《A Survey on Privacy Protection in BlockChain System》阅读笔记
摘要
- 区块链采用链接的块结构来验证和存储数据,并采用可信的一致机制来同步数据的变化——创建一个用于存储和共享数据的防篡改数字平台成为可能
- 区块链可用于各种互联网交互系统(例如,物联网、供应链系统、身份管理等)
- 本文调查的目的是对与区块链相关的隐私问题提供一些见解
- 分析了区块链的隐私威胁
- 讨论了现有的密码防御机制——匿名和交易隐私保护
- 总结了区块链隐私保护机制的一些典型实施
- 探讨了在使用区块链时为保护隐私仍需解决的未来研究挑战
介绍
- 区块链是分散信息技术的突破性创新,最初是作为比特币的基础设施而发明的,但当前区块链的潜在应用已经远远超出了加密货币和金融资产
- 随着该技术获得更广泛的认可,出现了一系列新的用例和应用,从加密货币到物联网、供应链管理等
- 在数字货币领域,区块链是基础设施,允许以分布式方式进行货币操作,而不需要一些中央实体
- 比特币和其他数字货币,如以太网项目、Litecoin、蒙乃罗项目和零现金,已经发展成为一个新的令人惊讶的强大生态系统
- 据统计全世界每小时可以确认不少于6万笔区块链交易
- 其他应用:
- 与物联网的结合
- 配备分散的拓扑结构和许多支持互联网的设备
- 通过使用区块链,设备管理可以自动化,并且物联网设备之间的数据同步可以更容易和更快
- 与供应链系统结合
- 提高供应链管理系统所有权的透明度和可追溯性
- 与集中式服务器结合
- 分散特性可以缓解集中式服务器的压力,例如公钥基础设施或身份管理系统
- 与物联网的结合
- 区块链为分布式系统的设计提供一个强大的抽象,但从保护用户利益的角度来看,隐私问题(如用户真实身份和交易金额的泄露)是不可忽视的
- 当区块链被纳入供应链管理(SCM)系统时,如果在区块链沟通期间的买方供应商关系或每次沟通的额外信息没有得到保护,会泄露供应商的商业秘密,如不同供应商的产品价格可以通过分析交易记录来估计
本文贡献
- 大多文章全面概述区块链的安全问题和挑战。其他调查侧重于加密货币的隐私挑战
- 对区块链隐私的加密防御机制进行批判性比较分析
- 在区块链重新定义了隐私的概念,不仅是用户的隐私,还包括与交易相关的隐私
- 介绍了对区块链两个隐私概念的现有威胁
- 介绍了用于保护区块链隐私的几种技术,特别是密码技术
- 提供了一个渐进的分析,更好地理解每种保护方法的来源、目标和缺点
- 比较当前实际项目中各种隐私保护方法的影响
- 确定区块链隐私保护的未来研究方向
区块链概述
- 区块链最初在 2008 年推出,目的是记录比特币的所有交易,避免不当行为或作弊
区块链结构
- 区块链的架构可以由三个层次组成:底层 P2P 网络、数据库及其各种应用
- P2P 网络负责确保区块链节点之间的自由通信,这些节点在地理上是分散的,但在应用程序中是同等特权的参与者
- P2P网络中没有集中式服务器
- 每个节点都是信息消费者,也是信息提供者
- 每个节点都参与整个网络的路由过程,发现和维护与相邻节点的连接,传播和验证事务,以及同步数据块
- 交易和块都是区块链的数据结构
- P2P网络的“扁平”拓扑是区块链的分散特征的关键反映和基础
- 全球分类账(The global ledger)负责区块链的核心任务,在账户地址之间可靠和可信地传递信息
- 帐户地址是一个唯一的数字假名,通常由用户用公钥密码(如椭圆曲线密码)生成
- 两个或多个地址之间的每一次通信都是通过一个交易来完成,交易是一个记录,包括发送者的地址、接收者的地址、消息、相关参与者的签名等
- 特殊而灵活的信息交换方式——智能合约
- 所有相关信息最终都将记录在区块链全球分类账中
- 在确认交易或智能合约时,全球分类账会将其记录在一个不断增长的数据块列表中,其中每个数据块都带有一个哈希指针作为指向前一个数据块的链接、一个时间戳以及一些以 Merkle 哈希树形式组织的交易或智能合约
- 起源区块是区块链的 #0 区块
- 每个交易和块最终将通过整个P2P网络广播,并且将执行一致同意的协商一致机制(例如,工作证明 POW、股份证明 POS 、实用拜占庭容错),确定哪些块被添加到分类帐以及当前状态是什么
- 全球分类账将进行同步,恶意实体无法轻易修改
- 区块链的应用程序为各种场景提供应用程序接口,用户通过这些 API 直接相互交互,无需考虑底层技术的细节
区块链分类
- 区块链有三种类型:公共区块链、私有区块链和联合区块链
- 大多数项目依赖于公共区块链,可以访问大量用户、网络节点和市场
- 然而,仍然有理由在一群受信任的参与者中使用私人区块链或财团区块链——垂直领域的公司,如银行,都在寻求将私有区块链作为自己的数据交换平台
- 公共区块链:
- 任何参与者都可以阅读、提交交易并期望看到它们包括在有效的区块链中,以及参与协商一致的过程
- 作为集中式或准集中式信任的替代品,公共区块链通过密码经济学(经济激励和密码验证的合并)来确保安全
- 某人在共识过程中的影响力程度与他们可以带来的经济资源的数量成正比
- 是开放网络上交易的完全透明和去中心化的数据库
- 联合体区块链:
- 共识过程由预先选择的一组节点控制。例如,可以设想一个由15个机构组成的联盟,每个机构都运营一个节点,其中10个机构必须确认一个块才能使该块有效
- 区块链的阅读权可以是公开的,也可以仅限于特定参与者。还有混合路线,比如提供一个公共 API,允许成员进行有限数量的查询,并取回区块的根哈希以及区块链状态上的密码证据
- 联合体区块链被认为是部分去中心化
- 私有区块链:
- 所有关键属性本质上都与公有区块链相反,写入权限集中在完全私有区块链中的一个组织,读取权限可以是公共的,也可以是任意程度的限制
区块链主要特征
- 从几个研究成果总结出四个属性
- 自主性:
- 没有单一的实体控制或治理网络
- 在公共区块链,任何节点都可以签署交易并将其发布到区块链,如果被去中心化网络的其他节点接受,可以随时对其进行审查
- 每个人都可以加入共识进程,以将新的区块扩展到区块链
- 分布式:
- 构建在 P2P 网络上,每一笔签约的交易都会由源节点广播给其一跳的对等点
- 然后,相邻对等节点验证这些传入交易:如果无效则丢弃,有效则继续传播,最终交易可以遍及整个 P2P 网络
- 不可变性:
- 全局分类账上记录的所有有效区块和交易实际上都是不可变的——需要其他节点验证、保证更改的可追溯性
- 整个全局台账将遵循共识机制在区块链节点之间同步,为用户提供更高程度的信任度,使区块链中的数据不会被更改
- 合同:
- 协商过程取决于数据的状态
- 共识是在没有任何中央授权的情况下,通过执行区块链的规则(即智能合约)来实现
- 定义的规则确保任何货币行动都将在没有人为干预的情况下及时和正确地执行
- 好处:耐用性、透明度、可验证性和流程完整性
区块链的隐私要求和威胁
区块链的隐私要求
- 为了保护隐私,区块链需要满足以下要求
- 交易之间的链接应该不可见或不可发现
- 交易的内容只有其参与者才知道
- 私有或许可的区块链可以设置访问控制策略,以满足区块链的隐私要求
- 公共区块链,每个人都可以不受限制地访问区块链,隐私要求从以下两个因素考虑
- 身份隐私:
- 交易脚本和其分享者的真实身份之间、用户之间的交易关系的难解性
- 即使用户在区块链中操作时应用随机地址(或化名),也只能提供有限的身份隐私——通过监视未加密的网络并遍历公共区块链,一些行为分析策略可能会揭示一些关于谁在使用区块链或用于什么的信息
- 交易隐私:
- 交易内容(如金额或交易方式)只能由指定用户访问,对公共区块链网络保密
- 许多基于区块链的应用中,交易隐私是必需的,例如电子健康记录管理或大数据的匿名身份验证和授权,用户可能希望提高隐私级别,避免向任何好奇的区块链实体泄露他们的敏感信息
- 身份隐私:
区块链面临的隐私威胁
- 区块链交易包含参与者地址、交易值、时间戳和发送方签名
- 将比特币系统作为实例分析区块链网络的隐私威胁
去匿名化
- 比特币提供了一种有限的匿名性:用户在连接到比特币系统时总是会创建化名
- 由于区块链的公开性和开放性,可以对区块链进行静态分析,或者主动监听网络信息来去匿名化
- 网络分析:
- 区块链是基于 P2P 网络架构的,意味着节点在广播交易时会泄露自己的 IP 地址。
- 研究人员确定了三种异常中继模式,可用于将比特币地址映射到 IP 地址——多中继和非中继交易、单中继交易、多中继和重中继交易
- 研究人员通过比特币水龙头的公开信息进行网络分析,这些水龙头免费发放少量比特币。这些网站有时会公布收件人的 IP 地址,以防止滥用
- 地址聚类:区块链中交易的固有属性可以应用于由同一用户控制的链接地址:
- 根据区块链的结构,交易中的所有输入通常都由发送方签名,因此一笔交易中涉及的输入的地址可能由同一实体(用户或组织)控制
- 找零地址(Bitcoinwiki)是接收输出和用户打算支付的实际值之间的价格差异的地址。在交易中,更改地址和输入地址总是指向同一方。找零地址通常由钱包创建,并且不太可能被重新用于接受例如比特币的支付
- 某些交易不包含始发地-目的地对。例如,coinbase blocks 没有原始地址,并指向一个目的地地址(即,一个输出)。这确实是事务列表的来源,并且唯一的目的地址始终指向一个矿工或矿池
- 为了加快交易确认过程,研究人员提出的方法增加了一些旨在利用现有信任关系(例如身份信息或证书)的典型标记
- 基于以上和其他辅助信息,用户可以将网络划分为不同的地址簇。在通过数据收集技术标记后,可以发现一些地址对应于同一用户。研究人员已经利用这一知识实现地址聚类
- 交易指纹
- 匿名性另一个威胁来源于交易的用户相关特性
- 研究者总结了可能表征交易行为某些方面的六个属性——随机时间间隔(RTI)、一天中的小时(HOD))、一小时中的时间(TOH)、一天中的时间(TOD)、硬币流(CF)和输入/输出平衡(IOB),对这些属性的额外考虑可能会增加取消单个用户匿名的可能性
- 研究人员在一个大学中进行实验,学生使用比特币作为日常交易货币,通过使用基于交易指纹的集群分析,可以恢复40%用户的身份,即使每次交易使用一个新的地址
- Dos 攻击
- 拒绝服务攻击是一种网络攻击,恶意攻击者试图通过中断连接到互联网的主机的服务,使其客户端无法使用机器或网络资源
- P2P 网络中隐藏 IP 地址的方法之一是使用匿名网络(例如TOR)
- 研究人员指出,拒绝服务攻击可能会使 TOR 节点与区块链网络断开
- Sybil 攻击
- 恶意攻击者通过创建大量假名身份来颠覆 P2P 网络的信誉系统
- 研究人员认为,Sybil 攻击可以破坏或阻止分散匿名协议
- 网络分析:
交易特征暴露
- 交易图分析
- 侧重于发现随着时间推移的一些整体交易特征,如每日成交量、汇率或交易模式
- 研究人员在比特币中识别了交易图中所有最大的交易,并找出了比特币网络中的四种特征交易模式
- 与去匿名方法结合使用时,可能有机会发现某人的财务历史
- AS 级部署分析
- 通过递归连接到客户端,请求并收集他们的其他对等方的 IP 地址列表来爬网比特币网络——获得比特币核心网络的规模、结构和分布的具体信息
- 影响比特币生态系统的活力和弹性
身份隐私的保护方法
混合服务
区块链中,交易的发送者和接收者之间是可链接的,因此,通过分析公共内容可以推断出一些隐私信息
解决方案之一是借助混合器混淆交易关系
最初提出的混合服务允许用户隐藏参与者与谁通信以及通信的内容,架构如图
- 一个实体准备了一个消息 M 传递给地址为 R 的另一个实体,用接收者的公钥加密 M和一个随机数,前后加上 R 和另一个随机数,然后用中介的公钥加密,发给一个中间人
- 中间人将密文转换为另一个密文,即先用私钥解密后发给 R
当中介获得许多输入和输出时,此机制将隐藏每个消息的来源和目的地之间的对应关系。通过随机输出大小一致的 item 来隐藏到达顺序
为了最小化单个中介成为攻击者的危险,可以将多个中介链接在一起,从而创建混合级联
这些服务已被整合到区块链网络,以混淆交易历史并降低去匿名化的风险
集中混合
- 许多网站提供混合服务,提供了匿名混合交易的功能,但需要支付一些服务费。这些网站充当在线混合器,在不同用户之间交换交易,以隐藏他们的传入和传出交易之间的关系
- 大多数只能通过 Tor 网络连接,该网络通过一个免费的、全球性的覆盖网络实现匿名通信
- 存在的问题:
- 研究人员认为,可能的攻击者可能是服务提供商,通过不将用户的资产转移给接收者来窃取用户的资产
- 服务提供商为中介,总是保持一定时间的日志,以便通过系统路由交易,而用户不能确保他们的个人数据不被披露
- 解决方案
- 条件执行——当且仅当混合器操作正确时,才能获得奖励,否则什么也得不到
- 2013 年研究人员为比特币系统引入了一种基于第三方的混合协议,称为 CoinSwap。该协议的一般流程是许多发送者用混合器作为媒介向许多接收者传递交易。发送者&混合器和接收者&混合器之间的所有交易都是由散列锁保护的托管交易,并且只能由相应的兑现交易来使用。锁定机制确保没有人能够窃取用户的资产,但交易以明文形式发送,混合器仍然可以跟踪所有的交易对以及它们之间的交易信息
- 审计行为不端的中介,使用不可否认的证据来监督中介的活动。研究人员在 2014 年提出的 Mixcoin 增加了一个基于签名的问责机制,以便用户能够证明混合器是否行为不端。但不能证明混合器没有存储足够的记录来取消用户的匿名
- 盲签名方案——一种在混合器端保护隐私的常见且有利的工具
- 盲签名中的消息在被签名之前是盲的。步骤:盲化(随机“盲化因子”覆盖原始消息)、签名(按照标准签名算法对盲化消息进行签名)、取消盲化(去除“盲化因子”以在实际消息上获得有效签名)。签名可以被公开验证,而签名者永远不会知道消息和签名消息之间的联系——适用于要求匿名的协议中。
- 2015 年提出的 Blindcoin 将盲签名方案与仅附加的公共日志(an append-only public log)相结合,以保持混合过程的可问责性,并提供针对不当混合器的证据
- 2016 年应用盲签名和智能合约来确保混合过程中的匿名性和公平性
- 2014 年发布的数字现金 Dash 是第一个试图在实际数字货币中提供匿名性的项目
- 项目中创建一个名为 PrivateSend 的硬币混合(coin-mixing)服务,从区块链网络中删除所有关于用户的唯一信息
- 混合网络由一组特定的节点(主节点)组成,而不是一个单一的网站,并限制混合过程只接受特定的面额
- 每个主节点必须支付 1000 Dash 作为押金,增加主节点违规的成本
- 混合的过程受到在线参与者数量的限制(即在Dash私人交易中,每轮只有三方)
- 2017 年研究人员提出第一种同时实现完全不可链接和避免硬币盗窃的方法
- 该方法基于集中式服务
- 利用安全的两方计算和零知识证明来保护用户的隐私和交易的公平性,包括在混合服务器上强制诚实地执行协议
- 混合分三个步骤完成:
- 收款人在“难题-承诺协议”中使用Tumbler(即 TumbleBit 协议中的混合器),Tumbler 使用一个加密硬币建立托管交易,并将难题(托管提款交易的RSA加密版本)返回给收款人
- 收款人将盲谜题(blinded puzzle)交给支付者,支付者将支付给 Tumbler 一枚加密硬币来解密谜题。它们利用“剪切-选择”协议,增强支付者、收款者和 Tumbler 之间的诚实行为
- 支付者向收款人返回盲答案,收款人将消盲答案,广播交易
- 同年有研究人员指出:
- 哈希锁占用大量的事务空间,这将导致额外的存储、网络带宽和事务费
- 不能支持在一个交易中进行多次支付
- 多轮的“剪切-选择”协议执行时间长,不能满足实时应用的要求
- 条件执行——当且仅当混合器操作正确时,才能获得奖励,否则什么也得不到
- 存在的问题:
- 综上所述,集中式混合服务主要受到三个方面的限制
- 等待足够多的在线参与者进行混合或执行混合服务时,产生的高延迟
- 集中混合服务器是弱点,容易受到拒绝服务(DOS)攻击,成为分布式区块链网络的瓶颈
- 用户在实际操作中总是需要支付相当高的混合费或押金
分散混合
为了缓解集中式服务带来的 DOS 威胁,提出一种分散式混合模式,一组相互不可信的节点可以同时匿名地发布消息,而不需要第三方匿名代理——消除了混合费用,更接近于区块链的去中心化结构,更兼容区块链的去中心化结构
实现分散混合过程的方法主要有两种:CoinJoin 和多方计算(MPC)
CoinJoin
2013 年提出
核心理念是“当你想付款的时候,找另外一个也想付款的人一起付款”
如下图所示,有两个交易:A 到 C 与 B 到 D。两个独立的交易可以合并到一个 CoinJoin 交易中,由此产生的联合交易混合了输入和输出之间的链接,从而使其他对等方不知道数据流的确切方向
此方法提供了与类似比特币的区块链的兼容性,同时确保即使是恶意节点也无法获得有关交易关系的任何信息
此技术的阿尔法版本已经在 2014、2015 的相关产品中实现
CoinJoin 有三个明显的缺点:
- 缺乏内部不可链接性——参与者将知道联合交易的细节,包括与发送者地址配对的交易的目的地。随着可用参与者数量的增加,增加了 Sybil 攻击的可能性
- 容易受到 2014 年研究人员证明的 Dos 攻击。假设攻击者可以创建足够多的独立虚拟实体,这些实体与区块链地址和唯一的 IP 地址相关联。此攻击可能会通过拒绝签署 CoinJoin 交易来阻止混合过程
- 参与者数量 n 有一个最大值——DoS 攻击的漏洞、指数级增长。当 n 较小时,匿名性和不可链接性的影响会较小
为了实现内部不可链接,2014 年研究人员提出 CoinShuffle,利用匿名组通信协议向彼此隐藏参与者的身份。通过简单的分层加密技术实现了内部解链,但通信和计算开销较大
2014 年又提出了 XIM,以支持大型匿名集合。该协议基于 2012 年提出的 fairexchange 混合器,在不留下证据的情况下与 MIX 用户合作。XIM 通过额外的参与费减轻了 Sybil 攻击的影响——在整个混合时间内,需要相当长的等待时间(几个小时)
MPC(安全多方计算)是一种确保输入隐私和联合正确计算的加密方法
- 给定多个参与者 P1、P2、…,每一个都具有私有数据 D1、D2、…,Dn
- 参与者对私有数据计算公共函数的值:F(D1,D2,…,Dn),同时保证自己的输入是私有的。计算之后,各方所能得到的就是能从输出和自己的输入中学到的内容
- 操作在不需要信任方的情况下进行,适合于分散的任务
- 2015 年研究人员提出了基于 ECDSA 的门限方案来实现 MPC,并引入 CoinParty 协议,其中允许用户使用多个私钥生成托管地址,并且需要门限交易来赎回其资金,即仅当大多数参与者同意这样做时
表 1 在很大程度上是基于一篇 2018 年的类似比较,从以下五个方面对区块链中的主要混合服务进行了归纳和比较
- 协议是否能够完全隐藏用户身份
- 混合过程中是否有集中方参与
- 混合服务的费用
- 被Sybil攻击拦截的风险
- 硬币是否有被盗的可能。
- 每轮混合的参与者数
- 等待混合的延迟
混合服务是区块链中隐私保护相对简单的方法,大多数都与现有的区块链网络兼容,没有任何特定的共识机制——意味着需要更少的资源来实现。与适当的防御技术相结合,可以提供可接受的隐私保护
环签名
- 尽管研究人员在 2013-2015 提出的去中心化混合技术在区块链中是“自发”混合的,但仍然存在延迟
- 环签名使用户(也是集合中的成员)能够代表“环”成员对消息进行签名,但无法区分谁是真正的签名者。
- 核心思想是选择一个没有任何中央管理器的集合,这将显著提高区块链中的隐私
环签名
环签名作为数字签名,用于从一组可能的签名者产生有效但匿名的签名,而无需告知实际生成该签名的是哪个成员
如图所示,在环体系结构中,用户 A 选择包括自己的一组参与者,并创建环 {user0,user1,…,usern},每个参与者具有来自标准签名方案(RSA、ECDSA等)的公钥。A 使用私钥和环中成员的所有公钥(PK0、···、PKs、···、PKn)对消息进行签名。验证者告诉这组人中的一个已经对消息进行了签名,但不知道谁实际签名——为签名者提供了完全的匿名性
环签名的修改版本之一是可追踪环签名(2007、2011提出)
- 此类环签名可以检测两个签名是否由同一用户生成
- 每个可追踪的环签名具有标签 T=(Issue,PK),PK 表示集合的成员的公钥(如上图中的PK0···PKn),Issue 是特定选举或调查的标签。
- A 用私钥和 T 对消息签名,验证者用标签 T(不仅仅是PK)检查签名
- 若 A 对一个信息用相同的 T 签了两次名,两个签名可以通过公开的流程链接,但 A 的身份仍旧保密(可链接性)
- 如果 A 用相同的 T 签了两个不同的消息,则能得知两个消息来自同一人,A 的匿名性暴露(可追溯性)
CryptoNote 与 Monero
区块链的匿名性和链接性,导致研究人员提出了几种基于环的隐私保护协议(2013,2016,2017)
2013 年研究人员对可追踪环签名进行轻微修改,允许用户仅使用一个私钥签署一项有效交易
解决方案(称CryptoNote)中,标签被替换为根据用户的一次性私钥计算出的密钥图像,以减轻双重支出攻击(double-spending attack)
签名者的身份无法与集合中的其他用户区分开来,直到签名者使用相同的密钥对产生第二个签名(见上文的可追溯性)
接收方,CryptoNote 为每次资产转换使用一次性密钥对,即使是发送方和接收方相同也如此
下图说明基本思想:每个 CryptoNote 输出的目的地,是从接收者的一次性地址和发送者的随机数据派生的公钥——确保了每个目的地都是唯一的,除非发送者对每个交易使用了相同的数据,发给相同的接收者
标准交易序列如下:
- 在发送交易之前,发送方 A 基于接收方 B 的公钥计算新的目的地地址
- 只有使用 B 的私钥才能恢复匹配的一次性密钥
- 为了再次传输此交易,使用一次性密钥、密钥图像和匿名公钥集,同一次性环签名对输出进行签名。即将传给同一接收方的交易被发送到一个一次性地址,只有真正的接收方才能获得该交易中涉及的资金
- 可追踪的环签名确保了不可链接的支付,同时在签署交易时使支出加备
CryptoNote 协议容易受到基于交易金额的分析攻击;它需要在环签名中具有相同数量的特定公钥集,这将导致比期望的匿名性集更小的匿名性集。这些漏洞在 2016 年的一个文章中被探讨
CryptoNote 在 2016 年提出,称为RingCT
- 关键创新是使用保密交易(Confidential Transaction,2015 年提出)来隐藏金额,并且隐藏金额上的环签名被放置在多层可链接自发匿名群签名(MLSAG)的底行中
- 此方案可以同时提供身份隐私和交易隐私
- 此方案最成功的应用是名为 Monero 的加密货币(2014年首次发布)。
环签名提供了很强的匿名性,但有三个局限性
- 交易(特别是 RingCT 交易)的规模非常大,每个交易几乎有几千个字节,这将增加整个区块链记录的存储空间
- 环签名的固有缺点是签名的大小与参与者的数量成正比。实践中,每个记录只有有限数量的外部输出(例如,默认情况下,每个 Monero 记录有 4 个输出)
- 隐藏的金额将给审计带来困难,即验证交易期间是否秘密生成了新的加密货币,或者在某个时候确定额外的金额
非交互式零知识证明
交易隐私的保护方法
讨论与未来研究方向
讨论
- 如上所述,集中式混合和分散式混合旨在通过混合服务保护发送方地址和接收方地址之间的关系
- 前者需要一个集中的混合器
- 后者共同完成参与者之间的混合
- 共同的缺点:
- 等待混合的额外延迟
- 对交易内容没有保护——混合会话中的固定面值要求
- 一些独特的限制:
- 集中式混合器对混合服务收费,并且在单点故障方面容易受到攻击
- 分散式混合器,一些参与者可能会通过拒绝执行协议破坏混合过程;分散混合中参与者之间的通信频率导致网络信道上的高传输开销,限制混合会话的可扩展性
- 环签名是一种典型的匿名签名,可以用来隐藏签名者的身份
- 不故意隐藏要签名的消息
- 另一个限制是签名的大小与参与者的数量成正比,参与者越多,存储和通信开销就越大
- 当 CryptoNote 应用于区块链时,将环签名、一次性支付和机密交易结合在一起,分别保护发送者(签名者)的隐私、接收者的隐私以及交易的内容;为了将交易的规模保持在合理的范围内,只允许有限数量的参与者参与签名阶段——可能会降低对发送者地址进行数据挖掘的难度
- NIZK 与承诺方案结合,为 ZCash 等区块链提供全面的隐私保护架构
- NIZK 证明以匿名和不可链接的方式证明硬币的所有权
- 承诺方案可以隐藏交易内容,具有不可否认性和不可修改性
- 因此 ZCash 可以同时为用户提供强大的匿名性,同时最大限度地保留交易内容,不会对每笔交易设置的匿名性大小有任何限制
- NIZK 协议特别是在ZCash中使用的 ZK-snarks 协议的证明生成阶段,计算开销较大
- 同态密码体制(HC)是保护交易内容的一种有价值的方法,即使在对受保护的数据进行计算时也是如此。比特币和 Monero 中使用的保密交易(CT)确实是一种同态承诺。
- Paillier 加密是一种加性同态密码技术,遗憾的是它还没有在实际工程中实现,可能需要一些时间才能应用于区块链实现
- 如上所述,区块链保护隐私方面已经做出了很多努力。这些努力主要集中在以下几个方面
- 对交易关系进行模糊处理,以抵抗链接或跟踪分析
- 通过复杂的密码原语隐藏发送者和接收者的身份
- 在保持可验证性和可计算性的同时,使交易内容变得盲目(Blinding ….)
未来研究方向
- 可扩展和经济性
- 在更弱的假设下更强的隐私
- 兼容性
- 法律可追溯性和问责机制
总结
- 区块链由于其分散的性质和安全特点,在分散的信息系统中受到了相当大的关注,它为存储、共享和更新数据提供了一种完全不同的方式,并将在未来的互联网交互系统(如物联网或供应链系统)中发挥重要作用
- 日益增长的隐私保护需求可能会阻碍新兴的区块链的实际应用
- 本调查回顾了与区块链网络相关的现有隐私问题,从匿名性和交易隐私两个方面对密码保护机制进行了全面的分析
- 基于对这些在区块链实现隐私保护的机制的回顾和讨论,确定了区块链隐私保护的未来研究方向
