Приватность биткоина

[igluv]

Огромная работа, замечательная статья. Спасибо автору!
Небольшое замечание по стилистике:
думаю, что надо заменить такие названия, как "Плохой пример приватности" на более логичный и грамотный "Пример плохой приватности".
Смысл в том, что вы приводите НЕ ПЛОХОЙ ПРИМЕР, а как раз ХОРОШИЙ ПРИМЕР, но пример именно ПЛОХОЙ ПРИВАТНОСТИ.

[Rostmeister]

Тоже согласен, приватность биткоина в его формах принадлежит их владельцам и только им и так и должно быть, ведь это свободный рынок между всеми его участниками. Со всех сторон могут кто- угодно вплоть до криминала с клешнями налететь

[satscraper]

Ну пока с приватностью у биткоина прямо скажем не очень. Как ни старайся, а практически всё у всех на виду.

Ситуация должна улучшиться с массовым внедрением кошельками технологии Silent Payment (SP) ^{BIP 352}.

В настоящее время ^{насколько мне известно} только один кошелёк полностью поддерживает эту технологию и это Silentium кошелёк, который в состоянии как генерировать SP адрес, например такой:



так и отправлять на SP адрес.

Часть кошельков  подтягиваются под стандарты Silent Payment, но пока в состоянии только отправлять на SP адрес. Генерировать не могут.

[jokers10]

Ну пока с приватностью у биткоина прямо скажем не очень. Как ни старайся, а практически всё у всех на виду.

Ситуация должна улучшиться с массовым внедрением кошельками технологии Silent Payment (SP) ^{BIP 352}.

Хм... я не очень понял, в чём фишка этого типа адресов, каким образом получаются публичные адреса, доступные в эксплорере: т.е. SP-адрес каким-то образом заодно генерирует приватники в неограниченных объёмах, и тогда тот вопрос о более сложных вычислениях на домашней ноде действительно стоит более остро, чтобы всё множество возможных публичных ключей регулярно мониторить? Или SP-адрес маскирует перечень публичных ключей от одной и той же сид-фразы? Тогда можно пылевой атакой пробить все адреса, которые SP-адрес сформирует, и приватность будет только от тех, кто не хочет целенаправленно пробить все адреса.

[satscraper]

Хм... я не очень понял, в чём фишка этого типа адресов, каким образом получаются публичные адреса, доступные в эксплорере: т.е. SP-адрес каким-то образом заодно генерирует приватники в неограниченных объёмах,

Если вы имеете ввиду стандартный эксплорер, который парсит блокчейн, то ему ничего не доступно, так как в блокчейне для него информации не существует.

Получатель из SP адреса отправителя сам вычисляет две необходимых ему части, каждая из которых длиною в 32 байта. Первые 32 байта это публичный ключ сканирования  и вторые 32 байта это публичный ключ траты.

Соответствующие приватные части находятся у отправителя.

Вот спефицикацияSP адреса:

Получатель зная SP-адрес отправителя генерирует одноразовый публичный ключ и в эксплорере виден  только одноразовый taproot адрес, на которые отправлены монеты Это адрес не содержащит никакой информации о SP адресе.

Нода получателя, которой известен приватный ключ сканирования, понимает что это данное UTXO отправлено ей.

Если отправитель отправляет второй раз на тот же SP адрес  он вычисляет новый одноразовый taproot адрес

Магия Diffie–Hellman.

Тогда можно пылевой атакой пробить все адреса, которые SP-адрес сформирует, и приватность будет только от тех, кто не хочет целенаправленно пробить все адреса.

Пылевой атакой атакующий может только засорить блокчейн, но ваша нода эту пыль отбросит. Сработает магия Diffie–Hellman.

[jokers10]

Получатель зная SP-адрес отправителя генерирует одноразовый публичный ключ и в эксплорере виден  только одноразовый taproot адрес, на которые отправлены монеты Это адрес не содержащит никакой информации о SP адресе.

Это я понял, меня интересует принцип формирования того одноразового адреса. Потому что выглядит как автоматическая перебиралка адресов, которые доступны для сид-фразы: там тоже целый ворох открытых адресов для получения, которые все оперируются фактически одним и тем же реальным адресом. В итоге, там просто нужно, во-первых, каждый раз вручную давать новые адреса, а во-вторых, помнить, что при отправке скопом с разных открытых адресов становится понятно, что все они относятся к одному реальному адресу.

Потому что либо SP-адрес по какому-то принципу оперирует ограниченным пулом адресов, и тогда пылевая атака сработает, просто достаточно массовой рассылкой, либо невозможно обработать неограниченно большое количество адресов, получаемых достаточно случайным образом.

[satscraper]

Получатель зная SP-адрес отправителя генерирует одноразовый публичный ключ и в эксплорере виден  только одноразовый taproot адрес, на которые отправлены монеты Это адрес не содержащит никакой информации о SP адресе.

Это я понял, меня интересует принцип формирования того одноразового адреса. Потому что выглядит как автоматическая перебиралка адресов, которые доступны для сид-фразы:

Нет никакой перебиралки.

 Уникальность достигается тем что отправитель для вычисления этого одноразового адреса использует публичный ключ того UTXO, который он использует в транзакции. Так как в следующей транзакции будет использован другой UTXO то и адрес выйдет другой.

Вот полная схема генерации. ^{(Думаю переведёте если нужно сами)}

[amaclin1]

Нет никакой перебиралки.

Да почему ж нет?
Написано же русским по белому: "когда Боб хочет проверить не прислали ли ему бабло, он смотрит на блокчейн и проверяет транзакции потенциально подходящие под критерии"

По крайней мере я так понял.
Всунуть что-то в 32-байтный тапрут адрес иначе? Не могу понять как.
Да и толку в этом не вижу. Кому этот Неуловимый Джо сдался?

[satscraper]

Нет никакой перебиралки.

Да почему ж нет?
Написано же русским по белому: "когда Боб хочет проверить не прислали ли ему бабло, он смотрит на блокчейн и проверяет транзакции потенциально подходящие под критерии"

Вы немножко не на той волне.

Боб да перебирает, чтобы найти предназначенную ему транзакцию, но вопрос от jokers10 был о том как генерируется одноразовый тапрут адрес, предназначенный Бобу, и генерирует его не Боб (который сканирует), а Алиса.

Всунуть что-то в 32-байтный тапрут адрес иначе? Не могу понять как.

Там ничего не всунуто. Боб нужное вычисляет сам.

но вычислить может только после того, как предназначенная ему транзакция появится в блокчейне, предварительно не может.

Кому этот Неуловимый Джо сдался?

Параноиков, косящих под Неуловимого Джо, тьма.

[jokers10]

Вот полная схема генерации. ^{(Думаю переведёте если нужно сами)}

Т.е. создаётся схема, в которой эти taproot-адреса являются просто масками, которые на самом деле ни к чему не привязаны больше вообще, а по сути ещё одна разновидность адреса транзакции и сохраняются только для сохранения связности с предыдущими версиями блокчейна? Ну, замысловатая схема, но да, становится немного понятнее, хотя вопрос объединённых транзакций с нескольких даже таких виртуальных адресов остаётся, но это уже каждый пользователь сам должен думать о том, как правильно всё отправлять и объединять.

[amaclin1]

Там ничего не всунуто. Боб нужное вычисляет сам.

Кажется, мы говорим об одном и том же разными словами.
Если я правильно понимаю (а я еще очень далек от того, чтобы понять правильно), Боб должен сканировать все транзакции в блокчейне и каждый выход проверять. В принципе, так оно было и с самого начала устроено -- мы уже 15 лет проверяем -- не является ли 20-байтное значение p2pkh-выхода хэщем нашего публичного ключа? Раньше это можно было вычислить единожды, а потом сравнить memcmp. Теперь чуть посложнее.

Алиса отправит Бобу десять транзакций по 0.1 BTC на разные биткойн-адреса и у Боба после этого появляется возможность 1.0 BTC отправить на биржу для обмена на наличку или другую крипту. И биржа будет знать что Пупкин Иван Иванович (Боб) занимается криптой. И сообщит об этом в органы. Потом Бобу придется доказывать что он получил крипту в обмен на проданные картинки с горными пейзажами, а не за детскую порнографию. В чем профит, Карл?

[satscraper]

Там ничего не всунуто. Боб нужное вычисляет сам.

Кажется, мы говорим об одном и том же разными словами.
Если я правильно понимаю (а я еще очень далек от того, чтобы понять правильно), Боб должен сканировать все транзакции в блокчейне и каждый выход проверять. В принципе, так оно было и с самого начала устроено -- мы уже 15 лет проверяем -- не является ли 20-байтное значение p2pkh-выхода хэщем нашего публичного ключа? Раньше это можно было вычислить единожды, а потом сравнить memcmp. Теперь чуть посложнее.

Да правильно. Просто раньше была существовала большая вероятность того, что адреса Боба могли быть индентифицированы как таковые, что принадлежат именно Бобу.

В случае SilentPayment связь с его адресами (если она существовала, например в случае засвеченного публичного мастер ключа) по сути разрывается. И ситуация не так однозначна.

Алиса отправит Бобу десять транзакций по 0.1 BTC на разные биткойн-адреса и у Боба после этого появляется возможность 1.0 BTC отправить на биржу для обмена на наличку или другую крипту. И биржа будет знать что Пупкин Иван Иванович (Боб) занимается криптой. И сообщит об этом в органы. Потом Бобу придется доказывать что он получил крипту в обмен на проданные картинки с горными пейзажами, а не за детскую порнографию. В чем профит, Карл?

Ну если боб на бирже прошёл КИС. то да. Но если Боб не дурак, то накой ему биржа. Сейчас масса вариантов обналичивать без биржи. По крайней мер я так делаю.