比特币VS四大匿名币:为什么我们需要匿名币?

头等仓 · 8/20/2019, 10:29:46 AM分享

本文从隐私安全的角度,将比特币和匿名币门罗、Zcash、Grin、Beam之间的优劣势进行对比,谁会是大势所趋?

本文原作者Eric Wall,发表于Medium,译者头等仓Tracey

引言:本文出自Zcash基金会资助的人权基金会(HRF)所发布的《隐私和加密货币》系列文章之第三部分,由新加入HRF的Eric Wall撰写,目前他是HRF的匿名技术研究员。本文从隐私安全的角度,将比特币和匿名币:门罗、Zcash、Grin、Beam之间的优劣势进行对比,我们只需比特币就够了,还是匿名币有其存在的必然价值?听听作者怎么说吧。

“大多数情况下,钱比自由更容易获得。”

 image.png

在本系列的前两篇文章中,我们讨论了使用比特币时留下的蛛丝马迹,以及避免留下这些痕迹的工具。显然,从隐私方面来看,比特币可能比目前的电子金融系统进步许多。然而,要充分让比特币成为交易媒介,还有许多困难需要克服,尤其在对手十分聪明且资源充足的情况下,更是困难重重。

虽然有些软件了可以模糊资金足迹,但这些功能很少免费,而且目前它们的代码没有经过全面审计,我们可以认定它们存在潜在的隐私漏洞。比特币在开发不同层的过程中都明显地有在隐私方面下功夫的趋势,但如果目的是保护隐私,为何不直接使用匿名币呢?

 image.png

用户对人权基金会的加密货币和隐私倡议产生了相同的回应

比特币的局限性

在本系列的第二篇文章中,我们讨论了一个应用场景,用户用一个从未使用过的新地址接收比特币,操作非常简单。只需一个用计算机代码和数学生成的比特币地址,无需任何提问,就能接收来自世界任意位置任意人的资金。发送方传输交易,接收方无需在比特币网络中广播任何内容。即使比特币被认定为违法,比方在玻利维亚和尼泊尔,也无法仅仅从交易中或从ISP网络流量数据日志中识别出比特币所有者的信息。

但即使在这种最简单的应用场景中,你的隐私仍可能因为交易方而受到威胁。简单地假设,你从当地交易商那里购买了比特币,并且没有在网络中留下任何购买足迹。当地货币交易商(发送方)是否经常在你所在地区从事比特币交易?调查机构可以控制你买币的交易商,进而进一步查询你的隐私信息。如果你的当地交易商记得你的面容呢?或你开的车?如果有人成功地找出你在系统与其他人进行互动的信息,在区块链中搜索自你购币以来的记录,会得出怎样的信息来呢?

你可能会采取预防措施,避免在第一次面对面购币时留下蛛丝马迹。但当你开始更频繁地在不同场景中使用不同类型的设备交易时,你就需要采取更严密的预防措施。一个不小心,就会暴露你的隐私。在使用比特币时,想要保护自己的隐私,需要具备“UTXO意识”。也就是说,即使你是一个频繁使用CoinJoin的用户,也要记住自己在交易中使用了哪些比特币,用自己的软件做了哪些事情。如果用户只是想将加密货币作为日常支付使用,则会感到异常麻烦。

可以使用闪电网络吗?

在本系列的第一篇文章中,我们提到闪电网络提高了比特币的匿名性,当然你可以成为闪电的早期采用者,但你需要接受这样一个事实:首先闪电网络是一种扩容技术,而不是一项隐私技术。目前需要具备一些专业知识和预备金,才可以部署一个闪电支付系统。闪电系统目前正处于快速发展阶段,其在隐私方面的影响尚未有全面研究,但其潜在缺点已涌现。而且,作为一项新兴技术,尚不明确还不确会有多少人用这个系统交易。

Liquid侧链

Liquid侧链的安全性不同于比特币网络。你可以把Liquid网络想象成一个11/15的多重签名钱包;用户在侧链网络中的所有资金都委托给多签名成员。Liquid的隐私优势在于,它使用了Adam Back和Gregory Maxwell的机密交易技术,隐藏了交易中的发送金额。该技术不仅仅只是隐藏了金额,仅凭隐藏金额,攻击者还是能查明交易双方。目前采用Liquid的零售用户屈指可数,而且零售用户也并未定义为Liquid的目标群众。

匿名币

在加密货币社区中已有这样一种共识,维护透明的比特币区块链的隐私是一项严峻挑战。理想情况下,将来的隐私修正方案让新手也能安全地使用比特币。在实现这个理想之前,探索比特币的替代品是个不错的选择。因为在现实中,金融监管已成为一个日益严峻的事实。

匿名币的目标是利用密码学,以一种灵活的方式,让查看者难以理解网络上的信息和账目,同时任何人都可以验证货币遵循的规则,将所有规则转化为一种可扩展、安全的、独立信任且用户友好的格式。匿名币系统当前是正在被研究的领域,在各方面都需要妥协。如果匿名币无用武之地,那么比特币今天也不会表现出匿名的特性了。

其实,如今许多匿名币技术(比如匿名币Monero、Grin与Beam利用的机密交易)都源于比特币的研究理念,但由于种种原因,这些理念没有被纳入比特币的基础协议。为何比特币在提升隐私特性方面这么谨慎呢?除了转换和实现困难,提升隐私特性技术还会让交易空间变大,损害系统的可扩展性。更重要的是,可以直接用计算机算出来的代币供应量,是根据不同的匿名币项目各自决定的,而不是按照预期,以密码学式的信任方式进行工作。

在Monero中,我们发现并修复了一个影响所有基于CrytoNote加密货币的重大漏洞,这个漏洞允许创建无数个代币,而查看者无法检测到这种滥发代币的情况,除非他们发现这个致命漏洞,并能够把它找出来。

——getmonero.org, 2017年5月17日

我们发现并修补一个零知识证明伪漏洞[…]攻击者可能创造了假Zcash,系统却未检测到 […]这个漏洞是如此微小,避开了密码学家的多年研发的零知识证明系统。

——Electric Coin Company,2019年2月5日

并非只有匿名币有漏洞,而比特币却没有。每一种加密货币都有漏洞,包括比特币。主要区别是,匿名币的攻击者利用漏洞印钱,可能多年都无人发现,这样攻击者便有充足的时间与其他用户交易这些多印出来的代币。这样即使检测到攻击,也只能接受代币界限被打破的事实,如此可能损害代币的市值。尽管比特币有种种缺点,但它的透明性确保了用户及时发现比特币的供应漏洞,在漏洞造成系统性损伤之前,及时止损。

此外,代码漏洞不局限于代币供应。虽然理论上即使椭圆曲线密码学被破坏了,以隐私导向的加密协议可以保护隐私,但如果密码学协议自身出现漏洞,隐私便无法得以保护(例如软件应用泄露信息或以错误的方式计算值)。唯一的解决办法是让更多人检查我们使用的代码。但这意味着查看非主流的加密货币或应用程序的代码的人更少,这不仅增加了资金被盗风险,更是增加暴露隐私的风险。具有讽刺意味的是,我们的初衷是希望这些系统可以保护自己的隐私。

Robert Frost的一首著名的诗中说道:走“少有人走的路”可以给你带来独特的体验、点缀你的生活。但在开源软件和加密货币领域,这些体验很可能是漏洞和灾难,可能会把你的个人数据暴露在公众面前,让你失去所有的钱。

匿名币太复杂了,又难以琢磨。如果你对所有这些声称有魔法的新项目感到兴奋,那么你应该先保持怀疑的态度。如果你对想象中的比特币的发展速度感到沮丧——那你就错了,事实上比特币发展得太快了。要认识到这点既困难又可怕。我们需要放慢步伐,小心为上。

——Andrew Poelstra,Blockstream研究总监,Mimblewimble协议的联合发明人(Mimblewimble是Grin和Beam的基础协议)

这是否意味着匿名币是一种失败的尝试?了解优劣势和风险很重要,一旦我们综合优劣势并衡量了风险后,就能做出有一定根据的决策。虽然使用匿名币肯定存在风险,事实使用任何东西都有风险。虽然用匿名币来保留我们的毕生积蓄可能不是最聪明的做法,但如果你能承受一定的风险,它们仍然是可行的选择。

与比特币相比,匿名币的缺点有以下几类:波动性、灾难性漏洞和故障的风险更高,以及目前接受匿名币支付的领域少之又少。匿名币的优点是大大改进了内置的隐私功能。

进入匿名币的世界

减少上述缺点的最好做法是筛选出一位能力相当的开发人员在背后支持匿名币。根据市值(包括新发行匿名币的隐藏市值信息),我们挑选出的四大匿名币分别是Monero、Zcash、Grin和Beam。

 image.png

截至2019年7月16日

我们分别与每个项目的负责人进行了交流,要求他们用自己的话来描述项目的优点,特别是与其他项目相比自身的优点。最终采访者都述说了相似的目标,但在一些方面又不尽相同,每个匿名币都在隐私性、安全性、信任独立性、可扩展性和用户友好性方面有自己的折衷方案。

大多数加密货币(包括匿名币)都是健康的,但随着协议不断修改,本文介绍的大部分内容在未来也许会发生巨大变化。                                                             

1. Monero

 image.png

Monero没有创始人奖励,没有信任设置,也没有预挖矿。Monero是一种符合FinCEN(美国金融犯罪执法网络)的规范和指导的真正去中心化虚拟货币。Monero背后没有公司,意味没有管理机构来监管Monero。在Monero中,每个用户都是强制匿名的,于是就有了一个庞大的匿名集。货币政策也很重要,Monero每个区块的最低奖励是0.6 XMR,永久不变,以确保无需依赖区块大小和交易费用的稀缺性来激励矿工为系统提供安全保障。交易增长使匿名性进一步提高。

任何声称偏好隐私的人,反对拥有无限资源的攻击者,我们都需要对其持保持谨慎和怀疑的态度。但我非常肯定Monero在当前市场提供了一个极具竞争力的隐私方案。

——Francisco “ArticMine” Cabañas,Monero核心团队

Monero创立于2014年,是四大匿名币中最经典的一个项目。这是一个由社区推动的项目,没有总部,没有创始人特殊奖励,因此广受赞誉。与比特币一样,它也是一个草根项目。Monero中具体提供隐私的技术是环形签名、环形机密交易和隐蔽地址。简而言之,这三项技术将带有一组诱饵(decoys)的被花费的金额混合起来,隐藏了发送的金额和收件人地址。

上段中的关键词是“mix(混合)”和“hide(隐藏)”。当某样东西被混合起来时,就难以追踪了,因为有太多干扰的东西,就像当11首其他歌曲同时播放时,很难从中识别出某首歌的音符。在这个比喻中,同一时间播放的歌曲数量称为 “匿名集”。反之,隐藏某些东西时,既没有“噪音”,也没有“声音”(从隐私的角度来看,显然第二者是更好的选择)。

Monero结合了混合和隐藏技术,达到了良好的隐私性,但它的隐私性并不是完美的。Monero作为首个匿名币,曾经面对过需要解决著名的可追溯性漏洞的问题,读者可以访问Monero研究实验网页,查看Monero曾经解决过的挑战。学习隐私新攻击载体、修补载体并继续前进是一个持续的流程。

虽然Monero交易在广播之前都会混合,用户仍希望模糊发出混合交易的IP地址。Monero可以与Tor一起使用,另一个网络层隐私解决方案正在开发当中。

钱包推荐:Monero GUI钱包+ Monerujo(Monerujo是款安卓钱包应用,可以连接到你的Monero GUI钱包桌面节点)。

2. Zcash

 image.png

Zcash在机器学习和人工智能的世界中保护你的隐私安全。Monero、Grin、Beam则不然。他们用诱饵支付来做掩饰。虽然有所帮助,但诱饵并不能阻止商家通过你的支付追踪你。诱饵不会阻止老板知道你多次光顾射击场或同性恋酒吧的事实。如果你是一个异议分子,试图在网上接受捐款,即使你隐藏了真实身份,诱饵也不能保障你的安全。在这方面,Monero、Grin、Beam败绩累累:从匿名警察那里收取少量捐款,就能让专制政府查到并拘留你。

Monero、Grin和Beam的这种基于诱饵的隐私方法,就像在你和妻子聊天时,拼写出S - - E - - - X一样好使,这样你三岁的孩子就不会知道你的午睡时间计划了。目前它可能行得通,但随着你孩子长大,该方法就不凑效了,而且追踪人们使用的区块链技术还只是初级阶段(日后的发展潜力不可估量)。

——Ian Miers, Zcash联合创始人

Zcash的“zk- snark”提供了最高的隐私性(相比所有加密货币)。它无需使用混合技术,只是简单地查看区块链,无法发现任何关于发送方、接收方或发送数量的信息。在查看者没有获得任何有效信息的情况下,确保了系统的整个验证模型安全。Miers说得很对,任何人工智能或机器学习算法都无法通过分析区块链得出有关用户的身份信息。

然而,Zcash必须为这项看似神奇的隐私技术付出代价。这个代价是可信设置(trusted setup)。在高度敏感的初始化阶段,由一组人一个接一个地生成随机数据,之后这些人不能再彼此共享这些数据。如果把这些数据合并,他们就可以用这些数据来伪Zcash。在最近的设置中,有87名参与者(通过PGP确定)参与。

进一步说,虽然代币的隐私性并不依赖于混合技术,但也并不意味着匿名集有无数个。相反,匿名集变成了货币所有用户的集。不好的一点是,在Zcash中,由于默认情况下不启用保护交易信息的zk-SNARK技术,所以实际情况并非如此。Zcash有两种地址类型,t地址和z地址,只有z地址的交易是完全隐蔽的。t地址和普通的比特币交易一样透明。意味着Zcash中隐蔽交易的匿名集恰好就是剩余的其他隐蔽交易。

 image.png

截至2019年7月17日,Zcash的使用量统计。在过去24小时的5330笔交易中,只有完全隐蔽了29笔交易(额外的交易来自隐蔽的“Snapling”交易,但统计网站尚未识别)。

举一个例子来解释,假设朋友让你早上在上班的路上给他寄些现金。你把自己的一些隐蔽代币寄到他的z地址。之后,当你在火车站上班时,一位戴着面具的人权活动家来到你的办公桌前,用Zcash隐蔽交易购买了车票。如果每天使用隐蔽Zcash在全球范围内最多是几十个人的情况下,刚从你所在城市购买火车票的人权活动家,有多大机率是你的朋友?

由于隐蔽交易的使用率极低,对Zcash尤其不利,但Zcash并不是唯一存在这个问题的代币。如果你居住在一个几乎无人使用加密货币的小镇上,那么无论选择哪种加密货币,上面的场景都可能适用;某一个使用加密货币的人很容易被找出来。这也是可扩展性对匿名币如此重要的原因,因为系统可以处理的交易数是匿名集增加的重要因素。因此,如果你发现自己身处上述场景,恰巧要进行面对面付款,请用现金支付。

钱包推荐:ZecWallet+Android Companion App。

3. Grin

 image.png

Grin隐藏了交易金额和发送方和接收方身份,且没有地址。Grin中的这些隐私保护功能默认为所有用户和网络上的交易开放。相比之下,之前一些项目所采用的“选择隐私”的方式,鼓励了监视和审查行为,并可能导致被排斥。

Grin的区块链设计是轻量级的,几乎没有残余数据存储在链上,这样新用户可以快速引导和同步。我们不鼓励过度设计那些带有未经考虑的功能的协议。Grin证明了在无需牺牲性能和复杂性的情况下,也能保护隐私。

Grin没有可信设置,依赖于相对简单的密码学假设,这些假设经过了时间的检测。如前所述,实验性或边缘的密码学更易出现灾难性漏洞。这并不奇怪,因为世界上很少有人能够完全理解这些设计,有时甚至连研究人员自己都无法理解,更不用说审核这些设计了。

Grin没有基金会也没有公司。没有投资者需要安抚,没有办公室可以搜查,没有首席执行官可以胁迫,也没有组织可以传唤。没有ICO,没有预挖矿,没有开发税,也没有以牺牲他人为代价快速致富的方法。开发由社区推动,资金来源是不附带任何条件的捐赠。

——aniel Lehnberg,Grin开发人员

在本系列的第一篇文章中,我们描述了coinjoin如何将多个交易的输入和输出合并到一个交易中。本文我们讨论了隐藏交易数量的机密交易,当在coinjoin中使用这些交易时,可以显著提高其混合功能。后来,人们发现在无需发送方之间进行任何协调的情况下,可以将交易联合在一起,以及从区块链中删除中间交易数据的方式,这为一种名为Mimblewimble的新加密货币协议的出现创造了条件。

Grin和Beam都是在今年1月成立,在此之前,开发人员对Mimblewimble这个想法已经着迷了2.5年。Mimblewimble协议的魅力在于,它的扩展性比比特币好,而且在不损害系统的信任独立性(“去信任”)的前提下,大大改进了内置的隐私功能。许多人认为加密货币的去信任非常重要,因此唯一可行的协议就是不在去信任化方面作出任何妥协的协议。虽然Monero的设计理念也是如此,但是基于Mimblewimble的协议同步更快,内存需求更少,因为Grin和Beam区块链上留存的数据更少。

Mimblewimble协议不受信任设置的限制,也没有在比特币的基础上引入任何新的加密假设(Monero也没有),意味从加密的角度来看,Mimblewimble是安全的。

基于Mimblewimble协议的一个缺点是,要求在发送方和接收方之间交换消息,交易才能生效。意味当两个人们在交易时,他们的IP地址都暴露给彼此。这导致中间人的产生(如grinbox),在用户之间传递加密消息。这并没有完全解决问题,因为你仍然将自己的IP地址暴露给中间人。关于该问题的解决方案目前正在开发中,在此期间,可以通过交换文件(例如USB粘贴的文件)来传输Grin,避免留下网络数据足迹。

保护IP是个人的责任。当你与grinbox中继服务通信时,你将自己的IP暴露给中继。你可以使用VPN和/或TOR或i2p等服务混淆你的实际IP地址。

钱包推荐:Niffler

4. Beam

 image.png

Beam比Monero或Zcash有更好的可扩展性,比Grin或Monero更好的隐私性,也比Zcash有更好的实用性隐私(如果你考虑使用实际的私密地址)。

如果你想要简单易用和最先进的隐私保护技术,Beam是你的不二选择。试试Beam的移动钱包吧。

——Guy Corem,Beam

要理解Beam所谓的隐私优点,我们必须先掌握一些技术并理解基于Mimblewimm协议的特性。在此回忆一下 Lehnberg说过的一句话:

“Grin隐藏交易金额和身份发送方和接收方,且没有地址”

虽然这是事实,但是Mimblewimb协议没有隐藏所谓的“交易图表”。这意味着在Mimblewimble中,交易在区块链上达到最终确定之前,网络监察者仍然可以看到交易相互引用的流程。Beam开发人员用术语解释了这个问题:

假设鲍勃有一家商店,爱丽丝是他的竞争对手,她想知道鲍勃的供应商。于是她付钱给鲍勃(从他那里买东西),然后鲍勃付钱给他的供应商查理,后来查理付钱给丹,丹付钱给艾琳。爱丽丝看到所有这些交易,但不知道用户身份。

最终,艾琳暴露了——比如她从爱丽丝那里买了一些东西。爱丽丝好心地要求[贿赂/威胁/折磨]艾琳告诉自己,她从谁那里得到了UTXO,这样丹就会被揭穿,以此类推。爱丽丝确定现有用户与下一个用户之间存在关系。

Grin和Beam都在Dandelion stem阶段利用了非交互CoinJoins解决了这一问题,这意味着一个交易在网络中被广播之前,交易先被转发给了许多其他的用户,每个用户又添加了自己想要发生的交易。由于Mimblewimble协议的性质,交易无需彼此协调便可合并,因此数据包中的内容是混合的,但依然有效。

Beam声称自己优于Grin,在于其用户自己会创建若干伪UTXO(未花费的交易输出)添加到混合阶段,这样不管有多少用户正在添加交易,总是出现一个最小匿名集。Beam没有使用“grinbox”,而是开发了自己的分散寻址系统,目的是让用户交流更轻松,而不会泄露IP地址。但这些都是非常新的项目,之后可能许多细节会发生变化。

Beam的隐私性仍然是基于混合功能,此外,Beam最薄弱的地方在于,它是四大匿名币中最渺小的,而且与其他代币相比,它的运作模式更类似于一个公司的项目。也正因为如此,它与开源社区的联系越来越弱(但Beam已经过多次安全审计——最后一次审计在2019年第一季度完成)。

钱包推荐:Beam Wallet

原文:https://medium.com/human-rights-foundation-hrf/privacy-and-cryptocurrency-part-iii-should-you-use-a-privacy-coin-22dc71732a2f

稿源(译):https://first.vip/shareNews?id=1997&uid=1

声明:蜂鸟财经转载此文出于传递更多信息之目的,内容仅供读者参考。若存在侵权行为,请联系我们删除。

相关文章推荐