efir369999/montana
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
0c62be155b
montana/Formal-Docs/13-Private-Financial-Layer-Monero-Montana/Архитектура.md

185 lines
14 KiB
Markdown
Raw Normal View History

sync 2026-05-04T04:08:51Z
2026-05-04 07:08:51 +03:00
# Архитектура приватного финансового слоя Монеро-Монтана
**Версия:** 1.0 draft
**Базовый источник:** Montana Protocol v35.25.0; Monero whitepaper (Saberhagen 2013) + RingCT (Noether 2015) + Bulletproofs (Bünz et al. 2018)
## 1. Цель
Дать пользователю Монтаны опт-ин режим **приватных** переводов TC (Junona) — приватность отправителя, получателя, суммы — без отказа от постквантовых примитивов сети.
## 2. Что такое «приватность» (формально)
Базируется на трёх независимых ortho-свойствах от Monero:
| Свойство | Смысл | Monero классический | Монтана PQ-эквивалент |
|----------|-------|---------------------|------------------------|
| **Sender privacy** | Невозможно установить какой из K возможных аккаунтов сделал перевод | Ring signatures (CLSAG, K=11) | Lattice ring signatures (см. [Постквантовые замены](Постквантовые-замены.md)) |
| **Recipient privacy** | Получатель не виден на цепи; нет связи с его публичным адресом | Stealth addresses (one-time keys) | PQ stealth addresses через ML-KEM-768 + DH-style derivation |
| **Amount privacy** | Сумма перевода скрыта; виден только zero-knowledge proof что сумма ≥ 0 и ≤ доступного баланса | Pedersen commitments + Bulletproofs | Lattice commitments + lattice-based range proofs |
## 3. Архитектурные слои Монеро-Монтана
```
┌─────────────────────────────────────────────────────┐
│ Прикладной слой (Anchor для приложений) │
├─────────────────────────────────────────────────────┤
│ Приватный слой Монеро-Монтана │
│ - Опт-ин «private mode» на уровне аккаунта │
│ - Lattice ring sigs / PQ stealth / PQ range proofs │
├─────────────────────────────────────────────────────┤
│ Public Account Chain (текущая Монтана v35.25.0) │
│ - Прозрачные TC переводы, NodeChain, AccountChain │
├─────────────────────────────────────────────────────┤
│ TimeChain (VDF + Proof of Time) │
│ - Каноническая упорядоченность по τ-окнам │
│ - ВСЕГДА ПУБЛИЧНА (без приватности) │
└─────────────────────────────────────────────────────┘
```
**TimeChain не приватизируется.** Каноническое время и порядок окон — глобальный публичный ресурс. Приватность только на уровне содержимого транзакций аккаунта в опт-ин режиме.
## 4. Опт-ин модель
Каждый аккаунт может иметь два режима:
- **Public mode (default)** — текущее поведение Монтаны: прозрачные транзакции, видимый баланс, видимые отправитель/получатель/сумма. Это сохраняется без изменений.
- **Private mode (opt-in)** — аккаунт включает приватный режим и с этого момента его транзакции уходят в Монеро-Монтана слой с приватностью.
Переход public→private — односторонний на уровне транзакции (баланс ушедший в private может вернуться публично только через специальную операцию reveal). Эта асимметрия защищает от смешения цепей и упрощает анализ безопасности.
## 5. Ключевые примитивы
### 5.1 Lattice Ring Signatures (sender privacy)
Заменяет Monero CLSAG. Подписант доказывает что он один из K=11 потенциальных подписантов (anonymity set) без раскрытия какой именно. Постквантовая реализация — research direction MatRiCT (Esgin-Steinfeld-Sun 2019), MatRiCT+ (2022), последующие лattice-based ring signatures.
**Параметры:**
- Anonymity set K = 11 (как в Monero post-2022).
- Размер подписи: пока в research-mode 520 КБ (vs 0.5 КБ в Monero CLSAG). Это значимый рост, нужна оптимизация.
- Бит безопасности: NIST L3 (≥192).
**Открытый вопрос:** есть ли уже готовая, проверенная PQ ring signature schema с разумным размером? Текущее состояние research — mid-2020s, схемы существуют, но в production-grade аудите ни одна.
### 5.2 PQ Stealth Addresses (recipient privacy)
Заменяет Monero one-time addresses. При публикации публичного адреса получателя `R = Hash(view_key, spend_key)`, отправитель генерирует `r = random`, `R' = R + Hash(r·view_key)·G`, посылает на `R'` + `r·G` как nonce. Получатель сканирует все транзакции и проверяет `R = R' - Hash(view_key·r·G)·G`.
**PQ адаптация через ML-KEM-768:**
- Получатель публикует view-public-key и spend-public-key (PQ).
- Отправитель использует ML-KEM-768 encapsulation: получает (ciphertext, shared_secret).
- One-time spend public = `spend_pk + Hash(shared_secret)·G_PQ` (где G_PQ — generator в lattice space).
- Получатель decapsulates ciphertext → shared_secret → распознаёт что транзакция для него.
**Ограничение:** размер one-time-address пакета ~ 1.5 КБ vs ~ 64 байт в классическом Monero.
### 5.3 PQ Range Proofs (amount privacy)
Заменяет Bulletproofs. Доказательство что сумма перевода в диапазоне [0, 2^64) без раскрытия суммы.
**Lattice-based zk range proofs:**
- Esgin-Nguyen-Seiler 2020 (lattice-based zk for SIS/LWE).
- ZKBoo / ZKB++ family (post-quantum NIZK).
**Параметры:**
- Размер доказательства: 550 КБ в текущих research-схемах (vs ~1 КБ в Bulletproofs).
- Время верификации: 50200 ms (vs 5 ms Bulletproofs).
**Ограничение:** значительно тяжелее классических Bulletproofs. Требует оптимизации либо принятия повышенной нагрузки.
## 6. Транзакционная модель
### 6.1 Структура private TC transfer
```
PrivateTransfer {
ring_signature: LatticeRingSig, // sender privacy
stealth_recipient: PQStealthAddress, // recipient privacy
amount_commitment: LatticeCommitment, // amount privacy
range_proof: PQRangeProof, // proof: 0 ≤ amount ≤ supply
nullifier: SHA256(...), // prevent double-spend
fee_public: TC, // комиссия публична
τ_anchor: TimeChainPosition, // каноническая позиция
signature: ML-DSA-65, // подпись по канону
}
```
### 6.2 Двойная трата защищена через nullifier
Каждый private input производит уникальный `nullifier` который публикуется в TimeChain. Узлы поддерживают глобальное множество использованных nullifier'ов. Попытка повторно потратить тот же UTXO даёт коллизию nullifier и отвергается.
### 6.3 Anchor в TimeChain
Private transaction коммитится в каноническое окно τ через якорь:
```
TimeChain[τ].private_anchors = SHA256(
ring_signature || stealth_recipient || amount_commitment ||
range_proof || nullifier || fee_public || ...
)
```
Каноническое время гарантировано публичное. Содержимое анкера — приватное.
## 7. Размеры и производительность
| Компонент | Public Montana | Private (Монеро-Монтана) |
|-----------|----------------|--------------------------|
| Размер транзакции | ~5 КБ (ML-DSA-65 sig) | ~50100 КБ (ring + stealth + range) |
| Время подписания | ~10 мс | ~500 мс 5 с |
| Время верификации | ~5 мс | ~50500 мс |
| Транзакций в окне (τ₁=60с) | ~10⁴+ | ~10² (ограничение verifier) |
**Вывод:** приватный слой существенно тяжелее публичного. Это **сознательный trade-off** — приватность дорогая. В Monero аналогичные числа.
## 8. Защита от атак
### 8.1 Sybil против anonymity set
Атакующий мог бы подкупить операторов для смещения выбора anonymity set к подложным аккаунтам.
**Защита:** anonymity set выбирается псевдослучайно из VDF-выхода окна — детерминированно и нескомпрометируемо.
### 8.2 Timing attacks через τ-координату
Транзакция в окне τ привязана к публичному времени → возможно корреляционный анализ "кто был онлайн в момент публикации".
**Защита:** decoy delays — частный мод позволяет накапливать транзакции в локальный pool и публиковать через random-jitter в течение нескольких окон.
**Открытый вопрос:** формальный анализ устойчивости к traffic analysis на сетевом уровне (eclipse + observation).
### 8.3 Quantum attack
Все примитивы PQ → Шор не работает. Остаётся Гровер с квадратичным ускорением — требует увеличения хеш-длины для critical primitives.
## 9. Совместимость с public Monero
**Atomic swap** (см. [Atomic-Swap-Протокол](Atomic-Swap-Протокол.md)) — параллельная работа public Monero (XMR) и private Монеро-Монтана (TC) без моста. Пользователь обменивает XMR ↔ TC через protocol-level swap, никаких wrapped токенов, никакого central bridge.
## 10. Открытые исследовательские вопросы
- [ ] Выбор production-grade PQ ring signature schema (MatRiCT+? newer?).
- [ ] PQ range proof оптимизация — текущие схемы тяжёлые.
- [ ] Формальный анализ traffic-analysis устойчивости.
- [ ] Совместимость с lightweight clients (мобильные кошельки) — приватные слои тяжелее.
sync 2026-05-04T18:44:36Z
2026-05-04 21:44:36 +03:00
- [ ] Governance: как обновлять private layer separately от public (см. [12 Управление](../12-Governance-Updates/Governance.md)).
sync 2026-05-04T04:08:51Z
2026-05-04 07:08:51 +03:00
- [ ] Cross-chain swap audit — atomic swap безопасность при византийских участниках.
## 11. Связанные документы
- [Вызов Монеро-сообществу](Вызов-Монеро-сообществу.md)
- [Постквантовые замены](Постквантовые-замены.md)
- [Atomic Swap протокол](Atomic-Swap-Протокол.md)
- [Дорожная карта](Дорожная-Карта.md)
sync 2026-05-04T18:44:36Z
2026-05-04 21:44:36 +03:00
- [02 Криптография](../02-Cryptography/) — базовые PQ-примитивы Монтаны
- [04 Спецификация протокола](../04-Protocol-Spec/) — основная спека
sync 2026-05-04T04:08:51Z
2026-05-04 07:08:51 +03:00
## 12. Источники
1. Saberhagen, N. (2013). *CryptoNote v 2.0* — основа Monero.
2. Noether, S. (2015). *Ring Confidential Transactions*. Ledger.
3. Bünz, B., Bootle, J., Boneh, D., Poelstra, A., Wuille, P., Maxwell, G. (2018). *Bulletproofs: Short Proofs for Confidential Transactions and More*. IEEE S&P.
4. Esgin, M. F., Steinfeld, R., Sun, S.-F., et al. (2019). *MatRiCT: Efficient, Scalable and Post-Quantum Blockchain Confidential Transactions Protocol*. CCS.
5. Esgin, M. F., Nguyen, N. K., Seiler, G. (2020). *Practical Exact Proofs from Lattices*. ASIACRYPT.
6. Goodell, B., Noether, S., Blue, A. (2020). *Concise Linkable Ring Signatures and Forgery Against Adversarial Keys* (CLSAG).
7. NIST FIPS 203, 204, 205 (2024) — PQ стандарты.
Reference in New Issue Copy Permalink