“在我眼中,隱私就是讓我們免於言行受到外界關注的困擾,並創造出一些空間以便我們為了自身的幸福而隨心所欲地進行優化,只是為了我們自己的幸福,而不是因為在意別人對我們的看法。”—— Vitalik Buterin
眾所周知,隱私性是近來加密貨幣領域的一項重要話題。無論是公司還是個人,都不希望本國政府、他國政府、家人、同事或商業競爭對手可以毫無限制地隨意檢視他們釋出在公有鏈上的所有資訊。
目前針對保護區塊鏈上隱私的各種方法已經過大量的試驗和研究。然而,我們尚未看到過關於這方面的綜合性概述。在這篇文章中,我們將從以下四個方面分析有關隱私領域的最新試驗和研究情況:1)隱私幣;2)智慧合約隱私;3)隱私架構;和4)隱私研究。
1
比特幣的隱私(或者說,比特幣沒有隱私)
原先,比特幣是作為匿名加密貨幣被開發的,只要現實世界的身份無法與比特幣地址聯絡起來,就能保護隱私。然而,由於比特幣區塊鏈的公開性,人們很快就發現,基於某些地址和交易的使用模式是有可能識別個人身份的。另外,節點在廣播交易時也會洩露自己的 IP 地址。
每個節點代表一個地址,每條邊代表一項交易。許多節點(諸如 Mt. Gox、Silk Road 和 Satoshi Dice)的身份都已經根據其交易模式被識別出來了。
2013年,Meiklejohn 等人成功地識別出了很多線上錢包、商戶和其它服務提供商的身份。如今,諸如 Chainalysis 和 Elliptic 等服務提供商將區塊鏈去匿名化,從而偵查洗錢、欺詐和違規行為。
-在這個示例中,可以看出 {Alice, Bob} 向 {Carol, Ted} 傳送了比特幣,但是無法精確判斷髮送者和接收者的身份。不同的使用者重複幾次這個過程之後,匿名集就會擴大。-
**為了解決比特幣隱私性被削弱的問題,CoinJoin(混幣) 等 Tumbler 服務應運而生,以提高比特幣的匿名性。**CoinJoin 讓使用者共同建立交易來變更其代幣的所有權,賦予集合中的每個使用者匿名性。隨著不同的使用者不斷重複這個過程,這個匿名集會擴大。犯罪分子一直都在利用這種 Tumbler 服務將可識別的比特幣與其他資金混在一起,從而掩蓋該資金的來源。
但是 Coinjoin 有其自身的缺陷。Coinjoin 的隱私性依賴於匿名集的大小。而實際上,每項 Coinjoin 交易中平均只有 2 到 4 名參與者,因此研究人員能夠將 67% 的 Coinjoin 交易去匿名化。後期,隨著 Coinjoin 的改進,又出現了更好的加密貨幣 Tumber 服務,如 TumbleBit 等,但是 TumbleBit 也存在侷限性。
2
隱私幣
由於比特幣缺乏隱私性,而且在協議層面上尚無提高自身隱私性的計劃,目前已經湧現出好幾種支援私密交易的新型加密貨幣。
Zcash 由一支強大的密碼學家團隊通過 zk-SNARKs 技術建立的。1985 年,Goldwasser、Micali 和 Rackoff 最先提出了“零知識證明”的開創性想法。2015 年,Eli Ben-Sasson 等人在零知識證明的基礎上進一步開發了 zk-SNARKs 技術,該技術在使人們能夠簡潔且非互動性地證明自己知道某個資訊的同時不透露具體內容。zk-SNARKs 為許多與隱私相關的專案提供了技術支援,並且可以利用一種名為遞迴組合的技術壓縮區塊鏈的規模。
Zcash 團隊目前致力於 Sapling 專案,這是一次對網路的效能升級,將改善隱蔽(加密)交易的效能和功能,計劃於 2018 年 10 月啟動。由於大約 85% 的 Zcash 交易仍公開傳送,傳送受保護的交易在計算方面的成本十分高昂,因此 Sapling 專案將有望增加受保護交易的數量(編者注:2018 年10 月 28 日,Sapling 在 Zcash 主網成功啟用)。
門羅幣(Monero)是另一種隱私幣,使用的是環簽名而非 zk-SNARKs 技術。目前,門羅幣團隊正在構建 Kovri 以支援保護隱私的封包路由,這樣一來,使用者可以隱藏自身地理位置和 IP 地址。將使用者的網路流量匿名化將大幅度提高門羅幣網路的安全性,並確保使用者不會因為使用了門羅幣而遭到逮捕或人身傷害。
Zcash 和門羅幣經常被拿來比較。這兩個社群都是由 Twitter 名人領導的—— Zooko Wilcox 領導 Zcash,Riccardo Spagni (@fluffypony) 領導門羅幣——但不同之處在於,Zcash 背後有一家公司和一家基金會的支援,而門羅幣只擁有一個由核心開發人員組建而成的有機社群。這兩個專案曾在匿名性方面都存在缺陷:研究人員能夠將 69% 的 Zcash 隱蔽交易與創始人/礦工聯絡起來,也能將 62% 的門羅幣交易去匿名化;但這些缺陷目前已得到修正。
然而,這兩個專案本質上採用了迥異的隱私保護方法,並且採取了不同的折衷方案。到目前為止,我還無法確定這兩個專案從長遠來看哪個更勝一籌。在我看來,Zcash 和門羅幣將繼續像可口可樂和百事可樂那樣共存。
- Mimblewimble 是《哈利波特》中的鎖舌咒,Tom Elvis Jedusor 是伏地魔的法語名,Ignotus Peverell 是隱形衣的原主人。(校對注:即下文中人採取的化名都是從哈利波特里來的 : ) )-
Mimblewimble 是一個專注於隱私的新區塊鏈專案,建立在比特幣的設計基礎上。2016 年 7 月 19 日,“Tom Elvis Jedusor”向一個比特幣研究渠道投了白皮書,隨後就消失了。後來,“Ignotus Peverell”啟動了一個名為 Grin 的 GitHub 專案,並開始真正落實 Mimblewimble 的白皮書。Blockstream 公司的 Andrew Poelstra 在 2017 年史丹佛 BPASE 大會上展示了他們的工作成果,此後 Grin 開始獲得大量的主流關注。Grin 的第三個測試網已經發布,其主網預計將在 2019 年初首次亮相。
Mimblewimble/Grin 是對比特幣的隱私交易和 Coinjoin 做出的一次改進。關鍵特點包括無公開地址、完全隱私化和區塊鏈簡潔化。近來, Grin 挖礦迎來了熱潮,因為和比特幣一樣,Grin 幣只能夠通過工作量證明挖礦獲得。Grin 利用的是布穀鳥迴圈(Cuckoo Cycle)工作量證明演算法,該演算法最初設計為抵制 ASIC 的,而如今卻被認為是支援 ASIC 的。
總體來說,Grin 將一系列令比特幣如此強大的社會特性——匿名創始人、無領導的開發團隊、POW 共識、無 ICO、無鏈上治理——與針對 Zcash 和門羅幣的技術改進相結合。和比特幣不同的是,Grin 的總供應量是不受限制的,它採用了線性供應的貨幣政策,這意味著通貨膨脹在早期非常高,但在一段時間後逐漸趨近(但不達到)零。Grin 網路釋出後,早期的通貨膨脹會刺激消費而非投機。儘管持續的通貨膨脹會阻礙 Grin 成為理想的價值儲存手段,但是等到比特幣的區塊獎勵消失而礦工只能賺取交易費的時候,Grin 就能避免像比特幣那樣的不穩定性。
Grin 的新型貨幣政策與備受爭議的 Zcash 創始人獎勵 大不相同,後者指在最初的 4 年裡,專案開發人員會得到新鑄造的 ZEC 中的 20% 。MimbleWimble 區塊鏈的規模與使用者數量而非交易數量成比例,通過使用門羅幣的環形簽名避免出現 UTXO 集膨脹問題。
其他有趣的隱私幣包括 MobileCoin 和 BEAM 等,目前還處在開發早期。
3
智慧合約隱私
**智慧合約中的程式程式碼是開放的,所以智慧合約隱私與支付隱私是不一樣的。**不幸的是,程式混淆經證明是不可能出現的,因此智慧合約目前既缺乏保密性(隱藏支付金額),又缺乏匿名性(隱藏傳送者和接收者的身份)。
在我看來,當企業準備大規模建立去中心化應用並需要隱藏其客戶的活動時,就會出現對智慧合約隱私性的強烈需求;目前,讓所有人都看到像加密貓這類去中心化應用的使用,這並沒有什麼不好。這有點像是網際網路一開始出現之時,基礎網站都使用的 HTTP 協議,而後由於電子商務等活動需要加密網路流量,才針對相關網站引入了 HTTPS 協議。
-以太坊中沒有隱私,所有人都可以在 DappRadar 上看到去中心化應用的使用情況。-
就以太坊而言,Benedikt Bünz 正在史丹佛大學從事一項關於私人支付機制的研究,名為Zether;這種機制與以太坊完全相容,並且可以為以太坊智慧合約提供保密性和匿名性。 Zether 將作為一種以太坊智慧合約執行,將 gas 消耗降至最低。Zether 還具備多種功能,可以為支付渠道等常見應用帶來可證明的隱私性。
**Keep **是另一個通過為私有資料建立鏈下容器的方式搭建以太坊隱私層的專案。因此,智慧合約可以在無需向公有鏈公開資料的情況下管理和使用私有資料。
雖然對於以太坊來說,隱私性的優先順序別目前僅次於 Casper 排在第二,但是以太坊基金會實施 Casper 的進度很慢,而且風險在於隱私性要到多年後才會成為以太坊的核心特徵。如果在此期間智慧合約中的隱私性成為加密社群急需解決的問題,將會出現新的隱私性智慧合約平臺來填補這一空白,就像 Zcash 和門羅幣的出現填補了比特幣在隱私支付方面的缺陷。Enigma、Origo 和 Covalent 也都是新的智慧合約平臺,它們試圖在區塊鏈中實現原生的隱私功能。
**Oasis Labs **是另一個令人興奮的隱私專案,構建了新的智慧合約平臺 Ekiden,該平臺將智慧合約的執行與底層共識機制分隔開。智慧合約在一個被稱為安全區的獨立硬體(如英特爾 SGX)內部執行。這個安全區就像一個暗箱,使計算相對於其他應用保持私密。它還會生成一個加密證明來證明程式是正確執行的,然後將這個證明儲存在區塊鏈中。通過將智慧合約的執行與共識分離,Ekiden 可以相容包括以太坊在內的不同底層區塊鏈。
4
隱私架構
除了隱私幣和私有智慧合約外,Web 3 堆疊(編者注:中譯本見文末超連結)還有其他重要的隱私架構專案值得一提。
**Orchid **正在嘗試建立一個優化後的 Tor 版本,其中,使用者通過出租自己額外的頻寬來獲得代幣,成為 Orchid 網路中的中繼者。Tor 的問題在於只有大約 6000 箇中繼節點和不到 2000 個橋節點,因此政府可以將所有中繼節點和橋節點拉入黑名單,從而防止其公民訪問 Tor。如果利用代幣作為經濟激勵去鼓勵更多人成為中繼者的話,除非隨著網路的擴大相應加大阻擋面,否則阻擋 Orchid 的難度就會加大。
**BOLT **正在建立一個私人支付渠道;當參與者開戶、交易和關閉支付渠道時,該渠道使用盲簽名和零知識證明來隱藏參與者的身份。最初的支付渠道建立在 Zcash 上的,但將能夠與比特幣和以太坊進行互操作。
**NuCypher **正在搭建一個去中心化金鑰管理系統;該系統使利用代理再加密技術提供與 HTTPS 相同的功能。代理再加密屬於公鑰加密,讓使用者能夠在不瞭解底層訊息的情況下將密文從一個公鑰轉換到另一個公鑰。
**Starkware **正在包括以太坊在內的各種區塊鏈上實行 zk-STARKs。zk-STARKs 相比 zk-SNARKs 的優勢在於前者不需要可信設定,儘管加密證明的容量也會大得多。
5
隱私研究
密碼學的學術研究推動了隱私領域的創新。隱私研究主要涉及的主題有零知識、多方計算和全同態加密。
除了 zk-SNARKs 和 zk-STARKs 之外,Bulletproofs 是一種新型的簡短非互動式零知識證明。與 zk-STARKs 類似的一點是,Bulletproofs 不需要可信設定,但驗證 Bulletproofs 比驗證 zk-SNARKs 證明更耗時。Bulletproofs 在設計上能夠實現加密貨幣的高效私密交易,並將證明的大小從 10 KB 以上縮小到 1-2 KB。如果所有比特幣交易都保密且使用 Bulletproofs 的話,那麼 UTXO 集的總體大小僅為 17 GB,就目前使用的工作量證明而言,UTXO 集的總體大小是 160 GB。
-不同零知識證明系統的權衡方案。-
多方計算使一組人在不透露各自輸入值的情況下,使用各自的輸入值共同計算一則函式。 例如,Alice 和 Bob 想知道誰持有的比特幣更多,同時又不透露各自的比特幣數量。不幸的是,多方計算目前的侷限性在於其在實際運用中效率極低。
全同態加密使人們能夠基於加密資料進行計算。幾十年來,這一直是密碼學領域一個未解決的問題,直到 2009 年,史丹佛大學博士生 Craig Gentry 利用理想格構想出了首個全同態加密方案。例如,如果 Bob 想對 Alice 的資料進行任意計算,比如訓練機器學習模型,同時 Alice 不需要透露其明文資料,那麼這時該方案就能發揮用處。全同態加密和多方計算一樣仍然處於理論階段,實際運用時效率太低。
6
何去何從?
總體來說,隱私性是目前密碼學研究中最引人注目的領域之一,如果這些理論技術要在現實世界中得以實際運用,還需要對其進行大量的效率優化工作。史丹佛大學區塊鏈研究中心等一系列研究實驗室正積極推進這個領域的工作,至於接下來數年將會取得哪些重大突破,我們可以拭目以待。
加密貨幣的益處在於它為最新的隱私研究提供了直接的應用場景。代幣、智慧合約和架構中使用的許多隱私技術都是幾年前才發明出來的。考慮到這個領域迅猛的發展速度,隱私性將逐漸發展成加密專案設計中最主要的一個部分。
內容來源:公眾號-以太坊愛好者
原文連結:
作者: Richard Chen
翻譯&校對: 張凌 & 閔敏
課程推薦
