深度 | 一文盘点七大主流区块链隐私协议机制

美国最大的金融服务机构之一摩根大通自2月份宣布开发数字资产摩根币（JPM Coin）以来，一直致力于更新其私链平台Quorum。

Quorum受Etherum GO客户需求启发应运而生，是摩根大通企业以太坊EEA（Enterprise Etherum Alliance）承诺的一部分。创设伊始，Quorum就通过对私有交易及网络访问控制等功能的支持，明确了对隐私保护的承诺。

上周，摩根大通在Quorum协议中增加了一项新的隐私保护功能——基于Zether协议的扩展，为主流企业采用区块链技术做出了重要贡献。

这类隐私协议机制有何特性？经历了怎样的发展历程？本文将一一盘点。

本文由资深投资人Howard Yuan研究撰写，经加密谷编辑独家发布。

隐私协议Zether及其扩展

Zether协议是斯坦福大学教授Dan Boneh及其博士生Benedikt Bunz联合Vsia研究部门的Shashank Agrawal、Mahdi Zamani提出的一种针对以太坊智能合约平台的隐私解决方案。

该方案得到了智慧合约之父Nick Szabo的声援和支持。它以Zether Smart Contract（ZSC）的形式部署在以太坊上，并且具有名为Zether（ZTH）的代币。用其作为ElGamal公钥的Zether账户之间传输的载体，并支持匿名性的智能合约交互。相关论文详情可参考以下链接：https://crypto.stanford.edu/~buenz/papers/zether.pdf

Zether的技术特点

 

在论文中，开发人员对Zether的特点总结如下：

• 具备隐私性：Zether的交易是保密的，账户余额和交易地址始终加密；
• 基于账户模型：目前门罗、Zcash等各种隐私币都是基于UTXO的，而Zether是基于账户（Account）模型的；
• 新的隐私算法：为了让Zether运行更加有效，研究者提出了一种新的零知识证明机制，称为Σ-Bullets。它结合了Bulletproofs（防弹协议）与Σ协议的特性，并以此为基础创建了隐私账户体系，不需要Zcash的可信启动；
• 易于实现：理论上，支持智能合约的链都可以实现该项目，目前团队已经在以太坊上进行了初步测试；
• 互操作性：Zether支持智能合约的交互。Zether可用来构建四种应用，分别为：保密竞拍应用、保密支付通道、保密权益投票、以及私密权益证明（private proof-of-stake）；
• 代币应用：Zether协议中的代币ZTH不是ERC20代币，而是其内生代币。如果缺省，技术上的隐私功能就无法实现，因此属于刚性需求。

Zether面临的挑战

当然，由于刚起步，Zether技术也面临很多挑战：

• GAS消耗量过大，成本高昂。目前一笔最简单的转账需要0.014ETH的手续费；如果进行智能合约交互，则手续费更高。但随着算法改进和以太坊升级，手续费有可能会大幅下降；
• 以太坊的GAS机制可能会导致隐私泄露。部署在以太坊上的智能合约需要支付GAS来运行，一旦一个地址转移ZTH代币，他就需要同时向矿工支付GAS，此时，其以太坊地址就暴露了。针对这种情况，有两种可能的解决方案：一个是用户不停地更换地址来保持匿名，但这样在操作层面不现实；另一个是让矿工接收ZTH作为手续费；
• 网络繁忙可能会导致交易失败。对于传统以太坊交易而言，网络繁忙时可以等待，直到网络不再拥堵，完成交易即可。但Zether则不行，因为每个epoch都有对应且唯一的证明集合，交易必须在自己的epoch完成。如果不能完成，则证明集合会发生变化导致交易失败；
• 为保证成功，发送账户需要保证在当前epoch内，所对应的匿名集不能先于他接收的新交易之前进行更新，否则会导致失败。

Quorum在Zether协议的基础上做了一些巧妙的扩展，除了交易本身的细节之外，它允许在交易中模糊各方的身份，解决了隐私泄露的问题。

为了进一步解释Zether扩展协议的作用，摩根大通Quorum区块链及加密资产战略负责人奥利·哈里斯（Oli Harris）表示：

“在基本的Zether协议中，账户余额和转账信息都是被隐藏的，但参与者的身份处于暴露状态。我们解决了这个问题。在协议实施过程中，我们为匿名扩展提供了一个证明协议，允许交易发送方隐藏自己和一个群组的交易接收方信息。”

Harris同时指出，作为“匿名支付的有效无信任机制”, 新的扩展特别有利于保护企业联盟内的隐私，这也是摩根大通一直所期望的。

摩根大通吸引了大约220家银行加入其基于Quorum的银行间信息网络，最近也完成与Microsoft Azure的一系列整合。正如摩根大通所一直强调的那样，用户及交易隐私保护一直是区块链生态系统的一项挑战。

隐私架构的不可能三角

在区块链基础架构中，隐私保护功能通常与分布式机制的一些其他理想特性存在摩擦。至少在当前的区块链技术中，隐私架构通常需要在三个基本维度之间取得平衡：

• 隐私性：显而易见，隐私性代表了在分布式网络中保护交易者和参与者的能力；
• 可扩展性：提高分布式网络交易处理量和并行处理规模的能力；
• 链上计算：在区块链运行时执行昂贵计算的能力。

在许多情况下，隐私架构体系通过牺牲第三个维度来最大化前两个维度。

私有网络和可扩展网络通常需要链下计算模型，而仅依赖于链上计算的私有网络比较难以扩展到某个特定的点；同时，具有链上计算模型的可扩展网络可能会导致难以实现隐私功能。

简言之，在大多数区块链中，其中任意两个特性都与第三者相冲突。例如，你可以在链上部署隐私和链上计算协议，但是就无法兼顾扩展性。不过，大部分数字资产都是兼顾了扩展性和可用性，却没有实现隐私性。

虽然隐私保护的这种困境在今天的区块链技术中是被广泛接受的，但这种态势可能会随着时间的推移而改变。

隐私保护是区块链技术发展最快的领域之一。我们注意到，有关隐私协议的技术演进趋势一直在持续推进。

隐私协议的演进

当我们谈论区块链场景中的隐私属性时，无法回避“零知识证明”（ZKP，zero-knowledge-proofs）这个名词。

零知识证明是一种在诸如zk-SNARKs和加密数字资产（如ZCash）之类的技术中实现的密码学形式。它允许其中一方（证明者）向另一方（验证者）证明其声明是真实的同时，无需披露任何超出声明之外的有效信息。

区块链空间在隐私协议方面取得了许多进展，这些协议扩展了zk-SNARKs的价值主张。所有这些扩展都试图在隐私架构体系的三个主要维度内找到一个微妙平衡。

除了zk-SNARKs架构，区块链技术在隐私协议开发和密码学研究方面也有一些新的突破，但是目前仍然不被大众所熟知。

我们可以简单梳理一下区块链隐私机制基础协议的演进：

• CryptoNote 和环签名：CryptoNote(CryptoNight) 是区块链隐私技术的鼻祖。从概念上讲，在分布式网络中，CryptoNote 利用可跟踪环签名加密技术来混淆一组节点之间的消息。CryptoNote 协议的改进已被证明能够在可拓展级别的操作中产生高级别的匿名性。发布于2012年的Bytecoin是采用CryptoNote的先行者。匿名币市值最高的Monero也是基于 CryptoNote 协议。
• zk-SNARKS：ZCash 背后的协议就是zk-SNARKs。zk-SNARKs是较为新颖的零知识加密算法。自从Zcash 发布以来，zk-SNARKs 已经被应用于不同的区块链技术。基于Zcash，也分叉出了许多其他匿名币，包括Komodo、Zcoin、Horizon、Zclassic、Zencash等，不一而足。可以说，Zcash及其背后的zk-SNARKs协议造就了匿名币的半壁江山。
• zk-STARKS：由三角理论可知，由于证明的复杂性随着数据库的大小线性增长，zk-SNARKs 的一个挑战就是难以大规模应用。有鉴于此，以色列理工学院 Eli-Ben Sasson 教授发表了一篇备受瞩目的论文，提出了一种比 zk-SNARKs 更快的的替代性方案，为了保持神秘感，他称其为zk-STARKs 。

Ben Sasson 教授解释说：“zk-SNARKs 用公钥密码学来保证安全，zk-STARKs 用更简单的对称加密，即抗冲突哈希函数，因此不需要受信任的初始设置。同时，zk-STARKs 消除了zk-SNARKs 的数论假设，这种假设需要消耗大量的算力，而且容易被量子计算机攻击。这使得zk-STARKs 能够快速生成，并且抗量子，因为其不再使用椭圆曲线和指数假设。”目前基于zk-STARKS尚未有正式的匿名币推出,但我们有理由期待新的基于zk-SNARKs框架的匿名币的诞生。

• TEE（可信执行环境，Trusted Execution Enviorments）：可信执行环境是近来流行的将可信计算引入区块链中的方法。例如，Intel 的软件保护扩展（SGX）TEE 技术隔离了代码执行、远程证明、安全配置、数据安全存储以及代码执行的可信路径。在 TEE 中运行的 APP 受到安全保护，几乎不可能被第三方访问。基于TEE技术的相关项目有诸如Oasis、TEEX、Covalent等。Oasis Labs的Ekiden协议是依赖于可信执行环境来隔离私有计算的智能合约执行平台。
• Enigma协议：Enigma是麻省理工学院的密码学家于2017年开发的一项区块链协议，能够实现“加密合约”。该协议允许节点使用智能合约的加密片段进行计算，而不需要解密，这是其他区块链做不到的。Enigma 使用 TEE 将密码学计算与区块链的其余部分隔离，而不是依赖于诸如 zk-SNARS / zk-STARKS 等证明者自证的协议（proof of possession protocol）。
• MimbleWimble协议：MimbleWimble协议发端于2016年，旨在提高数字货币的可扩展性、隐私和可替代性，融合了保密交易、交易混合和蒲公英协议等多重隐私保护技术，隐去了交易金额，消除了交易地址，而且中间状态可以合并，使其在保护交易隐私的同时简化了交易大小。基于MimbleWimble协议诞生了Grin和Beam两个双子星明星项目，得到了市场的高度认可。
• Zether（Quorum）：如前所述，Zether为本身已经很强大的Quorum带来了新的隐私保护机制。当前的Quorum架构在保护交易和节点级别的隐私基础上，还能够保护参与者的身份。这些功能可以与Quorum机制中已经存在的访问控制特性相结合，提供了强大的端到端的安全体验。

除了上述主要的七类隐私协议外，安全多方计算（SMPC, Secure Multi-Party Computation）也值得注意。安全多方计算是一种加密技术，允许对一组输入执行计算，同时保持输入数据的私密性。它可以用于安全代币交换中的各方，以交换有关信息的同时保持实际信息的私密性。

作为区块链机制的一部分，新的隐私保护技术正在不断的被评估和调整。随着行业发展，我们将会看到新一代隐私协议技术的问世，使去中心化的隐私保护和计算达到新的高度。特别是，今年以来以Cosmos和Polkadot为代表的跨链生态的兴起，我们也有理由期待跨币种、跨资产交易的隐私性交易解决方案能够实现，这或将成为加密经济的重要发展方向。

Howard Yuan   作者

Sonny Sun   编辑

来源：加密谷

内容仅供参考 不作为投资建议 风险自担

版权所有 未经允许 严禁转载