Bitcoin et d'autres crypto-monnaies utilisent la confidentialité au niveau de la blockchain et de la couche réseau. Les chaînes de bloc publiques sont des enregistrements permanents des transactions numériques, de sorte que les mises en œuvre de la confidentialité des chaînes de bloc se concentrent sur l'obscurcissement des données de transaction et l'anonymisation de l'identité des expéditeurs et des destinataires.
Les crypto-monnaies axées sur la protection de la vie privée, telles que Monero et Zcoin, intègrent des fonctions d'anonymat au niveau de la chaîne de bloc. Ainsi, Ring CTs et les preuves de l'absence de connaissance permettent de s'assurer que les transactions ne peuvent pas être tracées. Toutefois, la communication P2P/réseau superposé joue également un rôle essentiel dans l'anonymisation des interactions au sein d'un réseau à chaîne de blocs. Monero et Zcoin intègrent tous deux des fonctionnalités de confidentialité de la couche réseau telles que Tor et I2P, mais ces fonctionnalités s'accompagnent également d'un développement prolongé et d'autres inconvénients.
Le protocole Dandelion est une solution d'anonymat de la couche réseau qui a été proposée à l'origine en 2017 pour améliorer la confidentialité du réseau P2P de Bitcoin. On a découvert par la suite que sa proposition initiale contenait diverses failles qui pourraient conduire à sa désanonymisation au fil du temps en raison de certaines hypothèses idéalistes d'adversaires potentiels.
Pour mieux comprendre le fonctionnement de Dandelion++, il est essentiel de se concentrer sur la manière dont les transactions sont diffusées dans Bitcoin et sur le fonctionnement du protocole Dandelion original. Au sein du réseau Bitcoin, lorsqu'un utilisateur diffuse une transaction à partir d'un nœud, celle-ci est propagée aux nœuds connectés à ce nœud spécifique, appelés ses pairs. Le message de la transaction est ensuite propagé dans une réaction en chaîne où chaque nœud diffuse le message aux nœuds auxquels il est connecté. C'est ce que l'on appelle le protocole de commérage de Bitcoin et c'est ainsi que les transactions peuvent atteindre très rapidement la majorité des nœuds du réseau.
Bitcoin met maintenant en œuvre une forme de diffusion où chaque nœud renvoie les transactions avec des délais exponentiels et indépendants à ses voisins pour éviter la désanonymisation de l'adresse IP d'un utilisateur. Bien qu'efficace, la diffusion a récemment été prouvée comme n'assurant pas une protection adéquate de l'anonymat, et cela dans plusieurs études.
L'origine d'un message de transaction et son adresse IP (qui n'est pas incluse dans un message de transaction Bitcoin) peuvent être cartographiées par des observateurs tiers s'ils contrôlent un nombre suffisant de nœuds ou s'ils utilisent un surnœud qui est connecté à un nombre important de nœuds. Ils peuvent effectivement cartographier l'adresse d'origine en observant quels nœuds voient la transaction en premier. L'article de Dandelion++ indique explicitement comment une étude utilisant un supernode a enregistré le trafic relayé de tous les nœuds P2P et a observé les schémas de la transaction dans le temps pour finalement en déduire l'adresse IP source. En associant l'adresse IP au pseudonyme de l'expéditeur, un tiers peut désanonymiser les utilisateurs et lier d'autres transactions, même si une nouvelle clé publique est utilisée pour chaque transaction.
Le protocole Dandelion a été initialement proposé pour atténuer ces vulnérabilités, mais il reposait sur des garanties théoriques qui n'ont pas tenu la route dans la pratique. La proposition initiale de Dandelion reposait sur trois hypothèses idéalisées :
Ces hypothèses n'ont manifestement pas fonctionné dans la pratique et c'est pourquoi Dandelion++ a cherché à y remédier. Le protocole Dandelion original fonctionne en deux phases :
C'est là que commence la phase "fluff". Une fois qu'un seul nœud diffuse le message en utilisant la méthode de diffusion, le message de transaction est propagé rapidement à une majorité de nœuds du réseau. Toutefois, il devient beaucoup plus difficile de remonter jusqu'au nœud d'origine, car le message de transaction a été transféré à de nombreux nœuds individuels par le biais d'un graphe de confidentialité avant d'être propagé de manière à permettre à un observateur de le faire correspondre à un seul nœud. Au lieu de cela, un observateur ne pouvait que faire remonter la propagation des transactions aux différents nœuds où le message a été transféré dans la phase "stem", ce qui brouillait l'identité réelle de l'expéditeur. En fait, cela ressemble, sur le plan abstrait, à la façon dont une signature en anneau obscurcit l'identité du véritable signataire d'une transaction.
Le blog Zcoin fournit un excellent exemple de la façon dont le protocole Dandelion fonctionne en utilisant les ragots typiques des lycées :
En conséquence, ces petites modifications de l'algorithme augmentent de manière exponentielle l'espace d'état du problème pour l'analyse de l'anonymat. Dandelion++ repose sur l'augmentation de la quantité d'informations que les adversaires doivent apprendre pour désanonymiser les utilisateurs.
Dandelion++ diffère notamment de Dandelion dans sa phase stem où il fait passer les transactions par des chemins entrelacés appelés câbles avant de diffuser le message de transaction sur le réseau. Les câbles peuvent être fragmentés, mais son intuition dans le choix d'un nœud où se propager reste confinée à son voisinage local. C'est une considération importante lorsque l'on compare des solutions d'anonymat au niveau du réseau comme Tor qui est un protocole de routage en oignon où les clients ont besoin d'informations globales et actuelles sur le réseau pour déterminer les chemins de transaction.
Dandelion et Dandelion++ fonctionnent tous deux selon des cycles asynchrones. Chaque nœud avance lorsque son horloge interne atteint un certain seuil. Pour chaque période, Dandelion++ fonctionne en 4 composantes principales avec de légères optimisations :
Le transfert de transaction (propre) est le cas où chaque fois qu'un nœud génère une transaction propre, il transmet la transaction le long du même bord sortant dans le graphe 4-régulier. Cela diffère de l'une des hypothèses problématiques de Dandelion où l'on suppose que les nœuds ne génèrent qu'une seule transaction.
Le transfert de transaction (relais) est le moment de probabilité dans la phase stem où un nœud reçoit une transaction stem et choisit soit de relayer la transaction, soit de la diffuser sur le réseau. Le choix de diffuser les transactions vers le réseau est pseudo-aléatoire. En outre, un nœud est soit un diffuseur, soit un nœud relais pour toutes les transactions relayées.
Le mécanisme de sécurité est l'endroit où, pour chaque transaction de la phase stem, chaque nœud suit si elle est à nouveau considérée comme une transaction de la phase du pelotage. Si ce n'est pas le cas, le nœud diffuse la transaction.
Les légères modifications apportées à l'algorithme au cours de ces étapes rendent la mise en correspondance des adresses IP beaucoup plus difficile lorsqu'on observe la diffusion des messages de transaction. Le document concernant Dandelion++ poursuit en identifiant des attaques spécifiques qui pourraient être utilisées contre le protocole Dandelion original, notamment les attaques d'apprentissage de graphes, les attaques d'intersection, les attaques de construction de graphes et les attaques de trou noir. Pour chaque vecteur d'attaque, ils démontrent comment Dandelion++ les atténue grâce à une analyse théorique et à des simulations.
Dandelion++ n'augmente pas de manière significative la latence du réseau, et sa faisabilité pratique a été démontrée sur le réseau principal Bitcoin. Il fournit un outil d'anonymat de la couche grâce à un réseau léger et efficace permettant de réduire la possibilité de cartographier les attaques afin de désanonymiser les utilisateurs. Malgré ses avantages, Dandelion++ ne protège pas explicitement contre les adversaires de niveau FAI ou AS qui peuvent utiliser des attaques de routage pour désanonymiser les utilisateurs.
L'intégration de Tor au niveau de la pile réseau des systèmes de crypto-monnaies est extrêmement difficile. Monero en est un excellent exemple car il a fallu plus de quatre ans pour mettre en place son projet Kovri I2P de type Tor sur leur réseau et c'est encore un travail en cours. De plus, Monero a également lancer un nouveau projet de sécurisation avec Dandelion++. De nombreux réseaux crypto n'ont ni le temps ni l'expertise technique pour intégrer ce type de fonctionnalité.
L'acheminement de leurs transactions par Tor n'est pas non plus particulièrement possible pour les utilisateurs de Bitcoin qui ne sont pas conscients des lacunes du réseau en matière de protection de la vie privée ou qui n'ont pas l'expérience nécessaire pour acheminer correctement des transactions par Tor. De plus, Tor peut être lent en raison de la bande passante limitée par rapport à Dandelion++.
La même étude qui a identifié certains problèmes de désanonymisation de la diffusion sur Bitcoin met également en évidence les attaques sur les nœuds où ils finissent par rejeter ou mettre sur la liste noire les connexions Tor. Cela peut conduire à la désanonymisation des transactions et au mappage des adresses IP des utilisateurs également.
Les crypto-monnaies axées sur la protection de la vie privée, telles que Monero et Zcoin, intègrent des fonctions d'anonymat au niveau de la chaîne de bloc. Ainsi, Ring CTs et les preuves de l'absence de connaissance permettent de s'assurer que les transactions ne peuvent pas être tracées. Toutefois, la communication P2P/réseau superposé joue également un rôle essentiel dans l'anonymisation des interactions au sein d'un réseau à chaîne de blocs. Monero et Zcoin intègrent tous deux des fonctionnalités de confidentialité de la couche réseau telles que Tor et I2P, mais ces fonctionnalités s'accompagnent également d'un développement prolongé et d'autres inconvénients.
Le protocole Dandelion est une solution d'anonymat de la couche réseau qui a été proposée à l'origine en 2017 pour améliorer la confidentialité du réseau P2P de Bitcoin. On a découvert par la suite que sa proposition initiale contenait diverses failles qui pourraient conduire à sa désanonymisation au fil du temps en raison de certaines hypothèses idéalistes d'adversaires potentiels.
Qu'est-ce que le protocole Dandelion ?
Finalement, une version améliorée du protocole Dandelion a été proposée en mai de cette année: Dandelion++. Dandelion++ répond aux préoccupations du protocole original et a déjà été mis en œuvre par l'équipe de recherche avec une réponse positive des équipes de développement de Bitcoin. Dandelion++ semble prêt à être inclus dans une prochaine version de Bitcoin Core, mais également de Monero.Qu'est-ce que Dandelion++ ?
Dandelion++ est une solution de couche réseau légère et simple avec un anonymat formellement garanti qui peut facilement être mise en œuvre au sein des différentes crypto-monnaies existantes. Il améliore explicitement les hypothèses de la proposition originale de Dandelion et diffère de la plupart des protocoles d'anonymat de communication de diffusion par son approche avec des objectifs d'utilisation et des mesures d'analyse.Pour mieux comprendre le fonctionnement de Dandelion++, il est essentiel de se concentrer sur la manière dont les transactions sont diffusées dans Bitcoin et sur le fonctionnement du protocole Dandelion original. Au sein du réseau Bitcoin, lorsqu'un utilisateur diffuse une transaction à partir d'un nœud, celle-ci est propagée aux nœuds connectés à ce nœud spécifique, appelés ses pairs. Le message de la transaction est ensuite propagé dans une réaction en chaîne où chaque nœud diffuse le message aux nœuds auxquels il est connecté. C'est ce que l'on appelle le protocole de commérage de Bitcoin et c'est ainsi que les transactions peuvent atteindre très rapidement la majorité des nœuds du réseau.
Bitcoin met maintenant en œuvre une forme de diffusion où chaque nœud renvoie les transactions avec des délais exponentiels et indépendants à ses voisins pour éviter la désanonymisation de l'adresse IP d'un utilisateur. Bien qu'efficace, la diffusion a récemment été prouvée comme n'assurant pas une protection adéquate de l'anonymat, et cela dans plusieurs études.
L'origine d'un message de transaction et son adresse IP (qui n'est pas incluse dans un message de transaction Bitcoin) peuvent être cartographiées par des observateurs tiers s'ils contrôlent un nombre suffisant de nœuds ou s'ils utilisent un surnœud qui est connecté à un nombre important de nœuds. Ils peuvent effectivement cartographier l'adresse d'origine en observant quels nœuds voient la transaction en premier. L'article de Dandelion++ indique explicitement comment une étude utilisant un supernode a enregistré le trafic relayé de tous les nœuds P2P et a observé les schémas de la transaction dans le temps pour finalement en déduire l'adresse IP source. En associant l'adresse IP au pseudonyme de l'expéditeur, un tiers peut désanonymiser les utilisateurs et lier d'autres transactions, même si une nouvelle clé publique est utilisée pour chaque transaction.
Le protocole Dandelion a été initialement proposé pour atténuer ces vulnérabilités, mais il reposait sur des garanties théoriques qui n'ont pas tenu la route dans la pratique. La proposition initiale de Dandelion reposait sur trois hypothèses idéalisées :
- Tous les nœuds obéissent au protocole
- Chaque nœud génère précisément une transaction
- Tous les nœuds Bitcoin fonctionnent avec Dandelion
Ces hypothèses n'ont manifestement pas fonctionné dans la pratique et c'est pourquoi Dandelion++ a cherché à y remédier. Le protocole Dandelion original fonctionne en deux phases :
- Phase "stem"
- Phase "fluff"
C'est là que commence la phase "fluff". Une fois qu'un seul nœud diffuse le message en utilisant la méthode de diffusion, le message de transaction est propagé rapidement à une majorité de nœuds du réseau. Toutefois, il devient beaucoup plus difficile de remonter jusqu'au nœud d'origine, car le message de transaction a été transféré à de nombreux nœuds individuels par le biais d'un graphe de confidentialité avant d'être propagé de manière à permettre à un observateur de le faire correspondre à un seul nœud. Au lieu de cela, un observateur ne pouvait que faire remonter la propagation des transactions aux différents nœuds où le message a été transféré dans la phase "stem", ce qui brouillait l'identité réelle de l'expéditeur. En fait, cela ressemble, sur le plan abstrait, à la façon dont une signature en anneau obscurcit l'identité du véritable signataire d'une transaction.
Le blog Zcoin fournit un excellent exemple de la façon dont le protocole Dandelion fonctionne en utilisant les ragots typiques des lycées :
*PHASE STEM*Les principaux problèmes du protocole original sur le Dandelion proviennent de sa sous-estimation de certains types d'adversaires en raison de leur connaissance limitée. Dandelion++ s'attache particulièrement à apporter des changements subtils aux choix de mise en œuvre de Dandelion, tels que la topologie du graphique et les mécanismes de transmission des messages.
Kathy : "Pssst, j'ai un énorme béguin pour le Nouveau. S'il vous plaît, ne le dites à personne".
George : "OMG, tu sais ce que Kathy m'a dit ? Elle a un énorme béguin pour le Nouveau. Je te l'ai seulement dit, s'il te plaît ne le dis à personne"
Alice : "Betty, tu ne croiras pas ce que le meilleur ami de Kathy, George, vient de me dire, Kathy a le béguin pour le Nouveau! Tu es ma meilleure amie, alors je te le dit seulement à toi, s'il te plaît, ne le dis à personne, d'accord !"
*DÉBUT DE LA PHASE FLUF*
La pipelette Betty : "Oh wow, nouvelles chaudes...Je tiens de sources sûres que Kathy a un énorme béguin pour le Nouveau...S'il vous plaît dites le à tout le monde, c'est si excitant !"
En conséquence, ces petites modifications de l'algorithme augmentent de manière exponentielle l'espace d'état du problème pour l'analyse de l'anonymat. Dandelion++ repose sur l'augmentation de la quantité d'informations que les adversaires doivent apprendre pour désanonymiser les utilisateurs.
Dandelion++ diffère notamment de Dandelion dans sa phase stem où il fait passer les transactions par des chemins entrelacés appelés câbles avant de diffuser le message de transaction sur le réseau. Les câbles peuvent être fragmentés, mais son intuition dans le choix d'un nœud où se propager reste confinée à son voisinage local. C'est une considération importante lorsque l'on compare des solutions d'anonymat au niveau du réseau comme Tor qui est un protocole de routage en oignon où les clients ont besoin d'informations globales et actuelles sur le réseau pour déterminer les chemins de transaction.
Dandelion et Dandelion++ fonctionnent tous deux selon des cycles asynchrones. Chaque nœud avance lorsque son horloge interne atteint un certain seuil. Pour chaque période, Dandelion++ fonctionne en 4 composantes principales avec de légères optimisations :
- Graphique d'anonymat
- Transfert de transactions (propre)
- Transfert de transactions (relais)
- Mécanisme de sécurité en cas de défaillance
Le transfert de transaction (propre) est le cas où chaque fois qu'un nœud génère une transaction propre, il transmet la transaction le long du même bord sortant dans le graphe 4-régulier. Cela diffère de l'une des hypothèses problématiques de Dandelion où l'on suppose que les nœuds ne génèrent qu'une seule transaction.
Le transfert de transaction (relais) est le moment de probabilité dans la phase stem où un nœud reçoit une transaction stem et choisit soit de relayer la transaction, soit de la diffuser sur le réseau. Le choix de diffuser les transactions vers le réseau est pseudo-aléatoire. En outre, un nœud est soit un diffuseur, soit un nœud relais pour toutes les transactions relayées.
Le mécanisme de sécurité est l'endroit où, pour chaque transaction de la phase stem, chaque nœud suit si elle est à nouveau considérée comme une transaction de la phase du pelotage. Si ce n'est pas le cas, le nœud diffuse la transaction.
Les légères modifications apportées à l'algorithme au cours de ces étapes rendent la mise en correspondance des adresses IP beaucoup plus difficile lorsqu'on observe la diffusion des messages de transaction. Le document concernant Dandelion++ poursuit en identifiant des attaques spécifiques qui pourraient être utilisées contre le protocole Dandelion original, notamment les attaques d'apprentissage de graphes, les attaques d'intersection, les attaques de construction de graphes et les attaques de trou noir. Pour chaque vecteur d'attaque, ils démontrent comment Dandelion++ les atténue grâce à une analyse théorique et à des simulations.
Dandelion++ n'augmente pas de manière significative la latence du réseau, et sa faisabilité pratique a été démontrée sur le réseau principal Bitcoin. Il fournit un outil d'anonymat de la couche grâce à un réseau léger et efficace permettant de réduire la possibilité de cartographier les attaques afin de désanonymiser les utilisateurs. Malgré ses avantages, Dandelion++ ne protège pas explicitement contre les adversaires de niveau FAI ou AS qui peuvent utiliser des attaques de routage pour désanonymiser les utilisateurs.
Comparaison entre Dandelion++ et Tor
Dandelion++ présente des avantages notables par rapport à d'autres implémentations de réseaux anonymes comme Tor. Tor est la couche de recouvrement réseau la plus importante axée sur la protection de la vie privée et il utilise le routage en oignon pour dissimuler la localisation géographique et les adresses IP des utilisateurs.L'intégration de Tor au niveau de la pile réseau des systèmes de crypto-monnaies est extrêmement difficile. Monero en est un excellent exemple car il a fallu plus de quatre ans pour mettre en place son projet Kovri I2P de type Tor sur leur réseau et c'est encore un travail en cours. De plus, Monero a également lancer un nouveau projet de sécurisation avec Dandelion++. De nombreux réseaux crypto n'ont ni le temps ni l'expertise technique pour intégrer ce type de fonctionnalité.
L'acheminement de leurs transactions par Tor n'est pas non plus particulièrement possible pour les utilisateurs de Bitcoin qui ne sont pas conscients des lacunes du réseau en matière de protection de la vie privée ou qui n'ont pas l'expérience nécessaire pour acheminer correctement des transactions par Tor. De plus, Tor peut être lent en raison de la bande passante limitée par rapport à Dandelion++.
La même étude qui a identifié certains problèmes de désanonymisation de la diffusion sur Bitcoin met également en évidence les attaques sur les nœuds où ils finissent par rejeter ou mettre sur la liste noire les connexions Tor. Cela peut conduire à la désanonymisation des transactions et au mappage des adresses IP des utilisateurs également.
Commentaires
Enregistrer un commentaire