从20世纪90年代到如今:比特币与密码朋克的延续_JOIN:区块链

原文标题:《干货|比特币与密码朋克的延续》,作者JamesonLopp

从比特币到区块链再到分布式账本,密码学货币领域日新月异,以至于我们很难看清它的发展方向。

但是,我们仍然可以发现一些踪迹。虽然密码学货币行业有很多创新技术,但都建立在前人数十年的研究基础上。通过追溯这段历史,我们可以理解比特币运动背后的动机,进而理解比特币对未来的愿景。

20世纪70年代以前,密码学主要由军事机构和间谍机构秘密使用。然而,两个出版物的发布让密码学技术进入了大众视野:美国政府出版的《数据加密标准》以及WhitfieldDiffie博士和MartinHellman博士共同撰写的首部公开的公钥密码学著作《密码学的新方向》。

20世纪80年代,DavidChaum博士撰写了大量关于密码学的论文。其中一篇论文《无需身份证明的安全性:让“老大哥”成为过去式的交易系统》提及了匿名数字现金和匿名声誉系统。

接下来的几年里,这些想法相互融合,形成了一场运动。

在1992年底,EricHughes、TimothyCMay和JohnGilmore组成了一个小团队,每月都会在JohnGilmore位于旧金山湾区的公司CygnusSolutions碰面。这个团队有个诙谐的名字“密码朋克”,是“cipher”和“cyberpunk”的简称。

密码朋克邮件列表就是在这个时候创立的。几个月后,EricHughes发表了《密码朋克宣言》。他写道:

“在电子时代,隐私是实现开放型社会的前提。隐私不能与秘密混为一谈。私事是不想让所有人都知道的事,而秘密是不想让任何人知道的事。隐私是选择性向世界展露自我的权利。”

听起来很有道理。但是你可能会想,我又不是密码朋克,我又没做错什么事,我有什么好隐藏的?但正如BruceSchneier所言,说出“无需隐藏”论的人弄错了前提:并不是只有犯了事的人才需要隐私,使用隐私保护措施并不意味着有鬼。

例如,你在窗户上装了窗帘,防止外人看到屋内。这不能说明你在从事什么非法或不道德的活动,只是因为你担心向外界暴露自己可能会带来的负面影响。

正在阅读这篇文章的你会发现自己是密码朋克运动的直接受益者。

下面是一些知名密码朋克和他们所做的贡献:

JacobAppelbaum:Tor的开发者

JulianAssange:维基解密的创始人

AdamBack博士:Hashcash的发明者兼Blockstream的创始人

BramCohen:BitTorrent的发明者

HalFinney:PGP2.0的主要作者兼可重复使用的工作量证明的创造者

TimHudson:SSLeay的合著者

PaulKocher:SSL3.0的合著者

MoxieMarlinspike:OpenWhisperSystems的创始人

StevenSchear:“权证金丝雀”概念的提出者

BruceSchneier:知名安全研究作者

ZookoWilcox-O’Hearn:DigiCash的开发者兼Zcash的创始人

PhilipZimmermann:PGP1.0的提出者

20世纪90年代

20世纪80年代至90年代这10年间爆发了密码学战争,美国政府试图扼杀密码学技术商用的趋势。

这期间,密码学几乎完全被当作军事技术垄断,加密技术被列入美国军需品清单的第13类,遭严令禁止“出口”。

由于出口限制,“可出口”的SSL加密技术只支持40位的密钥长度,使用一台个人电脑花几天即可破解。

由于公民自由主义者和隐私倡导者对美国政府侵犯公民隐私的控诉、加密软件在美国境外的普及和MattBlaze成功黑入美国政府提出的带后门的?Clipper芯片,美国政府最终放弃了对密码学技术的垄断。

1997年,AdamBack博士发明了Hashcash。Hashcash是一个抗垃圾邮件机制,通过有效提高发送邮件的成本,让垃圾邮件发送者血本无归。

AdamBack认为Hashcash会比Chaum的digicash更易用,因为用户不需要创建账户。另外,Hashcash还采取了一些措施来防止“双重花费”攻击。

1998年底,WeiDai?提出了“b-money”的设想,用来执行匿名参与者之间的协议。他提出了两个有趣的概念,想必你不会感到陌生。第一个概念是让每位参与者都维护一个独立的数据库,用来记录用户的资金归属情况;第二个概念是第一个的变体,由一部分参与者记录用户的账户资金余额,这些参与者需要交纳押金来防止作恶。

比特币采用了第一个概念,其它很多密码学货币项目则采用了第二个概念的变体。

21世纪

显然,密码朋克基于彼此的研究成果进行了长达数十年的构建工作,实验并创建了20世纪90年代所需的框架。然而,最关键的还是21世纪诞生的密码学货币。

2004年,HalFinney基于Back的Hashcash?创造了可重复使用的工作量证明。RPOW是只能使用一次的特殊密码学代币,很像是比特币的未花费交易输出。但是,验证和防止双重花费攻击仍由中心化服务器执行。

NickSzabo在2005年提出了“bitgold”——基于Finney的RPOW创建的数字收藏品。然而,Szabo并没有提出一种机制来限制bitgold的总发行量,而是设想每单位bitgold的价值会根据创建它们所需的计算量有所不同。

最后,在2008年,中本聪发布了比特币白皮书,并在其中提到了hashcash和b-money。实际上,中本聪曾在发给WeiDai的电子邮件中提到他从Back博士那里了解了b-money。

中本聪在比特币白皮书中专门提到了隐私:

“传统的银行模式会通过限制访问相关方的信息和可信第三方来实现一定程度的隐私性。在必须公开所有交易信息的情况下,传统的隐私保护方法行不通,但是还有另一种方法:通过隐藏公钥持有者的身份来阻断信息流。公众可以看到有人将一笔资金发送给了另一个人,但是无法通过任何信息将这笔交易与任何人联系起来。其信息公开程度类似于证券交易所。证券交易所只通过证券买卖汇总记录带公开每笔交易的时间和规模,但是不会泄漏参与方的身份信息。”

分叉的系统,极大地推动了密码学技术的发展。

比特币的诞生让整场密码朋克运动如虎添翼。它使得维基解密等组织在被传统金融系统列入黑名单之后,依然可以通过比特币捐款来维持运营。

隐私保护斗争

然而,随着比特币生态系统近年来发展壮大,隐私问题似乎被淡化了。

很多早期比特币用户以为比特币系统可以让他们完全匿名,但是据我们的了解,很多执法机构都透露过它们能够在调查期间查明比特币用户的身份。

OpenBitcoinPrivacyProject?通过对用户进行隐私性教育和推荐最佳比特币服务用例弥补了这方面的不足。该团体构建了一个关于比特币钱包隐私性攻击的威胁模型。

该模型目前将攻击者分为以下几类:

区块链观察者?——通过观察价值流的模式来将不同的交易和同一个身份联系起来。

网络观察者?——通过观察点对点网络上的活动来将不同的交易和地址联系起来。

物理攻击者?——尝试查找钱包设备上的数据来篡改该钱包或对其进行分析。

交易参与者?——创建交易来追踪区块链上的活动并识别交易者的身份。

钱包提供商?——可能会要求用户提供个人身份信息,然后观察他们的交易。

Blockstream的JonasNick就比特币用户的隐私问题进行了大量研究。

JonasNick在一次精彩的演讲中揭露了很多隐私漏洞。其中一些漏洞对SPV比特币客户端来说是毁灭性的:

地址:https://youtu.be/HScK4pkDNds

就比特币而言,最大的隐私威胁来自区块链观察者——由于网络中的每笔交易都是永久公开的,无论是现在还是将来,任何人都有可能威胁到比特币用户的隐私性。

因此,最好的做法就是永远不要重复使用同一个比特币地址,这也是老生常谈的建议。

中本聪甚至在比特币白皮书中强调了这一点:

“作为额外的隐私安全保护措施,交易者每发送一笔交易都应该使用一个新的密钥对,以防有人找到这些交易的共同所有者。多输入交易必定会显示这些输入都来自同一个所有者,因此难免会泄漏一些关联性。这里的风险在于,这种关联性有可能在密钥所有者身份曝光时泄漏该所有者的其它交易。”

近年来的密码朋克创新

为了提高比特币用户的隐私性,近年来人们创建了很多系统和最佳范例。PieterWuille博士在?BIP32?中提出的分层确定性钱包可以大幅降低比特币钱包管理地址的难度。

虽然隐私保护并非PieterWuille的主要目的,但是分层确定性钱包可以轻而易举地生成新的地址用于交易,帮助用户避免地址重用。

椭圆曲线迪菲-赫尔曼-默克尔地址是隐私增强型比特币地址方案。ECDHM地址可以公开分享。交易发送方和接收方可以利用ECDHM地址秘密生成区块链观察者无法预测的传统比特币地址。因此,ECDHM地址是可以重用的,不像传统比特币地址那样会因重用而泄漏隐私。

ECDHM地址方案的例子包括PeterTodd提出的?StealthAddresses、JustusRanvier提议的?BIP47?可重用支付码和JustinNewton等人提议的?BIP75?带外地址交换等。

用户还可以使用比特币混币器来增强隐私性,但是这种方法需要消耗较多人力资源。将网络参与者的代币混合这一概念类似Chaum博士提出的“混合网络”。

现有的几种混币算法包括:

CoinJoin?——第一个混币算法是Blockstream的联合创始人GregoryMaxwell提出的CoinJoin。它可以让用户使用来自多方的输入创建交易,然后将比特币发送至多个输出,由于每笔资金都被混合在了一起,输入和输出之间的关联很难被找到。

-简单的CoinJoin交易示意图-

JoinMarket?——开发者ChrisBelcher提出的JoinMarket可以让比特币持有者通过提供比特币来参与CoinJoin混合来赚取手续费。JoinMarket使用了某种智能合约来避免用户的私钥离开本地,从而降低私钥丢失的风险。简而言之,JoinMarket可以让你以低成本且去中心化的方式来提高比特币交易的隐私性。

CoinShuffle?——一群德国萨尔大学的研究者开发了去中心化混币协议CoinShuffle。CoinShuffle是CoinJoin的改良版,不需要可信第三方来创建混币交易,因此不会收取额外的混币费。

CoinSwap?——Maxwell提出的CoinSwap与CoinJoin差别很大,因为它使用一组4笔多签交易来实现双方的免信任代币交易。它虽然在效率上远低于CoinJoin,但是可以提供更强的隐私性,甚至实现跨链代币交易。

混币无异于“藏木于林”,只是这片林子通常不会很大。混币只能产生混淆,无法实现完全匿名性,因为这类方案只能让低段位的观察者难以追踪资金流向,但是高段位的观察者依然有可能破解混币交易。

2014年,KristovAtlas在一篇文章中阐述了CoinJoin客户端实现不当会产生的弱点。

Atlas指出即使使用比较粗糙的分析工具,他也能找出一笔CoinJoin交易内69%的输入和53%的输出。

甚至还有一些聚焦隐私性的密码学货币。

例如,EvanDuffield和DanielDiaz设计的Dash有一个叫作“Darksend”的功能。Darksend是CoinJoin的改良版,主要在使用金额和混币频率上进行了改进。

Dash的混币方案使用0.1DASH、1DASH、10DASH和100DASH等常见金额,大幅提高了输入输出分组的难度。在每个混币会话中,用户提交相同的金额作为输入和输出。

为使混币的隐私性最大化,让时序攻击难以成功,Darksend会自动以特定的时间间隔运行。

隐私币甚至没有在比特币的基础上构建。2014年,NicolasvanSaberhagen发布了?CryptoNote?的白皮书。一些密码学货币就是根据?CryptoNote?概念实现的,例如门罗。主要的创新是密码学环形签名和一次性密钥。

常见的数字签名都是由一对密钥创建的。因此,只要有人能使用私钥签署一笔交易,即可证明该私钥对应的公开地址为ta所有。

环签名由AdiShamir博士等人在2001年首次提出,基于Chaum博士和EugenevanHeyst?在1991年提出的群签名构建。环签名需要一群参与方,各参与方持有自己的密钥对。

环签名能够证明某个信息的签名者是群成员。它与普通数字签名方案的主要区别在于,签名者只需要持有一个私钥,但验证者无法确定签名者的确切身份。

因此,如果你看到包含Alice、Bob和Carol的公钥的环签名,你只能断定签名者就是三人之一,但是无法知道被签署的交易究竟属于谁。环签名提供了另一种层次上的混淆,让区块链观察者难以追踪系统中每笔付款的归属。

有趣的是,环签名是针对告密场景提出的,可以在不泄漏告密者身份的同时证明其消息来源的可信度。

-环签名-

CryptoNote旨在降低密钥重用和利用输入追踪输出所产生的风险。付款地址是利用付款方和收款方的数据生成的一次性密钥。只要你在输入中使用环签名,它到底花了哪笔交易的输出会变得更加难于确定。

如果区块链观察者试图根据区块链上的交易找出已使用过的地址之间的关联并绘制关系图,将得到一个树状图,因为没有地址被二次使用过。随着交易越多,树状图的可能性会呈指数级增长,因为每个环签名都会为地址之间的价值流动增加不确定性。

因此,你无法确定具体的付款地址。

根据环签名所涉及的参与者人数,每笔交易的混淆性从“1/2”到“1/100”不等。每新增一笔交易都会增加熵值,并提高区块链观察者的追踪难度。

-抗区块链分析-

酝酿中的密码朋克创新

虽然密码学货币用户的隐私安全依然存在很多隐患,但是在密码朋克的不断努力下,前途将是一片光明。

零知识证明或将推动隐私保护实现下一个重大飞跃。零知识证明于1985年首次提出,旨在拓宽密码学协议的潜在应用。

基于Back博士在2013年撰写的《具有同态值的比特币》,Maxwell一直在潜心研究保密交易。保密交易使用零知识范围证明来创建比特币交易,使得交易所包含的值仅相关方可见。

保密交易本身就是一大进步。但是,如果我们将它与CoinJoin结合起来,就可以构建一种混币服务,切断交易输入和输出之间的一切关联。

Maxwell曾在旧金山举办的比特币开发者会议上做了一场主题为“侧链要素”的分享。我记得他说了一句话:“IETF里那帮老头最大的遗憾之一就是构建互联网时没有默认采用加密数据传输方式。”

对于比特币的隐私性,Maxwell显然也是这么想的:要是一开始能使用保密交易就好了。如今,Blockstream已经在Liquid侧链上实现了保密交易,来掩盖交易所之间的转账。

Maxwell已经在比特币网络上实现了零知识证明有条件支付,并成功完成了第一笔付款。ZKCP是一种免信任交易协议,可以让买方使用比特币向卖方购买信息。只有当付款完成后,买方才会且一定会收到信息。买卖双方不需要信任对方,或依赖第三方仲裁。

几年前,我写过一篇关于Zerocoin的文章,并指出该系统需要解决一些技术挑战才能变得真正可用。自那以后,研究人员已经让证明变得更加高效,并通过初始系统参数生成解决了信任问题。Zerocoin的愿景即将由Wilcox-O’Hearn创建的?Zcash?实现。

Zcash提供完全的付款保密性,同时使用公链来维护去中心化网络。Zcash交易会自动隐藏所有链上交易的付款方、收款方和转账金额。只有查阅密钥的持有者才能查看对应交易的内容。由于Zcash交易的内容经过了加密,而且是私密的,系统需要使用新的密码学方法来验证付款。

Zcash采用了一种叫作zk-SNARK的零知识证明结构。zk-SNARK由一群经验丰富的密码学家开发。

交易元数据都是加密的,不会公开转账授权和金额。zk-SNARK被用来证明交易的有效性。Zcash很可能是首个实现防弹匿名性的数字支付系统。

密码朋克薪火相传

密码朋克上下求索的这十年来,计算机技术也有了长足发展。无论是个人还是团体,都能以完全匿名的方式进行通信和交互。

两个人可以在不知道对方真实姓名和身份的情况下交换信息、开展业务并缔结电子合约。当然了,政府会以该技术有可能威胁国家安全、助长犯罪和导致社会分裂为由,来阻碍或遏制它的传播。

密码朋克深知,要想获得隐私,我们必须捍卫它。几个世纪以来,为了捍卫隐私,人们使出了百般手段:窃窃私语、暗处密会、密封信函、紧闭门扉、秘密握手和专人传信。

20世纪之前既没有强大的隐私技术,也没有可以实现低成本大规模监督的技术。

尽管存在隐私增强技术,但是这个世界依然偏重监视而轻视隐私。我们已经进入了很多人口中的密码学战争2.0时期。

虽然密码朋克赢得了第一场密码学战争,但是我们千万不能得意忘形。Zooko有过密码朋克项目的失败经历,他告诫我们要做好迎接失败的心理准备。

密码朋克相信,隐私性是基本人权,包括政府保障的隐私性。他们明白,无论系统的安全性因何种原因被削弱,都会威胁到系统用户的安全。

密码朋克要写代码。他们知道必须要有人编写软件来捍卫隐私性,因此挺身而出。他们还会公开代码,以便其他密码朋克进行学习、攻击和改进。

密码朋克允许任何人使用他们的代码,也不在乎别人是否认同他们编写的软件。他们知道自己的软件无法被破环,广泛分布的系统也无法被关闭。

—–BEGINPGPSIGNEDMESSAGE—–

Hash:SHA256

PublicKey:?https://keybase.io/lopp/key.asc

TheoriginalCypherpunksmailinglistnolongerexists,buttherearemoreCypherpunksnowthaneverbefore.Wediscussourideasonawidevarietyofemaillists,chatrooms,andsocialmediaplatforms.Thereismuchworktobedone;whilegreatprogresshasbeenmadedesigninganddeployingprivacyenhancingsystems,theyarestillfarfromperfectanditisstillfartoodifficultfortheaveragepersontobenefitfromthem.TherearemanybattleslefttobefoughtintheCryptoWars;takeupyourkeyboardsandletusproceedtogetherapace.

—–BEGINPGPSIGNATURE—–

wsFcBAEBCAAQBQJW9VrFCRAnjdn7DA6bSQAAI68QAKxMRyGXfr8g0xhNJadJFaH6

iXJlvPA74h3oSKV97lOAejY8yGyhyb8UodF5H3YBqSrLUCEF2Xj8U4pCl5imvSe

uuRfxbSeyUcgMonxF8W4dswcU0Ls1znLbpVkoLiRNAkkFVGLyGY0eC7dDQ17okf

mTzjaW6/3Ed289yz7Lj5fE6pST4L7IsOEdlyPSm/1Rn6jLVaQ/WoNGB/xPUjNZw

zagpg5qHGgcTCHCPZR9i1obsJtKLHLCRhCCxHQ6ldAiLXJn0WeOCHYIRhaC4fr0P

CyBB2BwzXccVh4PUvgc4OEXTFvZUCkvUd88Z3j5ZN8r0ZJB83ZPITk7TMueneYW

Ery21LXG2WvCACwPzELM9GkaOLkEDgiENDq20CsM6VQl3GkiCj3KdFl9btYvzw

tpiHbmvE4HMepiVc4TjhEmIiCTMAjkcn0MRQl/tJsPw5dyQBs22O/cslzc3wT

Ky7DA4jIbMk993FpDsZwyqpvkPXWylLofbqq6DmLYCu1ahpdV8X18kApeY0W2E8

rsPDr4eukXnLdDemoqFDtsIYDPb/LdQe5RaXuH7/xpWzWuOccOe305pUZnic7CO3

5cVnSg7KgUjfZhfHPijyTzHKO8QShSl7bSMW/botaO9C/wha0/qmnWVMdUwBVyj

BLDeMjqvB87UbJE5E7rl

=hR9e

—–ENDPGPSIGNATURE—–

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-4:950ms