Приветствуем! Впервые на сайте Zcash?
The Zcash network is young, but evolving quickly! Sign up and we'll be in touch with monthly highlights on ecosystem growth, network development and how to get started with Zcash!

Язык

Научный обзор

Maureen Walsh | Jul 27, 2016

В основе нашей компании лежит научный подход, и частью нашей деятельности является продвижение передовых знаний. В этой статье вы найдете подборку новостей из мира науки, подготовленную нашей командой.

Атаки по сторонним каналам на стандартные приложения

3 августа на конференции Black Hat член команды Zcash Тейлор Хорнби презентует свою работу "Атаки по сторонним каналам на стандартные приложения".

В своей презентации он кратко опишет принцип действия атаки FLUSH+RELOAD, а также расскажет, как с ее помощью можно выстроить атаку для выявления входных данных. В частности, он на примере продемонстрирует, как пользователь Боб может выследить, на каких из страниц уже побывала Алиса, пока она просматривает топ 100 страниц Википедии. Это не самая серьезная атака, но все зависит от применения. Необходимо убедить сообщество, что атаки по сторонним каналам, а в частности и FLUSH+RELOAD, могут быть применены не только для взлома криптографии.

Тейлор известен изобретением тщательно проработанных систем безопасности, включая криптографическую библиотеку для PHP и генератор паролей, который не задействует сторонние каналы. Также Тейлор постоянно занят в нескольких проектах с открытым исходным кодом, проверяя системы безопасности и сам код. Отчасти, его работа базируется на исследованиях ученого из команды Zcash Эрэна Тромера (http://cs.tau.ac.il/~tromer/cache/).

Конференция будет проходить в Лас-Вегасе с 30 июля по 4 августа 2016 года. Больше информации здесь: https://www.blackhat.com/us-16/

Подлинность цифровых снимков

Исследователь из команды Zcash Эрэн Тромер показал, как применить SNARK для выявления подлинности цифровых фотографий.

В контексте социальных сетей, новостных ресурсов и предоставления легальных доказательств важным аспектом цифровой фотографии является ее подлинность. Теоретически для определения подлинности можно использовать встроенную в камеру специальную функцию, предлагаемую некоторыми производителями. Однако, обычно пользователи производят некоторые допустимые изменения фотографий (например, обрезают края или уменьшают яркость), чтобы сделать их более привлекательными и опубликовать. Не одно десятилетие было потрачено на то, чтобы разработать способ выявления подлинности фотографии, который бы позволял учитывать одни изменения, но не обращать внимания на другие.

Вместе со своим студентом Эрэн создал PhotoProof - первое в своем роде приложение, позволяющее выбирать, какие из параметров считать допустимыми, а какие нет. В принципе работы лежит та же система доказательств с нулевым разглашением SNARK, что и в Zcash. Разница лишь в том, что Zcash применяет SNARK для доказательства действительности валюты с помощью проделанных платежей, а PhotoProof подлинность фотографии с помощью проделанных изменений.

Об этом более подробно можно почитать здесь: https://cs.tau.ac.il/~tromer/photoproof/

Судебное дело о Законе об авторском праве в цифровую эпоху, раздел 1201: Научно-исследовательская работа противоречит Первой поправке

Фонд Электронных Рубежей (EFF) выдвинул иск правительству США от лица разработчиков и создателей ИТ с требованием отменить неэффективные и обременяющие положения закона об авторском праве, которые противоречат Первой поправке Конституции США, о чем говорится в этой статье.

Истцом данного разбирательства является Мэтью Грин из команды Zcash. "Он хочет быть уверен, что можно доверять средствам коммуникации, быть уверенным в надежности финансовых операций и сохранности личной медицинской информации. Несмотря на то, что это жизненно важные вопросы безопасности, в прошлом году Мэтью пришлось просить Библиотеку Конгресса о возможности использовать материалы библиотеки в его научно-исследовательской деятельности."

Blind Off-chain Lightweight Transactions – анонимные упрощенные транзакции вне цепи

Результатом совместной работы Мэтью Грина и Иана Маерса, двух из семи основателей/исследователей компании Zcash, стала научная публикация о BOLT (Blind Off-chain Lightweight Transactions – Анонимные упрощенные транзакции вне цепи). Это платежный канал на подобии Lightning, но с невероятно мощной системой защиты данных. Об этом мы более подробно напишем в нашем боге на следующей неделе.

Частные каналы оплаты имеют свои положительные стороны: не нужно ждать подтверждения блока. Также они позволяют существенно снизить количество транзакций, записываемых в блокчейн. Платежные каналы работают посредством создания между сторонами долговых расписок IOU, которые они могут обновлять без использования блокчейна для отражения баланса сделки. Но этот процесс не является до конца приватным, т.к. IOU также может служить уникальным идентификатором, при помощи которого можно связать несколько платежей. Так, например, если вы используете канал для оплаты за просмотр страниц в интернете, то канал может выступить в роли легко отслеживаемых cookie.

Для создания долговых расписок IOU с помощью BOLT используется система обязательств и слепых подписей. Когда вы представляете долговую расписку продавцу, то происходит запись об увеличении баланса торговца в IOU, но фактически не показывая, какие IOU вы используете, и, таким образом, кто вы. С помощью BOLT можно совершать платежи через посредника, когда нет прямого канал между двумя сторонами. И при этом посредник ничего не узнает, даже сумму которая выплачивается.

Доказательства с нулевым разглашением и никакой утечки информации

Гарантия защиты конфиденциальной информации Zcash обязана крупным достижениям в сфере компьютерных технологий за последние несколько лет. Эти научные достижения способствуют отказу от вероятностно проверяемых доказательств (PCPs).

Вероятностно проверяемые доказательства - это мощнейший теоретический инструмент, без которого до недавнего времени не мыслилась эффективная работа доказательств с нулевым разглашением. Причиной для отказа от использования вероятностно проверяемых доказательств стала их сложность и неэффективность на практике, несмотря на хорошую теоретическую основу.

Этот отказ влечет за собой некоторые потери: в новых системах существуют лазейки для утечки конфиденциальной информации, которая должна быть уничтожена сразу после инициализации системы. Обнаружение этой информации может помочь злоумышленникам взломать систему.

Своей недавней работой SCIPR Lab сделала первый весомый шаг в разработке систем PCP, которые на практике - а не в теории - не имеют лазеек утечки информации. На данный момент стало возможным генерировать доказательства, используя около миллиона машинных циклов. В число разработчиков входят также 5 человек из Zcash: Эли Бен-Сэссн, Алессандро Чиза, Эриэль Гэйбизэн, Эран Тромер и Мэдас Вирза.

Ciphertext Attack - Атака на основе шифротекста на iMessage

В Washington Post была опубликована статья о том, что сотрудниками Университета Джонса Хопкинса были найдены уязвимости в приложении Apple. К этому причастны и участники команды Zcash: Мэтью Грин, Иан Майерс и Кристина Гарман, которые занимались данным исследованием последние несколько месяцев. Далее приведен отрывок из блога Мэтью Грина, описывающий само исследование. Для более серьезного чтения предлагаем ознакомиться с полной научной работой (“Dancing on the Lip of the Volcano: Chosen Ciphertext Attacks on Apple iMessage.”).

Из блога Мэтью Грина ( полный текст здесь)... "Как вы уже могли догадаться по заголовку, речь пойдет о продукте Apple, а конкретнее о протоколе iMessage. Последние несколько месяцев я и мои ученики Кристина Гарман, Иан Майерс, Гейб Капчук и Майк Рушанан внимательно изучали кодировку, используемую в iMessage, с целью изучения защитных механизмов системы против всевозможных атак. Результатом нашего тщательного анализа стало обнаружение новейших атак, которые - при соблюдении некоторых особых условий - способны раскрыть содержание прикрепленных файлов, пересылаемых в iMessage, таких как фото и видео."

. сотрудниками Университета Джонса Хопкинса были найдены уязвимости в приложении Apple: https://www.washingtonpost.com/world/national-security/johns-hopkins-researchers-discovered-encryption-flaw-in-apples-imessage/2016/03/20/a323f9a0-eca7-11e5-a6f3-21ccdbc5f74e_story.html .. Dancing on the Lip of the Volcano: Chosen Ciphertext Attacks on Apple iMessage.: https://isi.jhu.edu/~mgreen/imessage.pdf .. полный текст здесь: http://blog.cryptographyengineering.com/2016/03/attack-of-week-apple-imessage.html

iMessage research team

Команда исследователей. Слева направо:

Присоединяйтесь к обсуждению в нашем Slack мессенджере или подписывайтесь на нашу рассылку.