Zagotovo vas je kot uporabnika bitcoina, etra ali katere koli druge kriptovalute skrbelo, da bi lahko kdo videl, koliko kovancev imate v denarnici, komu ste jih nakazali in od koga prejeli. Okoli anonimnih kriptovalut je veliko polemik, vendar se ne moremo strinjati s tem, kako Vodja projekta Monero Riccardo Spagni na svojem Twitter računu: "Kaj pa, če preprosto ne želim, da blagajnik v supermarketu ve, koliko denarja imam na svojem stanju in za kaj ga porabim?"
V tem članku si bomo ogledali tehnološki vidik anonimnosti – kako to počnejo, ter podali kratek pregled najbolj priljubljenih metod, njihovih prednosti in slabosti.
Danes obstaja približno ducat verig blokov, ki omogočajo anonimne transakcije. Pri tem je za nekatere anonimnost nakazil obvezna, za druge neobvezna, nekateri skrivajo le naslovnike in prejemnike, tretji tretjim osebam ne dovolijo niti vpogleda v zneske nakazil. Skoraj vse tehnologije, o katerih razmišljamo, zagotavljajo popolno anonimnost – zunanji opazovalec ne more analizirati stanja, prejemnikov ali zgodovine transakcij. Toda začnimo naš pregled z enim od pionirjev na tem področju, da bi sledili evoluciji pristopov k anonimnosti.
Trenutno obstoječe tehnologije anonimizacije lahko v grobem razdelimo v dve skupini: tiste, ki temeljijo na mešanju – kjer se uporabljeni kovanci pomešajo z drugimi kovanci iz verige blokov – in tehnologije, ki uporabljajo dokaze na podlagi polinomov. Nato se bomo osredotočili na vsako od teh skupin in razmislili o njihovih prednostih in slabostih.
Na osnovi gnetenja
CoinJoin
ne anonimizira prevodov uporabnikov, ampak le oteži njihovo sledenje. Vendar smo se odločili, da to tehnologijo vključimo v naš pregled, saj je bil to eden prvih poskusov povečanja stopnje zaupnosti transakcij v omrežju Bitcoin. Ta tehnologija očara s svojo preprostostjo in ne zahteva spreminjanja pravil omrežja, zato jo je mogoče enostavno uporabiti v številnih verigah blokov.
Temelji na preprosti ideji – kaj če uporabniki vplačajo in plačajo v eni transakciji? Izkazalo se je, da če sta Arnold Schwarzenegger in Barack Obama prispevala in opravila dve plačili Charlieju Sheenu in Donaldu Trumpu v eni transakciji, potem postane težje razumeti, kdo je financiral Trumpovo volilno kampanjo - Arnold ali Barack.
Toda iz glavne prednosti CoinJoin izhaja njegova glavna pomanjkljivost - šibka varnost. Danes že obstajajo načini za prepoznavanje transakcij CoinJoin v omrežju in povezovanje nizov vhodov z nizi izhodov s primerjavo količin porabljenih in ustvarjenih kovancev. Primer orodja za takšno analizo je .
Profesionalci:
• Enostavnost
Cons:
• Dokazana možnost vdiranja
Monero
Prva asociacija, ki se pojavi ob besedi "anonimna kriptovaluta", je Monero. Ta kovanec njena stabilnost in zasebnost pod drobnogledom obveščevalnih služb:
V enem svojih nedavnih Zelo podrobno smo opisali protokol Monero, danes pa bomo povzeli povedano.
V protokolu Monero je vsak izhod, porabljen v transakciji, pomešan z vsaj 11 (v času pisanja) naključnimi izhodi iz verige blokov, kar oteži graf prenosa v omrežju in naredi nalogo sledenja transakcij računsko zapleteno. Mešani vnosi so podpisani z obročnim podpisom, ki zagotavlja, da je podpis dal lastnik enega od mešanih kovancev, ne omogoča pa ugotovitve, kdo.
Da bi skrili prejemnike, vsak na novo ustvarjen kovanec uporablja enkratni naslov, zaradi česar opazovalec ne more (seveda tako težko kot zlom šifrirnih ključev) povezati kakršen koli izhod z javnim naslovom. Od septembra 2017 je Monero začel podpirati protokol (CT) z nekaterimi dodatki, s čimer so skrili tudi zneske nakazil. Malo kasneje so razvijalci kriptovalut nadomestili Boromejske podpise z Bulletproofs, s čimer so znatno zmanjšali velikost transakcije.
Profesionalci:
• Časovno preizkušeno
• Relativna enostavnost
Cons:
• Ustvarjanje in preverjanje dokazov je počasnejše od ZK-SNARK in ZK-STARK
• Ni odporen na vdiranje z uporabo kvantnih računalnikov
mimblewimble
Mimblewimble (MW) je bil izumljen kot razširljiva tehnologija za anonimiziranje prenosov v omrežju Bitcoin, vendar je bil implementiran kot neodvisna veriga blokov. Uporablja se v kriptovalutah и .
MW je opazen, ker nima javnih naslovov in za pošiljanje transakcije uporabniki neposredno izmenjajo izhode, s čimer zunanji opazovalec ne more analizirati prenosov od prejemnika do prejemnika.
Za skrivanje vsot vhodov in izhodov se uporablja dokaj pogost protokol, ki ga je leta 2015 predlagal Greg Maxwell - (CT). To pomeni, da so zneski šifrirani (ali bolje rečeno, uporabljajo ), namesto njih pa omrežje deluje s ti zavezami. Da se transakcija šteje za veljavno, mora biti količina porabljenih in ustvarjenih kovancev ter provizija enaka. Ker omrežje ne operira neposredno s številkami, je enakost zagotovljena z enačbo teh istih zavez, ki se imenuje zavezanost nič.
V prvotnem CT za zagotavljanje nenegativnosti vrednosti (t. i. range proof) uporabljajo Boromejske podpise (Borromean ring signatures), ki so zavzeli veliko prostora v blockchainu (približno 6 kilobajtov na izhod). ). V zvezi s tem so pomanjkljivosti anonimnih valut, ki uporabljajo to tehnologijo, vključevale velik obseg transakcije, zdaj pa so se odločili opustiti te podpise v korist bolj kompaktne tehnologije - Bulletproofs.
V samem bloku MW ni koncepta transakcije, znotraj njega so samo porabljeni in ustvarjeni izhodi. Ni transakcije - ni problema!
Da bi preprečili deanonimizacijo udeleženca prenosa v fazi pošiljanja transakcije v omrežje, se uporablja protokol , ki uporablja verigo omrežnih posredniških vozlišč poljubne dolžine, ki med seboj prenašajo transakcijo, preden jo dejansko razdelijo vsem udeležencem, s čimer zameglijo pot transakcije, ki vstopa v omrežje.
Profesionalci:
• Majhna velikost verige blokov
• Relativna enostavnost
Cons:
• Ustvarjanje in preverjanje dokazov je počasnejše od ZK-SNARK in ZK-STARK
• Podporo za funkcije, kot so skripti in večpodpisi, je težko implementirati
• Ni odporen na vdiranje z uporabo kvantnih računalnikov
Dokazi o polinomih
ZK-SNARKI
Zapleteno ime te tehnologije pomeni " Succinct Non-Interactive Argument of Knowledge,« kar lahko prevedemo kot »Succinct Non-Interactive zero-knowledge proof«. Postal je nadaljevanje protokola zerocoin, ki se je naprej razvil v zerocash in je bil prvič implementiran v kriptovaluto Zcash.
Na splošno dokaz brez znanja eni strani omogoča, da drugi dokaže resničnost neke matematične trditve, ne da bi o tem razkril kakršno koli informacijo. V primeru kriptovalut se takšne metode uporabljajo za dokazovanje, da na primer transakcija ne proizvede več kovancev, kot jih porabi, ne da bi razkrili znesek prenosov.
ZK-SNARK je zelo težko razumeti in potreboval bi več kot en članek, da bi opisal, kako deluje. Na uradni strani Zcasha, prve valute, ki implementira ta protokol, je opis njegovega delovanja posvečen . Zato se bomo v tem poglavju omejili le na površen opis.
Z uporabo algebraičnih polinomov ZK-SNARKs dokazuje, da je pošiljatelj plačila lastnik kovancev, ki jih porabi, in da količina porabljenih kovancev ne presega količine ustvarjenih kovancev.
Ta protokol je bil ustvarjen z namenom zmanjšati obseg dokazila o veljavnosti izjave in ga hkrati hitro preveriti. Da, glede na Zooko Wilcox, izvršna direktorica Zcash, je velikost dokazila le 200 bajtov, njegovo pravilnost pa je mogoče preveriti v 10 milisekundah. Poleg tega je v najnovejši različici Zcash razvijalcem uspelo skrajšati čas generiranja dokazov na približno dve sekundi.
Vendar je pred uporabo te tehnologije potreben zapleten postopek zaupanja vredne nastavitve "javnih parametrov", ki se imenuje "slovesnost" (). Celotna težava je v tem, da med namestitvijo teh parametrov nobena stranka nima zasebnih ključev, imenovanih "strupeni odpadki", sicer bo lahko ustvarila nove kovance. Kako poteka ta postopek, se lahko naučite iz videoposnetka .
Profesionalci:
• Majhna velikost dokazov
• Hitro preverjanje
• Relativno hitro ustvarjanje dokazov
Cons:
• Zapleten postopek določanja javnih parametrov
• Strupeni odpadki
• Relativna kompleksnost tehnologije
• Ni odporen na vdiranje z uporabo kvantnih računalnikov
ZK-STARKi
Avtorji zadnjih dveh tehnologij se dobro znajo igrati z akronimi, naslednja akronim pa pomeni »Zero-Knowledge Scalable Transparent ARguments of Knowledge«. Ta metoda je bila namenjena reševanju obstoječih pomanjkljivosti ZK-SNARK-jev v tistem času: potreba po zaupanja vredni nastavitvi javnih parametrov, prisotnost strupenih odpadkov, nestabilnost kriptografije za vdiranje s kvantnimi algoritmi in nezadostno hitro ustvarjanje dokazov. Vendar pa so razvijalci ZK-SNARK odpravili zadnjo pomanjkljivost.
ZK-STARK uporablja tudi polinomske dokaze. Tehnologija ne uporablja kriptografije z javnim ključem, temveč se zanaša na teorijo zgoščevanja in prenosa. Odprava teh kriptografskih sredstev naredi tehnologijo odporno na kvantne algoritme. Toda to ima svojo ceno - dokaz lahko doseže velikost več sto kilobajtov.
Trenutno ZK-STARK nima implementacije v nobeni od kriptovalut, ampak obstaja le kot knjižnica . Vendar imajo razvijalci za to načrte, ki daleč presegajo verige blokov (v njihovem avtorja podajata primer dokaza o DNK v policijski bazi). V ta namen je bil ustvarjen , ki je konec leta 2018 zbrala naložbe največjih podjetij v panogi.
Več o delovanju ZK-STARK si lahko preberete v objavah Vitalika Buterina (, , ).
Profesionalci:
• Odpornost na vdiranje s kvantnimi računalniki
• Relativno hitro ustvarjanje dokazov
• Relativno hitro dokazno preverjanje
• Brez strupenih odpadkov
Cons:
• Kompleksnost tehnologije
• Velika velikost poskusnega odtisa
Zaključek
Blockchain in vse večja zahteva po anonimnosti postavljata nove zahteve za kriptografijo. Tako je bila veja kriptografije, ki je nastala sredi osemdesetih let prejšnjega stoletja – dokazi brez znanja – v samo nekaj letih napolnjena z novimi, dinamično razvijajočimi se metodami.
Tako je beg znanstvene misli naredil CoinJoin zastarel, MimbleWimble pa obetavnega novinca z dokaj svežimi idejami. Monero ostaja neomajen velikan pri varovanju naše zasebnosti. In SNARK in STARK, čeprav imata pomanjkljivosti, lahko postaneta vodilna na tem področju. Morda bodo v prihodnjih letih točke, ki smo jih navedli v stolpcu »Proti« vsake tehnologije, postale nepomembne.
Vir: www.habr.com