24.1 引用
Juels, A., Kosba, A.E., & Shi, E. (2016). The Ring of Gyges: Investigating the Future of Criminal Smart Contracts. ACM Conference on Computer and Communications Security.
24.2 摘要
由于他们的匿名性和消除可信中介,比特币等加密货币已经创造或刺激了许多企业和社区的增长。不幸的是,其中一些是犯罪行为,例如洗钱,非法市场和勒索软件。下一代加密货币(如以太坊)将包括支持智能合约的丰富脚本语言,以及自动中间交易的程序。在本文中,我们探讨了智能合约为新的犯罪生态系统提供动力的风险。具体来说,我们展示了我们所谓的刑事智能合约(CSC)如何能够促进机密信息泄露,加密密钥被盗以及各种现实世界的犯罪(谋杀,纵火,恐怖主义)。
我们表明,秘密泄漏的CSC(维基解密)可以在现有的脚本语言(如以太坊)中有效实现。我们表明,用于盗窃加密密钥的CSC可以使用诸如简洁的非交互式知识知识(SNARK)之类的原语来实现,这些原语已经在这些语言中表达并且预期有效的支持语言扩展。我们同样表明,经过身份验证的数据馈送是智能合约系统的新兴功能,可以促进CSC实现真实世界的犯罪(例如,财产犯罪)。
我们的结果强调了为CSC制定政策和技术保障的紧迫性,以实现智能合约对实现有利目标的承诺。
24.3 技术介绍
我们采用Kosba等人提出的正式区块链模型。作为背景,我们在本节中对此模型进行了高级描述。我们在本文中使用此模型来指定加密协议; 这些协议包括刑事智能合同和相应的用户端协议。
智能合约模型中的协议。 如上所述,我们的模型将合同视为受托执行正确而非隐私的特殊方。(实际上,当然,合同是由网络强制执行的)发送到合同及其内部状态的所有消息都是公开可见的。合同通过交换消息(也称为交易)与用户和其他合同交互。以账户余额形式表示的货币记录在全球分类账中(在区块链上)。合同可以访问和更新分类帐,以实现用假名公钥表示的用户之间的汇款。
我们在本文中采用以下威胁模型。
•区块链:信任正确但不隐私。
我们假设区块链始终正确地存储数据并执行计算并始终可用。然而,区块链将所有内部状态暴露给公众,并且不保留私人数据。
•任意恶意的合同方。我们假设合约方是相互不信任的,并且他们只是为了最大化自己的利益。它们不仅可以任意偏离规定的协议,它们也可以过早地从协议中止。
•对手的网络影响力。我们假设区块链和玩家之间的消息是在有限延迟内传递的,即不是永久丢弃的。 (玩家总是可以重新发送由恶意矿工放弃的交易。)在我们的模型中,攻击者会立即接收并可以随意重新排序消息。在现实生活中的分散加密货币中,获胜的矿工确定消息处理的顺序。对手可能与某些矿工勾结或影响节点之间的消息传播。对于密钥盗窃合同,消息重新排序可以实现佣金公平的CSC必须阻止的匆忙攻击。
我们采用的正式模型捕获了我们威胁模型的所有上述方面。
作为智能合约的力量的第一个例子,我们展示了如何通过比特币部署的现有类型的刑事合同可以作为智能合约更加强大和功能性增强,并且可以在以太坊中实际实施。
比特币刺激的非法行为包括支付激励泄漏,即公开披露的秘密。最近创建的网站Darkleaks(一种受到补贴的Wikileaks)作为一个分散的市场,用于众多公开泄露各种秘密,包括“好莱坞电影,商业秘密,政府机密,专有源代码,工业设计,如医药或防御等。”
直观地,我们在此设置中定义佣金公平性意味着如果承包商C在指定的时间限制内完全泄漏了秘密,则承包商C会收到付款.正如我们所示,Darkleaks强调比特币无法支持佣金公平。我们展示了CSC如何能够以高概率实现佣金公平。
KeyTheft-Naive的一个不受欢迎的属性是其目标/受害者和州是公开可见的。因此,V可以了解它是否是KeyTheft-Naive的目标。 V还观察到成功的声明 - 即,skV是否被盗 - 因此可以采取明智的防御行动。例如,由于密钥撤销是昂贵且耗时的,因此V可能会等到成功声明发生,然后才执行撤销和声明攻击。
为了限制目标和状态暴露,可以对KeyTheft进行两种可能的增强。第一个是多目标合同,其中要求对一组多个受害者中的任何一个进行关键盗窃。第二个是我们所谓的保险索赔,隐瞒任何真实索赔的虚假声明。我们对KeyTheft的实现,如图1所示,是一个多目标契约,因为这种技术提供了部分目标和部分状态隐藏。多目标合同。多目标合同征求m个潜在受害者中的任何一个的私钥V1,V2,...,VM。有许多设置,其中不同受害者的私钥具有相似的价值。例如,多目标合同KeyTheft可以为任何能够发出信任的SSL / TLS证书的CA的私钥skV提供奖励,例如Internet Explorer(其中有650多个)。这里的一个挑战是合同状态是公开的,因此合同必须能够在不知道哪个密钥的情况下验证有效索赔(私钥)skVi的证据.例如,没有学习i。我们的实现表明,构建zk-SNARK这样的证明是切实可行的。(承包商C本身可以通过解密skVi,生成pkVi以及识别相应的受害者来轻松学习i。)
图24-1 关键妥协CSC阻止了撤销和索赔攻击以及匆忙攻击
我们根据附录D中的理想功能定义了关键盗窃的佣金公平性,并为KeyTheft提供了正式的安全证明。
我们依靠zk-SNARK来有效实现上述协议。zk-SNARKs是零知识的知识证明,简洁且高效地验证。zk-SNARKs的安全性比UC风格的模拟样张要弱。因此,我们使用Hawk工作中描述的通用转换来提升安全性,使得零知识证明确保模拟可提取的稳健性。(简而言之,需要一次性密钥生成阶段来生成两个密钥:公共评估密钥和公共验证密钥。为了证明某个NP语句,不可信证明者使用评估密钥来计算简洁证明;任何验证者都可以使用公共验证密钥来验证证明。我们案例中的验证者是合同。)在我们的实现中,我们假设密钥生成由可信方保密执行;否则证明人可以出示虚假陈述的有效证据。为了最小化密钥生成阶段的信任,可以使用安全的多方计算技术。
24.4 本文主要贡献犯罪智能合同:我们通过下一代加密货币中的图灵完整脚本语言启动对CSC的研究。我们针对三种不同类型的犯罪探索CSC:第4节中的秘密泄漏(例如,预发布的好莱坞电影),第5节中的密钥泄露/盗窃(例如,CA签名密钥)和“电话卡”在第6节中使用称为“认证数据馈送”(如下所述)的数据来源的暗杀等犯罪行为。我们探讨制定此类刑事合同所涉及的挑战,并展示(预期)抵制中立和实现佣金公平的新技术。我们强调,因为佣金公平意味着缔约方非正式地获得其“预期”效用,因此必须以特定于特定CSC的方式定义特定于应用的度量,佣金公平。因此,我们在相关的纸质附录中正式指定了我们每个CSC结构的委托公平性。概念证明:为了证明即使是复杂的CSC也是现实的,我们(在各自的章节中)报告了我们探索的CSC的实施情况。我们今天以现有的智能合约语言(例如,以太坊的语言)有效地实现了秘密泄漏的CSC。那些关键盗窃和“电话卡”犯罪分别依赖于加密货币社区目前设想的功能的效率和可实现性。对策:我们简要讨论了一些可能的方法来设计具有针对CSC的对策的智能合约系统。虽然这个讨论是初步的,但我们工作的一个关键贡献是展示这种对策的必要性,并激发对其在智能合约系统(如以太坊)中实施的探索。
本文由南京大学软件学院2016本科生高毓彬翻译转述。
添加新手交流群:币种分析、每日早晚盘分析
添加助理微信,一对一亲自指导:YoYo8abc
