作為比特幣、以太幣或任何其他加密貨幣的用戶,您肯定會擔心任何人都可以看到您錢包裡有多少代幣、您將這些代幣轉移給了誰以及您從誰那裡收到了這些代幣。 關於匿名加密貨幣存在著許多爭議,但我們不能不同意的一件事是: 門羅幣專案經理 Riccardo Spagni 在他的 Twitter 帳戶上寫道:“如果我不想讓超市收銀員知道我的餘額有多少錢以及我把它花在什麼地方怎麼辦?”
在本文中,我們將研究匿名的技術方面 - 它們是如何做到的,並簡要概述最流行的方法及其優缺點。
如今,大約有十幾個區塊鏈允許匿名交易。 同時,對於某些人來說,轉帳的匿名性是強制性的,對於其他人來說,這是可選的,有些人只隱藏收件人和收件人,有些人甚至不允許第三方看到轉帳金額。 我們正在考慮的幾乎所有技術都提供完全匿名性——外部觀察者無法分析餘額、接收者或交易歷史。 但讓我們從該領域的先驅之一開始我們的回顧,以追蹤匿名方法的演變。
目前現有的匿名技術可以大致分為兩類:基於混合的技術(所使用的代幣與區塊鏈中的其他代幣混合)以及使用基於多項式的證明的技術。 接下來,我們將重點放在每個群體並考慮他們的優點和缺點。
揉捏為主
CoinJoin
不會匿名用戶翻譯,只會使追蹤變得複雜。 但我們決定將這項技術納入我們的審查中,因為它是提高比特幣網路交易機密性水準的首批嘗試之一。 該技術以其簡單性而著迷,並且不需要改變網路規則,因此可以輕鬆地在許多區塊鏈中使用。
它基於一個簡單的想法——如果用戶在單筆交易中投入資金並付款怎麼辦? 事實證明,如果阿諾德·施瓦辛格和巴拉克·奧巴馬在一筆交易中向查理·辛和唐納德·特朗普支付了兩筆款項,那麼就很難理解誰為特朗普競選活動提供了資金——阿諾德還是巴拉克。
但 CoinJoin 的主要優點也帶來了它主要的缺點——安全性較弱。 如今,已經有方法可以識別網路中的 CoinJoin 交易,並透過比較花費和產生的代幣數量來將輸入集與輸出集進行匹配。 用於此類分析的工具的一個範例是 .
優點:
• 簡單
缺點:
• 表現出可破解性
Monero
當聽到「匿名加密貨幣」這個詞時,第一個想到的就是門羅幣。 這枚硬幣 其在情報部門顯微鏡下的穩定性與隱私性:
在他最近的一張 我們已經非常詳細地描述了門羅幣協議,今天我們將總結一下所講的內容。
在門羅幣協議中,交易中花費的每個輸出都與來自區塊鏈的至少11 個(在撰寫本文時)隨機輸出混合,從而使網路的傳輸圖變得複雜,並使追蹤交易的任務在計算上變得複雜。 混合條目使用環簽名進行簽名,這保證簽名是由混合硬幣之一的所有者提供的,但無法確定是誰。
為了隱藏接收者,每個新產生的硬幣都使用一次性位址,這使得觀察者不可能(當然就像破解加密金鑰一樣困難)將任何輸出與公共位址關聯起來。 自2017年XNUMX月起,門羅幣開始支持該協議 (CT) 進行了一些添加,從而也隱藏了轉帳金額。 不久之後,加密貨幣開發人員用 Bulletproofs 取代了 Borromean 簽名,從而顯著減少了交易規模。
優點:
• 經過時間考驗
• 相對簡單
缺點:
• 證明產生和驗證比 ZK-SNARK 和 ZK-STARK 慢
• 無法抵抗使用量子電腦的駭客攻擊
Mimblewimble
Mimblewimble (MW) 是作為一種可擴展的技術而發明的,用於在比特幣網路上進行匿名傳輸,但後來發現它是作為一個獨立的區塊鏈實現的。 用於加密貨幣 и .
MW 之所以引人注目,是因為它沒有公共地址,為了發送交易,用戶直接交換輸出,從而消除了外部觀察者分析從接收者到接收者的傳輸的能力。
為了隱藏輸入和輸出的總和,使用了 Greg Maxwell 在 2015 年提出的一個相當常見的協定 - (CT)。 也就是說,金額是加密的(或者更確切地說,他們使用 ),而不是它們,網絡以所謂的承諾來運作。 為了使交易被視為有效,花費和產生的代幣數量加上佣金必須相等。 由於網路不會直接使用數字進行操作,因此使用這些相同承諾的方程式來確保平等,這稱為零承諾。
在最初的 CT 中,為了保證值的非負性(所謂的範圍證明),他們使用了 Borromean Signatures(Borromean 環簽名),這在區塊鏈中佔用了大量空間(每個輸出大約 6 KB) ) 。 在這方面,使用該技術的匿名貨幣的缺點包括交易規模較大,但現在他們決定放棄這些簽名,轉而採用更緊湊的技術 - Bulletproofs。
MW 區塊本身沒有交易的概念,只有其中花費和產生的輸出。 沒有交易-沒問題!
為了防止傳輸參與者在將交易發送到網路的階段去匿名化,使用了一種協議 ,它使用任意長度的網路代理節點鏈,在將交易實際分發給所有參與者之前相互傳輸交易,從而混淆了交易進入網路的軌跡。
優點:
• 區塊鏈規模小
• 相對簡單
缺點:
• 證明產生和驗證比 ZK-SNARK 和 ZK-STARK 慢
• 對腳本和多重簽名等功能的支援很難實現
• 無法抵抗使用量子電腦的駭客攻擊
多項式的證明
ZK-SNARK
這項技術的複雜名稱代表“ Succinct Non-Interactive Argument of Knowledge”,可以翻譯為“簡潔非互動式零知識證明”。 它成為了 Zerocoin 協議的延續,該協議進一步演變為 Zerocash,並首先在 Zcash 加密貨幣中實現。
一般來說,零知識證明允許一方向另一方證明某些數學陳述的真實性,而無需透露任何相關資訊。 就加密貨幣而言,此類方法用於證明,例如,交易產生的硬幣數量不會多於其花費的硬幣數量,而無需披露轉帳金額。
ZK-SNARKs 非常難以理解,需要不只一篇文章來描述它的工作原理。 Zcash(第一個實現該協議的貨幣)的官方頁面上專門介紹了其操作 。 因此,在本章中我們將僅限於進行膚淺的描述。
ZK-SNARKs 使用代數多項式證明支付的發送者擁有他正在花費的硬幣,並且花費的硬幣數量不超過生成的硬幣數量。
創建該協議的目的是減少聲明有效性證明的大小,同時快速驗證它。 是的,根據 Zcash 執行長 Zooko Wilcox 表示,證明大小僅為 200 字節,並且可以在 10 毫秒內驗證其正確性。 此外,在最新版本的 Zcash 中,開發人員設法將證明產生時間減少到大約兩秒鐘。
然而,在使用這項技術之前,需要進行一個複雜的「公共參數」可信設定過程,這就是所謂的「儀式」()。 整個困難在於,在安裝這些參數的過程中,雙方都沒有留下任何私鑰,稱為“有毒廢物”,否則將無法產生新幣。 您可以從影片中了解此過程是如何發生的 .
優點:
• 證據量小
• 快速驗證
• 相對較快的證明生成
缺點:
• 設定公共參數的複雜過程
• 有毒廢料
• 技術的相對複雜性
• 無法抵抗使用量子電腦的駭客攻擊
ZK-STARK
後兩項技術的作者擅長使用縮寫詞,下一個縮寫詞代表「零知識可擴展的透明知識論證」。 此方法旨在解決當時 ZK-SNARK 存在的缺點:需要可信的公共參數設定、有毒廢物的存在、密碼學對使用量子演算法進行駭客攻擊的不穩定性以及證明生成速度不夠快。 然而,ZK-SNARK 開發人員已經解決了最後一個缺點。
ZK-STARK 也使用基於多項式的證明。 該技術不使用公鑰加密技術,而是依賴散列和傳輸理論。 消除這些加密手段使得該技術能夠抵抗量子演算法。 但這是有代價的——證明的大小可能達到數百千位元組。
目前,ZK-STARK 尚未在任何加密貨幣中實現,而僅作為庫存在 。 然而,開發人員的計劃遠遠超出了區塊鏈(在他們的 作者舉了一個警察資料庫中 DNA 證據的例子)。 為此目的而創建 ,截至 2018 年底收集 來自業內最大公司的投資。
您可以在 Vitalik Buterin 的帖子中閱讀有關 ZK-STARK 如何運作的更多資訊 (, , ).
優點:
• 抵抗量子電腦的駭客攻擊
• 相對較快的證明生成
• 相對快速的證明驗證
• 無有毒廢棄物
缺點:
• 技術的複雜性
• 大校樣尺寸
結論
區塊鏈和日益增長的匿名需求對密碼學提出了新的要求。 因此,起源於 1980 世紀 XNUMX 年代中期的密碼學分支——零知識證明——在短短幾年內就被新的、動態開發的方法所補充。
因此,科學思想的飛躍使 CoinJoin 過時了,而 MimbleWimble 則成為具有相當新鮮想法的有前途的新來者。 門羅幣在保護我們的隱私方面仍然是堅定不移的巨人。 而SNARK和STARK雖然有缺點,但可以成為該領域的領導者。 也許在未來幾年,我們在每種技術的「缺點」欄中指出的要點將變得無關緊要。
來源: www.habr.com