Určitě jste se jako uživatel Bitcoinu, Etheru nebo jakékoli jiné kryptoměny obávali, že někdo může vidět, kolik coinů máte v peněžence, komu jste je převedli a od koho jste je dostali. Kolem anonymních kryptoměn je spousta kontroverzí, ale s jednou věcí, se kterou nemůžeme nesouhlasit, je to, jak Projektový manažer Monero Riccardo Spagni na svém twitterovém účtu: „Co když prostě nechci, aby pokladní v supermarketu věděl, kolik peněz mám na zůstatku a za co je utrácím?
V tomto článku se podíváme na technologický aspekt anonymity – jak to dělají, a uvedeme stručný přehled nejoblíbenějších metod, jejich výhod a nevýhod.
Dnes existuje asi tucet blockchainů, které umožňují anonymní transakce. Pro někoho je přitom anonymita převodů povinná, pro někoho volitelná, někdo skrývá pouze adresáty a příjemce, jiný neumožní třetím stranám vidět ani částky převodů. Téměř všechny technologie, které zvažujeme, poskytují úplnou anonymitu – vnější pozorovatel nemůže analyzovat zůstatky, příjemce ani historii transakcí. Ale začněme naši recenzi jedním z průkopníků v této oblasti, abychom sledovali vývoj přístupů k anonymitě.
V současnosti existující anonymizační technologie lze zhruba rozdělit do dvou skupin: ty založené na míchání – kde se použité coiny mísí s dalšími coiny z blockchainu – a technologie, které využívají důkazy založené na polynomech. Dále se zaměříme na každou z těchto skupin a zvážíme jejich klady a zápory.
Na bázi hnětení
CoinJoin
neanonymizuje uživatelské překlady, ale pouze komplikuje jejich sledování. Rozhodli jsme se však zahrnout tuto technologii do naší recenze, protože to byl jeden z prvních pokusů o zvýšení úrovně důvěrnosti transakcí v bitcoinové síti. Tato technologie zaujme svou jednoduchostí a nevyžaduje změnu pravidel sítě, takže ji lze snadno použít v mnoha blockchainech.
Je založen na jednoduché myšlence – co když se uživatelé přihlásí a provedou své platby v jediné transakci? Ukazuje se, že pokud Arnold Schwarzenegger a Barack Obama vložili čip a provedli dvě platby Charliemu Sheenovi a Donaldu Trumpovi v jedné transakci, pak bude obtížnější pochopit, kdo financoval Trumpovu volební kampaň - Arnold nebo Barack.
Z hlavní výhody CoinJoinu ale plyne jeho hlavní nevýhoda – slabé zabezpečení. Dnes již existují způsoby, jak identifikovat transakce CoinJoin v síti a porovnat sady vstupů se sadami výstupů porovnáním množství utracených a vygenerovaných coinů. Příkladem nástroje pro takovou analýzu je .
výhody:
• Jednoduchost
nevýhody:
• Prokázaná hackovatelnost
Monero
První asociace, která vyvstává, když slyšíme slova „anonymní kryptoměna“, je Monero. Tato mince jeho stabilita a soukromí pod drobnohledem zpravodajských služeb:
V jednom z jeho posledních Protokol Monero jsme popsali velmi podrobně a dnes shrneme, co bylo řečeno.
V protokolu Monero je každý výstup vynaložený v transakci smíchán s nejméně 11 (v době psaní článku) náhodnými výstupy z blockchainu, čímž se komplikuje graf přenosu sítě a úloha sledování transakcí je výpočetně složitá. Smíšené vstupy jsou podepsány kroužkovým podpisem, který zaručuje, že podpis poskytl vlastník jedné ze smíšených mincí, ale neumožňuje určit kdo.
Ke skrytí příjemců používá každá nově vygenerovaná mince jednorázovou adresu, díky čemuž je pro pozorovatele nemožné (samozřejmě stejně obtížné jako prolomení šifrovacích klíčů) spojit jakýkoli výstup s veřejnou adresou. A od září 2017 začala společnost Monero podporovat protokol (ČT) s některými dodatky, čímž se skryjí i převodní částky. O něco později vývojáři kryptoměn nahradili boromejské podpisy Bulletproofs, čímž výrazně snížili velikost transakce.
výhody:
• Ověřeno časem
• Relativní jednoduchost
nevýhody:
• Generování a ověřování důkazů je pomalejší než u ZK-SNARK a ZK-STARK
• Není odolný proti hackování pomocí kvantových počítačů
mimblewimble
Mimblewimble (MW) byl vynalezen jako škálovatelná technologie pro anonymizaci převodů v bitcoinové síti, ale našel svou implementaci jako nezávislý blockchain. Používá se v kryptoměnách и .
MW je pozoruhodný tím, že nemá veřejné adresy, a za účelem odeslání transakce si uživatelé vyměňují výstupy přímo, čímž se eliminuje možnost vnějšího pozorovatele analyzovat přenosy od příjemce k příjemci.
Ke skrytí součtů vstupů a výstupů se používá poměrně běžný protokol navržený Gregem Maxwellem v roce 2015 - (CT). To znamená, že částky jsou zašifrovány (nebo spíše používají ), a místo nich síť funguje s tzv. závazky. Aby byla transakce považována za platnou, musí se množství utracených a vygenerovaných mincí plus provize rovnat. Protože síť nepracuje přímo s čísly, je rovnost zajištěna pomocí rovnice stejných závazků, která se nazývá závazek k nule.
V původním CT, aby byla zaručena nezápornost hodnot (tzv. range proof), používají Borromean Signatures (Borromean ring signatures), které zabíraly hodně místa v blockchainu (asi 6 kB na výstup ). V tomto ohledu mezi nevýhody anonymních měn využívajících tuto technologii patřil velký objem transakcí, ale nyní se rozhodli opustit tyto podpisy ve prospěch kompaktnější technologie - Bulletproofs.
V samotném MW bloku neexistuje koncept transakce, jsou v něm pouze vynakládány a generovány výstupy. Žádná transakce - žádný problém!
Aby se zabránilo deanonymizaci účastníka přenosu ve fázi odesílání transakce do sítě, používá se protokol , který využívá řetězec síťových proxy uzlů libovolné délky, které si transakci mezi sebou přenášejí, než ji skutečně distribuují všem účastníkům, čímž zamlžují trajektorii transakce vstupující do sítě.
výhody:
• Malá velikost blockchainu
• Relativní jednoduchost
nevýhody:
• Generování a ověřování důkazů je pomalejší než u ZK-SNARK a ZK-STARK
• Je obtížné implementovat podporu funkcí, jako jsou skripty a více podpisů
• Není odolný proti hackování pomocí kvantových počítačů
Důkazy na polynomech
ZK-SNARKS
Složitý název této technologie znamená „ Succinct Non-Interactive Argument of Knowledge“, což lze přeložit jako „Stručný neinteraktivní důkaz nulových znalostí“. Stal se pokračováním protokolu zerocoin, který se dále vyvinul v zerocash a byl poprvé implementován v kryptoměně Zcash.
Obecně platí, že důkaz s nulovými znalostmi umožňuje jedné straně dokázat druhé straně pravdivost nějakého matematického tvrzení, aniž by o něm prozradila jakékoli informace. V případě kryptoměn se takové metody používají k prokázání toho, že například transakce nevyprodukuje více coinů, než utratí, aniž by se zveřejnila výše převodů.
ZK-SNARKs je velmi obtížné pochopit a popis jeho fungování by zabral více než jeden článek. Na oficiální stránce Zcash, první měny, která tento protokol implementuje, je věnován popis jeho fungování . Proto se v této kapitole omezíme pouze na povrchní popis.
Pomocí algebraických polynomů ZK-SNARKs dokazuje, že odesílatel platby vlastní mince, které utrácí, a že množství utracených coinů nepřesahuje množství vygenerovaných coinů.
Tento protokol byl vytvořen s cílem zmenšit velikost důkazu platnosti prohlášení a zároveň jej rychle ověřit. Ano, podle Zooko Wilcox, generální ředitelka společnosti Zcash, velikost důkazu je pouze 200 bajtů a jeho správnost lze ověřit za 10 milisekund. V nejnovější verzi Zcash se navíc vývojářům podařilo zkrátit dobu generování důkazu na zhruba dvě sekundy.
Před použitím této technologie je však vyžadován složitý důvěryhodný postup nastavení „veřejných parametrů“, který se nazývá „obřad“ (). Celý problém je v tom, že během instalace těchto parametrů pro ně žádné straně nezůstanou žádné soukromé klíče, nazývané „toxický odpad“, jinak bude moci generovat nové coiny. Jak k tomuto postupu dochází, se můžete dozvědět z videa .
výhody:
• Malá velikost důkazů
• Rychlé ověření
• Relativně rychlé generování nátisku
nevýhody:
• Složitý postup nastavení veřejných parametrů
• Toxický odpad
• Relativní složitost technologie
• Není odolný proti hackování pomocí kvantových počítačů
ZK-STARKs
Autoři posledních dvou technologií si dobře hrají se zkratkami a další zkratka znamená „Zero-Knowledge Scalable Transparent ARguments of Knowledge“. Tato metoda měla vyřešit stávající nedostatky ZK-SNARK v té době: potřebu důvěryhodného nastavení veřejných parametrů, přítomnost toxického odpadu, nestabilitu kryptografie vůči hackování pomocí kvantových algoritmů a nedostatečně rychlé generování důkazů. S posledním nedostatkem se však vývojáři ZK-SNARK vypořádali.
ZK-STARK také používají důkazy založené na polynomech. Tato technologie nepoužívá kryptografii veřejného klíče, místo toho se spoléhá na hašování a teorii přenosu. Eliminace těchto kryptografických prostředků činí technologii odolnou vůči kvantovým algoritmům. Ale to má svou cenu – důkaz může dosahovat velikosti několika set kilobajtů.
V současné době ZK-STARK nemá implementaci v žádné z kryptoměn, ale existuje pouze jako knihovna . Vývojáři s tím však mají plány, které jdou daleko za blockchainy (v jejich autoři uvádějí příklad důkazu DNA v policejní databázi). Pro tento účel byl vytvořen , který na konci roku 2018 sbíral investice od největších společností v oboru.
Více o tom, jak ZK-STARK funguje, si můžete přečíst v příspěvcích Vitalika Buterina (, , ).
výhody:
• Odolnost proti hackování kvantovými počítači
• Relativně rychlé generování nátisku
• Relativně rychlé ověření důkazu
• Žádný toxický odpad
nevýhody:
• Složitost technologie
• Velká velikost nátisku
Závěr
Blockchain a rostoucí poptávka po anonymitě kladou nové požadavky na kryptografii. Odvětví kryptografie, které vzniklo v polovině 1980. let – důkazy s nulovými znalostmi – tak bylo během několika let doplněno o nové, dynamicky se rozvíjející metody.
Úlet vědeckého myšlení tak učinil CoinJoin zastaralým a MimbleWimble slibným nováčkem s poměrně čerstvými nápady. Monero zůstává neochvějným obrem v ochraně našeho soukromí. A SNARKové a STARKové, i když mají nedostatky, se mohou stát lídry v oboru. Možná v nadcházejících letech body, které jsme uvedli ve sloupci „Nevýhody“ každé technologie, přestanou být relevantní.
Zdroj: www.habr.com