撰文: Karim Helmy (Coin Metrics 資料分析師)和 Matthew Batsinelas (就職于 Altonomy)
編譯:Perry Wang
英文原文刊發于區塊鏈媒體 The Block,The Block 授權鏈聞翻譯并發表中文版本
摘要
- 位元幣隱私保護正不斷改善,
- 開發者已提議 Dandelion 、 Schnorr 和 Taproot 等底層升級方案來改善位元幣區塊鏈的隱私保護。
- 側鏈 像是在一座圍墻內的花園內進行交易,對隱私保護而言提供了一種升級方案 ,
- 閃電網路 對隱私保護有重大改善,第二層 L2 隱私保護通過 蟻群路由 、 原子多路徑支付 和 zkChannel 等協議取得了不俗進步,
位元幣區塊鏈前進方向
今天有可能通過位元幣進行 隱私交易 ,但難度頗高。利用 CoinJoin 和相關技術,并實踐高標準保護隱私措施的用戶,可以保護其財務隱私。此外,位元幣生態也已經出現了各種各樣的工具來促成隱私交易和交換。通過改進工具、L2 網路和位元幣網路的核心協議,這一過程會變得越來越容易。
改善位元幣隱私保護的主要途徑之一,是通過升級該區塊鏈網路的 底層 ,位元幣網路已經趨于保守,通常回避與傳統版本不兼容的、修改共識的硬分叉,但是,向后兼容軟分叉進行的升級,仍然允許傳統節點驗證區塊鏈的有效性,這種做法通常是被接受的。
這意味著通過軟分叉升級網路是一項艱巨的任務,升級被拒絕的原因有很多,例如與位元幣的 核心愿景 、與軟體的現有組件存在技術沖突等等。從構思到實施,即使是成功的分叉也可能需要數年時間才能完成,
底層升級
盡管位元幣區塊鏈網路升級可能難度較高,依然有幾個升級隱私保護的途徑值得探討。一個頗具潛力的升級方案是 Dandelion++ (意為蒲公英) ,它修改了位元幣交易的 路由方式 ,
當前,未經確認的位元幣交易通過傳播擴散來廣而告之,在這種傳播中,節點以隨機的、指數級延遲的速率向其對等節點連續廣播其中的交易,由于位元幣用戶的 IP 地址 暴露于網路中,因此攻擊者可以推斷出發送交易的 IP 地址,攻擊者最終可以將 IP 地址與位元幣地址相關聯,實際上破解用戶的匿名,
DandeLion++ 提議使用另一種傳播方法代替擴散傳播,在新的傳播方法中,交易首先在 主干階段 (stem phase) 依次傳遞給各個對等節點,然后在 絨毛階段 (fluff phase) 進行擴散傳播,由于每個節點在主干階段僅與一個對等節點共享交易,并且主干的長度是隨機確定,因此交易對方很難確定交易的來源,
DandeLion 的「蒲公英」傳播階段,來源:https://github.com/bitcoin/bips/blob/master/bip-0156.mediawiki
位元幣改進提案 BIP 156 已正式將 Dandelion++ 納入位元幣區塊鏈,該協議可以被 軟分叉 到網路中,并且,啟用了 Dandelion 的節點將與運行現有位元幣版本的節點完全兼容,
位元幣網路兩個前景最被看好的兩個升級方案是 Schnorr 和 Taproot 。
Schnorr 簽名方案建議將位元幣區塊鏈的簽名機制從橢圓曲線數字簽名演算法 ECDSA 修改為 Schnorr 簽名演算法 。由這一演算法產生的簽名 (Schnorr 簽名) 是線性可操作的。
這種線性關系使 Schnorr 簽名的用戶可以將多個獨立的簽名聚合到一個有效的簽名中,用戶因此可以在聚合的公共密鑰上創建 閾值簽名 ,這需要批準足夠的簽名者子集才能支出,此過程允許用戶將多重簽名移至鏈下,以此來幫助網路擴容,與目前的多重簽名不同,閾值簽名也是隱寫的,這意味著與它們互動的交易看起來像鏈上的正常交易。
Schnorr 簽名聚合在創建 無腳本腳本 (scriptless scripts) 方面也很有用,這種腳本讓用戶可以隱秘地創建某些智能合約并與之互動。并非所有智能合約都可以用無腳本腳本代替,但是它們可以用于表示跨鏈原子交換和閃電網路中使用的鏈上腳本。
Taproot 利用 Schnorr 簽名聚合功能,允許用戶創建不向合作案例中參與者公開的智能合約,如果相關各方對某一結果達成共識,則創建這些合同并從中支出的交易也將是隱秘的。與無腳本腳本不同,Taproot 可以應用于可以用位元幣腳本表示的 任何計算 。
Taproot 將智能合約轉換為獨立陳述句的 抽象語言樹 。然后將該樹改編為默克 Merkle 樹,以便知道 Merkle 根 的各方可以驗證合同中是否包含某一具體陳述句。
如果各方同意某一結果,Taproot 將完全忽略由此得出的默克抽象語言樹 MAST。這是通過在經過 MAST 根散列調整的各方之間創建一個 Schnorr 閾值公用密鑰 ,并將資金發送到從所得密鑰派生的地址來實現的。
在合作的情況下,用戶可以通過這一合約共同簽名背書交易支出,在非合作情況下,用戶可以通過廣播顯示 MAST 根和該樹相關分支的交易,來從合同中支出。
對于足夠復雜的腳本,即使在非合作的情況下,Taproot 向觀察者顯示的資訊也要少得多,在鏈上占用的空間也要少得多,
BIP 340 中正式建議在位元幣中采用 Schnorr 簽名。BIP 341 和 342 中正式建議將 Taproot 納入位元幣中,BIP 的作者們希望將兩種升級 捆綁在一起 ,通過一次軟分叉加以實現,
將這些 BIP 指定的升級軟分叉到位元幣區塊鏈中,將對網路擴容產生極大的好處。Schnorr 簽名最有用的功能之一是 交叉輸入聚合 ,但未包含在 BIP 340-342 中,這種構造將允許用戶將交易中的所有簽名聚合為一個簽名。
實施交叉輸入聚合將極大地降低區塊鏈的膨脹,因為它減少了鏈上保留的簽名數量,并簽名占用了 大量的區塊空間 ,不幸的是,交叉輸入聚合與當前的操作碼升級機制沖突,在某個時間點應該依然可以實現此功能,并與名為 G’root 的 Taproot 擴展捆綁在一起,但是這需要一些時間,且目前尚無具體計劃,
實施交叉輸入聚合的障礙凸顯了 網路升級的難度 。另一項提議中的底層改進 (機密交易) 也遇到了實施上的重大障礙,盡管它為隱私保護和可替代性提供了較大的益處,
機密交易:案例研究之一
機密交易 Confidential transactions (CT) 是對位元幣的升級提議,它將大大改善網路上的隱私保護和 可替代性 。CT 將允許觀察者在不知道實際所涉資金量的情況下,驗證交易輸入總和等于 交易輸出的總和 ,這將使得網路參與者可以驗證交易的有效性,同時保證交易規模對參與者不公開。
CT 在位元幣區塊鏈的實施將讓區塊鏈分析工具不再能以任何有效方式追蹤資金流向,這可能會給想要達到法律合規性的企業帶來困難,但總體來說,它將提高 隱私性 ,
CT 不僅僅是存在于理論中的構造,還被包括 Monero 和 Grin 在內的多種替代幣所采用。在 Monero 中,CT 與 環簽名 (Ring Signature) 結合使用,ringsignatures 模糊了 交易簽名者 ,向觀察者隱藏交易規模和發送者。由此產生的交易比位元幣交易要大得多,但理論上的隱私保障要好很多。除了占用更大區塊空間之外,CT 還有一個更實質性的問題,使它們與位元幣的基本構想相互抵觸。CT 使對區塊鏈的審查變得困難,并且 CT 實施中的錯誤可能導致 通貨膨脹漏洞 ,讓個人可以偷偷地讓貨幣供應量膨脹。
這些漏洞將很難檢測,并且會損害區塊鏈的 誠信度 ,位元幣社區中的許多人對這種可能性深感擔憂,包括人權基金會首席戰略官 CSO Alex Gladstein,他認為「盡可能優先考慮隱私是非常重要的,當然 可審核性 在這個問題上是絆腳石。我們不能在位元幣區塊鏈擁有一個完整節點無法審計其貨幣供應量的系統,畢竟這一審計對于位元幣系統的價值至關重要,」
「否則這不是貨幣創新,而只是技術創新,歸根結底不會真正有用,」Gladstein 補充說,
因此,CT 在不久的將來似乎 不太可能 被納入位元幣區塊鏈中。
出于類似的意識形態或實際原因,其他針對位元幣底層的多個提議升級也已停止,但是其中一些更改可以 在側鏈上實現 ,側鏈為解決位元幣底層更新的障礙提供了一種大有可為的方式。
側鏈
側鏈 是與基礎鏈 (例如位元幣區塊鏈) 平行運轉并從中獲得安全性的區塊鏈,
Liquid 是當今最引人注目的側鏈之一,它使用 聯邦安全模式 ,在該模式中,用戶通過將主鏈資金存入由聯邦成員控制的合同中,從而在側鏈上獲得資金。一旦用戶在側鏈上控制了資金,他們就可以自由地在該鏈上進行交易,而無需在基礎鏈上進行交易確認,用戶可以在側鏈上焚毀其資產,以將資金返還給主鏈。
Liquid 聯邦區塊簽名示意,來源:https://arxiv.org/pdf/1612.05491.pdf
聯合安全模式要求用戶信任聯邦成員,因為他們持有保護用戶資金的錢包鑰匙,另一個模式 聯合挖礦 則是依賴于允許主鏈的礦工也可以在側鏈上訂購交易,具體通過在主鏈聯合挖礦的每個區塊包含引用來實現。
RSK 側鏈對聯合挖礦的采用最引人注目。與聯邦安全模式相比,聯合挖礦模式對信任關系的依賴性較小,但被批評是偷偷增加 區塊大小 的方式。與聯邦安全模式相比,使用這種模式維護主鏈和側鏈資產之間的掛鉤也更具挑戰性,因為聯合挖礦區塊鏈的原生代幣不代表以主鏈資產計價的負債,
從隱私保護的角度來看,側鏈對執行任意共識規則和位元幣主鏈不支持的交易驗證要求能力最感興趣,例如,Liquid 支持 機密交易 ,盡管位元幣不支持,側鏈對于在將新技術部署到位元幣區塊鏈之前進行測驗,或對運行可能與位元幣社會契約不兼容的、以信任為前提的 隱私協議 (例如 zk-SNARK) 可能有用,
側鏈是 L2 網路的一種型別,后者可以讓用戶進行鏈下交易,同時受益于位元幣的一些 安全保障 。閃電網路是 L2 網路的另一種技術,雖然閃電網路不能用于強制執行任意交易驗證規則,但它為位元幣用戶帶來了一些隱私保護方面的利益,而無需更新基礎鏈,而且其 結算保障 優于側鏈,
閃電網路
閃電 是建立在位元幣之上的一個網路,旨在執行費用低廉的 即時交易 ,
閃電網路建立在 雙向支付 渠道概念之上,允許彼此共享一個渠道的兩個參與者之間自由交易,而無需在鏈上結算,雙向相互交易的凈額不超過一定金額即可,這一金額由渠道合約中鎖定的 鏈上資金的數量 決定,閃電支付可以通過一系列渠道進行路由,使兩方可以相互付款,而無需彼此之間的直接渠道。
就目前而言,閃電網路可以顯著改善用戶的隱私保護。閃電網路允許用戶 批量結算交易 ,不再需要向觀察者透露單筆交易的詳細資訊,此外,目前已經提出了針對閃電網路的幾種升級方案,目的是進一步改善閃電網路提供的隱私利益,而這些都不需要更改位元幣底層的行為。
閃電網路經中介通道路由付款,使觀察員很難確定兩方是否已進行交易,閃電網路最令人激動的潛在升級之一是 蟻群路由 的實現,這將改變閃電網路計算付款路由的方式,閃電網路當前使用最短路徑路由,這要求節點跟蹤全球路由表,這種方法的擴容性很差,并且使對手可以學習其網路拓撲,因此可以戰略性地放置節點以實現監視流量的最佳效果。蟻群路由建議用完全分布式、可高效擴容、并且對圖學習攻擊具有魯棒性的路由機制,取代當前的路由機制。
另一項功能則是 原子多路徑支付 AMP,使用戶可以拆分支付,并通過幾個通道完成支付,這些付款將以原子方式執行,無論是成功還是失敗,都不會部分收到付款。AMP 使支付路徑上的中介機構更難確定支付的總金額,這將改善該網路中的隱私。此外,AMP 支持在非流動性通道上進行大筆支付,將增加可用流動性,
蟻群路由和 AMP 的主要目的分別是 擴大規模和流動性 ,并隨之為隱私保護帶來次級好處,另一方面,Bolt Labs 目前正在開發的 zkChannels 是一項在設計時明確考慮隱私的功能,這些通道使用高級加密技術,允許用戶在收款人不知道原始發件人身份的情況下發送付款,前提是付款已通過至少一個中介進行路由,這種類似于現金的功能可用于在 不需要透露個人身份 的情況下進行謹慎的付款。
支付協議 zkChannels 原理,來源:https://medium.com/boltlabs/zkchannels-for-bitcoin-f1bbf6e3570e
位元幣上實施 Schnorr 簽名也會讓閃電網路的隱私保護受益,使用無腳本腳本,用戶將能夠通過隱秘支付來構建 閃電通道 ,
數字時代的隱私
位元幣區塊鏈被拖向多個不同的發展方向,有些人希望平臺實現制度化,成為主要由托管人持有的 金融資產 。還有一些人希望看到它成長為快速且廉價的 交易媒介 ,最后一組人則是希望位元幣保持自我主權、完全可驗證的 價值存盤 ,這些群體的互動方式在歷史上已經決定了該行業的發展,在未來仍將如此,
乍一看,改善位元幣網路的隱私保護似乎與每個群體的目標都不符。隱私保護使機構很難驗證自己收到的資金是否干凈。底層隱私付款要比透明付款所占的區塊空間更大,此外,底的隱私可能讓人們難以驗證貨幣供應量是否出現了膨脹。
但在更深層次而言,隱私保護為上述每個目標都是 有益的補充 ,
隱私付款使機構能夠轉移大量資金而不擔心被搶跑掠奪。隱私保護使日常支付成為可能,而無需受到政府或私人機構的監視,而將付款轉移到鏈下轉移,可以讓支付更快捷、費用更低。隱私保護使自托管資金變得更容易,而不必擔心被盜。
精心實施的隱私保護,是位元幣取得 成功的關鍵 ,
