獨家| ChinaLedger白碩：區塊鏈中的隱私保護

隱私問題一直是區塊鏈應用落地的障礙問題之一，如何既能滿足監管，又能不侵害數據隱私，是行業都在攻克的問題。那麼，到底隱私問題為何難？有什麼解決思路，以及實踐創新呢？零知識證明、同態加密等技術，又能否解決問題呢？裸數據交易應如何控制？

雷鋒網AI金融評論報道，在5月11日由北京國家會計學院主辦，區塊鏈初創公司靈鈦科技，能源區塊鏈實驗室，眾安科技、新加坡第三方支付公司Omise協辦的 「區塊鏈在中國的應用與產業發展主題論壇」 上，Chinaledger技術委員會主任白碩老師圍繞「區塊鏈中的隱私保護」的主題進行了講述。

白碩老師，現為Chinaledger技術委員會主任，先後就讀於清華大學、北京大學，1990年獲得理學博士，曾任中科院計算所研究員、博士生導師，軟體方面首席科學家，2002年起任上海證券交易所總工程師。

據雷鋒網AI金融評論現場了解，演講上，白碩老師除了介紹了Chinaledger提出的基於中央對手方案，也對其他方案進行了拆解分析。他認為，在區塊鏈隱私問題上，目前技術的發展程度對隱私的保護還很差，但也不能認為這就是區塊鏈的固有局限，它還有可以改進的空間。

隱私保護是很重要的，而且有現實的需求；如果說馬上就要實現，等不得那些非常完美的方案，就要兼顧隱私強度和去中心化的程度，根據自身的應用場景找一個適當的平衡。隱私保護可以為區塊鏈進一步賦能，保護區塊鏈落地；同時可以把密碼技術加上區塊鏈在一起，加上原有的大數據，實現大數據的互通有無，催生化學反應和增值。

因此，從途徑看，長治久安型的理想的解決方案確實要抓緊研究，尤其是我們的密碼學界和區塊鏈跟落地直接相關，和跟技術、商業直接相關的這兩方要加快對接。此外短平快的解決方案能落地的也要儘快落地，大家要認清楚什麼是可以犧牲的，什麼是不能犧牲的，在裡邊找一個適合自身的方案。

以下是白碩老師演講原文，雷鋒網AI金融評論做了不改變原意的編輯：

原來是很多單位各記各的賬，但是這個賬本之間是有關聯的，如果上了鏈，大家就可以記同一本賬，這個邏輯上就集中了。然而，記這本賬的物理位置是分散的，但機器之間還要互相達成共識。所以，集中是邏輯的集中，分散是主宰權的分散。

但是，大家都記一本賬的場景之下就會出現一個問題：現金是私人的領域，包括其他區塊鏈上記載的信息，也都需要隱私保護。而關於這個問題業界存在一些誤解，其中是兩種互相矛盾的說法：一個說法是公開透明的，一個說法是區塊鏈是匿名的，但是這個匿名只有地址是匿名的，而賬目是公開透明的。但是，區塊鏈只能是這樣了嗎？其實不是，還可以改進；另一個是說區塊鏈隱私保護已經很好了？也不是，在這個問題上隱私保護還很差。

我們具體說賬戶：

• 一個賬戶由地址來標定，而一個地址的身份同一性無法掩蓋——這次用這個地址，下次用這個地址，當然長時間跨度，一個地址可能會轉給另一個人，但是在一段確定的時間範圍內，這個地址是同一個身份的人在用，這個無法掩蓋。

• 另外不同地址之間如果出現穩定的關聯交易，也是無法掩蓋的，還是有痕迹可以尋找。

• 第三，不同的地址之間還有一些趨同交易，就是一個人有個人的手法、有個人的密碼，或者說像指紋一類的驗證信息，體現在人的交易行為中。這些交易行為如果出現趨同性，那是這個人不自覺留下的，也是無法掩蓋。

正因為有這些無法掩蓋的東西，看起來賬戶是匿名的，但是依然抵抗不了強監管。

賬目

對於賬目問題，行業在往兩個方向使勁：一個是往右，就是去中心化，指集體見證——我希望你是公開透明的，一公開透明就可以集體見證。但是另一方面，無論是法律法規的要求還是個人隱私權利的要求，還是幾個人私下之間做一件事，希望無關人士迴避等這樣的要求，都要求這目不對無關的人開放。但是這樣就出現一個問題——不開放怎麼集體見證？

這看起來好像是矛盾的，但是這個矛盾是可以通過高級的技術來化解。

首先我們要區分兩種見證：

• 一種是所謂的事件的時序或者時間順序的見證。區塊鏈提供了時間先後順序不可更改的確定的時序，通過一種集體見證的方式在區塊鏈上得到見證。

• 同時還有所謂有效支付的見證，比如要防止雙花、透支、出負，這些工作在不同的區塊鏈模型下有不同的解決方法。

UTXO模型，比如這樣的場景：一張一張的支票，每個支票上有不同的面額，在支付的時候要把面額的總額和將要支付的標的進行比較，只有當總額大於標的的時候，支付才有效。餘額模型會把這些都合并出餘額，把歷史上收到的些錢匯聚成一個總的餘額，這個餘額和你將要支付的標的之間也要進行比較。

這兩件事情，在比特幣也好、以太坊也好，是通過一個環節完成的，但是實際上是兩件事情。在保護隱私的時候，其實就是希望還要對事件的順序，對有效支付都要有一個見證，但是有效支付的見證提出了更高的要求——我不看見這些具體的值，時間順序好像沒有什麼問題，加了密，它是這個時間發生的，我仍然可以確認它是這個時間發生的。

但有效支付這個要求是有問題的——在看不見這些數額的時候，我又要確定誰比誰大；而如果我看見了，那隱私就泄露了。又不要讓人看見，又要確定誰比誰大，這比較難處理。我們可以把目前看到的一些解決隱私問題的技術投影到一個二維平面，這個二維平面其中一個坐標講的是隱私性本身的強和弱，另一個坐標講的是去中心化程度的強和弱，就是弱中心化和強中心化。

按照這樣的劃法，我們就看到直線區分出兩個集團。線的右上角是比較完美的，它能夠徹底地或者說理想地去解決剛才說的這個問題——在不見到數額的情況下去做見證。而線的左下方採用的這樣一些技術，其實它是有所犧牲的，要麼犧牲了去中心化的特點，要麼犧牲了隱私強度的特點，它可能去中心化做得很好，但是只能保證很弱程度的隱私保護，再強就保護不了了。要麼是隱私保護得很好，但是去中心化特點沒有辦法完美地保證。

而在這個線的底下，我們看到一種馬上可用，但是是犧牲了一些東西的方法。而在這個右上方，我們看到的是理想的，兩邊都不犧牲的，但技術上還沒有成熟的方法——它們在實現當中效率等各方面還達不到實用，或者很少有能達到實用。所以是尺有所長、寸有所短。

這裡是零知識證明：

S先生、M先生、P先生，M先生是一個中間人，他出題，想了兩個數，這兩個數都是100以內的整數，然後把這兩個數加起來的和告訴了S先生，把兩個數的積告訴了P先生，然後我們就聽到了對話。S先生說我不知道A、B是多少；P先生說，我知道你不知道，我也不知道；S先生說，現在我知道了；P先生說，現在我也知道了。

假定諸位是旁邊的旁觀者U先生，聽到了他們的對話，如果沒有強大的數學知識，你會說我也知道了。整個這個過程看起來是不知道A、B是多少，但是這個過程已經不是零知識交互了，對這個狀態有所泄露，P先生說這個話又進一步有所泄露，而一來一去大家都知道了。

這是一個數獨的題目，有人已經做出來了，他聲稱做出來了，但是又不想讓人知道是怎麼解的，怎麼辦呢？大家就可以交互，因為數獨要滿足行、列加起來，都是1-9不重複。這樣的特性可以把翻過來的紙片拿下來洗牌，洗完牌以後再翻開給大家看是不是1-9。每出示一個新的行、列或者小塊，大家對他解出來這個事情就多了一份信任。這就是零知識交互的過程，在整個過程當中，他沒有泄露任何跟他解法有關的東西，只是把結果告訴大家。

採用這個原理做的，大家比較熟悉的就是去年年底上線的ZCash。ZCash的原理是非互動式的零知識證明——一次性出示一個證明，而對方拿到這個東西可以一次性驗證，不需要再交互。我們可以把這個過程分成三個區域，底下的是用戶自己收到的支票，中間黃顏色的是當前這筆交易，我們看到一般的交易只有三要素，就是誰給誰多少錢，發放方的地址、接收方的地址和轉賬的數額。

但是ZCash就多了一個要素，就是零知識證明的信息。這個信息可以證明，虛線的最上面那個區域就是無關方面，他們又要代記賬，需要為你背書，又不知道誰給誰轉了多少錢；但是這個零知識證明的信息傳上來了，可以驗證夠不夠支付。

基於零知識證明這個比較高深的密碼學原理，就能夠驗證你是否足夠完成本次支付。這種方法在不泄露本次轉賬的金額、發送方、接收方的地址，也不泄露之前的支票發送方、接收方的地址的情況下，就能夠做出是有效支付還是無效支付的判斷。對於有效的支付，他們就可以從挖礦的角度給予確認。

除了零知識證明，還有一個叫同態加密，我們可以看成在A和B之間存在一種數學運算——進行了這個數學運算就可以得到一個結果C，相關方看到的都是明文，但是無關方不需要看見A，也不希望看見B，也不希望看見C；如果等於C，就知道這個轉賬的來往，從而確認。因為價值是守恆的，等式要成立。

同態加密想的辦法是做變換，把A、B、C變成FA、FB、FC，然後A和B之間的運算變成FA和FB之間的另外一種運算。但是這種運算是所謂同態映射，同態映射能夠做到先運算後加密和先加密後運算結果是一樣的。

有這個保證，我們就可不管用戶轉了多少錢，只需知道賬是平（守恆）的，映射完後價值沒多沒少，之間是如何分配不用管，這就是同態加密的方法。

Chinaledger提出了基於中央對手的方案，這個方案分成A鏈和B鏈，事件時序的見證在一條鏈上，而有效支付的見證在另外一條鏈上。這個實踐順序加密提交，提交為CCP——中央對手方，由中央對手方來解密、檢驗簽名、檢驗餘額，如果是有效就實現過戶，然後加密再回去。

也就是說，時間順序在A鏈上進行了背書，而交易的有效性在B鏈上進行了背書，但是B鏈上並不是所有的參與者，而只是法律上大家賦予了它這個職能的中央對手方。而中央對手方方案顯然有中心化色彩。所以結果是中心化色彩很強，但是隱私保護也很強。

但是為了防止CCP本身去做壞事，還可以在B鏈上設置監管用戶——監管用戶既可以看到A鏈，也可以看到B鏈，只要CCP和監管方不是共謀的，那麼監管方還可以把CCP的所有事情再檢驗一遍，這個就是Chinaledger的方案。

以太坊社區也提出了一個基於State channel的隱私保護方案：

一個賬本統一打一筆錢到智能合約里，智能合約實現加密，中間的明細怎麼改變價值最終的版本等外邊是看不見的；等到最後交易完成，再把結果顯回到基礎上。所以中間過程部分的隱私是保護了，但是總額進來多少、出去多少，這些保護不了。

基於Tear-off的隱私保護方案

這個是基於Tear-off的隱私保護方案，相當於撕去敏感信息的盲簽名，對敏感信息和非敏感信息進行分組，讓敏感信息不出現。這樣的話相關人能看見敏感信息，也能看見上邊的，無關人只能看見上邊的。這種方案一定程度能保護隱私，比如交易的有效性，就需要敏感信息，而敏感信息是看不見的，交易的有效性在無關人就沒有辦法做背書，只能由相關人做背書。

所以，這就引進了公證人這樣的角色——公證人屬於相關人，能夠接收到敏感信息，所以能夠對交易的有效性進行驗證，但是公證人又不同於交易雙方，Chinaledger做的就是基於CCP的公正，其實道理是相同的。

現存大數據交易方案存在哪些弊端？裸數據交易的痛點

區塊鏈上價值是守恆的，也知道數據是不守恆的，很低的成本就可以拷貝。裸數據交易其實有很多的痛點，大家都覺得這是不可行的。

• 首先，賣出去的數據就像潑出去的水，一擴散出去就別想控制它向更遠的地方擴散了。

• 還有數據的權屬問題，有沒有權利賣？它是在經營過程當中形成的，但是數據的所有者可能不是你。舉個例子，病歷是病人在醫院看病的過程當中形成的，但是病歷的所有者是病人，不是醫院，醫院沒有權利賣這些數據。

• 還有是泄密。不是所有數據都可以賣，有些數據很敏感，賣出去以後是泄露別人的秘密。

• 但是不賣的話，數據在自己手裡能夠帶來的價值又很有限，所以賣也不是，不賣也不是。

不賣裸數據，而賣數據API ？

那麼，如果不賣裸數據，而賣數據API的使用權，就是賣一種服務行不行？但這遇到兩個問題：

• 第一個是拖庫，我賣的是f（x）；再一個是計量記賬的問題，用了多少次這個數據，沒有公認的計量的話就說不清楚。當然也有好處，反正這個x是沒拿走的，只是賣一個f（x），那個x不是自己的也沒關係，只是賣一種服務。

• 另外一種可能是以物易物。給別人開放一個介面，別人也給我開放一個介面，但問題是：使用權是不是成立？

智能合約：暴露了場景和介面，後果不堪設想

智能合約也有一個問題，就是智能合約資源的控制——資源的使用是花費的。智能合約有一個GAS的概念，舉一個場景的例子：大家各自擁有自己的數據，X和Y是不曝露出來的，而曝露出來的是場景和介面，輸出的是服務——這些服務在用戶使用的時候，實際上可以用區塊鏈進行計量，那麼交易明細實際上可以直接跟付費掛鉤，銀行可以直接轉走這個付費，也可以在區塊鏈使用代幣來進行支付，這樣區塊鏈大數據的使用就完蛋了。

數據單獨的使用價值有限，而不同領域的數據一旦實現關聯，可能就會出現化學反應，從而給數據帶來增值。所以我們看到三個空間，自己的數據放在封閉空間里，然後經過介面曝露，放出來的服務數據在開放空間里，而這個數據的化學反應是在增值空間里。

背靠背求交集

背靠背求交集，這是一種競合關係，兩方又要同時跟對方共享兩個集合的交集，但是又不想對方看到這個全集。這個曾經有一個不靠譜的做法，就是引入第三方——為了求交集，第三方拿到了並集——第三方太便宜了，我們可能還要給他付費，而付費還不便宜，這樣的做法很危險。

也有一些沒面子的做法，實在是沒有技術手段了才這麼辦？大家帶著盤到現場，緊盯著對方操作，操作完了以後看著對方把硬碟砸掉。

如果大家都用哈希怎麼樣呢？也不行，如果一方老實地把自己的集合拿出來；不老實的一方，把電話號碼做一個全集，一求交集就把你的數據拿出來了。也可以窮舉，這個也是不靈的。

那怎麼辦？解決的途徑是混淆，通過混淆能夠實現背靠背求交集，自己不曝露自己的全集，而且一方面想拿到另一方的全集——事實上這樣計算上付出的代價也很大，實際上是不可能的一件事情，這樣給大家背靠背求交集帶來了一種希望。

結論

• 隱私保護是很重要的，而且有現實的需求；如果說馬上就要實現，等不得那些非常完美的方案，就要兼顧隱私強度和去中心化的程度，根據自己的應用場景找一個適當的平衡。

• 從途徑看，長治久安型的理想的解決方案確實要抓緊研究，尤其是我們的密碼學界和區塊鏈跟落地直接相關，和跟技術、商業直接相關的這兩方要加快對接。此外短平快的解決方案能落地的也要儘快落地，大家要認清楚什麼是可以犧牲的，什麼是不能犧牲的，在其中找一個適合自己的方案。

• 隱私保護可以為這個區塊鏈進一步的賦能，在一些如果沒有隱私保護區塊鏈就沒有辦法落地的場景上，保護區塊鏈落地；隱私保護也可以為大數據護航，把密碼技術加上區塊鏈，加上原有的大數據，從而實現大數據的互通有無，實現化學反應和增值。