數(shù)字貨幣隱私領(lǐng)域的最新實(shí)驗(yàn)和研究解析

如今，隱私在數(shù)字貨幣中是一個(gè)重要主題，這已經(jīng)不是什么秘密了。無(wú)論是公司還是個(gè)人都不希望將自己的所有信息發(fā)布到公共區(qū)塊鏈上，因?yàn)檫@些信息可以在不受本國(guó)政府、外國(guó)政府、家庭成員、同事或商業(yè)競(jìng)爭(zhēng)對(duì)手的任何限制下被任意讀取。目前有很多實(shí)驗(yàn)和研究涉及區(qū)塊鏈的各種隱私保護(hù)方法，但我們還沒(méi)有看到該類別的全面概述。

本文作者Richard Chen，由格密鏈社區(qū)的馬佳敏翻譯。

在這篇文章中，我們將涵蓋隱私領(lǐng)域四個(gè)方面的最新實(shí)驗(yàn)和研究：1）隱私數(shù)字貨幣，2）智能合約中的隱私，3）隱私基礎(chǔ)設(shè)施，4）隱私保護(hù)研究。

?

比特幣最初是作為一種匿名加密貨幣開發(fā)的，只要現(xiàn)實(shí)世界的身份不能與比特幣地址聯(lián)系起來(lái)，它就能保證隱私。然而，由于比特幣區(qū)塊鏈的公共性，很容易就可以根據(jù)某些特定地址和交易的使用模式來(lái)識(shí)別個(gè)人。此外，節(jié)點(diǎn)在廣播交易時(shí)泄漏其IP地址。

2013年，Meiklejohn等人成功識(shí)別出了屬于在線錢包、商家和其他服務(wù)提供商的集群。如今，像Chainalysis和Elloptic等服務(wù)商都將區(qū)塊鏈去匿名化，以檢測(cè)洗錢、欺詐和違規(guī)行為。

在這個(gè)例子中，一個(gè)觀察者可以看到{Alice，Bob}將比特幣發(fā)送給{Carol，Ted}，但無(wú)法準(zhǔn)確地說(shuō)出誰(shuí)向誰(shuí)匯款。對(duì)不同的用戶多次重復(fù)這個(gè)過(guò)程，匿名集增長(zhǎng)。

為了應(yīng)對(duì)比特幣隱私受到的侵蝕，Tumbler服務(wù)應(yīng)運(yùn)而生，例如CoinJoin等，用于提高比特幣的匿名性。在CoinJoin中，用戶共同創(chuàng)建用于換取其數(shù)字貨幣所有權(quán)的交易，使整組中的每個(gè)用戶都匿名。然后在不同的用戶間重復(fù)這個(gè)過(guò)程來(lái)增長(zhǎng)匿名集。犯罪分子一直使用Tumbler服務(wù)將可識(shí)別的比特幣與其他基金混合在一起，來(lái)掩蓋追溯到基金原始來(lái)源的蹤跡。

然而，CoinJoin也有其缺陷。CoinJoin的隱私依賴于龐大的匿名集。但實(shí)際上，每次CoinJoin交易平均只有2-4名參與者，因此研究人員能夠?qū)?7%的CoinJoin交易實(shí)現(xiàn)去匿名。后來(lái)在對(duì)CoinJoin的改進(jìn)中激發(fā)了更好的數(shù)字貨幣Tumbler的設(shè)計(jì)，例如TumbleBit，但是TumbleBit也有局限性。

隱私數(shù)字貨幣

由于比特幣缺乏隱私，而且目前并沒(méi)有計(jì)劃在協(xié)議層面上改善其隱私，因此一些新的數(shù)字貨幣孕育而生，用來(lái)支持私人交易。

Zcash是由一個(gè)強(qiáng)大的學(xué)術(shù)型密碼團(tuán)隊(duì)使用zk-SNARKs構(gòu)建的。Goldwasser、Micali和Rackoff在1985年提出了“零知識(shí)證明”。zk-SNARKs是由EliBen-Sasson等人在2015年開發(fā)的，它是對(duì)零知識(shí)證明的一種改進(jìn)，它允許人們?cè)诓煌嘎缎畔⒌那闆r下簡(jiǎn)潔而非交互地證明自己知道某件事。zk-SNARKs為許多與隱私相關(guān)的項(xiàng)目提供了技術(shù)支持，還可以使用一種名為遞歸組合（recursive composition）的技術(shù)壓縮區(qū)塊鏈的大小。

目前，Zcash團(tuán)隊(duì)正在致力于Sapling項(xiàng)目，這是對(duì)網(wǎng)絡(luò)的性能升級(jí)，將改善加密交易的性能和功能，并計(jì)劃于2018年10月啟動(dòng)。由于發(fā)送加密交易的計(jì)算開銷非常大，因此大約85%的Zcash交易仍以明文形式發(fā)送，而Sapling項(xiàng)目有望提高加密交易的數(shù)量。

Monero是另一種使用ring signatures而不是zk-SNARKs的隱私數(shù)字貨幣。目前，Monero團(tuán)隊(duì)正在構(gòu)建Kovri來(lái)實(shí)現(xiàn)一種保護(hù)隱私數(shù)據(jù)包的路由，以便用戶可以隱藏其地理位置和IP地址。匿名用戶的網(wǎng)絡(luò)流量將大大提高M(jìn)onero網(wǎng)絡(luò)的安全性，并保護(hù)用戶不因使用Monero而被逮捕或遭受人身傷害。

Zcash和Monero經(jīng)常被拿來(lái)比較。這兩個(gè)社區(qū)都是由Twitter的名人領(lǐng)導(dǎo)的——Zooko Wilcox代表Zcash，Riccardo “fluffypony” Spagni代表Monero，但不同于Zcash（Zcash是由一家公司和一家基金會(huì)支持的），Monero只有一個(gè)由核心開發(fā)者組成的系統(tǒng)社區(qū)。這兩個(gè)項(xiàng)目的匿名性甚至都存在缺陷，這些缺陷現(xiàn)已被修復(fù)——研究人員能夠?qū)?9%的Zcash加密交易與創(chuàng)始人/礦工聯(lián)系起來(lái)，也能將62%的Monero交易去匿名。

然而，這兩個(gè)項(xiàng)目在本質(zhì)上采用了截然不同的隱私保護(hù)方法，并采用了不同的權(quán)衡方式，到目前為止，還沒(méi)有明確的案例說(shuō)明，為什么一個(gè)項(xiàng)目會(huì)在長(zhǎng)期內(nèi)勝過(guò)另一個(gè)項(xiàng)目。在我看來(lái)，Zcash和Monero將繼續(xù)像可口可樂(lè)和百事可樂(lè)一樣共存。

Mimblewimble是一個(gè)新的專注于隱私的區(qū)塊鏈項(xiàng)目，它是基于比特幣所設(shè)計(jì)出來(lái)的。2016年7月19日，“Tom Elvis Jedusor”把白皮書丟進(jìn)了一個(gè)比特幣研究頻道，消失了。后來(lái)，“Ignotus Peverell”開始了一個(gè)名為Grin的Github項(xiàng)目，并開始將Mimblewimble論文從理論轉(zhuǎn)向真正的實(shí)現(xiàn)。Blockstream公司的Andrew Poelstra在2017年斯坦福BPASE會(huì)議上展示了這項(xiàng)工作，之后Grin開始得到了主流的關(guān)注。Grin的第三個(gè)測(cè)試網(wǎng)已經(jīng)發(fā)布，主網(wǎng)預(yù)計(jì)在2019年初發(fā)布。

Mimblewimble/Grin是對(duì)比特幣的保密交易和CoinJoin的改進(jìn)。主要功能包括無(wú)需公共地址，完全的隱私，和一個(gè)緊湊的區(qū)塊鏈。最近，Grin幣的開采引起了很多關(guān)注，因?yàn)镚rin幣類似于比特幣，只能通過(guò)PoW挖礦來(lái)鑄幣。Grin使用Cuckoo Cycle PoW算法，該算法最初是為抗ASIC而設(shè)計(jì)的算法，但現(xiàn)在被認(rèn)為是ASIC友好的。

總的來(lái)說(shuō)，Grin結(jié)合了令比特幣如此強(qiáng)大的社會(huì)特性——匿名創(chuàng)始人、無(wú)領(lǐng)導(dǎo)的開發(fā)團(tuán)隊(duì)、PoW共識(shí)、沒(méi)有ICO，沒(méi)有鏈上治理，以及對(duì)Zcash和Monero的技術(shù)改進(jìn)。與比特幣不同的是，Grin幣的發(fā)行量是無(wú)限的，其貨幣政策是線性供應(yīng)計(jì)劃，這意味著通貨膨脹在早期非常高，但隨著時(shí)間的推移逐漸接近（而不是達(dá)到）零。在網(wǎng)絡(luò)啟動(dòng)后，早期的通貨膨脹是一種激勵(lì)措施而不是投機(jī)。盡管持續(xù)的通貨膨脹使Grin并不能成為一種理想的價(jià)值儲(chǔ)存手段，但一旦比特幣的區(qū)塊獎(jiǎng)勵(lì)消失、礦工只能賺取交易費(fèi)，此時(shí)它就避免了比特幣的不穩(wěn)定性。

Grin新穎的貨幣政策避免了有爭(zhēng)議的Zcash創(chuàng)始人的報(bào)酬問(wèn)題，即20%的新鑄造的ZECs在最初的4年里給予項(xiàng)目開發(fā)者。MimbleWimble區(qū)塊鏈的大小也與用戶數(shù)量而不是交易數(shù)量成比例，從而避免了使用Monero的ring signatures的UTXO集的縮放問(wèn)題。

其他有趣的隱私加密貨幣仍處于早期開發(fā)階段，包括MobileCoin和BEAM。

智能合約中的隱私

智能合約中的隱私與支付中的隱私不同，因?yàn)橹悄芎霞s公開包含的程序代碼。不幸的是，程序混淆被證明是不可能的，因此智能合約目前既缺乏保密性（隱藏付款金額），也缺乏匿名性（隱藏發(fā)送方和接收方的身份）。

在我看來(lái)，當(dāng)企業(yè)準(zhǔn)備大規(guī)模開發(fā)dApps并需要隱藏客戶的活動(dòng)時(shí)，對(duì)智能合約隱私的強(qiáng)烈需求就會(huì)到來(lái)；目前，對(duì)所有人來(lái)說(shuō)，使用CryptoKitties這樣的dApps并沒(méi)有什么不好的地方。這可能類似于互聯(lián)網(wǎng)最初是如何在基礎(chǔ)網(wǎng)站上使用HTTP啟動(dòng)的，后來(lái)又為需要加密網(wǎng)絡(luò)流量的網(wǎng)站（如電子商務(wù)）引入了HTTPS。

在以太坊的案例中，Zether是斯坦福大學(xué)Benedikt Bunz正在進(jìn)行的一項(xiàng)研究，研究的是一種完全與以太坊相兼容、能夠?yàn)橐蕴坏闹悄芎霞s提供保密和匿名的私人支付機(jī)制。Zether將作為以太坊智能合約的實(shí)施條件，并將使用最少的gas。Zether還具有多種用途，可以為支付渠道等常見應(yīng)用程序添加可證明的隱私。

Keep是另一個(gè)通過(guò)創(chuàng)建私有數(shù)據(jù)的離線容器來(lái)為以太坊構(gòu)建隱私層的項(xiàng)目。這允許合約管理和使用私有數(shù)據(jù)，而不將數(shù)據(jù)暴露給公共區(qū)塊鏈。

雖然在Casper之后，隱私是以太坊的首要任務(wù)，但是以太坊基金會(huì)實(shí)施Casper的速度很慢，而且風(fēng)險(xiǎn)在于，隱私不會(huì)在多年以后成為以太坊的核心功能。如果智能合約中的隱私成為加密社區(qū)迫切需要的東西，那么新的隱私智能合約平臺(tái)就會(huì)出現(xiàn)，填補(bǔ)這一空白，就像Zcash和Monero的出現(xiàn)一樣，它們是為私人支付而不是比特幣。Enigma，Origo和Covalent都是新的智能合約平臺(tái)，它們?cè)噲D將隱私原生地實(shí)現(xiàn)到區(qū)塊鏈中。

Oasis Labs是另一個(gè)激動(dòng)人心的隱私項(xiàng)目，它構(gòu)建了Ekiden，這是一個(gè)新的智能合約平臺(tái)，將智能合約執(zhí)行與基礎(chǔ)共識(shí)機(jī)制分開。智能合約運(yùn)行在一個(gè)被稱為安全區(qū)的獨(dú)立硬件（如英特爾SGX）內(nèi)。enclave就像一個(gè)黑盒，使計(jì)算對(duì)于其他應(yīng)用程序是不可見的。它還生成一個(gè)密碼證明，證明程序是正確執(zhí)行的，然后該證明存儲(chǔ)在區(qū)塊鏈中。通過(guò)將智能合約執(zhí)行與共識(shí)分離，Ekiden與不同的底層區(qū)塊鏈兼容，包括以太坊。

隱私的基礎(chǔ)設(shè)施

除了隱私加密貨幣和私有智能合約之外，Web 3堆棧還有其他重要的隱私基礎(chǔ)設(shè)施項(xiàng)目值得一提。

Orchid正在嘗試構(gòu)建一個(gè)更好的Tor版本，在這個(gè)版本中，用戶從出租額外帶寬作為Orchid網(wǎng)絡(luò)中的中繼器中獲取token。Tor的問(wèn)題是只有6000個(gè)中繼節(jié)點(diǎn)，不到2000個(gè)橋接節(jié)點(diǎn)，所以中國(guó)政府可以把所有中繼節(jié)點(diǎn)和橋接節(jié)點(diǎn)都列入黑名單，從而阻止公民訪問(wèn)Tor。使用token獎(jiǎng)勵(lì)來(lái)激勵(lì)更多人成為中繼者，這使得阻止Orchid變得更加困難，因?yàn)榭偛荒茏柚够ヂ?lián)網(wǎng)的大部分節(jié)點(diǎn)。

BOLT正在構(gòu)建一個(gè)私人支付渠道，使用盲簽名和零知識(shí)證明來(lái)隱藏參與者在打開、交易和關(guān)閉支付渠道時(shí)的身份。最初的支付渠道建立在Zcash之上，但之后將能夠與比特幣和以太坊進(jìn)行互操作。

NuCypher正在使用proxy re-encryption來(lái)構(gòu)建一個(gè)去中心化的密鑰管理系統(tǒng)，用于提供與HTTPS相同的功能。Proxy re-encryption是一種公鑰加密，它允許用戶在不了解底層消息的情況下將密文從一個(gè)公鑰轉(zhuǎn)換到另一個(gè)公鑰。

Starkware正在包括以太坊在內(nèi)的各種區(qū)塊鏈中實(shí)現(xiàn)zk-STARKs。與zk- SNARK相比，zk-STARKs的優(yōu)勢(shì)在于，它不需要可信的設(shè)置，盡管加密證明的密鑰尺寸變得更大了。

隱私保護(hù)研究

密碼學(xué)的學(xué)術(shù)研究推動(dòng)了隱私保護(hù)領(lǐng)域的創(chuàng)新。隱私保護(hù)研究主要涉及到零知識(shí)、多方計(jì)算、全同態(tài)加密等領(lǐng)域。

除了zk- SNARKs和zk-STARKs之外，Bulletproofs是一種新的簡(jiǎn)短的非交互式的零知識(shí)證明形式。與zk-STARKs一樣，Bulletproofs不需要可信的設(shè)置，但是驗(yàn)證Bulletproofs比驗(yàn)證zk-SNARK文件更耗時(shí)。Bulletproofs的設(shè)計(jì)目的是為了能夠以加密貨幣進(jìn)行高效的保密交易，并將Bulletproofs文件的大小從10 KB以上縮小到1-2 KB。如果所有比特幣交易都是保密的，并且使用了Bulletproofs，那么UTXO集的總大小將只有17 GB，而目前的大小是160 GB。

多方計(jì)算允許一組人在他們的輸入上聯(lián)合計(jì)算一個(gè)函數(shù)，而不需要每個(gè)人透露他們自己的輸入。例如，Alice和Bob想要知道誰(shuí)擁有更多的比特幣，而不是每個(gè)人都透露他/她擁有多少比特幣。不幸的是，當(dāng)前多方計(jì)算的限制是，在實(shí)踐中使用它的效率非常低。

全同態(tài)加密允許在加密數(shù)據(jù)上進(jìn)行計(jì)算。幾十年來(lái)，這一直是密碼學(xué)領(lǐng)域的一個(gè)開放性問(wèn)題，直到2009年，斯坦福大學(xué)博士生Craig Gentry使用格構(gòu)造了第一個(gè)全同態(tài)加密方案。如果Bob想在Alice的數(shù)據(jù)上執(zhí)行任意計(jì)算（比如訓(xùn)練機(jī)器學(xué)習(xí)模型），而Alice不需要顯示明文數(shù)據(jù)，那么這個(gè)例子就很有用。全同態(tài)加密，像多方計(jì)算一樣，目前仍然是很理論化的，而且在實(shí)踐中效率很低。

那又怎樣？

總的來(lái)說(shuō)，隱私是目前密碼學(xué)研究中最令人興奮的領(lǐng)域之一，并且優(yōu)化這些理論技術(shù)的效率以使其在現(xiàn)實(shí)中實(shí)際應(yīng)用還有很多工作要做。研究型實(shí)驗(yàn)室，如斯坦福大學(xué)區(qū)塊鏈研究中心，正積極在這一領(lǐng)域取得進(jìn)展，未來(lái)幾年將會(huì)有哪些重大突破將是令人興奮的。

加密貨幣的好處是它為最新的隱私研究提供了一個(gè)直接的用例。許多用于加密貨幣、智能合約和基礎(chǔ)設(shè)施的隱私技術(shù)都是近幾年才發(fā)明出來(lái)的?？紤]到這個(gè)領(lǐng)域發(fā)展速度之快，隱私將繼續(xù)成為加密項(xiàng)目設(shè)計(jì)中不可或缺的一部分。