Určite ste sa ako používateľ Bitcoinu, Etheru alebo akejkoľvek inej kryptomeny obávali, že ktokoľvek môže vidieť, koľko mincí máte v peňaženke, komu ste ich previedli a od koho ste ich dostali. Okolo anonymných kryptomien je veľa kontroverzií, ale jedna vec, s ktorou nemôžeme nesúhlasiť, je Projektový manažér Monero Riccardo Spagni na svojom účte na Twitteri: „Čo ak jednoducho nechcem, aby pokladník v supermarkete vedel, koľko peňazí mám na svojom zostatku a na čo ich míňam?“
V tomto článku sa pozrieme na technologický aspekt anonymity – ako to robia, a poskytneme stručný prehľad najpopulárnejších metód, ich výhod a nevýhod.
Dnes existuje asi tucet blockchainov, ktoré umožňujú anonymné transakcie. Zároveň je pre niekoho anonymita prevodov povinná, pre iného voliteľná, niektorí skrývajú iba adresátov a príjemcov, iní neumožňujú tretím stranám vidieť ani sumy prevodov. Takmer všetky technológie, ktoré zvažujeme, poskytujú úplnú anonymitu – vonkajší pozorovateľ nemôže analyzovať zostatky, príjemcov ani históriu transakcií. Ale začnime našu recenziu jedným z priekopníkov v tejto oblasti, aby sme sledovali vývoj prístupov k anonymite.
V súčasnosti existujúce anonymizačné technológie možno zhruba rozdeliť do dvoch skupín: tie, ktoré sú založené na miešaní – kde sa použité mince miešajú s inými mincami z blockchainu – a technológie, ktoré využívajú dôkazy založené na polynómoch. Ďalej sa zameriame na každú z týchto skupín a zvážime ich pre a proti.
Na základe miesenia
CoinJoin
neanonymizuje používateľské preklady, ale len komplikuje ich sledovanie. Rozhodli sme sa však zahrnúť túto technológiu do našej recenzie, pretože to bol jeden z prvých pokusov o zvýšenie úrovne dôvernosti transakcií v sieti Bitcoin. Táto technológia je podmanivá svojou jednoduchosťou a nevyžaduje zmenu pravidiel siete, takže ju možno ľahko použiť v mnohých blockchainoch.
Je založená na jednoduchej myšlienke – čo ak sa používatelia prihlásia a uskutočnia platby v rámci jednej transakcie? Ukazuje sa, že ak Arnold Schwarzenegger a Barack Obama vložili čip a uskutočnili dve platby Charliemu Sheenovi a Donaldovi Trumpovi v jednej transakcii, potom bude ťažšie pochopiť, kto financoval Trumpovu predvolebnú kampaň - Arnold alebo Barack.
No z hlavnej výhody CoinJoinu vychádza jeho hlavná nevýhoda – slabé zabezpečenie. Dnes už existujú spôsoby, ako identifikovať transakcie CoinJoin v sieti a priradiť súbory vstupov k súborom výstupov porovnaním množstva mincí vynaložených a vygenerovaných. Príkladom nástroja na takúto analýzu je .
Pros:
• Jednoduchosť
Nevýhody:
• Preukázaná hacknutosť
Monera
Prvá asociácia, ktorá vzniká pri počutí slov „anonymná kryptomena“ je Monero. Táto minca jeho stabilita a súkromie pod drobnohľadom spravodajských služieb:
V jednom z jeho nedávnych Protokol Monero sme opísali veľmi podrobne a dnes zhrnieme, čo bolo povedané.
V protokole Monero je každý výstup vynaložený na transakciu zmiešaný s najmenej 11 (v čase písania článku) náhodnými výstupmi z blockchainu, čím sa skomplikuje graf prenosu siete a úloha sledovania transakcií je výpočtovo zložitá. Zmiešané vstupy sú podpísané krúžkovým podpisom, ktorý zaručuje, že podpis poskytol majiteľ jednej zo zmiešaných mincí, ale neumožňuje určiť koho.
Na skrytie príjemcov používa každá novovygenerovaná minca jednorazovú adresu, čo znemožňuje pozorovateľovi (samozrejme tak zložitému, ako je prelomenie šifrovacích kľúčov) priradiť akýkoľvek výstup k verejnej adrese. A od septembra 2017 začala spoločnosť Monero podporovať protokol (CT) s niektorými dodatkami, čím sa skrývajú aj prestupové sumy. O niečo neskôr vývojári kryptomien nahradili boromejské podpisy Bulletproofs, čím výrazne znížili veľkosť transakcie.
Pros:
• Overené časom
• Relatívna jednoduchosť
Nevýhody:
• Generovanie a overovanie dôkazov je pomalšie ako ZK-SNARK a ZK-STARK
• Nie je odolný voči hackovaniu pomocou kvantových počítačov
mimblewimble
Mimblewimble (MW) bol vynájdený ako škálovateľná technológia na anonymizáciu prenosov v bitcoinovej sieti, no našla svoju implementáciu ako nezávislý blockchain. Používa sa v kryptomenách и .
MW je pozoruhodný tým, že nemá verejné adresy a na odoslanie transakcie si používatelia vymieňajú výstupy priamo, čím sa eliminuje možnosť vonkajšieho pozorovateľa analyzovať prevody od príjemcu k príjemcovi.
Na skrytie súčtu vstupov a výstupov sa používa pomerne bežný protokol navrhnutý Gregom Maxwellom v roku 2015 - (CT). To znamená, že sumy sú šifrované (alebo skôr používajú ), a namiesto nich sieť funguje s takzvanými záväzkami. Aby bola transakcia považovaná za platnú, musí sa množstvo vynaložených a vygenerovaných mincí plus provízia rovnať. Keďže sieť nepracuje priamo s číslami, rovnosť je zabezpečená pomocou rovnice tých istých záväzkov, ktorá sa nazýva záväzok na nulu.
V pôvodnom CT, aby sa zaručila nezápornosť hodnôt (tzv. range proof), používajú boromejské podpisy (borromejské kruhové podpisy), ktoré zaberali veľa miesta v blockchaine (asi 6 kilobajtov na výstup ). V tomto ohľade medzi nevýhody anonymných mien využívajúcich túto technológiu patrila veľká veľkosť transakcie, no teraz sa rozhodli opustiť tieto podpisy v prospech kompaktnejšej technológie – Bulletproofs.
V samotnom MW bloku neexistuje koncept transakcie, v rámci neho sú len vynaložené a generované výstupy. Žiadna transakcia - žiadny problém!
Aby sa zabránilo deanonymizácii účastníka prenosu vo fáze odosielania transakcie do siete, používa sa protokol , ktorý využíva reťazec sieťových proxy uzlov ľubovoľnej dĺžky, ktoré si transakciu navzájom prenášajú predtým, než ju skutočne rozdelia všetkým účastníkom, čím zahmlieva trajektóriu transakcie vstupujúcej do siete.
Pros:
• Malá veľkosť blockchainu
• Relatívna jednoduchosť
Nevýhody:
• Generovanie a overovanie dôkazov je pomalšie ako ZK-SNARK a ZK-STARK
• Podpora funkcií, ako sú skripty a viacnásobné podpisy, sa ťažko implementuje
• Nie je odolný voči hackovaniu pomocou kvantových počítačov
Dôkazy na polynómoch
ZK-SNARKs
Zložitý názov tejto technológie znamená „ Stručný neinteraktívny argument vedomostí“, ktorý možno preložiť ako „Stručný neinteraktívny dôkaz o nulových znalostiach“. Stal sa pokračovaním protokolu zerocoin, ktorý sa ďalej vyvinul na zerocash a prvýkrát bol implementovaný do kryptomeny Zcash.
Dôkaz s nulovými znalosťami vo všeobecnosti umožňuje jednej strane dokázať druhej pravdivosť nejakého matematického tvrdenia bez toho, aby o ňom prezradila akékoľvek informácie. V prípade kryptomien sa takéto metódy používajú na preukázanie toho, že napríklad transakcia nevyprodukuje viac coinov, ako minie, bez zverejnenia množstva prevodov.
ZK-SNARKs je veľmi ťažko pochopiteľný a opísať, ako to funguje, by chcelo viac ako jeden článok. Na oficiálnej stránke Zcash, prvej meny, ktorá implementuje tento protokol, je venovaný popis jej fungovania . Preto sa v tejto kapitole obmedzíme len na povrchný opis.
Pomocou algebraických polynómov ZK-SNARKs dokazuje, že odosielateľ platby vlastní mince, ktoré míňa, a že množstvo vynaložených mincí nepresahuje množstvo vygenerovaných mincí.
Tento protokol bol vytvorený s cieľom zmenšiť veľkosť dôkazu o platnosti výpisu a zároveň ho rýchlo overiť. Áno, podľa Zooko Wilcox, generálna riaditeľka spoločnosti Zcash, veľkosť dôkazu je iba 200 bajtov a jeho správnosť je možné overiť za 10 milisekúnd. Navyše v najnovšej verzii Zcash sa vývojárom podarilo skrátiť čas generovania dôkazu na približne dve sekundy.
Pred použitím tejto technológie je však potrebný komplexný dôveryhodný postup nastavenia „verejných parametrov“, ktorý sa nazýva „ceremónia“ (). Celý problém spočíva v tom, že počas inštalácie týchto parametrov pre nich žiadna zo strán nezostane žiadne súkromné kľúče, nazývané „toxický odpad“, inak bude môcť generovať nové mince. Ako tento postup prebieha, sa dozviete z videa .
Pros:
• Malá veľkosť dôkazov
• Rýchle overenie
• Relatívne rýchle generovanie dôkazov
Nevýhody:
• Komplexný postup pri nastavovaní verejných parametrov
• Toxický odpad
• Relatívna zložitosť technológie
• Nie je odolný voči hackovaniu pomocou kvantových počítačov
ZK-STARKs
Autori posledných dvoch technológií sa dobre hrajú so skratkami a ďalšia skratka znamená „Zero-Knowledge Scalable Transparent ARguments of Knowledge“. Táto metóda mala vyriešiť existujúce nedostatky ZK-SNARK v tom čase: potrebu dôveryhodného nastavenia verejných parametrov, prítomnosť toxického odpadu, nestabilitu kryptografie voči hackingu pomocou kvantových algoritmov a nedostatočne rýchle generovanie dôkazov. S posledným nedostatkom sa však vývojári ZK-SNARK vysporiadali.
ZK-STARK tiež používajú dôkazy založené na polynómoch. Táto technológia nepoužíva kryptografiu s verejným kľúčom, namiesto toho sa spolieha na teóriu hašovania a prenosu. Odstránenie týchto kryptografických prostriedkov robí technológiu odolnou voči kvantovým algoritmom. Má to však svoju cenu – dôkaz môže mať veľkosť niekoľko stoviek kilobajtov.
V súčasnosti ZK-STARK nemá implementáciu v žiadnej z kryptomien, ale existuje iba ako knižnica . Vývojári s tým však majú plány, ktoré ďaleko presahujú blockchainy (v ich autori uvádzajú príklad dôkazu DNA v policajnej databáze). Na tento účel bol vytvorený , ktorý koncom roka 2018 vyzbieral investície od najväčších spoločností v odvetví.
Viac o tom, ako ZK-STARK funguje, si môžete prečítať v príspevkoch Vitalika Buterina (, , ).
Pros:
• Odolnosť voči hackovaniu kvantovými počítačmi
• Relatívne rýchle generovanie dôkazov
• Relatívne rýchle overenie dôkazu
• Žiadny toxický odpad
Nevýhody:
• Zložitosť technológie
• Veľká veľkosť nátlačku
Záver
Blockchain a rastúci dopyt po anonymite kladú nové požiadavky na kryptografiu. Odvetvie kryptografie, ktoré vzniklo v polovici 1980. rokov XNUMX. storočia – dôkazy o nulových znalostiach – sa tak v priebehu niekoľkých rokov doplnilo o nové, dynamicky sa rozvíjajúce metódy.
Útek vedeckého myslenia teda spôsobil, že CoinJoin je zastaraný a MimbleWimble je sľubným nováčikom s pomerne čerstvými nápadmi. Monero zostáva neochvejným gigantom v strážení nášho súkromia. A SNARK a STARK, hoci majú nedostatky, sa môžu stať lídrami v tejto oblasti. Možno, že v nasledujúcich rokoch sa body, ktoré sme uviedli v stĺpci „Nevýhody“ každej technológie, stanú irelevantnými.
Zdroj: hab.com