硬核解讀 一文讀懂隱私技術現狀_比特幣

按：DCR國際運營負責人、首席宣傳者、“DCR耶穌”JonathanZeppettini近日在接受Unchained采訪時表示，在經過和一些比特幣核心開發者一起一年多的秘密開發后，匿名幣新秀Decred近期將添加匿名功能。

一周之前，DCR創始人JakeYocom-Piatt8月21日在官方博客撰文詳細分析了現有的隱私技術，并準備在下一篇文章中介紹DCR采用的隱私技術。

本文我將討論對加密貨幣行業中現有的隱私技術的看法。因為已經存在好幾個主要關注隱私的加密貨幣，我將解釋各種隱私技術，這將有助于理解Decred采取的路線，以及為什么我們采取這個路線。我會另起一篇文章詳細介紹Decred準備如何實現隱私功能。

本文主要介紹的加密貨幣有：

Monero

Zcash

Grin/Beam

Bitcoin

Dash

本文將僅討論它們在鏈上使用的隱私技術，而不是整個項目。在文章末尾會匯總一個表格，比較他們使用的各種項目和技術。

動機

自2016年2月推出以來，Decred主要專注于治理，但在治理方面取得實質性進展后，現在是時候添加上隱私功能了。雖然隱私是獨立于治理的子域，但隱私直接與Decred的核心原則相關：安全性，適應性和可持續性。

通過添加隱私功能，我們可以增強用戶以及項目本身的金融安全性。如果經過利益相關者的同意，我們可以逐漸增加額外的隱私功能，使Decred能夠根據需要適應不斷變化的技術環境。為用戶提供隱私也能使項目在抵御惡意行為者方面具有更大的彈性，從長遠來看，可擴大其可持續性。

nd4.eth再次銷毀價值約330萬美元GMX、GNS代幣:8月10日消息，鏈上數據顯示，神秘巨鯨地址nd4.eth再次將36,188枚GMX（約176.5萬美元）和311,003枚GNS（約153.5萬美元）轉入了銷毀地址，當前賬戶余額僅剩價值21萬美元的代幣。[2023/8/11 16:18:57]

背景

所有現有的加密貨幣隱私技術都可以歸結為“數學技巧”。數學上有幾個子領域致力于解決如何有效地證明某個陳述，而與此同時，模糊用于證明該陳述的大部分數據。這些子領域中的幾種技術已經應用于區塊鏈領域，被用于當前的幾個匿名幣項目。我將討論這些技術，它們的應用，局限以及不足的地方。

Monero

門羅在隱私方面使用的是環形簽名和機密交易的技術組合，稱之為RingCT。這兩技術的組合創造了強大的隱私保障，但也有一些值得警惕的地方。門羅網絡上的所有交易都需要RingCT。

環形簽名

環形簽名是CryptoNote協議的基礎，而字節幣和門羅幣都誕生于CryptoNote協議。環形簽名的主要用途是防止他人來追蹤交易的來源，它通過對交易發起人的未花費的交易輸出產生合理的否認來實現，例如：一筆典型的門羅交易顯示11組UTXO輸入，但實際只包含一組真實的UTXO輸入。環形簽名允許外部觀察者驗證簽名是來自其中一組UTXO，但不知道來自哪一組。目前，Monero使用多層可鏈接的自發匿名組簽名，可能會在不久的未來將其更新為一個新的更緊湊的稱為“CLSAG”的版本。

慢霧創始人：去年11月14日-23日期間使用TrustWallet瀏覽器擴展創建的錢包存在風險:4月22日消息，慢霧創始人余弦在社交媒體引用Trust Wallet公告表示，若用戶使用TrustWallet瀏覽器擴展且在2022年11月14日-23日期間創建了錢包，則該錢包將存在風險。本質原因是當時TrustWallet瀏覽器擴展使用的MT19937偽隨機數生成器沒有提供足夠的隨機性，導致私鑰可以被破解。[2023/4/22 14:20:28]

環形簽名采用非常小眾的方法來解決區塊鏈上的交易追蹤問題。在給定交易中通過混淆這些輸入以及它們的簽名來破壞掉交易間的鏈接。這正是環形簽名做的事情。所涉及的數學和代碼具有一定復雜性，使用簡單的原語，源代碼大約幾千行。簽名的大小隨MLSAG簽名的輸入數量線性變化，隨CLSAG簽名對數變化。環形簽名和橢圓曲線加密算法一樣，依賴于離散對數問題的堅固性，即DLP目前無法破解。但如果DLP被破解，則環形簽名可以被追蹤到實際交易者。環形簽名的一個顯著缺點是無法修剪區塊鏈或以其他方式創建UTXO集的快照，因為無法確定哪些交易的輸出已被花費，哪些沒有。在最近的文章中也有反映，每個門羅全節點只能存儲所有歷史交易的1/8。

機密交易

機密交易作為混淆比特幣交易額的方法最早由GregMaxwell提出。它是通過使用Pedersen承諾并驗證承諾的總和為零來實現的，包括每個輸出承諾一定是正數的范圍證明。范圍證明是低復雜度的零知識證明。在RingCT中，必須進行額外的修正來保持發送者的不可追蹤性，這種修正包括承諾輸出之和非零，而且與理解機密交易無關。門羅最早實施的機密交易是基于Maxwell的原始論文，但它最近部署了一個稱為Bulletproofs的更有效的實施方案，由Bünz等人提出。Bulletproofs的使用大大減小了門羅每筆交易的大小并改善了范圍證明的擴容性。

Web3游戲Mech的Discord服務器遭攻擊:金色財經報道，據CertiK監測，Web3游戲Mech.com的Discord服務器遭受攻擊，請勿點擊其Discord發布的任何鏈接。[2023/1/8 11:00:52]

機密交易和環形簽名一樣，都是混淆交易額的一種小眾方法。當門羅剛發起時，它采用的是CryptoNote協議，該協議不包括交易額混淆，因此固定額度的交易可被觀察者分析。機密交易增加了門羅缺失的交易額混淆，從而大大改善了隱私性。與環形簽名一樣，機密交易的安全性依賴于離散對數問題的堅固性，這是因為它也依賴于橢圓曲線加密算法。與環形簽名不同，機密交易無法通過攻破DLP來破解，因為Pedersen承諾是完全隱藏的，而且是和計算綁定的方案。這種情況下，完美的隱藏屬性意味著，橢圓曲線的點、交易額和致盲因子的多個組合映射到相同的承諾，因此即使可以破解DLP，也無法確定哪一組映射到該承諾。計算綁定意味著攻擊者攻破DLP可以生成映射到給定承諾的交易額和致盲因子，但這與輸入額和致盲因子不匹配。雖然完全隱藏承諾對隱私很有利，但在攻擊者可以攻破DLP的情況下，它們必然存在風險，因為攻破DLP的攻擊者可以創建隱形的通脹，因為承諾只是計算綁定的。Maxwell最初機密交易的論文中的數學是中等復雜的，但更節省空間的Bulletproofs具有中等到高的復雜性。實現Bulletproofs的源代碼長達幾千行，使用簡單的原語，并以新穎的方式合成這些原語。

Zcash

Zcash的隱私是使用零知識證明來混淆交易者和轉賬金額的。它使用的特定的ZKP是零知識的簡潔的非交互式知識的論證。該系統保證了顯著的不透明性，并讓用戶有選擇是否使用它的權利。Zcash網絡中同時存在透明交易和匿名交易，其中匿名交易是受zk-SNARK保護的交易。截至2018年第二季度，約有3.6％的ZEC存儲在匿名地址中。

數據：交易所比特幣地址余額創四年來新低，已跌至2018年11月同期水準:金色財經報道，據歐科云鏈OKLink多鏈瀏覽器數據顯示，截至目前全部交易所鏈上地址中的BTC總量為41.2萬枚，處于四年來歷史低位，已跌至2018年11月同期水準。按當前市場價格計算，價值約78.2億美元。[2022/10/20 16:31:44]

ZK-SNARKs

在加密貨幣行業中使用zk-SNARKs是Ben-Sasson等人在2014年的Zerocash論文中提出的。該論文是Zcash的基礎。zk-SNARKs允許創建簡潔的交易，使其輸入，轉賬金額和收款人完全混淆。通過構造可以由第三方有效驗證而不會看到交易數據的算術電路來實現交易數據的混淆，這些電路是匿名交易的有效載荷。完全匿名交易的輸入實際上彼此無法區分，這意味著特定交易的匿名性是UTXO集的整個匿名部分。

zk-SNARKs是一個可以廣泛應用的工具，可以解決各種各樣的問題，例如：訪問控制，投票系統和通用記錄保存。雖然zk-SNARK是一種非常強大的工具，可以應用于各種場景，但它們在復雜性方面具有相當大的成本。支持zk-SNARK的數學具有高度復雜性并且需要使用不太常見的原語。為了在Zcash中創建zk-SNARK，必須獲取交易信息并將其“編譯”成算術電路，這既是計算密集的又需要數萬行代碼。除了用于創建算術電路的代碼量之外，這些代碼還需要一定量的專業知識才能進行有效審計。zk-SNARK的一個更具體的約束是它們需要一個可信的設置來為網絡生成參數，但如果這個可信的的設置者的信息被惡意者掌控，他們可以偷偷地偽造貨幣，同時保持現有的匿名交易不受影響。攻破DLP的攻擊者具有類似偽造貨幣的能力，但他們只能查看交易額和備注，而不能查看發送者和接收者。由于匿名交易的不透明性，修剪區塊只能在Zcash鏈的透明部分實施。

美聯儲布拉德：通脹被證明更廣泛、更持久:金色財經報道，美聯儲布拉德表示：我們可以更快地提高利率，或者在今年余下的會議上分散加息。通脹被證明更廣泛、更持久；因此，我們必須為下半年制定更強有力的路徑。我認為最近的通脹報告意味著美聯儲現在應該在年底前把政策利率目標定在3.75%。我們需要盡快采取行動，盡快抑制通脹。(金十)[2022/7/15 2:16:41]

Grin/Beam

Grin和Beam都是TomElvisJedusor2016年7月在Mimblewimble論文中提出的匿名方法的實現。MW方法是重構區塊鏈交易，使得它們可以聚合成區塊混淆每個區塊內部的發送者和接收者，使用機密交易對交易金額進行模糊處理。MW隱私技術應用于所有交易。

交易聚合

MW論文建議重組區塊鏈交易，以便可以直接組合整個交易。這種聚合能力實質上改變交易簽名的方式，簽名可以加在一起，然后在聚合交易上獲得有效簽名。使用此系統挖掘的區塊由單個大型聚合交易組成，其交易數額被混淆。任何試圖追蹤分析這種區塊鏈的人只能觀察到構成每個區塊的大型聚合交易，這讓發送者和接收者不可追蹤。

交易聚合以一種新穎的方式使用常見的ECC工具，簽名聚合，因此它是一個可以廣泛應用的工具。簽名聚合背后的數學非常簡單，并廣泛用于環性簽名和機密交易。用于聚合交易的簽名算法和代碼大約幾千行或者不到幾千行，并且使用常見的原語。因為交易聚合的實用性，有相當大一部分對簽名算法的修改，無法使用交易腳本以及對交易創建過程的更改，因此它們不太可能被集成到其他現有的基于比特幣的區塊鏈中。一旦區塊被挖出，里面所包含的交易就已被聚合，但在被挖出之前，網絡上的礦工和其他節點可以在聚合之前查看已發布的各個交易。密切監視網絡上發布的交易的攻擊者可以使用該信息追蹤發送者和接受者，但是查看已挖出的區塊則無法追蹤交易。由于MW直接使用機密交易，攻破DLP的攻擊者可以偷偷地偽造貨幣，但不會看到之前的聚合或交易數額。使用MW的另一個好處是它可以非常容易地修剪區塊，可以大大減少全節點的存儲空間。

比特幣

除了能夠手動選擇UTXO輸入之外，在比特幣核心客戶端中沒有提供任何實質性的匿名功能，但是比特幣錢包Wasabi提供了匿名功能。Wasabi利用一種稱之為Chaumian混幣的方法來實現匿名，由用戶自己來選擇需不需要匿名。

Chaumian混幣

通過應用盲簽技術，Chaumian混幣讓人們難以確認混幣后比特幣的所有權。混幣過程通過服務器將多個交易合并到一個交易中，從而為參與者提供一定的鏈上隱私，但服務器可以查看資金來源和發送地。使用盲簽則可以混淆哪些輸出鏈接到哪組輸入，從而阻止服務器將輸入鏈接到輸出。該混合過程定時發生，由計時器或參與閾值觸發。

對混幣過程使用盲簽是加密技術的小眾應用。盲簽背后的數學既不復雜又經過充分研究，僅需要幾百行或更少的代碼就能實現。為了確保無法區分輸出，使用了幾種輸出面額。由于比特幣不支持交易額模糊處理，因此可以使用部分求和分析來鏈接輸入和輸出，因此需要對變化進行仔細處理。通過盲簽獲得匿名靠的是每次混幣要通過不同的網絡路徑至少連接3次服務器，而且使用的是Wasabi錢包中集成的Tor網絡。Tor提供了很大程度的網絡隱私，但Tor不是為了阻止全球監聽機構，例如NSA，因此能得到多少隱私取決于是誰在監聽你。攻破DLP的黑客可以冒充服務器，偽造簽名輸出地址，竊取UTXO輸入，從攻擊開始時對混幣進行去匿名化，并且通常能強制服務器停止操作，但是這樣的攻擊者不能對之前的混幣進行去匿名化。Chaumian混幣修剪沒有問題。

Dash

Dash是在2014年通過在Dash核心錢包中部署匿名支付引入匿名功能的。PrivateSend是一種分布式混幣方法，它使用多輪混幣。Dash的匿名功能由用戶自己選擇使用與否。

匿名支付

關于比特幣的部分已經介紹了混幣過程，在Dash中也使用了類似的過程。匿名支付混幣過程通過主節點將幾個交易合并為單個交易，為參與者提供一定的鏈上隱私，但執行特定混幣的主節點可以查看資金來源和發送地址。用戶可以實施4-16輪混幣操作，以增加其匿名集的大小。

雖然匿名支付有更多輪的混幣操作，但其匿名性不及Chaumian混幣。分布式的混幣是一個非常有限的工具，它旨在模糊鏈上幣的來源，但無法混淆執行混幣過程的主節點的發送者和接收者。混幣的算法簡單，復雜度也低，可以在幾百行代碼中實現。很難估計匿名支付操作提供了多少匿名性，因為有人聲稱一些大型混幣參與者可以有效地對混幣進行去匿名化。如果攻擊者攻破了DLP，他可以冒充任意的主節點，可能會從這一點開始對混幣進行去匿名化，但這不會影響之前完成的混幣。

結論

為了防止迷失在細節中，因此特意制作了下面上述項目隱私特性的對比表。在介紹了幾個主要加密貨幣項目的匿名功能之后，您現在可以更好地理解Decred的獨特方法，這將在下一篇文章中進行概述。

Tags：ASH比特幣ARKNARWECASH幣比特幣最高市值多少美元quarkMINAR價格

LTC