一文读透区块链隐私保护技术以及相关项目全景图

撰文：Richard Chen，1confirmation 分析师，1confirmation 是一家位于旧金山的早期加密风险基金。他在斯坦福大学主修计算机科学，专业方向为密码学。

编译：詹涓

「我认为隐私是这样一种方式，它可以防止外人对我们一言一行动辄说三道四，并创造出我们可以自行优化的空间，创造出自己的幸福——这幸福只属于我们自己，无关别人对我们的看法。」

——Vitalik Buterin，以太坊创始人

在当今的加密技术中，隐私是一个很重要的话题，这已经不是什么秘密了。无论是公司还是个人都不希望将自己的所有信息发布到公共区块链上，不受任何限制，被本国政府、外国政府、家庭成员、同事或商业竞争对手随意读取。

很多关于区块链隐私保护的实验和研究，但关于这个类别，我们还没有看到全面的概述。

在这篇文章中，我们将涵盖隐私领域四个方面的最新实验和研究：

1、隐私型代币，2、智能合约隐私，3、隐私基础设施，4、隐私研究。

比特币的隐私问题

比特币最初是作为一种假名加密货币开发的，只要现实世界的身份不会与比特币地址联系起来，它就能保持隐匿。然而，由于比特币区块链的公共性质，很快人们就清楚地发现，是有可能根据特定地址和交易的使用模式来甄别个人的。此外，节点在广播交易时也会泄漏其 IP 地址。

上图每个节点代表一个地址，每个边代表一项交易；Mt. Gox、丝绸之路和 Satoshi Dice 等许多节点都已从交易模式中隐去了名字

2013 年，Meiklejohn 等人成功识别出属于在线钱包、商家和其他服务提供商的集群。如今，像 Chainalysis 和 Elliptic 区块链这样的服务可以检测洗钱、欺诈和违规行为。

在上图这个例子中，外部观察者可以看到 {Alice, Bob} 将比特币发送给 {Carol, Ted}，但是不能确切地说出谁将钱发送给了谁；对不同的用户重复几次这个过程，匿名集就会增加

为了应对比特币隐私受到的侵蚀，CoinJoin 等混合器服务 tumbler 应运而生，以提高比特币的匿名性。在 CoinJoin 上，用户共同创建置换其代币所有权的事务，让一组中的每个用户都能匿名。这个过程可在不同的用户间不断重复，以使匿名集不断增长。犯罪分子一直使用这种混合器将可识别的比特币与其他基金搅和在一起，以掩盖资金的原始来源。

然而，CoinJoin 也有其缺陷。CoinJoin 想要保持隐密，匿名集肯定是越庞大越好。但实际上，每个 CoinJoin 事务平均只有 2-4 个参与者，因此研究人员能够对 67% 的 CoinJoin 事务去匿名化。后来在 CoinJoin 上的改进激发了更好的加密货币混合设计，比如 TumbleBit，但是它也有局限性。

隐私型代币

由于比特币缺乏隐私，而且目前还没有在协议层改善其隐私的计划，现在已经涌现出一批支持隐私交易的新型加密货币。

其中一个例子是 Zcash，其创始团队有着强大的加密学术背景，使用 zk-SNARKs 技术。早在 1985 年，Goldwasser、Micali 和 Rackoff 最早提出了「零知识证明」的开创性想法。到了 2015 年，Eli Ben-Sasson 等人开发了 zk-SNARKs 技术，对零知识证明有所改进，允许人们简洁且非交互地证明自己知道某件事，同时不透露具体信息内容。zk-SNARKs 为许多与隐私相关的项目提供了技术支持，并且可以使用一种名为递归组合的技术压缩区块链的大小。

目前，Zcash 团队正在致力于 Sapling 项目，这次网络性能升级将改善屏蔽 加密 交易的性能和功能，计划于 2018 年 10 月启动。由于大约 85% 的 Zcash 事务仍以明文形式传输，发送屏蔽事务的计算成本非常大，因此 Sapling 项目将有望提升屏蔽事务的数量。

门罗币是另一种隐私代币，使用环形签名而非 zk-SNARKs 技术。目前门罗币团队正在构建 Kovri 以支持保护隐私的数据包路由，以便用户可以隐藏其地理位置和 IP 地址。匿名用户的网络流量将大大提升门罗币网络的安全性，并确保用户不会因为使用了门罗币而被逮捕或遭到人身伤害。

人们常常把 Zcash 和门罗币拿来比较。这两个社区都是由 Twitter 上的大腕领导的，Zooko Wilcox 领导 Zcash，诨名「蓬松小马」的 Riccardo Spagni 领导门罗币，但不同之处在于，Zcash 得到了一家公司和一家基金会的支持，而门罗币只是一个由核心开发人员组成的有机社区。这两个项目的匿名性都存在缺陷，这一点均已得到修正。此前，有研究人员能够将 69% 的 Zcash 受保护的交易与创始人/矿工联系起来，也能将 62% 的门罗币的交易去匿名化。

然而，这两个项目在本质上采用了截然不同的隐私保护方法，并且做出了不同的权衡，到目前为止，我还看不到有哪个项目在未来有可能超越另一个。在我看来，Zcash 和门罗币将继续像可口可乐和百事可乐那样共存。

Mimblewimble 原意是《哈利波特》中的咒语，Tom Elvis Jedusor 是伏地魔的法文名字，Ignotus Peverell 是隐形斗篷原本的主人

「Mimblewimble」 是一个新的专注于隐私的区块链项目，建立在比特币的设计基础上。2016 年 7 月 19 日，「Tom Elvis Jedusor」 把白皮书丢进了一个比特币研究网站，随后销声匿迹。后来，「Ignotus Peverell」 开始了一个名为 Grin 的 GitHub 项目，并开始将 Mimblewimble 的白皮书变成现实。Blockstream 公司的 Andrew Poelstra 在 2017 年斯坦福 BPASE 大会上展示了他们的成果，此后 Grin 开始受到很多主流关注。Grin 的第三个测试网已经发布，主网预计将在 2019 年初首次亮相。

Mimblewimble/Grin 对保密交易和 CoinJoin 作出了改进。关键功能包括无公共地址、完全隐私和致密的区块链。最近 Grin 币的开采引起了广泛关注，Grin 币和比特币一样，只能通过 PoW 机制来采矿。Grin 采用了布谷鸟循环 Cuckoo Cycle PoW 算法，该算法具有抵御 ASIC 的设计，并可防止像门罗币那样的中心化采矿。

总的来说，Grin 将一些令比特币如此强大的社会特性，例如匿名创始人、无领导的开发团队、PoW 共识、不进行 ICO、没有链上治理等，与 Zcash 和门罗币的技术改进相结合。

与比特币不同的是，Grin 的总体供应没有上限，其货币政策采取了线性供应计划，这意味着通胀在早期非常高，但随着时间的推移逐渐趋近 而不是达到 零。早期的通货膨胀可以刺激消费，而不是鼓励人们在网络上线后进行投机。尽管持续的通货膨胀使得 Grin 不可能成为理想的价值储存手段，但一旦比特币的区块奖励消失，矿工只能赚取交易费，它就能避免比特币的这种不稳定性。

Grin 这种新颖的货币政策，也与备受争议的 Zcash 创始人奖励制度大相径庭，后者指在最初的 4 年里会有 20% 新铸造的 ZEC 供应给项目开发人员。MimbleWimble 区块链的规模则是与用户数量、而非交易数量成正比，从而避免了使用门罗币的环形签名出现的 UTXO 集缩放的问题。

还有些有意思的隐私代币目前还处在开发早期，包括 MobileCoin 和 BEAM 等。

智能合约如何关注隐私保护？

智能合约中的隐私与支付中的隐私不同，因为智能合约公开包含程序代码。遗憾的是，事实证明程序混淆不可能实现，因此智能合约目前既缺乏保密性 隐藏付款金额，也缺乏匿名性 隐藏发送方和接收方的身份。

在我看来，当企业业务准备大规模构建 DApp 并需要隐藏其客户的活动时，就会出现对智能合约隐私的强烈需求；目前，每个人都能看到像加密猫这类 DApp 的使用情况，这并没有什么问题。这有点像是互联网在最初上线基本网站时，使用的是 HTTP，之后为了电子商务等需要加密网络流量的网站，就需要再进一步引入 HTTPS。

以太坊上没有隐私可言，每个人都可以在 DappRadar 上看到 DApp 的使用量

就以太坊而言，Benedikt Bünz 正在斯坦福大学领导关于 Zether 的研究，这是一种私人支付机制，与以太坊完全兼容，并可为以太坊智能合约提供保密和匿名性。 Zether 作为以太坊智能合约来实施，所消耗的 gas 极其有限。Zether 还具有多种用途，可以为诸如支付渠道等常见应用程序增加可证明的隐私。

Keep 是另一个通过为私有数据创建脱链容器来为以太坊构建隐私层的项目。它可以在不必将数据暴露在公链的情况下管理合约、使用私有数据。

虽然在以太坊，隐私的优先级别目前仅次于 Casper，排在第二位，但是以太坊基金会实施 Casper 的速度很慢，并且风险在于，要到多年后隐私才将成为以太坊的核心功能。

如果在此期间隐私智能合约成为加密社区迫切需要的东西，那么新的隐私智能合约平台将会伺机出现并填补这一空白，同样的情况，当比特币在隐私支付方面出现欠缺时，Zcash 和门罗币得以崭露头角。Enigma、Origo 和 Covalent 也都是新的智能合约平台，它们试图在区块链中实现隐私包括功能。

Oasis Labs 是另一个令人兴奋的关注隐私的项目，它构建了新的智能合约平台 Ekiden，将智能合约的执行与基础共识机制分隔开来。智能合约在一个称为安全区的孤立硬件 如英特尔 SGX 内部运行。这个安全区就像一个黑箱，使计算相对于其他应用程序保持隐密。它还可生成一个认可程序得到正确执行的加密证明，将证据存储在区块链中。通过将智能合约的执行与共识分离，Ekiden 可与包括以太坊在内的不同底层区块链兼容。

关注隐私的区块链基础设施

除了隐私型代币和关注隐私性的智能合约外，Web 3 堆栈还有其他重要的关注隐私性的基础设施项目值得一提。

Orchid 正在尝试构建一个更好的 Tor 版本，在这个版本中，用户通过将额外带宽出租给 Orchid 网络中的中继器来获得代币。Tor 的问题在于，只有大约 6,000 个中继节点和不到 2,000 个桥接节点，因此某些政府可以将所有中继和桥接节点列入黑名单，从而防止其公民访问 Tor。使用代币经济学，将激励许多人成为中继节点，而这将给阻挡 Orchid 制造困难，想要拦住它，基本上就得封住大部分互联网。

BOLT 正在建立一个私人支付渠道，使用盲签名和零知识证明来隐藏参与者在开启、交易和关闭支付渠道时的身份。最初的支付渠道建立在 Zcash 之上，但将能够与比特币和以太坊进行互操作。

NuCypher 在构建一个使用代理再加密的去中心化密钥管理系统，以提供与 HTTPS 相同的功能。代理再加密是一种公钥加密，允许用户在不了解底层消息的情况下将密文从一个公钥转换到另一个。

Starkware 则是在包括以太坊的各种区块链中实施 zk-STARKs。与 zk-SNARKs 相比，zk-STARKs 的优势在于它不需要可信任的设置，不过加密证明的大小也会大很多。

关于隐私的研究

密码学的学术研究推动了隐私领域的创新。隐私研究主要涉及零知识、多方计算、全同态加密等领域。

除了 zk-SNARKs 和 zk-STARKs 之外，Bulletproofs 是另一种新型的短期非交互式零知识证明。

与 zk-STARKs 类似，Bulletproofs 不需要可信任的设置，但验证 Bulletproofs 比验证 zk-SNARKs 证明更耗时。Bulletproofs 设计旨在实现加密货币中的高效机密交易，并将证明的大小从 10 KB 缩小到 1-2 KB。如果所有比特币交易都是保密的、并且使用了 Bulletproofs，那么 UTXO 集的总大小将仅为 17 GB，而当前使用的证据文件则为 160 GB。

各种零知识证明系统的利弊

多方计算 MPC 允许一组人基于他们的输入进行联合计算，而不需要每个人显示其输入值。 例如，Alice 和 Bob 想要知道谁拥有的比特币更多，那么在不需要他们披露自己拥有多少比特币的情况下就能达到这个目的。遗憾的是，目前多方计算的局限性在于它在实践中使用效率极低。

全同态加密 Fully homomorphic encryption 则允许人们在加密的数据上计算。几十年来，这一直是密码学领域中的一个未解决的问题，直到 2009 年，斯坦福大学博士生克雷格·詹特利 Craig Gentry 使用「理想格」构建了第一个全同态加密方案。如果 Bob 想在 Alice 的数据上执行任意计算，比如训练机器学习模型，同时不必要求 Alice 显示明文数据，理想格加密方案就能派上用场。全同态加密和多方计算一样，目前仍然基本上停留在理论阶段，在实践中的使用效率太低。

对未来意味着什么？

总的来说，隐私性问题是目前密码学研究中最令人兴奋的领域之一，为了让其在现实世界中得以使用，在优化这些理论技术的效率方面还有大量的工作要做。以斯坦福大学区块链研究中心为代表的一些研究实验室正积极在这一领域推进，对于未来几年将会取得哪些重大突破，我们将拭目以待。

加密货币的好处在于它为最新的隐私研究提供了直接的应用场景。代币、智能合约和基础设施中使用的许多隐私技术都是几年前才发明出来的。考虑到这个领域的发展速度之快，隐私将继续成为加密项目设计中不可或缺的一部分。

声明：本文来自链闻ChainNews，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。