Със сигурност вие, като потребител на биткойн, етер или друга криптовалута, сте се притеснявали, че някой може да види колко монети имате в портфейла си, на кого сте ги прехвърлили и от кого сте ги получили. Има много спорове около анонимните криптовалути, но едно нещо, с което не можем да не се съгласим, е как Мениджърът на проекта Monero Рикардо Спани в своя акаунт в Twitter: „Ами ако просто не искам касиерът в супермаркета да знае колко пари имам в баланса си и за какво ги харча?“
В тази статия ще разгледаме технологичния аспект на анонимността – как го правят и ще направим кратък преглед на най-популярните методи, техните плюсове и минуси.
Днес има около дузина блокчейни, които позволяват анонимни транзакции. В същото време за някои анонимността на преводите е задължителна, за други е по желание, някои крият само адресатите и получателите, други не позволяват на трети лица да видят дори сумите на преводите. Почти всички технологии, които обмисляме, осигуряват пълна анонимност - външен наблюдател не може да анализира баланси, получатели или история на транзакциите. Но нека започнем нашия преглед с един от пионерите в тази област, за да проследим еволюцията на подходите към анонимността.
Съществуващите в момента технологии за анонимизиране могат грубо да се разделят на две групи: базирани на смесване - където използваните монети се смесват с други монети от блокчейна - и технологии, които използват доказателства, базирани на полиноми. След това ще се съсредоточим върху всяка от тези групи и ще разгледаме техните плюсове и минуси.
На базата на месене
CoinJoin
не анонимизира потребителските преводи, а само усложнява тяхното проследяване. Но решихме да включим тази технология в нашия преглед, тъй като това беше един от първите опити да се повиши нивото на поверителност на транзакциите в биткойн мрежата. Тази технология е завладяваща със своята простота и не изисква промяна на правилата на мрежата, така че може лесно да се използва в много блокчейни.
Базира се на проста идея - какво ще стане, ако потребителите внесат чип и извършат плащанията си в една транзакция? Оказва се, че ако Арнолд Шварценегер и Барак Обама са участвали и са направили две плащания на Чарли Шийн и Доналд Тръмп в една транзакция, тогава става по-трудно да се разбере кой е финансирал предизборната кампания на Тръмп - Арнолд или Барак.
Но от основното предимство на CoinJoin идва основният му недостатък - слабата сигурност. Днес вече има начини за идентифициране на CoinJoin транзакциите в мрежата и съпоставяне на набори от входове с набори от изходи чрез сравняване на количествата изразходвани и генерирани монети. Пример за инструмент за такъв анализ е .
плюсове:
• Простота
против:
• Доказана възможност за хакване
Monero
Първата асоциация, която възниква, когато чуете думите „анонимна криптовалута“, е Monero. Тази монета неговата стабилност и поверителност под микроскопа на разузнавателните служби:
В един от последните му Много подробно описахме протокола Monero, а днес ще обобщим казаното.
В протокола Monero всеки изход, изразходван в транзакция, се смесва с най-малко 11 (към момента на писане) произволни изхода от блокчейна, като по този начин усложнява графиката за трансфер на мрежата и прави задачата за проследяване на транзакциите изчислително сложна. Смесените записи се подписват с пръстеновиден подпис, който гарантира, че подписът е предоставен от собственика на една от смесените монети, но не дава възможност да се определи кой.
За да скрие получателите, всяка новогенерирана монета използва еднократен адрес, което прави невъзможно за наблюдател (колкото трудно е да разбие ключовете за криптиране, разбира се) да свърже какъвто и да е изход с публичен адрес. И от септември 2017 г. Monero започна да поддържа протокола (CT) с някои допълнения, като по този начин се крият и сумите на превода. Малко по-късно разработчиците на криптовалута замениха боромейските подписи с Bulletproofs, като по този начин значително намалиха размера на транзакцията.
плюсове:
• Тестван във времето
• Относителна простота
против:
• Генерирането и проверката на доказателство е по-бавно от ZK-SNARK и ZK-STARK
• Не е устойчив на хакване с помощта на квантови компютри
Мимбълуимбъл
Mimblewimble (MW) е изобретен като мащабируема технология за анонимизиране на трансфери в биткойн мрежата, но намира своето внедряване като независим блокчейн. Използва се в криптовалути и .
MW е забележителен, защото няма публични адреси и за да изпратят транзакция, потребителите обменят изходи директно, като по този начин елиминират възможността за външен наблюдател да анализира трансферите от получател към получател.
За да се скрият сумите на входовете и изходите, се използва доста често срещан протокол, предложен от Грег Максуел през 2015 г. - (CT). Тоест, сумите са криптирани (или по-скоро използват ), а вместо тях мрежата работи с т.нар. ангажименти. За да се счита транзакцията за валидна, количеството изразходвани и генерирани монети плюс комисионната трябва да е равно. Тъй като мрежата не работи директно с числа, равенството се осигурява чрез уравнението на същите тези ангажименти, което се нарича ангажимент към нула.
В оригиналния CT, за да се гарантира неотрицателността на стойностите (така нареченото доказателство за обхват), те използват Borromean Signatures (Borromean ring signatures), които заемат много място в блокчейна (около 6 килобайта на изход ). В това отношение недостатъците на анонимните валути, използващи тази технология, включват големия размер на транзакцията, но сега те решиха да се откажат от тези подписи в полза на по-компактна технология - Bulletproofs.
Няма концепция за транзакция в самия MW блок, има само изходи, изразходвани и генерирани в него. Няма транзакция - няма проблем!
За да се предотврати деанонимизирането на участника в трансфера на етапа на изпращане на транзакцията към мрежата, се използва протокол , който използва верига от мрежови прокси възли с произволна дължина, които предават транзакцията един на друг, преди действително да я разпространят до всички участници, като по този начин замъгляват траекторията на транзакцията, влизаща в мрежата.
плюсове:
• Малък размер на блокчейна
• Относителна простота
против:
• Генерирането и проверката на доказателство е по-бавно от ZK-SNARK и ZK-STARK
• Поддръжката на функции като скриптове и мулти-подписи е трудна за прилагане
• Не е устойчив на хакване с помощта на квантови компютри
Доказателства върху полиноми
ZK-SNARKs
Сложното име на тази технология означава „ Кратък неинтерактивен аргумент на знанието“, което може да се преведе като „Кратко неинтерактивно доказателство с нулево знание“. Той стана продължение на протокола zerocoin, който по-нататък се разви в zerocash и за първи път беше внедрен в криптовалутата Zcash.
Като цяло доказателството с нулево знание позволява на една страна да докаже на друга истинността на някакво математическо твърдение, без да разкрива каквато и да е информация за него. В случая с криптовалутите такива методи се използват, за да се докаже, че например дадена транзакция не произвежда повече монети, отколкото изразходва, без да се разкрива сумата на преводите.
ZK-SNARKs е много труден за разбиране и ще отнеме повече от една статия, за да се опише как работи. На официалната страница на Zcash, първата валута, която прилага този протокол, описание на работата му е посветено на . Затова в тази глава ще се ограничим само до едно повърхностно описание.
Използвайки алгебрични полиноми, ZK-SNARKs доказва, че подателят на плащането притежава монетите, които харчи, и че количеството изразходвани монети не надвишава количеството генерирани монети.
Този протокол е създаден с цел да намали размера на доказателството за валидността на дадено твърдение и в същото време бързо да го провери. Да, според Zooko Wilcox, главен изпълнителен директор на Zcash, размерът на доказателството е само 200 байта и неговата коректност може да бъде проверена за 10 милисекунди. Освен това в най-новата версия на Zcash разработчиците успяха да намалят времето за генериране на доказателство до около две секунди.
Въпреки това, преди да се използва тази технология, е необходима сложна процедура за надеждна настройка на „публични параметри“, която се нарича „церемония“ (). Цялата трудност е, че по време на инсталирането на тези параметри никоя от страните няма оставени частни ключове за тях, наречени „токсични отпадъци“, в противен случай ще може да генерира нови монети. Можете да научите как се извършва тази процедура от видеоклипа .
плюсове:
• Малък размер на доказателствата
• Бърза проверка
• Относително бързо генериране на доказателство
против:
• Комплексна процедура за задаване на публични параметри
• Токсични отпадъци
• Относителна сложност на технологията
• Не е устойчив на хакване с помощта на квантови компютри
ZK-STARKs
Авторите на последните две технологии са добри в играта с акроними, а следващият акроним означава „мащабируеми прозрачни AR-аргументи на знанието с нулево знание“. Този метод имаше за цел да разреши съществуващите недостатъци на ZK-SNARK по това време: необходимостта от надеждна настройка на публични параметри, наличието на токсични отпадъци, нестабилността на криптографията при хакване с помощта на квантови алгоритми и недостатъчно бързо генериране на доказателства. Въпреки това, разработчиците на ZK-SNARK са се справили с последния недостатък.
ZK-STARK също използват доказателства, базирани на полиноми. Технологията не използва криптография с публичен ключ, а вместо това разчита на теорията за хеширане и предаване. Елиминирането на тези криптографски средства прави технологията устойчива на квантовите алгоритми. Но това си има цена - доказателството може да достигне размер от няколкостотин килобайта.
В момента ZK-STARK няма имплементация в нито една от криптовалутите, а съществува само като библиотека . Разработчиците обаче имат планове за това, които далеч надхвърлят блоковите вериги (в техните авторите дават пример за доказателство за ДНК в полицейска база данни). За тази цел е създаден , които в края на 2018 г. събраха инвестиции от най-големите компании в бранша.
Можете да прочетете повече за това как работи ZK-STARK в публикациите на Виталик Бутерин (, , ).
плюсове:
• Устойчивост на хакване от квантови компютри
• Относително бързо генериране на доказателство
• Сравнително бърза проверка на доказателство
• Без токсични отпадъци
против:
• Сложност на технологията
• Голям пробен размер
Заключение
Блокчейн и нарастващото търсене на анонимност поставят нови изисквания към криптографията. По този начин клонът на криптографията, възникнал в средата на 1980-те години на миналия век - доказателства с нулево знание - беше попълнен с нови, динамично развиващи се методи само за няколко години.
Така полетът на научната мисъл направи CoinJoin остарял, а MimbleWimble обещаващ новодошъл с доста свежи идеи. Monero остава непоколебим гигант в защитата на нашата поверителност. А SNARK и STARK, въпреки че имат недостатъци, могат да станат лидери в областта. Може би през следващите години точките, които посочихме в колоната „Недостатъци“ на всяка технология, ще станат неуместни.
Източник: www.habr.com