Du, som bruger af Bitcoin, Ether eller enhver anden kryptovaluta, var helt sikkert bekymret for, at nogen kunne se, hvor mange mønter du har i din pung, hvem du har overført dem til, og fra hvem du modtog dem. Der er en masse kontroverser omkring anonyme kryptovalutaer, men en ting, vi ikke kan være uenige i, er hvordan Monero-projektleder Riccardo Spagni på sin Twitter-konto: "Hvad nu hvis jeg bare ikke vil have, at kassereren i supermarkedet skal vide, hvor mange penge jeg har på min saldo, og hvad jeg bruger dem på?"
I denne artikel vil vi se på det teknologiske aspekt af anonymitet – hvordan de gør det, og give et kort overblik over de mest populære metoder, deres fordele og ulemper.
I dag er der omkring et dusin blockchains, der tillader anonyme transaktioner. Samtidig er anonymiteten af overførsler obligatorisk for nogle, for andre er den valgfri, nogle skjuler kun adressater og modtagere, andre tillader ikke tredjeparter at se selv mængderne af overførsler. Næsten alle de teknologier, vi overvejer, giver fuldstændig anonymitet – en ekstern observatør kan ikke analysere hverken saldi, modtagere eller transaktionshistorik. Men lad os starte vores anmeldelse med en af pionererne på dette felt for at spore udviklingen af tilgange til anonymitet.
De nuværende anonymiseringsteknologier kan groft opdeles i to grupper: dem, der er baseret på blanding - hvor de anvendte mønter er blandet med andre mønter fra blockchain - og teknologier, der bruger beviser baseret på polynomier. Dernæst vil vi fokusere på hver af disse grupper og overveje deres fordele og ulemper.
Æltningsbaseret
CoinJoin
anonymiserer ikke brugeroversættelser, men komplicerer kun deres sporing. Men vi besluttede at inkludere denne teknologi i vores anmeldelse, da det var et af de første forsøg på at øge niveauet af fortrolighed af transaktioner på Bitcoin-netværket. Denne teknologi er fængslende i sin enkelhed og kræver ikke ændring af reglerne for netværket, så den kan nemt bruges i mange blockchains.
Det er baseret på en simpel idé - hvad nu hvis brugere chip ind og foretager deres betalinger i en enkelt transaktion? Det viser sig, at hvis Arnold Schwarzenegger og Barack Obama chippede ind og foretog to betalinger til Charlie Sheen og Donald Trump i én transaktion, så bliver det sværere at forstå, hvem der finansierede Trump-valgkampen – Arnold eller Barack.
Men fra den største fordel ved CoinJoin kommer dens største ulempe - svag sikkerhed. I dag er der allerede måder at identificere CoinJoin-transaktioner på i netværket og matche sæt af input til sæt af output ved at sammenligne mængderne af brugte og genererede mønter. Et eksempel på et værktøj til en sådan analyse er .
Teknikere:
• Enkelhed
Ulemper:
• Påvist hackbarhed
Monero
Den første association, der opstår, når man hører ordene "anonym kryptovaluta", er Monero. Denne mønt dets stabilitet og privatliv under efterretningstjenesternes mikroskop:
I en af hans seneste Vi har beskrevet Monero-protokollen meget detaljeret, og i dag vil vi opsummere, hvad der er blevet sagt.
I Monero-protokollen er hvert output brugt i en transaktion blandet med mindst 11 (i skrivende stund) tilfældige output fra blockchainen, hvilket komplicerer netværkets overførselsgraf og gør opgaven med at spore transaktioner beregningsmæssigt kompleks. Blandede poster underskrives med en ringsignatur, som garanterer, at signaturen er leveret af ejeren af en af de blandede mønter, men gør det ikke muligt at fastslå hvem.
For at skjule modtagerne bruger hver nyligt genereret mønt en engangsadresse, hvilket gør det umuligt for en observatør (så vanskeligt som at bryde krypteringsnøglerne, selvfølgelig) at knytte ethvert output til en offentlig adresse. Og siden september 2017 begyndte Monero at støtte protokollen (CT) med nogle tilføjelser, og skjuler dermed også overførselsbeløbene. Lidt senere erstattede cryptocurrency-udviklere Borromean-signaturer med Bulletproofs og reducerede derved transaktionsstørrelsen markant.
Teknikere:
• Tidstestet
• Relativ enkelhed
Ulemper:
• Bevisgenerering og verifikation er langsommere end ZK-SNARK'er og ZK-STARK'er
• Ikke modstandsdygtig over for hacking ved brug af kvantecomputere
Mimblewimble
Mimblewimble (MW) blev opfundet som en skalerbar teknologi til anonymisering af overførsler på Bitcoin-netværket, men fandt sin implementering som en uafhængig blockchain. Anvendes i kryptovalutaer и .
MW er bemærkelsesværdig, fordi den ikke har offentlige adresser, og for at sende en transaktion udveksler brugere output direkte, hvilket eliminerer muligheden for en ekstern observatør til at analysere overførsler fra modtager til modtager.
For at skjule summen af input og output bruges en ret almindelig protokol foreslået af Greg Maxwell i 2015 - (CT). Det vil sige, at beløbene er krypteret (eller rettere, de bruger ), og i stedet for dem opererer netværket med såkaldte forpligtelser. For at en transaktion skal betragtes som gyldig, skal mængden af brugte og genererede mønter plus provision være den samme. Da netværket ikke direkte opererer med tal, sikres lighed ved hjælp af ligningen for de samme forpligtelser, som kaldes engagement til nul.
I den originale CT bruger de for at garantere værdiernes ikke-negativitet (det såkaldte områdebevis) Borromean Signatures (Borromean Ring Signatures), som optog meget plads i blockchainen (ca. 6 kilobyte pr. output). ). I denne henseende omfattede ulemperne ved anonyme valutaer, der bruger denne teknologi, den store transaktionsstørrelse, men nu har de besluttet at opgive disse signaturer til fordel for en mere kompakt teknologi - Bulletproofs.
Der er ikke noget koncept for en transaktion i selve MW-blokken, der er kun output brugt og genereret i den. Ingen transaktion - intet problem!
For at forhindre de-anonymisering af overførselsdeltageren på tidspunktet for afsendelse af transaktionen til netværket, bruges en protokol , som bruger en kæde af netværksproxy noder af vilkårlig længde, der transmitterer transaktionen til hinanden, før den rent faktisk distribueres til alle deltagere, og dermed slører banen for transaktionen, der kommer ind i netværket.
Teknikere:
• Lille blockchain størrelse
• Relativ enkelhed
Ulemper:
• Bevisgenerering og verifikation er langsommere end ZK-SNARK'er og ZK-STARK'er
• Understøttelse af funktioner såsom scripts og multi-signaturer er vanskelig at implementere
• Ikke modstandsdygtig over for hacking ved brug af kvantecomputere
Beviser på polynomier
ZK-SNARKs
Det indviklede navn på denne teknologi står for " Kortfattet ikke-interaktivt vidensargument", som kan oversættes til "Kort ikke-interaktivt nul-videns bevis." Det blev en fortsættelse af zerocoin-protokollen, som yderligere udviklede sig til zerocash og først blev implementeret i Zcash-kryptovalutaen.
Generelt giver nul-viden bevis en part mulighed for at bevise sandheden af en matematisk udsagn over for en anden uden at afsløre nogen information om det. I tilfælde af kryptovalutaer bruges sådanne metoder til at bevise, at for eksempel en transaktion ikke producerer flere mønter, end den bruger, uden at oplyse mængden af overførsler.
ZK-SNARKs er meget svære at forstå, og det ville tage mere end én artikel at beskrive, hvordan det virker. På den officielle side af Zcash, den første valuta, der implementerer denne protokol, er en beskrivelse af dens drift afsat til . Derfor vil vi i dette kapitel begrænse os til kun en overfladisk beskrivelse.
Ved hjælp af algebraiske polynomier beviser ZK-SNARKs, at afsenderen af betalingen ejer de mønter, han bruger, og at mængden af brugte mønter ikke overstiger mængden af genererede mønter.
Denne protokol blev oprettet med det formål at reducere størrelsen af beviset for gyldigheden af en erklæring og samtidig hurtigt verificere den. Ja ifølge Zooko Wilcox, CEO for Zcash, bevisstørrelsen er kun 200 bytes, og dens rigtighed kan verificeres på 10 millisekunder. Desuden lykkedes det udviklerne i den seneste version af Zcash at reducere bevisgenereringstiden til omkring to sekunder.
Men før brug af denne teknologi kræves der en kompleks betroet opsætningsprocedure med "offentlige parametre", som kaldes en "ceremoni" (). Hele vanskeligheden er, at under installationen af disse parametre har ingen af parterne nogen private nøgler tilbage til dem, kaldet "giftigt affald", ellers vil det være i stand til at generere nye mønter. Du kan lære, hvordan denne procedure foregår, fra videoen videre .
Teknikere:
• Lille bevisstørrelse
• Hurtig verifikation
• Relativt hurtig bevisgenerering
Ulemper:
• Kompleks procedure for fastsættelse af offentlige parametre
• Giftigt affald
• Relativ kompleksitet af teknologi
• Ikke modstandsdygtig over for hacking ved brug af kvantecomputere
ZK-STARKs
Forfatterne af de sidste to teknologier er gode til at lege med akronymer, og det næste akronym står for "Zero-Knowledge Scalable Transparent ARguments of Knowledge." Denne metode var beregnet til at løse de eksisterende mangler ved ZK-SNARK'er på det tidspunkt: behovet for en pålidelig indstilling af offentlige parametre, tilstedeværelsen af giftigt affald, kryptografiens ustabilitet til hacking ved hjælp af kvantealgoritmer og utilstrækkelig hurtig bevisgenerering. ZK-SNARK-udviklerne har dog håndteret den sidste ulempe.
ZK-STARK'er bruger også polynomiebaserede beviser. Teknologien anvender ikke offentlig nøglekryptering, men er i stedet afhængig af hashing- og transmissionsteori. Eliminering af disse kryptografiske midler gør teknologien modstandsdygtig over for kvantealgoritmer. Men det har en pris - beviset kan nå flere hundrede kilobyte i størrelse.
I øjeblikket har ZK-STARK ikke en implementering i nogen af kryptovalutaerne, men eksisterer kun som et bibliotek . Udviklerne har dog planer for det, der går langt ud over blockchains (i deres forfatterne giver et eksempel på bevis for DNA i en politidatabase). Til dette formål blev den skabt , som i slutningen af 2018 indsamlede investeringer fra de største virksomheder i branchen.
Du kan læse mere om, hvordan ZK-STARK virker i Vitalik Buterins indlæg (, , ).
Teknikere:
• Modstand mod hacking fra kvantecomputere
• Relativt hurtig bevisgenerering
• Relativ hurtig bevisverifikation
• Intet giftigt affald
Ulemper:
• Teknologiens kompleksitet
• Stor prøvestørrelse
Konklusion
Blockchain og den stigende efterspørgsel efter anonymitet stiller nye krav til kryptografi. Således er den gren af kryptografi, der opstod i midten af 1980'erne - nul-viden beviser - blevet genopfyldt med nye, dynamisk udviklende metoder på få år.
Den videnskabelige tankeflugt har således gjort CoinJoin forældet, og MimbleWimble er en lovende nykommer med ret friske ideer. Monero forbliver en urokkelig gigant i at beskytte vores privatliv. Og SNARKs og STARKs, selvom de har mangler, kan blive førende på området. Måske i de kommende år vil de punkter, vi angav i kolonnen "Ideles" for hver teknologi, blive irrelevante.
Kilde: www.habr.com