本文作者:Stanford Blockchain Review;编译:Cointime Freya
简介
对于Web3来说,隐私问题一直是一个悬而未决的问题。它既是加密货币的最大卖点,与去中心化、匿名性和无需信任的原则并驾齐驱;也是其最大的痛点,因为KYC流程繁琐、PII容易被追踪,外界的怀疑目光也始终存在。
许多人认为加密货币的“隐私”只是为恐怖分子融资和洗钱的借口。实际上,加密货币社交媒体Twitter以其“匿名文化”为荣,主流媒体经常(有意或无意地)强化这些偏见,这并没有帮助消除这些刻板印象。
由于Web3隐私是一个包罗万象的概念,涉及到从ape头像到密码学、零知识证明等各个方面,所以在总体上谈论它是好还是坏是没有意义的。相反,我们必须将这个问题分解成不同的小部分。在这篇文章中,我将首先在三个不同的层面上分解和分析Web3的“隐私”基础设施,包括网络层隐私、协议层隐私及用户层隐私。然后探讨零知识证明等技术解决方案在Web3隐私的未来发展中的作用
一、网络层隐私
第一个也是最古老的隐私概念是在网络层。网络层隐私是指通过区块链的底层共识机制和网络设计选择,来保障给定区块链网络上加密货币的每笔交易的隐私。因此,这些币也被称为“隐私币”。
这种隐私概念可以追溯到比特币协议,以及它将“钱包地址”匿名化为160位的加密哈希的想法。虽然比特币本身的交易是完全透明的,任何用户都可以检查其网络上的任何交易,但比特币的去中心化和匿名性的设计原则无疑激发了“网络层隐私”和隐私优先区块链发展的驱动力。
Monero是建立网络层隐私的领先项目之一,这是一个成立于2014年的隐私优先区块链。与比特币不同,Monero通过“环签名”隐藏用户钱包和交易,在给定“环”内的用户可以访问某个群组签名,并使用该群组签名来签署交易。因此,对于Monero网络上的任何给定交易,你只能知道它来自某个特定的群组,但不知道该组中的哪个用户实际签署了该交易。 从本质上讲,这是一种“群体隐私”形式,用户聚集在一起形成群体,为每个人提供隐私。
另一个解决这一领域的项目是ZCash,这是一种名为zk-SNARK的零知识证明(Zero Knowledge Proof)形式的早期先驱,最近得到了推广。零知识证明背后的基本概念是,它是一种在不透露任何进一步信息(可能会损害安全与隐私)的情况下,证明某些事情是真实的方法。
零知识证明的一个典型例子是Gradescope自动评分器。你需要“证明”你的CS作业是正确的,但不需要告诉自动评分器关于你的代码实现的任何进一步细节。相反,自动评分器通过运行一堆隐藏的测试用例来检查你的“知识”,并且你的代码必须与Gradescope自动评分器的“预期”输出相匹配。通过匹配“预期”输出,你可以提供一个零知识证明,证明你已经完成了作业,而无需显示实际代码实现。
在ZCash的情况下,虽然交易默认是透明的,但用户可以选择使用这些“零知识证明”来创建私人交易。当用户想要发送交易时,他们创建一个包含发送者的公共地址、接收者的公共地址以及交易金额的交易消息,然后将其转换为zk-SNARK证明,这是唯一发送到网络的东西。这个zk-SNARK证明包含证明交易有效性的所有必要信息,但不会透露交易本身的任何细节。这意味着网络可以在不知道谁发送、谁接收或涉及金额的情况下验证交易。
尽管Monero和ZCash 在设计和实现上存在差异,但它们的交易隐私都是在区块链层面得到保证的。因此网络上发生的所有交易都自动被保证为隐私。
这种隐私保证很容易被不法分子滥用,以进行洗钱、恐怖活动和贩毒,而Monero尤其因其在暗网上的受欢迎程度而臭名昭著。此外,随着Monero和其他“隐私币”成为非法金融活动的代名词,这迫使使用这些“隐私币”的用户出于合法隐私考虑而离开,从而滋生了一个负面的反馈循环,从而形成更有害的影子经济。
这是在网络层保证隐私的最大缺陷:这是一种“全有或全无”的设计方法,在交易的透明度与交易的隐私之间存在着零和权衡。正是由于缺乏透明度,网络层隐私引起了监管机构的极大不满,这也是Coinbase、Kraken和Huobi等几家主流中心化加密货币交易所,在多个司法管辖区下架Monero、ZCash和其他隐私币的原因。
二、协议层隐私
另一种保护隐私的方法是确保“协议层隐私”,即不将私有交易硬编程到区块链网络的共识层面,而是在区块链网络上运行的“协议”或“应用程序”上处理私人交易。
由于比特币等早期区块链网络的可编程性有限,因此构建“协议层隐私”非常困难,而分叉比特币网络以新区块链和“隐私币”的形式从头开始实施隐私要容易得多。但随着以太坊的出现和“智能合约”的兴起,这为隐私保护协议开辟了一条全新的途径。
Tornado Cash是“协议层隐私”最经典的例子之一,它是以太坊上的一个去中心化应用(dApp),将交易“混合”到一个池中,以保证交易隐私。其概念有点类似于Monero的“混入人群”方法。
Tornado Cash协议大致上有三个主要步骤:
- 存款:用户将其资金发送到Tornado Cash智能合约。这将启动一个带有随机生成的“匿名集”的私人交易,“匿名集”是一组同时进行交易的用户。
- 混合:Tornado Cash将存入的资金与匿名集中的其他用户的资金混合在一起,使得原始发件人或收件人变得难以追踪。这个过程被称为“混合”或“匿名化”。
- 提现:资金混合后,用户可以将资金提现到他们选择的新地址,打破原始地址与目的地址之间的联系。然后,用户可以通过直接从“新”目的地地址向收件人发送资金来完成交易。
不幸的是,2022年8月,Tornado Cash遭到了美国政府的制裁,因为外国资产控制办公室(OFAC)指控朝鲜黑客使用该协议来洗钱。由于此次打击行动,美国用户、公司和网络无法使用再使用Tornado Cash。USDC稳定币发行人Circle更进一步,冻结了与Tornado Cash地址相关的价值超过75,000美元的资金,GitHub也删除了Tornado Cash开发者的账户。
这在加密货币领域引发了一场争议风暴,因为许多人认为,由于绝大多数用户使用Tornado Cash进行合法的隐私保护交易,协议用户不应该因为少数人的不良行为而受到惩罚。但重要的是,由于Tornado Cash是以太坊上的“协议层隐私”,而不是“网络层隐私”解决方案,所以此次打击和影响仅限于以太坊网络上的这一协议,而不是影响整个网络——与Monero和ZCash不同,以太坊并没有因为这些制裁而被Coinbase下架。
Aztec Network开创的另一种“协议层隐私”方法,侧重于通过“rollup”保护用户资金并支持私人交易。Aztec的主要产品是zk.money,它使用2层深度递归的零知识证明来实现扩展性和隐私性。第一个ZKP证明了匿名交易的正确性,确保交易实际上是私人的,且没有信息泄露。第二个ZKP用于rollup本身,以便将批量交易的计算捆绑在一起,并确保所有这些都已正确执行。
虽然基于rollup的“协议层隐私”解决方案仍处于早期阶段,但它们代表了“协议层隐私”解决方案的下一个发展。与基于dApp的“协议层隐私”解决方案(如Tornado Cash)相比,rollup解决方案的一个关键优势在于其增强的可扩展性,因为大部分计算工作主要在链下完成。此外,由于许多rollup研究只专注于增加计算量,因此在将这些技术应用和扩展到隐私领域方面仍有充足的探索空间。
三、用户层隐私
第三种(也是最新的)概念化Web3隐私的方法是,通过探索“用户层隐私”来保护单个用户的数据隐私,而不是专注于用户交易数据。在“网络”和“协议”层面上,我们看到少数不良行为者(如暗网交易和洗钱计划)反复影响网络和协议的使用,而这对于只关心个人数据隐私的大多数无辜用户来说是不公平的。
“用户层隐私”的关键点在于,分离和重新想象用户自身与链上钱包地址之间的关系,因为钱包地址是区块链网络上的原子标识符。重要的是,从用户到链存在一对多的映射:用户通常在与他们交互的每个区块链网络上控制多个钱包地址。这就是“链上身份碎片化”的概念。因此,“用户层隐私”的关键是找到一种安全的方法,将用户的个人身份信息 (PII) 映射到所有这些碎片化的链上标识中。
在这方面的一个关键项目是Notebook Labs,它试图使用零知识证明将碎片身份与用户的PII联系起来,同时提供以下保证:
- 用户可以用任何碎片化的链上身份来证明自己的身份;
- 除非用户的密钥泄漏,否则不可能将这些身份链接在一起;
- 任何第三方或对手都不可能将碎片化的链上身份与用户的真实身份联系起来;
- 凭证可以跨身份聚合;
- 每个人都会接收到一组碎片化的链上身份。
Notebook Labs展示了“用户层隐私”的两个核心原则:重新构想碎片化的链上身份与现实世界人类用户之间关系的重要性,以及零知识证明在聚合和链接所有这些身份中所发挥的重要作用。
“用户层隐私”问题的另一个新兴解决方案是“隐形钱包”的想法。同样,“隐形钱包”的想法利用了链上身份的碎片化,以及用户通常在链上拥有多个身份这一事实。与Tornado Cash和其他试图掩盖交易数据本身的“协议层隐私”解决方案不同,隐形地址试图掩盖发件人和收件人地址背后的真实人物。这是通过找到一种算法来快速自动生成用户交易的“一次性钱包”实现的。
“隐形钱包”与之前讨论的隐私解决方案(如Monero和Tornado Cash)之间的一个重要概念区别在于,这不是一种“群体隐私”。这意味着,与Tornado Cash不同,Tornado Cash只能为ETH等主流代币转账提供隐私保障,而隐形钱包也可以为利基代币和NFT,或没有“人群”可混入的独特链上资产提供安全保障。尽管如此,到目前为止,以太坊上关于“隐形钱包”的讨论还停留在理论阶段,这种新型技术解决方案的实施效果和法律影响还有待观察。
ZKP和Web3隐私的未来
正如我们所见,Web3中的隐私问题非常复杂。在网络层、协议层和用户层采取不同的方法来解决问题,会引发不同的解决方案,并探索了透明度和隐私之间的不同权衡。也就是说,在讨论隐私时,考虑到透明度和问责制的另一面是必要的。
无论好坏,监管机构指出加密货币交易需要加强问责制是正确的。参与洗钱、恐怖主义活动和金融欺诈的不良行为者应该受到制裁,无论他们是否使用法定货币或加密货币完成交易。但是,希望可以在Web3中实现这种问责制,而不是政府完全关闭隐私网络,迫使人们通过“加密裸体”的方式使用区块链。隐私应该被视为一项基本权利和数字尊严的衡量标准。
长期以来,隐私和问责被视为一场零和游戏,你可以隐藏数据并拥有隐私,也可以显示数据并拥有透明。Web3的创新之处在于它开创了优雅的技术解决方案,尤其是零知识证明,以克服这种零和困境。
很多时候,零知识证明被吹捧为解决任何隐私问题的灵丹妙药。但是,尽管ZKP具有数学魔力,但它并非解决Web3所有隐私问题的灵丹妙药,它有几个关键的缺点。首先,ZKP通常是用于证明以特定方式结构化的某个特定信息的高度专业化电路。一般来说,它们缺乏可扩展性和兼容性。其次,它们的创建、运行和维护成本非常高,与同等的非ZKP程序相比,它们需要更多的计算能力。
因此,在考虑ZKP在隐私领域的作用时,重要的问题将始终是“你要证明什么”以及“为什么要证明”?毕竟,天下没有免费的午餐,设计ZKP总是要付出代价。像技术传道者宣称ZKP将解决所有隐私问题一样,监管机构关闭所有隐私协议同样是不负责任的。
从根本上讲,Web3中的隐私不仅是一项工程问题,而且是一个基本原则问题。自比特币白皮书的发布和区块链的商业采用以来,Web3的基本原则之一就是强调无需信任,即你不需要把信息信任给任何有可能背叛你的一方。只有通过去中心化、透明和公正的方式保证用户的隐私,网络才能真正做到无需信任。
那么,在Web3中,隐私应该是什么样子的?这是我们需要决定的最紧迫的问题。
*本文由CoinTime整理编译,转载请注明来源。
所有评论