Du, som bruger af Bitcoin, Ether eller enhver anden kryptovaluta, var helt sikkert bekymret for, at nogen kunne se, hvor mange mønter du har i din pung, hvem du har overført dem til, og fra hvem du modtog dem. Der er en masse kontroverser omkring anonyme kryptovalutaer, men en ting, vi ikke kan være uenige i, er hvordan
I denne artikel vil vi se på det teknologiske aspekt af anonymitet – hvordan de gør det, og give et kort overblik over de mest populære metoder, deres fordele og ulemper.
I dag er der omkring et dusin blockchains, der tillader anonyme transaktioner. Samtidig er anonymiteten af overførsler obligatorisk for nogle, for andre er den valgfri, nogle skjuler kun adressater og modtagere, andre tillader ikke tredjeparter at se selv mængderne af overførsler. Næsten alle de teknologier, vi overvejer, giver fuldstændig anonymitet – en ekstern observatør kan ikke analysere hverken saldi, modtagere eller transaktionshistorik. Men lad os starte vores anmeldelse med en af pionererne på dette felt for at spore udviklingen af tilgange til anonymitet.
De nuværende anonymiseringsteknologier kan groft opdeles i to grupper: dem, der er baseret på blanding - hvor de anvendte mønter er blandet med andre mønter fra blockchain - og teknologier, der bruger beviser baseret på polynomier. Dernæst vil vi fokusere på hver af disse grupper og overveje deres fordele og ulemper.
Æltningsbaseret
CoinJoin
Det er baseret på en simpel idé - hvad nu hvis brugere chip ind og foretager deres betalinger i en enkelt transaktion? Det viser sig, at hvis Arnold Schwarzenegger og Barack Obama chippede ind og foretog to betalinger til Charlie Sheen og Donald Trump i én transaktion, så bliver det sværere at forstå, hvem der finansierede Trump-valgkampen – Arnold eller Barack.
Men fra den største fordel ved CoinJoin kommer dens største ulempe - svag sikkerhed. I dag er der allerede måder at identificere CoinJoin-transaktioner på i netværket og matche sæt af input til sæt af output ved at sammenligne mængderne af brugte og genererede mønter. Et eksempel på et værktøj til en sådan analyse er
Teknikere:
• Enkelhed
Ulemper:
• Påvist hackbarhed
Monero
Den første association, der opstår, når man hører ordene "anonym kryptovaluta", er Monero. Denne mønt
I en af hans seneste
I Monero-protokollen er hvert output brugt i en transaktion blandet med mindst 11 (i skrivende stund) tilfældige output fra blockchainen, hvilket komplicerer netværkets overførselsgraf og gør opgaven med at spore transaktioner beregningsmæssigt kompleks. Blandede poster underskrives med en ringsignatur, som garanterer, at signaturen er leveret af ejeren af en af de blandede mønter, men gør det ikke muligt at fastslå hvem.
For at skjule modtagerne bruger hver nyligt genereret mønt en engangsadresse, hvilket gør det umuligt for en observatør (så vanskeligt som at bryde krypteringsnøglerne, selvfølgelig) at knytte ethvert output til en offentlig adresse. Og siden september 2017 begyndte Monero at støtte protokollen
Teknikere:
• Tidstestet
• Relativ enkelhed
Ulemper:
• Bevisgenerering og verifikation er langsommere end ZK-SNARK'er og ZK-STARK'er
• Ikke modstandsdygtig over for hacking ved brug af kvantecomputere
Mimblewimble
Mimblewimble (MW) blev opfundet som en skalerbar teknologi til anonymisering af overførsler på Bitcoin-netværket, men fandt sin implementering som en uafhængig blockchain. Anvendes i kryptovalutaer
MW er bemærkelsesværdig, fordi den ikke har offentlige adresser, og for at sende en transaktion udveksler brugere output direkte, hvilket eliminerer muligheden for en ekstern observatør til at analysere overførsler fra modtager til modtager.
For at skjule summen af input og output bruges en ret almindelig protokol foreslået af Greg Maxwell i 2015 -
I den originale CT bruger de for at garantere værdiernes ikke-negativitet (det såkaldte områdebevis) Borromean Signatures (Borromean Ring Signatures), som optog meget plads i blockchainen (ca. 6 kilobyte pr. output). ). I denne henseende omfattede ulemperne ved anonyme valutaer, der bruger denne teknologi, den store transaktionsstørrelse, men nu har de besluttet at opgive disse signaturer til fordel for en mere kompakt teknologi - Bulletproofs.
Der er ikke noget koncept for en transaktion i selve MW-blokken, der er kun output brugt og genereret i den. Ingen transaktion - intet problem!
For at forhindre de-anonymisering af overførselsdeltageren på tidspunktet for afsendelse af transaktionen til netværket, bruges en protokol
Teknikere:
• Lille blockchain størrelse
• Relativ enkelhed
Ulemper:
• Bevisgenerering og verifikation er langsommere end ZK-SNARK'er og ZK-STARK'er
• Understøttelse af funktioner såsom scripts og multi-signaturer er vanskelig at implementere
• Ikke modstandsdygtig over for hacking ved brug af kvantecomputere
Beviser på polynomier
ZK-SNARKs
Det indviklede navn på denne teknologi står for "
Generelt giver nul-viden bevis en part mulighed for at bevise sandheden af en matematisk udsagn over for en anden uden at afsløre nogen information om det. I tilfælde af kryptovalutaer bruges sådanne metoder til at bevise, at for eksempel en transaktion ikke producerer flere mønter, end den bruger, uden at oplyse mængden af overførsler.
ZK-SNARKs er meget svære at forstå, og det ville tage mere end én artikel at beskrive, hvordan det virker. På den officielle side af Zcash, den første valuta, der implementerer denne protokol, er en beskrivelse af dens drift afsat til
Ved hjælp af algebraiske polynomier beviser ZK-SNARKs, at afsenderen af betalingen ejer de mønter, han bruger, og at mængden af brugte mønter ikke overstiger mængden af genererede mønter.
Denne protokol blev oprettet med det formål at reducere størrelsen af beviset for gyldigheden af en erklæring og samtidig hurtigt verificere den. Ja ifølge
Men før brug af denne teknologi kræves der en kompleks betroet opsætningsprocedure med "offentlige parametre", som kaldes en "ceremoni" (
Teknikere:
• Lille bevisstørrelse
• Hurtig verifikation
• Relativt hurtig bevisgenerering
Ulemper:
• Kompleks procedure for fastsættelse af offentlige parametre
• Giftigt affald
• Relativ kompleksitet af teknologi
• Ikke modstandsdygtig over for hacking ved brug af kvantecomputere
ZK-STARKs
Forfatterne af de sidste to teknologier er gode til at lege med akronymer, og det næste akronym står for "Zero-Knowledge Scalable Transparent ARguments of Knowledge." Denne metode var beregnet til at løse de eksisterende mangler ved ZK-SNARK'er på det tidspunkt: behovet for en pålidelig indstilling af offentlige parametre, tilstedeværelsen af giftigt affald, kryptografiens ustabilitet til hacking ved hjælp af kvantealgoritmer og utilstrækkelig hurtig bevisgenerering. ZK-SNARK-udviklerne har dog håndteret den sidste ulempe.
ZK-STARK'er bruger også polynomiebaserede beviser. Teknologien anvender ikke offentlig nøglekryptering, men er i stedet afhængig af hashing- og transmissionsteori. Eliminering af disse kryptografiske midler gør teknologien modstandsdygtig over for kvantealgoritmer. Men det har en pris - beviset kan nå flere hundrede kilobyte i størrelse.
I øjeblikket har ZK-STARK ikke en implementering i nogen af kryptovalutaerne, men eksisterer kun som et bibliotek
Du kan læse mere om, hvordan ZK-STARK virker i Vitalik Buterins indlæg (
Teknikere:
• Modstand mod hacking fra kvantecomputere
• Relativt hurtig bevisgenerering
• Relativ hurtig bevisverifikation
• Intet giftigt affald
Ulemper:
• Teknologiens kompleksitet
• Stor prøvestørrelse
Konklusion
Blockchain og den stigende efterspørgsel efter anonymitet stiller nye krav til kryptografi. Således er den gren af kryptografi, der opstod i midten af 1980'erne - nul-viden beviser - blevet genopfyldt med nye, dynamisk udviklende metoder på få år.
Den videnskabelige tankeflugt har således gjort CoinJoin forældet, og MimbleWimble er en lovende nykommer med ret friske ideer. Monero forbliver en urokkelig gigant i at beskytte vores privatliv. Og SNARKs og STARKs, selvom de har mangler, kan blive førende på området. Måske i de kommende år vil de punkter, vi angav i kolonnen "Ideles" for hver teknologi, blive irrelevante.
Kilde: www.habr.com