各類以太坊隱私技術方案的優缺點及適用場景評估

隐私的一个例子是匿名,或者说是身份的私密化。在公链的背景下,匿名性是指当事方在不需要披露其自身或其他交易者身份相关信息的情况下交换某物(金钱、代币或数据)的能力。虽然这只是隐私的一个方面,但随着區塊鏈的发展,它已经变得越来越重要。

前言:當我們談到隱私時,並沒有什麽靈丹妙藥能夠解決所有的問題,而是需要針對特定的用例使用不同的方法和機制。wry顯卡之家

原文作者:Dean Pierce(ConsenSys Diligence)、Robert Drost (ConsenSys 研发部)以及Mason Nystrom (ConsenSys)wry顯卡之家

在一個聯系越來越緊密的世界裏,我們的信息被人複制、共享甚至被用于銷售目的,而要維護我們想要的隱私水平,這可能會是一個挑戰。wry顯卡之家

和大多數事物一樣,隱私並非是二元對立關系的,而是介于完全公開及完全保密之間。所以在談到隱私問題時,我們有三個問題需要進一步討論。wry顯卡之家

1. 消费者和企业想要的隐私是什么样的程度?wry顯卡之家

2. 人们愿意为隐私付出代价吗?wry顯卡之家

3. 在公共區塊鏈上实现隐私交易的权衡是什么?wry顯卡之家

本文的目的是簡要地檢查在公鏈上實現隱私的要求,並在高維度上討論實施隱私解決方案的權衡。wry顯卡之家

各類以太坊隱私技術方案的優缺點及適用場景評估wry顯卡之家

第一個問題:什麽程度的隱私是有意義的?wry顯卡之家

隐私的一个例子是匿名,或者说是身份的私密化。在公链的背景下,匿名性是指当事方在不需要披露其自身或其他交易者身份相关信息的情况下交换某物(金钱、代币或数据)的能力。虽然这只是隐私的一个方面,但随着區塊鏈的发展,它已经变得越来越重要。wry顯卡之家

像比特币和以太币之类的加密貨幣,因为相关交易地址及信息是公开的原因,再加上分析方法的不断发展,人们可将这些交易与链外身份关联到一起,这使得这些加密貨幣的使用者的身份变得越来越透明。wry顯卡之家

對于隱私權,企業和消費者有著截然不同的要求。企業通常以交易數據的形式要求隱私,例如産品名稱、數量、價格、地址、個人可識別的財務信息等。wry顯卡之家

网络参与者通常是已知的,但可能需要保留身份或根据其角色提供给其他参与者。例如,货运代理可能不需要知道某个运输集装箱的内容,而只需要知道该集装箱已经到达。银行业法规还会限制谁可以访问交易数据。安永公司的Nightfall协议,以及摩根大通(JP Morgan)为Quorum定制的匿名Zether协议,是企业为以太坊开发隐私解决方案的主要例子。wry顯卡之家

相比企業(通常圍繞隱私有很強的商業動機及監管),迄今爲止,消費者對隱私的意識和關注程度則普遍較低。當然,消費者也希望保護自己的身份、信用卡信息或其他敏感數據,以防止欺詐或身份盜竊事件的發生。而有時,消費者就希望用到匿名交易,這就要求交易的發送者和接受者都具有隱私。然而,隱私在消費者的日常生活中並不是天然存在的,大多數人爲了方便或免費訪問而自願犧牲他們的隱私(接受cookies、使用免費WiFi等)。wry顯卡之家

第二個問題:隱私有需求嗎?wry顯卡之家

隱私通常發生在消息傳遞的環境中,以保護各方之間發送的內容,它還被用于通信通道和底層網絡層這樣更廣泛的構造中。wry顯卡之家

但在加密貨幣背景下,隐私的需求似乎并没有人们想象的那么强烈。wry顯卡之家

具體來說,雖然Zcash已存在大約3年的時間,但只有大約5%的ZEC使用了SNARKs(其中大約有一半是使用的舊版SNARKs),另外大約有95%的ZEC存儲在幾乎沒有隱私的透明地址中。通過這種低采用情況,我們可以推斷,也許大多數用戶對隱私並沒有付費需求(成本相對較高)。wry顯卡之家

然而,最终區塊鏈技术要成为主流仍然需要隐私。内置的隐私层(如SSL)使得互联网成为了一个值得信赖的商业媒介,这表明消费者和企业所希望的隐私,是被内置到系统和应用当中的。wry顯卡之家

第三個問題:隱私的權衡wry顯卡之家

第三個問題是更偏向技術的,其需要對以太坊平台上的隱私技術方案進行深入的檢查,這還會涉及到各種機制的權衡。wry顯卡之家

其他隐私區塊鏈给我们带来的启示(门罗币和Zcash)wry顯卡之家

在我们讨论以太坊的隐私话题之前,我们不妨先看一下隐私币领域里的两大主流参与者:门罗币和Zcash。门罗币在早期的竞争币时代是特别的,因为它的代码库并不是源自比特币代码库,而是基于一个完全不相关的加密貨幣项目Bytecoin(其使用的是CryptoNote协议的参考设计),而原CryptoNote协议设计是通过混合一笔交易的发送者(通过混合它们的签名以及很多其他诱饵签名来实现)来达到隐私目的。通过这一点,再结合隐形地址输出方案,这给门罗币带来了非常强大的隐私保证。这一“环签名”方案早被誉为是一种内置式混合器,但其并不成熟。wry顯卡之家

2017年,随着RingCT技术方案的引入,环签名方案隐藏交易数据的能力大大提高,RingCT使用零知识范围证明来增加可进行批处理的签名种类。RingCT的引入还强制执行最小混和要求,以减少早期版本门罗币的可关联性攻击。而使用环签名方案的最大挑战之一是,其会占用大量磁盘空间,这使得门罗币區塊鏈变得十分臃肿。此外,环签名方案并不适用于大型群体,其目前仅限于10-15人的群体。wry顯卡之家

而在2018年末,我們看到了門羅幣網絡引入了“Bulletproof”(防彈證明),這是一種令人興奮的新零知識方案,其改善了環簽名方案,減少了交易所需的大小,這種改進使得門羅幣的隱私交易成本大大降低。wry顯卡之家

Zcash 是第一个使用 zkSNARKs技术的加密貨幣,通过这种零知识证明方案,用户可发送仅对接收者可见的完全隐私的交易,而对于外部观察者而言,ZEC似乎被发送到了一个巨大的密码黑匣子中,当接收者想要将他们的币移回到一个非隐私地址(类似比特币标准地址)时,这些币似乎是凭空而来的,这使得发送者和接收者之间没有明显的联系。关于零知识证明的一个重要注意事项是,其需要更多的计算能力来运行,这使得交易变得更加昂贵。wry顯卡之家

對可互換性的威脅wry顯卡之家

以太坊網絡提供了僞匿名性(即交易鏈接到由用戶持有的私鑰所對應的地址),其分布式以及透明性特性使得許多全新的技術能力成爲可能。wry顯卡之家

然而,類似于比特幣,以太坊也會無意中暴露使用這些數字資産的用戶的信息。wry顯卡之家

鉴于比特币和以太坊等區塊鏈的公开特性,天真地使用它们的内置交易框架,就好比是一路撒下面包屑,这使得对手可轻易地跟踪你的交易路径。wry顯卡之家

通過地址生成獲得的隱私wry顯卡之家

随着隐私技术的不断进步,我们可考虑很多更为复杂的威胁模型。2012年,BIP32(比特币改进提议)引入了分层确定性密钥(HD Key),允许一个种子短语可生成一个不断产生新比特币地址的流。这允许用户每次接受交易时可生成新的地址,所有这些地址都可轻松地通过一个种子短语导出和导入新的钱包。wry顯卡之家

而在以太坊中,也存在著相同的功能,盡管新生成的密鑰不能與智能合約直接進行交互(直到它們得到了它們所需的gas成本(ETH資助)。這一點也很複雜,因爲很多基于以太坊的系統將用戶真實身份的許多方面與他們的地址聯系起來,這種與以太坊地址鏈接的額外數量的元數據,可以使以太坊特別容易受到去匿名化攻擊的影響。幸運的是,那些使以太坊暴露于這些威脅的智能合約,也可被尖端的新密碼學系統所使用,從而實現安全和無縫的隱私交易。wry顯卡之家

ZK構造和可信設置wry顯卡之家

很多零知识证明构造会用到所谓的“可信设置”(Trusted Setup),这意味着整个构造依赖于特殊随机数的生成,任何知道这些随机数的人都有能力窥视操作内部。为了减轻这些担忧,人们就设计了复杂的方法来生成这些随机参数,以确保构造能够被信任。这通常涉及到社区中的几个可信成员,每个成员都派生出他们自己的私有随机数据,并以一种方式将它们彼此结合(如果任何一方删除了他们的密钥数据,那么秘密值是安全的。因此,所以参与方都需要串通)。wry顯卡之家

值得注意的是,门罗币所使用的“ Bulletproof”(防弹证明)是不需要可信设置的,而Zcash的zkSNARKs却是需要的,另外,STARKs也不需要可信设置,因为它们使用了哈希函数作为“设置”,而不是任何类型的特殊数字。wry顯卡之家

零知識Note(ZK-Note)wry顯卡之家

AZTEC是以太坊隐私领域的早期推动者,其使用的是一个“零知识note”系统来追踪隐秘财务状况。这些 note在以太坊网络上是可见的(包括每个note的所有者),但是除了note的所有者之外,note上存储的金额数量对其他所有人而言都是隐藏的。wry顯卡之家

当一个note 拥有者决定执行“joinSplit”操作时,零知识的魔力就来了,这意味着他们可记下他们控制的任意数量的note,并创建一组输出note,这些note可能属于也可能不属于其他人。与隐形地址技术相结合,这可使创建的每个新note都归一个完全干净的以太坊地址所有。在一个常见的用例中,一个“ZK-Asset”(零知识资产)合约可连接到任何ERC20兼容代币,允许用户存放代币以生成ZK-Note,并允许用户燃烧ZK-Note进行提币。此机制允许以太坊网络上的任何现有资产以保护隐私的方式进行交易。wry顯卡之家

AZTEC協議使用的證明要比ZK-Snarks更容易使用,但其仍需要一個可信設置。wry顯卡之家

AZTEC也正在接近其他新的需要可信设置的新生解决方案。PLONK是一种新的、高效的ZK-SNARK结构,所有程序都可重用这一设置。由于PLONK的gas需求量并不大,因此它对以太坊而言更有实用价值。对此,AZTEC协议首席执行官Tom Pocock认为,PLONK可用于编程复杂的逻辑语句,以保持完美的隐私。wry顯卡之家

ZK與安全多方計算(MPC)的結合使用wry顯卡之家

在ZKBoo以及最近的Ligero例子中,零知識證明系統就與安全多方計算(MPC)進行了結合使用。這要求證明者提交安全MPC協議的記錄,然後讓驗證者隨機評估其中一方的視圖,將安全多方計算協議“編譯”成ZK-PCP系統(最早使用概率證明的ZK系統之一)。更重要的是,使用MPC有可能創建隱私智能合約。wry顯卡之家

與ZK-STARKs一樣,基于MPC的證明具有:wry顯卡之家

1. 透明性:随机数的生成是公开信息;wry顯卡之家

2. 后量子安全性;wry顯卡之家

3. 可扩展性:基于MPC的证明具有一个(准线性)证明时间及一个验证者时间,这可提高分期和批量计算的效率;wry顯卡之家

使用此類技術的一些折衷方案,涉及如何使這些技術對中小型“電路”或問題具有最佳效果,而這可能會導致驗證程序的可擴展性問題。wry顯卡之家

也就是说,基于MPC的技术在區塊鏈领域还没有得到充分的开发,这些技术将比现有的ZK(零知识)技术普遍得多,特别是在各方需保护与实际计算本身有关的机密信息的情况下。例如,MPC技术对于尝试运行信用评分算法来评估客户信用度而言是有用的,无论是客户还是银行都不想放弃与其交易历史相关的机密信息,以及在ML信用评分模型中的权重。wry顯卡之家

硬件限制wry顯卡之家

當Zcash首次提出使用zk-SNARKs來發送交易的想法時,人們對使用隱形交易所需的計算力的數量存在嚴重擔憂,在當時這需要數小時或更長的時間才能生成交易。從那時起,我們已走過了很長的一段路,而當前的實現能夠在浏覽器甚至在移動設備上,以秒爲單位完成類似的任務。wry顯卡之家

隱私混合器wry顯卡之家

最近一個備受關注的話題就是混合器,早在今年5月份時,Vitalik就發布了以太坊網絡下一代混合器設計的動機和粗略概要的一篇文章。wry顯卡之家

用戶需要以太坊混合器來幫助他們實現錢包或個人的隱私交易,以太幣的可追溯性意味著特定的交易可被跟蹤並鏈接到其他錢包、賬戶等。而混合器則被用于交換以太幣,以提高交易的隱私性。wry顯卡之家

從那時起,很多團隊在進行相關的努力,以使混合器更適合于以太坊。下面是一個最新的圖表,計算了相關混合交易的gas成本。wry顯卡之家

各類以太坊隱私技術方案的優缺點及適用場景評估wry顯卡之家

應用層中單獨的混合器永遠不會給用戶提供絕對的隱私性,而只是提供了概率保證。然而,這或許足以滿足大多數個人和企業的隱私需求。wry顯卡之家

誰爲Gas買單?wry顯卡之家

然而,上述這些混合器方法中存在著一個致命的缺陷,那就是,最終需要有人支付gas才能確認輸出。那這部分以太幣是從哪裏來呢?如果支付最終確認輸出的以太幣可追溯到某個用戶,那麽該用戶就相當于失去了匿名保護,這就破壞了整個隱私目的。wry顯卡之家

這就産生了一種隱私“雞與蛋”的場景,其中接受匿名以太幣的唯一方法是已擁有匿名以太幣。在Vitalik的原混合器帖子中,他用一個簡單的中繼者注冊合約解決了這一問題,其中承諾發布任意交易的中繼運營者可注冊一個HTTP端點,這樣交易就可實現匿名發布。wry顯卡之家

最後,我們還需要考慮錢包和操作安全問題,這需要在保護用戶安全的同時,又不會給用戶帶來太多麻煩的體驗。所有這些混合器解決方案需要大量的參與者來合理地期望隱私,所以工具需要容易被容易使用,但這裏的任何捷徑都可導致一些嚴重侵犯隱私的行爲。wry顯卡之家

这些技术,以及行业当中很多其它在发展的技术,都是以太坊网络的隐私问题越来越受到关注的标志,而这些技术进展可能很快会得到巨大的推动。虽然在公共區塊鏈上实现隐私似乎有些自相矛盾,但零知识和其他隐私技术方案将使得各种新的、尖端的用例成为可能。wry顯卡之家

展望未來wry顯卡之家

本文並不是對以太坊所有隱私方案的完整概述,當我們談到隱私時,並沒有什麽靈丹妙藥能夠解決所有的問題,而是需要針對特定的用例使用不同的方法和機制。wry顯卡之家

因此,我們將繼續檢查和評估以太坊的隱私解決方案,以幫助科普和推動這類技術的發展。這包括未來會提供的關于具體隱私解決方案的文章以及解釋各種隱私技術的報告,另外還有對目前正在構建隱私解決方案的項目及公司的更深入的分析。wry顯卡之家

披露:Consensys仍然對隱私和可擴展性技術非常感興趣,Consensys實驗室已投資了Aztec協議、Ligero以及Starkware,並會繼續尋找突破這一領域限制的項目。wry顯卡之家
来源: 巴比特wry顯卡之家

相關推薦