区块链及算法：安全与优化研究

区块链及相关算法的安全与优化米尔科·科斯西纳引用此版本：米尔科·科斯西纳。区块链及相关算法的安全性和优化。密码学和安全学[cs.CR]。巴黎科技大学，2021年。英语。NNT：2021UPSLE063。电话：04028075HAL ID：电话：04028075https://theses.hal.science/tel-04028075提交日期：2023年HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire在ENS Paris区块链及相关算法支持者米尔科·科西纳2021年10月5日第386号研究生院巴黎数学科学中心专业化计算机科学专业评审团组成：钟茂提哥伦比亚大学审查员奥利维尔·布拉齐利摩日大学副教授海洋采矿洛林大学教授报告员报告员让-纪尧姆·大仲马格勒诺布尔阿尔卑斯大学教授梅莱克·奥宁EUROCOM高级讲师评审团主席审查员Pascal LAFOURCADE克莱蒙特-奥弗涅高级讲师大卫·纳卡切教师，ENS大学论文联合主任从论文联合主任从摘要区块链可以被定义为一个分布式系统，它必须在网络中的所有节点之间同步链的当前状态。根据系统使用的匿名级别，区块链复制的过程可以通过不同的方式解决。以比特币为例，最著名的区块链是一个所谓的"无许可"网络，它确保了用户的完全匿名。在这种情况下，中本聪提出的算法使用了一种新的共识机制，使区块链的更新基于一个密码难题。 它被称为"工作证明"。区块链的几个特性已经被开发和测试，如同步网络中的公共前缀和链质量，异步网络中的活跃性和一致性，以及防止"恶意"攻击。».然而，对于其他区块链架构（如：permissioned）的数据隐私，仍有大量的研究工作要做。事实上，许可的区块链并不提供比特币所提供的匿名性。因此，缺乏确保用户身份机密性的机制。此外，区块链技术必须适应新的欧洲通用数据保护条例（GDPR），该条例要求建立一个新的数据治理框架，以确保该技术的属性（如不可变性）与新法规兼容虽然用户隐私和数据治理面临着巨大的挑战，但区块链的主要用例是加密投资和数字资产投机，而不是涉及个人数据的服务。即使在加密货币领域，也本文探讨了区块链在实现用户隐私、数据治理、软件混淆和开发循环经济加密货币模型方面所面临的安全、隐私和经济障碍等问题在引入区块链和加密技术之后12在现代物理学中，他们提出了三个主要的研究成果：一个保护用户隐私的新共识协议，一个使用许可区块链的新的机密电子投票方案，以及一个用于软件隐私的控制流图扩散协议。最后，论文的第三部分包括两个应用研究成果，两个原型区块链系统解决了数据治理和加密货币带来的问题。本文的第一部分描述了区块链技术的简史及其演变，直到它的第一个然后介绍了本论文中使用的现代密码学的主要主题。第二部分从一个新的共识算法开始，该算法为许可区块链保留了机密性。这项工作的主要贡献是一个通用的盲签名结构，用于事务分离，并集成到一个基于BFT的共识中，用于事务和块验证。第二个结果对应于许可区块链的一种新的电子投票方案。本文基于Okamoto-Schnorr盲签名和椭圆曲线提出了一种新的隐私保护共识最后，提出了一种新的控制流图混淆机制，第三部分介绍了区块链的两种实现。第一个是ERC20令牌标准的新实施和Hyperledger Fabric上的一个市场，用于由塑料回收支持的循环经济。第二个是区块链原型，用于根据GDPR与智能合约进行自动化健康数据交换的数据治理摘要区块链可以被定义为一个分布式系统，它同步网络中所有节点的当前状态。根据系统使用的匿名性水平，区块链的这种回退过程会得到不同的解决。以比特币为例，它是最著名的区块链实现，它被配置为一个无许可的网络，确保其用户的完全匿名。在这种情况下，Nakamotos算法提出了一种新的共识机制，可以基于密码谜题或工作证明来更新区块链。比特币协议的一些特性已经被研究和证明，如同步网络中的公共前缀和链质量，异步网络中的生存性和一致性，以及对Sybil攻击的预防。然而，其他区块链架构的用户和数据隐私研究工作，即未经许可，未得到全面解决。此外，在许可的区块链中，比特币提供的匿名性并不存在。Hence，缺乏保护用户身份隐私的隐私保护机制。此外，区块链还面临着新的《欧洲通用数据保护条例》（GDPR），该条例强加了一个新的数据治理框架，这使得它很难协调新的数据法规与区块链最重要的特征-尽管用户隐私和数据治理面临着巨大的挑战，但区块链最相关的用例是加密投资和资产投机，而不是涉及个人数据的服务。无论如何，即使在加密货币领域，也没有全面的研究解决我们面临的新经济问题，比如本地或循环经济的加密货币。本文解决了为用户隐私、数据治理、软件混淆和循环经济的加密货币模型实施区块链的安全性、隐私性和经济障碍。 第一部分 本论文涵盖了区块链和现代加密技术的初步研究。第二部分介绍了关于隐私的三个主要结果使用许可区块链在电子投票中保护共识、隐私，并通过控制流图混淆实现软件隐私。最后，第三部分包括两个基于应用研究工作的结果。34用于数据治理和加密货币的区块链系统原型。本文的第一部分简要介绍了区块链技术的历史及其在第一次区块链实现（比特币）之前的演变。那么，现代Cryp最相关的话题本文介绍了本文所用的摄影技术。第二部分从一个新的隐私保护共识算法开始--许可区块链的算法。 这项工作的主要贡献是一种用于事务的盲签名的通用构造，该盲签名与用于事务和块验证的基于BFT的共识不可链接。第二个结果对应于许可区块链的新电子投票方案本文提出了一种基于Okamoto-Schnorr盲签名的新的隐私保护共识，用于事务不可链接性和投票隐私的椭圆曲线。最后，提出了一种新的软件机密控制流图混淆机制（如智能合约）。第三部分介绍了两种区块链实现。第一个是ERC20代币标准的新实施和基于塑料回收的循环经济超级账本结构上的市场。第二个是医疗保健数据治理的区块链原型根据GDPR使用智能合约进行自动化交换确认;我想感谢David Naccache为我的博士学位打开了大门。如果没有他的指导、支持和他给我的机会，这篇论文就不可能完成。我也要感谢Pas-calLafourcade在论文过程中的指导、鼓励、科学和个人支持。我还要感谢我的合著者进行了科学讨论和合作--奥雷利·贝勒、皮埃尔·克吕谢、马尔瓦·柴布、雷米·热罗、保罗·伦茨纳、马里乌斯·隆巴尔德-普拉特、克劳迪娅·内格里、奥克塔维奥·佩雷斯、里亚德·罗布巴纳、大卫·索尔皮克和苏海卜·优素福。我想向阿尔梅里斯·奥雷利、克劳迪娅、大卫、法拉、杰罗姆、劳拉、马吕斯、皮埃尔、奥克塔维奥、奥利维尔、罗斯、塞巴斯蒂安和汤姆的前任和现任研究小组成员表示感谢。 感谢这段美好的时光和这些年来我们所经历的所有冒险。我 向 Moti Yung 、 Olivier Blazy 、 Marine Minier 、 Jean-GuillaumeDumas、Melek Önen和Pascal Lafourcade表示感谢，感谢他们同意在本论文委员会任职。此外，我特别感谢我的论文参考Olivier Blazy和Marine Minier，感谢你们的可用性和奉献。非常感谢Natacha Laniado。你从第一天起就参与了这次旅行。如果没有你的奉献、关注和情感支持，尤其是在最困难的时候，完成这篇论文是不可能的。最后，我要感谢我的生活伴侣马里恩·贾弗雷。我感谢宇宙为我们的道路交叉。你的爱、支持、鼓励和耐心是帮助我完成这篇论文的燃料。 没有任何语言可以表达我对你的感激之5在马特奥和马里昂，我们有一个家，有一个家，有一个家。内容物序言131导言151.1区块链的诞生161.2区块链基础知识191.2.1散列201.2.2无许可和许可体系结构211.2.3智能合约221.2.4一致性和活力231.3共识协议241.3.1工作量证明241.3.2股权证明261.3.3拜占庭容错（BFT）271.3.4燃烧证明282现代密码学导论292.1原则302.1.1定义302.1.2图表312.1.3证据322.2困难问题322.2.1单向函数和排列322.2.2数字因式分解342.2.3离散对数问题352.3哈希函数352.3.1定义362.3.2默克-达姆加德建筑362.4公钥加密和数字签名372.4.1公钥加密方案372.4.2数字签名方案407II隐私保护分布式协议3私有区块链的隐私保护共识453.1导言463.2第四十八章第一次见面3.2.1许可的区块链483.2.2盲签名型号493.2.3盲签名方案493.3BFT许可区块链架构共识503.4为许可分类帐563.5协议属性613.5.1一致性623.5.2生命力633.6第64章4许可区块链的电子投票协议674.1导言684.2背景724.2.1盲签名734.2.2基于BFT的共识算法744.3Dabsters75的描述4.3.1利益相关者协议764.3.2包结构：774.3.3方案阶段774.4DABSTER84的安全性评估4.4.1非正式安全评估854.4.2正式安全评估864.4.3区块链安全评估874.5第89章5控制流图混淆915.1导言925.2控制流图编译945.2.1第94章第一次见面5.2.2我们的方法概述965.2.3上下文985.2.4节点钝化985.2.5跳转和内部呼叫1005.2.6路由1015.3控制流图混淆1025.3.1强制执行1035.3.2节点隐藏1035.3.3103号公路5.4安全104内容95.4.1针对动态分析的安全性1055.5实施1065.6结论106第三章区块链中的令牌经济学与合规6许可区块链上的ERC20令牌1096.1引言1106.1.1塑料再利用1106.1.2区块链与电子支付1116.1.3相关工作1136.1.4经济环境1136.1.5大纲1146.2第114章第一次见面6.2.1许可和非许可分类账1146.2.2ERC20规范1156.2.3预像电阻1176.3PlasticToken实施1176.3.1Hyperledger结构117中的资产实施6.3.2塑料扭转ERC201186.3.3内部工作流程示例1196.3.4转移原子活性1206.3.5奖励和铸币1206.4其他功能1226.4.1发票和账单1226.4.2一次性事件的实物硬币1236.5结论1267私有区块链上的个人数据和GDPR7.1导言1307.2相关工作1317.3论联合区块链的适用性1317.4总体架构目标1337.4.1过程自动化1347.4.2数据可追溯性1347.4.3权力下放1357.4.4可审计性和GDPR合规性1367.4.5启用信任1367.5我们的型号1377.5.1中央Web服务器1377.5.2目录1387.5.3证书颁发机构1387.5.4网络节点1387.6数据交换流程1397.6.1数据记录1407.6.2数据请求1427.6.3数据采集1427.6.4数据响应1437.7结论和进一步工作143参考书目148R→图列表1.1区块链结构191.2默克树213.1BlindCons事务流。............................................................................. 533.2BlindCons共识服务563.3客户和A之间的互动。........................................................................ 583.4交易建议书。.......................................................................................593.5交易验证：有效交易。.......................................................................593.6交易验证：交易无效...........................................................................593.7广播到共识。.......................................................................................613.8提交块。..............................................................................................614.1冈本-Schnorrblind签名图，其中y←-Zq在Zq73中随机选择y的含义4.2步骤1：事务启动。............................................................................ 784.3步骤2：建议交易................................................................................ 794.4步骤3：事务处理背书：有效事务处理。........................................ 794.5步骤3：事务处理背书：事务处理无效。........................................ 794.6第四步：广播达成共识。.................................................................. 804.7TA和对等体之间的交互。..................................................................814.8合格选民和BlindCons同行之间的.....................................................835.15.195计划的完整CFO5.25.1计划的限制性CFM955.3步骤1说明：重新贴标。来自CFM（P）的原始节点和边被分配不同的颜色;其他节点灰色965.4步骤2说明：突破边缘。原始路径π（a）π（b）由路径f（（a，b））=（s1，..............， sn）GJ9711→→12个数字列表5.5步骤3的说明：识别主动和被动节点。这里有两个原始序列π（a）π（b）和π（c）π（d）导致一些节点是被动的（空圆圈）、主动的（填充的黑圆圈）或主动的，取决于所采用的执行路径。（灰色圆圈）。.................................................................................. 975.6步骤4的说明：根据路由变量m获取路径。 如果节点是被动的（m= 0），则路径 被捕获的节点将是下一个节点。对于活动节点（m= 1），下一个节点将由当前节点985.7节点和路由的隐藏过程图1046.1不同的奖励模式1216.2账单122的实体关系6.3支付账单的链码步骤。1：用户调用payBill函数。2：函数检索关联的票据及其所有者，以及与之链接的项目。3：计算价格。4：链码尝试将总价格从用户发送给账单所有者。5：如果成功，则删除该法案，6：用户收到确认。................................................................................ 1236.46.4a：组织如何打印票证。 6.4b：个 人 如 何 在 事件结束时刮擦密钥后认领他们的硬币。额外的支票可能会添加到现金流出中机械论。............................................................................................ 1257.1模型表示1377.2驱动程序的逻辑抽象139第一部分序言13第一章简介内容物1.1区块链的诞生。... ... ... ... ... ... ... ... ... ... ... ... ...161.2区块链基础知识。. . . . . . . . . . . . ...191.2.1 散列。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...201.2.2无许可和许可体系结构。211.2.3 智能合约。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...221.2.4一致性和活力。... ... ... ... ... ... ... ... ... ... ... ... ... ...231.3共识协议。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...241.3.1 工作证明。 . . . . . . . . . . . . . . . . . . ...241.3.2 股权证明。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...261.3.3 拜占庭容错（BFT）. . . . . . . . ...271.3.4 燃烧证明。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...28区块链技术可以被定义为一个分布式数据库，它基于作为区块链组织的记录。对等网络执行此分布式数据库的管理、更新、操作和治理。区块链的主要特征之一是它对恶意修改的抵抗力。这种高安全性是通过使用块时间戳和散列指针来实现的，这些块时间戳和散列指针将链中的最后一个块链接到前一个块，并使用强大的机制来防止恶意对等体向链中添加新块。区块链的设计意味着，对一个区块所做的任何修改都会强制链上下一个区块的再生。这一详尽的过程极难完成。链中新区块的添加对应于系统世界状态的复制，并确保区块链不断更新。这个过程被称为共识，并且基于不同的加密挑战或经济惩罚的大量算法目前是可用的。共识提供了只有诚实节点才会更新的确定性1516第一章。引言主链。选择有权添加新区块的诚实节点的过程将取决于区块链实现的类型。区块链中最流行的技术共识是工作量证明，它解决了一个密码难题。其他共识方案基于其资产数量，如股权证明[KN12]或民主方案中网络对等体之间的协议，如PBFT [CL99]。本章将对区块链进行简要介绍，从它的诞生和演变到今天，然后描述无许可（公共）和许可（私有）区块链的主要特征--术语和架构。1.1区块链的诞生早在区块链出现之前，分布式系统就已经在研究领域得到了研究例如，Ralph Merkle在他1978年的博士论文[Mer79]中提出了用密码散列函数连接块以实现数据不变性的想法。Merkle在这项工作中表明，信息可以通过在树结构中组织数据来有效地链接。在同一年，David Chaum提出，有可能创建一个基于不信任他人的对等体网络的信任系统。该系统的构建块包括物理安全的"保险库"、现有的加密基元（对称、非对称和散列加密函数）和一个称为Chaum-th执业密钥共享的新基元。在此系统中，每个保管库负责签署、记录和广播每个保管库处理的所有事务。到了80年代末，Dwork、Lynch和Stockmeyer已经展示了在一个广泛的"部分同步"系统家族[DLS88]中解决共识的能力，以及允许分布式系统就结果或消息达成一致的能力。 然后，在1990年，Haber和Stornetta提出了一个实用的解决方案，用于对数字文档进行时间戳，以便它们不会被倒计时、修改或损坏[HS90]。该系统使用加密区块链来存储时间戳文档。然后，在1992年，他们在设计中添加了Merkle树结构，通过允许将多个文档收集到一个块中，使其更加高效[BHS93a]。 稍后，1999年，Castro和Liskov提出了一种高效的新数据复制算法，能够在异步环境中抵抗拜占庭故障[CL99]。2008年底，一位化名中本聪（Satoshi Nakamoto）的个人或用户群在密码学邮件列表中发表了一篇名为《比特币：点对点电子现金系统》（Bitcoin：A Peer-to-Peer Electronic Cash System）的白皮书。白皮书描述了一种电子现金系统，该系统允许对等体之间的在线支付，而不需要中央机构来处理结算。The1.1. 区块链的诞生17白皮书认为，该系统能够通过使用对等网络协议来解决双重开销问题。网络通过散列并将每个事务保存在使用工作量证明（PoW）算法生成的区块链中来标记每个事务。此PoW基于1997年提出的哈希-现金工作量证明算法，但在2002年的一篇论文中正式化[B+02]。其中一个想法是，连接到网络的一个人可以提出一个带有事务的新块，其余的人负责验证它。因此，第一个计算工作量证明的对等体是获得提出新块的能力并获得该工作奖励的对等体。2009年1月3日，比特币在第一个挖矿区块被添加到链中后复活。中本聪开采了第一个区块，他得到了50个比特币。第一个比特币接收者是哈尔·芬尼，他在2009年1月12日的世界上第一次比特币交易中从中本聪那里收到了2013年，比特币杂志的程序员和联合创始人维塔利克·布特林（VitalikButerin）向比特币社区提出，需要一种脚本语言来构建在区块链网络上运行的应用程序。在此之后，他开始了以太坊项目，构建一个基于区块链的新分布式计算系统，该系统具有脚本功能，可以创建单独的应用程序，称为智能合约。最初，智能合约是在以太坊区块链上部署和执行的分布式程序或脚本;它们可以用来进行交易。 如果满足某些条件。智能合约以特定的专业语法语言编写，并编译为字节码。这些应用程序在以太坊虚拟机（EVM）的顶部运行，EVM是一个去中心化的图灵完备虚拟机[Woo14]。如今，我们可以在不同的区块链平台上看到智能合约的EVM的主要原则是允许开发者创建和发布在以太坊区块链中运行的应用程序。这些应用程序也称为去中心化应用程序或DApp。如今，以太坊区块链上运行的DApp超过100个，包括社交媒体平台、赌博应用和金融交易所。此外，以太坊还有自己的原生加密货币（类似于比特币），称为以太币。这种加密货币可以在账户之间转移，并用于支付执行智能合约时使用的计算能力的费用。区块链的历史是最近才出现的;然而，早在中本聪发表比特币白皮书之前，区块链的主干就已经被提出。表1.1显示了在第一个区块链系统颠覆我们的技术生态系统之前，一些加密发现的演变时间线。如今，区块链技术正获得大量主流关注，并已在各种应用中得到应用，而不仅仅限于加密货币。