Verŝajne vi, kiel uzanto de Bitcoin, Ether aŭ iu ajn alia kripta monero, zorgis, ke iu ajn povus vidi kiom da moneroj vi havas en via monujo, al kiu vi transdonis ilin kaj de kiu vi ricevis ilin. Estas multe da diskutado ĉirkaŭ anonimaj kriptaj moneroj, sed unu afero, pri kiu ni ne povas malkonsenti, estas kiel Monero-projektestro Riccardo Spagni sur sia Twitter-konto: "Kaj se mi simple ne volas, ke la kasisto de la superbazaro sciu kiom da mono mi havas sur mia bilanco kaj por kio mi elspezas ĝin?"
En ĉi tiu artikolo ni rigardos la teknologian aspekton de anonimeco - kiel ili faras ĝin, kaj donos mallongan superrigardon de la plej popularaj metodoj, iliaj avantaĝoj kaj malavantaĝoj.
Hodiaŭ estas ĉirkaŭ dekduo da blokĉenoj, kiuj permesas anonimajn transakciojn. Samtempe, por iuj, la anonimeco de translokigoj estas deviga, por aliaj ĝi estas laŭvola, iuj kaŝas nur la adresatojn kaj ricevantojn, aliaj ne permesas al triaj vidi eĉ la kvantojn de transpagoj. Preskaŭ ĉiuj teknologioj, kiujn ni konsideras, provizas kompletan anonimecon - ekstera observanto ne povas analizi nek saldojn, ricevantojn aŭ transakcian historion. Sed ni komencu nian revizion kun unu el la pioniroj en ĉi tiu kampo por spuri la evoluon de aliroj al anonimeco.
Nuntempe ekzistantaj anonimigaj teknologioj povas esti proksimume dividitaj en du grupojn: tiuj bazitaj sur miksado - kie la moneroj uzitaj estas miksitaj kun aliaj moneroj de la blokĉeno - kaj teknologioj kiuj uzas pruvojn bazitajn sur polinomoj. Poste, ni koncentriĝos pri ĉiu el ĉi tiuj grupoj kaj konsideros iliajn avantaĝojn kaj malavantaĝojn.
Knedado bazita
CoinJoin
ne anonimigas uzanttradukojn, sed nur komplikas ilian spuradon. Sed ni decidis inkludi ĉi tiun teknologion en nia revizio, ĉar ĝi estis unu el la unuaj provoj pliigi la nivelon de konfidenco de transakcioj en la reto Bitcoin. Ĉi tiu teknologio estas alloga en sia simpleco kaj ne postulas ŝanĝi la regulojn de la reto, do ĝi povas esti facile uzata en multaj blokĉenoj.
Ĝi baziĝas sur simpla ideo - kio se uzantoj ensendas kaj faras siajn pagojn en ununura transakcio? Montriĝas, ke se Arnold Schwarzenegger kaj Barack Obama intervenis kaj faris du pagojn al Charlie Sheen kaj Donald Trump en unu transakcio, tiam fariĝas pli malfacile kompreni kiu financis la Trump-elektan kampanjon - Arnold aŭ Barack.
Sed el la ĉefa avantaĝo de CoinJoin venas ĝia ĉefa malavantaĝo - malforta sekureco. Hodiaŭ, jam ekzistas manieroj identigi CoinJoin-transakciojn en la reto kaj kongrui arojn da enigaĵoj al aroj da eliroj komparante la kvantojn de moneroj elspezitaj kaj generitaj. Ekzemplo de ilo por tia analizo estas .
Pros:
• Simpleco
Kons:
• Pruvita hackableco
Monero
La unua asocio, kiu ŝprucas aŭdinte la vortojn "anonima kripta monero" estas Monero. Ĉi tiu monero ĝia stabileco kaj privateco sub la mikroskopo de spionservoj:
En unu el liaj freŝaj Ni priskribis la Monero-protokolon tre detale, kaj hodiaŭ ni resumos tion, kio estis dirita.
En la Monero-protokolo, ĉiu eligo elspezita en transakcio estas miksita kun almenaŭ 11 (en la momento de skribado) hazardaj eliroj de la blokĉeno, tiel malfaciligante la transigan grafeon de la reto kaj farante la taskon spuri transakciojn komputile kompleksa. Miksitaj enskriboj estas subskribitaj per ringa subskribo, kiu garantias, ke la subskribo estis provizita de la posedanto de unu el la miksitaj moneroj, sed ne ebligas determini kiu.
Por kaŝi la ricevantojn, ĉiu lastatempe generita monero uzas unufojan adreson, kio malebligas al observanto (tiel malfacile kiel rompi la ĉifrajn ŝlosilojn, kompreneble) asocii ajnan produktaĵon kun publika adreso. Kaj ekde septembro 2017, Monero komencis subteni la protokolon (CT) kun kelkaj aldonoj, tiel ankaŭ kaŝante la transigajn kvantojn. Iom poste, programistoj pri kripta monero anstataŭigis Borromeanajn subskribojn per Bulletproofs, tiel signife reduktante la transakcian grandecon.
Pros:
• Tempe elprovita
• Relativa simpleco
Kons:
• Pruva generacio kaj konfirmo estas pli malrapida ol ZK-SNARK-oj kaj ZK-STARK-oj
• Ne imuna al hakado uzante kvantumajn komputilojn
Mimblewimble
Mimblewimble (MW) estis inventita kiel skalebla teknologio por anonimigi translokigojn sur la Bitcoin-reto, sed trovis ĝian efektivigon kiel sendependa blokĉeno. Uzita en kriptaj moneroj и .
MW estas rimarkinda ĉar ĝi ne havas publikajn adresojn, kaj por sendi transakcion, uzantoj interŝanĝas produktaĵojn rekte, tiel eliminante la kapablon por ekstera observanto analizi translokigojn de ricevanto ĝis ricevanto.
Por kaŝi la sumojn de enigaĵoj kaj eliroj, sufiĉe ofta protokolo proponita de Greg Maxwell en 2015 estas uzata - (CT). Tio estas, la kvantoj estas ĉifritaj (aŭ pli ĝuste, ili uzas ), kaj anstataŭ ili la reto funkcias kun tiel nomataj devontigoj. Por ke transakcio estu konsiderata valida, la kvanto de moneroj elspezitaj kaj generitaj plus la komisiono devas esti egala. Ĉar la reto ne rekte funkcias kun nombroj, egaleco estas certigita uzante la ekvacion de tiuj samaj devontigoj, kiu estas nomita engaĝiĝo al nulo.
En la originala CT, por garantii la nenegativecon de valoroj (la tielnomita gamo-pruvo), ili uzas Borromean Signatures (Boromean ringsignaturoj), kiuj okupis multe da spaco en la blokĉeno (ĉirkaŭ 6 kilobajtoj per eligo). ). Ĉi-rilate, la malavantaĝoj de anonimaj moneroj uzantaj ĉi tiun teknologion inkludis la grandan transakcian grandecon, sed nun ili decidis forlasi ĉi tiujn subskribojn favore al pli kompakta teknologio - Bulletproofs.
Ne ekzistas koncepto de transakcio en la MW-bloko mem, ekzistas nur eligoj elspezitaj kaj generitaj ene de ĝi. Neniu transakcio - neniu problemo!
Por malhelpi de-anonimigon de la transiga partoprenanto en la stadio de sendado de la transakcio al la reto, protokolo estas uzata , kiu uzas ĉenon de retaj prokurnodoj de arbitra longo kiuj transdonas la transakcion al unu la alian antaŭ fakte distribuado de ĝi al ĉiuj partoprenantoj, tiel malklarigante la trajektorion de la transakcio eniranta la reton.
Pros:
• Malgranda blockchain grandeco
• Relativa simpleco
Kons:
• Pruva generacio kaj konfirmo estas pli malrapida ol ZK-SNARK-oj kaj ZK-STARK-oj
• Subteno por funkcioj kiel skriptoj kaj multsubskriboj malfacilas efektivigi
• Ne imuna al hakado uzante kvantumajn komputilojn
Pruvoj pri polinomoj
ZK-SNARKoj
La malsimpla nomo de ĉi tiu teknologio signifas " Konciza Ne-Interaga Argumento de Scio", kiu povas esti tradukita kiel "Konciza ne-interaga nul-scio-pruvo." Ĝi fariĝis daŭrigo de la zerocoin-protokolo, kiu plue evoluis al zerocash kaj unue estis efektivigita en la kripta monero Zcash.
Ĝenerale, nul-scia pruvo permesas al unu partio pruvi al alia la veron de iu matematika deklaro sen malkaŝi ajnajn informojn pri ĝi. En la kazo de kriptaj moneroj, tiaj metodoj estas uzataj por pruvi, ke ekzemple transakcio ne produktas pli da moneroj ol ĝi elspezas, sen malkaŝi la kvanton de translokigoj.
ZK-SNARKs estas tre malfacile kompreneblaj, kaj necesus pli ol unu artikolo por priskribi kiel ĝi funkcias. En la oficiala paĝo de Zcash, la unua valuto, kiu efektivigas ĉi tiun protokolon, priskribo de ĝia funkciado estas dediĉita al . Tial, en ĉi tiu ĉapitro ni limigos nin al nur supraĵa priskribo.
Uzante algebrajn polinomojn, ZK-SNARKs pruvas ke la sendinto de la pago posedas la monerojn kiujn li elspezas kaj ke la kvanto de moneroj elspezitaj ne superas la kvanton de moneroj generitaj.
Ĉi tiu protokolo estis kreita kun la celo redukti la grandecon de la pruvo de la valideco de deklaro kaj samtempe rapide kontroli ĝin. Jes, laŭ Zooko Wilcox, CEO de Zcash, la pruva grandeco estas nur 200 bajtoj, kaj ĝia ĝusteco povas esti kontrolita en 10 milisekundoj. Krome, en la plej nova versio de Zcash, la programistoj sukcesis redukti la pruvan generaciotempon al ĉirkaŭ du sekundoj.
Tamen, antaŭ ol uzi ĉi tiun teknologion, estas postulata kompleksa fidinda agorda proceduro de "publikaj parametroj", kiu nomiĝas "ceremonio" (). La tuta malfacilaĵo estas, ke dum la instalado de ĉi tiuj parametroj, neniu partio havas privatajn ŝlosilojn por ili, nomataj "toksaj ruboj", alie ĝi povos generi novajn monerojn. Vi povas lerni kiel ĉi tiu proceduro okazas de la video plu .
Pros:
• Malgranda evidenteco
• Rapida konfirmo
• Relative rapida pruvo generacio
Kons:
• Kompleksa proceduro por fiksi publikajn parametrojn
• Toksa rubo
• Relativa komplekseco de teknologio
• Ne imuna al hakado uzante kvantumajn komputilojn
ZK-STARKoj
La aŭtoroj de la lastaj du teknologioj kapablas ludi kun akronimoj, kaj la sekva akronimo signifas "Nul-Scio Scalable Transparent ARguments of Knowledge." Ĉi tiu metodo estis intencita por solvi la ekzistantajn mankojn de ZK-SNARK-oj en tiu tempo: la bezono de fidinda fikso de publikaj parametroj, la ĉeesto de toksa rubo, la malstabileco de kriptografio al hakado uzanta kvantumalgoritmojn, kaj nesufiĉe rapida pruvgeneracio. Tamen, la programistoj de ZK-SNARK traktis la lastan malavantaĝon.
ZK-STARK-oj ankaŭ uzas polinom-bazitajn pruvojn. La teknologio ne uzas publikŝlosilan kriptografion, fidante anstataŭe sur hashing kaj dissenda teorio. Forigi ĉi tiujn kriptajn rimedojn igas la teknologion imuna al kvantumalgoritmoj. Sed ĉi tio havas prezon - la pruvo povas atingi plurajn centojn da kilobajtoj.
Nuntempe, ZK-STARK ne havas efektivigon en iu ajn el la kriptaj moneroj, sed ekzistas nur kiel biblioteko. . Tamen, la programistoj havas planojn por ĝi, kiuj iras multe preter blokoĉenoj (en ilia la aŭtoroj donas ekzemplon de pruvoj de DNA en polica datumbazo). Tiucele ĝi estis kreita , kiu fine de 2018 kolektis investoj de la plej grandaj kompanioj en la industrio.
Vi povas legi pli pri kiel ZK-STARK funkcias en la afiŝoj de Vitalik Buterin (, , ).
Pros:
• Rezisto al hakado de kvantumkomputiloj
• Relative rapida pruvo generacio
• Relative rapida pruva konfirmo
• Neniu venena malŝparo
Kons:
• Komplekseco de teknologio
• Granda pruva grandeco
konkludo
Blokoĉeno kaj la kreskanta postulo pri anonimeco prezentas novajn postulojn pri kriptografio. Tiel, la branĉo de kripto, kiu estiĝis meze de la 1980-aj jaroj - nul-scio-pruvoj - estis replenigita per novaj, dinamike evoluantaj metodoj en nur kelkaj jaroj.
Tiel, la flugo de scienca penso igis CoinJoin malnoviĝinta, kaj MimbleWimble promesplena novulo kun sufiĉe freŝaj ideoj. Monero restas neŝancelebla giganto en gardado de nia privateco. Kaj SNARK-oj kaj STARK-oj, kvankam ili havas mankojn, povas fariĝi gvidantoj en la kampo. Eble en la venontaj jaroj, la punktoj, kiujn ni indikis en la kolumno "Kontraŭoj" de ĉiu teknologio, fariĝos palaj.
fonto: www.habr.com