool
that you
please post in local outlets
tx