身份隱私保護(hù)技術(shù)

混淆服務(wù)

• 混淆服務(wù)的目的在于混淆消息雙方的聯(lián)系（如 圖 2 所示）。當(dāng)發(fā)送方需要告知接收方消息 M 時， 它會首先用接收方的公鑰 KB 加密 M，并在密文后 附帶真實接收地址 R。為了借助第三方（圖 2 中的 混淆服務(wù)器）的能力隱藏交易雙方的關(guān)聯(lián)性，發(fā)送 方會繼續(xù)用第三方的公鑰 KI 做第二重加密，并將結(jié)果（見下方公式的箭頭左側(cè)）提交給第三方。

• 當(dāng)?shù)谌浇邮盏饺舾擅芪暮?#xff0c;分別進(jìn)行解密以獲取原始密文，并根據(jù)解密出來的地址進(jìn)行轉(zhuǎn)發(fā) ； 接收方收到消息后可自行解密獲知消息 M。整個過程用加密方式保證接收方地址不可見，用雙重隨機數(shù)保證每次會話之間不可鏈接。當(dāng)?shù)谌教幚淼慕灰走_(dá)到一定數(shù)量時，可以有效實現(xiàn)消息來源與目的地之間關(guān)系的混淆。
• 這種方式部署簡單，且與區(qū)塊鏈有很好的兼容性，因此得到廣泛采用。現(xiàn)有的研究進(jìn)展主要集中在中心化混淆和分布式混淆兩個方面。

中心化混淆

• 中心化混淆是指混淆服務(wù)由單一實體提供，例 如單個服務(wù)器、企業(yè)等。
• 目前有多家網(wǎng)站提供有償 混淆服務(wù)，例如 Onionbc、Bitcoin Fog、Bitmixer 等。 他們可以有效隱藏交易地址，但是存在一定的缺陷： (1) 服務(wù)提供商本身是潛在的攻擊者，存在支付抵賴等欺詐風(fēng)險 ；(2) 處于中間位置的混淆服務(wù)提供商有機會知道并記錄交易雙方的信息。

第一個問題的解決措施

• 針對第一個問題，即交易的公平性。
• 條件執(zhí)行是可行的方式之一。它設(shè)定當(dāng)且僅當(dāng)混淆服務(wù)商誠實執(zhí)行混淆服務(wù)后，才可以獲得服務(wù)費，否則什么都得不到。格雷戈里·麥克斯韋 (Gregory Maxwell) 為比特幣設(shè)計了 CoinSwap 協(xié)議 ，允許交易發(fā)起者設(shè)定哈希鎖關(guān)聯(lián)到特定的贖回腳本，防止數(shù)字資產(chǎn)被竊取。
• 另一種解決方法是可信審計，即混淆服務(wù)器留下可信憑證，若出現(xiàn)違規(guī)行為則可以進(jìn)行有效追責(zé)。例如 Mixcoin基于簽名機制保證審計過程的不可抵賴性。
• 2015 年發(fā)布的達(dá)世幣 (Dash) 嘗 試從經(jīng)濟(jì)學(xué)角度解決中心化混淆方案面臨的隱私泄 露問題。該方案中，混淆節(jié)點負(fù)責(zé)匯集并生成混淆 方案，通過預(yù)付保證金的方式提高違規(guī)代價。
• 然而， 這幾種方案中混淆服務(wù)器仍掌握著交易地址間的關(guān)聯(lián)信息。

第二個問題的解決措施

• 盲簽名是解決第二個問題的有效方法之一，一 般包括 3 個階段 ：盲化（使用隨機盲化因子隱藏消息），簽名（簽名者對盲化后的消息做簽名），去盲化（去掉盲化因子，提取出對消息的有效簽名）。此類簽名的特點是待簽名的消息對簽名者不可見。因 此，Blindcoin[4] 將盲簽名的思想引入 Mixcoin 中， 既可提供對不當(dāng)行為的審計憑證，又可以保證混淆 服務(wù)器無法分辨所簽交易接收方的地址是哪個，從而保證地址信息的隱私性。然而，這種機制要求交易金額必須是固定的，且這種方案無法避免混幣節(jié) 點的違規(guī)行為。
• TumbleBit[5] 首次同時實現(xiàn)了交易不可鏈接性 和防資產(chǎn)盜竊。它的思路是利用安全兩方計算來 保證用戶隱私和交易公平性，主要包括 3 個步驟 ： (1) Puzzle-Promise 階段，接收方與混淆服務(wù)器建立 托管交易，加密贖回腳本，并將密文盲化后轉(zhuǎn)交給 發(fā)送方。(2) 發(fā)送方與混淆服務(wù)器執(zhí)行安全兩方計算完成解密。在該過程中，發(fā)送方會采用條件交易的方式保證雙方的公平性。(3) 接收方將答案去盲化， 贖回托管交易。

問題

• 上述中心化的混淆方案具有易操作性，但是普遍存在 3 個弊端 ：(1) 時延較長，需等待足夠多的混 淆請求者，以保證混淆效果 ；(2) 集中式的混淆服務(wù)器易遭受拒絕服務(wù) (DoS) 攻擊 ；(3) 實際應(yīng)用中需要支付額外的混淆費用。

分布式混淆

• 為了減輕因集中式構(gòu)架帶來的單點威脅，同時節(jié)約混淆成本，研究人員開始思考分布式的交易混淆模式，即由多個互相不完全信任的對等實體共同執(zhí)行匿名交易發(fā)布，而無需第三方代理。
• 目前主流 的解決方法有 CoinJoin[6] 和安全多方計算 (MPC)。
• CoinJoin[6] 的核心思想是“尋找志同道合者一 起交易”。圖 3 可以直觀地解釋 CoinJoin 的思路。

• 現(xiàn)有由兩筆交易 A → C 和 B → D 待支付（圖 3 左 側(cè)），CoinJoin 將這兩筆交易揉在一起形成一筆 2 輸 入、4 輸出的交易，外部觀察者是無法分辨出這兩筆交易的。CoinJoin 因其與比特幣的高度兼容性（僅 需利用修改比特幣協(xié)議的多重簽名機制），提出之后很快被應(yīng)用于工程上，例如 Dark Wallet、Joinmarket 等。 但是 CoinJoin 機制還留有 3 個值得改進(jìn)的地方 ： 1. 缺乏內(nèi)部不可鏈接性。以圖 3 為例，參與者 A 和 C 是明確知道對方交易信息的。隨著參與者數(shù)量增多，遭受 Sybil 攻擊的可能性也會提高（即某參與者是惡意攻擊者假扮的）。 2. 易受 DoS 攻擊。此類 DoS 攻擊是指攻擊者 通過拒絕簽署贖回腳本，導(dǎo)致整個交易無法贖回， 由于比特幣交易不可撤銷，這種攻擊很可能會造成嚴(yán)重的資產(chǎn)損失。 3. 從實用的角度來講，CoinJoin 受制于參與者人數(shù)，若人數(shù)過少，則無法達(dá)到匿名性要求 ；若人數(shù)過多，則通信開銷呈指數(shù)級增長，且提高了被 DoS 攻擊的風(fēng)險。 隨后的方案針對這三個問題進(jìn)行了改進(jìn) ：Coin- Shuffle[7] 采用層層加密和隨機置換的方式洗牌輸出 地址，即便是參與者也不知道交易地址間的關(guān)聯(lián)性。 但是，這種方案以高通信和計算成本為代價，同時 對因攻擊者拒絕簽署贖回腳本而造成損失的狀況仍 束手無策。
• 安全多方計算指的是參與者在無須歸集私有數(shù)據(jù)的情況下完成協(xié)同計算，同時保護(hù)各數(shù)據(jù)所有方的原始數(shù)據(jù)隱私。CoinParty[8] 就是基于安全多方計 算優(yōu)化分布式混淆過程的一種改進(jìn)協(xié)議，設(shè)定交易 的贖回腳本須參與方執(zhí)行門限簽名， 容忍一定數(shù)量節(jié)點的失效或惡意操作， 可以有效對抗 Sybil 或 DoS 攻擊。

環(huán)簽名

• 分布式混淆機制需要等待其他參與者一起執(zhí)行混淆協(xié)議，這個過程取決于何時找到具有共同交易意愿的人， 因此等待時延難以預(yù)計。而環(huán)簽名機制，允許用戶在無需其他“環(huán)”成員 在線的情況下，自行簽名，且關(guān)于公鑰的信息隱藏于整個“環(huán)”中，有效保障了簽名的身份隱私需求。

原理解釋

• 一般環(huán)簽名的思路如下圖所示，假定“環(huán)”中有n 個成員（各自擁有一對公私鑰），簽名者 A 使 用公鑰集合{pk1, …, pkn}和自己的私鑰ski產(chǎn)生簽名。 這個簽名的某個參數(shù)根據(jù)一定規(guī)則呈環(huán)狀，環(huán)簽名 由此得名。驗證者只能夠驗證簽名結(jié)果的合法性， 但無法確定真正的簽名者。通過此方法，簽名者可 以自由指定自己的匿名范圍，并且無須等待環(huán)成員在線，可以提供非常優(yōu)美的匿名性保護(hù)。
• 可鏈接環(huán)簽名是環(huán)簽名的一個變種，設(shè)計初期是為了滿足同一個簽名者簽相同消息時的追責(zé)需求，例如匿名投票。在環(huán)簽名的基礎(chǔ)結(jié)構(gòu)之上，每 個簽名還附帶有標(biāo)簽 T=(issue, PK)，其中 PK 表示圖 4 的環(huán)成員公鑰集合，issue 是選票的標(biāo)簽。

• 驗證者使用 T=(issue, PK) 而非 PK 來驗證環(huán)簽名，此時可以保證 ： 1. 由不同的標(biāo)簽 T 產(chǎn)生的任何簽名都是不可鏈接的 ；2. 用相同的 T 簽兩個不同的消息，可以及時被發(fā)現(xiàn)（即可鏈接性），但仍可隱藏真實身份。

CryptoNote 和 Monero

• 區(qū)塊鏈有防雙重支付的需求，因此若想使用環(huán)簽名保護(hù)簽名者的身份隱私，就需要采用可鏈接環(huán)簽名的思路（見圖 5）。在 CryptoNote[9] 中，簽名者 使用一次性私鑰生成密鑰鏡像，作為 T 中的 issue附在交易贖回腳本中。若同一交易贖回兩次，則可 以被及時發(fā)現(xiàn)并判定無效。

• 除了使用可鏈接環(huán)簽名保證發(fā)送方的身份隱私外，CryptoNote 在接收端設(shè)定每筆交易僅使用一次 性公私鑰對（如圖 6 所示的一次性支付 (one-time payment) 機制），即交易的輸出目的地址是一個僅可以由發(fā)送方和接收方生成的公鑰地址，該地址中 包含有隨機數(shù)，交易贖回后即丟棄，保證交易目標(biāo)地址不會重復(fù)。 但 CryptoNote 明文形式的交易金額會削弱匿名性效果。因此，2014 年公布的 Monero 幣借鑒 CryptoNote 的思想，結(jié)合可鏈接自發(fā)匿名環(huán)簽名 (MLSAG) 和機密交易 (Confidential Transaction, CT)， 設(shè)計環(huán)上的機密交易 RingCT[10]，把交易金額隱藏在同態(tài)密文之后，同時實現(xiàn)了身份隱私和交易隱私。

非交互式零知識證明

• 非交互式零知識證明 (Non-Interactive Zero- Knowledge proof, NIZK) 是零知識證明的一種，支持 證明者在不提供任何有用信息的情況下，向驗證者 證明某論斷。這個過程不需要雙方同時在線交互， 因此非常適合應(yīng)用于區(qū)塊鏈中進(jìn)行匿名的消息驗證。

原理解釋

• 一般的 NIZK 形式化定義為 ：假定概率多項 式時間算法 (P, V) 分別代表證明者和驗證者，那么 對于任意安全參數(shù)為 k 的描述 ??NP，若 (P, V) 是 NIZK 系統(tǒng)，則需滿足以下 3 個性質(zhì) ：

正確性

• 對于任意 x∈? 及其特定證據(jù) w， 滿足如下的公式所示，即若 P 知道論斷 x 的證據(jù) w，則一定能通過有 效算法使 V 相信它。

完備性

• 對于任意 x?? 和概率多項式算法 P*，滿足如下的公式，即若 x 是錯誤論斷，則一定不存在有效算法使 V 相信它

零知識性

• 對于任意 x ∈ ? 和特定證明 w， 存在概率多項式時間模擬器 S 使得以下兩組分布計 算不可區(qū)分 ：

• 即驗證者看到的信息也可以通過一個概率多項 式時間模擬器來模擬，驗證者沒有獲得任何額外信 息。描述中 p(·) 代表多項式，R 代表 NIZK 系統(tǒng)中 的公共參考串 (Common Reference String, CRS)。

Zerocoin 和 Zerocash

• Zerocoin首次將 NIZK 應(yīng)用于區(qū)塊鏈，讓區(qū)塊鏈節(jié)點在不知道具體交易內(nèi)容的情況下驗證交易的有效性，既保留區(qū)塊鏈互相不信任的個體間的共 識達(dá)成問題，又可以保護(hù)用戶隱私。其主要思想類 似于分布式混淆機制，交易前首先熔鑄一個數(shù)字貨 幣，然后用一個等價的全新數(shù)字貨幣兌換，其中熔 鑄數(shù)字貨幣的真實性和有效性由 NIZK 系統(tǒng)來驗證。 具體過程可以形式化為“熔鑄→公布→兌換” 三個步驟。
• 例如 ：A 打算向 B 支付一個數(shù)字貨幣。 首先，A 計算隨機序列號 sn，用陷門 r 對它做承諾， 得到 cm（該承諾值僅可以通過 (sn, r) 來打開，但無 法計算出 (sn, r)）。然后，A 發(fā)布帶有 cm 的熔鑄交易， 區(qū)塊鏈節(jié)點對執(zhí)行共識算法進(jìn)行驗證和記錄。B 在 做數(shù)字貨幣兌換時需要提供關(guān)于如下論斷的零知識 證明 π ：1, 公共賬本中有某個特定的承諾 cm ； 2, B 知道該承諾對應(yīng)的陷門 r，打開為 sn。 如果 cm 的驗證是正確的，并且 sn 未被使用過， 則 B 可以贖回一個新的數(shù)字貨幣 ；否則本次兌換將 因為驗證失敗而被拒絕。在這個場景中，A 熔鑄的 數(shù)字貨幣與 B 贖回的數(shù)字貨幣并無任何關(guān)聯(lián)，這是因為零知識證明 π 保證不會泄露關(guān)于 cm 或 sn 的任 何有效信息。

問題

• 但是 Zerocoin 并不完善，依舊存在一些值得改 進(jìn)的地方 ： 1. 在上述示例中，A 也知道 sn 和陷門 r，有可 能在 B 兌換之前先執(zhí)行兌換過程，或者當(dāng) B 繼續(xù)做 數(shù)字貨幣交易時，通過追蹤 sn 來發(fā)現(xiàn) B 的交易信息。 2. 匿名交易的面額固定，缺乏應(yīng)用的靈活性。 3. 交易直接公布在公共賬本中，未對交易數(shù)據(jù) 隱私做特殊保護(hù)。 Zerocash 針對上述問題進(jìn)行了改進(jìn)，配合 zk- SNARK (zero-knowledge Succinct Non-Interactive Arguments of Knowledge) 和加密方案同時保護(hù)身份 和交易隱私。

交易隱私保護(hù)技術(shù)

• 當(dāng)前區(qū)塊鏈中實現(xiàn)交易隱私保護(hù)的兩項密碼技 術(shù)有 ：非交互式零知識證明和同態(tài)技術(shù)。

非交互零知識證明

• Zerocash[12] 首次應(yīng)用 zk-SNARK 提供完全的用 戶隱私化和交易信息隱藏化。
• 與 Zerocoin 相比，它 的優(yōu)勢體現(xiàn)在以下 3 個方面。
• 1. zk-SNARK 具有簡潔性，即驗證者只需要少 量計算就可以完成驗證 ；非交互性，即整個證明過 程僅需交換少量信息。這兩個性質(zhì)對于區(qū)塊鏈非常 友好，因為區(qū)塊鏈上節(jié)點眾多，為了能夠快速達(dá)到 共識，計算復(fù)雜度和通信成本都不能過大。
• 2. 修改數(shù)字貨幣承諾的生成方案，并使用偽隨 機函數(shù)來確定支付目標(biāo)地址和序列號，即當(dāng)數(shù)字貨 幣兌換后，接收方會用私鑰產(chǎn)生全新的序列號 sn’， 確保即使發(fā)送者知道之前的 sn，仍然無法跟蹤或兌 換該數(shù)字貨幣。
• 3. 支持任意金額的區(qū)塊鏈交易，且通過加密技 術(shù)保證交易金額、交易隨機數(shù)、交易目標(biāo)地址等信 息的隱蔽性。同時，為了驗證交易，會在零知識證 明中增加關(guān)于交易金額有效性的驗證。

問題

• 以太坊 (Ethereum) 目前也在試圖把 Zerocash 的 隱私交易功能作為一個預(yù)編譯合約鏈接到智能合約中，即 ZoE (Zcash over Ethereum) 工程，不過即使做了預(yù)編譯優(yōu)化，它能提供的隱私驗證能力也非常 有限。Hawk?則是一個完全采取 zk-SNARK 的區(qū) 塊鏈智能合約部署系統(tǒng)，保證了數(shù)據(jù)和計算過程在 鏈上的隱私性和可用性，在保險、股票等金融領(lǐng)域 有著廣泛的應(yīng)用前景。

同態(tài)加密技術(shù)

• 同態(tài)密碼是一類保持密文延展性的加密方案， 支持將密文操作映射到原始數(shù)據(jù)上，具有天然的數(shù) 據(jù)隱私性保護(hù)。以場景為例，參與方 A 擁有數(shù)據(jù) {x1, …, xn}，參與方 B 擁有計算邏輯 f(·)，二者想共 同計算 f(x1, …, xn)。定義 E(·)/D(·) 為一組同態(tài)加密 方案的加 / 解密算法。首先，A 分別對數(shù)據(jù)進(jìn)行加密， 將加密結(jié)果 {E(x1), …, E(xn)} 發(fā)送給 B。此時 B 按照 f 的計算邏輯執(zhí)行運算得到 = f(E(x1),…,E(xn))，將 返回給 A。這時，A 使用解密算法對結(jié)果進(jìn)行解密， 就可以獲得計算結(jié)果 f(x1, …, xn)。 在這個過程中，B 僅擁有密文且無法獲知 A 的數(shù)據(jù)，有效保證了數(shù)據(jù)的隱私性。區(qū)塊鏈隱私保護(hù)中常用 的同態(tài)密碼技術(shù)有 Pedersen 承諾和 Paillier 加密。

Pedersen 承諾

• Monero 基于機密交易機制保 證交易數(shù)據(jù)的隱私性，該機制使用 到的核心技術(shù)之一就是 Pedersen 承 諾。在機密交易中，交易金額提交 到區(qū)塊鏈前首先由隨機盲化因子進(jìn) 行承諾。在交易驗證過程中，由 于 Pederson 承諾的同態(tài)性，可以分 別計算交易的輸入和輸出密文的總 和，通過驗證“所有輸入輸出的總 和是否為關(guān)于 0 的承諾”來驗證交 易金額的有效性。此時交易發(fā)起者 僅需要證明他知道承諾對應(yīng)的隨機數(shù)，這個證明可以使用一個標(biāo)準(zhǔn)的零知識證明來實 現(xiàn)，整個過程不會泄露交易的實際金額或其他交易 數(shù)據(jù)。

Paillier 加密

• Paillier 是基于復(fù)合剩余類基本假設(shè)的同態(tài)加 密方案，它的加 / 解密形式簡單，且密文無噪聲。 Wang 等學(xué)者 [14] 使用 Paillier 加密方案構(gòu)造了針對比 特幣的隱私交易系統(tǒng)，其中交易金額使用 Paillier 進(jìn) 行隱蔽性保護(hù)，零知識證明用于檢查加密后金額的 有效性（即確保交易金額為正，并驗證輸入之和等 于輸出之和）。這些交易就像密封的資產(chǎn)信封，可 以合并、分離或使用，并且保持金額不可見。 另一個基于 Paillier 構(gòu)造的區(qū)塊鏈隱私計算工程 是由矩陣元公司推出的計算平臺 PlatON。該平臺重 點針對以太坊的余額模型進(jìn)行數(shù)據(jù)隱私保護(hù)，設(shè)計 并部署基于 Paillier 的用戶賬戶余額的密態(tài)更新，并 提出一種新的非交互式零知識證明方案 [15]，用于驗 證密態(tài)交易數(shù)據(jù)的合法性。然而，這種方案解密的 時候需要求解橢圓曲線離散對數(shù)問題，在交易金額較大的時候解密性比較差。

總結(jié)與展望

• 1. 可擴(kuò)展性和經(jīng)濟(jì)性 如表 1 所示，中心化 和分布式混淆方法都會產(chǎn)生額外的等待延遲，Zero- cash 的證明平均生成時間約為 2 分鐘，CryptoNote 中匿名交易簽名的大小與參與者的數(shù)量成正比，這 意味著存儲和通信成本也會隨匿名集的增大而增 加。因此，如何優(yōu)化組合現(xiàn)有的隱私保護(hù)方案或設(shè) 計低成本的密碼方案是一個值得研究的方向。
• 2. 弱假設(shè)下的強隱私保護(hù) 分布式混淆假 設(shè)一定比例的參與者是誠實的，以緩解 Sybil 攻擊 的危害 ；zk-SNARK 需要第三方生成初始化電路 ； Hawk 中每個智能合約都需要一個獨立的可信的初 始化進(jìn)程。從優(yōu)化安全性模型的角度來看，新的隱 私保護(hù)方案需要盡量少的安全性假設(shè)，從而增強實 際隱私保護(hù)效果。
• 3. 兼容性 區(qū)塊鏈有兩種主流的交易模式 ： 比特幣為代表的 UTXO 和以太坊為代表的 AC- COUNT。現(xiàn)有方案大多針對 UTXO 模型（鏈?zhǔn)浇Y(jié)構(gòu)） 進(jìn)行隱私保護(hù)。在 ACCOUNT 模型中，賬戶為全球 狀態(tài)，交易決定賬戶狀態(tài)，相互之間沒有聯(lián)系。此 時混淆交易地址無法達(dá)到隱私效果，因此隱私保護(hù) 方法與 ACCOUNT 架構(gòu)兼容是一項新的待解決問題。
• 4. 合法監(jiān)管性 區(qū)塊鏈的隱私保護(hù)是一把“雙 刃劍”。一方面，誠實用戶希望擁有信息的隱私性 ； 另一方面，惡意實體可能濫用隱私保護(hù)機制進(jìn)行某 些非法交易。因此，區(qū)塊鏈隱私需要具備條件性， 即權(quán)威機構(gòu)可以被授權(quán)跟蹤目標(biāo)用戶的區(qū)塊鏈行 為，并收集他 / 她已經(jīng)傳播的所有消息，但該用戶 的敏感信息仍然受到保護(hù)。
• 區(qū)塊鏈概念自提出至今一直受到學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。它提供了一種完全分布式的、不可 篡改的數(shù)據(jù)存儲、共享和同步方式，非常適用于大 型分布式互聯(lián)網(wǎng)交互系統(tǒng)（例如物聯(lián)網(wǎng)或供應(yīng)鏈系 統(tǒng)）。近幾年，全行業(yè)都在尋求如何使用區(qū)塊鏈來 解決各領(lǐng)域存在的痛點。 但是，在互聯(lián)網(wǎng)時代，數(shù)據(jù)即資產(chǎn)。日益增長 的隱私保護(hù)需求是區(qū)塊鏈落地實用前必須面對并解 決的問題之一。希望本文能為區(qū)塊鏈相關(guān)隱私問題 的探索提供引導(dǎo)與啟發(fā)。?

總結(jié)

以上是生活随笔為你收集整理的密码学在区块链隐私保护中的应用学习的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。