作为比特币,以太或任何其他加密货币的用户,您当然会担心,有人会看到您钱包中有多少枚硬币,将其转移给谁以及从谁那里接收。 围绕匿名加密货币存在很多争议,但不能否认某件事,正如门罗币项目经理Riccardo Spagni在他的Twitter帐户中所说:“如果我只是不想让超市的收银员知道我有多少钱,该怎么办?在资产负债表上,我该花些什么?”
在本文中,我们将考虑匿名的技术方面-他们如何做到这一点,并简要概述最流行的方法及其优缺点。
如今,大约有十二个允许匿名交易的区块链。 同时,对于某些人来说,转移的匿名性是强制性的,对于另一些人则是可选的,某些人仅隐藏接收者和接收者,而另一些人则不允许第三方查看转移量。 我们正在考虑的几乎所有技术都具有完全的匿名性-没有外部观察者可以分析余额,接收者或交易历史。 但是,我们从该领域的先驱之一开始我们的回顾,以追踪匿名方法的发展。
当前可用的匿名化技术可以有条件地分为两类:基于捏合(将使用过的硬币与来自区块链的其他硬币混合在一起)和使用基于多项式证据的技术。 接下来,我们将专注于这些组中的每一个,并考虑它们的优缺点。
基于揉捏
Coinjoin
CoinJoin不会使用户翻译匿名,而只会使他们的跟踪复杂化。 但是我们决定将此技术纳入我们的评论,因为它是提高比特币网络中交易隐私级别的首批尝试之一。 这项技术以其简单性着称,不需要更改网络规则,因此可以轻松地在许多区块链中使用。
它基于一个简单的想法-如果用户折叠并在一次交易中付款,该怎么办? 事实证明,如果阿诺德·施瓦辛格和巴拉克·奥巴马在一次交易中筹码并向查理·辛和唐纳德·特朗普支付了两笔款项,那么就很难理解谁为特朗普的竞选活动提供了资金-阿诺德或巴拉克。
但是从CoinJoin的主要优点出发,其主要缺点是-安全性差。 如今,已经存在识别网络中CoinJoin交易并通过比较已用硬币和已产生硬币的数量将输入集与输出集进行比较的方法。 用于进行这种分析的示例工具是
CoinJoin Sudoku 。
优点:
•简单
缺点:
•展示了被黑客入侵的可能性
门罗
与“匿名加密货币”一词相关的第一个关联是门罗币。 此硬币在特殊服务显微镜下
已证明其稳定性和私密性:
在我们最近的
一篇文章中,我们非常详细地描述了Monero协议,今天,我们总结了已经说过的内容。
在Monero协议中,花费在交易中的每个输出都与至少11个(在撰写本文时)来自区块链的任意出口混合在一起,从而使网络上的转移图变得复杂并使跟踪交易的计算变得困难。 混合条目使用环形签名进行签名,以确保其中一个混合硬币的所有者已经对其进行了签名,但无法准确确定谁。
为了隐藏接收者,每个新生成的硬币都使用一个一次性地址,这使观察者不可能(当然,要打破加密密钥也很难)将任何输出与公共地址相关联。 自2017年9月起,门罗币开始对
机密交易 (CT)协议进行一些补充支持,从而也隐藏了转账金额。 稍后,加密货币开发人员用Bulletproofs替换了Borromean签名,从而大大减少了交易规模。
优点:
•经过时间考验
•相对简单
缺点:
•证据的生成和验证比ZK-SNARK和ZK-STARK慢
•不耐使用量子计算机破解
温布尔姆
Mimblewimble(MW)被发明为一种可扩展的技术,用于匿名处理比特币网络中的传输,但发现其实现为独立的区块链。 用于加密货币
Grin和
BEAM 。
MW值得注意,因为它没有公共地址,并且为了发送交易,用户直接交换输出,因此消除了外部观察者分析从收件人到收件人的转移的可能性。
为了隐藏输入和输出的总和,使用了格雷格·麦克斯韦(Greg Maxwell)在2015年提出的相当普遍的协议“
机密交易 (CT)”。 即,对金额进行加密(或者更确切地说,
使用义务方案 ),而是由网络以所谓的
义务进行操作 。 为了使交易被视为有效,有必要使花费和产生的硬币数量等于佣金。 由于网络不直接使用数字进行操作,因此通过这些相同义务的等式可确保相等性,这称为零承诺。
在最初的CT中,Borromean签名(Borromeo环形签名)在区块链上占用了大量空间(每个输出约6 KB),用于保证非负值(所谓的范围证明)。 在这方面,使用该技术的匿名货币的缺点包括交易量大,但现在他们决定放弃这些签名,而采用更紧凑的技术-Bulletproofs。
在MW块本身中,没有交易的概念,只有花费和生成的输出在其中。 没有交易-没问题!
为了防止在将交易发送到网络的阶段对转移参与者进行匿名处理,使用了
Dandelion协议,该协议使用任意长度的网络的代理节点链,在将交易实际分发给所有参与者之前将交易相互转移,从而使交易轨迹进入网络变得混乱。
优点:
•小区块链
•相对简单
缺点:
•证据的生成和验证比ZK-SNARK和ZK-STARK慢
•难以实现对脚本和多重签名等功能的支持
•不耐使用量子计算机破解
多项式的证据
ZK-SNARK
该技术的复杂名称代表“
知识的零知识简洁非交互论证”,可以翻译为“零披露的压缩非交互证据”。 它成为零币协议的延续,该协议进一步演变为零现金,并首先在Zcash加密货币中实现。
在一般情况下,零知识证明可让一侧证明数学陈述的真相中的第二种,而无需透露任何有关其的信息。 关于加密货币,此类方法用于证明,例如,一笔交易产生的硬币数量不超过其花费的数量,而没有披露转账金额。
ZK-SNARK非常难以理解,并且将需要不止一篇文章来描述其操作原理。 在Zcash的官方页面上,这是实现该协议的第一种货币,有
7篇文章专门介绍了该协议的工作。 因此,在本章中,我们只限于表面描述。
使用代数多项式,ZK-SNARKs证明付款的发送者拥有他所花费的硬币,并且所花费的硬币数量不超过所产生的数量。
创建该协议的目的是为了减少声明有效性的证据量,并同时快速对其进行验证。 因此,根据Zcash首席执行官Zooko Wilcox的
介绍,证据的大小仅占用200个字节,您可以在10毫秒内检查其正确性。 而且,在最新版本的Zcash中,开发人员能够将生成证据的时间减少到大约两秒钟。
但是,在使用这项技术之前,需要由受信任的人对“公共参数”进行复杂的设置过程,称为“仪式”(
The Ceremony )。 整个困难在于以下事实:在安装这些参数期间,任何一方都没有它们的专用密钥,称为“有毒废物”,否则它将无法生成新硬币。 您可以从
YouTube上的视频中了解此过程的工作原理。
优点:
•小型证据
•快速验证
•相对快速的证据生成
缺点:
•设置公共参数的复杂程序
•有毒废物
•技术的相对复杂性
•不耐使用量子计算机破解
ZK-STARK
后两种技术的作者设法很好地使用了首字母缩写词,下一个首字母缩写词代表“零知识的可扩展知识级透明知识”。 设计该方法旨在解决ZK-SNARK的当前缺点:需要可靠设置公共参数,存在有毒废物,密码学使用量子算法破解的不稳定性以及快速生成的证据不足。 但是,ZK-SNARK的开发人员解决了最后一个缺点。
ZK-STARK还使用基于多项式的证据。 该技术并不意味着对公钥使用加密,而是依靠散列和信息传输理论。 拒绝使用这些加密工具使该技术可以抵抗量子算法。 但这是有代价的-证据可能达到数百KB。
现在,ZK-STARK没有任何加密货币的实现,而仅以
libSTARK库的形式存在。 但是,开发人员的计划远远超出了区块链(在他们的
白皮书中,作者举了一个例子,证明了警察数据库中存在DNA)。 为此,创建了
StarkWare Industries ,该公司在2018年底从该行业最大的公司筹集
了3600万美元的投资。
您可以在Vitalik Buterin的帖子中(
第1 部分 ,
第2 部分 ,
第3部分 )详细了解ZK-STARK的排列方式。
优点:
•抵抗量子计算机的入侵
•相对快速的证据生成
•相对快速的证明验证
•无毒废物
缺点:
•技术的复杂性
•大量证据
结论
区块链和对匿名性的不断增长的需求给密码学提出了新的挑战。 因此,在1980年代中期出现的密码学部分-公开为零的证据-在短短几年内通过新的动态开发方法得到了补充。
因此,科学思想的飞速使CoinJoin变得过时了,而MimbleWimble凭借崭新的思想成为有前途的新人。 门罗币一直是保护我们隐私的坚定不移的巨人。 但是,尽管SNARK和STARK具有缺陷,但它们可以成为该领域的领导者。 也许在未来几年中,我们在每种技术的“缺点”栏中指出的观点将变得无关紧要。