从比特币到区块链再到分布式账本,密码学货币领域日新月异,以至于我们很难看清它的发展方向。
但是,我们仍然可以发现一些踪迹。虽然密码学货币行业有很多创新技术,但都建立在前人数十年的研究基础上。通过追溯这段历史,我们可以理解比特币运动背后的动机,进而理解比特币对未来的愿景。
20世纪70年代以前,密码学主要由军事机构和间谍机构秘密使用。然而,两个出版物的发布让密码学技术进入了大众视野:美国政府出版的《数据加密标准》以及WhitfieldDiffie博士和MartinHellman博士共同撰写的首部公开的公钥密码学著作《密码学的新方向》。
20世纪80年代,DavidChaum博士撰写了大量关于密码学的论文。其中一篇论文《无需身份证明的安全性:让“老大哥”成为过去式的交易系统》提及了匿名数字现金和匿名声誉系统。
接下来的几年里,这些想法相互融合,形成了一场运动。
在1992年底,EricHughes、TimothyCMay和JohnGilmore组成了一个小团队,每月都会在JohnGilmore位于旧金山湾区的公司CygnusSolutions碰面。这个团队有个诙谐的名字“密码朋克”,是“cipher”和“cyberpunk”的简称。
密码朋克邮件列表就是在这个时候创立的。几个月后,EricHughes发表了《密码朋克宣言》。他写道:
“在电子时代,隐私是实现开放型社会的前提。隐私不能与秘密混为一谈。私事是不想让所有人都知道的事,而秘密是不想让任何人知道的事。隐私是选择性向世界展露自我的权利。”
听起来很有道理。但是你可能会想,我又不是密码朋克,我又没做错什么事,我有什么好隐藏的?但正如BruceSchneier所言,说出“无需隐藏”论的人弄错了前提:并不是只有犯了事的人才需要隐私,使用隐私保护措施并不意味着有鬼。
例如,你在窗户上装了窗帘,防止外人看到屋内。这不能说明你在从事什么非法或不道德的活动,只是因为你担心向外界暴露自己可能会带来的负面影响。
正在阅读这篇文章的你会发现自己是密码朋克运动的直接受益者。
20世纪90年代
20世纪80年代至90年代这10年间爆发了密码学战争,美国政府试图扼杀密码学技术商用的趋势。
这期间,密码学几乎完全被当作军事技术垄断,加密技术被列入美国军需品清单的第13类,遭严令禁止“出口”。
由于出口限制,“可出口”的SSL加密技术只支持40位的密钥长度,使用一台个人电脑花几天即可破解。
由于公民自由主义者和隐私倡导者对美国政府侵犯公民隐私的控诉、加密软件在美国境外的普及和MattBlaze成功黑入美国政府提出的带后门的Clipper芯片,美国政府最终放弃了对密码学技术的垄断。
1997年,AdamBack博士发明了Hashcash。Hashcash是一个抗垃圾邮件机制,通过有效提高发送邮件的成本,让垃圾邮件发送者血本无归。
AdamBack认为Hashcash会比Chaum的digicash更易用,因为用户不需要创建账户。另外,Hashcash还采取了一些措施来防止“双重花费”攻击。
1998年底,WeiDai提出了“b-money”的设想,用来执行匿名参与者之间的协议。他提出了两个有趣的概念,想必你不会感到陌生。第一个概念是让每位参与者都维护一个独立的数据库,用来记录用户的资金归属情况;第二个概念是第一个的变体,由一部分参与者记录用户的账户资金余额,这些参与者需要交纳押金来防止作恶。
比特币采用了第一个概念,其它很多密码学货币项目则采用了第二个概念的变体。
21世纪
显然,密码朋克基于彼此的研究成果进行了长达数十年的构建工作,实验并创建了20世纪90年代所需的框架。然而,最关键的还是21世纪诞生的密码学货币。
2004年,HalFinney基于Back的Hashcash创造了可重复使用的工作量证明。RPOW是只能使用一次的特殊密码学代币,很像是比特币的未花费交易输出。但是,验证和防止双重花费攻击仍由中心化服务器执行。
NickSzabo在2005年提出了“bitgold”——基于Finney的RPOW创建的数字收藏品。然而,Szabo并没有提出一种机制来限制bitgold的总发行量,而是设想每单位bitgold的价值会根据创建它们所需的计算量有所不同。
最后,在2008年,中本聪发布了比特币白皮书,并在其中提到了hashcash和b-money。实际上,中本聪曾在发给WeiDai的电子邮件中提到他从Back博士那里了解了b-money。
中本聪在比特币白皮书中专门提到了隐私:
“传统的银行模式会通过限制访问相关方的信息和可信第三方来实现一定程度的隐私性。在必须公开所有交易信息的情况下,传统的隐私保护方法行不通,但是还有另一种方法:通过隐藏公钥持有者的身份来阻断信息流。公众可以看到有人将一笔资金发送给了另一个人,但是无法通过任何信息将这笔交易与任何人联系起来。其信息公开程度类似于证券交易所。证券交易所只通过证券买卖汇总记录带公开每笔交易的时间和规模,但是不会泄漏参与方的身份信息。”
-比特币的隐私模型-
中本聪创建了一个可供人们使用、扩展和分叉的系统,极大地推动了密码学技术的发展。
比特币的诞生让整场密码朋克运动如虎添翼。它使得维基解密等组织在被传统金融系统列入黑名单之后,依然可以通过比特币捐款来维持运营。
隐私保护斗争
然而,随着比特币生态系统近年来发展壮大,隐私问题似乎被淡化了。
很多早期比特币用户以为比特币系统可以让他们完全匿名,但是据我们的了解,很多执法机构都透露过它们能够在调查期间查明比特币用户的身份。
OpenBitcoinPrivacyProject通过对用户进行隐私性教育和推荐最佳比特币服务用例弥补了这方面的不足。该团体构建了一个关于比特币钱包隐私性攻击的威胁模型。
该模型目前将攻击者分为以下几类:
区块链观察者——通过观察价值流的模式来将不同的交易和同一个身份联系起来。
网络观察者——通过观察点对点网络上的活动来将不同的交易和地址联系起来。
物理攻击者——尝试查找钱包设备上的数据来篡改该钱包或对其进行分析。
交易参与者——创建交易来追踪区块链上的活动并识别交易者的身份。
钱包提供商——可能会要求用户提供个人身份信息,然后观察他们的交易。
Blockstream的JonasNick就比特币用户的隐私问题进行了大量研究。
JonasNick在一次精彩的演讲中揭露了很多隐私漏洞。其中一些漏洞对SPV比特币客户端来说是毁灭性的:
视频地址:https://youtu.be/HScK4pkDNds
就比特币而言,最大的隐私威胁来自区块链观察者——由于网络中的每笔交易都是永久公开的,无论是现在还是将来,任何人都有可能威胁到比特币用户的隐私性。
因此,最好的做法就是永远不要重复使用同一个比特币地址,这也是老生常谈的建议。
中本聪甚至在比特币白皮书中强调了这一点:
“作为额外的隐私安全保护措施,交易者每发送一笔交易都应该使用一个新的密钥对,以防有人找到这些交易的共同所有者。多输入交易必定会显示这些输入都来自同一个所有者,因此难免会泄漏一些关联性。这里的风险在于,这种关联性有可能在密钥所有者身份曝光时泄漏该所有者的其它交易。”
近年来的密码朋克创新
为了提高比特币用户的隐私性,近年来人们创建了很多系统和最佳范例。PieterWuille博士在BIP32中提出的分层确定性钱包可以大幅降低比特币钱包管理地址的难度。
虽然隐私保护并非PieterWuille的主要目的,但是分层确定性钱包可以轻而易举地生成新的地址用于交易,帮助用户避免地址重用。
椭圆曲线迪菲-赫尔曼-默克尔地址是隐私增强型比特币地址方案。ECDHM地址可以公开分享。交易发送方和接收方可以利用ECDHM地址秘密生成区块链观察者无法预测的传统比特币地址。因此,ECDHM地址是可以重用的,不像传统比特币地址那样会因重用而泄漏隐私。
ECDHM地址方案的例子包括PeterTodd提出的StealthAddresses、JustusRanvier提议的BIP47可重用支付码和JustinNewton等人提议的BIP75带外地址交换等。
用户还可以使用比特币混币器来增强隐私性,但是这种方法需要消耗较多人力资源。将网络参与者的代币混合这一概念类似Chaum博士提出的“混合网络”。
酝酿中的密码朋克创新
虽然密码学货币用户的隐私安全依然存在很多隐患,但是在密码朋克的不断努力下,前途将是一片光明。
零知识证明或将推动隐私保护实现下一个重大飞跃。零知识证明于1985年首次提出,旨在拓宽密码学协议的潜在应用。
基于Back博士在2013年撰写的《具有同态值的比特币》,Maxwell一直在潜心研究保密交易。保密交易使用零知识范围证明来创建比特币交易,使得交易所包含的值仅相关方可见。
保密交易本身就是一大进步。但是,如果我们将它与CoinJoin结合起来,就可以构建一种混币服务,切断交易输入和输出之间的一切关联。
Maxwell曾在旧金山举办的比特币开发者会议上做了一场主题为“侧链要素”的分享。我记得他说了一句话:“IETF里那帮老头最大的遗憾之一就是构建互联网时没有默认采用加密数据传输方式。”
对于比特币的隐私性,Maxwell显然也是这么想的:要是一开始能使用保密交易就好了。如今,Blockstream已经在Liquid侧链上实现了保密交易,来掩盖交易所之间的转账。
Maxwell已经在比特币网络上实现了零知识证明有条件支付,并成功完成了第一笔付款。ZKCP是一种免信任交易协议,可以让买方使用比特币向卖方购买信息。只有当付款完成后,买方才会且一定会收到信息。买卖双方不需要信任对方,或依赖第三方仲裁。
几年前,我写过一篇关于Zerocoin的文章,并指出该系统需要解决一些技术挑战才能变得真正可用。自那以后,研究人员已经让证明变得更加高效,并通过初始系统参数生成解决了信任问题。Zerocoin的愿景即将由Wilcox-O’Hearn创建的Zcash实现。
Zcash提供完全的付款保密性,同时使用公链来维护去中心化网络。Zcash交易会自动隐藏所有链上交易的付款方、收款方和转账金额。只有查阅密钥的持有者才能查看对应交易的内容。由于Zcash交易的内容经过了加密,而且是私密的,系统需要使用新的密码学方法来验证付款。
Zcash采用了一种叫作zk-SNARK的零知识证明结构。zk-SNARK由一群经验丰富的密码学家开发。
交易元数据都是加密的,不会公开转账授权和金额。zk-SNARK被用来证明交易的有效性。Zcash很可能是首个实现防弹匿名性的数字支付系统。
密码朋克薪火相传
密码朋克上下求索的这十年来,计算机技术也有了长足发展。无论是个人还是团体,都能以完全匿名的方式进行通信和交互。
两个人可以在不知道对方真实姓名和身份的情况下交换信息、开展业务并缔结电子合约。当然了,政府会以该技术有可能威胁国家安全、助长犯罪和导致社会分裂为由,来阻碍或遏制它的传播。
密码朋克深知,要想获得隐私,我们必须捍卫它。几个世纪以来,为了捍卫隐私,人们使出了百般手段:窃窃私语、暗处密会、密封信函、紧闭门扉、秘密握手和专人传信。
20世纪之前既没有强大的隐私技术,也没有可以实现低成本大规模监督的技术。
尽管存在隐私增强技术,但是这个世界依然偏重监视而轻视隐私。我们已经进入了很多人口中的密码学战争2.0时期。
虽然密码朋克赢得了第一场密码学战争,但是我们千万不能得意忘形。Zooko有过密码朋克项目的失败经历,他告诫我们要做好迎接失败的心理准备。
密码朋克相信,隐私性是基本人权,包括政府保障的隐私性。他们明白,无论系统的安全性因何种原因被削弱,都会威胁到系统用户的安全。
密码朋克要写代码。他们知道必须要有人编写软件来捍卫隐私性,因此挺身而出。他们还会公开代码,以便其他密码朋克进行学习、攻击和改进。
密码朋克允许任何人使用他们的代码,也不在乎别人是否认同他们编写的软件。他们知道自己的软件无法被破环,广泛分布的系统也无法被关闭。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。