第一章是数字货币的起源、发展和未来。
工学博士,教授级高级工程师,博士生导师。中国证券登记结算有限责任公司总经理,原中国人民银行数字货币研究所所长。早在2014年,作为中国人民银行数字货币研究团队的主要成员,姚谦就对数字货币进行了深入研究,论证了央行发行法定数字货币的理论基础、技术框架和场景应用。2016年,数字货币研究院成立,开发了央行数字货币原型系统,并获得2017年银行科技发展一等奖。他发表了近150篇学术文章和8本书。发明了100多项专利,并制定了许多国家标准。
说到Libra,加密货币是其核心关键词,区块链是其底层关键技术。追根溯源,Libra的设计思想来源于比特币,但并不缺乏基础资产的支持,采用了原教旨主义的工作证明(PoW),而是做到了100%的资产储备,采用了改进版的拜占庭容错共识机制(LibraBFT-HotStuff)。事实上,比特币并不是最早的数字货币,而是数字货币技术发展到一定阶段的产物。
早在70年代末80年代初,就有学者在研究数字货币。数字货币技术的蓬勃发展与现代密码学的演进密切相关。因此,为了准确理解比特币所代表的虚拟货币和“去虚拟化”的天秤,我们需要回溯40年,探索现代密码学的发展。本章从现代密码学的演进追溯数字货币的技术渊源,分析数字现金设计的基本原理和创新思路,探讨加密货币技术的优缺点和重点研究方向,针对以比特币为代表的虚拟货币的兴起讨论各国的监管应对,分析数字货币的设计理念、技术框架和前沿焦点,中国央行。
现代密码学的历史沿革密码学是一门研究密码编译和解码的技术科学。以数学为基础,在加密与解密、攻击与防御、矛与盾对抗的过程中交替发展。从数学算法的角度来看,包括对称算法、非对称算法和哈希算法。
非对称算法开启了现代密码学的真正时代。顾名思义,对称算法与非对称算法密切相关。什么是对称算法?对称算法意味着加密和解密共享一个密码,也称为单密钥加密算法。我们经常在谍战电影里看到,敌人和我在争夺一本密码本。这个码本是对称加密系统中最重要的对称加密密钥。密钥丢失意味着信息隐藏参数或加密参数存在重大问题,秘密将被泄露。钥匙很难管理好,因为有人会偷或抢。在现代通信条件下,管理或分发密钥更加困难。因为随着我们与外界交流的不断扩大,我们对事物的控制能力会变得非常困难。在密钥分发过程中,我们无法有效防止被窃取或攻击,管理这么多密钥也不容易。
举个例子,我和某人就一个对称密钥做了一个约定:我发给他的每一个信号都是加1的真实信号。两两之间是没有问题的,但是如果我要大规模的做这个动作,和大家对称的传递,那么我就要和大家约定一个特殊的键,一个特殊的方法。毫无疑问,这是一个巨大的挑战。
现代密码学的真正起源是为了解决对称算法在大规模信息加密传输中无法推广的问题。1976年,Diffie和Hellman [1]提出了一种新的加密方法。他们将一个原始密钥分成两对,一对用于加密,另一对用于解密。加密密钥是公开的,称为公钥。解密密钥不能公开,但由自己保密,不让别人知道,称为私钥。如果有人要给我发消息,他会用我的公钥加密,但是只有我的私钥可以解锁,其他人都不能。同样,我想给别人发一条消息,需要用对方的公钥加密,而只有他拥有的私钥才能解开加密的消息。这样我就不用和其他人约定一个对称密钥了,解决了单密钥体制下的大规模密钥分发问题。因为加密密钥和解密密钥是完全不同的密钥,所以这种思想被称为非对称加密思想。1978年,罗纳德里维斯特、阿迪阿迪萨莫尔和伦纳德阿德曼[2]首先提出了非对称加密的实现算法,即著名的RSA算法。
1978年非对称加密的思想和算法的实现,开启了真正意义上的现代密码学时代。在RSA算法之后,各种非对称算法不断出现,比如椭圆曲线加密算法。
非对称算法特有的认证功能非对称算法带来了一个原来对称算法没有的功能,那就是非常独特的认证功能。比如我要给别人发消息,我不仅可以用别人的公钥加密消息,还可以用我的私钥签名,这样别人就可以用我的公钥来查看消息是不是我发给他的。认证功能的出现,使信息加密传输的形式发生了革命性的变化:信息可以被加密和签名,就像支票一样,让信息的加密传输有了主人的感觉。
基于加密签名的认证功能,我们可以构建一个非常严密的信息传输系统。以邮件的加密传输过程为例。首先,我们都有一个公钥,它托管在一个服务器上。既然是公开的,那么每个人都可以从服务器上获得其他人的公钥,从而建立一个非对称公钥密码系统,或者说公钥基础设施。然后,在传输加密邮件时,我们从公钥服务器中取出对方的公钥,我用对方的公钥加密邮件,用自己的私钥签名邮件。对方从托管服务器获取了我的公钥,查看了我的私钥,证明收到的邮件是我发的。与此同时,他用自己的私钥解密邮件的公钥,并阅读它。别人可以验证这是我发的邮件,但是无法解密阅读邮件。
对称加密和非对称加密在实践中是混合使用的。由于加密和解密使用同一个密码,加密速度更快,保密程度更高。但是,如上所述,其最突出的问题是如何将密钥安全地发送给接收者。如果有n个合作者,需要有n个不同的密钥,整个密钥的分发和管理非常复杂,对称加密系统不具备签名的功能。
非对称加密的特点是公钥是公开的,可以托管,但私钥一定不能泄露,否则就没有秘密。公钥和私钥之间有一个数学关系:从私钥推导出公钥很容易,但从公钥推导出私钥被认为是不可能的。当然也不是绝对不可能,但是从计算的复杂度来说,很难暴力破解。即使用世界上最强大的计算器破解,也可能需要100年、200年。对于攻击者来说,破解的时间成本和资源成本是无法承受的,相当于无法破解。所以非对称加密是相对安全的。
由于它依靠计算的复杂性来防止攻击者破解信息,有人担心如果使用量子计算机,计算能力会大大增强,是否会威胁非对称加密系统的安全。其实不用担心。密码学是一门在加密与解密、攻击与防御、矛与盾中不断进化的技术。不代表量子计算机出来后就没有对抗了。攻击和破解能力强了,防御能力自然会跟上。有了量子计算,就会有反量子密码。目前很多国家都在研究反量子密码,量子计算机出现,自然会有新的解决方案。
在现实生活中,对称加密和非对称加密并不是互斥的,而是混合的。以网银的应用为例。我们的私钥存放在银行发放的u盾里。当我们将u盾插入电脑时,u盾会与银行的服务器进行交互。认证后,代表你身份的数字身份就会上线,很容易验证你的身份,也就是上面说的私钥的签名和验证。在随后的交易中,双方将就交易会话的密钥达成一致,该密钥是对称加密密钥。为什么要使用对称加密密钥?因为它具有计算次数少、资源消耗低、效率高的优点,但是为了保密,每个交易会话的密钥都是不一样的,采用非对称加密的方式传输,相当于密钥的双方事先通过一封加密的邮件就使用什么对称密钥进行沟通,然后无论是汇款还是买理财产品, 使用了非对称加密预先传输的对称密钥,很好的体现了两种传输方式的混合使用。
哈希算法哈希算法也叫“安全哈希函数”和信息摘要。众所周知,文章摘要是对文章内容的概括总结。读完摘要后,我们可以理解文章的大部分意思。哈希算法也有这个功能,它可以用非常简单的信息描述任何信息集。它是一个特殊的数学函数:给定一个输入,很容易得到一个输出,但由输出计算输入是不可行的。这就好比从全文中得到一个摘要很容易,但根据摘要改写全文却不容易。另外,哈希算法还有一个有趣的特性,只要信息稍有变化,摘要就变得完全不同,非常有用。
早期,通信传输中经常出现丢包和丢包错误,信道要么不安全,要么各种信息比较分散。那么接收方如何判断接收到的信息是否完整,是否与发送方发送的信息一致呢?一种方法是一遍又一遍的发,一遍又一遍的试,但是效率不高。哈希函数的使用可以很好的解决这个问题。发送信息时,发送方对原始消息进行哈希运算,将计算出的值一起放在原始消息的后面进行验证。接收到数据包后,接收方也会对原始消息执行相同的哈希操作。根据hash算法的特点,如果两个运算值相同,则说明接收的信息和发送的信息是完整的、一致的,否则说明丢包,只需要重传丢失的包,不需要重复整个报文。
与对称加密和非对称加密不同,哈希函数是一种快速收敛的算法。从输入到输出的计算非常快,数值收敛很快,不消耗巨大的计算资源,几乎不可能从输出推导出输入。基于这种优良的特性,哈希函数得到了广泛的应用,我们习惯的人民币前缀号码就是由哈希算法生成的。在数字货币领域,哈希算法被广泛应用。
数字现金的原理一直是密码学家的一个想法。既然邮件可以加密签名,那么现金是不是也可以像邮件一样,用数字信封加密签名,从一端寄到另一端呢?这就是数字现金最早想法的由来。随着现代密码学的发展,数字现金的技术实现逐渐成为可能,这引起了许多学者的广泛兴趣
数字钱包和独立开户理论上,数字现金的设计可以参考两种传统支付方式。一种是纸质现金模式,直接把现金交给对方;另一种是银行存款支付的中介模式或者第三方支付模式,比如支付宝支付。我们先发出支付指令,支付宝的后台收到指令后,在支付宝的后台服务器上增加/减少我们账户中的资金余额。比如我发给张三,它会计算出我的账户减少多少,张三的账户增加多少,这样我的钱就到了张三那里。
对于第二种支付方式,数字现金的研究人员认为,既然数字现金是现金,就不应该找中介来完成现金的支付,而应该延续纸质现金的支付特性,直接将数字现金转移给对方,即点对点支付。
为此,研究人员首先利用数字钱包解决开户问题。有人说比特币门槛很高,但本质不一定。如果要用支付宝,有几个前提条件。首先我们要开一个支付宝账户,要在商业银行开户把钱存进去,然后把钱从商业银行账户转到支付宝账户,才能用支付宝。比特币支付不需要像这样找别人开户,自己也可以开户。先下载一个比特币钱包软件,很多网站都提供比特币钱包软件。下载软件后,在本地完成安装,开户完成。不需要任何第三方,可以自己开户。在本地安装比特币钱包时,会根据电脑的唯一参数信息在本地随机生成一个私钥。私钥很重要,连你都要做笔记。许多人在电脑上格式化比特币后丢失了它。重新生成时,计算机生成的私钥不一样,会影响运算结果。获得私钥后,通过椭圆曲线算法导出本地公钥。公钥生成后,经过两次哈希,然后整合一个数据码,生成一个很长的数字,就是钱包地址,相当于商业银行的账号。
这是金融史上一个非常重大的变化。传统上,我们所有的金融业务都是围绕商业银行的账户进行的。现在,私钥是本地生成的,非常隐秘。数字货币系统和商业银行账户系统的首要区别在于,公钥是由其衍生出来的,然后转换钱包地址为自己开户,不需要中介。
那么,在没有中介的情况下,钱包之间如何进行交易呢?首先,转账方需要知道对方的钱包地址和公钥,用对方的公钥加密转账消息,然后用自己的私钥签名,进行全网广播。全网收到转账信息后,验证转账信息是谁发的,要发到哪个钱包地址。最后,持有钱包地址私钥的人解锁转账短信,获得资金。这是比特币钱包和钱包操作的一般流程。
但挑战在于如何防止重复支出。在有权威中间人的情况下,重复支付的问题很容易解决,因为有中间人的介入,重复支付一般不会发生。没有中间人的时候,自己开户,成对交易的时候,没有人判断是否有多次支付。这时候我该怎么办?比特币的创新设计就是从这里切入的。
比特币的创新设计:分布式共享账本和工作量证明机制比特币创始人中本聪[3]提出的想法很简单。既然没有中介,那么大家都做中介可行吗?就像证券市场信息的公开披露一样,信息一旦公开,任何人都可以核实。
对此,比特币提出了一种创新设计:分布式共享账本。分布式共享账本是指每个人都有一个账本,共同分享和共享账本信息,每个人都是中介,可以检测和验证账本信息。大家都是中介,也就是没有中介。但是随之而来的问题是,每个人都有一个账本,也就是说每个人都可以记账,不同的人记账的账本肯定是不一样的,那么谁会为准呢?对此,中本聪提出了一个创新的设计,叫做工作量证明机制,也就是我们通常所说的挖掘机制。
他建议我们可以设计一道数学题给大家解,谁解了这道数学题,谁就是记账员。这道数学题是什么?将当前账单的哈希值和上一个账单的哈希值合并,然后找一个随机数相加,通过混合计算得到新的哈希值。谁先算出满足预设特定条件的哈希值,并通过其他六个以上网络节点的验证,谁就挖掘成功,相应的账单就可以上传。新的账单生成后,继续做新的计算竞争,一次又一次形成新的账单。解数学题的难点在于找到满足预设条件的随机数。这个很难,而且难度越来越大,现在需要一个计算能力非常强的特殊芯片来计算。
通过以上设计,中本聪提出了一种全新的记账方式:人人都可以参与。只要按要求实现了这个“游戏规则”的目标,他们就可以把记账权拿到手,成为新区块的记账员。对于成功获得记账权的矿工,系统会自动奖励一定数量的比特币。奖励次数每四年减半。从2008年到2012年底,如果矿工开采成功,系统会奖励50个比特币;2012年底到2016年底,系统奖励了25个比特币;2016年底至今,系统奖励12.5比特币。
由于比特币的账单是分布式共享账本,所以整个账本是透明的,所有人都可以查看。假设你得到0.1个比特币,你可以从区块链查到它的所有流通信息:是谁通过挖掘产生的?它被传给谁了?因此,一旦出现重复支付问题,所有人都可以检测到,从而解决了如何在没有中介的情况下防止重复支付的问题。
这与传统商业银行的经营方式完全不同。在商业银行业务中,只有作为中介的银行才能知道所有的交易,而交易者只能知道与自己相关的交易信息。然而,要了解了解你的客户(KYC)的要求,交易者必须使用真实姓名进行交易。在比特币系统中,所有交易都是透明的,每个人都可以查看,但交易者的身份是匿名的。两者各有特点。
加密货币技术:未来价值互联网的基础区块链是实现以比特币为代表的加密货币的核心技术,也有人称之为价值转移技术。我们平时通过互联网传输的信息是可以改变的,但是区块链技术传输的数据是不能改变的,因为只要一个块的数据发生变化,这个块的hash值就会发生变化,所以因为上下块是相连的,前一个块的变化意味着下一个块的输入发生变化,所以下一个块的hash值也会发生变化。这就像人类的基因链,是无法改变的。因此,区块链记录了高价值的数据,这与我们所有通常的数据库存储概念完全不同。
虚拟货币监管比特币被称为“货币”,所以各国货币当局都在认真思考它是不是货币,如何处理,如何监管。目前越来越多的共识是比特币的资产属性大于货币属性,这是基于它的两个特性。第一,更多的是用来炒作,而不是用来付费。很少有人真正使用比特币支付。因为比特币的支付时间比较长,如果用比特币买一杯咖啡,买的时候是热的,喝的时候可能是凉的。二是价格波动太大,每天几百块钱的波动。钱本来就是一把尺子,一个计算单位。如果这把尺子一天比一天长,一天比一天短,那就无法正确衡量商品的价格。目前比特币是一种不固定的计量单位,所以很多人认为它不可能是真正的货币。
比特币更多的是一种数字资产。从某种意义上说,数字资产比其他资产有更高的投资回报率,这也是全球很多投资机构非常重视这一领域的原因。目前世界上类似比特币的虚拟货币有几千种,但数字资产交易所却有一万多家。由此可见该领域的交易有多火爆。很多人认为数字资产投资可以赚钱,所以就冲进这个市场。也正是基于此,各国监管部门如何管理数字资产成为一个非常重要的问题。
如何管理,首先涉及到如何定义。如果定义为货币,就要按照货币管理方法进行管理;如果是资产,就要按照资产管理办法进行管理;如果是商品,就要按照商品管理办法来管理。质的差异决定了管理方式和监管部门的差异。
应该说,虚拟货币是一个全新的事物,各国的监管态度和争议都相当大。目前归类为证券的可能性较大,但也是一个过程,还没有定论。在美国,目前有两个部门监管虚拟货币。一个是证券交易委员会(SEC);另一个是商品期货交易委员会(CFTC),它将虚拟货币视为一种商品。到底是谁在负责,美国监管部门正在加快确定。基于美元作为国际储备货币的地位,美国在全球金融体系中占有优势。美国一旦给虚拟货币下了定义,可能会得到全世界的认可。
目前,我国将虚拟货币作为邮票进行管理,严禁以代币为融资标的的融资活动,尤其是首次发行硬币(ICO)。数据显示,全球ICO融资在逐年增加,主要集中在美国。但我国第一批ICO项目中出现了一些欺诈现象,容易演变成金融欺诈和非法融资,严重损害投资者利益和金融秩序,从而使我国监管政策更加严厉,看似一刀切。
数字货币中加密货币的不断发展,中国的中央银行,在过去的40年中,带来了一场全球性的大规模数字加密货币实验,这迫使各国央行认真思考一个问题:各国央行是否也应该发行数字货币?
中国是最早研究数字货币——央行的国家之一,2014年开始研究。研究央行数字货币,首先要回答一个有趣的问题,什么是央行数字货币?对此,各国尚未达成共识。2018年,国际清算银行(BIS)的一份报告[4]给出了一个有趣的定义,但并没有直接回答这个问题,而是用排除法来定义。它汇总了目前存在的各种支付工具,然后确定哪些不是数字货币,央行。一个一个剔除之后,剩下的就是数字货币,央行。
它使用四个维度:是否广泛可用,是否是数字形式,是否由央行发行,是否类似于比特币采用的技术生成的令牌。根据这四个维度,现金是广泛存在的、非数字化的、由央行发行的、以代币形式存在的。银行存款来源广泛,是数字化的,不是央行发行的,也不是代币的形式。都不是数字货币,央行。央行发行的货币除了现金,还有银行准备金,包括存款准备金和超额存款准备金。银行储备已经数字化,但国际清算银行认为这不是央行真正想研究的央行数字货币。
一种可能的央行数字货币是央行的账户对公众开放,允许公众像商业银行一样在央行开户。这相当于央行开发了一个超级支付宝,服务于所有C端客户。根据国际清算银行的说法,这样形成的央行货币就是央行数字货币,称为基于账户的央行数字货币,或央行数字账户(CBDA)。另一种可能的央行——数字货币(digital currency),是央行采用比特币所采用的技术发行的代币,可称为基于代币的央行数字货币,或央行加密货币(CBCC),既可用于批发,也可用于零售。无论是基于账号还是基于令牌,都代表了两种不同的技术路线,未来哪种思路占优,还有待观察。
从技术架构上来说,央行的数字货币系统可以分为两类:一元系统和二元系统。单一制是指央行以类似超级支付宝的方式直接向客户提供服务。然而,世界上大多数央行并不认可这种方式,也不愿意直接向公众提供央行的数字货币服务。而是希望重用传统金融体系,与金融机构合作,让央行放在后端,前端服务由金融机构提供。中国人民银行提出的二元制就是这个思路,国际上称之为二元结构,这个思路正逐渐成为各国的共识。
目前,中国人民银行正在进行央行的数字货币R&D实验。由于第三方支付的异军突起,中国的账户体系走在了世界前列。但其实很多人认为数字货币,真正代表未来技术发展方向的央行,应该是数字货币,基于加密货币技术的央行。目前,无论是学术界还是业界都在积极探索CBCC模式。很多人认为CBCC真的可以让客户自主管理自己的钱,而不是交给第三方,真正给客户自由的权利。虽然不能确定是未来的方向,但至少目前是最热的前沿焦点。
总结与展望非对称加密系统解决了开放系统中的大规模密钥分发问题,不仅可以加密信息,还可以签名,开启了密码学的一次重大革命。哈希算法可以将一条交易信息转换成定长字符串,只要信息稍有变化,抽象就变得完全不同,不可逆,可以快速收敛,具有独特的优势。这些现代密码学技术的发展为数字货币的出现奠定了技术基础,而比特币基于数字钱包、分布式共享账本和共识机制的创新设计,使数字货币技术实现了新的飞跃,在全球范围内引发了大规模的数字货币实验。在加强虚拟货币监管的同时,各国央行也在加速数字货币的R&D进程。
目前,虚拟货币正在纠正缺乏价值支撑的根本缺陷。先是各类稳定代币的探索,或基于法币抵押,或基于算法,再到监管部门的背书,基于法币抵押的稳定代币对法币的价值锚定得到了增强。Libra近期的出现,预示着虚拟货币价值不稳定、监管合规等问题有望得到进一步解决。表面上看,虚拟货币的价值是锚定央行货币,本质上是“去虚拟化”。加密货币和虚拟货币的概念需要重新定义,加密货币也不一定是虚拟货币。以Libra为代表的稳定的加密货币值得我们高度关注和深入研究。
[1] Whitefield Diffie和Martin Hellman,密码学的新方向。IEEE信息论汇刊,1976年,22(6):644-654。
[2] Rivest R,Shamir A,ad leman L . m,《获取数字签名和公开密钥密码系统的方法》,美国计算机学会通讯,1978年,26(2):96-99。
[3]中本聪,比特币,点对点电子现金系统,2008.https://bitcoin.org/bitcoin.pdf。
[4]支付和市场基础设施委员会,市场委员会,中央银行数字货币。2018年3月。
