一文讀透區塊鏈隱私保護技術以及相關項目全景圖

最新 08-21

區塊鏈天天說

區塊鏈媒體的一股清流

關注

來源：鏈聞（ID：ChainNews_com）

作者：Richard Chen，1confirmation 分析師，1confirmation 是一家位於舊金山的早期加密風險基金。他在斯坦福大學主修計算機科學，專業方向為密碼學。

「我認為隱私是這樣一種方式，它可以防止外人對我們一言一行動輒說三道四，並創造出我們可以自行優化的空間，創造出自己的幸福——這幸福只屬於我們自己，無關別人對我們的看法。」

——Vitalik Buterin，以太坊創始人

在當今的加密技術中，隱私是一個很重要的話題，這已經不是什麼秘密了。無論是公司還是個人都不希望將自己的所有信息發布到公共區塊鏈上，不受任何限制，被本國政府、外國政府、家庭成員、同事或商業競爭對手隨意讀取。

很多關於區塊鏈隱私保護的實驗和研究，但關於這個類別，我們還沒有看到全面的概述。

在這篇文章中，我們將涵蓋隱私領域四個方面的最新實驗和研究：

1、隱私型代幣，2、智能合約隱私，3、隱私基礎設施，4、隱私研究。

比特幣的隱私問題

比特幣最初是作為一種假名加密貨幣開發的，只要現實世界的身份不會與比特幣地址聯繫起來，它就能保持隱匿。然而，由於比特幣區塊鏈的公共性質，很快人們就清楚地發現，是有可能根據特定地址和交易的使用模式來甄別個人的。此外，節點在廣播交易時也會泄漏其 IP 地址。

上圖每個節點代表一個地址，每個邊代表一項交易；Mt. Gox、絲綢之路和 Satoshi Dice 等許多節點都已從交易模式中隱去了名字

2013 年，Meiklejohn 等人成功識別出屬於在線錢包、商家和其他服務提供商的集群。如今，像 Chainalysis 和 Elliptic 區塊鏈這樣的服務可以檢測洗錢、欺詐和違規行為。

在上圖這個例子中，外部觀察者可以看到將比特幣發送給，但是不能確切地說出誰將錢發送給了誰；對不同的用戶重複幾次這個過程，匿名集就會增加

為了應對比特幣隱私受到的侵蝕，CoinJoin等混合器服務tumbler應運而生，以提高比特幣的匿名性。在 CoinJoin 上，用戶共同創建置換其代幣所有權的事務，讓一組中的每個用戶都能匿名。這個過程可在不同的用戶間不斷重複，以使匿名集不斷增長。犯罪分子一直使用這種混合器將可識別的比特幣與其他基金攪和在一起，以掩蓋資金的原始來源。

然而，CoinJoin 也有其缺陷。CoinJoin 想要保持隱密，匿名集肯定是越龐大越好。但實際上，每個 CoinJoin 事務平均只有2-4個參與者，因此研究人員能夠對 67% 的 CoinJoin 事務去匿名化。後來在 CoinJoin 上的改進激發了更好的加密貨幣混合設計，比如TumbleBit，但是它也有局限性。

隱私型代幣

由於比特幣缺乏隱私，而且目前還沒有在協議層改善其隱私的計劃，現在已經湧現出一批支持隱私交易的新型加密貨幣。

其中一個例子是Zcash，其創始團隊有著強大的加密學術背景，使用zk-SNARKs 技術。早在 1985 年，Goldwasser、Micali 和 Rackoff 最早提出了「零知識證明」的開創性想法。到了 2015 年，Eli Ben-Sasson 等人開發了 zk-SNARKs 技術，對零知識證明有所改進，允許人們簡潔且非交互地證明自己知道某件事，同時不透露具體信息內容。zk-SNARKs 為許多與隱私相關的項目提供了技術支持，並且可以使用一種名為遞歸組合的技術壓縮區塊鏈的大小。

目前，Zcash 團隊正在致力於Sapling項目，這次網路性能升級將改善屏蔽加密交易的性能和功能，計劃於 2018 年 10 月啟動。由於大約 85% 的 Zcash 事務仍以明文形式傳輸，發送屏蔽事務的計算成本非常大，因此 Sapling 項目將有望提升屏蔽事務的數量。

門羅幣是另一種隱私代幣，使用環形簽名而非 zk-SNARKs 技術。目前門羅幣團隊正在構建Kovri以支持保護隱私的數據包路由，以便用戶可以隱藏其地理位置和IP 地址。匿名用戶的網路流量將大大提升門羅幣網路的安全性，並確保用戶不會因為使用了門羅幣而被逮捕或遭到人身傷害。

人們常常把 Zcash 和門羅幣拿來比較。這兩個社區都是由 Twitter 上的大腕領導的，Zooko Wilcox 領導 Zcash，諢名「蓬鬆小馬」的 Riccardo Spagni 領導門羅幣，但不同之處在於，Zcash 得到了一家公司和一家基金會的支持，而門羅幣只是一個由核心開發人員組成的有機社區。這兩個項目的匿名性都存在缺陷，這一點均已得到修正。此前，有研究人員能夠將 69% 的 Zcash 受保護的交易與創始人/礦工聯繫起來，也能將62%的門羅幣的交易去匿名化。

然而，這兩個項目在本質上採用了截然不同的隱私保護方法，並且做出了不同的權衡，到目前為止，我還看不到有哪個項目在未來有可能超越另一個。在我看來，Zcash 和門羅幣將繼續像可口可樂和百事可樂那樣共存。

Mimblewimble 原意是《哈利波特》中的咒語，Tom Elvis Jedusor 是伏地魔的法文名字，Ignotus Peverell 是隱形斗篷原本的主人

「Mimblewimble」是一個新的專註於隱私的區塊鏈項目，建立在比特幣的設計基礎上。2016 年 7 月 19 日，「Tom Elvis Jedusor」把白皮書丟進了一個比特幣研究網站，隨後銷聲匿跡。後來，「Ignotus Peverell」開始了一個名為Grin的 GitHub 項目，並開始將 Mimblewimble 的白皮書變成現實。Blockstream 公司的 Andrew Poelstra 在 2017 年斯坦福 BPASE 大會上展示了他們的成果，此後 Grin 開始受到很多主流關注。Grin 的第三個測試網已經發布，主網預計將在 2019 年初首次亮相。

Mimblewimble/Grin 對保密交易和 CoinJoin 作出了改進。關鍵功能包括無公共地址、完全隱私和緻密的區塊鏈。最近 Grin 幣的開採引起了廣泛關注，Grin 幣和比特幣一樣，只能通過PoW 機制來採礦。Grin 採用了布谷鳥循環Cuckoo CyclePoW 演算法，該演算法具有抵禦 ASIC 的設計，並可防止像門羅幣那樣的中心化採礦。

總的來說，Grin 將一些令比特幣如此強大的社會特性，例如匿名創始人、無領導的開發團隊、PoW 共識、不進行 ICO、沒有鏈上治理等，與 Zcash 和門羅幣的技術改進相結合。

與比特幣不同的是，Grin 的總體供應沒有上限，其貨幣政策採取了線性供應計劃，這意味著通脹在早期非常高，但隨著時間的推移逐漸趨近而不是達到零。早期的通貨膨脹可以刺激消費，而不是鼓勵人們在網路上線後進行投機。儘管持續的通貨膨脹使得 Grin 不可能成為理想的價值儲存手段，但一旦比特幣的區塊獎勵消失，礦工只能賺取交易費，它就能避免比特幣的這種不穩定性。

Grin 這種新穎的貨幣政策，也與備受爭議的 Zcash 創始人獎勵制度大相徑庭，後者指在最初的 4 年裡會有 20% 新鑄造的 ZEC 供應給項目開發人員。MimbleWimble 區塊鏈的規模則是與用戶數量、而非交易數量成正比，從而避免了使用門羅幣的環形簽名出現的UTXO 集縮放的問題。

還有些有意思的隱私代幣目前還處在開發早期，包括MobileCoin和BEAM等。

智能合約如何關注隱私保護？

智能合約中的隱私與支付中的隱私不同，因為智能合約公開包含程序代碼。遺憾的是，事實證明程序混淆不可能實現，因此智能合約目前既缺乏保密性隱藏付款金額，也缺乏匿名性隱藏發送方和接收方的身份。

在我看來，當企業業務準備大規模構建 DApp 並需要隱藏其客戶的活動時，就會出現對智能合約隱私的強烈需求；目前，每個人都能看到像加密貓這類 DApp 的使用情況，這並沒有什麼問題。這有點像是互聯網在最初上線基本網站時，使用的是 HTTP，之後為了電子商務等需要加密網路流量的網站，就需要再進一步引入 HTTPS。

以太坊上沒有隱私可言，每個人都可以在 DappRadar 上看到 DApp 的使用量

就以太坊而言，Benedikt Bünz 正在斯坦福大學領導關於 Zether 的研究，這是一種私人支付機制，與以太坊完全兼容，並可為以太坊智能合約提供保密和匿名性。 Zether 作為以太坊智能合約來實施，所消耗的 gas 極其有限。Zether 還具有多種用途，可以為諸如支付渠道等常見應用程序增加可證明的隱私。

Keep 是另一個通過為私有數據創建脫鏈容器來為以太坊構建隱私層的項目。它可以在不必將數據暴露在公鏈的情況下管理合約、使用私有數據。

雖然在以太坊，隱私的優先順序別目前僅次於 Casper，排在第二位，但是以太坊基金會實施 Casper 的速度很慢，並且風險在於，要到多年後隱私才將成為以太坊的核心功能。

如果在此期間隱私智能合約成為加密社區迫切需要的東西，那麼新的隱私智能合約平台將會伺機出現並填補這一空白，同樣的情況，當比特幣在隱私支付方面出現欠缺時，Zcash 和門羅幣得以嶄露頭角。Enigma、Origo 和 Covalent 也都是新的智能合約平台，它們試圖在區塊鏈中實現隱私包括功能。

Oasis Labs 是另一個令人興奮的關注隱私的項目，它構建了新的智能合約平台 Ekiden，將智能合約的執行與基礎共識機制分隔開來。智能合約在一個稱為安全區的孤立硬體如英特爾 SGX內部運行。這個安全區就像一個黑箱，使計算相對於其他應用程序保持隱密。它還可生成一個認可程序得到正確執行的加密證明，將證據存儲在區塊鏈中。通過將智能合約的執行與共識分離，Ekiden 可與包括以太坊在內的不同底層區塊鏈兼容。

關注隱私的區塊鏈基礎設施

除了隱私型代幣和關注隱私性的智能合約外，Web 3 堆棧還有其他重要的關注隱私性的基礎設施項目值得一提。

Orchid 正在嘗試構建一個更好的 Tor 版本，在這個版本中，用戶通過將額外帶寬出租給 Orchid 網路中的中繼器來獲得代幣。Tor 的問題在於，只有大約 6,000 個中繼節點和不到 2,000 個橋接節點，因此某些政府可以將所有中繼和橋接節點列入黑名單，從而防止其公民訪問 Tor。使用代幣經濟學，將激勵許多人成為中繼節點，而這將給阻擋 Orchid 製造困難，想要攔住它，基本上就得封住大部分互聯網。

BOLT 正在建立一個私人支付渠道，使用盲簽名和零知識證明來隱藏參與者在開啟、交易和關閉支付渠道時的身份。最初的支付渠道建立在 Zcash 之上，但將能夠與比特幣和以太坊進行互操作。

NuCypher 在構建一個使用代理再加密的去中心化密鑰管理系統，以提供與 HTTPS 相同的功能。代理再加密是一種公鑰加密，允許用戶在不了解底層消息的情況下將密文從一個公鑰轉換到另一個。

Starkware 則是在包括以太坊的各種區塊鏈中實施 zk-STARKs。與 zk-SNARKs 相比，zk-STARKs 的優勢在於它不需要可信任的設置，不過加密證明的大小也會大很多。

關於隱私的研究

密碼學的學術研究推動了隱私領域的創新。隱私研究主要涉及零知識、多方計算、全同態加密等領域。

除了 zk-SNARKs 和 zk-STARKs 之外，Bulletproofs 是另一種新型的短期非互動式零知識證明。

與 zk-STARKs 類似，Bulletproofs 不需要可信任的設置，但驗證 Bulletproofs 比驗證 zk-SNARKs 證明更耗時。Bulletproofs 設計旨在實現加密貨幣中的高效機密交易，並將證明的大小從 10 KB 縮小到 1-2 KB。如果所有比特幣交易都是保密的、並且使用了 Bulletproofs，那麼 UTXO 集的總大小將僅為 17 GB，而當前使用的證據文件則為 160 GB。

各種零知識證明系統的利弊

多方計算MPC允許一組人基於他們的輸入進行聯合計算，而不需要每個人顯示其輸入值。例如，Alice 和 Bob 想要知道誰擁有的比特幣更多，那麼在不需要他們披露自己擁有多少比特幣的情況下就能達到這個目的。遺憾的是，目前多方計算的局限性在於它在實踐中使用效率極低。

全同態加密Fully homomorphic encryption則允許人們在加密的數據上計算。幾十年來，這一直是密碼學領域中的一個未解決的問題，直到 2009 年，斯坦福大學博士生克雷格·詹特利Craig Gentry使用「理想格」構建了第一個全同態加密方案。如果 Bob 想在 Alice 的數據上執行任意計算，比如訓練機器學習模型，同時不必要求 Alice 顯示明文數據，理想格加密方案就能派上用場。全同態加密和多方計算一樣，目前仍然基本上停留在理論階段，在實踐中的使用效率太低。

對未來意味著什麼？

總的來說，隱私性問題是目前密碼學研究中最令人興奮的領域之一，為了讓其在現實世界中得以使用，在優化這些理論技術的效率方面還有大量的工作要做。以斯坦福大學區塊鏈研究中心為代表的一些研究實驗室正積極在這一領域推進，對於未來幾年將會取得哪些重大突破，我們將拭目以待。

加密貨幣的好處在於它為最新的隱私研究提供了直接的應用場景。代幣、智能合約和基礎設施中使用的許多隱私技術都是幾年前才發明出來的。考慮到這個領域的發展速度之快，隱私將繼續成為加密項目設計中不可或缺的一部分。

在公眾號里回復「入門課」三個字。

那裡有兵哥為你準備的更多的免費的區塊鏈乾貨。

喜歡就關注我們吧！

GIF