研究源于数据 研究挖掘机会 研究呈现价值 1 Table_Summary 捍卫 隐私 ： 匿名技术 的兴起 区块链技术引卷之 十 通证通研究院 区块链研究报告 专 题报 告 宏观研究 2019.07.10 通证通 x FENBUSHI DIGITAL 分析师：宋双杰， CFA Email:master117bqbase 分析师： 田 志 远 Email:tianzhiyuanbqbase 分析师： 金佳豪 Email:jinjiahaobqbase 特别顾问 沈波 Rin 更多研究请关注通证通公众号获取 通证通研究院 FENBUSHI DIGITAL 请务必阅读最后特别声明与免责条款 导读 ： 针对 BTC 在 隐私 性方面的 问题，各种各样的匿名通证应运而生 ， 并迅速在数字通证市场占据了一席之地。 摘要： 作为数字通证的先行者， BTC 已历经十年起伏，具备良好鲁棒性的同时也逐渐显露出 隐私保护的局限性 。近年来，随着区块链技术、隐私计算技术、密码学技术等方面的发展，基于各种新兴技术为保护交易隐私而创立的匿名通证 相继出现 。 2012 年 12 月 ， 第一个针对数字通证隐私问题的协议 CryptoNote问世。 该协议介绍了两种技术： 隐私地址技术和环签名技术 ， 分别提供 对 数据接收方和发送方的隐私保护。 2013年 1月 ， BTC开发商 Gregory Maxwell 为提高 BTC的 隐私性提出了 Coinjoin 技术 ， Coinjoin 使用多重签名技术，交易者需各自独立分散完成签名，只有提供了所有签名的交易才能被判定合法，并被网络接收。 2013年 5月 ， 约翰霍普金斯大学教授 Matthew D. Green等人 提出了 Zerocoin协议 。此协议提议允许销毁并重新生成数字通证，以保证通证交易匿名化 且 无需可信第三方参与。 次年 5 月Matthew Green 等人在 Zerocoin 的 基础上 创建了 Zerocash，并提出了一种经典的零知识证明法 zk-SNARKs。 2015年 10月 ， Monero研究实验室的 Shen-Noether提出 RING-CT，该技术基于 CryptoNote协议发展而来， 是一种隐匿 交易金额 的技术 ， 该技术 同时可加快交易速度。 2016年 7月 ， Tom Elvis Jedusorand提 出 Mimblewimble， 该技术 保留 了 BTC基于 PoW共识 的优越特性， 同时针对 UTXO集合进行 了 优化 ，在 大幅提升匿名性 的 同时 ，能够 极大 地 节省 区块链 存储空间 。 风险提示： 监管不确定性 ， 匿名性或影响性能 通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 2 目录 1 匿名伊始 BTC的 “提尔锋 ” . 4 1.1 BTC的隐私策略 . 4 1.2 BTC的 “提尔锋 ” . 5 1.3 “匿名通证 ”应运而生 . 5 2 常见的匿名技术 . 5 2.1 CryptoNote协议 首个数字通证隐私协议 . 6 2.1.1 隐私地址技术 . 6 2.1.2 环签名技术 . 7 2.2 Coinjoin非中心化的 “混币 ”方案 . 8 2.3 Zerocoin、 Zerocash巧用密码学领域的高级证明法 . 9 2.4 RING-CTCryptoNote的继任者 . 10 2.5 Mimblewimble优化 BTC的神奇咒语 . 11 通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 3 图表目录 图表 1： BTC隐私保护的局限性 . 4 图表 2： 常见匿名技术及匿名通证 . 6 图表 3： 隐私地址技术示意图 . 6 图表 4： 环签名技术示意图 . 7 图表 5： Coinjoin技术示意图 . 8 图表 6： 采用环签名技术需要分割交易 . 10 图表 7： 采用 Ring-CT 无须分割交易 . 11 通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 4 1 匿名伊始 BTC的 “提尔锋 ” 2008 年 ， 中本聪发表了闻名遐迩的 Bitcoin: A Peer-to-Peer Electronic Cash System （ BTC： 一个点对点的电子现金系统）并于次年挖掘出第一枚 BTC， 数字通证的概念第一次从设想成为现实。彼时正值金融危机爆发，人们对于 法定货币 的信心大幅削减， 而BTC 的 非中心化 （ Decentralized） 、 抗通胀、 公开透明 、 不可逆性（ Immutable） 和 匿名 性 （ Anonymous） 等 特征 似乎符合人们对于理想货币的设想 。 1.1 BTC的 隐私 策略 在 BTC 初露锋芒 之际 ，媒体和投资者对于数字通证褒贬不一。一部分人的关注点在于 数字通证是否为一种新型的“庞氏骗局”；而另一部分 人 则 聚焦于 BTC的各种 优越 特性 ， 包括 非中心化 、匿名性、不可逆性 等。随着对数字通证的认识越来越深入，公众对于前者 渐渐形成了 共识 开源共享、自由查看 的 BTC不具备庞氏骗局的典型特征 。 但 BTC在运行过程中 也 逐渐 暴露出一些 问题 ，其中之一便是隐私问题。 进行 BTC交易无需提供真实 信息，只需提供与真实信息无关的虚拟信息（ 地址） ， 但 由于 区块链 记载了每一笔交易的 相关 地址 和 金额， 因此 追踪者可以在多次交易中匹配到相同的地址并将 它 们相关联。 正因如此， BTC 的隐私策略 被称 为 “假名” （ Pseudonymity） 。 图表 1： BTC 隐私 保护的 局限性 资料来源： Crypto Ramble， 通证通研究院 2017 年 9 月，美联邦当局通过 BTC 地址在亚特兰大机场抓捕了法国毒枭 Gal Vallerius，这在当时引起了广泛关注。 调查人员发现暗网大毒枭 OxyMonster多次使用同一 BTC地址收款 ，并且 该 地址B T C不能隐藏交易信息通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 5 的 17 次转出交易中有 15 次关联到法国公民 Gal Vallerius。 执法部门 注意到这条线索， 进一步分析开源数据后定位到了 Vallerius 的Instagram和 Twitter账号，对 OxyMonster和 Vallerius的 写作风格 进行对比后， 最终确定其身份。 除了存在隐私方面的问题， “ 假名 ”策略 还 损害了 BTC 的 可替换性 （ Fungibility） 。 1.2 BTC的 “ 提尔锋 ” 可替换性是 指 某种物品 的 独立 单位 本质上可以互换， 黄金和法币都具有可替换性，相同重量的黄金之间、相等面额的法币之间都是等价的，不因 黄金是否经手海盗或者 钞票 是否 曾在黑市流通（ 钞票 虽然 具有编号，但很少会有人注意 这些 编号 ）而改变其价值 。 BTC的 “ 假名 ” 策略 导致其丧失了 “可替换性” 这一特性。 交易记录的公开透明 、 可追溯 和不可篡改 是 BTC作为数字通证深受赞誉的特点，区块链上保存了从“创世块”（ Genesis block） 至今所有的交易记录。 但是 这些特点 如今 成为了 BTC 的“提尔锋”。 持有者 绝不 希望陷入被相关部门冻结通证之类的麻烦， 因此 交易 接收方通常会 拒绝收入 “被污染的” （例如曾 有过非法交易历史 ）的 BTC， 更倾 向于持有干净的 BTC，其中价值最高的就是 第一次从矿工手上流出的 BTC。 注：提尔锋：北欧神话中的魔剑，无坚不摧百发百中，但同时也诅咒所有者步向灭亡。 为 加强 数字通证 交易的隐私性 ， ByteCoin，一种基于 BTC发展而来的加密通证应运而生。 1.3 “匿名通证” 应运而生 作为第一个基于 CryptoNote 协议 的匿名通证， Bytecoin 使用隐私地址技术（ Stealth Address）和环签名技术（ Ring Signature）应对 BTC 在隐私 保护 方面的缺陷。 自 Bytecoin 之后 ，各种匿名通证如雨后春笋般 涌现 ，并且 吸引 了众多 投资者，其中 Monero、 Dash等 匿名通证 的市值 在所有数字通证中稳居前列 （依据CoinMarketCap2019年 6月 24日市值排名， Monero居第十三， Dash居第十 五 ） 。 目前市场上比较 有代表性的 匿名通证包括 已 经过 几年时间验证的 Monero、 Dash、 Zcash等， 由匿名通证硬分叉而来的 Zencash等，以及 Grin、 Beam、 Dero等数字通证圈的新宠。这些匿名通证在信息技术、 匿名 技术、 密码学 等 方面各有突破， 下文将对目前市场上常见的匿名技术 进行介绍 。 2 常见的 匿名技术 针对 BTC的隐私性问题，世界各地的学者们展开了研究， 迄今为止 已经 提出 了 许多比较完善的解决方案 且已在实际区块链项目中得到应用。 目前比较常见的匿名技术包括 CryptoNote、 Coinjoin、 Zerocoin（以及次年基于 Zerocoin 发展而来的 Zerocash）、 RING-CT、Mimblewimble等。 通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 6 图表 2： 常见 匿名 技术 及匿名通证 资料来源： Crypto Ramble， 通证通研究院 2.1 CryptoNote协议 首个数字通证隐私协议 2012 年 12 月，第一个针对数字通证隐私问题的协议 CryptoNote问世。 该协议介绍了两种技术： 隐私地址技术和环签名技术 ， 分别提供对数据接收方和发送方的隐私保护。 2013 年 10 月名义撰写人 Nicolas van Saberhagen更新了 CryptoNote第 2版 。 基于CryptoNote协议的匿名数字通证有很多，包括 Bytecoin、 Monero和Particl（ Monero和 Particl使用 RING-CT协议，此协议基于 CryptoNote发展而来） 。 2.1.1 隐私地址技术 隐私地址技术是隐藏实际交易地址的技术，该技术主要 提供 对数据 接收方 的隐私保护 。 用户进行 BTC 交易时 将 在公共区块链上生成一份标准的 BTC交易记录 ，记录交易 包含 接收方 的地址， BTC使用假名技术保护 接收方 的地址 隐私 ，但是 区块 链 的公开 透明性使追踪者能够将 特定 假名的所有交易相关联， 进而结合其他信息和方法可能追踪到实际交易者 。 CryptoNote的 隐私地址技术使用一次性隐匿地址（后称混淆地址）降低不同交易之间的关联性 ， 发送方 和 接收方 可通过查看密钥确认交易 是否 有效。 图表 3： 隐私地址技术 示意图 资料来源：通证通研究院 相较于其他的隐私策略，隐私地址技术具有 多重密钥 的特性。接收方具有 私钥 b和公钥 B（ B=bG） ， G为 Ed25519曲线上的一个点 。 发送方在交易时取得接收方的公钥 B，生成 混淆地址 P。 该地2012 2014 2016 201720152013M i m b l e w i m b l eC r y p to N o te Z e r o c a s hC o i n J o i n2018 2019R i n g - CTZ e r o c o i nB y t e co i nM o n e r oP a r t i clD a shZ ca shH o r i z e nK o m o d oZ cl a ssi cB i t co i n P r i v a t eM o n e r oP a r t i clG r i nB e a mv i ew k eyX M Ro n e - ti m e s tea l th a d d r es sR e c e i v e rS e nde rv i ew k ey通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 7 址由两部分构成，一部分由接收方的 公钥 B经过哈希生成，这一过程加入了只有发送方拥有的随机数 r； 一部分为接收方的公钥 B。 = ()+ 在交易的开始阶段，支付方 Alice 获得接收方 Bob 的 查看 公钥A和 支付 公钥 B，结合随机数 r经过哈希和椭圆算法获得混淆地址。混淆地址 P生成后被矿工记录 上 链 。 接收方 可以在链上获取 随机数r 经椭圆算法 运算后 的 R（ R=rG） ， 且 bR=brG=rbG=rB，根据此等式接收方可 使用 查看 私钥和 支付公 钥生成相同的混淆地址： = ()+ 接收方通过 R、 私钥 b和 公 钥 B检验区块链上的 所有交易地址以确认是否存在自己的交易 。 检查等式如下： = 隐私地址技术使用一次性的隐匿地址，极大 地 增强 了 交易接收方的安全性，保证通信接收方的信息隐私。 2.1.2 环签名技术 相比于 隐私地址技术， 环签名技术 能够 提供 对 数据 发送方 的隐私 保护 。环签名技术借用 无法追溯来源的共同签名实现数字通证交易签名混淆化。 共同签名混合一群信息发送方的签名，其中之一是信息真正的发起者，其余来自于区块链网络。后者从区块链曾记录的无数签名中提取而来，被称为 诱饵（ decoy） 。 图表 4： 环签名技术 示意图 资料来源：通证通研究院 环签名技术涉及密码学中的单向陷门函数，该函数 首先是一个单向函数 ，通过不对称算法保证不可逆性（即正向计算容易而反向计算困难，例如函数 = ()， 若已知 x欲求 y很容易，而已知 y欲求 = ()则很困难）。 其次具有一个 特定 陷门（也称后门） ，若知道陷门 m 可以很容易 地 计算出 = ()。 在基于单向陷门函数的公开密钥密码体制中，公钥是公开可查的，可用于加密信息，且仅有拥有私钥的接收方可以使用私钥对加密信息进行解密。 生成 签名。 利用 发送方 私钥 与一组区块链上的随机 公钥 进行 运算形成 环签名。 首先，发送方从区块链上获得 r个 混淆公钥 Pi（ i=1，2， ， r） ， 生成 随机数 xi（ i=1， 2， ， r） 并通过 r个公钥 加密 生通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 8 成 yi（ i=1， 2， ， r）。 然后 选取 随机数 v， 并通过特定算法 （ 此算法中， v和 yi为参数）生成 ys。 作为 私钥的 拥有者， 发送者可以 很 容易地 利用 私钥和 ys 计算得 到 xs。 最终的 环签名 P 由 以下参数组成（其中 Ps是发送方的公钥） ： = （ ， ， ， ， ;； ， ， ， ， ） 验证 签名 。 验证者 使用环签名中的参数 xi（ i=1， 2， ， r） ， xs经过各自对应的 单向陷门函数 （即 Pi， Ps） ，求得相对应的输出值 yi（ i=1， 2， ， r） ， ys， 最后将 yi， ys经 过 上述特定算法的逆 运算得到 ，对比验证环签名中 = ，若等式成立则 环签名 有效 。 环签名技术在信息发送环节加入了不可分辨的无效信息，从而能够 保护发送方的信息隐私。 在签名验证环节 通过 验证整体的签名即可确认 交易 信息 的 有效性。 2.2 Coinjoin 非中心化的“混币”方案 2013年 1月 28日， BTC开发商 Gregory Maxwell为提高 BTC的 隐私性提出了 Coinjoin技术 ，其基础为 “混币”技术。 “混币”是一种较朴素的通证匿名技术，指将多个交易者的输入进行混合后输出。观察者无法根据混币后的输出关联 到 交易输入，从而混淆数字通证流向。 然而， 早期的 “混币” 需要可信第三方 的参与， 存在 中心化 风险 和信任问题。在此基础上发展起来的 Coinjoin则 是 非 中心化的混币方案 。 图表 5： Coinjoin 技术 示意图 资料来源：通证通研究院 Coinjoin使用多重签名技术 （ Multisig） ， 交易者 需 各自 独立分散 完成签名， 只有提供了所有签名 的 交易才能被判定合法，并被网络接收 ， 否则，便会悉数分别退回个体的资产。 相比早期的混币服务， Coinjoin能够 有效化解第三方 信任 风险 ，避免了第三方盗窃与泄露混币信息的 可能 。 CoinJoin 是 非中心化 混币机制的基础， 主流匿名 通证 中的 Dash便 应用 了 此协议。 但是，即便 Coinjoin在设计上不需要可信第三方参与，但为保证混币 的 效果，需要有充足数量的数字通证。 这依然导致对数字通证集中 持有 者的依赖性。 Zerocoin协议 针对 此问题提出了 改进方案 。 通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 9 2.3 Zerocoin、 Zerocash 巧用密码学领域的高级证明法 2013年 5月， 为了改进 Coinjoin需要第三方参与的缺陷， 约翰霍普金斯大学教授 Matthew D. Green等 提出了 Zerocoin协议。 此协议提议允许销毁并重新生成数字通证，以保证通证交易匿名化 且 无需第三方参与。 2014 年 5 月， Matthew D. Green 等人 基于 Zerocoin 创建了Zerocash协议 。 该协议利用密码学领域的高级证明 零知识证明方法 对 Zerocoin进行了 完善和改进。 Zerocash提出了一种经典的零知识证明 方 法 zk-SNARKs。 本系列前文已经提到， 零知识证明是密码学的高级证明 （详见 隐私计算：动态的加密技术 区块链技术引卷之八 ）。 证明者在不透露隐私数据的情况下， 可以 向任意第三方证明自己确实拥有特定数据。零知识证明具有完备性、稳定性、零知识性的特点。 理论上，零知识证明是匿名程度最好的隐私计算技术，其学术资本较强。 zk-snark（ Zero-knowledge succint non-interactive arguments of knowledge）是一种经典的零知识证明法，发送方可以在不泄露交易的金额、地址等细节的前提下向验证者证明交易的合法性。 zk-SNARKs的 验证过程主要包含三部分。 第一：抽象编码。 证明者需要向验证者证明他知道某一事实，这一逻辑在第一步被抽象为证明者需要向验证者证明一个多项式成立。例如： ()() = ()() 第二：简单随机抽样。 验证者虽无法直接确 认 多项式成立，但可使用评估点进行评估 。验证者选取随机的评估点 s， 若在评估点上等式成立 （ 即 f(s)g(s)=h(s)w(s)） ， 则说明含参多项式具有一定可信度。通过多次选取评估点能不断提升可信度。 第三：零知识证明。 为了确保证明者不会因为透露 f(s)、 g(s)、h(s)、 w(s)的值 而泄露安全信息，证明者使用同态加密技术将上述值加密。例如使用同态加密函数 E 将上述值加密为 E(f(s)、 E(w(s)、E(h(s)、 E(w(s)，验证者被授权验证加密后的值，如果加密后的值符合下式，则验证成功。 ()() = ()() 但是， zk-SNARKs有两个明显的缺陷。第一， 依赖于可信的初始设置。 基于此方法的数字通证交易要求每一对证明者和验证者都提供一组公共参数以进行零知识证明，而这组公共参数是由协议开发者共同设置的，拥有这些公共参数意味着拥有了造假权。 换言之 ，zk-SNARKs无法避免开发者风险，开发者可能由于不同的原因泄露公共参数。 第二， zk-SNARKs的加密技术基于椭圆曲线密码 ，目前的计算机无法暴力破解。 但随着计算机性能的提高，尤其是量子计算机的进步， 这种不具备量子抵抗能力的方法 可能会在将来被暴力破解。 zk-stark（ Zero-knowledge Scalable Transparent Argument of Knowledge） ， 一种零知识、可扩展、透明的知识论证 正在研究当中。通证通研究院 x FENBUSHI DIGITAL 专题报告 研究源于数据 研究挖掘机会 研究呈现价值 10 该方法能够保证生成证明的所有参数都是公开并随机生成的，同时还具备量子抗性。 2.4 RING-CT CryptoNote的继任者 RING-CT（ Ring Confidential Transactions） 是 一项隐匿 交易金额 的 技术。 这项技术 于 2015年 10月由 Monero研究实验室的 Shen-Noether提出 。在最初的 Monero交易中，为了保证环签名有充足的数据来源，交易 往往 需要被拆分为特定面额 ， 以 保证环签名技术的混淆能力。 图表 6： 采用 环签名 技术 需要 分割 交易 资料来源：通证通研究院 然而， 通证的交易 数额 也属于交易双方的隐私 。基于这一理念，Ring-CT 技术被 提出 并 得到 了 广泛应用。应用 Ring-CT 协议 之后 ，数字通证 只有从区块链中奖励给矿工时 会 显示数额，其后的所有交易将遮罩交易面额 ，转为在交易中提供一个数字 RCXXX 作为交易金额输出。 RCXXX= random + m（真实交易金额） 交易输出由两部分组成，一是随机数，用来遮罩真实金额，由钱包自动产生；另一部分为真实交易金额。 矿工 不能从 RCXXX 中得到交易具体数额，但 可 根据 RCXXX 验证 交易输入是否等于交易输出， 以确认没有伪造产生通证。 在整个环节中， 不论矿工还是其余观察者都无从得知确切的 交易 金额信息。 Ring-CT同时解决了环签名技术需 要 分割 交易 的问题。 公开交易金额削弱了环签名的混淆能力，而隐匿交易金额 能 弥补这一缺陷，同时由于交易金额隐匿后无需分割交易，因此在 提升了交易隐匿性的 同时 ， 也 能够 加快数字通证交易速度。