김승주교수 디지털화폐 익명성 기술 설명

고려대학교정보보호대학원
마스터 제목 스타일 편집
1
Dark Coins

보안공학연구실
김승주 교수 (skim71@korea.ac.kr)
미래융합기술관 610호
저 서
Security Assessment aNd Engineering Lab
www.KimLab.net / www.HackProof.systems
주요 경력 :
1990.3~1999.2) 성균관대학교 공학 학사·석사·박사
1998.12~2004.2) KISA 암호기술팀장 및 CC평가1팀장
2004.3~2011.2) 성균관대학교 정보통신공학부 부교수
2011.3~현재) 고려대학교 사이버국방학과∙정보보호대학원 정교수
(사)HARU & SECUINSIDE 설립자 및 이사
2017.4~현재) 국방RMF연구센터(AR2C) 센터장
2018.5~현재) 고신뢰보안운영체제연구센터(CHAOS) 센터장
前) 육군사관학교 초빙교수
前) 개인정보분쟁조정위원회 위원
前) 대통령직속 4차산업혁명위원회 위원
現) 합동참모본부 정책자문위원
現) 국방부 CIO 자문위원
現) Black Hat Asia Review Board
- SCI(E) 논문: 76편, 인용횟수: 4800+ (구글 기준)
- '07, '18: 국가정보원장 및 행정안전부 장관 표창
- '12, '16: 고려대학교 석탑강의상 (상위 5%)
- '19: 국가공무원인재개발원 베스트강사 명에의전당 헌정 (상위 0.3% = 3명/800여명)
- ACSAC (1편), AsiaCrypt (1편), BlackHat (6편), CT-RSA (3편), DEFCON (4편), ICCC (8편), Virus Bulletin (2편)
- KBS '명견만리', '장영실쇼', '쌤과 함께', EBS '과학다큐 비욘드', JTBC '차이나는 클라스' 및 tvN '미래수업' 등 다수 출연
주요 R&D 성과
2
Google에 DRM 특허 매각 (2020년)

3

Warrant-Proof Encryption, ‘Telegram’
4

Warrant-Proof Encryption, ‘Wickr’
5

6

7

8
(출처: 보안 기술의 양면성 - 첩보 기술이 프라이버시 보호 기술로, 그것이 다시 범죄 도구로 사용되는 아이러니
https://blog.naver.com/amhoin/221888098640)
분산형 익명 인터넷 통신 시스템 – TOR

9
(출처: 보안 기술의 양면성 - 첩보 기술이 프라이버시 보호 기술로, 그것이 다시 범죄 도구로 사용되는 아이러니
https://blog.naver.com/amhoin/221888098640)
분산형 익명 인터넷 통신 시스템 – TOR

 “Recent studies have demonstrated that
about 40% of Bitcoin users are able to
be identified through these public
transaction logs. This is due, in part, to
Bitcoin’s increased reliance on a few
large accounts.”
(Preston Miller, "Virtual Currencies and their Relevance to
Digital Forensics“, Apr 9, 2017)
10
비트코인의 익명성

Anonymity = Pseudonymity + Unlinkability
[참고] 익명성(Anonymity)?
11

 Pseudonymity of Bitcoin Transactions
12

 Unlinkability of Bitcoin Transactions
If Alice conducts two bitcoin transactions
using different bitcoin addresses
("pseudonyms"), how hard is it for those
transactions to be linked?
13

14

15
암호화폐 세탁 서비스, Tumbler

 비트코인이 갖는 보안성에 사생활 보호
전송(Private Send) 기능을 제공하여 더 나은
익명성을 보장하고자 등장함.
 초기에는 엑스코인(Xcoin), 다크코인(DarkCoin)
등으로 명명하였으나, 이미지 제고를 위해
대시(Dash)로 변경함.
 비트코인의 트랜잭션이 송금자와 수신자의
개인정보가 모두 공개되어 익명성이
부족하고 전송속도가 느리다는 점을
보완하기 위해,
 거래시 마스터노드가 3개 이상의 거래 내역을
섞어서 송금하는 코인조인(coinjoin) 방식을
사용함으로써 추적을 어렵게 함.
대쉬(Dash) (2014)
16

(√: zk-STARKs)
[1] Bitcoin Beginner, “Privacy Coin Comparison”, December 30, 2017
[2] Felix Küster, "Privacy Coins Guide: Comparison of Anonymous Cryptocurrencies", Aug 23, 2017
모네로(Monero) (2014)
17

18
모네로(Monero) (2014)

19

Bitcoin
Input (UTXO)
Signature (using the
secp256k1 curve)
Transactions
All inputs clearly linked to
previous tx
Monero
TXO TXO TXO TXO TXO
Single Input
Ring signature
(Schnorr, using the
Ed25519 curve)
Transactions
Inputs linked to more than
one previous tx
모네로와 Ring 전자서명 (2001)
20

모네로와 Ring 전자서명 (2001)
21

 A group member can generate signature
without revealing his identity.
 If dispute occurs, TTP can identify member,
etc.
[참고] Group Signature (1991)
22

 Ring signatures are similar to group
signatures but differ in two key ways :
 first, there is no way to revoke the
anonymity of an individual signature, and
 second, any group of users can be used as a
group without additional setup.
[참고] Ring Signature (2001)
23

모네로와 Stealth Address
24

모네로와 Stealth Address
25

모네로와 RingCT
26

(√: zk-STARKs)
[1] Bitcoin Beginner, “Privacy Coin Comparison”, December 30, 2017
[2] Felix Küster, "Privacy Coins Guide: Comparison of Anonymous Cryptocurrencies", Aug 23, 2017
Zcash (2016)
27

 2013년 존스 홉킨스 대학의 연구
프로젝트로 제로코인(Zerocoin)이 개발된
후, 개선을 통해 제로캐시(Zerocash)로
발전하였고, 창업주인 주코 윌콕스(Zooko
Wilcox)에 의해 2016년에
지캐시(Zcash)가 탄생함.
 암호학 관련 스타트업 경험이 풍부한 주코
윌콕스와 암호학의 대가인 데이비드
차움(David Chaum)이 공동으로 개발하였으며,
JP모건과의 파트너십으로 큰 관심을 받았음.
28
Zcash (2016)

 비트코인의 불완전한 익명성을 보완하고,
대시와 모네로의 단점으로 지적되던
투명성을 확보하고자 개발.
 대시(Dash)의 마스터 믹싱과
모네로(Monero)의 링서명은 거래주체를
특정할 수 없게 하지만, 거래의 투명성도
보장할 수 없다는 한계를 가짐.
 영지식증명을 구현한 프로토콜을 사용하여,
익명성과 투명성을 동시에 확보.
29
Zcash (2016)

30
Zcash (2016)

31
Zcash in Detail
 In the Bitcoin protocol, a user that wants to spend money
must have the necessary UTXO. In Zcash, however,
transaction outputs are called commitments, and to spend
a commitment, the spender must publish a nullifier using
his spending key.
 [Input Values or Note]
 Commitment = HASH(recipient address, amount, secret
unique number ("rho") corresponding to the specific note,
random value)
 [Spend a Note]
 Nullifier = HASH(spending key, rho)
 The resulting hash should not match an existing nullifier, to
prevent double spending, or spending a note that was already spent.

32
 But, even if the spender shows through the nullifier
(with rho), s/he still has not shown that the note
itself exists and is not fraudulently created by the
spender.
 To accomplish this without revealing the detailed
addresses and spent amounts, the sender (or
prover in the zk-SNARK) of the private, shielded
transaction also provides a zero-knowledge proof,
or a string 𝜋𝜋, using a proving key, that the following
statements are true :
 The commitments and nullifiers were correctly
computed.
 The sum of input values and the sum of output values of
the transaction equal each other, and the corresponding
notes exist.
 The sender has authority to spend the input notes of the
transaction (by verifying the spending keys).
Zcash in Detail

Zcash와 영지식 증명, zk-SNARKs (2012)
33

 Zero-Knowledge,
 Succinct : Both the size of the proof and the
time required to verify it grow much more
slowly than the computation to be verified,
 Non-Interactive : Without interaction between
the prover and the verifier,
 Arguments : Computationally bounded prover
(Relaxed version of zero-knowledge proof. This
means that unbounded/PPT adversary can make
an honest verifier accept a proof of a wrong
statement.),
 of Knowledge : It is not possible for the prover
to construct a proof without knowing a certain
so-called witness for the statement; formally, for
any prover able to produce a valid proof, there
is an extractor capable of extracting a witness
(“the knowledge”) for the statement.
34

35
(출처: Anca Nitulescu, "zk-SNARKs: A Gentle Introduction")
[참고] zk-SNARKs Prehistory Timeline

Conversion Process from Code to zk-SNARKs
Code → Algebraic Circuit → R1CS → QAP → zk-SNARKs
(Flattening)
36
⇒
Algebraic Circuit R1CS
QAP

(Flattening)
def f( x ) :
y = x∗∗3
return x+y+5
Task : Prove that the function f is executed correctly with the secret
input 3 and the public input 35.
37

(Flattening)
def f( x ) :
sym_1 = x ∗ x
y = sym_1 ∗ x
sym_2 = y + x
out = sym_2 + 5
38
x x x x
f(x)의 계산 과정을 분해하여 연산 회로(Arithmetic Circuit)로 표현
※ 연산 회로 : 논리 회로에서 AND / OR 등의 논리 게이트들을 사칙연산 게이트로 변경한 형태

(Flattening)
39
R1CS (Rank 1 Constraint System) : 연산 회로를 구성하는 각각의 게이트(x, sym_1, y, sym_2, out)에 대응되는 witness c를 계산
※ 오직 비밀 입력값 x=3을 알고 있는 사람만이 f(3)의 연산과정을 분해해 witness c를 계산할 수 있음.)

(Flattening)
From Vectors To Polynomials by Lagrange Interpolation
Construct polynomial vj with values vj(i) = V[i][j] (value element of
vector i in position j). For instance :
- v1(1)=0, v1(2)=0, v1(3)=0, v1(4)=5
- v1(x)=5/6〮x3-5〮x2+55/6〮x-5
- v2(1)=1, v2(2)=0, v2(3)=1, v2(4)=0
- v2(x)=-2/3〮x3+5〮x2+34/3〮x+8
- Repeat for w, y
- Finally add the polynomials together to obtain v, w, y, because we
can check all the constraints simultaneously!
40
QAP (Quadratic Arithmetic Programs) : R1CS의 경우 전체 수식에 대한 유효성을 검증하기 위해, 각각의 게이트 별로 유효성을
확인해야 함. 그러나 이는 검증자에게 많은 검증 횟수를 요구한다는 문제점이 있음. QAP는 이러한 단점을 극복하기 위해 R1CS상의
각각의 벡터 표현들을 하나의 다항식으로 합쳐서 표현함.

(Flattening)
Verifier checks that the prover knows the right polynomial, and hence
the right witness in Zero-Knowledge via homomorphic encryption.
41

42

 ©2021 by Seungjoo Gabriel Kim. Permission to
make digital or hard copies of part or all of this
material is currently granted without fee
provided that copies are made only for personal
or classroom use, are not distributed for profit
or commercial advantage, and that new copies
bear this notice and the full citation.
43

44
Dark Coins

김승주교수 디지털화폐 익명성 기술 설명

Recomendados

Recomendados

Más contenido relacionado

Similar a 김승주교수 디지털화폐 익명성 기술 설명

Similar a 김승주교수 디지털화폐 익명성 기술 설명 (20)

Más de Seungjoo Kim

Más de Seungjoo Kim (20)

Último

Último (20)

김승주교수 디지털화폐 익명성 기술 설명