https://thecontrol.co/an-overview-of-privacy-in-cryptocurrencies-893dc078d0d7
“在我眼中,隐私就是让我们免于言行受到外界关注的困扰,并创造出一些空间以便我们为了自身的幸福而随心所欲地进行优化,只是为了我们自己的幸福,而不是因为在意别人对我们的看法。”—— Vitalik Buterin
众所周知,隐私性是近来加密货币领域的一项重要话题。无论是公司还是个人,都不希望本国政府、他国政府、家人、同事或商业竞争对手可以毫无限制地随意查看他们发布在公有链上的所有信息。
目前针对保护区块链上隐私的各种方法已经过大量的试验和研究。然而,我们尚未看到过关于这方面的综合性概述。在这篇文章中,我们将从以下四个方面分析有关隐私领域的最新试验和研究情况:1)隐私币;2)智能合约隐私;3)隐私架构;和4)隐私研究。
原先,比特币是作为匿名加密货币被开发的,只要现实世界的身份无法与比特币地址联系起来,就能保护隐私。然而,由于比特币区块链的公开性,人们很快就发现,基于某些地址和交易的使用模式是有可能识别个人身份的。另外,节点在广播交易时也会泄露自己的 IP 地址。
每个节点代表一个地址,每条边代表一项交易。许多节点(诸如 Mt. Gox、Silk Road 和 Satoshi Dice)的身份都已经根据其交易模式被识别出来了。
2013年,Meiklejohn 等人成功地识别出了很多在线钱包、商户和其它服务提供商的身份。如今,诸如 Chainalysis 和 Elliptic 等服务提供商将区块链去匿名化,从而侦查洗钱、欺诈和违规行为。
-在这个示例中,可以看出 {Alice, Bob} 向 {Carol, Ted} 发送了比特币,但是无法精确判断发送者和接收者的身份。不同的用户重复几次这个过程之后,匿名集就会扩大。-
为了解决比特币隐私性被削弱的问题,CoinJoin(混币) 等 Tumbler 服务应运而生,以提高比特币的匿名性。CoinJoin 让用户共同创建交易来变更其代币的所有权,赋予集合中的每个用户匿名性。随着不同的用户不断重复这个过程,这个匿名集会扩大。犯罪分子一直都在利用这种 Tumbler 服务将可识别的比特币与其他资金混在一起,从而掩盖该资金的来源。
但是 Coinjoin 有其自身的缺陷。Coinjoin 的隐私性依赖于匿名集的大小。而实际上,每项 Coinjoin 交易中平均只有 2 到 4 名参与者,因此研究人员能够将 67% 的 Coinjoin 交易去匿名化。后期,随着 Coinjoin 的改进,又出现了更好的加密货币 Tumber 服务,如 TumbleBit 等,但是 TumbleBit 也存在局限性。
由于比特币缺乏隐私性,而且在协议层面上尚无提高自身隐私性的计划,目前已经涌现出好几种支持私密交易的新型加密货币。
Zcash 由一支强大的密码学家团队通过 zk-SNARKs 技术创建的。1985 年,Goldwasser、Micali 和 Rackoff 最先提出了“零知识证明”的开创性想法。2015 年,Eli Ben-Sasson 等人在零知识证明的基础上进一步开发了 zk-SNARKs 技术,该技术在使人们能够简洁且非交互性地证明自己知道某个信息的同时不透露具体内容。zk-SNARKs 为许多与隐私相关的项目提供了技术支持,并且可以利用一种名为递归组合的技术压缩区块链的规模。
Zcash 团队目前致力于 Sapling 项目,这是一次对网络的性能升级,将改善隐蔽(加密)交易的性能和功能,计划于 2018 年 10 月启动。由于大约 85% 的 Zcash 交易仍公开发送,发送受保护的交易在计算方面的成本十分高昂,因此 Sapling 项目将有望增加受保护交易的数量(编者注:2018 年10 月 28 日,Sapling 在 Zcash 主网成功激活)。
门罗币(Monero)是另一种隐私币,使用的是环签名而非 zk-SNARKs 技术。目前,门罗币团队正在构建 Kovri 以支持保护隐私的封包路由,这样一来,用户可以隐藏自身地理位置和 IP 地址。将用户的网络流量匿名化将大幅度提高门罗币网络的安全性,并确保用户不会因为使用了门罗币而遭到逮捕或人身伤害。
Zcash 和门罗币经常被拿来比较。这两个社区都是由 Twitter 名人领导的—— Zooko Wilcox 领导 Zcash,Riccardo Spagni (@fluffypony) 领导门罗币——但不同之处在于,Zcash 背后有一家公司和一家基金会的支持,而门罗币只拥有一个由核心开发人员组建而成的有机社区。这两个项目曾在匿名性方面都存在缺陷:研究人员能够将 69% 的 Zcash 隐蔽交易与创始人/矿工联系起来,也能将 62% 的门罗币交易去匿名化;但这些缺陷目前已得到修正。
然而,这两个项目本质上采用了迥异的隐私保护方法,并且采取了不同的折衷方案。到目前为止,我还无法确定这两个项目从长远来看哪个更胜一筹。在我看来,Zcash 和门罗币将继续像可口可乐和百事可乐那样共存。
- Mimblewimble 是《哈利波特》中的锁舌咒,Tom Elvis Jedusor 是伏地魔的法语名,Ignotus Peverell 是隐形衣的原主人。(校对注:即下文中人采取的化名都是从哈利波特里来的 : ) )-
Mimblewimble 是一个专注于隐私的新区块链项目,建立在比特币的设计基础上。2016 年 7 月 19 日,“Tom Elvis Jedusor”向一个比特币研究渠道投了白皮书,随后就消失了。后来,“Ignotus Peverell”启动了一个名为 Grin 的 GitHub 项目,并开始真正落实 Mimblewimble 的白皮书。Blockstream 公司的 Andrew Poelstra 在 2017 年斯坦福 BPASE 大会上展示了他们的工作成果,此后 Grin 开始获得大量的主流关注。Grin 的第三个测试网已经发布,其主网预计将在 2019 年初首次亮相。
Mimblewimble/Grin 是对比特币的隐私交易和 Coinjoin 做出的一次改进。关键特点包括无公开地址、完全隐私化和区块链简洁化。近来, Grin 挖矿迎来了热潮,因为和比特币一样,Grin 币只能够通过工作量证明挖矿获得。Grin 利用的是布谷鸟循环(Cuckoo Cycle)工作量证明算法,该算法最初设计为抵制 ASIC 的,而如今却被认为是支持 ASIC 的。
总体来说,Grin 将一系列令比特币如此强大的社会特性——匿名创始人、无领导的开发团队、POW 共识、无 ICO、无链上治理——与针对 Zcash 和门罗币的技术改进相结合。和比特币不同的是,Grin 的总供应量是不受限制的,它采用了线性供应的货币政策,这意味着通货膨胀在早期非常高,但在一段时间后逐渐趋近(但不达到)零。Grin 网络发布后,早期的通货膨胀会刺激消费而非投机。尽管持续的通货膨胀会阻碍 Grin 成为理想的价值储存手段,但是等到比特币的区块奖励消失而矿工只能赚取交易费的时候,Grin 就能避免像比特币那样的不稳定性。
Grin 的新型货币政策与备受争议的 Zcash 创始人奖励 大不相同,后者指在最初的 4 年里,项目开发人员会得到新铸造的 ZEC 中的 20% 。MimbleWimble 区块链的规模与用户数量而非交易数量成比例,通过使用门罗币的环形签名避免出现 UTXO 集膨胀问题。
其他有趣的隐私币包括 MobileCoin 和 BEAM 等,目前还处在开发早期。
智能合约中的程序代码是开放的,所以智能合约隐私与支付隐私是不一样的。不幸的是,程序混淆经证明是不可能出现的,因此智能合约目前既缺乏保密性(隐藏支付金额),又缺乏匿名性(隐藏发送者和接收者的身份)。
在我看来,当企业准备大规模建立去中心化应用并需要隐藏其客户的活动时,就会出现对智能合约隐私性的强烈需求;目前,让所有人都看到像加密猫这类去中心化应用的使用,这并没有什么不好。这有点像是互联网一开始出现之时,基础网站都使用的 HTTP 协议,而后由于电子商务等活动需要加密网络流量,才针对相关网站引入了 HTTPS 协议。
-以太坊中没有隐私,所有人都可以在 DappRadar 上看到去中心化应用的使用情况。-
就以太坊而言,Benedikt Bünz 正在斯坦福大学从事一项关于私人支付机制的研究,名为 Zether;这种机制与以太坊完全兼容,并且可以为以太坊智能合约提供保密性和匿名性。 Zether 将作为一种以太坊智能合约执行,将 gas 消耗降至最低。Zether 还具备多种功能,可以为支付渠道等常见应用带来可证明的隐私性。
Keep 是另一个通过为私有数据创建链下容器的方式搭建以太坊隐私层的项目。因此,智能合约可以在无需向公有链公开数据的情况下管理和使用私有数据。
虽然对于以太坊来说,隐私性的优先级别目前仅次于 Casper 排在第二,但是以太坊基金会实施 Casper 的进度很慢,而且风险在于隐私性要到多年后才会成为以太坊的核心特征。如果在此期间智能合约中的隐私性成为加密社区急需解决的问题,将会出现新的隐私性智能合约平台来填补这一空白,就像 Zcash 和门罗币的出现填补了比特币在隐私支付方面的缺陷。Enigma、Origo 和 Covalent 也都是新的智能合约平台,它们试图在区块链中实现原生的隐私功能。
Oasis Labs 是另一个令人兴奋的隐私项目,构建了新的智能合约平台 Ekiden,该平台将智能合约的执行与底层共识机制分隔开。智能合约在一个被称为安全区的独立硬件(如英特尔 SGX)内部运行。这个安全区就像一个暗箱,使计算相对于其他应用保持私密。它还会生成一个加密证明来证明程序是正确执行的,然后将这个证明存储在区块链中。通过将智能合约的执行与共识分离,Ekiden 可以兼容包括以太坊在内的不同底层区块链。
除了隐私币和私有智能合约外,Web 3 堆栈(编者注:中译本见文末超链接)还有其他重要的隐私架构项目值得一提。
Orchid 正在尝试建立一个优化后的 Tor 版本,其中,用户通过出租自己额外的带宽来获得代币,成为 Orchid 网络中的中继者。Tor 的问题在于只有大约 6000 个中继节点和不到 2000 个桥节点,因此政府可以将所有中继节点和桥节点拉入黑名单,从而防止其公民访问 Tor。如果利用代币作为经济激励去鼓励更多人成为中继者的话,除非随着网络的扩大相应加大阻挡面,否则阻挡 Orchid 的难度就会加大。
BOLT 正在建立一个私人支付渠道;当参与者开户、交易和关闭支付渠道时,该渠道使用盲签名和零知识证明来隐藏参与者的身份。最初的支付渠道建立在 Zcash 上的,但将能够与比特币和以太坊进行互操作。
NuCypher 正在搭建一个去中心化密钥管理系统;该系统使利用代理再加密技术提供与 HTTPS 相同的功能。代理再加密属于公钥加密,让用户能够在不了解底层消息的情况下将密文从一个公钥转换到另一个公钥。
Starkware 正在包括以太坊在内的各种区块链上实行 zk-STARKs。zk-STARKs 相比 zk-SNARKs 的优势在于前者不需要可信设置,尽管加密证明的容量也会大得多。
密码学的学术研究推动了隐私领域的创新。隐私研究主要涉及的主题有零知识、多方计算和全同态加密。
除了 zk-SNARKs 和 zk-STARKs 之外,Bulletproofs 是一种新型的简短非交互式零知识证明。与 zk-STARKs 类似的一点是,Bulletproofs 不需要可信设置,但验证 Bulletproofs 比验证 zk-SNARKs 证明更耗时。Bulletproofs 在设计上能够实现加密货币的高效私密交易,并将证明的大小从 10 KB 以上缩小到 1-2 KB。如果所有比特币交易都保密且使用 Bulletproofs 的话,那么 UTXO 集的总体大小仅为 17 GB,就目前使用的工作量证明而言,UTXO 集的总体大小是 160 GB。
-不同零知识证明系统的权衡方案。-
多方计算使一组人在不透露各自输入值的情况下,使用各自的输入值共同计算一则函数。 例如,Alice 和 Bob 想知道谁持有的比特币更多,同时又不透露各自的比特币数量。不幸的是,多方计算目前的局限性在于其在实际运用中效率极低。
全同态加密使人们能够基于加密数据进行计算。几十年来,这一直是密码学领域一个未解决的问题,直到 2009 年,斯坦福大学博士生 Craig Gentry 利用理想格构想出了首个全同态加密方案。例如,如果 Bob 想对 Alice 的数据进行任意计算,比如训练机器学习模型,同时 Alice 不需要透露其明文数据,那么这时该方案就能发挥用处。全同态加密和多方计算一样仍然处于理论阶段,实际运用时效率太低。
总体来说,隐私性是目前密码学研究中最引人注目的领域之一,如果这些理论技术要在现实世界中得以实际运用,还需要对其进行大量的效率优化工作。斯坦福大学区块链研究中心等一系列研究实验室正积极推进这个领域的工作,至于接下来数年将会取得哪些重大突破,我们可以拭目以待。
加密货币的益处在于它为最新的隐私研究提供了直接的应用场景。代币、智能合约和架构中使用的许多隐私技术都是几年前才发明出来的。考虑到这个领域迅猛的发展速度,隐私性将逐渐发展成加密项目设计中最主要的一个部分。
链接: https://thecontrol.co/an-overview-of-privacy-in-cryptocurrencies-893dc078d0d7