COIN Secure and Anonymous Decentralized Bitcoin Mixing - - PowerPoint PPT Presentation
COIN Secure and Anonymous Decentralized Bitcoin Mixing PARTY Jan Henrik Ziegeldorf, Roman Matzu7, Fred Grossmann, Mar;n Henze, Klaus Wehrle Communica;on and
Jan ¡Henrik ¡Ziegeldorf, ¡Roman ¡Matzu7, ¡Fred ¡Grossmann, ¡Mar;n ¡Henze, ¡Klaus ¡Wehrle ¡ Communica;on ¡and ¡Distributed ¡Systems ¡(COMSYS), ¡RWTH ¡Aachen, ¡Germany ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡
www.comsys.rwth-‑aachen.de ¡
2
Roman Matzutt
2
TRANSACTIONS ¡
Signed ¡transfers ¡between ¡Bitcoin ¡addresses. ¡
¡
BLOCKCHAIN ¡
A ¡shared ¡public ¡ledger ¡of ¡all ¡accepted ¡ ¡ transac;ons ¡to ¡keep ¡balances. ¡ Rules ¡out, ¡e.g., ¡double ¡spending. ¡
¡
TX: ¡Alice ¡to ¡Bob ¡
P2P ¡WORKER ¡POOL ¡
Proof ¡of ¡work ¡to ¡ensure ¡correctness. ¡
BLK1 ¡ BLK2 ¡ BLK3 ¡ BLK4 ¡ BLK5 ¡ From: ¡Alice ¡ To: ¡Bob ¡ Signed: ¡Alice ¡
3
Roman Matzutt
3
Inflated ¡ expectaNons ¡ Disillusionment ¡ Technology ¡ trigger ¡ Slope ¡of ¡ enlightenment ¡
4
Roman Matzutt
4
5
Roman Matzutt
5
Because ¡it ¡offers ¡… ¡
¡ ¡ ¡
¡
¡ ¡
(No, ¡it ¡doesn’t) ¡ ¡
6
Roman Matzutt
6
7
Roman Matzutt
7
Virtually ¡unlimited ¡amount ¡of ¡addresses. ¡ ¡
Blockchain ¡taint ¡analysis ¡+ ¡side ¡channels. ¡
Input: QWxpY2U Output: Qm9iYnk Value: 0.2 BTC Input: Alice Output: Bob Value: 0.2 BTC
8
Roman Matzutt
8
9
Roman Matzutt
9
10
Roman Matzutt
10
Mixing ¡Service ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Bitcoin ¡Pool ¡
¡ ¡ ¡ ¡ ¡ ¡ , ¡O1 ¡ Alice ¡ , ¡O2 ¡ Bob ¡ , ¡O3 ¡ Charlie ¡ , ¡O4 ¡ Danny ¡ O4 ¡ O3 ¡ O2 ¡ O1 ¡ IdenNfied ¡ ¡ users ¡ Anonymous ¡ ¡ recipients ¡
11
Roman Matzutt
11
Decentralized ¡ Mixing ¡ Service ¡ Anonymous ¡ ¡ recipients ¡
Group ¡TransacNon ¡
¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ I4 ¡ I3 ¡ I2 ¡ I1 ¡ O2 ¡ O4 ¡ O1 ¡ O3 ¡ Alice ¡ Bob ¡ Charlie ¡ Danny ¡ IdenNfied ¡ ¡ users ¡
12
Roman Matzutt
12
COST ¡EFFICIENCY ¡
No ¡mixing ¡fees. ¡ Minimal ¡transac;on ¡fees. ¡
SECURITY ¡
No ¡the\, ¡double ¡spending ¡or ¡loss ¡of ¡funds. ¡ No ¡DoS. ¡
ANONYMITY ¡
Anonymous ¡against ¡in-‑ ¡and ¡outsiders. ¡ ¡ Big ¡anonymity ¡sets. ¡ Unbiased ¡randomness. ¡
DENIABILITY ¡
Means ¡of ¡plausible ¡deniability. ¡ ¡ No ¡cryptographic ¡evidence. ¡
SCALABILITY ¡
Large ¡numbers ¡of ¡users. ¡ ¡ Low ¡impact ¡on ¡Bitcoin ¡network. ¡
APPLICABILITY ¡& ¡USABILITY ¡
Compa;ble ¡with ¡Bitcoin ¡network. ¡ ¡ No ¡addi;onal ¡so\ware. ¡
MISUSE ¡PREVENTION ¡
Prevent ¡money-‑laundering, ¡… ¡ ¡ ¡
13
Roman Matzutt
13
¡
¡
Anonymity ¡ Usability ¡ Security ¡ Deniability ¡
¡
Bitcoin ¡ ¡ Pool ¡ ¡
¡
¡ ¡
Costs ¡ Scalability ¡
Mixing ¡ network ¡ Group ¡ ¡ TransacNon ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ I4 ¡ I3 ¡ I2 ¡ I1 ¡ O2 ¡ O4 ¡ O1 ¡ O3 ¡
Usability ¡ Security ¡ Deniability ¡ Costs ¡ Scalability ¡ Anonymity ¡ Security ¡ Anonymity ¡ Scalability ¡ Costs ¡ Usability ¡ Deniability ¡
14
Roman Matzutt
14
¡
¡
E1 ¡ E3 ¡ E2 ¡
Distributed ¡Genera;on ¡
Efficient ¡and ¡ ¡ Verifiable ¡shuffling ¡ Threshold ¡ECDSA ¡ ¡ in ¡the ¡malicious ¡model ¡ Larger ¡anonymity ¡sets ¡ and ¡plausible ¡deniability ¡
Users ¡
E1 ¡ E3 ¡ E2 ¡
Fresh ¡unlinkable ¡ ¡ Output ¡addresses ¡
O2 ¡ O1 ¡ O3 ¡ O2 ¡ O1 ¡ O3 ¡ O1 ¡ O2 ¡ O3 ¡ O3 ¡ O2 ¡ O1 ¡ O3 ¡ O2 ¡ O1 ¡
15
Roman Matzutt
15
¡
¡
Users ¡
E1 ¡ E3 ¡ E2 ¡
Distributed ¡Genera;on ¡
Efficient ¡and ¡ ¡ Verifiable ¡shuffling ¡ Threshold ¡ECDSA ¡via ¡SMC ¡ ¡ in ¡the ¡malicious ¡model ¡ Larger ¡anonymity ¡sets ¡ and ¡plausible ¡deniability ¡
E1 ¡ E3 ¡ E2 ¡ Fresh ¡unlinkable ¡ ¡ Output ¡addresses ¡
O2 ¡ O1 ¡ O3 ¡ O2 ¡ O1 ¡ O3 ¡ O1 ¡ O2 ¡ O3 ¡ O3 ¡ O2 ¡ O1 ¡ O3 ¡ O2 ¡ O1 ¡
16
Roman Matzutt
16
¡
¡ ¡ ¡ ¡
Gennaro, Rosario, et al. "Secure distributed key generation for discrete-log based cryptosystems.” EUROCRYPT’99. Springer, 1999.
DISTRIBUTED ¡ECDSA ¡KEY ¡ GENERATION ¡ ¡(ECDKG) ¡
(adapted ¡to ¡EC ¡from ¡Gennaro ¡et ¡al.) ¡
[d]1 [d]2 [d]3
D = dG D = dG D = dG
17
Roman Matzutt
17
¡
¡
Users ¡
E1 ¡ E3 ¡ E2 ¡
Distributed ¡Genera;on ¡
Threshold ¡ECDSA ¡SMC ¡ ¡ in ¡the ¡malicious ¡model ¡ Larger ¡anonymity ¡sets ¡ and ¡plausible ¡deniability ¡
E1 ¡ E3 ¡ E2 ¡
Fresh ¡unlinkable ¡ ¡ Output ¡addresses ¡
O2 ¡ O1 ¡ O3 ¡ O3 ¡ O2 ¡ O1 ¡
O2 ¡ O1 ¡ O3 ¡ O1 ¡ O2 ¡ O3 ¡ O3 ¡ O2 ¡ O1 ¡
Efficient ¡and ¡ ¡ Verifiable ¡shuffling ¡
18
Roman Matzutt
18
O1 ¡ O2 ¡ O3 ¡ M1 ¡ O3 ¡ O1 ¡ O2 ¡ O3 ¡ O2 ¡ O1 ¡ O1 ¡ O3 ¡ O2 ¡ M2 ¡ M3 ¡ O2 ¡ O1 ¡ O3 ¡ O1 ¡ O3 ¡ O2 ¡ π1 ¡= ¡(231) π2 ¡= ¡(23) π2 ¡= ¡(312) πfix ¡= ¡(123) πPRNG ¡= ¡(321) M1 ¡ M2 ¡ M3 ¡ M1 ¡ M2 ¡ M3 ¡
19
Roman Matzutt
19
= ¡Verifying ¡decryp;on ¡without ¡breaking ¡unlinkability ¡
Output ¡ address ¡
C0 ¡ hash ¡ hash ¡ hash ¡ C1 ¡ C2 ¡ C3 ¡
Verifica;on ¡Data ¡ Verifica;on ¡Data ¡ Verifica;on ¡Data ¡
User ¡i ¡secret ¡shares ¡Ci
j ¡to ¡the ¡mix ¡peers. ¡
M1 ¡ O3 ¡ O1 ¡ O2 ¡ M1 ¡ M3 ¡
Reconstruct( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡+ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡+ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡= ¡ H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡
O3 ¡ + ¡H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ O’2 ¡ + ¡H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ O1 ¡ [C1
1] ¡
[C2
1] ¡
[C3
1] ¡
C1 ¡:= ¡C1
1 ¡+ ¡C2 1 ¡+ ¡C3 1 ¡
C’1 ¡:= ¡C3
1 ¡+ ¡C’2 1 ¡+ ¡C1 1 ¡
=
O3 ¡ O2 ¡ O1 ¡ M2 ¡ O’2 ¡
Users’ ¡verifica;on ¡informa;on ¡ ¡= ¡ ¡Checksum ¡of ¡shuffle ¡stage
20
Roman Matzutt
20
¡ Case ¡1: ¡Mix ¡M2 ¡did ¡not ¡decrypt ¡correctly ¡
¡ ¡ ¡
¡ ¡
¡
Case ¡2: ¡Users ¡supplied ¡inconsistent ¡verificaNon ¡informaNon ¡ ¡
¡ ¡ ¡
1 ¡on ¡shuffle ¡stage ¡
Reconstruct( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡+ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡+ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡= ¡ H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡
O3 ¡ + ¡H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ O’2 ¡ + ¡H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ O1 ¡ [C1
1] ¡
[C2
1] ¡
[C3
1] ¡
C1 ¡:= ¡C1
1 ¡+ ¡C2 1 ¡+ ¡C3 1 ¡
C’1 ¡:= ¡C3
1 ¡+ ¡C’2 1 ¡+ ¡C1 1 ¡
= Users’ ¡verifica;on ¡informa;on ¡ ¡= ¡ ¡Checksum ¡of ¡shuffle ¡stage Reconstruct( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡+ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡+ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡= ¡ H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡
O3 ¡ + ¡H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ O2 ¡ + ¡H( ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡) ¡ ¡ O1 ¡ [C1
1] ¡
[C’2
1] ¡
[C3
1] ¡
C’1 ¡:= ¡C1
1 ¡+ ¡C’2 1 ¡+ ¡C3 1 ¡
C1 ¡:= ¡C3
1 ¡+ ¡C2 1 ¡+ ¡C1 1 ¡
= Users’ ¡verifica;on ¡informa;on ¡ ¡= ¡ ¡Checksum ¡of ¡shuffle ¡stage
21
Roman Matzutt
21
¡
¡
Users ¡
E1 ¡ E3 ¡ E2 ¡
Distributed ¡Genera;on ¡
Threshold ¡ECDSA ¡ ¡ in ¡the ¡malicious ¡model ¡ Larger ¡anonymity ¡sets ¡ and ¡plausible ¡deniability ¡
E1 ¡ E3 ¡ E2 ¡
Fresh ¡unlinkable ¡ ¡ Output ¡addresses ¡
O2 ¡ O1 ¡ O3 ¡ O2 ¡ O1 ¡ O3 ¡ O1 ¡ O2 ¡ O3 ¡ O3 ¡ O2 ¡ O1 ¡ O3 ¡ O2 ¡ O1 ¡
Efficient ¡and ¡ ¡ Verifiable ¡shuffling ¡
22
Roman Matzutt
22
(adapted ¡from ¡Ibrahim ¡et ¡al.) ¡ [d]1 [d]2 [d]3
E1 ¡ E3 ¡ E2 ¡
O3 ¡ O2 ¡ O1 ¡
O2 ¡
E1 ¡
O2 ¡
E1 ¡
Ibrahim, Maged H., et al. "A robust threshold elliptic curve digital signature providing a new verifiable secret sharing scheme." Circuits and Systems, IEEE, 2003.
23
Roman Matzutt
23
COST ¡EFFICIENCY ¡
No ¡mixing ¡fees. ¡ Minimal ¡transac;on ¡fees. ¡
SECURITY ¡
No ¡the\, ¡double ¡spending ¡or ¡loss ¡of ¡funds. ¡ No ¡DoS. ¡
ANONYMITY ¡
Anonymous ¡against ¡in-‑ ¡and ¡outsiders. ¡ ¡ Big ¡anonymity ¡sets. ¡ Unbiased ¡randomness. ¡
DENIABILITY ¡
Means ¡of ¡plausible ¡deniability. ¡ ¡ No ¡cryptographic ¡evidence. ¡
SCALABILITY ¡
Large ¡numbers ¡of ¡users. ¡ ¡ Low ¡impact ¡on ¡Bitcoin ¡network. ¡
APPLICABILITY ¡& ¡USABILITY ¡
Compa;ble ¡with ¡Bitcoin ¡network. ¡ ¡ No ¡addi;onal ¡so\ware. ¡
MISUSE ¡PREVENTION ¡
Prevent ¡money-‑laundering, ¡… ¡ ¡ ¡
24
Roman Matzutt
24
¡
25
Roman Matzutt
25
3 6 9 12 15 18 21 24 27 30 33 36 39 42 45 48
0i[ing window [h]
1000 2000 3000 4000 5000
Anonymity set si]e Mixing ¡Window ¡[h] ¡
¡¡
BLK1 ¡ BLK2 ¡ BLK3 ¡ BLK4 ¡ BLK5 ¡
On ¡top ¡of ¡basic ¡ ¡ anonymity ¡set ¡ ¡
26
Roman Matzutt
26
¡
Hosts ¡ Azure ¡Cloud ¡A1 ¡Instances ¡ 1 ¡virtual ¡core, ¡1.75 ¡GB ¡RAM ¡ Network ¡ US ¡and ¡EU ¡Loca;ons ¡ 50 ¡ ¡-‑ ¡100 ¡ms ¡intracon;nental ¡ 150 ¡-‑200 ¡ms ¡intercon;nental ¡
¡
¡
Host ¡ 16 ¡CPUs ¡/ ¡32 ¡Threads ¡ 32 ¡GB ¡RAM ¡ Network ¡ Gigabit ¡LAN ¡
< ¡3 ¡minutes ¡ with ¡15 ¡Mixing ¡Peers ¡
Scales ¡with ¡number ¡of ¡ inputs ¡and ¡MPs ¡
Most ¡overhead ¡due ¡ to ¡communicaNon ¡
be ¡precomputed ¡
27
Roman Matzutt
27
Input ¡peers ¡
Malicious ¡users ¡
Compromise ¡50 ¡% ¡users ¡ Iden;fy ¡75 ¡% ¡of ¡mixing ¡TXs ¡
28
Roman Matzutt
28
¡
Mixing ¡in ¡single ¡transac;ons ¡using ¡ Threshold ¡ECDSA. ¡ Refined ¡shuffling ¡for ¡deniability. ¡
Security ¡
Against ¡1/3 ¡malicious ¡adversary ¡
Privacy ¡
Orders ¡of ¡magnitude ¡more ¡anon. ¡ With ¡some ¡restric;ons ¡
Costs ¡
No ¡mixing ¡fees. ¡No ¡TX ¡fees. ¡
Applicability ¡
Fully ¡standard ¡Bitcoin ¡TXs ¡
Deniability ¡
Scalability ¡
100s ¡– ¡1000s ¡of ¡users ¡
Deniability ¡
Applica;ons ¡
ziegeldorf@comsys.rwth-‑aachen.de ¡