2013. 12. 19.

조남수

Bitcoin 기술 분석

소프트웨어연구부문/사이버보안연구단/암호기술연구실

2

전자 화폐 (e-Cash)

David Chaum이 최초 제안

“Blind signature for untraceable payment”, Crypto 1982

발전 방향

현실 화폐의 특징과 최대한 유사하게 설계

익명성 강조

Off-line 사용

발행 기관이 제한적

위조 방지 (이중 사용 방지)

3

이중 사용

문제점 실물 화폐에 비해 복제가 용이함

Off-line 거래에서 이중 사용 방지는 근본적으로 어려움

사후 추적 기능 제공

이중 사용 방지를 위해 다양한 암호 기술 적용

비효율성 증가

011101101111…

011101101111…

011101101111…

…

4

Bitcoin

Satoshi Nakamoto 제안

“Bitcoin : A Peer-to-Peer Electronic Cash System”, 2009

기존 전자 화폐와 차별화

공개성

On-line 사용

발행 및 검증 분산화

5

해쉬 함수

SHA-256, RIPEMD-160

전자 서명

ECDSA

암호학적 도구

11010 … 011

공개키

서명 검증

비밀키

키생성

균일한 길이 난수열 출력

6

거래 정보를 모든 사용자에 공개

Bitcoin 구성

Alice Bob

Alice [1BTC] Bob

broadcast

Alice : 17BTC Bob : 23BTC

공유정보

…

7

Bitcoin 구성

위조 방지를 위한 전자 서명 추가

Alice Bob

Sig(SKAlice , Alice [1BTC] Bob)

broadcast

Alice : 17BTC Bob : 23BTC

공유정보

…

8

Bitcoin 구성

익명성 추가

Alice Bob

Sig(SKA1 , A1 [1BTC] Bob)

A1

A2

A3

broadcast

A1 : 1BTC Bob : 23BTC A2 : 5BTC A3 : 11BTC

공유정보

…

9

이중 사용

Bitcoin 구성

Alice Bob

Sig(SKA1 , A1 [1BTC] Bob)

A1

A2

A3

Charley

Sig(SKA1 , A1 [1BTC] Charley)

10

Block Chain을 이용한 transaction confirmation

Bitcoin 구성

Alice Bob

Sig(SKA1 ,1BTC : A1 Bob)

A1

A2

A3

Charley

Sig(SKA1 ,1BTC : A1 Charley)

Miner 이중 사용 확인

Bn-2 Bn-1 Bn …

Bn

confirmed

Transaction fail

11

Transaction = input + output

하나의 transaction에 다수의 input, output 포함 가능

output의 총합은 input 총합을 넘을 수 없음

Transaction 구조

A B 1BTC

B C 1BTC

C D1 0.6 BTC

C D2 0.4 BTC

D2 E 0.4 BTC

E F 0.4 BTC

E’ F 0.7 BTC

F G 1.1 BTC

Transaction

input output

12

신규 transaction의 input을 확인

이중 사용 확인

Tx5(0)

Transaction (Tx5)

input output

Tx5(1)

Tx5(2)

Tx1(0)

Tx2(1)

Tx4(2)

Tx1

Tx2

Tx3

Tx4

Tx1(0)

Tx1(1)

Tx2(0)

Tx2(1)

Tx3(0)

Tx4(0)

Tx4(1)

Tx4(2)

Tx1(1)

Tx2(0)

Tx1(0)

Tx3(0)

코인생성

이중 사용 확인

Tx2(1)

Tx4(0)

Tx4(1)

Tx4(2)

unspent outputs

13

서명 및 검증

Transaction 서명 및 검증

자료 : “Bitcoin : A Peer-to-Peer Electronic Cash System”, S. Nakamoto

14

Example (Real Transaction)

Hash : 98ead69d1637143d9b548482c20872a230ff657b8c4e5b1bde2ae92b98c62e06

Appeared in Block 275,686 (2013-12-18 19:36:15)

Size : 798 bytes

input

output

자료 : blockexplorer.com

15

Example (Transaction Raw Data)

자료 : blockexplorer.com

16

Example (Coinbase Transaction)

자료 : blockexplorer.com

17

Block Chain 구조

자료 : “Bitcoin : A Peer-to-Peer Electronic Cash System”, S. Nakamoto

18

Merkle Tree 구조

Tx1 Tx2 Tx3 Tx4 Tx5 Tx6

h(Tx1) h(Tx2) h(Tx3) h(Tx4) h(Tx5) h(Tx6)

a1 a2 a3 a4 a5 a6

h(a1||a2)

b1

h(a3||a4)

b2

h(a5||a6)

b3

h(a5||a6)

b4

복제

h(b1||b2)

c1

h(b3||b4)

c2

h(c1||c2)

d1

19

Proof of work (hashcash)

Block 생성을 위해 일정량의 계산을 요구

전체 Block의 256-bit hash값에 대한 조건이 주어짐

0 < hash of Block < Target

조건을 만족하는 nonce를 찾는 문제

컴퓨팅 환경 및 사용자 변화와 무관하게 각 block 생성에 걸리는 시간을 일정하게 유지

난이도 조정

매 2016 block 마다 조정 (1block/10분 = 2016blocks/2주)

new Target = old Target ×

최근 2016 block 생성에 걸린 시간 (초)

2주 (초)

20

Mining & Incentives

Mining

기존 block chain에 새로운 block를 계산하여 추가

최근 생성된 block이 복수일 경우, miner가 새 block을 추가할 branch 선택

기존 block에 포함되지 않은 transaction을 선택적으로 포함 (이중 사용 transaction 제외)

Incentives

각 block은 첫 transaction으로 bitcoin 발행

최초 50BTC/1block 발행, 매 21만 block마다 반감

(현재 25BTC/1block)

Block에 포함된 모든 transaction의 verification fees

21

Block Example

Block #275,667

자료 : blockexplorer.com

22

Genesis Block

자료 : blockexplorer.com

23

Fork

(거의) 동시에 두 개의 새로운 Block이 chain에 연결

각 노드(miner)는 두 block 중 하나를 선택, 새로운 block 연결

miner의 선택에 따른 branch 사이의 경쟁

두 branch의 차이가 크게 벌어질 수록 많은 수의 miner가 긴 branch로 이동하고, 최종적으로 짧은 branch는 사라짐

Bn-2 Bn-1 Bn

Bn+1

B’n+1

Bn-2 Bn-1 Bn

Bn+1

B’n+1

Bn+2 Bn+3 Bn+4

B’n+2

24

이중 사용 방지

가정 기존 block에서 사용되고 확인된 output을 새로운

transaction에 input으로 사용하는 것은 불가능

모든 transaction은 block에 추가되어야 거래가 완료

즉, 이중 사용을 위해서는 동일 output을 포함한 transaction이 서로 다른 branch에 나뉘어 있어야 함

Branch 통합 후 사라진 branch에 포함된 transaction 중 기존 block chain

에 포함되지 않은 transaction은 새로운 block에서 흡수 이중 사용 transaction은 새로운 block에서 제외됨

25

Transaction 저장

Transaction 과거의 모든 transaction을 저장하지 않고 사용이 완료된

transaction에 대한 기록은 폐기

“unspent transaction” 리스트만 관리

Merkle Tree 축약

a1 a2 a3 a4 a5 a6 a7 a8

b1 b2 b3 b4

c1 c2

Root

spent spent spent spent spent spent spent

Tx1 Tx2 Tx3 Tx4 Tx5 Tx6 Tx7 Tx8

a3 a4

b1 b2

c1 c2

Root

Tx4

26

51% attack 공격자가 전체 사용자의 51% 이상의 계산 능력을 지님

공격자는 두 개의 branch를 고의로 생성, 두 개의 branch 중 자신이 원하는 branch를 정당한 block chain으로 남길 수 있음

Race Attack 정당한 transaction 전송(unicast)함과 동시에 동일 input에 대한 수 백 개의

작은 transaction을 생성하여 여러 사용자에 전송(broadcast)

많은 사용자들에 전송한 transaction이 정당한 것으로 인정받을 확률이 높음

Finney Attack 공격자가 Transaction(AA’)을 포함한 block 생성

동일한 coin으로 Transaction(AB)를 지불

B가 거래를 인정하면 미리 생성한 block 발표

공격의 대상이 block confirmation까지 거래를 대기하면 방어 가능

알려진 공격들

27

Q & A

Thank You