漫谈隐私交易方面的技术发展演变

从技能开展和演化的角度漫谈隐私买卖相关的技能完成方案的开展状况。

你愿意揭露你的钱包地址并且让一切人都知道你有多少钱吗？你愿意让一切人知道你的出资偏好、每笔开销吗？我想很多人是不愿意的。要完成这些数据的隐私维护，就需求用隐私协议。
商场上一向有以隐私为卖点的数字货币，包括DASH、XMR、Zcash、Grin、Rose（Oasis Network）、FRA（Findora）、PHA（Phala network）、SCRT（Secret Network）等，加密职业开展的十几年中，隐私板块一向都占有一席之地。
假如进一步将隐私赛道进行细分，可分为隐私核算网络、隐私买卖协议、隐私运用、隐私币等四类。其间隐私币开展最早，隐私运用中的Tornado现在被选用较广，隐私买卖协议和隐私核算网络现在最受重视。

本文篇幅有限，只从技能开展和演化的角度漫谈隐私买卖相关的技能完成方案的开展状况。

四类完成隐私买卖的技能方案

一、CoinJion
CoinJoin：CoinJoin是一种混币机制，从不同的发送方那里获取代币，并将它们组合成一笔买卖。第三方将代币打包发送给接纳方。在用户端，每个接纳方都会在一个从未运用过的地址中取得他/她的代币。以此来降低特定买卖被追踪的或许性。
DASH币是选用CoinJion技能完成隐私买卖的典型案例。DASH币诞生于2014年，并非以隐私为唯一意图，而是将隐私买卖作为供给给用户的一种挑选，用户能够挑选选用PrivateSend功用来进行隐私买卖，也能够挑选正常买卖。
在机制方面，DASH网络经过更高的奖励收益，鼓励矿工充任主节点，每个主节点矿工都有1000个DASH币作为缓冲资金。每个发起买卖的用户都能够运用这些缓冲资金，然后达到“混币”的作用。由于混币的存在，买卖信息被打乱，难以追踪，然后达到隐私维护的作用。
二、藏匿地址+环签名
藏匿地址：创立藏匿地址意味着每次接纳加密货币时都会创立一个新地址。它确保外部各方无法将付出的地址与永久钱包地址联系起来。
环签名：区块链买卖需求数字签名来验证签名人是发送方，由于每个用户的签名都是唯一的，所以当用户签名时就不难追溯到与签名人所进行的买卖。环签名策略是将签名与其他环成员的签名结合在一起：环成员签名的数量越多，直接将签名人与其买卖联系起来就越困难。
门罗币XMR是选用藏匿地址+环签名的组合模式完成隐私维护。门罗币并非挑选性隐私，而是彻底隐私。门罗币为每个钱包一切者供给一个新的私有视图密钥、收件人地址和一个私有消费密钥。并且XMR挖矿用一般电脑CPU即可完成，不需求专业矿机，这必定程度上让XMR更加去中心化。
门罗币为了进一步进步隐私维护的有效性，开展进程中还进行了屡次技能晋级。为了将买卖金额躲藏，RING-CT（环秘要买卖工具）应运而生；运用了RING-CT后，门罗区块链的隐私功用取得进步，但可扩展性方面有所献身，故而在后来又引入了Bulletproofs这种零常识证明协议，它进步了XMR的买卖规划、减少了80%的验证时刻。
三、Mimblewimble
Mimblewimble这个词来源于《哈利波特》中的咒语“混淆咒”，主要有Grin和Beam两个项目运用了这个隐私协议。Mimblewimble所用技能包括了Confidential Transaction、CoinJoin和Cut-through。
Mimblewimble协议是在匿名性和可扩展性之间找Tradeoff的方案，这是一个为根据output模型的公有账本供给加密货币隐私性的设计方案，并不涉及一致层，所以可用在简直任何一致规则上。
开始提出Mimblewimble的意图是为了给比特币供给隐私性。运用该技能后，能够让账户归属、买卖相关和买卖金额躲藏起来；还能够“洗币”，在比特币中有些币会被标记为“赃款”，很多组织会回绝接纳这些币，经过MimbleWimble技能能够完成洗币作用。
四、零常识证明类
零常识证明（Zero-Knowledge Proof)，是指证明者能够在不向验证者供给超过陈述本身有效性的信息的状况下，使验证者信任某个结论是正确/实在的。
零常识证明首先是由Goldwasser、Micali和Rackoff在1989年进行理论化。现在零常识证明在区块链职业主要用于两个方面：隐私维护、可扩展性。本文主要介绍零常识证明在维护隐私方面的运用。
零常识证明用于隐私维护，最早是在Zcash上进行实践，后边逐渐有Aztec、Manta Network、StarkWare等诸多项目选用零常识证明机制，并演化了很多项新技能。
经过“阿里巴巴和四十大盗”的例子来介绍零常识证明机制：
阿里巴巴是证明者，大盗是验证者。大盗抓住了阿里巴巴，要他说出翻开藏着瑰宝的山洞的咒语，不然就要杀他。假如阿里巴巴直接说出咒语，有或许会因失掉利用价值而被杀死；假如阿里巴巴坚持不说，大盗就会以为他不知道咒语，也会杀他。阿里巴巴想了个方法，要求大盗间隔他一箭之地，假如阿里巴巴念咒语打不开山洞的石门或许逃跑，大盗就能够用弓箭射死他。
经过这种方法，阿里巴巴能够在间隔大盗满足远（大盗听不到咒语是什么）的方位，证明他的确把握咒语。这个进程阿里巴巴（证明者）没有直接泄漏咒语是什么，但是能够使大盗（验证者）信任某个结论（阿里巴巴把握咒语）是实在的。

• zk-SNARK

zk-SNARK的全称是" Zero-Knowledge Succinct Non-Interactive Argument of Knowledge"，中文名称为“零常识简练的非交互常识证明”。zk-SNARK是以色列理工学院的Ben-Sasson等人在2014年的Zerocash论文中提出的，是现在运用最广泛的零常识证明类隐私技能，直接布置zk-SNARK算法的闻名项目有Zcash、Loopring等。它答应人们证明自己拥有特定的信息，而无需泄漏信息的内容。
zk-SNARK是一个将零常识证明机制转化成核算机程序语言的技能。基本逻辑如下图：

zk-SNARK具体完成了怎样的隐私呢？zk-SNARK完成了彻底的隐私，不仅躲藏了买卖双方的地址和买卖的金额，并且连节点都不知道买卖的内容。但zk-SNARK的缺点是它需求可信初始设置（trusted setup），这个设置无论怎样设置，终归有些潜在安全隐患。
在zk-SNARK的根底上，为了进步隐私性的一起也兼顾买卖容量和买卖成本的优化，后边又衍生出了Bulletproofs、zk-STARK、Sonic、PLONK、Supersonic等新型零常识证明。

• Bulletproofs

相较于 zk-SNARK，Bulletproofs 不需求可信初始设置，但验证 Bulletproofs 比验证 zk-SNARK 证明更耗时，Bulletproofs被运用在了XMR项目中，以进步XMR的买卖规划并减少其80%验证时刻。

• zk-STARK

zk-STARK的英文全程为Zero-Knowledge Scalable Transparent Argument of Knowledge，“零常识可拓展的通明常识证明”。zk-STARK是由StarkWare研制的，运用新颖的暗码学证明和现代带书来强制区块链上核算的完整性和隐私性，StarkEx选用了zk-STARK技能。zk-STARK答应区块链将核算转移到单个链下STARK证明者，然后运用链上STARK验证器验证这些核算的完整性。
相较于zk-SNARK，zk-STARK被以为是一种更快、成本更低的技能完成，由于其核算量增加，但证明者和验证者之间的通信量坚持不变，因而zk-STARK的全体数据量要远远小于zk-SNARK证明中的数据量。并且zk-STARK不需求初始可信设置，由于经过抗碰撞哈希函数，它们依赖于更简练的加密技能。整体而言，zk-SNARK在完善和选用方面取得了重大进展，而zk-STARK则填补了zk-SNARK证明的许多缺陷（更快、成本更低、不需求初始可信设置）而被以为是协议的改进版，但zk-STARK采纳链下核算链上验证的方法，在安全性方面似乎不如zk-SNARK。

• Sonic

伦敦大学的Sarah Meiklejohn、爱丁堡大学的Markulf Kohlweiss和Zcash的Sean Bowe提出了一种名为Sonic的零常识证明协议，Sonic是一种通用的SNARK，也便是说，只需求一个设置，它就能够验证任何或许。
Sonic的呈现，让零常识证明的演化向前迈出了一大步。不过Sonic的速度降低了，由于与非通用SNARK比较，Sonic的证明构建时刻增加了约2个数量级，所以现在并没有闻名隐私项目是选用Sonic技能方案。

• PLONK

PLONK是Aztec协议的CTO Zachary Williamson、首席科学家Ariel Gabizon（Protocol Labs及前Zcash）合作开发的高效通用zk-SNARK。Ariel Gabizon和Zac Williamson在伦敦Binary District研讨会上的一次偶尔会面中研制了PLONK。
这是一种全新的高效通用zk-SNARK，PLONK只需求一个可信设置，一切程序都能够重复运用这个设置，这项技能还取得了Vitalik转发。PLONK有多快？在彻底规范的硬件上，PLONK能够在23秒内经过超过100万个门的电路。这儿没有服务器场或HPC集群——这些数据来自Microsoft Surface平板电脑。
以Aztec为例，简述根据PLONK的隐私协议Aztec的工作原理：
首先，Aztec需求一个可信初始设置——Ignition CRS。开始的时分Aztec在全球随机召集了200名参与者，分别取得Ignition CRS。这200名参与者都会创造随机性——这是Aztec证明安全性的根底。（这就相当于有200个人洗牌，只需不是200个人全部勾结了，只需其间有一个人是诚笃参与者，就能够确保牌的随机性，也便是体系的安全性。）
然后，Aztec常规的隐私买卖可理解为一个UTXO（如下图）。相似比特币的运作方法，但Aztec的差异在于买卖需求加密。所以，以太坊会验证这个UTXO是否正确——即查看60+40 =75+25。
具体怎样查看呢？先查看input note = output note；为了防止盘绕进犯（例如：10 = 11+ -1），又设置了Range Proof（规模证明），所以Aztec改为布置调集成员证明——买卖要想取得Aztec暗码引擎（ACE）的同意，用户需求证明它们形成了来自Codex的输出注释。这一系列之后，才能成功验证UTXO正确与否。
Aztec要完成的隐私，包括三个方面：一是数据隐私，Aztec能够将买卖金额进行加密躲藏；二是用户隐私，观看网络的人无法再确认发件人和收件人ID；三是代码隐私，能够将运用了Aztec SDK的dApp的智能合约代码也隐私化。其间第一项现已完成，后两项没有完成。

• SuperSonic

SuperSonic技能结合了Sonic和DARK证明，是个无需可信设置的短证明，100万逻辑门的前提下能够将证明巨细压缩到10-20 KB，甚至还有优化空间，该技能首次被运用在金融公链Findora上。
零常识证明系列技能方案在验证证明巨细、验证速度、是否需求可信设置和运用案例方面的对比方下表：

整体而言，这些高效通用SNARK的呈现，答应经过最多一个MPC设置完成Web3的隐私和扩展，使得咱们能够在一切用户设备（手机、平板电脑等）上生成隐私买卖，也能够在公共网络上有效地执行这些隐私买卖。然后大大推动了隐私范畴的开展步伐。
隐私技能未来趋势

• 当时阶段隐私买卖运用率还较低，跟着技能更迭有望取得进步

隐私买卖运用率较低主要有三个原因：一是技能门槛过高，前期的隐私买卖对大多数普通用户而言运用体验不友好，虽然Zcash、XMR之类的隐私币现已存在多年，但绝大多数普通人都没实在用过它们；二是隐私买卖的需求还没有被普及，曾经谈起隐私买卖，大家潜意识里都以为只要见不得光的一些买卖才需求隐私买卖，人们关于躲藏自己在链上的买卖、转账/付出等行为及金额的意识还比较弱，跟着DeFi等链上买卖的爆发，人们对链上买卖的隐私维护的意识正在觉醒；三是前期的隐私协议并没有供给用户实在想要运用的货币，比方ETH、USDC、DAI干流链上财物等，普通用户为了坚持隐私而特意去挑选运用隐私币的概率不高。

• 干流区块链布置隐私功用，或许是隐私范畴开展的终究趋势

隐私币作为一个独立的存在，或许不会再遭到追捧和欢迎，尤其是经过前面几年各国监管的围追堵截。例如，受FATF规则影响，2019年时Coinbase UK下架了Zcash，而OKEx韩国则下架了Monero、Dash、Zcash、ZCache、Horizon和SuperBitcoin等六种加密货币。
但隐私买卖这个需求是实在存在的，并且一向会有这个需求，有需求就有商场。根据近期职业界最受重视的隐私项目类型来看，在比特币、以太坊、Polkadot等为代表的干流区块链中纳入隐私维护功用的方法或许会成为一种趋势。
在比特币买卖中运用Coinjion技能，这是现在运用较广泛的用于躲藏买卖信息的混币器（Mixers）服务，Mixers是经过第三方将比特币发币方地址和收币方地址的联系打乱然后躲藏买卖信息的一种服务。
在以太坊上重视度最高的隐私解决方案是零常识证明系列（zk-SNARK、zk-STARK等）。Vitalik曾讲过“零常识证明是最强壮的隐私解决方案，虽然技能完成难度最高，但在维护在以太坊网络的隐私性和安全性上，作用最佳。”而零常识证明类隐私解决方案中，较受推重的当属Aztec的PLONK技能。
在Polkadot生态也有一个较受重视的隐私买卖项目——Manta Network。它是由P0xeiden Labs构建的zk-SNARK类型（Plonk with Lookup）的隐私协议，Manta Network布置在Polkadot，其测试网Calamari则布置于Kusama，据该项目官网规划，未来还方案在Avalanche、Near等公链布置相应隐私协议。Manta Network方案推出一个多财物去中心化匿名付出协议MantaPay，以及一个由zk-SNARK供给支持的AMM机制的去中心化买卖协议MantaSwap。
总而言之，隐私买卖是个实在存在的商场需求，这个赛道的开展值得继续重视。跟着链上买卖的数量和资金量的增加，这部分商场需求也会相应增加。

作者：IOBC Capital

来源：DeFi之道

币圈活动网永久会员

收藏 链接