L'Algorithme de Sélection de Leurres Monero: Comment les Membres du Ring Sont Choisis

Pourquoi la sélection des leurres est importante

Les signatures en anneau de Monero fonctionnent en mélangeant une sortie réelle dépensée avec un ensemble de sorties leurres tirées de la blockchain. Lorsqu'un utilisateur dépense Monero, son portefeuille sélectionne plusieurs autres sorties qui pourraient vraisemblablement être la vraie et construit une preuve cryptographique que le dépensier possède l'une d'elles sans révéler laquelle. La sécurité de ce système dépend essentiellement de la manière dont ces leurres sont choisis. Si l’algorithme de sélection présente des biais prévisibles, l’analyse statistique peut affiner le résultat qui correspond à la dépense réelle, désanonymisant potentiellement l’expéditeur.

Considérons une approche naïve où les leurres sont sélectionnés uniformément au hasard parmi toutes les sorties de la blockchain. Cela semble juste, mais cela crée un problème immédiat. Les dépenses réelles ont tendance à avoir lieu relativement peu de temps après la réception des résultats. Les gens reçoivent Monero et le dépensent en quelques jours ou semaines, et non en années. Si les leurres sont sélectionnés avec une probabilité égale dans l’ensemble de l’historique de la blockchain, la plupart des leurres seront d’anciennes sorties, et la sortie récemment créée dans l’anneau se démarquera comme la dépense réelle la plus probable. Un attaquant connaissant la répartition des comportements de dépenses peut attribuer des probabilités à chaque membre du réseau et réduire considérablement l'anonymat effectif.

C'est pourquoi Monero utilise une distribution de probabilité soigneusement conçue pour la sélection des leurres plutôt qu'un échantillonnage aléatoire uniforme. L’objectif est de faire en sorte que le modèle de sélection des leurres corresponde si étroitement au modèle de dépenses réel que l’analyse statistique ne puisse pas distinguer les dépenses réelles des leurres.

Le modèle de distribution gamma

L'algorithme de sélection de leurre actuel de Monero utilise une distribution gamma modifiée pour déterminer l'âge des sorties de leurre. La distribution gamma est une distribution de probabilité continue qui, lorsqu'elle est paramétrée de manière appropriée, produit une courbe qui attribue une probabilité plus élevée aux sorties récentes et une probabilité plus faible aux sorties plus anciennes, imitant fidèlement la façon dont les gens dépensent réellement leur Monero.

Les paramètres spécifiques de la distribution gamma utilisée par Monero ont été calibrés grâce à une analyse empirique des modèles de dépenses sur la blockchain. Les chercheurs ont étudié la répartition des intervalles de temps entre le moment où les résultats sont créés et le moment où ils sont réellement dépensés sur un large échantillon de transactions. La distribution gamma s’est avérée bien adaptée à ce comportement de dépenses observé.

Lorsque votre portefeuille construit une transaction, il échantillonne cette distribution gamma pour déterminer le décalage d'âge pour chaque leurre. Il sélectionne ensuite une sortie réelle de la blockchain qui correspond le plus possible à cet âge. Le résultat est un ensemble de membres du cercle dont l’âge est statistiquement impossible à distinguer d’un ensemble de dépenses réelles, ce qui rend difficile pour un observateur de déterminer lequel est authentique en se basant uniquement sur le timing.

Pourquoi même la distribution n'est pas optimale

Intuitivement, on pourrait penser que sélectionner des leurres avec une probabilité égale parmi toutes les sorties offrirait le meilleur anonymat puisque chaque sortie semble également probable. Cependant, ce raisonnement est erroné car il ignore la connaissance qu'a l'attaquant des habitudes de dépenses.

Un attaquant qui sait que la plupart des dépenses réelles ont lieu quelques jours après la création du résultat peut immédiatement attribuer une très faible probabilité aux membres du ring âgés de plusieurs mois ou années. Si le processus de sélection des leurres choisissait de manière uniforme, la plupart des anneaux contiendraient de nombreux anciens produits et un ou deux récents, ce qui ferait des résultats récents des candidats évidents pour les dépenses réelles. En sélectionnant les leurres selon la même répartition que les dépenses réelles, chaque membre du réseau a un profil d'âge plausible, et la connaissance préalable de l'attaquant des modèles de dépenses n'apporte aucun avantage.

Évolution de la taille de bague

Le nombre de membres du ring dans les transactions Monero a augmenté plusieurs fois au cours de l'histoire du projet, reflétant l'engagement continu de la communauté à renforcer la confidentialité.

• Début Monero (2014-2016) - Les tailles de bague étaient facultatives et variables. Les utilisateurs pouvaient choisir leur propre taille de bague, avec un minimum de 3. De nombreux utilisateurs ont choisi le minimum, et certains ont même utilisé la taille de bague 1, ce qui n'offrait aucune confidentialité à l'expéditeur.
• Taille de bague minimale obligatoire 5 (2016) - Un hard fork a établi une taille d'anneau minimale obligatoire, garantissant que toutes les transactions fournissaient au moins une confidentialité de base à l'expéditeur.
• Taille de bague 7 (2018) - La taille de bague obligatoire a été augmentée à 7, offrant ainsi des garanties d'anonymat plus fortes.
• Taille de bague 11 (2019) - Une nouvelle augmentation a porté la taille de bague à 11, ce qui était la norme pendant plusieurs années.
• Taille de bague 16 (2024) - L'augmentation la plus récente a étendu le nombre de membres à 16, augmentant considérablement l'anonymat défini pour chaque transaction.

Chaque augmentation de la taille de l’anneau rend la désanonymisation statistique plus difficile en élargissant l’ensemble des dépenses réelles plausibles. Cependant, les anneaux plus grands augmentent également la taille des transactions et les délais de vérification, créant ainsi un compromis entre confidentialité et efficacité. La communauté évalue soigneusement ces compromis avant chaque augmentation.

L’attaque de sortie empoisonnée

L'une des attaques les plus étudiées contre le système de signature en anneau de Monero est l'attaque de sortie empoisonnée, également connue sous le nom d'attaque par inondation ou d'attaque heuristique. Dans cette attaque, un adversaire crée un grand nombre de sorties sur la blockchain qu’il contrôle. Parce que l'adversaire sait lesquels de ses produits sont dépensés et lesquels ne le sont pas, il peut éliminer ses propres produits lorsqu'ils apparaissent comme leurres dans les anneaux des autres utilisateurs.

Voici comment cela fonctionne en pratique. Un adversaire génère des milliers de transactions envoyant Monero à lui-même, créant ainsi un vaste pool de résultats qu'il contrôle. Lorsqu'un utilisateur régulier crée une signature en anneau, certains des leurres sélectionnés au hasard peuvent être des sorties appartenant à l'adversaire. L'adversaire sait si ses propres résultats ont été dépensés, il peut donc déterminer que ces résultats sont des leurres dans l'anneau de la victime. En éliminant ses leurres connus, l’adversaire réduit la taille effective du ring, identifiant potentiellement la dépense réelle.

Atténuations

Plusieurs facteurs atténuent l’efficacité des attaques empoisonnées. Premièrement, exécuter l’attaque à grande échelle est coûteux car cela nécessite de créer de nombreuses transactions avec du vrai Monero, ce qui entraîne des frais de transaction. Deuxièmement, plus la taille de l’anneau est grande, plus l’attaquant doit contrôler de sorties pour réduire de manière significative l’anonymat. Avec une taille d’anneau de 16, un attaquant devrait contrôler une très grande fraction de toutes les sorties de la blockchain pour avoir un impact significatif. Troisièmement, la communauté de Monero a mis en place des restrictions d'âge de sortie et d'autres heuristiques qui rendent plus difficile la sélection des sorties d'inondation récemment créées comme leurres.

Risques d’analyse temporelle

Même avec un algorithme de sélection bien conçu, l’analyse temporelle reste une préoccupation. L'analyse temporelle exploite le timing des transactions et des sorties pour déterminer quel membre de l'anneau représente la dépense réelle.

Par exemple, si une transaction est diffusée immédiatement après la création d'un résultat spécifique et que ce résultat apparaît dans l'anneau de la transaction, il y a une plus grande probabilité que ce résultat corresponde à la dépense réelle. Le logiciel de portefeuille atténue ce problème en garantissant que les anneaux contiennent toujours un mélange d'âges cohérent avec la distribution gamma, mais les corrélations temporelles au niveau du réseau peuvent toujours fournir des indices.

Un autre vecteur d'analyse temporelle consiste à surveiller le pool mémoire. Si un observateur voit une sortie arriver dans le pool de mémoire, puis voit peu de temps après une nouvelle transaction incluant cette sortie dans son anneau, la corrélation temporelle suggère que la sortie peut être la dépense réelle. Dandelion++, le protocole de confidentialité au niveau du réseau de Monero, contribue à atténuer ce problème en masquant l'origine et le moment des diffusions de transactions.

Faiblesses connues dans la sélection des leurres historiques

La recherche a identifié plusieurs faiblesses dans les versions antérieures de l'algorithme de sélection de leurre de Monero. Avant l’adoption du modèle de distribution gamma, l’algorithme de sélection présentait des biais qui permettaient la désanonymisation statistique d’une fraction significative des transactions. Des articles universitaires ont démontré qu'en analysant la répartition par âge des membres du réseau sur de nombreuses transactions, les chercheurs pouvaient identifier les dépenses réelles avec une précision bien meilleure que le hasard.

Ces résultats ont incité à passer au modèle de distribution gamma et ont motivé les recherches en cours pour améliorer l'algorithme de sélection. Le laboratoire de recherche Monero collabore activement avec des chercheurs universitaires pour identifier et corriger les faiblesses avant qu'elles puissent être exploitées dans la pratique.

Recherches et améliorations actuelles

La communauté de recherche Monero continue d'étudier et d'affiner le processus de sélection des leurres. Les domaines d’investigation actifs comprennent une meilleure modélisation du comportement en matière de dépenses réelles à l’aide d’ensembles de données plus vastes, des algorithmes de sélection adaptatifs qui ajustent leurs paramètres à mesure que les modèles de dépenses évoluent au fil du temps, et des techniques permettant de rendre le processus de sélection plus résistant aux manipulations contradictoires.

Une ligne de recherche prometteuse consiste à regrouper les résultats par tranches d’âge et à sélectionner parmi ces catégories pour créer des distributions plus naturelles. Une autre approche prend en compte la structure du graphique des transactions, en évitant les sélections qui créent des modèles statistiquement inhabituels lorsque plusieurs transactions sont analysées ensemble.

FCMP++ : éliminer complètement le problème du leurre

Le développement le plus intéressant de la feuille de route de Monero en matière de confidentialité concerne les preuves d'adhésion à la chaîne complète, connues sous le nom de FCMP++. Cette mise à niveau du protocole changera fondamentalement le fonctionnement de la confidentialité des expéditeurs en éliminant complètement le concept de leurres.

Avec FCMP++, au lieu de sélectionner un petit anneau de 16 sorties leurres, chaque transaction prouve que la sortie réelle dépensée appartient à l'ensemble de toutes les sorties sur l'ensemble de la blockchain. L’ensemble de l’anonymat s’étend de 16 à des millions, rendant l’analyse statistique de la composition des anneaux totalement irréalisable. Il n’y a pas de leurre à analyser car chaque sortie de la blockchain est également candidate.

FCMP++ y parvient en utilisant des techniques cryptographiques avancées, notamment des arbres de courbes et des preuves à connaissance nulle qui peuvent prouver efficacement l'appartenance à de très grands ensembles. La surcharge de calcul et de stockage est gérable malgré l'énorme anonymat défini, ce qui rend cette approche pratique pour un déploiement dans le monde réel.

Lorsque FCMP++ est activé, toute la catégorie d’attaques basées sur l’analyse de sélection de leurres devient obsolète. Les attaques de sortie empoisonnées, l’analyse temporelle de la composition des anneaux et la désanonymisation statistique grâce à la correspondance des modèles de dépenses seront toutes rendues inefficaces. Cela représente un pas en avant dans les garanties de confidentialité de Monero et démontre l'engagement du projet en faveur d'une amélioration continue.

En attendant l'arrivée du FCMP++, l'algorithme de sélection de leurre actuel, avec son modèle de distribution gamma et ses anneaux à 16 membres, offre une forte confidentialité pratique. Pour ceux qui souhaitent effectuer des transactions avec Monero aujourd'hui, MoneroSwapper propose des échanges anonymes qui complètent la confidentialité en chaîne fournie par les signatures en anneau et la sélection de leurres.