原文:《 What is Privacy in Web3? 》
作者:0xFishylosopher, Web3.com Ventures
介紹
Web3中的隱私就像房間裡的大象,它既是與去中心化、匿名和無需信任並列的最大賣點,也因為難以忍受的KYC、易於追踪的PII和外界的懷疑目光而成為最大痛點。
不幸的是,這也是一個在很大程度上被誤解的話題,很多人將加密“隱私”視為資助恐怖分子和進行洗錢活動的藉口。事實上,加密Twitter以其“匿名文化”而自豪,而主流媒體經常(有意或無意地)強化這種偏見,這並不利於消除刻板印象。
因為Web3是一個包羅萬象的概念,從猿猴頭像到密碼學、零知識證明,無所不在其中,所以籠統地談論它的好壞是沒有用的。相反,我們必須將問題分解成不同的更小部分。這篇文章將從網絡層隱私、協議層隱私和用戶層隱私這三個不同的層次上拆解Web3的“隱私”基礎設施,然後再探討零知識證明(ZKP)等技術解決方案在未來Web3隱私中發揮的作用。
網絡級隱私
隱私的第一個也是最古老的概念起源於網絡層面。網絡級隱私通過區塊鏈的底層共識機制和網絡級設計來保證給定區塊鍊網絡上每筆加密貨幣交易的隱私。因此,這也被稱為“隱私幣”。
Monero是建立網絡級隱私的領先項目之一,它是2014年建立的以隱私為優先的區塊鏈。與比特幣不同,Monero將用戶錢包和交易隱藏在“環簽名”之後,其中給定“環”內的用戶可以訪問某個“群簽名”,並使用該群簽名來簽署交易。因此,對於Monero網絡上的任何給定交易,你只能知道它來自某個特定的群組,但不能知道具體是群組中的哪個用戶實際簽署了該交易。從本質上講,這是“群體中的隱私”的一種形式,用戶聚集在一起,為每個人提供隱私。
另一個解決這個問題的項目是ZCash,它是零知識證明的一種形式——zk-SNARKs的早期先驅,這項技術最近得到了普及。零知識證明是一種在不洩露任何進一步信息(這可能會危及安全和隱私)的情況下證明某些事情為真的方法。
儘管它們的設計和實現存在差異,但對於Monero和ZCash而言,交易的隱私在區塊鏈級別得到保證,因此網絡上發生的所有交易都會自動保證隱私性。這種隱私保證很容易被不良行為者濫用,進行洗錢、恐怖活動和販毒,而門羅幣因其在暗網上的流行而臭名昭著。此外,隨著Monero和其他“隱私幣”成為非法金融活動的代名詞,這讓出於合法隱私問題而使用這些“隱私幣”的用戶被迫離開,形成負反饋循環,只會導致更有害的影子經濟。
這是在網絡層面保證隱私的最大缺點:它是一種“全有或全無”的設計方法,交易的透明度與交易的隱私之間存在零和權衡。正是因為缺乏透明度,“網絡級隱私”最受監管者的批判,也是Coinbase、Kraken和Huobi等幾家主要中心化加密貨幣交易所在幾個司法管轄區下架Monero、ZCash和其他隱私幣的原因。
協議級隱私
隱私的另一種方法是確保“協議級隱私”,這裡不再將隱私交易硬編碼到區塊鍊網絡的共識級別,而是在運行在區塊鍊網絡之上的“協議”或“應用程序”上處理隱私交易。隨著以太坊的出現和“智能合約”的興起,這為隱私保護協議開闢了一條全新的途徑。
“協議級隱私”最著名的例子之一是Tornado Cash,它是以太坊上的一個去中心化應用程序(dApp),它將交易“混合”到一個池中以保證交易隱私——在概念上有點類似於Monero 的“混入群體”的方法。
Tornado Cash協議大致分為三個主要步驟:
- 存款:用戶將他們的資金發送到Tornado Cash智能合約。這會啟動一個帶有隨機生成的“匿名集”的隱私交易,“匿名集”是同時進行交易的一組用戶。
- 混合: Tornado Cash將存入的資金與匿名集中其他用戶的資金混合在一起,使得追踪原始發送者或接收者變得困難。此過程稱為“混合”或“匿名化”。
- 贖回:資金混合後,用戶可以將資金提取到他們選擇的新地址,從而打破原始地址和目標地址之間的聯繫。
不幸的是,2022年8月,Tornado Cash受到美國政府的製裁,因為外國資產控制辦公室(OFAC) 聲稱朝鮮黑客正在使用該協議清洗被盜資金。由於此次打擊行動,美國用戶、公司和網絡無法再使用Tornado Cash。 USDC穩定幣發行商Circle進一步地凍結了與Tornado Cash地址相關的超過75000美元資金,GitHub也刪除了Tornado Cash開發者的賬戶。
這在加密領域引發了一場爭議風暴,許多人認為絕大多數用戶使用Tornado Cash是為了進行合法的隱私保護交易,協議用戶不應該因為少數人的不良行為而受到懲罰。
Aztec Network開創的另一種“協議級隱私”方法側重於“rollups”,以保護用戶資金並支持隱私交易。 Aztec的主要產品是zk.money,它使用一個兩層的深度遞歸零知識證明來實現擴展和隱私。第一層ZKP證明匿名交易的正確性,確保交易是隱私的,沒有信息洩露。第二層ZKP用於rollup本身,以便將批量交易的計算捆綁在一起並確保所有這些都正確執行。
雖然基於rollup的“協議級隱私”解決方案仍處於早期階段,但它們代表了“協議級隱私”解決方案的未來發展。與基於dApp的“協議級隱私”解決方案(如Tornado Cash)相比,rollup解決方案的一個關鍵優勢是它們增強了可擴展性,因為計算的繁重工作主要發生在鏈下。此外,由於許多rollup研究只關注增加計算量,因此在將這些技術應用和擴展到隱私領域方面仍有充足的探索空間。
用戶級隱私
Web3隱私概念的第三種(也是最近的)途徑是“用戶級隱私”,其中隱私保護是針對單個用戶的數據,而不是用戶的交易數據。在“網絡”和“協議”層面,我們目睹了少數不良行為者反復出現的問題(例如暗網交易和洗錢)影響了單純關心個人數據隱私的無辜的大多數人。
“用戶級隱私”的關鍵點在於,通過關注網絡中的個人用戶,我們進行“有針對性”的過濾,良性用戶和地址可以自由地與區塊鍊網絡進行隱私交互,而不良用戶則可以很快被過濾掉。
“用戶級隱私”的核心見解是分離和重新想像用戶本身與其鏈上錢包地址之間的關係,因為錢包地址是區塊鍊網絡上的原子標識符。重要的是,存在從用戶到鏈上地址的一對多映射:用戶通常在與他們交互的每個區塊鍊網絡上控制多個錢包地址。這就是“鏈上身份碎片化”的想法。因此,“用戶級隱私”的關鍵是找到一種安全的方式將用戶的個人身份信息(PII) 映射到所有這些碎片化的鏈上身份。
這方面的一個關鍵項目是Notebook Labs,它尋求使用零知識證明將碎片化的身份與用戶的PII聯繫起來,同時提供以下保證:
1.用戶可以用任何碎片化的鏈上身份來證明自己的身份
2.不可能將這些身份鏈接在一起(除非用戶的密鑰洩露)
3.任何第三方或對手都不可能將碎片化的鏈上身份與用戶的真實身份聯繫起來
4.憑證可以跨身份聚合
5.每個人都會收到一組碎片化的鏈上身份
雖然該協議的加密細節超出了本文的範圍,但Notebook Labs展示了“用戶級隱私”的兩個核心原則——解決重新想像大量碎片化的鏈上身份與現實世界人類用戶之間關係的重要性,以及零知識證明在聚合和鏈接所有這些身份方面發揮的重要作用。
“用戶級隱私”問題的另一個新興解決方案是“隱形錢包”的想法。同樣,“隱形錢包”的想法利用了鏈上身份的碎片化和用戶通常在鏈上擁有多個身份這一事實。與Tornado Cash和其他試圖掩蓋交易數據本身的“協議級隱私”解決方案不同,隱形地址試圖掩蓋發送者和接收者地址背後的身份。這本質上是通過找到一種算法來實現的,該算法可以為用戶的交易快速自動生成“一次性地址”。
“隱形錢包”與之前討論的隱私解決方案(如Monero和Tornado Cash)之間的一個重要概念區別在於,這不是一種“群體中的隱私”形式。這意味著,與Tornado Cash只能為ETH等主流代幣轉移提供隱私保護不同,隱形錢包還可以為小眾代幣和NFT,或者沒有“群體”融入的獨特鏈上資產提供安全保障。儘管如此,到目前為止,關於以太坊“隱形錢包”的討論還停留在理論階段,這一新技術解決方案的實施效果和法律後果還有待觀察。
ZKP和Web3隱私的未來
正如我們所見,Web3中的隱私很複雜,在網絡層面、協議層面和用戶層面有不同的解決方案,並需要探索透明度和隱私之間的不同權衡。也就是說,如果不考慮硬幣的另一面:透明度和問責制,任何關於隱私的討論都是不完整的。
不管是好是壞,監管機構說加密貨幣交易需要加強問責制都是正確的。從事洗錢、恐怖活動和金融欺詐的不良行為者,無論使用法幣還是加密貨幣完成交易,都應該被追究責任。但希望在Web3 中,這種問責制可以在政府不採取完全關閉隱私網絡並強迫人們以“加密裸露”的方式使用這些區塊鏈的情況下實現。隱私應被視為一項基本權利,是數字尊嚴的衡量標準。
長期以來,隱私和問責制被視為一場零和遊戲,用戶可以隱藏數據並保持隱私,也可以展示數據並保持透明。 Web3的創新之處在於它開創了優雅的技術解決方案(尤其是零知識證明)來克服這種零和困境。但是,Web3社區而不是監管機構有責任證明這些技術實際上可以確保隱私和問責制。
很多時候,零知識證明被吹捧成能夠解決任何隱私問題的萬能藥。但是,儘管ZKP具有所有的數學魔力,但它遠不是解決Web3所有隱私問題的靈丹妙藥,並且有幾個嚴重的缺點。首先,ZKP通常是高度專業化的電路,用於證明以特定方式構造的特定信息。通常,它們缺乏可擴展性和兼容性。其次,它們的創建、運行和維護成本非常高,與等效的非ZKP程序相比,它們需要更多的計算能力。
因此,在考慮隱私領域的ZKP時,重要的問題始終是你要證明“什麼”,以及“為什麼”?畢竟天下沒有免費的午餐,設計ZKP總是要付出代價的。技術佈道者宣稱ZKP將解決所有隱私問題,就像監管機構關閉所有隱私協議一樣,都是不負責任的。
從根本上說,Web3中的隱私不僅僅是一個工程問題;這是一個第一性原則。自從比特幣白皮書發布和區塊鏈的商業採用以來,Web3的基本原則之一就是強調去信任——你不需要信任任何可能會背叛你的一方。只有通過去中心化、透明和公正的方式保證用戶的隱私,網絡才能真正做到去信任化。
那麼Web3中的隱私應該是什麼樣子的呢?這是我們需要決定的最緊迫的問題。
參考文獻:
[1] https://bitcoin.org/en/protect-your-privacy
[2] https://decrypt.co/resources/monero
[3] https://blog.pantherprotocol.io/ring-signatures-vs-zksnarks-comparing-privacy-technologies/
[4] https://z.cash/technology/zksnarks/
[5] The Gradescope example is from one of my previous blog posts, which discusses the principles of ZKPs (and zk-Sync v2.0) in more depth: https://medium.com/web3-insights/zk-sync- v2-0-and-the-future-of-zk-rollups-2d9617d5193b
[6] https://dailycoin.com/monero-xmr-darknet-darling/
[8] https://messari.vercel.app/article/on-chain-privacy
[9] https://www.coincenter.org/education/advanced-topics/how-does-tornado-cash-work/
[10] https://home.treasury.gov/news/press-releases/jy0916
[11] https://time.com/6205143/tornado-cash-us-crypto-ban/
[12] See more: https://zk.money/
[13] See more about dID: https://beincrypto.com/learn/decentralized-identity/
[15] Notebook Labs Whitepaper: https://assets.website-files.com/635b21dddd46c8cddf2171fd/635b21dddd46c8be9021722c_Notebook_Whitepaper.pdf
[17] Technical discussion of “stealth wallets” omitted here for simplicity. Vitalik Buterin has a very clear schematic diagram of how the cryptography behind “stealth wallets” work: https://vitalik.ca/general/2023/01/20/ stealth.html