Приватность – важная тема в области криптовалюты. Ни компании, ни частные лица не хотят предавать огласке в публичном блокчейне всю свою информацию, которая может быть свободно, без каких-либо ограничений, прочитана местным или иностранным правительством, членами семьи, коллегами или конкурентами.
На данный момент ведется множество экспериментов и исследований различных подходов достижения приватности в блокчейнах, но достаточно обстоятельного обзора этой проблемы до сих пор представлено не было. В этой статье мы обсудим последние эксперименты и исследования приватности в четырех областях: 1) приватные коины, 2) приватность смарт-контрактов, 3) инфраструктура приватности и 4) исследование приватности.
Приватность (или ее отсутствие) в Биткоине
Биткоин был изначально разработан как псевдонимная (в отличие от анонимной) криптовалюта, которая поддерживала приватность пользователей лишь постольку, поскольку не было возможности связать сущности реального мира с адресами в сети Биткоина. Однако, вследствие публичной природы блокчейна Биткоина, быстро стало ясно, что можно идентифицировать пользователей на основе закономерностей использования ими определенных адресов и соответствующих транзакций. Кроме того, узлы сети, распространяя информацию о транзакциях, раскрывают даже IP-адреса.
Каждый узел представляет адрес, а каждая линия – транзакцию. Многие узлы, такие как Mt. Gox, Silk Road и Satoshi Dice, были деанонимизированы на основе закономерностей проводимых ими транзакций.
В 2013 году Сара Мейклджон и др. успешно идентифицировали кластеры, принадлежащие онлайн-кошелькам, продавцам и поставщикам других услуг. Сегодня сервисы вроде Chainalysis и Elliptic деанонимизируют блокчейны с целью обнаружения случаев отмывания денег, мошенничества и нарушения правил пользования.
В этом примере наблюдатель может видеть, что группа {Alice, Bob} отправила биткоины группе {Carol,Ted}, однако не в состоянии точно определить, кем и кому именно были направлены средства. Если повторить этот процесс несколько раз с разными пользователями, то общая анонимность повысится.
В ответ на снижение уровня приватности Биткоина были созданы сервисы так называемого микширования криптовалют вроде CoinJoin, чтобы повысить анонимность при использовании блокчейна. В CoinJoin пользователи совместно создают транзакции, которые перемешивают принадлежащую им валюту, что анонимизирует пользователя в пределах данного набора коинов. Этот процесс затем повторяется между разными пользователями, чтобы повысить общую анонимность участников. Подобные сервисы микширования исторически использовались в преступных целях, чтобы смешать идентифицируемые биткоины с другими средствами и затруднить отслеживание их первичного источника.
И все же у CoinJoin есть и недостатки. Приватность здесь достигается за счет крупного размера «анонимного множества» (anonymity set) коинов. Но на практике в средней транзакции CoinJoin участвуют всего 2–4 пользователя, что позволяет деанонимизировать 67% транзакций CoinJoin. Дальнейшие улучшения этого сервиса вдохновили на создание более совершенных «микшеров» – как, например, TumbleBit – однако и у них есть свои ограничения.
Приватные коины
Ввиду недостатка приватности в Биткоине и отсутствия каких-либо планов по ее повышению на уровне протокола в обозримом будущем, появилось несколько новых криптовалют, нацеленных на поддержку анонимных транзакций.
Zcash создана сильной командой ученых-криптографов с использованием технологии zk-SNARK. Первоначальную прорывную идею доказательства с нулевым знанием предложили в 1985 году Гольдвассер, Микали и Ракофф. Технология zk-SNARK, разработанная Элаем Бен-Сассоном и другими в 2015 году – это улучшение доказательств с нулевым знанием, позволяющее сжато и неинтерактивно доказать, что вы знаете нечто, не раскрывая, что именно. zk-SNARK лежит в основе многих связанных с приватностью проектов и может также уменьшить размеры блокчейнов с использованием техники рекурсивной композиции.
На данный момент команда Zcash работает над Sapling, улучшением сети, которое повысит производительность и функциональность защищенных (зашифрованных) транзакций и релиз которого намечен на октябрь 2018 года. Создание зашифрованных транзакций требует больших вычислительных затрат – и около 85% транзакций Zcash все еще отправляются открыто. Sapling, как ожидается, повысит число защищенных транзакций.
Monero – еще один приватный коин, вместо zk-SNARK использующий кольцевые подписи. На данный момент команда Monero работает над технологией Kovri, которая позволит задействовать маршрутизацию пакетов, чтобы пользователи могли скрывать свое географическое положение и IP-адреса и таким образом сохранять приватность. Анонимизация сетевого трафика пользователей значительно повысит безопасность сети Monero, защитив ее пользователей от арестов или потенциального физического вреда.
Zcash и Monero часто сравнивают. Оба сообщества возглавляют чрезвычайно популярные в криптотвиттере персонажи – Зуко Уилкокс в случае Zcash и Рикардо «fluffypony» Спагни в случае Monero. Однако если Zcash поддерживается собственной компанией и фондом, то Monero может похвастаться лишь органическим сообществом ключевых разработчиков. В обеих сетях были обнаружены уязвимости, позволявшие идентифицировать пользователей – исследователи смогли связать с основателями или майнерами 69% защищенных транзакций Zcash и деанонимизировать 62% процента всех транзакций Monero – однако позже они были устранены.
И все же оба проекта изначально используют очень разные подходы к приватности – в результате чего различны и компромиссы, на которые они вынуждены идти – и пока что не произошло ничего, что ясно показало бы преимущество одного проекта перед другим в долгосрочной перспективе. По моему мнению, Zcash и Monero продолжат сосуществовать, как «Кока-кола» и «Пепси».
Mimblewimble (в русском переводе «Мимбл Вимбл») – это заклинание косноязычия во вселенной «Гарри Поттера». Tom Elvis Jedusor – это имя Волдеморта во французской версии, а Ignotus Peverell (Игнотус Певерелл) – первый обладатель Мантии-невидимки.
Mimblewimble – это новый блокчейн-проект, созданный на основе дизайна Биткоина и ориентированный на приватность пользователей. 9 июля 2016 года некто под псевдонимом Tom Elvis Jedusor опубликовал его whitepaper в исследовательском канале Биткоина и исчез. Позже некий Ignotus Peverell запустил Github-проект под названием Grin и начал реализацию Mimblewimble. Сотрудник Blockstream Эндрю Поэлстра представил проект на конференции BPASE 2017 года в Стэнфорде, после чего Grin начал активно набирать популярность. Уже выпущена третья тестовая версия сети, а основной релиз ожидается в начале 2019.
Mimblewimble/Grin – это улучшение конфиденциальных транзакций и идеи CoinJoin на основе Bitcoin. Среди ключевых особенностей проекта – отсутствие публичных адресов, полная приватность и малые размеры блокчейна. В последнее время многие с энтузиазмом обсуждают майнинг Grin, ведь Grin-коины, как и биткоины, можно создавать только на основе PoW (доказательства работы). Grin использует алгоритм Cuckoo Cycle, разработанный для защиты от ASIC-майнинга и предотвращения централизации майнинга, как в Monero.
В целом, Grin объединяет социально привлекательные особенности, которые придают такую мощь Биткоину – анонимного создателя, команду разработчиков без лидера, PoW-консенсус, отсутствие ICO и каких либо жестко закодированных в протокол средств управления блокчейном, – с техническими улучшениями наподобие тех, что используются в Zcash и Monero. Однако, в отличие от Биткоина, общий объем эмиссии Grin-коинов не ограничен, а их монетарная политика представляет собой линейный график выпуска коинов. Это значит, что инфляция очень высока в начале майнинга, но со временем постепенно стремится к нулю (не достигая его). В то же время ранняя инфляция поощряет расходование коинов, а не спекуляцию ими после запуска криптовалюты. И хотя такая «вечная» инфляция делает Grin не лучшим активом для инвестиций, она позволяет избежать нестабильности Биткоина, которая наступит, когда майнеры перестанут получать вознаграждение за блоки и смогут рассчитывать только на комиссии за транзакции.
Подобная монетарная политика позволяет также избежать спорной идеи «вознаграждения для основателя» (Founder’s reward), когда в течение 4 лет 20% созданных токенов ZEC выплачиваются разработчикам проекта. Наконец, размер блокчейна MimbleWimble масштабируется пропорционально числу пользователей, а не числу транзакций, что также решает проблему масштабирования массива UTXO, свойственную использующей кольцевые подписи Monero.
Среди других интересных приватных коинов, пока еще находящихся на раннем этапе разработки, можно выделить MobileCoin и BEAM.
Приватность в смарт-контрактах
Приватность в смарт-контрактах отличается от приватности платежей, поскольку смарт-контракты содержат публично доступный программный код. К сожалению, обфускация такой программы объективно невозможна, в результате чего смарт-контрактам в их текущем виде недостает и конфиденциальности (сокрытия сумм к оплате), и анонимности (сокрытия идентификационных данных отправителей и получателей).
Я убежден, что спрос на приватность смарт-контрактов возрастет, когда корпорации будут готовы к построению крупномасштабных децентрализованных приложений и осознают необходимость сокрытия активности своих клиентов. Сейчас никого особо не волнует публичная доступность данных об использовании децентрализованных приложений вроде CryptoKitties. Эта ситуация похожа на ту, что имела место во времена зарождения интернета, когда базовые сайты использовали протокол HTTP, и только позже был разработан HTTPS, позволявший шифровать траффик и использовать веб для целей вроде электронной коммерции.
Поскольку в Ethereum приватность отсутствует, статистика использования децентрализованных приложений доступна всем желающим на DappRadar.
В случае с Ethereum мы имеем проект Zether Бенедикта Бюнца из Стэнфорда – полностью совместимый с Ethereum механизм приватных платежей, обеспечивающий и конфиденциальность, и анонимность смарт-контрактов. Zether будет сам реализован в качестве смарт-контракта в Ethereum и потреблять минимальный объем газа. Это гибкий инструмент, позволяющий гарантировать приватность многих приложений – например, платежных каналов.
Keep – еще один проект создания своего рода «слоя приватности» для Ethereum, использующий для приватных данных находящиеся вне цепочки контейнеры. Такой подход также позволяет управлять приватными данными и использовать их без раскрытия в блокчейне.
И хотя на данный момент приватность занимает второе место по приоритетности после Casper, Ethereum Foundation медлит и с реализацией последнего, а значит, есть риск, что нам еще долго придется ждать в Ethereum приватности «по умолчанию». Если же крипто-сообщество в ближайшее время начнет испытывать острую потребность в приватности смарт-контрактов, то этот вакуум заполнят вновь появившиеся платформы с поддержкой смарт-контрактов – как Zcash и Monero сделали это с приватными платежами, которых не было в Биткоине. Подобные платформы – как, например, Enigma, Origo и Covalent – уже пытаются обеспечить нативную приватность своих блокчейнов.
Другой интересный связанный с приватностью проект принадлежит Oasis Labs. Они строят Ekiden – новую платформу смарт-контрактов, которая отделяет исполнение контрактов от механизма консенсуса. Смарт-контракты выполняются внутри изолированного аппаратного обеспечения (например, Intel SGX), которое называется «безопасный анклав» (secure enclave). Данный анклав действует подобно «черному ящику», сохраняя вычисления в тайне от других приложений. Он также генерирует криптографическое доказательство того, что программа была выполнена корректно, и данное доказательство затем сохраняется в блокчейне. Благодаря разделению выполнения контрактов и консенсуса, Ekiden оказывается совместим с различными блокчейнами, в том числе и с Ethereum.
Инфраструктура приватности
В дополнение к приватным коинам и смарт-контрактам, существуют и другие важные проекты приватности для стека Web 3, о которых также стоит упомянуть.
Orchid – это попытка построить улучшенную версию Tor, в которой пользователи получают токены, сдавая в аренду свою пропускную способность и выступая как ретрансляторы внутри сети Orchid. Проблема Tor в том, что существует лишь около 6000 узлов-ретрансляторов и менее 2000 «мостов», так что то же правительство Китая может легко внести все ретрансляторы и мосты в черный список, таким образом отрезав своим гражданам доступ к сети Tor. Использование экономики на основе токенов будет побуждать большее количество людей становиться ретрансляторами, а значит, сеть Orhid будет труднее заблокировать, не заблокировав при этом также и значительный процент всего мирового интернета.
BOLT строят канал приватных платежей, который использует слепые подписи и доказательства с нулевым знанием, чтобы сокрыть информацию об участниках, когда те открывают каналы, перемещают по ним средства и закрывают их. Первые такие каналы строятся поверх Zcash, но будут позволять взаимодействовать также с Биткоином и Эфириумом.
NuCypher строят децентрализованную систему управления ключами, использующую технологию прокси-решифрования для предоставления той же функциональности, что и HTTPS. Прокси-решифрование – это тип шифрования публичного ключа, позволяющий трансформировать ключи шифрования из одного публичного ключа в другой, ничего не узнавая при этом из шифруемого сообщения.
Starkware реализует zk—STARK в различных блокчейнах, включая Ethereum. Преимущество технологии zk-STARK перед zk-SNARK в том, что она не требует доверия к существующей сети, хотя криптографические доказательства становятся намного объемнее.
Исследование приватности
Именно исследование криптографии на академическом уровне порождает инновации в области приватности. Исследование самой приватности в основном касается нулевого знания, многосторонних вычислений и полностью гомоморфного шифрования.
В дополнение к zk-SNARK и zk-STARK, мы имеем Bulletproof – новую форму коротких неинтерактивных доказательств с нулевым знанием. Как и zk-STARK, Bulletproof не нуждаются в доверии к существующей сети, однако проверка таких доказательств требует больше времени, чем zk-SNARK. Доказательства Bulletproof разработаны таким образом, чтобы обеспечивать эффективные конфиденциальные транзакции криптовалют, при этом уменьшая размер доказательств с 10 Кб до 1–2 Кб. Если бы все накопившиеся транзакции в Биткоине были конфиденциальны и использовали Bulletproof, общий размер массива UTXO составил бы всего 17 Гб – по сравнению со 160 Гб при используемых сейчас доказательствах.
Уступки, неизбежные при использовании различных систем доказательства с нулевым знанием
Многосторонние вычисления позволяют группе людей совместно производить вычисление некой функции со своими входными данными, при котором каждый из них не вынужден раскрывать эти данные. Например, Алиса и Боб могли бы узнать, кому принадлежит больше биткоинов, без необходимости раскрывать, сколько именно биткоинов принадлежит каждому из них. К сожалению, на данный момент главным ограничением многосторонних вычислений является их чрезвычайная неэффективность на практике.
Полностью гомоморфное шифрование позволяет производить вычисления на зашифрованных данных. В течение нескольких десятилетий эта проблема оставалась открытой, пока в 2009 году Крейг Джентри, доктор наук из Стэнфорда, не построил первую схему гомоморфного шифрования на основе решеток. Примером применения данной технологии может быть ситуация, когда Боб хочет выполнить некие вычисления, например, настройку модели машинного обучения, на данных Алисы, причем Алиса не хочет раскрывать свои исходные текстовые данные. Полностью гомоморфное шифрование, как и многосторонние вычисления, все еще остается весьма теоретической областью и слишком неэффективно для использования на практике.
Что же в итоге?
В целом, приватность – одна из наиболее интересных областей нынешних криптографических исследований, и еще многое предстоит сделать с точки зрения оптимизации, чтобы эти теоретические техники стали достаточно эффективны для реального практического применения. Исследовательские лаборатории, такие как Стэнфордский центр исследования блокчейна, активно движутся вперед в этом направлении, и будет очень любопытно увидеть, какие прорывы ожидают нас в ближайшие годы.
Преимущество криптовалют в том, что они позволяют напрямую применять новейшие наработки в плате приватности. Многие техники обеспечения приватности, используемые в коинах, смарт-контрактах и инфраструктуре, были изобретены лишь несколько лет назад. Учитывая, как быстро развивается эта область, приватность данных и действий пользователей продолжит становиться все более неотъемлемой составляющей криптопроектов.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме
Запись О приватности в криптовалютах впервые появилась Криптовалюта.Tech.
Криптовалюта.Tech
Автор: Saffron