Qu'est-ce qu'une transaction confidentielle et comment cache-t-elle les montants des transactions ?

Comprendre les transactions confidentielles en crypto-monnaie

1. Les transactions confidentielles sont une méthode cryptographique utilisée dans certains réseaux blockchain pour dissimuler le montant de la valeur transférée entre les parties. Cette technologie a été initialement proposée par Adam Back et développée par Gregory Maxwell dans le cadre des efforts visant à améliorer la confidentialité dans les monnaies numériques. En masquant les montants des transactions, les transactions confidentielles empêchent les tiers de suivre la répartition des richesses, les habitudes de dépenses ou les soldes des comptes sur la base des données du grand livre public.

2. Dans les systèmes blockchain traditionnels comme Bitcoin, chaque montant de transaction est visible par toute personne analysant la blockchain. Même si les adresses de l’expéditeur et du destinataire peuvent offrir un certain pseudonymat, la transparence des valeurs porte atteinte à la confidentialité financière. Les transactions confidentielles résolvent ce problème en remplaçant les montants en clair par des engagements cryptés, garantissant ainsi que seuls les participants disposant des clés de déchiffrement appropriées peuvent voir la valeur réelle transférée.

3. Le mécanisme de base repose sur des techniques cryptographiques connues sous le nom d’engagements de Pedersen. Ceux-ci permettent à un utilisateur de s'engager sur une valeur spécifique (telle que 5 BTC) sans la révéler, tout en permettant aux validateurs du réseau de vérifier que les entrées sont égales aux sorties et qu'aucune nouvelle pièce n'a été créée illégalement. Cela préserve l’intégrité de la masse monétaire même lorsque les montants exacts restent cachés.

4. Pour garantir la validité sans exposer les données, les transactions confidentielles utilisent des preuves sans connaissance ou des propriétés de cryptage homomorphes. Les validateurs peuvent effectuer des opérations mathématiques sur les valeurs cryptées pour confirmer que la somme des entrées correspond à la somme des sorties, évitant ainsi les bugs d'inflation ou les tentatives de double dépense. Cette vérification s'effectue sans jamais décrypter les montants des transactions individuelles.

5. Des réseaux tels que les blockchains basées sur Monero et Mimblewimble (par exemple, Grin et Beam) mettent en œuvre des variantes de transactions confidentielles. Dans Monero, RingCT combine des transactions confidentielles avec des signatures en anneau pour masquer à la fois l'identité et les montants de l'expéditeur. Mimblewimble va plus loin en intégrant des transactions confidentielles dans sa conception fondamentale, permettant une forte confidentialité et des améliorations significatives de l'évolutivité de la blockchain grâce à des coupures et à l'élagage.

Comment les engagements de Pedersen permettent de cacher la valeur

1. Au cœur des transactions confidentielles se trouve le système d’engagement de Pedersen, qui lie une valeur à un facteur aveuglant aléatoire. Un engagement ressemble à C = v H + r G , où v est le montant, r est le secret aléatoire et H et G sont des points fixes de la courbe elliptique. Sans connaître r , il est impossible, informatiquement, de dériver v de C .

2. Lorsqu'un utilisateur envoie des fonds, il crée des engagements de sortie en utilisant de nouveaux facteurs aveuglants. Les entrées dans une transaction font référence aux engagements précédents, et le système vérifie que l'engagement total d'entrée moins l'engagement total de sortie est égal à zéro (frais modulo). Cela prouve la conservation de la valeur sans révéler aucun montant individuel.

3. Étant donné que les engagements de Pedersen sont additivement homomorphes, les nœuds peuvent ajouter et soustraire directement des valeurs chiffrées. Par exemple, si deux engagements représentent respectivement 2 BTC et 3 BTC, leur somme correspond à un engagement de 5 BTC, même si aucune des valeurs n'est visible en clair. Cette propriété est essentielle pour valider le solde des transactions.

4. Bien que les montants soient cachés, les auditeurs ou les régulateurs ayant accès à la clé aveugle ou à la clé de visualisation (dans les variantes autorisées) peuvent décrypter la valeur. Certaines chaînes de blocs destinées aux entreprises fournissent ces clés de manière sélective, équilibrant ainsi les besoins de conformité et la confidentialité générale.

5. L’une des limites est que les engagements de Pedersen ne cachent pas le fait qu’une transaction a eu lieu ni les adresses participantes : des couches supplémentaires telles que des adresses furtives ou des protocoles de mixage sont nécessaires pour un anonymat complet. Cependant, dans le cadre de la confidentialité des montants, ils offrent une protection solide contre l’analyse passive de la chaîne.

Le rôle des preuves de portée dans la prévention des attaques par débordement

1. Un défi crucial avec les montants chiffrés est d’empêcher les utilisateurs malveillants de créer des valeurs négatives pour gonfler l’offre. Par exemple, quelqu’un pourrait essayer de dépenser plus que ce qu’il possède en s’engageant sur une contribution positive importante et une production négative plus importante, ce qui lui donnerait l’impression d’être équilibré tout en frappant secrètement des pièces.

2. Pour contrer cela, les systèmes de transactions confidentielles utilisent des preuves de plage. Il s'agit de preuves cryptographiques attachées à chaque sortie qui démontrent que la valeur engagée n'est pas négative et se situe dans une plage valide (par exemple, entre 0 et 2 ^ 64 satoshis), sans divulguer le nombre réel.

3. Les premières implémentations utilisaient des signatures en anneau borroméen relativement grandes pour les preuves de plage, augmentant considérablement la taille des transactions. Des approches plus récentes telles que Bulletproofs ont considérablement réduit cette surcharge, en offrant des preuves de taille logarithmique qui réduisent les besoins en données de plus de 80 %, rendant ainsi les transactions confidentielles plus évolutives.

4. Les pare-balles permettent de regrouper plusieurs sorties en une seule épreuve compacte, améliorant ainsi l'efficacité. Ils éliminent également le besoin d’une configuration fiable, s’appuyant uniquement sur des hypothèses cryptographiques standard. Cela les rend idéaux pour les environnements décentralisés et sans confiance.

5. Malgré ces progrès, les preuves de portée contribuent toujours à augmenter les demandes de stockage et de calcul par rapport aux transactions transparentes. Les recherches en cours se concentrent sur l'optimisation de la vitesse de vérification et la minimisation de l'utilisation de la bande passante afin de rendre les transactions privées plus accessibles sur les clients légers et les portefeuilles mobiles.

Foire aux questions

Qu'est-ce qui empêche quelqu'un d'envoyer des montants négatifs dans le cadre d'une transaction confidentielle ? Des preuves de plage sont jointes à chaque sortie pour prouver cryptographiquement que la valeur engagée se situe dans une plage positive et valide. Sans preuve de portée valide, les nœuds rejettent la transaction, empêchant ainsi les attaques par débordement ou la création de pièces contrefaites.

Les mineurs peuvent-ils voir les montants des transactions confidentielles ? Non. Les mineurs ne voient que les engagements cryptés et ne peuvent pas extraire les valeurs réelles à moins de posséder la clé de visualisation privée du destinataire. Leur rôle se limite à vérifier la cohérence des soldes et la validité des preuves sans accéder aux données sensibles.

Toutes les crypto-monnaies prennent-elles en charge les transactions confidentielles ? La plupart des principales crypto-monnaies comme Bitcoin et Ethereum ne prennent pas en charge nativement les transactions confidentielles. Les pièces axées sur la confidentialité telles que Monero, Zcash (dans les transactions protégées) et les chaînes basées sur Mimblewimble sont les principaux utilisateurs de cette technologie.

Comment un destinataire connaît-il le montant qu’il a reçu ? L'expéditeur transmet la valeur et le facteur d'aveuglement hors bande via un canal crypté (souvent en utilisant ECDH). Le destinataire utilise ces informations pour décoder l’engagement de son côté et vérifier que le montant correct a été envoyé.