Seraphis : ce qu'il apportera à Monero

Cet article décrit Seraphis, un ensemble de structures et d'abstractions de protocole de transaction développé par le contributeur à la recherche, sous le pseudonyme de koe pour l'écosystème Monero, et avec une analyse de sécurité en cours par un contributeur répondant au pseudonyme de coinstudent2048.
Nous faisons quelques simplifications et omettons certains détails techniques par souci de clarté ; pour cette raison, et parce que la conception de Seraphis est toujours en cours, les lecteurs intéressés doivent se référer à la documentation de Seraphis pour les informations les plus récentes.

Des protocoles comme Bitcoin et Monero, entre autres, reposent sur un modèle de fonctionnement dit « de sortie », où une sortie est une représentation de la valeur qui peut être transférée.
Les transactions consomment une ou plusieurs sorties contrôlées par un expéditeur et génèrent de nouvelles sorties dirigées vers les destinataires (ou vers l'expéditeur en tant que change) ; la transaction doit être équilibrée en ce que les sorties consommées doivent contenir une valeur totale exactement égale à la valeur des nouvelles sorties (plus des frais de fonctionnement demandés par le réseau).
Dans de nombreux protocoles comme Bitcoin, la valeur contenue dans une sortie est écrite en clair, tout comme le destinataire.
De plus, en regardant la blockchain, il est trivial de voir si et quand une sortie a été dépensée (c'est-à-dire si elle a été consommée dans une transaction ultérieure, et quelle transaction l'a dépensée).

En revanche, des protocoles comme Monero introduisent un modèle différent :

• Les valeurs de sortie sont masquées et non visibles sur la blockchain
• Les adresses des destinataires sont masquées par l'utilisation d'un protocole d'adressage unique
• Le fait qu'une sortie ait été dépensée ou non est masqué par l'utilisation de signatures ambiguës

Le résultat est qu'en l'absence d'informations externes, il est difficile de déterminer si une sortie en particulier a été dépensée, quelle est sa valeur et qui en est le destinataire.

Le protocole de transaction Monero actuel s'appelle RingCT et utilise plusieurs briques de construction cryptographiques pour atteindre les objectifs de ce modèle.

• Les engagements cachent des montants d'une manière mathématiquement utile
• Les preuves de portée empêchent tout dépassement qui pourrait entraîner une augmentation de la réserve
• Les signatures de cercle fournissent une ambiguïté de signataire et empêchent les tentatives de double dépense
• Les compensations d'engagement affirment que les transactions s'équilibrent

Ces briques de construction du modèle global sont soigneusement entrelacées pour créer le protocole RingCT.

Une propriété utile du protocole RingCT est que certaines de ces briques peuvent être modifiées ou mises à jour de manière à conserver le modèle et les propriétés globales intactes, tout en améliorant l'efficacité ou la sécurité. En fait, ces types de mises à jour se sont produites (ou sont prévues) plusieurs fois dans l'histoire de Monero. Les preuves de portée dans le protocole RingCT original étaient volumineuses et lentes ; elles ont ensuite été mises à jour vers un modèle appelé Bulletproofs qui a rendu les transactions plus petites et plus rapides avec une meilleure analyse de sécurité, et elles devraient être mises à jour vers un modèle encore plus récent appelé Bulletproofs+ qui propose d'améliorer encore plus l'efficacité.

Un processus similaire a été suivi avec la brique de construction des signatures de cercle. Dans le protocole d'origine, un modèle appelé MLSAG était utilisé. Cela a ensuite été mis à jour vers un modèle plus récent appelé CLSAG qui est plus rapide, entraîne des transactions plus petites et a une meilleure analyse de sécurité. Un modèle de signature de cercle encore plus récent basé sur Triptych a été proposé, mais il n'a pas été sélectionné pour le déploiement en raison de ses impacts sur les opérations avec multi-signatures.

Seraphis pousse cette idée un peu plus loin.
Plutôt que de mettre à jour des briques de construction individuelles du protocole de transaction RingCT existant, il introduit un protocole différent qui peut tirer parti de différentes briques de construction et offrir des fonctionnalités améliorées.

Seraphis utilise un ensemble différent de briques de construction cryptographiques pour atteindre ses objectifs de conception.

• Les engagements cachent toujours des montants
• Les preuves de portée empêchent toujours tout dépassement qui pourrait entraîner une augmentation de la réserve
• Les preuves d'adhésion fournissent l'ambiguïté du signataire
• Les décalages d'engagement affirment toujours l'équilibre
• L'autorisation des preuves empêche les tentatives de double dépense

Remarquez le changement ici : les signatures de cercle sont remplacées par une combinaison de preuves d'adhésion et de preuves d'autorisation. En gros, les preuves d'adhésion montrent qu'une sortie consommée fait partie d'un ensemble plus large, similaire à ce qui se passe dans RingCT. Mais contrairement à RingCT, les preuves d'adhésion n'impliquent pas du tout la balise de liaison ! Les preuves d'autorisation montrent que la balise de liaison est valide et sont utilisées pour signer la transaction finale.

Étant donné que RingCT intègre la balise de liaison dans la signature ambiguë, les opérations de signature (et de multi-signatures) nécessitent davantage de calculs et il devient plus difficile de créer d'autres fonctionnalités liées aux balises. Mais dans Seraphis, la construction de preuves d'adhésion peut être déléguée en toute sécurité à d'appareils hautement fiables (qui peuvent avoir une puissance de calcul limitée, comme un portefeuille matériel) à un appareil moins fiable, et les opérations de signature (et de multi-signatures) sont beaucoup plus faciles en utilisant la preuve d'autorisation qui est beaucoup plus simple.

Heureusement, certaines des briques de construction requises par Seraphis existent déjà ailleurs et n'ont pas besoin d'être conçues à partir de zéro. Les technologies Bulletproofs et Bulletproofs+ peuvent être utilisées pour les preuves de portée. Des modifications aux systèmes de preuve de type Schnorr peuvent être utilisées pour autoriser des preuves. Et un système de vérification efficace déjà utilisé comme base pour Triptych, Lelantus et Spark^* peut être modifié pour les preuves d'adhésion.

^*Cypher Stack reçoit un financement pour le développement de Spark.

Malheureusement, les adresses Monero actuellement utilisées ne sont pas compatibles avec Seraphis. Les utilisateurs devraient générer de nouvelles adresses à partir de leurs clés de portefeuille afin de recevoir du Monero si Seraphis était implémenté. Cependant, ce coût écosystémique s'accompagne de nombreux avantages.

Outre les avantages structurels évoqués ci-dessus, la conception de Seraphis se prête à de nombreuses possibilités de construction d'adresses différentes, chacune s'accompagnant de compromis. Bien que la forme finale de l'adresse qui sera utilsée dans Seraphis est en cours de décision (un modèle recevant beaucoup d'attention est appelé JAMTIS), nous pouvons décrire certaines fonctionnalités communes et utiles.

Vous savez peut-être que les adresses Monero offrent la fonctionnalité clé de vue, où vous pouvez fournir une clé de vue à un appareil ou à un tiers et lui permettre de surveiller les sorties entrantes à votre nom, mais sans renoncer à votre autorité de dépenser. Ceci est utile pour les portefeuilles, qui peuvent rester à jour tout en gardant votre clé de dépense en toute sécurité. Il est également utile dans les cas où vous souhaitez proposer un accès à une vue externe, comme dans le cas d'un organisme de bienfaisance public offrant de la transparence ou une entreprise dotée d'un service comptable.

L'inconvénient des clés de vue Monero est qu'elles ne fournissent pas un accès complet ou précis à la vue. Il n'est pas possible de détecter de manière fiable quand un portefeuille dépense des fonds, ce qui rend difficile le calcul correct des soldes du portefeuille lorsque la clé de dépense n'est pas disponible. Il n'est pas non plus actuellement possible de détecter les sorties entrantes sans connaître également la valeur contenue dans ces sorties (ce qui signifie que tout tiers chargé de trouver les sorties entrantes saura exactement combien de Monero vous acquérez).

Le système d'adressage de Seraphis peuvent résoudre ce problème. Avec Seraphis, votre adresse est équipée de différentes clés qui peuvent faire différentes choses :

• Surveillez les sorties entrantes, mais masquez leur valeur
• Surveillez les sorties entrantes, mais affichez leur valeur
• Surveillez les sorties sortantes
• Vous aider à générer des transactions, mais pas à les signer
• Générer de nouvelles adresses (utile pour les commerçants ou les plateformes d'échanges avec de nombreux clients)

En tant que titulaire de l'adresse, vous décidez du degré d'autorité que vous déléguez à d'autres appareils ou à des tiers.

Seraphis est un changement majeur dans l'écosystème Monero. Bien qu'il implique des modifications des adresses et des briques de construction de transaction, sa conception offre une flexibilité et des fonctionnalités utiles qui ne sont pas possibles avec le protocole actuel RingCT. Alors qu'une grande partie du modèle est finalisée et développée dans une implémentation, le modèle du système d'adressage et l'analyse de la sécurité sont en cours. Seraphis offre une excellente opportunité de faire avancer l'écosystème Monero !