在媒体描述中,加密货币往往具有“匿名”的属性,但其他文章指出,加密货币交易可以很容易被追踪,甚至比法定货币交易更容易。要在两种说法之间达成一致,重要的是要知道:加密货币的隐私保护到底是什么意思?
回答这个问题并不像看起来那么容易,因为“隐私保护”在区块链世界有很多含义。
要成为精通区块链技术的加密货币开发者、投资者或参与者,理解加密系统中“隐私保护”的真正含义至关重要。我们写这篇文章来分享我们在这方面的一些经验和技巧。
想象一下,爱丽丝开设了一个Venmo账户,这是一个美国小额支付手机应用程序,已被贝宝收购。她需要提供并核实她的真实姓名。因为Venmo公司知道她的真实姓名,并且可能与他人共享这些信息,所以Alice失去了她的身份的一些隐私。如果Bob通过Venmo给Alice转了20美元,并在她的信息流中分享了这笔交易,那么Alice的交易信息已经公开,但只有Venmo知道她至今个人账户里有多少钱,其他人都不知道。假设爱丽丝创建了一个比特币地址,并要求鲍勃转移她价值20美元的比特币。与Venmo交易相比,Alice在真实身份方面得到了一些隐私保护,因为她的比特币地址与她的真实姓名没有关联。但实际上,比特币从鲍勃的地址到爱丽丝的地址的转账,以及爱丽丝收到比特币转账后的比特币总量,对于比特币区块链的所有人来说,都是透明的信息。
所以我们可以知道,使用比特币,爱丽丝在某些方面实现了隐私保护,但在其他方面失去了隐私。
在用不同的加密货币进行交易时,这种情况很常见。
在加密货币领域,我们认为隐私保护主要包括三个层面:
使用加密货币执行特定操作的用户的身份信息。
用户相应操作中的具体交易数据
收集所有交易信息的区块链的整体状态
区块链协议可以采用加密技术,使得外人不可能或极难知道或计算和推断出上述每个环节的不同部分。同时,想要挖掘区块链特征的攻击者可以综合不同的信息来猜测甚至直接总结他们想要的信息。隐私保护的手段变成了通过协议设计,在特定的属性字段中,向潜在攻击者暴露尽可能少的信息。
重要的是,某个特定属性是否属于隐私保护的范畴,并不是那么非黑即白。比如对某些外部观察者来说是透明的信息,但其他人并不清楚,或者外部观察者也许能偶然猜到,但不一定。这种模糊性意味着“XX币可以保证隐私”或者“A币在隐私保护上优于B币”这样简单的说法往往是不成立的。而且有时候措辞不小心,这样的语句会引起混乱和误解,所以有些人精心安排这样的语句来误导别人。
我们推荐更谨慎的表述,比如“门罗币的交易金额被保护为隐私”,甚至“由于ZCash币的部分匿名性,寄件人地址被保护为隐私”。
在本文后面,我们还将讨论,在某些情况下,零知识证明等密码学工具可以帮助我们定量分析这类主张,甚至提供严格的证据。
先从加密货币相关的隐私保护说起。
信息隐私,即匿名。
当人们听到隐私这个词时,首先想到的是匿名,这意味着用户的行为与他们在现实世界中的身份信息无关。
实现这种隐私保护的一种方法是“化名”法,这种方法很容易实现;事实上,我们习惯于在接受各种网络服务时使用假名,如注册电子邮件地址bitcoinlover2008@gmail.com,而不是使用真实姓名。在这种情况下,在这种网络协议的大部分交互中,bitcoinlover2008@gmail.com的主机的真实/合法名称被假定为Alice Jones,不会被暴露。
在大多数加密货币系统中,如比特币,用户会获得一对公钥/私钥签名。公钥类似于用户名,私钥类似于密码。重点是,只有当有人知道你的准确私钥是合法获得的还是非法窃取的,你才能在信息上“签字”。从这个意义上说,任何人都可以用你的公钥查看用私钥的人发送的信息。该功能允许用户使用他们拥有的几个公钥或地址中的一个来接收比特币等加密货币,并使用他们自己的私钥来发送加密货币,所有这些都无需中央权威机构的干预。这些想法构成了现代数学密码学的基石。但是,拥有一对私钥/公钥,只是在去中心化的环境下“用假名”来伪装自己真实身份的一种方式。
“使用假名”通常是加密货币背后的协议中的一个自然属性,这使得媒体和公众错误地认为所有的加密货币都是“匿名的”,或者至少比仅仅使用假名更加匿名。毫不奇怪,这种误解促使用户使用加密货币进行一些非法活动,如网络赌博或暗网交易。然而,真正的隐私保护水平可能会让这些用户失望。诚然,他们可以使用公共地址来发送或接收比特币,他们的真实姓名不参与交易,但用户的一些行为可以将公共地址与他们在现实世界中的真实身份联系起来。
首先,大部分用户都是先在交易所用法币购买比特币。法币交易通常需要与当前的银行系统相关联,需要验证真实世界的真实身份。因为比特币中的所有交易数据都是完全公开的,就像上一节提到的,这意味着每个人都可以看到交易所数据库,并将具体地址与现实世界中的真实身份联系起来。例如,如果爱丽丝从比特币基地提取0.1个比特币到她控制的地址,比如36n 452 ug Q1 X4MK 7BF YZR 8WG e47 anb B2 Pzi,那么比特币基地会将她的真实姓名与这个地址关联起来。如果她从一个在线非法体育博彩网站提取了0.2个比特币,外部观察者可能会推断爱丽丝参与了非法的在线赌博活动,并且可以提供不可篡改的公开证据。
chain analysis等公司就采用了这种被称为区块链分析的技术,将公共地址与其背后的所有者身份联系起来,分析交易趋势。
图为2009 -2012年区块链分析早期案例;资料来源:https://doi.org/1
其次,加密货币交易需要通过互联网发送一些信息。在某些情况下,交互式元数据可用于跟踪用户在启动这些事务时使用的IP地址。即使用户使用像洋葱Tor这样的所谓安全浏览器,IP地址也可能被追踪。
以上两个原因结合在一起,意味着由于加密货币“使用假名”的特性,仅使用元数据进行匿名交易是“不可能完成的任务”。
交易数据的隐私保护
当人们谈到所谓的“隐私货币”时,通常是指这些货币的交易在某些方面具有隐私保护。
一般来说,事务是用户修改区块链状态的操作。例如,Alice从她控制的地址向Bob控制的地址发送了X个令牌。从上帝的角度来看,这个极其简单的例子也包含了多重数据:
爱丽丝的一个地址,比如36n 452 ugq 1 x 4 MK 7 bfyzr 8 wge 47 anb 2 pzi。
爱丽丝鲍勃地址的链接
鲍勃的地址
发送的令牌数
更复杂的交易将包含其他类型的信息,如以太坊中的智能合同代码。不同的区块链以不同的方式显示交易数据,其中一些方式允许某些链接对第三方不可见,第三方只能看到原始的区块链数据。因此,本节命名为“交易数据的隐私保护”而不是“交易的隐私保护”,因为不同类型的交易数据可以得到不同程度的相应隐私保护。
Alice和Bob的地址是受隐私保护的最重要的数据。如果他们获得隐私保护,他们就无法识别交易的发送者和接收者的真实身份,这将阻碍上文提到的区块链分析技术。
例如,如果Alice从交换Coin-An处购买了具有该技术特征的Monroe硬币并提取了这些硬币,Coin-An无法将这一提取行为与Alice稍后将如何处置这些Monroe硬币联系起来。同样,如果鲍勃收到爱丽丝的门罗硬币,他也不可能知道爱丽丝是从比南那里买的这些门罗硬币。
但让问题更复杂的是,交易数据是否保密,并不是一个非黑即白的问题。以爱丽丝的地址为例,可以用匿名集合大小来衡量。匿名集合是指根据区块链数据可以识别的交易发送者地址的最小集合。匿名集合越大,区块链交易数据中关于发送者的信息就越少。比如比特币的匿名套是1,而门罗币的匿名套就大很多。
国家机密
在比特币区块链中,所有的交易数据都是公开的,这意味着一个看到区块链所有区块的外部观察者可以恢复账本,找出这些地址的账户金额,尽管这些金额可能被分配到不同的“未使用的交易输出UTXO”,也就是我们所说的区块链的整体状态。然而,如果交易的某些部分是秘密的,即使掌握了整个区块链的信息,用户也不会知道整体状况。这些信息在不同的用户之间共享,区块链保证用户信息的一致性。
虽然用户对区块链状态下某一特定属性的认识仅仅依赖于触发该状态形成的协议和交易信息,但是两者之间的联系会触发复杂的交互。因此,状态的不同特征在一定程度上可以受到隐私的保护。
这里有几个例子:
所有地址的列表
特定地址的帐户余额,如0x 2569 c 92345013 f 55 CFB 47 c 633 c 5756 B9 ACA,有一个ETH。
特定地址的智能合约代码,如地址为0x 06012 c8 cf 97 bead 5 deae 237070 f 9587 F8 e7a 266d的加密cat合约。
合同的具体状态,例如对存储在卡特彼勒合同中的数据进行加密。
举个简单的扣款例子:ZCoin的交易笔数是公开的,但是发送方和接收方的地址是保密的,也就是说用户账户的余额还是保密信息。另一方面,在隐私保护区块链格式Mimblewimble中,每笔交易的具体金额是秘密的,但发送方和接收方是公开的,这为保护用户账户余额的隐私提供了另一种方式。Mimblewimble中的用户必须保留其账户余额的信息,因为区块链只存储有限的信息,以确保用户不会超支。
在大多数情况下,在交易中增加更多的隐私保护措施对个人用户有利,但不一定对区块链的整体状况有利。比如某种加密货币的总发行数量是私有的,用户无法判断区块链协议中的总供应进度等具体属性;此外,很难发现攻击者利用算法漏洞或协议后门进行非授权造币。
一些现有区块链协议中的隐私保护特性
去除
单击此处为图片添加标题。
不同的隐私保护方式
到目前为止,我们主要关注某些信息是公开的还是私人的。另外,对不同区块链技术的隐私保护方法进行梳理也是有帮助的。我们大致梳理了这些不同的隐私保护方式。
“第二层”协议
基于区块链底层技术的“第二层”协议,如闪电网络、国家信道技术或等离子体,允许少数用户相互进行“链外”交易。这意味着所有中间状态都存储在这些用户中,只有状态更改会定期写入主区块链。因此,外部观察者看不到中途状态,因为它们从未被写入主区块链。当然,第二层协议本身也可以对所有用户有或选择不保护不同层次的离线状态隐私,所以这更多是由设计理念决定的,而不是隐私保护技术。因此,我们不会对第二层协议给予更多的关注,尽管在感兴趣的读者看来,其中有海量的内容可以挖掘。
零知识证明
当协议用户提供零知识证明时,存在基于零知识证明的隐私保护,例如,显示他们知道一个消息而不显示它。当正确应用时,这种加密技术可以同时保证交易/状态的私密性,以及完整的区块链功能。
用户的最佳做法
即使是不附带任何隐私保护功能的加密货币,用户也能在一定程度上抵御网络安全威胁和区块链分析技术。为了防止恶意者利用网络元数据匿名攻击用户,用户可以使用Tor或I2P来掩盖其交易的原始IP。为了抵制区块链分析,通常建议用户为收到的每笔付款更改一个新地址。Monroe Verge等加密货币作为原生选项提供了这一功能。当然,在一些加密货币中,这些地址仍然可以与用户的后续操作相关联。
可信执行环境TEE
可信执行环境(Trusted execution environment)是一种处理器,如英特尔SGX,它声称能够利用加密技术保护其上运行的数据和代码的完整性和机密性。包括宋晓东教授领导的Oasis Labs在内的几个将Ekiden商业化的协议都声称要采用可信的执行环境。例如,用户帐户余额可以用私钥加密并存储在可信执行环境中,它们只能在可信执行环境中被解密和修改。其实这是把保证隐私保护的责任交给了可信执行环境,可信执行环境本身也可能有其弱点。例如,侧链攻击可能能够破解私钥。英特尔SGX公司早些时候发现了这个漏洞。此外,现有的可信执行环境可能需要制造商的许可,或者允许制造商破解数据机密性。当然,梯形和渐变等替代方法试图解决这个问题。
总之,在考虑加密货币的隐私保护时,不要使用“我们的货币比他们的更隐秘”之类的模糊表述。我们建议尝试找出以下问题:关于世界的哪些状态信息在什么时候受到隐私保护,保护到什么程度?从谁那里?这使得我们可以更具体地分析隐私保护技术及其交易。
(本文由作者授权发布;Perry Wang编译)
