一篇文章了解以太坊上的隐私保护技术

在一个日益互联的世界中，我们的信息以越来越快的速度被记录、复制、分发和出售，保持我们期望的隐私级别绝非易事。 大多数事情都不是非黑即白的，隐私也不例外，哪里...

在一个日益互联的世界中，我们的信息以越来越快的速度被记录、复制、分发和出售，保持我们期望的隐私级别绝非易事。

大多数事情都不是非黑即白的，隐私也不例外，它涵盖了从完全公开到完全私密的所有领域。 因此，当我们谈论隐私时，首先要明确以下三个问题。

用户和企业希望保密什么？

人们愿意为隐私付费吗？

在公共链上达成私人交易有哪些权衡取舍？

本文旨在简单地检查公共区块链上的实际隐私需求，并在抽象层面探索实施隐私解决方案的权衡。

问题 1：隐私有多重要？

匿名（或身份隐私）是隐私的一种形式。 在公共区块链的背景下，匿名意味着参与者可以在不泄露身份信息（与自身相关或历史交易）的情况下进行交易（如交换货币、代币或数据）。 虽然这只是隐私的一个方面，但随着区块链的发展，它也变得越来越重要。

越来越多的加密货币（例如比特币和以太坊）被追踪到与其交易相关的公共地址，并且通过分析加密货币到法定货币的转换，该地址与链下交易者的真实身份相关联。 这导致交易者的身份变得更加公开。 更重要的是，公链上的所有历史交易都可以查询，因此使用加密算法和协议来保护用户和企业的隐私变得越来越重要。

企业和用户对隐私的需求完全不同。 企业通常希望保护其交易数据的隐私，例如产品名称、数量、价格、地址和个人身份财务信息等。

网络参与者的身份往往会被公开，但也需要根据对方的身份来决定公开多少信息。 例如，货运代理可能不需要知道集装箱里装的是什么，只需要知道什么时候到达。 银行制度还限制对交易数据的访问。 对于想在以太坊上开发隐私解决方案的公司，恩斯坦杨（ErnstandYoung）在以太坊上使用zk-snarks技术实现隐私交易的Nightfall协议，摩根大通（JPMorgan）在Quorum上（译者注：Quorum是一个开源的区块链平台基于以太坊）在其上开发的匿名以太坊（Anonymous-Zether）是一个很好的学习样本。

企业通常对隐私有强烈的业务需求或合规需求。 相比之下，用户一直缺乏隐私顾虑和保护意识。 尽管如此，用户仍希望保护他们的身份、信用卡信息和其他敏感数据免遭身份盗用或欺诈。 有时，用户希望匿名进行交易，这就需要交易双方都有隐私保护。 遗憾的是，在我们的日常生活中，隐私并不是天然存在的，大多数人都愿意牺牲自己的隐私来换取方便或免费的权利（例如接受cookies、使用免费WiFi、跟踪上网记录等）。

问题二：隐私是虚假需求吗？

当我们经常在通信环境中谈论隐私时，我们指的是保护参与者之间发送的内容。 事实上，除此之外，隐私还用于更广泛的通信通道和基础网络层的构建。 我们可以在公钥密码学向用于生成端到端安全网络/传输层协议（IPSecv2、SSL）的其他密钥交换机制的演变中看到这种构造。 此外，此类结构的存在使我们能够安全地使用 DNS 查找和基于 Tor 的中继。 在通用标准领域已经有相当多的学术研究，其结果已被企业用来维护数据传输中的隐私和机密性——尽管其中许多技术已经在零售用户技术栈中找到它定义自己的适用场景——从而让终端用户受益。

让我们关注区块链领域——虽然Zcash诞生将近3年，但现有的ZEC中只有5%是使用SNARK技术存储的（其中近一半使用的是旧版SNARK技术）。 大约 95% 的 ZEC 存储在完全没有隐私的透明地址中。 通过这种现象，我们可以推断，或许大部分用户并没有意识到隐私需要付费。

然而，隐私对于推动区块链技术的大规模采用是不可或缺的。 许多旨在使 Internet 成为可信赖的商业媒介的内置隐私层（如 SSL）的成功表明，用户和企业希望将隐私内置到系统和应用程序中。

问题 3：隐私权衡

第三个问题更具技术性，需要我们对以太坊上如何保护隐私以及所涉及的各种机制的权衡进行更深入的研究。 正如区块链网络需要在可扩展性和去中心化之间做出权衡一样，隐私机制和技术本身也是如此。 我们先研究一下其他专注于隐私的区块链已经实现的隐私解决方案，然后讨论以太坊上的一些隐私解决方案。

来自其他以隐私为中心的区块链（Monero 和 Zcash）的经验教训

在深入研究以太坊之前，让我们先来看看隐私币领域的两个重量级玩家——Monero 和 Zcash。 在山寨币的早期，Monero 有点独特，因为它的代码库不是基于比特币，而是基于 Bytecoin（这是 CryptoNote 协议的参考设计）——一个与比特币完全无关的项目。 最初的 CryptoNote 设计是将交易发送者的签名与其他诱饵签名（mixins）混合。 通过将此技术与隐蔽地址输出相结合，可以提供极强的隐私保证。 “Ring Signature”设计因其独特的内置混音器而早日成名，余音犹在。

2017年，由于RingCT的推出，环签名隐藏交易数据的能力得到了极大的提升。 RingCT 使用零知识范围证明来丰富可同时批处理的签名类型。 同时，RingCT 的引入也强制执行了最低混合要求，这缓解了困扰早期版本门罗币的可链接性攻击（linkability attack）问题。 然而，没有黄金，环签名也不是完美的解决方案。 它的主要问题之一是它占用大量磁盘空间来存储 Monero 区块链。 此外，环签名不适用于大型团体，目前每个团体的参与者人数限制在 10-15 人。

2018 年底，我们看到门罗区块链引入了“防弹”——一种令人兴奋的新零知识结构，它允许环中的签名数量以对数方式扩展，从而减少了所需存储的交易所数量。 这一改进让 Monero 赶上了其他区块链项目。

说起零知识证明，Zcash算是第一个吃螃蟹的项目。 率先采用zkSNARK技术。 使用这项技术，用户可以发送仅对收件人可见的纯私人交易。 对于外部观察者来说，发送到私人地址的 ZEC 似乎消失在一个巨大的加密黑匣子中，当收件人想要将他们的 ZEC 转移回一个非私人地址（几乎与标准比特币地址相同）时，它恰好同样），原本消失的ZEC仿佛凭空出现，观察者永远看不到发送者和接收者之间的联系。 但不得不提的是，零知识证明需要更多的计算资源以太坊地址格式，这反过来又会让交易变得更加昂贵。

可互换性的威胁

以太坊网络上的交易具有伪匿名性（即交易的地址与用户持有的私钥对应的公钥相关联，而不是用户名/密码），同时，得益于其分布式和透明的特点，让很多新技术大显身手。

但是，类似于比特币，当利用此类技术进行数字资产的转移同质化（Fungibility，也称为“互换性”，如ECR-20代币和ETH可以视为同质资产）操作时，如果用户不知道他们共享的信息的广度，他们的身份可能会在不知情的情况下被以太坊暴露。 公私钥对应的真实身份暴露将严重威胁隐私安全。 考虑到比特币和以太坊等区块链的开放性，当你天真地使用它们原生的交易框架进行交易时，所有资产的转移痕迹都像面包屑一样容易留下和被追踪——即使是同质资产。

隐私保护的地址生成方法

随着隐私技术的不断进步，许多更复杂的威胁模型被考虑在内。 2012年，BIP32引入了层次确定性密钥（Hierarchical Deterministic keys），通过它我们可以使用一组助记词生成无数“新”的比特币地址。 这意味着用户每次收到钱都可以生成一个新地址，所有这些地址都可以在钱包之间轻松导入和导出。 钥匙来了，是不是很方便？

以太坊也有同样的功能，不过如果新生成的地址要与智能合约进行交互，需要保证地址中的以太坊足够支付Gas费。 然而，由于许多建立在以太坊之上的系统以多种方式将用户的真实身份与其地址联系起来，这一事实使问题变得更加复杂。 与以太坊地址相关的额外大量元数据使以太坊特别容易受到去匿名化攻击。 幸运的是，虽然一些智能合约功能会让以太坊面临这样的威胁，但智能合约也可以被尖端的密码学系统使用，为用户带来安全无缝的隐私交易。

零知识方案和可信初始设置（TrustedSetup）

许多零知识场景需要“可信的初始设置”。 这意味着整个方案依赖于特殊随机数的产生，任何知道这些随机数的人都可以洞察内部运行，这听起来像是一个非常不可靠的原型……为了部分缓解令人担忧的问题，复杂的随机数生成过程应运而生，以确保结构的可信度。 这个过程通常需要几个诚实的社区成员独立生成自己私有的随机数据，然后将这些数据以一定的方式组合起来。 只要任意成员删除TA的随机数据，最终计算出来的数据就是安全的。 的。 因此，除非所有参与者串通，否则相关方案不会面临风险。

应该指出的是，Monero 使用的 Bullet Proof 不需要可信设置，但 Zcash 中实现的 zkSNARKs 需要。 您可以在现在著名的 RadioLab 文章中查看 Zcash 的可信设置过程文档。 相比之下以太坊地址格式，STARKs 不需要任何可信设置，它们使用哈希函数的选择作为它们的“设置”，而不是任何特殊数字。 已经提出了各种形式的可信设置过程，例如永久的 PowersofTau 多方计算过程。

零知识笔记（ZK-Notes）

作为以太坊隐私空间的先驱，AZTEC 协议使用“零知识票”系统来跟踪隐藏资产。 这些票据（包括票据的所有者）在以太坊网络上是公开的，但除非你是票据的所有者，否则没有办法知道每张票据的金额。

当票的所有者决定执行“joinSplit”操作时，零知识发挥了它的魔力——票的所有者可以拿走它控制的任意数量的票，并创建一组不一定属于其他任何人的输出 bill . 这与上面提到的隐蔽地址技术相结合，允许创建的每张新票据都归因于一个全新的以太坊地址（一个从未在以太坊网络上使用过的地址）。

我们来看一个常见的使用场景。 “零知识资产”合约可以连接到任何兼容 ERC20 格式的代币。 用户可以将代币存入该合约，并获得一张零知识票据作为存入凭证。 当用户想要取回你的押金时，只需“烧掉”零知识票即可。 有了这个机制，我们就可以秘密交易以太坊网络上存在的任何资产。 AZTEC 协议采用的证明比 ZK-Snark 更易于使用，但可信启动设施仍然是无法绕过的一道坎。

Aztec 还使用其他新颖的方案来实现可信的初始设置。 PLONK 是一种新型的高效 ZK-SNARK 结构。 它只需要被信任一次，然后所有程序都可以重复使用该设置。 而且，由于 PLONK 对 gas 的需求不高，因此它在以太坊上的实际应用中足够高效。 基于这样的交易能力，AZTEC CEO Tom Pocock 认为 PLONK 可以以完美保护隐私的方式编写复杂的逻辑程序。

将安全多方计算引入零知识

这个方案之前在ZKBoo上用过，最近也用在了Ligero上。 它将安全多方计算协议“编译”到ZK-PCP系统（最早使用概率证明的ZK系统）中，其实现需要证明者（“in the head”）提交一份安全多方计算协议，然后验证者可以随机评估任何参与者的观点（view）。 说白了，就是一个拥有相关数据信息的实体，可以模拟一个多方的分布式计算，然后在评估中的一个随机点展示一份计算的副本。 更重要的是，MPC 的使用有望创建对隐私友好的智能合约。

与 ZK-STARK 类似，基于 MPC 的证明具有以下优点：

透明——随机数的产生是公开信息

后量子安全——依赖于公共随机性和哈希函数的可用性，使量子系统无法进行大规模攻击

可扩展——基于 MPC 的证明具有（准线性）证明时间和验证时间，可实现高效的批量操作

使用此类技术时，还需要考虑它们的权衡如何针对中小型“电路”/问题进行优化——因为这可能会给验证者带来潜在的可扩展性问题。

话虽如此，基于 MPC 的技术尚未在区块链领域发挥全部潜力，它们可能比现有的零知识技术更通用，特别是如果参与者需要保留与实际计算相关的机密信息。 如果是。 例如，当尝试运行信用评分算法来评估用户的信用度时，MPC 技术可能会很有用，因为用户和银行都不想泄露他们各自的机密信息——用户不想泄露他们的交易历史，并且银行也不想付钱。 他们的 ML 信用评分模型中的权重信息。

硬件限制

当 Zcash 首次提出使用 zk-SNARKs 发送交易时，人们担心生成隐藏交易所需的计算资源，因为生成交易可能需要数小时。 但是从那时起我们已经走了很长一段路，现在我们可以在浏览器甚至移动设备上几秒钟内完成类似的任务。

隐私混合器

混币器最近受到了很多关注。 早在 5 月，Vitalik 就发表了一篇文章，解释了以太坊网络上下一个混币器设计的动机和总体轮廓。

当钱包或个人想要进行原生私密交易时，以太坊混币器就可以派上用场。 以太坊的溯源性让不法分子有机会通过追踪获取特定交易背后的钱包、账户等信息。 混币器可以通过兑换以太币实现匿名交易。

从那时起，许多团队日以继夜地工作，以开发更实用的以太坊混币器。 下表列出了目前为止不同混币方案在充提过程中的计算和gas成本。

-通过混币器的GitHub状态查看以太坊混币器的种类及其各自的计算和gas费用-

应用层的独立混音器永远无法保证用户100%的隐私，它只能提供概率性的保证。 但是，它足以满足绝大多数个人和企业需求。

谁来支付 Gas？中继风险

上面提到的各种方案都有一个致命的缺陷，就是最终要有人为输出支付gas费。 可用于支付 gas 的以太币从何而来？ 如果坏人可以利用这部分以太币来追踪某些用户，这些用户怎么可能是匿名的呢？ 这不是前功尽弃吗！

于是，一场熟悉的“先有鸡还是先有蛋”的剧本在隐私保护的舞台上上演。 想接收匿名以太坊？ 你的钱包里必须先有匿名以太币！ 不好笑吗？ Vitalik 在他关于混合器的原始文章中提出使用一个简单的中继注册合约来解决这个问题——中继运营商可以注册一个 HTTP 端点以匿名发布任意交易。

最后，不要忘记考虑钱包交互和操作的安全性。 钱包的默认设置需要足够安全以保护用户隐私，但又不能太麻烦用户上手。 至于如何做到这一点，我们还在努力。 所有这些混合器方案都需要大量参与者才能获得所需的隐私保护，因此该工具必须对大众开放，但任何捷径都可能带来严重的隐私侵犯。 让我们举一个非常简单的例子。 用户使用混币器混合一些以太币，然后将其中的一些以太币用于隐私保护。 一段时间后，他忘记了哪个钱包发送了私人交易，然后将曾经发送私人交易的钱包中剩余的以太币转移回与其身份直接相关的公共地址......这是一个彻底的失败:(

从以上提到的技术以及其他很多正在该领域发力的技术中，不难发现以太坊上的隐私技术越来越受到关注，这些发展可能很快就会大规模推广。 虽然在公链上实现隐私看似矛盾，但零知识和其他隐私技术将赋能各种前沿的新玩法。 同时，有了这些解决方案，用户再也不用担心财务隐私问题。

展望未来

尽管本文并未提供以太坊上所有隐私解决方案的完整概述，但它探讨了实现企业和用户隐私的各种方式。 带来自由的抗审查技术激发了加密货币生态系统中的许多项目。 为了创建一个加密原生世界，匿名交易或保护个人信息的能力至关重要。 保护隐私没有灵丹妙药，但有许多方法和机制可以为特定用例提供隐私。

因此，我们继续研究和评估以太坊上的隐私解决方案，以帮助教育和推动此类技术的发展。 未来，您还将在我们这里找到一系列内容，包括具体隐私解决方案的文章、各种隐私技术的讲解报告，以及对目前构建隐私解决方案的项目和公司的更深入分析。