KEN:一文读透区块链隐私保护技术以及相关项目全景图_Jointer

本文来自:链闻ChainNews,作者:RichardChen,编译:詹涓,星球日报经授权转发。我认为隐私是这样一种方式,它可以防止外人对我们一言一行动辄说三道四,并创造出我们可以自行优化的空间,创造出自己的幸福——这幸福只属于我们自己,无关别人对我们的看法。——VitalikButerin,以太坊创始人在当今的加密技术中,隐私是一个很重要的话题,这已经不是什么秘密了。无论是公司还是个人都不希望将自己的所有信息发布到公共区块链上,不受任何限制,被本国政府、外国政府、家庭成员、同事或商业竞争对手随意读取。很多关于区块链隐私保护的实验和研究,但关于这个类别,我们还没有看到全面的概述。在这篇文章中,我们将涵盖隐私领域四个方面的最新实验和研究:1、隐私型代币,2、智能合约隐私,3、隐私基础设施,4、隐私研究。比特币的隐私问题

比特币最初是作为一种假名加密货币开发的,只要现实世界的身份不会与比特币地址联系起来,它就能保持隐匿。然而,由于比特币区块链的公共性质,很快人们就清楚地发现,是有可能根据特定地址和交易的使用模式来甄别个人的。此外,节点在广播交易时也会泄漏其IP地址。上图每个节点代表一个地址,每个边代表一项交易;Mt.Gox、丝绸之路和SatoshiDice等许多节点都已从交易模式中隐去了名字2013年,Meiklejohn等人成功识别出属于在线钱包、商家和其他服务提供商的集群。如今,像Chainalysis和Elliptic区块链这样的服务可以检测、欺诈和违规行为。在上图这个例子中,外部观察者可以看到{Alice,Bob}将比特币发送给{Carol,Ted},但是不能确切地说出谁将钱发送给了谁;对不同的用户重复几次这个过程,匿名集就会增加为了应对比特币隐私受到的侵蚀,CoinJoin等混合器服务tumbler应运而生,以提高比特币的匿名性。在CoinJoin上,用户共同创建置换其代币所有权的事务,让一组中的每个用户都能匿名。这个过程可在不同的用户间不断重复,以使匿名集不断增长。犯罪分子一直使用这种混合器将可识别的比特币与其他基金搅和在一起,以掩盖资金的原始来源。然而,CoinJoin也有其缺陷。CoinJoin想要保持隐密,匿名集肯定是越庞大越好。但实际上,每个CoinJoin事务平均只有2-4个参与者,因此研究人员能够对67%的CoinJoin事务去匿名化。后来在CoinJoin上的改进激发了更好的加密货币混合设计,比如TumbleBit,但是它也有局限性。隐私型代币

由于比特币缺乏隐私,而且目前还没有在协议层改善其隐私的计划,现在已经涌现出一批支持隐私交易的新型加密货币。其中一个例子是Zcash,其创始团队有着强大的加密学术背景,使用zk-SNARKs技术。早在1985年,Goldwasser、Micali和Rackoff最早提出了「零知识证明」的开创性想法。到了2015年,EliBen-Sasson等人开发了zk-SNARKs技术,对零知识证明有所改进,允许人们简洁且非交互地证明自己知道某件事,同时不透露具体信息内容。zk-SNARKs为许多与隐私相关的项目提供了技术支持,并且可以使用一种名为递归组合的技术压缩区块链的大小。目前,Zcash团队正在致力于Sapling项目,这次网络性能升级将改善屏蔽加密交易的性能和功能,计划于2018年10月启动。由于大约85%的Zcash事务仍以明文形式传输,发送屏蔽事务的计算成本非常大,因此Sapling项目将有望提升屏蔽事务的数量。门罗币是另一种隐私代币,使用环形签名而非zk-SNARKs技术。目前门罗币团队正在构建Kovri以支持保护隐私的数据包路由,以便用户可以隐藏其地理位置和IP地址。匿名用户的网络流量将大大提升门罗币网络的安全性,并确保用户不会因为使用了门罗币而被逮捕或遭到人身伤害。人们常常把Zcash和门罗币拿来比较。这两个社区都是由Twitter上的大腕领导的,ZookoWilcox领导Zcash,诨名「蓬松小马」的RiccardoSpagni领导门罗币,但不同之处在于,Zcash得到了一家公司和一家基金会的支持,而门罗币只是一个由核心开发人员组成的有机社区。这两个项目的匿名性都存在缺陷,这一点均已得到修正。此前,有研究人员能够将69%的Zcash受保护的交易与创始人/矿工联系起来,也能将62%的门罗币的交易去匿名化。然而,这两个项目在本质上采用了截然不同的隐私保护方法,并且做出了不同的权衡,到目前为止,我还看不到有哪个项目在未来有可能超越另一个。在我看来,Zcash和门罗币将继续像可口可乐和百事可乐那样共存。Mimblewimble原意是《哈利波特》中的咒语,TomElvisJedusor是伏地魔的法文名字,IgnotusPeverell是隐形斗篷原本的主人「Mimblewimble」是一个新的专注于隐私的区块链项目,建立在比特币的设计基础上。2016年7月19日,「TomElvisJedusor」把白皮书丢进了一个比特币研究网站,随后销声匿迹。后来,「IgnotusPeverell」开始了一个名为Grin的GitHub项目,并开始将Mimblewimble的白皮书变成现实。Blockstream公司的AndrewPoelstra在2017年斯坦福BPASE大会上展示了他们的成果,此后Grin开始受到很多主流关注。Grin的第三个测试网已经发布,主网预计将在2019年初首次亮相。Mimblewimble/Grin对保密交易和CoinJoin作出了改进。关键功能包括无公共地址、完全隐私和致密的区块链。最近Grin币的开采引起了广泛关注,Grin币和比特币一样,只能通过PoW机制来采矿。Grin采用了布谷鸟循环CuckooCyclePoW算法,该算法具有抵御ASIC的设计,并可防止像门罗币那样的中心化采矿。总的来说,Grin将一些令比特币如此强大的社会特性,例如匿名创始人、无领导的开发团队、PoW共识、不进行ICO、没有链上治理等,与Zcash和门罗币的技术改进相结合。与比特币不同的是,Grin的总体供应没有上限,其货币政策采取了线性供应计划,这意味着通胀在早期非常高,但随着时间的推移逐渐趋近而不是达到零。早期的通货膨胀可以刺激消费,而不是鼓励人们在网络上线后进行投机。尽管持续的通货膨胀使得Grin不可能成为理想的价值储存手段,但一旦比特币的区块奖励消失,矿工只能赚取交易费,它就能避免比特币的这种不稳定性。Grin这种新颖的货币政策,也与备受争议的Zcash创始人奖励制度大相径庭,后者指在最初的4年里会有20%新铸造的ZEC供应给项目开发人员。MimbleWimble区块链的规模则是与用户数量、而非交易数量成正比,从而避免了使用门罗币的环形签名出现的UTXO集缩放的问题。还有些有意思的隐私代币目前还处在开发早期,包括MobileCoin和BEAM等。智能合约如何关注隐私保护?

智能合约中的隐私与支付中的隐私不同,因为智能合约公开包含程序代码。遗憾的是,事实证明程序混淆不可能实现,因此智能合约目前既缺乏保密性隐藏付款金额,也缺乏匿名性隐藏发送方和接收方的身份。在我看来,当企业业务准备大规模构建DApp并需要隐藏其客户的活动时,就会出现对智能合约隐私的强烈需求;目前,每个人都能看到像加密猫这类DApp的使用情况,这并没有什么问题。这有点像是互联网在最初上线基本网站时,使用的是HTTP,之后为了电子商务等需要加密网络流量的网站,就需要再进一步引入HTTPS。以太坊上没有隐私可言,每个人都可以在DappRadar上看到DApp的使用量就以太坊而言,BenediktBünz正在斯坦福大学领导关于Zether的研究,这是一种私人支付机制,与以太坊完全兼容,并可为以太坊智能合约提供保密和匿名性。Zether作为以太坊智能合约来实施,所消耗的gas极其有限。Zether还具有多种用途,可以为诸如支付渠道等常见应用程序增加可证明的隐私。Keep是另一个通过为私有数据创建脱链容器来为以太坊构建隐私层的项目。它可以在不必将数据暴露在公链的情况下管理合约、使用私有数据。虽然在以太坊,隐私的优先级别目前仅次于Casper,排在第二位,但是以太坊基金会实施Casper的速度很慢,并且风险在于,要到多年后隐私才将成为以太坊的核心功能。如果在此期间隐私智能合约成为加密社区迫切需要的东西,那么新的隐私智能合约平台将会伺机出现并填补这一空白,同样的情况,当比特币在隐私支付方面出现欠缺时,Zcash和门罗币得以崭露头角。Enigma、Origo和Covalent也都是新的智能合约平台,它们试图在区块链中实现隐私包括功能。OasisLabs是另一个令人兴奋的关注隐私的项目,它构建了新的智能合约平台Ekiden,将智能合约的执行与基础共识机制分隔开来。智能合约在一个称为安全区的孤立硬件如英特尔SGX内部运行。这个安全区就像一个黑箱,使计算相对于其他应用程序保持隐密。它还可生成一个认可程序得到正确执行的加密证明,将证据存储在区块链中。通过将智能合约的执行与共识分离,Ekiden可与包括以太坊在内的不同底层区块链兼容。关注隐私的区块链基础设施

除了隐私型代币和关注隐私性的智能合约外,Web3堆栈还有其他重要的关注隐私性的基础设施项目值得一提。Orchid正在尝试构建一个更好的Tor版本,在这个版本中,用户通过将额外带宽出租给Orchid网络中的中继器来获得代币。Tor的问题在于,只有大约6,000个中继节点和不到2,000个桥接节点,因此某些政府可以将所有中继和桥接节点列入黑名单,从而防止其公民访问Tor。使用代币经济学,将激励许多人成为中继节点,而这将给阻挡Orchid制造困难,想要拦住它,基本上就得封住大部分互联网。BOLT正在建立一个私人支付渠道,使用盲签名和零知识证明来隐藏参与者在开启、交易和关闭支付渠道时的身份。最初的支付渠道建立在Zcash之上,但将能够与比特币和以太坊进行互操作。NuCypher在构建一个使用代理再加密的去中心化密钥管理系统,以提供与HTTPS相同的功能。代理再加密是一种公钥加密,允许用户在不了解底层消息的情况下将密文从一个公钥转换到另一个。Starkware则是在包括以太坊的各种区块链中实施zk-STARKs。与zk-SNARKs相比,zk-STARKs的优势在于它不需要可信任的设置,不过加密证明的大小也会大很多。关于隐私的研究

密码学的学术研究推动了隐私领域的创新。隐私研究主要涉及零知识、多方计算、全同态加密等领域。除了zk-SNARKs和zk-STARKs之外,Bulletproofs是另一种新型的短期非交互式零知识证明。与zk-STARKs类似,Bulletproofs不需要可信任的设置,但验证Bulletproofs比验证zk-SNARKs证明更耗时。Bulletproofs设计旨在实现加密货币中的高效机密交易,并将证明的大小从10KB缩小到1-2KB。如果所有比特币交易都是保密的、并且使用了Bulletproofs,那么UTXO集的总大小将仅为17GB,而当前使用的证据文件则为160GB。各种零知识证明系统的利弊多方计算MPC允许一组人基于他们的输入进行联合计算,而不需要每个人显示其输入值。例如,Alice和Bob想要知道谁拥有的比特币更多,那么在不需要他们披露自己拥有多少比特币的情况下就能达到这个目的。遗憾的是,目前多方计算的局限性在于它在实践中使用效率极低。全同态加密Fullyhomomorphicencryption则允许人们在加密的数据上计算。几十年来,这一直是密码学领域中的一个未解决的问题,直到2009年,斯坦福大学博士生克雷格·詹特利CraigGentry使用「理想格」构建了第一个全同态加密方案。如果Bob想在Alice的数据上执行任意计算,比如训练机器学习模型,同时不必要求Alice显示明文数据,理想格加密方案就能派上用场。全同态加密和多方计算一样,目前仍然基本上停留在理论阶段,在实践中的使用效率太低。对未来意味着什么?

总的来说,隐私性问题是目前密码学研究中最令人兴奋的领域之一,为了让其在现实世界中得以使用,在优化这些理论技术的效率方面还有大量的工作要做。以斯坦福大学区块链研究中心为代表的一些研究实验室正积极在这一领域推进,对于未来几年将会取得哪些重大突破,我们将拭目以待。加密货币的好处在于它为最新的隐私研究提供了直接的应用场景。代币、智能合约和基础设施中使用的许多隐私技术都是几年前才发明出来的。考虑到这个领域的发展速度之快,隐私将继续成为加密项目设计中不可或缺的一部分。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:384ms