木星链 木星链
Ctrl+D收藏木星链
首页 > XLM > 正文

ALI:干货 | 要给智能合约增加隐私性并不简单

作者:

时间:1900/1/1 0:00:00

作者:RAVITALSOLOMON翻译&校对:戡乱&阿剑

对用户来说,普通交易的隐私保护基本上算是一个已解决了的问题。如果我们想在不透露账户余额或转账金额的前提下转移密码学货币,我们有诸如大零币或门罗币这样可接受的选项。不过,对于去中心化应用或者智能合约来说,隐私保护仍是一个尚未解决的问题。

是什么让智能合约与普通交易在输入/输出的隐私保护上有所不同呢?

在本文中,我们将解密隐私保护从普通交易拓展到智能合约上会遇到哪些挑战。为此,我们将考察应用于隐私币的常用密码学工具,并探讨为什么这些工具不太适合更复杂的隐私应用。最后,我们将简要介绍最近提出的一些智能合约隐私保护方案。

隐私保护的定义

隐私保护」到底是什么意思?

我们将从函数的角度来定义隐私保护。例如,我们可以把交易看作是一些函数,它以账户余额和转账金额作为输入。然后它输出更新后的余额。

图1:以函数来表示交易过程。

我们可以考虑隐藏函数的输入和输出。就交易而言,这可以让我们隐藏账户余额和转账金额。你会愿意公开你的账户余额和转账历史吗?可能不会吧。因此,我们至少要支持函数的I/O隐私保护。

图2:隐藏函数的I/O。

我们也可以考虑隐藏函数的_调用者_信息。有时候,函数输入会留下关于函数调用者身份的线索。在实践中,隐藏函数的输入和输出通常会和隐藏函数调用者的身份相结合。

FV Bank 任命 Luz Mabel del Valle 为首席风险官:金色财经报道,美国持牌全球数字银行 FV Bank今天宣布任命 Luz Mabel del Valle 为新任首席风险官 (CRO) 和副首席合规官 (CCO) )。

作为 CRO,del Valle 将在执行团队任职,领导所有风险管理职能,包括财务、产品、运营和企业风险。

Del Valle 在银行运营、风险分析和管理方面拥有超过 20 年的多方面专业知识。Luz 曾担任 Encanto Group 的首席合规和会计官、Stern International Bank 的首席合规官以及金融机构专员办公室 (OCIF) 的首席审查员。[2023/4/19 14:12:12]

图3:隐藏函数调用者。

最后,我们可以考虑隐藏函数本身。这在密码学货币领域不太常见,其通常与隐藏函数的输入/输出相结合。

图4:隐藏函数本身。

当你在本文中看到「隐私保护」这个词时,请把它当成一个总称,指的是_至少支持I/O隐私保护_的东西。

好吧,但我们要在哪里用到隐私保护呢?

我们可以认为普通交易的隐私保护已被解决,所以让我们直接转到智能合约的隐私保护。

不过,我们先绕个弯子,回顾一下以太坊……

以太坊支持用户自定义的合约,合约以代码的形式执行。这些合约用以太坊自己的图灵完备的语言编写,每执行一个操作都要支付一些费用。因此,每笔交易都要附上交易费,以激励矿工打包交易。

数据:已有超10万地址将以太坊跨链至zkSync Era:3月27日消息,据Web3知识图谱协议0xScope监测,自zkSync Era主网开放以来,已有超10万地址将以太坊跨链至zkSync Era,截止目前跨链至zkSync Era的以太坊数量约为1.59万枚,价值约2790万美元。同时,zkSync Lite日活随着zkSync Era主网开放而大幅回落。[2023/3/27 13:29:17]

应用的隐私保护

智能合约让我们在区块链上得以构建丰富的应用——从用户可交易各种密码学货币及其衍生品的去中心化交易所,到允许权益持有者对提案进行投票的去中心化自治组织。

我觉得没必要长篇大论讲解为什么DAO需要隐私保护;在现实生活中,投票通常都是私下进行的,所以想要隐藏我们的虚拟投票也是非常合理的。

另一方面,去中心化交易所的隐私保护需要解释一下。抢先交易无论是对中心化交易所还是去中心化交易所都是一个问题。在区块链世界里,抢先交易者密切观察已提交的订单,并通过支付更高的交易费实现插队。这使得抢先交易者Eve能够抢在Bob之前买到Bob想买的证券,并随后以更高的价格卖给Bob。封闭式拍卖是解决这个问题的一个可能的办法。对于有兴趣的读者,可以在这里找到更多关于在去中心化交易所的抢先交易的信息。

不过,以太坊的智能合约并没有提供任何形式的开箱即用的隐私保护。所有的信息都是公开可查看的——合约的输入/输出,合约的功能,参与的用户,等等。为以太坊的智能合约_添加_隐私保护不是一件容易的事情,因为以太坊从一开始就没有被设计成支持隐私保护。虽然在以太坊上可以实现隐私交易,但是更复杂的隐私保护操作往往过于昂贵,甚至超过以太坊单个区块的费用限额,以至于无法实现。

难道我们就不能设计一种新的密码学货币,从一开始就支持任何函数的隐私保护吗?毕竟,大零币和门罗币就是这样做的。

目前我们还不清楚如何在密码学货币中支持任意函数的I/O隐私保护。为了理解这些挑战,我们需要考察密码学货币是如何支持隐私交易的。

桥水基金据悉将裁员约100人,全面改革押注人工智能:金色财经报道,全球最大对冲基金桥水基金正在加速退出达利欧时代,正在限制其旗舰基金的规模,将更多的资金和人力投入到人工智能和机器学习中,在亚洲和股票领域扩张。为了缩减成本和释放资源,桥水基金将在未来两周内实施全公司范围内的重组,在大约1300名员工中裁减约100个职位。“仅仅做我们一直在做的事情是不够的。”41岁的桥水基金CEO尼尔·巴迪(Bar Dea)在接受采访时说,“要么进化,要么死亡。这就是这里正在发生的事情。”[2023/3/2 12:37:30]

通往隐私保护之路

我们先考察用于_普通交易_I/O隐私保护的密码学工具。我们将关注账户模型而非UTXO模型的加密货币。账户模型在支持智能合约的场景下尤其有用,不过账户模型对于隐私计算来说不是必须的。

工具1:同态加法

大多数密码学货币的隐私保护方案都依赖于具有_加法同态_的加密或承诺方案。为了简单起见,我们将专注于加密方案,但同样的原则也适用于承诺方案。

在加法同态加密方案下,我们有以下等式:Enc(a)+Enc(b)=Enc(a+b)。

因此,加法同态加密方案允许_任何人_这样验证交易的有效性:Enc(balance)+Enc(transferamount)=Enc(balance+transferamount)。

图5:Alice在不透露账户余额或转账金额的情况下转账。

Alice有自己的的公钥——pk_a。她用自己的公钥加密账户余额bal_a。我们用β_a表示她加密后的余额,β_a=Enc(pk_a,bal_a)。Alice的公钥pk_a和加密后的余额β_a都公开在网上,任何人都能查看。

Vitalik Buterin于5个小时前再次向土耳其捐款地址捐赠99枚ETH:金色财经报道,据Etherscan数据显示,北京时间2月11日13:49:23,vitalik.eth(Vitalik Buterin的以太坊地址)向被标记为Ahbap Yard?m/Earthquake Support的地址捐赠99枚ETH(约15万美元)。目前,该地址ETH余额约为393枚ETH(约60万美元)。

此前2月10日报道,Vitalik Buterin将231,481枚USDC转至Gemini,并向土耳其赈灾捐款地址捐赠1枚ETH。[2023/2/11 12:01:14]

Bob同样如此;他也有自己的公钥pk_b,只有他自己知道的账户余额bal_b,以及用他的公钥加密后的余额β_b,β_b=Enc(pk_b,bal_b)。

如果Alice想在不透露转账金额或她自己的账户余额的情况下向Bob转账,她只需要公布用她自己的公钥加密后的转账金额,以及用Bob的公钥加密后的转账金额。我们分别用c_a=Enc(pk_a,amnt)和c_b=Enc(pk_b,amnt)来表示这些值。

现在任何人都可以计算更新后的余额。Alice更新后的账户余额是β_a-c_a,Bob更新后的账户余额是β_b+c_b。

等一下!如果所有这些值都被加密了,我们怎么知道Alice的账户里有没有足够的钱支付amnt金额的转账呢?我们又怎么知道c_a和c_b加密的金额是不是一样的呢?

这就要用到我们的下一个工具——零知识证明了。

工具2:零知识证明

为了确保Alice没有在上述交易中作弊,她需要在交易中附上一个证明。这个证明需要表明她的账上有足够的资金以完成交易,她没有向Bob转一笔负数的金额,而且c_a和c_b确实加密了相同的金额。

当然,Alice不想透露她真实的账户余额和转账金额;因此,她附上了一个零知识证明π,让所有其他用户相信必要的条件已经被满足,而无需透露任何额外的信息。

现在把所有的工具放在一起...

第二季度加密行业游说支出逾675万美元,环比增幅约17%:金色财经报道,根据The Block汇编的数据,2022年第二季度加密公司的累计游说支出达到6,751,500美元,环比增幅约17%,相比之下,上一季度的总额为5,772,408美元。来自加密货币交易所的活动推动了二季度的增长,代表加密货币交易所或组织的支出从一季度的1,190,030美元增长到2,210,000美元。最大的单个支出者仍然是Coinbase,大概为100万美元。Crypto.com为430,000美元,FTX约为270,000美元。[2022/7/26 2:37:20]

图6:现在给隐私交易附上必要的ZKP

Alice用她和Bob的公钥分别对转账金额进行加密,得到了c_a和c_b。她提供了一个ZKP,π,证明她在交易中没有作弊。矿工们会验证所有的必要条件是否被满足,ZKP是否有效。然后,他们会使用同态加法分别更新Alice和Bob的加密余额:β_a=β_a-c_a,β_b=β_b+c_b。注意,虽然用户提供了加密后的输入和一个ZKP,但是矿工需要负责执行计算以及更新加密后的余额。在区块链中,我们假设大多数矿工是诚实的,所以我们知道他们会正确地更新Alice和Bob的余额。

注:这是一个大大简化的解释

将普通交易的隐私保护技术拓展到智能合约上面临的挑战

所以我们刚刚已经看到了,我们可以执行隐藏输入和输出的交易。那么我们可以把在隐私交易中用到的技术,用于支持应用的I/O隐私保护吗?换句话说:

隐私计算和隐私交易是否不同?如果是,为什么?

问题1

需要注意的是,隐私交易需要满足设定的条件才是正确的。我们如何能弄清楚一个任意的合约需要满足哪些条件?这些条件显然受特定的应用影响。在投票中,我们可能希望证明我们隐藏的投票是在正确的范围内进行的,而对于拍卖,我们可能希望证明我们的账上有足够的资金用于封闭投标。

对问题1的潜在解决方案

这个问题也没那么严重;只是需要用户做更多的工作。去中心化应用的开发者必须明确他们的特定应用需要满足哪些条件,并将这些条件传达给用户。为了能够证明各式各样的条件,我们可能希望在方案中支持一些通用的ZKP。所谓_通用_的ZKP就是能够证明任意的声明。

问题2

在普通交易中,我们只对属于同一个用户的值进行操作。比如在图6中,矿工把用Alice的公钥加密后的余额与用Alice的公钥加密后的转账金额相加。如果我们想对属于不同用户的输入值进行隐私计算呢?这并不是一个多么牵强的需求,比如我们考虑对投票做隐私保护时就会涉及。

对问题2的潜在解决方案

目前还不清楚如何在用户相互之间不透露输入明文的情况下,支持对不同用户的输入进行计算。有一些先进的密码学元件,允许用户对不同密钥加密的输入进行计算。然而,这些方案的成本都非常高,而且有很多缺点。在密码学货币的应用场景下,目前似乎没有人有一个很好的解决方案来解决这个问题。

问题3

普通交易只需要同态加法,因为我们只需要将加密的转账金额加到加密的余额上。如果我们想进行更复杂的计算,可能涉及到乘法呢?

对问题3的潜在解决方案

同态乘法允许我们将加密的输入相乘,使得Enc(a)*Enc(b)=Enc(a*b)。通过同态加法和同态乘法,我们可以表示任意多项式函数。所以,我们很自然地想到这个问题:

我们能够支持同态乘法吗?

一个既能支持同态加法,又能支持同态乘法的加密方案是全同态加密。使用FHE,我们仍然可以遵循图6中所描绘的模型。也就是,用户指定加密输入,要运行的函数,以及证明加密输入满足必要条件的ZKP。矿工能够验证ZKP。他们使用同态加法和同态乘法直接对用户提供的密文进行操作。

不幸的是,FHE方案使用基于格的加密技术,这与密码学货币中使用的超高效的ZKP并不兼容。我们曾经写过关于FHE及其问题的文章。目前,由于FHE存在一些缺点,还没有人提出基于FHE的解决方案。

这样,我们目前就只剩下两种方法来解决问题3了。

*接受我们只能支持同态加法的现状,遵循隐私交易模型。

图7:遵循隐私交易模型

在这里,用户提供加密后的输入和一个ZKP,证明他们的输入满足特定应用的一些指定条件。矿工验证证明,使用同态加法对输入进行操作。需要注意,应用于输入的函数只能用加法来表示。因此,只要函数只需要用到同态加法,我们就可以要求矿工对我们加密的输入执行任意满足该条件的函数。这就是__Zether__所采用的方法。

*要求用户线下计算。这样我们就不需要为加密/承诺支持同态乘法了。

图8:将工作外包给用户

在这里,我们要求用户Alice将对明文的几乎所有计算都放到线下进行。她会公布计算的加密输入和加密输出。因为计算是在线下完成的,她同样需要提供一个ZKP证明计算过程是正确的。注意,这一步对隐私交易来说是不必要的,因为矿工会执行计算,而我们假设大多数矿工是诚实的。就应用而言,她可能还需要另一个ZKP,证明应用指定的条件已被满足。矿工所需要做的就是验证ZKP是否有效,然后同意Alice提出的状态变更。这就是Zexe和Zkay所采取的办法。

我不会在这里讨论哪种方法更优;只想说明它们是_不同_的。

智能合约的隐私保护

前面我们已经谈到了在区块链中支持任意函数的隐私保护要面临的一些问题,现在让我们来看一看一些已有方案的构造。

如果前面说得还不够清楚,我再重申一下,这个领域距离解决问题还有很长的路要走。设计这些构造的论文都是在过去两年中发表的。

Zether是一个建立在以太坊上的隐私交易方案。它可以延伸到支持有限的智能合约的I/O隐私保护——即那些可以通过同态加法表示的合约。这使得我们可以执行简单的封闭式拍卖和隐私投票。遗憾的是,由于gas的限制,目前在以太坊上只能实现在交易中隐藏用户余额和转账金额。与接下来的两种构造不同,Zether使用的是「透明」的ZKP。

Zkay同样延伸了以太坊的设计以支持智能合约的隐私保护。他们依赖ZKP保障隐私计算的正确性,从而可以将大部分工作丢给用户在线下完成。因此,这种设计选择使得它们能够支持比Zether更多类型的函数。

Zexe则试图延展大零币的设计,以支持任意脚本。与前两者不同,Zexe还可以支持函数本身的隐私保护。

方案隐私保护类型模型表达能力基于哪条链设计ZetherI/O图7加法函数以太坊Zkay*I/O图8任意函数以太坊Zexe*I/O,函数**图8任意函数大零币

Zkay和Zexe使用的是带有可信设置的ZKP方案。不过,这些ZKP方案当然可以被不需要可信设置的方案替代。

在区块链的场景中,I/O隐私保护似乎比函数隐私保护更有意义,因为用户很可能希望在决定是否参与合约之前先对合约进行审计。

请注意,还有其他一些用于智能合约隐私保护的构造,但是这些方案都需要某种准-受信任的管理器或受信任的硬件。

大多数智能合约的隐私保护方案都需要额外的安全假设——无论是受信任的启动设置,准-受信任的管理器还是受信任的硬件。然而,ZKP是一个快速发展的领域,更高效透明的构造很可能会被创造出来。

期许

当涉及表达能力,信任和效率时,在智能合约的隐私保护上进行的探索提出了很多有趣的理论和实践挑战。现在,很难说在图7或者图8所代表的方法中,哪种可能会在区块链的隐私计算中胜出。此外,未来全同态加密的进展能否转化到区块链中以解决问题3,这也是一个很有趣的看点。

标签:ALIZKP以太坊ICEMy Neighbor AliceZKP币比特币以太坊行情分析alice币最新消息

XLM热门资讯
数字人:老百姓如何理解数字人民币?

作者:云核变量金融董事总经理刘夏来源:中国金融信息网简单来说,数字人民币和支付宝、微信支付的使用体验没什么差别。但是,从货币的统计口径上看,央行数字货币属于M0,即现金的范畴.

1900/1/1 0:00:00
LAYER:科普 | Rollup为何能成为当下最火的Layer2方案

除非躲进深山老林,否则很难不知道这波由以太坊二层可扩展方案Rollup掀起的热潮。2020年9月,以太坊的gas价格突破历史新高,超过477Gwei,或许这预示着离gas价格涨至Twei的日子不.

1900/1/1 0:00:00
ETF:迷茫中的探索:数字货币ETF到底还有多远?

ETF,全称交易型开放式指数基金,对于许多投资者来说一定并不陌生。在传统金融市场,ETF作为一种低价透明的投资工具,随着时间的沉淀已被大量的用户所接受.

1900/1/1 0:00:00
ROL:5分钟速览以太坊Optimistic Rollup可扩展性方案

作者:?JohnAdler翻译&校对:?闵敏?&阿剑如今,对于以太坊乃至所有区块链来说,OptimisticRollup是最有前途的可扩展性方案.

1900/1/1 0:00:00
比特币:李启元:比特币10到15年后可能涨1000倍 | 世界区块链大会·武汉

2020年12月5日,2020世界区块链大会·武汉正式在武汉国际会展中心开幕。大会由巴比特主办,并得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持.

1900/1/1 0:00:00
UTU:DeFi创始人被盗800万美元后续:黑客没想还钱 还换成了以太坊

12月14日晚5点40分,NexusMutual创始者HughKarp账户被不明攻击了,一笔共37万NXM代币被转移到不明账户中.

1900/1/1 0:00:00