Určitě jste se jako uživatel Bitcoinu, Etheru nebo jakékoli jiné kryptoměny obávali, že někdo může vidět, kolik coinů máte v peněžence, komu jste je převedli a od koho jste je dostali. Kolem anonymních kryptoměn je spousta kontroverzí, ale s jednou věcí, se kterou nemůžeme nesouhlasit, je to, jak
V tomto článku se podíváme na technologický aspekt anonymity – jak to dělají, a uvedeme stručný přehled nejoblíbenějších metod, jejich výhod a nevýhod.
Dnes existuje asi tucet blockchainů, které umožňují anonymní transakce. Pro někoho je přitom anonymita převodů povinná, pro někoho volitelná, někdo skrývá pouze adresáty a příjemce, jiný neumožní třetím stranám vidět ani částky převodů. Téměř všechny technologie, které zvažujeme, poskytují úplnou anonymitu – vnější pozorovatel nemůže analyzovat zůstatky, příjemce ani historii transakcí. Ale začněme naši recenzi jedním z průkopníků v této oblasti, abychom sledovali vývoj přístupů k anonymitě.
V současnosti existující anonymizační technologie lze zhruba rozdělit do dvou skupin: ty založené na míchání – kde se použité coiny mísí s dalšími coiny z blockchainu – a technologie, které využívají důkazy založené na polynomech. Dále se zaměříme na každou z těchto skupin a zvážíme jejich klady a zápory.
Na bázi hnětení
CoinJoin
Je založen na jednoduché myšlence – co když se uživatelé přihlásí a provedou své platby v jediné transakci? Ukazuje se, že pokud Arnold Schwarzenegger a Barack Obama vložili čip a provedli dvě platby Charliemu Sheenovi a Donaldu Trumpovi v jedné transakci, pak bude obtížnější pochopit, kdo financoval Trumpovu volební kampaň - Arnold nebo Barack.
Z hlavní výhody CoinJoinu ale plyne jeho hlavní nevýhoda – slabé zabezpečení. Dnes již existují způsoby, jak identifikovat transakce CoinJoin v síti a porovnat sady vstupů se sadami výstupů porovnáním množství utracených a vygenerovaných coinů. Příkladem nástroje pro takovou analýzu je
výhody:
• Jednoduchost
nevýhody:
• Prokázaná hackovatelnost
Monero
První asociace, která vyvstává, když slyšíme slova „anonymní kryptoměna“, je Monero. Tato mince
V jednom z jeho posledních
V protokolu Monero je každý výstup vynaložený v transakci smíchán s nejméně 11 (v době psaní článku) náhodnými výstupy z blockchainu, čímž se komplikuje graf přenosu sítě a úloha sledování transakcí je výpočetně složitá. Smíšené vstupy jsou podepsány kroužkovým podpisem, který zaručuje, že podpis poskytl vlastník jedné ze smíšených mincí, ale neumožňuje určit kdo.
Ke skrytí příjemců používá každá nově vygenerovaná mince jednorázovou adresu, díky čemuž je pro pozorovatele nemožné (samozřejmě stejně obtížné jako prolomení šifrovacích klíčů) spojit jakýkoli výstup s veřejnou adresou. A od září 2017 začala společnost Monero podporovat protokol
výhody:
• Ověřeno časem
• Relativní jednoduchost
nevýhody:
• Generování a ověřování důkazů je pomalejší než u ZK-SNARK a ZK-STARK
• Není odolný proti hackování pomocí kvantových počítačů
mimblewimble
Mimblewimble (MW) byl vynalezen jako škálovatelná technologie pro anonymizaci převodů v bitcoinové síti, ale našel svou implementaci jako nezávislý blockchain. Používá se v kryptoměnách
MW je pozoruhodný tím, že nemá veřejné adresy, a za účelem odeslání transakce si uživatelé vyměňují výstupy přímo, čímž se eliminuje možnost vnějšího pozorovatele analyzovat přenosy od příjemce k příjemci.
Ke skrytí součtů vstupů a výstupů se používá poměrně běžný protokol navržený Gregem Maxwellem v roce 2015 -
V původním CT, aby byla zaručena nezápornost hodnot (tzv. range proof), používají Borromean Signatures (Borromean ring signatures), které zabíraly hodně místa v blockchainu (asi 6 kB na výstup ). V tomto ohledu mezi nevýhody anonymních měn využívajících tuto technologii patřil velký objem transakcí, ale nyní se rozhodli opustit tyto podpisy ve prospěch kompaktnější technologie - Bulletproofs.
V samotném MW bloku neexistuje koncept transakce, jsou v něm pouze vynakládány a generovány výstupy. Žádná transakce - žádný problém!
Aby se zabránilo deanonymizaci účastníka přenosu ve fázi odesílání transakce do sítě, používá se protokol
výhody:
• Malá velikost blockchainu
• Relativní jednoduchost
nevýhody:
• Generování a ověřování důkazů je pomalejší než u ZK-SNARK a ZK-STARK
• Je obtížné implementovat podporu funkcí, jako jsou skripty a více podpisů
• Není odolný proti hackování pomocí kvantových počítačů
Důkazy na polynomech
ZK-SNARKS
Složitý název této technologie znamená „
Obecně platí, že důkaz s nulovými znalostmi umožňuje jedné straně dokázat druhé straně pravdivost nějakého matematického tvrzení, aniž by o něm prozradila jakékoli informace. V případě kryptoměn se takové metody používají k prokázání toho, že například transakce nevyprodukuje více coinů, než utratí, aniž by se zveřejnila výše převodů.
ZK-SNARKs je velmi obtížné pochopit a popis jeho fungování by zabral více než jeden článek. Na oficiální stránce Zcash, první měny, která tento protokol implementuje, je věnován popis jeho fungování
Pomocí algebraických polynomů ZK-SNARKs dokazuje, že odesílatel platby vlastní mince, které utrácí, a že množství utracených coinů nepřesahuje množství vygenerovaných coinů.
Tento protokol byl vytvořen s cílem zmenšit velikost důkazu platnosti prohlášení a zároveň jej rychle ověřit. Ano, podle
Před použitím této technologie je však vyžadován složitý důvěryhodný postup nastavení „veřejných parametrů“, který se nazývá „obřad“ (
výhody:
• Malá velikost důkazů
• Rychlé ověření
• Relativně rychlé generování nátisku
nevýhody:
• Složitý postup nastavení veřejných parametrů
• Toxický odpad
• Relativní složitost technologie
• Není odolný proti hackování pomocí kvantových počítačů
ZK-STARKs
Autoři posledních dvou technologií si dobře hrají se zkratkami a další zkratka znamená „Zero-Knowledge Scalable Transparent ARguments of Knowledge“. Tato metoda měla vyřešit stávající nedostatky ZK-SNARK v té době: potřebu důvěryhodného nastavení veřejných parametrů, přítomnost toxického odpadu, nestabilitu kryptografie vůči hackování pomocí kvantových algoritmů a nedostatečně rychlé generování důkazů. S posledním nedostatkem se však vývojáři ZK-SNARK vypořádali.
ZK-STARK také používají důkazy založené na polynomech. Tato technologie nepoužívá kryptografii veřejného klíče, místo toho se spoléhá na hašování a teorii přenosu. Eliminace těchto kryptografických prostředků činí technologii odolnou vůči kvantovým algoritmům. Ale to má svou cenu – důkaz může dosahovat velikosti několika set kilobajtů.
V současné době ZK-STARK nemá implementaci v žádné z kryptoměn, ale existuje pouze jako knihovna
Více o tom, jak ZK-STARK funguje, si můžete přečíst v příspěvcích Vitalika Buterina (
výhody:
• Odolnost proti hackování kvantovými počítači
• Relativně rychlé generování nátisku
• Relativně rychlé ověření důkazu
• Žádný toxický odpad
nevýhody:
• Složitost technologie
• Velká velikost nátisku
Závěr
Blockchain a rostoucí poptávka po anonymitě kladou nové požadavky na kryptografii. Odvětví kryptografie, které vzniklo v polovině 1980. let – důkazy s nulovými znalostmi – tak bylo během několika let doplněno o nové, dynamicky se rozvíjející metody.
Úlet vědeckého myšlení tak učinil CoinJoin zastaralým a MimbleWimble slibným nováčkem s poměrně čerstvými nápady. Monero zůstává neochvějným obrem v ochraně našeho soukromí. A SNARKové a STARKové, i když mají nedostatky, se mohou stát lídry v oboru. Možná v nadcházejících letech body, které jsme uvedli ve sloupci „Nevýhody“ každé technologie, přestanou být relevantní.
Zdroj: www.habr.com