独家深度 | 一文盘点七大主流区块链隐私协议机制

美国最大的金融服务机构之一摩根大通自 2 月份宣布开发数字资产摩根币（JPM Coin）以来，一直致力于更新其私链平台 Quorum。

Quorum 受 Etherum GO 客户需求启发应运而生，是摩根大通企业以太坊 EEA （Enterprise Etherum
Alliance）承诺的一部分。创设伊始，Quorum 就通过对私有交易及网络访问控制等功能的支持，明确了对隐私保护的承诺。

上周，摩根大通在 Quorum 协议中增加了一项新的隐私保护功能——基于 Zether 协议的扩展，为主流企业采用区块链技术做出了重要贡献。

这类隐私协议机制有何特性？经历了怎样的发展历程？本文将一一盘点。

本文由资深投资人 Howard Yuan 研究撰写，经加密谷编辑独家发布。

隐私协议 Zether 及其扩展

Zether 协议是斯坦福大学教授 Dan Boneh 及其博士生 Benedikt Bunz 联合 Vsia 研究部门的 Shashank Agrawal、Mahdi
Zamani 提出的一种针对以太坊智能合约平台的隐私解决方案。

该方案得到了智慧合约之父 Nick Szabo 的声援和支持。它以 Zether Smart
Contract （ZSC）的形式部署在以太坊上，并且具有名为 Zether （ZTH）的代币。用其作为 ElGamal 公钥的 Zether 账户之间传输的载体，并支持匿名性的智能合约交互。相关论文详情可参考以下链接：

https://crypto.stanford.edu/~buenz/papers/zether.pdf

Zether 的技术特点

**
**

在论文中，开发人员对 Zether 的特点总结如下：

• 具备隐私性：Zether 的交易是保密的，账户余额和交易地址始终加密；
• 基于账户模型：目前门罗、Zcash 等各种隐私币都是基于 UTXO 的，而 Zether 是基于账户（Account）模型的；
• 新的隐私算法：为了让 Zether 运行更加有效，研究者提出了一种新的零知识证明机制，称为Σ-Bullets。它结合了 Bulletproofs （防弹协议）与Σ协议的特性，并以此为基础创建了隐私账户体系，不需要 Zcash 的可信启动；
• 易于实现：理论上，支持智能合约的链都可以实现该项目，目前团队已经在以太坊上进行了初步测试；
• 互操作性：Zether 支持智能合约的交互。Zether 可用来构建四种应用，分别为：保密竞拍应用、保密支付通道、保密权益投票、以及私密权益证明（private proof-of-stake）；
• 代币应用：Zether 协议中的代币 ZTH 不是 ERC20 代币，而是其内生代币。如果缺省，技术上的隐私功能就无法实现，因此属于刚性需求。

Zether 面临的挑战

当然，由于刚起步，Zether 技术也面临很多挑战：

• GAS 消耗量过大，成本高昂。目前一笔最简单的转账需要 0.014ETH 的手续费；如果进行智能合约交互，则手续费更高。但随着算法改进和以太坊升级，手续费有可能会大幅下降；
• 以太坊的 GAS 机制可能会导致隐私泄露。部署在以太坊上的智能合约需要支付 GAS 来运行，一旦一个地址转移 ZTH 代币，他就需要同时向矿工支付 GAS，此时，其以太坊地址就暴露了。针对这种情况，有两种可能的解决方案：一个是用户不停地更换地址来保持匿名，但这样在操作层面不现实；另一个是让矿工接收 ZTH 作为手续费；
• 网络繁忙可能会导致交易失败。对于传统以太坊交易而言，网络繁忙时可以等待，直到网络不再拥堵，完成交易即可。但 Zether 则不行，因为每个 epoch 都有对应且唯一的证明集合，交易必须在自己的 epoch 完成。如果不能完成，则证明集合会发生变化导致交易失败；
• 为保证成功，发送账户需要保证在当前 epoch 内，所对应的匿名集不能先于他接收的新交易之前进行更新，否则会导致失败。

Quorum 在 Zether 协议的基础上做了一些巧妙的扩展，除了交易本身的细节之外，它允许在交易中模糊各方的身份，解决了隐私泄露的问题。

为了进一步解释 Zether 扩展协议的作用，摩根大通 Quorum 区块链及加密资产战略负责人奥利·哈里斯（Oli Harris）表示：

“在基本的 Zether 协议中，账户余额和转账信息都是被隐藏的，但参与者的身份处于暴露状态。我们解决了这个问题。在协议实施过程中，我们为匿名扩展提供了一个证明协议，允许交易发送方隐藏自己和一个群组的交易接收方信息。”

Harris 同时指出，作为“匿名支付的有效无信任机制”, 新的扩展特别有利于保护企业联盟内的隐私，这也是摩根大通一直所期望的。

摩根大通吸引了大约 220 家银行加入其基于 Quorum 的银行间信息网络，最近也完成与 Microsoft
Azure 的一系列整合。正如摩根大通所一直强调的那样，用户及交易隐私保护一直是区块链生态系统的一项挑战。

*隐私架构的不可能三角*

在区块链基础架构中，隐私保护功能通常与分布式机制的一些其他理想特性存在摩擦。至少在当前的区块链技术中，隐私架构通常需要在三个基本维度之间取得平衡：

• 隐私性：显而易见，隐私性代表了在分布式网络中保护交易者和参与者的能力；
• 可扩展性：提高分布式网络交易处理量和并行处理规模的能力；
• 链上计算：在区块链运行时执行昂贵计算的能力。

在许多情况下，隐私架构体系通过牺牲第三个维度来最大化前两个维度。

私有网络和可扩展网络通常需要链下计算模型，而仅依赖于链上计算的私有网络比较难以扩展到某个特定的点；同时，具有链上计算模型的可扩展网络可能会导致难以实现隐私功能。

简言之，在大多数区块链中，其中任意两个特性都与第三者相冲突。例如，你可以在链上部署隐私和链上计算协议，但是就无法兼顾扩展性。不过，大部分数字资产都是兼顾了扩展性和可用性，却没有实现隐私性。

虽然隐私保护的这种困境在今天的区块链技术中是被广泛接受的，但这种态势可能会随着时间的推移而改变。

隐私保护是区块链技术发展最快的领域之一。我们注意到，有关隐私协议的技术演进趋势一直在持续推进。

*隐私协议的演进*

当我们谈论区块链场景中的隐私属性时，无法回避“零知识证明”（ZKP，zero-knowledge-proofs）这个名词。

零知识证明是一种在诸如 zk-SNARKs 和加密数字资产（如 ZCash）之类的技术中实现的密码学形式。它允许其中一方（证明者）向另一方（验证者）证明其声明是真实的同时，无需披露任何超出声明之外的有效信息。

区块链空间在隐私协议方面取得了许多进展，这些协议扩展了 zk-SNARKs 的价值主张。所有这些扩展都试图在隐私架构体系的三个主要维度内找到一个微妙平衡。

除了 zk-SNARKs 架构，区块链技术在隐私协议开发和密码学研究方面也有一些新的突破，但是目前仍然不被大众所熟知。

我们可以简单梳理一下区块链隐私机制基础协议的演进：

• CryptoNote 和环签名：CryptoNote(CryptoNight) 是区块链隐私技术的鼻祖。从概念上讲，在分布式网络中，CryptoNote 利用可跟踪环签名加密技术来混淆一组节点之间的消息。CryptoNote 协议的改进已被证明能够在可拓展级别的操作中产生高级别的匿名性。发布于 2012 年的 Bytecoin 是采用 CryptoNote 的先行者。匿名币市值最高的 Monero 也是基于 CryptoNote 协议。

• zk-SNARKS：ZCash 背后的协议就是 zk-SNARKs。zk-SNARKs 是较为新颖的零知识加密算法。自从 Zcash 发布以来，zk-SNARKs 已经被应用于不同的区块链技术。基于 Zcash，也分叉出了许多其他匿名币，包括 Komodo、Zcoin、Horizon、Zclassic、Zencash 等，不一而足。可以说，Zcash 及其背后的 zk-SNARKs 协议造就了匿名币的半壁江山。

• zk-STARKS：由三角理论可知，由于证明的复杂性随着数据库的大小线性增长，zk-SNARKs 的一个挑战就是难以大规模应用。有鉴于此，以色列理工学院 Eli-Ben Sasson 教授发表了一篇备受瞩目的论文，提出了一种比 zk-SNARKs 更快的的替代性方案，为了保持神秘感，他称其为 zk-STARKs 。

Ben Sasson 教授解释说：“zk-SNARKs 用公钥密码学来保证安全，zk-STARKs
用更简单的对称加密，即抗冲突哈希函数，因此不需要受信任的初始设置。同时，zk-STARKs 消除了 zk-SNARKs
的数论假设，这种假设需要消耗大量的算力，而且容易被量子计算机攻击。这使得 zk-STARKs 能够快速生成，并且抗量子，因为其不再使用椭圆曲线和指数假设
。”目前基于 zk-STARKS 尚未有正式的匿名币推出 , 但我们有理由期待新的基于 zk-SNARKs 框架的匿名币的诞生。

• TEE （可信执行环境，Trusted Execution Enviorments ）：可信执行环境是近来流行的将可信计算引入区块链中的方法。例如，Intel 的软件保护扩展（SGX） TEE 技术隔离了代码执行、远程证明、安全配置、数据安全存储以及代码执行的可信路径。在 TEE 中运行的 APP 受到安全保护，几乎不可能被第三方访问。基于 TEE 技术的相关项目有诸如 Oasis、TEEX、Covalent 等。Oasis Labs 的 Ekiden 协议是依赖于可信执行环境来隔离私有计算的智能合约执行平台。

• Enigma 协议：Enigma 是麻省理工学院的密码学家于 2017 年开发的一项区块链协议，能够实现“加密合约”。该协议允许节点使用智能合约的加密片段进行计算，而不需要解密，这是其他区块链做不到的。Enigma 使用 TEE 将密码学计算与区块链的其余部分隔离，而不是依赖于诸如 zk-SNARS / zk-STARKS 等证明者自证的协议（proof of possession protocol）。

• MimbleWimble 协议：MimbleWimble 协议发端于 2016 年，旨在提高数字货币的可扩展性、隐私和可替代性，融合了保密交易、交易混合和蒲公英协议等多重隐私保护技术，隐去了交易金额，消除了交易地址，而且中间状态可以合并，使其在保护交易隐私的同时简化了交易大小。基于 MimbleWimble 协议诞生了 Grin 和 Beam 两个双子星明星项目，得到了市场的高度认可。

• Zether （Quorum）：如前所述，Zether 为本身已经很强大的 Quorum 带来了新的隐私保护机制。当前的 Quorum 架构在保护交易和节点级别的隐私基础上，还能够保护参与者的身份。这些功能可以与 Quorum 机制中已经存在的访问控制特性相结合，提供了强大的端到端的安全体验。

除了上述主要的七类隐私协议外，安全多方计算（SMPC, Secure Multi-Party
Computation）也值得注意。安全多方计算是一种加密技术，允许对一组输入执行计算，同时保持输入数据的私密性。它可以用于安全代币交换中的各方，以交换有关信息的同时保持实际信息的私密性。

这类协议机制的代表性项目如 PlatON。该项目提供了一个基于 SMPC 协议的端到端的隐私保护计算框架，在链下运行，在降低计算资源节点负担的前提下，提高了链上共识的总体性能。

作为区块链机制的一部分，新的隐私保护技术正在不断的被评估和调整。随着行业发展，我们将会看到新一代隐私协议技术的问世，使去中心化的隐私保护和计算达到新的高度。特别是，今年以来以 Cosmos 和 Polkadot 为代表的跨链生态的兴起，我们也有理由期待跨币种、跨资产交易的隐私性交易解决方案能够实现，这或将成为加密经济的重要发展方向。

Howard Yuan 作者

Sonny Sun 编辑

   Roy   **排版**

内容仅供参考 不作为投资建议 风险自担

版权所有 未经允许 严禁转载

**