Di sicuru, voi, cum'è un utilizatore di Bitcoin, Ether o qualsiasi altra criptocurrency, era preoccupatu chì qualcunu puderia vede quanti muniti avete in a vostra billetera, à quale l'avete trasferitu è da quale avete ricevutu. Ci hè una mansa di cuntruversia intornu à e criptovalute anonime, ma una cosa chì ùn pudemu micca d'accordu hè cumu U capu di prughjettu Monero Riccardo Spagni nant'à u so contu Twitter: "E s'ellu ùn vogliu micca chì u cassiere di u supermercatu sapi quantu soldi aghju nantu à u mo equilibriu è ciò chì spende?"
In questu articulu, avemu da guardà l'aspettu tecnologicu di l'anonimatu - cumu si facenu, è dà una breve panoramica di i metudi più populari, i so pros è cuns.
Oghje ci sò una decina di blockchains chì permettenu transazzione anonima. À u listessu tempu, per certi, l'anonimatu di trasferimenti hè ubligatoriu, per altri hè facultativu, alcuni oculta solu i destinatari è i destinatari, altri ùn permettenu micca di terzu per vede ancu i quantità di trasferimenti. Quasi tutte e tecnulugie chì avemu cunsideratu furnisce un anonimatu cumpletu - un observatore esternu ùn pò analizà nè bilanci, destinatarii, nè storia di transazzione. Ma cuminciamu a nostra rivista cù unu di i pionieri in questu campu per traccia l'evoluzione di l'approcci à l'anonimatu.
Tecnulugii di l'anonimizazione attualmente esistenti ponu esse divisu à pocu pressu in dui gruppi: quelli chì sò basati nantu à u mischju - induve e muniti utilizati sò mischiati cù altre muniti di u blockchain - è tecnulugii chì utilizanu prove basate in polinomi. In seguitu, ci cuncintraremu nantu à ognunu di sti gruppi è cunsiderà i so pro è i contra.
A base di impastatura
CoinAghjunghjite
ùn anonimizeghja micca e traduzzioni di l'utilizatori, ma solu complicà u so seguimentu. Ma avemu decisu di cumprendi sta tecnulugia in a nostra rivista, postu chì era unu di i primi tentativi di aumentà u livellu di cunfidenziale di e transazzione in a reta di Bitcoin. Sta tecnulugia hè captivante in a so simplicità è ùn hà micca bisognu di cambià e regule di a reta, perchè pò esse facilmente utilizatu in parechji blockchains.
Hè basatu annantu à una idea simplice - chì si l'utilizatori chip in è facenu i so pagamenti in una sola transazzione? Risulta chì, se Arnold Schwarzenegger è Barack Obama chjappà è hà fattu dui pagamenti à Charlie Sheen è Donald Trump in una transazzione, allora diventa più difficiule di capisce quale hà finanziatu a campagna elettorale di Trump - Arnold o Barack.
Ma da u vantaghju principali di CoinJoin vene u so svantaghju principalu - a sicurezza debule. Oghje, ci sò digià manere di identificà e transazzione CoinJoin in a reta è currispondenu setti di inputs à setti di outputs paragunendu i quantità di muniti spesi è generati. Un esempiu di un strumentu per tali analisi hè .
Pros:
• Simplicità
Cons:
• Hackability dimustratu
Monero
A prima associazione chì nasce à sente e parolle "criptu di munita anonima" hè Monero. Sta munita a so stabilità è a privacy sottu u microscopiu di i servizii di intelligenza:
In unu di i so recenti Avemu discrittu u protocolu Monero in grande detail, è oghje riassumeremu ciò chì hè statu dettu.
In u protokollu Monero, ogni pruduzzione spesa in una transazzione hè mischiata cù almenu 11 (à u mumentu di a scrittura) outputs aleatorii da u blockchain, complicà cusì u graficu di trasferimentu di a rete è rende u compitu di seguità e transacciones computationally complex. L'ingressi misti sò firmati cù una firma d'anellu, chì guarantisci chì a firma hè stata furnita da u pruprietariu di una di e muniti mixte, ma ùn permette micca di determinà quale.
Per ammuccià i destinatari, ogni munita nova generata usa un indirizzu unicu, facendu impussibile per un observatore (difficile cum'è rompe e chjave di criptografia, sicuru) per associà ogni output cù un indirizzu publicu. E da settembre 2017, Monero hà cuminciatu à sustene u protocolu (CT) cù qualchi aghjunte, cusì ancu ammuccià i quantità di trasferimentu. Un pocu dopu, i sviluppatori di criptu di munita rimpiazzavanu e signature Borromean cù Bulletproofs, riducendu cusì significativamente a dimensione di a transazzione.
Pros:
• Tempu pruvatu
• Simplicità relative
Cons:
• A generazione di prova è a verificazione hè più lenta chè ZK-SNARKs è ZK-STARKs
• Ùn hè resistente à pirate cù l'urdinatori quantum
Impussibule
Mimblewimble (MW) hè stata inventata cum'è una tecnulugia scalabile per l'anonimizazione di trasferimenti in a reta di Bitcoin, ma hà truvatu a so implementazione cum'è una blockchain indipendente. Adupratu in cryptocurrencies и .
MW hè notevule perchè ùn hà micca indirizzi publichi, è per mandà una transazzione, l'utilizatori scambianu direttamente outputs, eliminendu cusì a capacità per un observatore esterno per analizà i trasferimenti da u destinatariu à u destinatariu.
Per ammuccià e sume di inputs è outputs, un protokollu abbastanza cumuni prupostu da Greg Maxwell in 2015 hè utilizatu - (CT). Vale à dì, i quantità sò criptati (o megliu, usanu ), è invece di elli a reta opera cù l'impegni chjamati. Per una transazzione per esse cunsiderata valida, a quantità di muniti spesi è generati più a cumissioni deve esse uguali. Siccomu a reta ùn opera micca direttamente cù numeri, l'ugualità hè assicurata cù l'equazioni di sti stessi impegni, chì hè chjamatu impegnu à zero.
In u CT uriginale, per guarantiscenu a non-negatività di i valori (a chjamata prova di gamma), usanu Borromean Signatures (signature Borromean ring), chì occupanu assai spaziu in u blockchain (circa 6 kilobytes per output). ). In questu sensu, i disadvantages di muniti anonimi chì utilizanu sta tecnulugia includenu a grandezza di transazzione grande, ma avà anu decisu di abbandunà queste signature in favore di una tecnulugia più compacta - Bulletproofs.
Ùn ci hè micca cuncettu di una transazzione in u bloccu MW stessu, ci sò solu outputs spesi è generati in questu. Nisuna transazzione - senza prublema!
Per impediscenu a de-anonimizazione di u participante di trasferimentu in u stadiu di mandà a transazzione à a reta, un protokollu hè utilizatu , chì usa una catena di nodi proxy di rete di lunghezza arbitraria chì trasmettenu a transazzione l'una à l'altru prima di distribuisce in realtà à tutti i participanti, cunfundendu cusì a trajectoria di a transazzione chì entra in a reta.
Pros:
• Small blockchain size
• Simplicità relative
Cons:
• A generazione di prova è a verificazione hè più lenta chè ZK-SNARKs è ZK-STARKs
• U sustegnu di funziunalità cum'è scripts è multi-signature hè difficiule à implementà
• Ùn hè resistente à pirate cù l'urdinatori quantum
Dimostrazioni nantu à i polinomi
ZK-SNARKs
U nome intricatu di sta tecnulugia significa " Argumentu succintu non interattivu di a cunniscenza", chì pò esse traduttu cum'è "Prova succinta non interattiva di cunniscenza zero". Hè diventatu una continuazione di u protokollu zerocoin, chì hà evolutu più in zerocash è hè stata implementata prima in a criptocurrency Zcash.
In generale, a prova di cunniscenza zero permette à una parte di pruvà à l'altru a verità di qualchì dichjarazione matematica senza divulgà alcuna infurmazione nantu à questu. In u casu di criptu di munita, tali metudi sò usati per pruvà chì, per esempiu, una transazzione ùn pruduce più muniti di ciò chì spende, senza divulgà a quantità di trasferimenti.
ZK-SNARKs hè assai difficiuli di capiscenu, è ci vole più di un articulu per descriverà cumu funziona. In a pagina ufficiale di Zcash, a prima munita chì implementa stu protokollu, una descrizzione di u so funziunamentu hè dedicata à . Dunque, in stu capitulu, ci limiteremu solu à una descrizzione superficiale.
Utilizendu polinomi algebrichi, ZK-SNARKs prova chì u mittente di u pagamentu pussede e muniti chì spende è chì a quantità di muniti spesi ùn supera micca a quantità di muniti generati.
Stu protokollu hè statu creatu cù u scopu di riduce a dimensione di a prova di a validità di una dichjarazione è à u stessu tempu verificate rapidamente. Iè, secondu Zooko Wilcox, CEO di Zcash, a dimensione di prova hè solu 200 bytes, è a so correzzione pò esse verificata in 10 millisecondi. Inoltre, in l'ultima versione di Zcash, i sviluppatori anu riisciutu à riduce u tempu di generazione di prova à circa dui seconde.
In ogni casu, prima di utilizà sta tecnulugia, hè necessaria una prucedura cumplessa di cunfidenza di "parametri publichi", chì hè chjamata "ceremonia" (). Tutta a difficultà hè chì durante a stallazione di sti paràmetri, nisuna parte ùn hà micca chjavi privati per elli, chjamati "rifiuti tossichi", altrimenti puderà generà novi muniti. Pudete amparà cumu sta prucedura si faci da u video .
Pros:
• Small evidenza taglia
• verification Fast
• Generazione di prova relativamente veloce
Cons:
• Prucedura cumplessa per stabilisce i paràmetri publichi
• Rifiuti tossici
• A cumplessità relativa di a tecnulugia
• Ùn hè resistente à pirate cù l'urdinatori quantum
ZK-STARK
L'autori di l'ultimi dui tecnulugii sò boni à ghjucà cù l'acronimi, è l'acronimu prossimu significa "Zero-Knowledge Scalable Transparent ARguments of Knowledge". Stu metudu era destinatu à risolve i difetti esistenti di ZK-SNARK in quellu tempu: a necessità di un paràmetru fiduciale di i paràmetri publichi, a presenza di rifiuti tossichi, l'instabilità di a criptografia à u pirate cù l'algoritmi quantum, è a generazione di prova insufficiente veloce. Tuttavia, i sviluppatori ZK-SNARK anu trattatu l'ultimu inconveniente.
ZK-STARKs utilizanu ancu e prove basate in polinomi. A tecnulugia ùn aduprate micca a criptografia di chjave publica, affittendu invece di a teoria di l'hashing è di a trasmissione. L'eliminazione di sti mezi criptografici rende a tecnulugia resistente à l'algoritmi quantum. Ma questu vene à un prezzu - a prova pò ghjunghje à parechji centu kilobyte in grandezza.
Attualmente, ZK-STARK ùn hà micca implementazione in alcuna di e cripthe di munita, ma esiste solu cum'è una biblioteca. . Tuttavia, i sviluppatori anu piani per questu chì vanu assai oltre i blockchains (in u so l'autori dà un esempiu di evidenza di DNA in una basa di dati di a polizia). Per questu scopu hè statu creatu , chì à a fine di u 2018 hà cullatu investimenti da e più grande cumpagnie di l'industria.
Pudete leghje più nantu à cumu travaglia ZK-STARK in i posti di Vitalik Buterin (, , ).
Pros:
• Resistenza à pirate da computer quantum
• Generazione di prova relativamente veloce
• Verificazione di prova relativamente veloce
• Nisun rifiutu tossicu
Cons:
• Cumplessità di a tecnulugia
• Grande taglia prova
cunchiusioni
Blockchain è a crescente dumanda per l'anonimatu ponenu novi dumande nantu à a criptografia. Cusì, u ramu di a criptografia chì hè urigginatu in a mità di l'anni 1980-prova di cunniscenze zero-hè stata rimbursata cù novi metudi di sviluppu dinamicu in pocu anni.
Cusì, u volu di u pensamentu scientificu hà fattu CoinJoin obsolet, è MimbleWimble un novu promettente cù idee abbastanza fresche. Monero resta un gigante incrollabile in a guardia di a nostra privacy. E SNARK è STARK, ancu s'elli anu difetti, ponu diventà capi in u campu. Forsi in i prossimi anni, i punti chì avemu indicatu in a colonna "Disadvantages" di ogni tecnulugia diventeranu irrilevanti.
Source: www.habr.com