TU Darmstadt / ULB / TUbiblio

On the (im)possibility of building off-chain protocols from minimal assumptions

Riahi, Siavash (2023)
On the (im)possibility of building off-chain protocols from minimal assumptions.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00024399
Dissertation, Erstveröffentlichung, Verlagsversion

Kurzbeschreibung (Abstract)

Blockchains have come a long way since the introduction of Bitcoin in 2008. Cryptocurrencies have become a household name as more people and even countries see the appeal in a secure decentralized ledger capable of processing monetary transactions and executing programs. Yet, one of the drawbacks of such decentralized systems is their lack of scalability. Hence, blockchains are unfortunately not ready to replace the existing financial system or cost-effectively execute programs. One class of solutions, proposed to tackle these limitations, are off-chain protocols. These protocols shift the communication away from the blockchain, by allowing parties to mostly communicate directly with each another. This direct communication is also referred to as off-chain communication. Probably the most well-known off-chain solution developed to date are Payment Channel Networks (PCNs). PCNs allow parties to make monetary transactions off-chain. Recently, more advanced off-chain solutions such as virtual channels, state channels and Plasma protocols have been developed for the Ethereum blockchain. These solutions allow making payments with improved efficiency and even executing programs (called smart contracts) off-chain. However, they rely on the fact that the Ethereum blockchain can execute Turing complete smart contracts, and it was unclear if one can build such protocols over more restricted blockchains such as Bitcoin.

In this thesis, we start by showing that virtual and state channels can be built over Bitcoin and similar blockchains. First, we present a new channel solution called generalized channels over Bitcoin. Generalized channels are comparable to state channels over Ethereum, i.e., generalized channels allow parties to execute applications off-chain that are supported by the underlying blockchain. In order to design generalized channels, we formalized a new primitive called adaptor signatures for the first time and show that Schnorr and ECDSA instantiations of this primitive are secure in our model. We then show that virtual channels can also be built over Bitcoin and Bitcoin-like blockchains. Virtual channels improve the efficiency of PCNs by reducing the communication needed for making off-chain payments. We further analyze the security of our protocols in the Universal Composability framework of Cannetti.

We continue by extending our adaptor signature formalization and model two-party adaptor signatures. This extension helps improve the efficiency of our generalized channel construction. We provide two generic transformations that allow us to instantiate single and two-party adaptor signature schemes from signature schemes built from identification schemes that satisfy certain properties. We show that the Schnorr, Katz-Wang, and Guillou-Quisquater signature schemes satisfy the necessary properties required by our transformations and can generically be transformed into single and two-party adaptor signatures. Finally, we show that it is impossible to transform unique signatures schemes such as BLS into adaptor signature schemes.

After showing how to instantiate generalized and virtual channels over more restricted blockchains such as Bitcoin, we turn our attention to an alternative off-chain protocol called Plasma. In this solution, a single operator is responsible for updating parties' balances off-chain according to their transactions. On a high level, there are two classes of Plasma protocols, Plasma Cash and Plasma MVP, each with its advantages and disadvantages. Many in the Ethereum community focused on building a protocol that inherits the best properties of both classes without suffering from their disadvantages. We show that it is impossible to build a protocol that achieves the best of both worlds. Put differently, there is an inherent separation between Plasma Cash and MVP. This result can also be seen as "bringing order'' to the huge landscape of Plasma protocols discussed in the Ethereum community. We further provide a formal model for Plasma protocols and also present instantiations of Plasma Cash and MVP that are secure in our model.

Finally, we conclude this thesis by presenting CommiTEE, an efficient yet simple Plasma protocol using a Trusted Execution Environment (TEE). A TEE is a piece of hardware that guarantees the correct execution of programs and secure storage of secret values. We only require the operator to have access to a TEE, and hence the end users are not burdened with purchasing expensive equipment. Our protocol removes many of the drawbacks seen in other Plasma constructions and offers a practical solution for real-world usage.

Typ des Eintrags: Dissertation
Erschienen: 2023
Autor(en): Riahi, Siavash
Art des Eintrags: Erstveröffentlichung
Titel: On the (im)possibility of building off-chain protocols from minimal assumptions
Sprache: Englisch
Referenten: Faust, Prof. Dr. Sebastian ; Erkin, Prof. Dr. Zekeriya ; Loss, Dr. Julian
Publikationsjahr: 2023
Ort: Darmstadt
Kollation: 254 Seiten in verschiedenen Zählungen
Datum der mündlichen Prüfung: 24 März 2023
DOI: 10.26083/tuprints-00024399
URL / URN: https://tuprints.ulb.tu-darmstadt.de/24399
Kurzbeschreibung (Abstract):

Blockchains have come a long way since the introduction of Bitcoin in 2008. Cryptocurrencies have become a household name as more people and even countries see the appeal in a secure decentralized ledger capable of processing monetary transactions and executing programs. Yet, one of the drawbacks of such decentralized systems is their lack of scalability. Hence, blockchains are unfortunately not ready to replace the existing financial system or cost-effectively execute programs. One class of solutions, proposed to tackle these limitations, are off-chain protocols. These protocols shift the communication away from the blockchain, by allowing parties to mostly communicate directly with each another. This direct communication is also referred to as off-chain communication. Probably the most well-known off-chain solution developed to date are Payment Channel Networks (PCNs). PCNs allow parties to make monetary transactions off-chain. Recently, more advanced off-chain solutions such as virtual channels, state channels and Plasma protocols have been developed for the Ethereum blockchain. These solutions allow making payments with improved efficiency and even executing programs (called smart contracts) off-chain. However, they rely on the fact that the Ethereum blockchain can execute Turing complete smart contracts, and it was unclear if one can build such protocols over more restricted blockchains such as Bitcoin.

In this thesis, we start by showing that virtual and state channels can be built over Bitcoin and similar blockchains. First, we present a new channel solution called generalized channels over Bitcoin. Generalized channels are comparable to state channels over Ethereum, i.e., generalized channels allow parties to execute applications off-chain that are supported by the underlying blockchain. In order to design generalized channels, we formalized a new primitive called adaptor signatures for the first time and show that Schnorr and ECDSA instantiations of this primitive are secure in our model. We then show that virtual channels can also be built over Bitcoin and Bitcoin-like blockchains. Virtual channels improve the efficiency of PCNs by reducing the communication needed for making off-chain payments. We further analyze the security of our protocols in the Universal Composability framework of Cannetti.

We continue by extending our adaptor signature formalization and model two-party adaptor signatures. This extension helps improve the efficiency of our generalized channel construction. We provide two generic transformations that allow us to instantiate single and two-party adaptor signature schemes from signature schemes built from identification schemes that satisfy certain properties. We show that the Schnorr, Katz-Wang, and Guillou-Quisquater signature schemes satisfy the necessary properties required by our transformations and can generically be transformed into single and two-party adaptor signatures. Finally, we show that it is impossible to transform unique signatures schemes such as BLS into adaptor signature schemes.

After showing how to instantiate generalized and virtual channels over more restricted blockchains such as Bitcoin, we turn our attention to an alternative off-chain protocol called Plasma. In this solution, a single operator is responsible for updating parties' balances off-chain according to their transactions. On a high level, there are two classes of Plasma protocols, Plasma Cash and Plasma MVP, each with its advantages and disadvantages. Many in the Ethereum community focused on building a protocol that inherits the best properties of both classes without suffering from their disadvantages. We show that it is impossible to build a protocol that achieves the best of both worlds. Put differently, there is an inherent separation between Plasma Cash and MVP. This result can also be seen as "bringing order'' to the huge landscape of Plasma protocols discussed in the Ethereum community. We further provide a formal model for Plasma protocols and also present instantiations of Plasma Cash and MVP that are secure in our model.

Finally, we conclude this thesis by presenting CommiTEE, an efficient yet simple Plasma protocol using a Trusted Execution Environment (TEE). A TEE is a piece of hardware that guarantees the correct execution of programs and secure storage of secret values. We only require the operator to have access to a TEE, and hence the end users are not burdened with purchasing expensive equipment. Our protocol removes many of the drawbacks seen in other Plasma constructions and offers a practical solution for real-world usage.
Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Seit der Einführung von Bitcoin im Jahre 2008 hat sich um das Thema blockchain sehr viel getan. Kryptowährung wurde ein bekannter Begriff, insbesondere da mehr und mehr Menschen und sogar ganze Länder den Reiz eines sicheren dezentralen Verzeichnisses erkennen, das in der Lage ist finanzielle Transaktionen und komplexe Programme auszuführen. Allerdings leiden solche dezentralen Systeme nach wie vor an mangelnder Skalierbarkeit. Daher sind blockchains auch weiterhin nicht bereit, existierende finanzielle Systeme zu ersetzten oder eine kosteneffiziente Rechenplattform zu liefern. Eine Klasse an Lösungen, welche die Skalierbarkeitsproblem angehen, sind sogenannte off-chain Lösungen. Diese Protokolle reduzieren die Kommunikation mit der blockchain, indem sie es Parteien ermöglichen hauptsächlich direkt miteinander zu kommunizieren. Eine solche Kommunikation wird als off-chain Kommunikation bezeichnet. Die bisher wahrscheinlich bekannteste off-chain Lösungen sind Payment Channel Networks (PCNs). PCNs erlauben es Parteien finanzielle Transaktionen off-chain auszuführen. In den letzten Jahren wurden weitere und fortgeschrittenere off-chain Lösungen für die Ethereum blockchain entwickelt, wie beispielsweise Virtual Channels, State Channels und Plasma Protokolle. Diese Technologien ermöglichen effizientere off-chain Zahlungen und die off-chain Ausführung von komplexeren Programmen, sogenannten Smart Contracts. Allerdings verlassen sich diese Protokolle auf die Tatsache, dass die Ethereum blockchain Turing-vollständige Smart Contracts ausführen kann. Bisher war es unklar, ob solche Protokolle auch für eingeschränktere blockchains, sowie Bitcoin, entwickelt werden können.

Wir beginnen diese Thesis, indem wir zeigen, dass Virtual und State Channels auch auf Bitcoin und vergleichbaren blockchains aufgesetzte werden können. Zuerst präsentieren wir eine neue auf Bitcoin aufsetzende Channel Technologie, die wir Generalized Channels nennen. Generalized Channels sind mit State Channels auf Ethereum vergleichbar. Das bedeutet, sie erlauben die off-chain Ausführung jeglicher Programme, die auch von der darunter liegenden blockchain unterstützt werden. Als Baustein für unsere Generalized Channels führen wir eine neue Primitive ein, welche Adaptor Signaturen genannt wird. Wir formalisieren diese Primitive, zeigen dass sie basierend auf Schnorr und ECDSA instanziiert werden kann, und beweisen die Sicherheit der Instanziierungen in unserem Modell. Anschließend zeigen wir, dass auch Virtual Channels auf Bitcoin und ähnlichen blockchains aufgesetzt werden können. Virtual Channels verbessern die Effizienz von PCNs, indem sie die für off-chain Zahlungen notwendige Kommunikation reduzieren. Wir analysieren und beweisen die Sicherheit unserer Protokolle in Canettis Universal Composability Framework.

Im nächsten Teil der Thesis erweitern wir die Formalisierung von Adaptor Signaturen und modellieren eine Variante der Primitive für zwei Parteien. Mit dieser Erweiterung verbessern wir die Effizienz unserer Generalized Channel Konstruktion. Anschließend stellen wir zwei generische Transformationen vor, welche es uns ermöglichen die Einparteien- beziehungsweise die Zweiparteienvariante der Primitive zu instanziieren. Ausgangspunkt der Transformationen sind Signaturverfahren, die auf Identifikationsverfahren basieren und bestimmte Eigenschaften erfüllen. Wir zeigen, dass Schnorr, Katz-Wand und Guilou-Quisquater Signaturverfahren die von unseren Transformationen benötigten Eigenschaften erfüllen und damit generisch in die Einparteien- und Zweiparteienvariante der Adaptor Signaturen transformiert werden können. Abschließend beweisen wir, dass es unmöglich ist eindeutige Signaturverfahren, wie beispielsweise BLS, in Adaptor Signaturverfahren zu transformieren.

Nachdem wir gezeigt haben, wie Generalized und Virtual Channels auf eingeschränkten blockchains wie Bitcoin aufgesetzt werden können, wenden wir unsere Aufmerksamkeit einem alternativen off-chain Protokoll namens Plasma zu. In Plasma ist eine einzige Partei, der Operator, dafür zuständig das Guthaben aller beteiligten Parteien off-chain basierend auf den Transaktionen im System zu updaten. Plasma Protokolle können grob in zwei Kategorien mit unterschiedlichen Vor- und Nachteilen eingeteilt werden, Plasma Cash und Plasma MVP. Die Ethereum Community investierte viel Aufwand darauf ein Protokoll zu entwickeln, welches die Vorteile beider Klassen kombiniert ohne unter den jeweiligen Nachteilen zu leiden. Wir zeigen, dass dies unmöglich ist, oder in anderen Worten, dass es eine inhärente Trennung zwischen Plasma Cash und MVP gibt. Dieses Ergebnis hilft die riesige Menge an unterschiedlichen Plasma Protokollen etwas weiter zu ordnen. Zusätzlich stellen wir ein formales Modell für Plasma Protokolle auf und präsentieren Instanziierungen von Plasma Cash und MVP, welche in unserem Modell sicher sind.

Wir schließen die Thesis mit der Vorstellung von CommiTEE ab, einem effizienten aber einfachen auf Trusted Execution Environments (TEE) basiertem Plasma Protokoll. Eine TEE ist ein Hardware Element, welches die korrekte Ausführung von darin laufenden Programmen und sichere Speicherung deren Werten garantiert. In unserem Protokoll muss nur der Operator Zugriff auf eine TEE haben. Es ist nicht notwendig, dass die Nutzer sich zusätzliche teure Ausrüstung zulegen. Durch das beseitigen vieler der bisherigen Nachteile von Plasma Protokollen, bietet CommiTEE eine praktische Lösung für Echtweltanwendungen.

Deutsch
Status: Verlagsversion
URN: urn:nbn:de:tuda-tuprints-243996
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
20 Fachbereich Informatik > Angewandte Kryptographie
Hinterlegungsdatum: 14 Sep 2023 12:38
Letzte Änderung: 18 Sep 2023 13:37
PPN:
Referenten: Faust, Prof. Dr. Sebastian ; Erkin, Prof. Dr. Zekeriya ; Loss, Dr. Julian
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 24 März 2023
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen
OAI 2.0-Basis-URL: https://tubiblio.ulb.tu-darmstadt.de/cgi/oai2 TUbiblio verwendet EPrints 3.
Drucken | Impressum | Datenschutzerklärung