本文從隱私安全的角度,將比特幣和匿名幣門羅、Zcash、Grin、Beam之間的優劣勢進行對比,誰會是大勢所趨?
本文原作者Eric Wall,發表於Medium,譯者頭等倉Tracey
引言:本文出自Zcash基金會資助的人權基金會(HRF)所發佈的《隱私和加密貨幣》系列文章之第三部分,由新加入HRF的Eric Wall撰寫,目前他是HRF的匿名技術研究員。本文從隱私安全的角度,將比特幣和匿名幣:門羅、Zcash、Grin、Beam之間的優劣勢進行對比,我們只需比特幣就夠了,還是匿名幣有其存在的必然價值?聽聽作者怎麼說吧。
“大多數情況下,錢比自由更容易獲得。”
在本系列的前兩篇文章中,我們討論了使用比特幣時留下的蛛絲馬跡,以及避免留下這些痕跡的工具。顯然,從隱私方面來看,比特幣可能比目前的電子金融系統進步許多。然而,要充分讓比特幣成為交易媒介,還有許多困難需要克服,尤其在對手十分聰明且資源充足的情況下,更是困難重重。
雖然有些軟件了可以模糊資金足跡,但這些功能很少免費,而且目前它們的代碼沒有經過全面審計,我們可以認定它們存在潛在的隱私漏洞。比特幣在開發不同層的過程中都明顯地有在隱私方面下功夫的趨勢,但如果目的是保護隱私,為何不直接使用匿名幣呢?
用戶對人權基金會的加密貨幣和隱私倡議產生了相同的回應
比特幣的侷限性
在本系列的第二篇文章中,我們討論了一個應用場景,用戶用一個從未使用過的新地址接收比特幣,操作非常簡單。只需一個用計算機代碼和數學生成的比特幣地址,無需任何提問,就能接收來自世界任意位置任意人的資金。發送方傳輸交易,接收方無需在比特幣網絡中廣播任何內容。即使比特幣被認定為違法,比方在玻利維亞和尼泊爾,也無法僅僅從交易中或從ISP網絡流量數據日誌中識別出比特幣所有者的信息。
但即使在這種最簡單的應用場景中,你的隱私仍可能因為交易方而受到威脅。簡單地假設,你從當地交易商那裡購買了比特幣,並且沒有在網絡中留下任何購買足跡。當地貨幣交易商(發送方)是否經常在你所在地區從事比特幣交易?調查機構可以控制你買幣的交易商,進而進一步查詢你的隱私信息。如果你的當地交易商記得你的面容呢?或你開的車?如果有人成功地找出你在系統與其他人進行互動的信息,在區塊鏈中搜索自你購幣以來的記錄,會得出怎樣的信息來呢?
你可能會採取預防措施,避免在第一次面對面購幣時留下蛛絲馬跡。但當你開始更頻繁地在不同場景中使用不同類型的設備交易時,你就需要採取更嚴密的預防措施。一個不小心,就會暴露你的隱私。在使用比特幣時,想要保護自己的隱私,需要具備“UTXO意識”。也就是說,即使你是一個頻繁使用CoinJoin的用戶,也要記住自己在交易中使用了哪些比特幣,用自己的軟件做了哪些事情。如果用戶只是想將加密貨幣作為日常支付使用,則會感到異常麻煩。
可以使用閃電網絡嗎?
在本系列的第一篇文章中,我們提到閃電網絡提高了比特幣的匿名性,當然你可以成為閃電的早期採用者,但你需要接受這樣一個事實:首先閃電網絡是一種擴容技術,而不是一項隱私技術。目前需要具備一些專業知識和預備金,才可以部署一個閃電支付系統。閃電系統目前正處於快速發展階段,其在隱私方面的影響尚未有全面研究,但其潛在缺點已湧現。而且,作為一項新興技術,尚不明確還不確會有多少人用這個系統交易。
Liquid側鏈
Liquid側鏈的安全性不同於比特幣網絡。你可以把Liquid網絡想象成一個11/15的多重簽名錢包;用戶在側鏈網絡中的所有資金都委託給多簽名成員。Liquid的隱私優勢在於,它使用了Adam Back和Gregory Maxwell的機密交易技術,隱藏了交易中的發送金額。該技術不僅僅只是隱藏了金額,僅憑隱藏金額,攻擊者還是能查明交易雙方。目前採用Liquid的零售用戶屈指可數,而且零售用戶也並未定義為Liquid的目標群眾。
匿名幣
在加密貨幣社區中已有這樣一種共識,維護透明的比特幣區塊鏈的隱私是一項嚴峻挑戰。理想情況下,將來的隱私修正方案讓新手也能安全地使用比特幣。在實現這個理想之前,探索比特幣的替代品是個不錯的選擇。因為在現實中,金融監管已成為一個日益嚴峻的事實。
匿名幣的目標是利用密碼學,以一種靈活的方式,讓查看者難以理解網絡上的信息和賬目,同時任何人都可以驗證貨幣遵循的規則,將所有規則轉化為一種可擴展、安全的、獨立信任且用戶友好的格式。匿名幣系統當前是正在被研究的領域,在各方面都需要妥協。如果匿名幣無用武之地,那麼比特幣今天也不會表現出匿名的特性了。
其實,如今許多匿名幣技術(比如匿名幣Monero、Grin與Beam利用的機密交易)都源於比特幣的研究理念,但由於種種原因,這些理念沒有被納入比特幣的基礎協議。為何比特幣在提升隱私特性方面這麼謹慎呢?除了轉換和實現困難,提升隱私特性技術還會讓交易空間變大,損害系統的可擴展性。更重要的是,可以直接用計算機算出來的代幣供應量,是根據不同的匿名幣項目各自決定的,而不是按照預期,以密碼學式的信任方式進行工作。
在Monero中,我們發現並修復了一個影響所有基於CrytoNote加密貨幣的重大漏洞,這個漏洞允許創建無數個代幣,而查看者無法檢測到這種濫發代幣的情況,除非他們發現這個致命漏洞,並能夠把它找出來。
——getmonero.org, 2017年5月17日
我們發現並修補一個零知識證明偽漏洞[…]攻擊者可能創造了假Zcash,系統卻未檢測到 […]這個漏洞是如此微小,避開了密碼學家的多年研發的零知識證明系統。
——Electric Coin Company,2019年2月5日
並非只有匿名幣有漏洞,而比特幣卻沒有。每一種加密貨幣都有漏洞,包括比特幣。主要區別是,匿名幣的攻擊者利用漏洞印錢,可能多年都無人發現,這樣攻擊者便有充足的時間與其他用戶交易這些多印出來的代幣。這樣即使檢測到攻擊,也只能接受代幣界限被打破的事實,如此可能損害代幣的市值。儘管比特幣有種種缺點,但它的透明性確保了用戶及時發現比特幣的供應漏洞,在漏洞造成系統性損傷之前,及時止損。
此外,代碼漏洞不侷限於代幣供應。雖然理論上即使橢圓曲線密碼學被破壞了,以隱私導向的加密協議可以保護隱私,但如果密碼學協議自身出現漏洞,隱私便無法得以保護(例如軟件應用洩露信息或以錯誤的方式計算值)。唯一的解決辦法是讓更多人檢查我們使用的代碼。但這意味著查看非主流的加密貨幣或應用程序的代碼的人更少,這不僅增加了資金被盜風險,更是增加暴露隱私的風險。具有諷刺意味的是,我們的初衷是希望這些系統可以保護自己的隱私。
Robert Frost的一首著名的詩中說道:走“少有人走的路”可以給你帶來獨特的體驗、點綴你的生活。但在開源軟件和加密貨幣領域,這些體驗很可能是漏洞和災難,可能會把你的個人數據暴露在公眾面前,讓你失去所有的錢。
匿名幣太複雜了,又難以琢磨。如果你對所有這些聲稱有魔法的新項目感到興奮,那麼你應該先保持懷疑的態度。如果你對想象中的比特幣的發展速度感到沮喪——那你就錯了,事實上比特幣發展得太快了。要認識到這點既困難又可怕。我們需要放慢步伐,小心為上。
——Andrew Poelstra,Blockstream研究總監,Mimblewimble協議的聯合發明人(Mimblewimble是Grin和Beam的基礎協議)
這是否意味著匿名幣是一種失敗的嘗試?瞭解優劣勢和風險很重要,一旦我們綜合優劣勢並衡量了風險後,就能做出有一定根據的決策。雖然使用匿名幣肯定存在風險,事實使用任何東西都有風險。雖然用匿名幣來保留我們的畢生積蓄可能不是最聰明的做法,但如果你能承受一定的風險,它們仍然是可行的選擇。
與比特幣相比,匿名幣的缺點有以下幾類:波動性、災難性漏洞和故障的風險更高,以及目前接受匿名幣支付的領域少之又少。匿名幣的優點是大大改進了內置的隱私功能。
進入匿名幣的世界
減少上述缺點的最好做法是篩選出一位能力相當的開發人員在背後支持匿名幣。根據市值(包括新發行匿名幣的隱藏市值信息),我們挑選出的四大匿名幣分別是Monero、Zcash、Grin和Beam。
截至2019年7月16日
我們分別與每個項目的負責人進行了交流,要求他們用自己的話來描述項目的優點,特別是與其他項目相比自身的優點。最終採訪者都述說了相似的目標,但在一些方面又不盡相同,每個匿名幣都在隱私性、安全性、信任獨立性、可擴展性和用戶友好性方面有自己的折衷方案。
大多數加密貨幣(包括匿名幣)都是健康的,但隨著協議不斷修改,本文介紹的大部分內容在未來也許會發生巨大變化。
1. Monero
Monero沒有創始人獎勵,沒有信任設置,也沒有預挖礦。Monero是一種符合FinCEN(美國金融犯罪執法網絡)的規範和指導的真正去中心化虛擬貨幣。Monero背後沒有公司,意味沒有管理機構來監管Monero。在Monero中,每個用戶都是強制匿名的,於是就有了一個龐大的匿名集。貨幣政策也很重要,Monero每個區塊的最低獎勵是0.6 XMR,永久不變,以確保無需依賴區塊大小和交易費用的稀缺性來激勵礦工為系統提供安全保障。交易增長使匿名性進一步提高。
任何聲稱偏好隱私的人,反對擁有無限資源的攻擊者,我們都需要對其持保持謹慎和懷疑的態度。但我非常肯定Monero在當前市場提供了一個極具競爭力的隱私方案。
——Francisco “ArticMine” Cabañas,Monero核心團隊
Monero創立於2014年,是四大匿名幣中最經典的一個項目。這是一個由社區推動的項目,沒有總部,沒有創始人特殊獎勵,因此廣受讚譽。與比特幣一樣,它也是一個草根項目。Monero中具體提供隱私的技術是環形簽名、環形機密交易和隱蔽地址。簡而言之,這三項技術將帶有一組誘餌(decoys)的被花費的金額混合起來,隱藏了發送的金額和收件人地址。
上段中的關鍵詞是“mix(混合)”和“hide(隱藏)”。當某樣東西被混合起來時,就難以追蹤了,因為有太多幹擾的東西,就像當11首其他歌曲同時播放時,很難從中識別出某首歌的音符。在這個比喻中,同一時間播放的歌曲數量稱為 “匿名集”。反之,隱藏某些東西時,既沒有“噪音”,也沒有“聲音”(從隱私的角度來看,顯然第二者是更好的選擇)。
Monero結合了混合和隱藏技術,達到了良好的隱私性,但它的隱私性並不是完美的。Monero作為首個匿名幣,曾經面對過需要解決著名的可追溯性漏洞的問題,讀者可以訪問Monero研究實驗網頁,查看Monero曾經解決過的挑戰。學習隱私新攻擊載體、修補載體並繼續前進是一個持續的流程。
雖然Monero交易在廣播之前都會混合,用戶仍希望模糊發出混合交易的IP地址。Monero可以與Tor一起使用,另一個網絡層隱私解決方案正在開發當中。
錢包推薦:Monero GUI錢包+ Monerujo(Monerujo是款安卓錢包應用,可以連接到你的Monero GUI錢包桌面節點)。
2. Zcash
Zcash在機器學習和人工智能的世界中保護你的隱私安全。Monero、Grin、Beam則不然。他們用誘餌支付來做掩飾。雖然有所幫助,但誘餌並不能阻止商家通過你的支付追蹤你。誘餌不會阻止老闆知道你多次光顧射擊場或同性戀酒吧的事實。如果你是一個異議分子,試圖在網上接受捐款,即使你隱藏了真實身份,誘餌也不能保障你的安全。在這方面,Monero、Grin、Beam敗績累累:從匿名警察那裡收取少量捐款,就能讓專制政府查到並拘留你。
Monero、Grin和Beam的這種基於誘餌的隱私方法,就像在你和妻子聊天時,拼寫出S - - E - - - X一樣好使,這樣你三歲的孩子就不會知道你的午睡時間計劃了。目前它可能行得通,但隨著你孩子長大,該方法就不湊效了,而且追蹤人們使用的區塊鏈技術還只是初級階段(日後的發展潛力不可估量)。
——Ian Miers, Zcash聯合創始人
Zcash的“zk- snark”提供了最高的隱私性(相比所有加密貨幣)。它無需使用混合技術,只是簡單地查看區塊鏈,無法發現任何關於發送方、接收方或發送數量的信息。在查看者沒有獲得任何有效信息的情況下,確保了系統的整個驗證模型安全。Miers說得很對,任何人工智能或機器學習算法都無法通過分析區塊鏈得出有關用戶的身份信息。
然而,Zcash必須為這項看似神奇的隱私技術付出代價。這個代價是可信設置(trusted setup)。在高度敏感的初始化階段,由一組人一個接一個地生成隨機數據,之後這些人不能再彼此共享這些數據。如果把這些數據合併,他們就可以用這些數據來偽Zcash。在最近的設置中,有87名參與者(通過PGP確定)參與。
進一步說,雖然代幣的隱私性並不依賴於混合技術,但也並不意味著匿名集有無數個。相反,匿名集變成了貨幣所有用戶的集。不好的一點是,在Zcash中,由於默認情況下不啟用保護交易信息的zk-SNARK技術,所以實際情況並非如此。Zcash有兩種地址類型,t地址和z地址,只有z地址的交易是完全隱蔽的。t地址和普通的比特幣交易一樣透明。意味著Zcash中隱蔽交易的匿名集恰好就是剩餘的其他隱蔽交易。
截至2019年7月17日,Zcash的使用量統計。在過去24小時的5330筆交易中,只有完全隱蔽了29筆交易(額外的交易來自隱蔽的“Snapling”交易,但統計網站尚未識別)。
舉一個例子來解釋,假設朋友讓你早上在上班的路上給他寄些現金。你把自己的一些隱蔽代幣寄到他的z地址。之後,當你在火車站上班時,一位戴著面具的人權活動家來到你的辦公桌前,用Zcash隱蔽交易購買了車票。如果每天使用隱蔽Zcash在全球範圍內最多是幾十個人的情況下,剛從你所在城市購買火車票的人權活動家,有多大機率是你的朋友?
由於隱蔽交易的使用率極低,對Zcash尤其不利,但Zcash並不是唯一存在這個問題的代幣。如果你居住在一個幾乎無人使用加密貨幣的小鎮上,那麼無論選擇哪種加密貨幣,上面的場景都可能適用;某一個使用加密貨幣的人很容易被找出來。這也是可擴展性對匿名幣如此重要的原因,因為系統可以處理的交易數是匿名集增加的重要因素。因此,如果你發現自己身處上述場景,恰巧要進行面對面付款,請用現金支付。
錢包推薦:ZecWallet+Android Companion App。
3. Grin
Grin隱藏了交易金額和發送方和接收方身份,且沒有地址。Grin中的這些隱私保護功能默認為所有用戶和網絡上的交易開放。相比之下,之前一些項目所採用的“選擇隱私”的方式,鼓勵了監視和審查行為,並可能導致被排斥。
Grin的區塊鏈設計是輕量級的,幾乎沒有殘餘數據存儲在鏈上,這樣新用戶可以快速引導和同步。我們不鼓勵過度設計那些帶有未經考慮的功能的協議。Grin證明了在無需犧牲性能和複雜性的情況下,也能保護隱私。
Grin沒有可信設置,依賴於相對簡單的密碼學假設,這些假設經過了時間的檢測。如前所述,實驗性或邊緣的密碼學更易出現災難性漏洞。這並不奇怪,因為世界上很少有人能夠完全理解這些設計,有時甚至連研究人員自己都無法理解,更不用說審核這些設計了。
Grin沒有基金會也沒有公司。沒有投資者需要安撫,沒有辦公室可以搜查,沒有首席執行官可以脅迫,也沒有組織可以傳喚。沒有ICO,沒有預挖礦,沒有開發稅,也沒有以犧牲他人為代價快速致富的方法。開發由社區推動,資金來源是不附帶任何條件的捐贈。
——aniel Lehnberg,Grin開發人員
在本系列的第一篇文章中,我們描述了coinjoin如何將多個交易的輸入和輸出合併到一個交易中。本文我們討論了隱藏交易數量的機密交易,當在coinjoin中使用這些交易時,可以顯著提高其混合功能。後來,人們發現在無需發送方之間進行任何協調的情況下,可以將交易聯合在一起,以及從區塊鏈中刪除中間交易數據的方式,這為一種名為Mimblewimble的新加密貨幣協議的出現創造了條件。
Grin和Beam都是在今年1月成立,在此之前,開發人員對Mimblewimble這個想法已經著迷了2.5年。Mimblewimble協議的魅力在於,它的擴展性比比特幣好,而且在不損害系統的信任獨立性(“去信任”)的前提下,大大改進了內置的隱私功能。許多人認為加密貨幣的去信任非常重要,因此唯一可行的協議就是不在去信任化方面作出任何妥協的協議。雖然Monero的設計理念也是如此,但是基於Mimblewimble的協議同步更快,內存需求更少,因為Grin和Beam區塊鏈上留存的數據更少。
Mimblewimble協議不受信任設置的限制,也沒有在比特幣的基礎上引入任何新的加密假設(Monero也沒有),意味從加密的角度來看,Mimblewimble是安全的。
基於Mimblewimble協議的一個缺點是,要求在發送方和接收方之間交換消息,交易才能生效。意味當兩個人們在交易時,他們的IP地址都暴露給彼此。這導致中間人的產生(如grinbox),在用戶之間傳遞加密消息。這並沒有完全解決問題,因為你仍然將自己的IP地址暴露給中間人。關於該問題的解決方案目前正在開發中,在此期間,可以通過交換文件(例如USB粘貼的文件)來傳輸Grin,避免留下網絡數據足跡。
保護IP是個人的責任。當你與grinbox中繼服務通信時,你將自己的IP暴露給中繼。你可以使用VPN和/或TOR或i2p等服務混淆你的實際IP地址。
錢包推薦:Niffler
4. Beam
Beam比Monero或Zcash有更好的可擴展性,比Grin或Monero更好的隱私性,也比Zcash有更好的實用性隱私(如果你考慮使用實際的私密地址)。
如果你想要簡單易用和最先進的隱私保護技術,Beam是你的不二選擇。試試Beam的移動錢包吧。
——Guy Corem,Beam
要理解Beam所謂的隱私優點,我們必須先掌握一些技術並理解基於Mimblewimm協議的特性。在此回憶一下 Lehnberg說過的一句話:
“Grin隱藏交易金額和身份發送方和接收方,且沒有地址”
雖然這是事實,但是Mimblewimb協議沒有隱藏所謂的“交易圖表”。這意味著在Mimblewimble中,交易在區塊鏈上達到最終確定之前,網絡監察者仍然可以看到交易相互引用的流程。Beam開發人員用術語解釋了這個問題:
假設鮑勃有一家商店,愛麗絲是他的競爭對手,她想知道鮑勃的供應商。於是她付錢給鮑勃(從他那裡買東西),然後鮑勃付錢給他的供應商查理,後來查理付錢給丹,丹付錢給艾琳。愛麗絲看到所有這些交易,但不知道用戶身份。
最終,艾琳暴露了——比如她從愛麗絲那裡買了一些東西。愛麗絲好心地要求[賄賂/威脅/折磨]艾琳告訴自己,她從誰那裡得到了UTXO,這樣丹就會被揭穿,以此類推。愛麗絲確定現有用戶與下一個用戶之間存在關係。
Grin和Beam都在Dandelion stem階段利用了非交互CoinJoins解決了這一問題,這意味著一個交易在網絡中被廣播之前,交易先被轉發給了許多其他的用戶,每個用戶又添加了自己想要發生的交易。由於Mimblewimble協議的性質,交易無需彼此協調便可合併,因此數據包中的內容是混合的,但依然有效。
Beam聲稱自己優於Grin,在於其用戶自己會創建若干偽UTXO(未花費的交易輸出)添加到混合階段,這樣不管有多少用戶正在添加交易,總是出現一個最小匿名集。Beam沒有使用“grinbox”,而是開發了自己的分散尋址系統,目的是讓用戶交流更輕鬆,而不會洩露IP地址。但這些都是非常新的項目,之後可能許多細節會發生變化。
Beam的隱私性仍然是基於混合功能,此外,Beam最薄弱的地方在於,它是四大匿名幣中最渺小的,而且與其他代幣相比,它的運作模式更類似於一個公司的項目。也正因為如此,它與開源社區的聯繫越來越弱(但Beam已經過多次安全審計——最後一次審計在2019年第一季度完成)。
