• 简体版 | 繁體版
  • 联系我们
  • 加入我们
  • 关于我们
  •  
  • 首页
  • 快讯
  • 价值号
  • 视频
  • 专题
  • 深度
  • 入驻价值号
  • 碳链APP
    微信公众号

    扫码下载App

  • 登录
  • 微信公众号

    微信公众号

导航
  • 首页
  • 快讯
  • 区块链+
  • 价值号
  • 视频
  • 专题
  • DeFi优选
碳链价值APP
专注服务于金融科技和区块链
立即打开

Vitalik:隐身地址不完全指南

Foresight NewsForesight News  •  2023-01-24
​Vitalik Buterin 认为,「当前隐身地址可以被快速实施,并且可以显著提高以太坊用户的隐私,但也可能会带来如社交钱包恢复困难等的可用性问题,长远来看这些问题是可以解决的,不过隐身地址生态系统看起来确实严重依赖于零知识证明。」

撰文:Vitalik Buterin

翻译:Karen,Foresight News

当前以太坊生态系统中最大挑战之一是隐私。默认情况下,进入公共区块链的任何内容都是公开的,这不仅意味着资产和交易活动,还意味着 ENS 域名、POAP、NFT 和灵魂绑定代币等。使用一系列以太坊应用就意味着你的很多活动会公开给其他任何人查看和分析。

我们需要改善这种状况。然而,到目前为止,关于改善隐私的讨论主要围绕一个特定的用例,即:ETH 和主流 ERC20 代币的隐私保护转移。这篇文章将描述一种不同类别工具的机制和用例,可以在许多其他情况下改善以太坊的隐私状态,也就是「隐身地址」( stealth addresses)概念。

隐身地址系统是什么?

假设 Alice 想要给 Bob 转移资产,可能是一定数量的加密货币(例如 1 ETH、500 RAI),也可能是一个 NFT。当 Bob 收到资产时,他不想让其他人知道该笔资产的接收人是他。隐藏已经转移发生的事实是不可能的,特别是如果转移的是一个在链上仅存在一个副本的 NFT,不过隐藏谁是接收者可能更可行。

Alice 和 Bob 更想要的应该是这样一个支付流程系统,即,Bob 向 Alice(或支持 ENS 域名)发送某种能接收付款的「地址」编码,仅此信息就足以让 Alice(或其他任何人)向他发送资产,而且这与目前的支付工作流程几乎完全相同。

需要注意的是,这种隐私性与 Tornado Cash 提供的隐私完全不同。Tornado Cash 可以隐藏 ETH 或主要 ERC-20 等主流可替代资产的转账(经常用于私下发送给自己),但在为鲜为人知的 ERC20 转账添加隐私方面非常薄弱,并且根本无法为 NFT 转账添加隐私。

如上提到的使用加密货币进行支付的普通工作流程,增加了隐私性,即,没有人能知道资产接收人是 Bob,而且工作流程未发生改变。如上提到的使用加密货币进行支付的普通工作流程,增加了隐私性,即,没有人能知道资产接收人是 Bob,而且工作流程未发生改变。

隐身地址是可以由 Alice 或 Bob 生成的地址,但只能由 Bob 控制。Bob 生成一个支出密钥(spending key)并对此进行保密,然后使用该密钥生成一个隐藏元地址(stealth meta-address)。他将这个元地址传递给 Alice(或在 ENS 上注册)。Alice 可以对该元地址执行计算以生成属于 Bob 的隐身地址。然后 Alice 可以将她想发送的任何资产发送到这个地址,Bob 将完全控制这些资产。转移过程中,Alice 在链上发布了一些额外的加密数据(一个临时公钥),来帮助 Bob 发现这个地址属于他。

另一种看待它的方式是:隐身地址提供与 Bob 相同的隐私属性,为每笔交易生成一个新地址,但不需要 Bob 的任何交互。

隐身地址方案的完整工作流程如下所示:

  1. Bob 生成他的根支出密钥(m)和隐身元地址(M)。

  2. Bob 添加了一条 ENS 记录来注册(M)为 bob.eth 的隐身元地址 bob.eth。

  3. 我们假设 Alice 知道 Bob 的地址为 bob.eth。Alice 在 ENS 上查找 Bob 的隐身元地址(M)。

  4. Alice 生成一个只有她知道的临时密钥,并且她仅能使用一次(生成这个特定的隐身地址)。

  5. Alice 使用一种算法,将她的临时密钥和 Bob 的元地址结合起来生成一个隐身地址。她现在可以将资产发送到这个地址。

  6. Alice 还生成她的临时公钥,并将其发布到临时公钥注册表(这可以在与第一个将资产发送到这个隐身地址的交易相同的交易中完成)。

  7. 为了让 Bob 发现属于他的隐身地址,Bob 需要扫描临时公钥注册表,以查找自其上次扫描以来任何人发布的整个临时公钥列表。

  8. 对于每个临时公钥,Bob 尝试将其与他的根支出密钥结合起来生成一个隐身地址,并检查该地址中是否有任何资产。如果有,Bob 计算该地址的支出密钥并记住它。

这一切都依赖于密码欺骗的两种用途。首先,我们需要一对算法来生成共享密钥(shared secret):一个算法使用 Alice 临时密钥和 Bob 的元地址,另一个算法使用 Bob 的根支出密钥和 Alice 的临时公钥。这可以通过多种方式完成;Diffie-Hellman 密钥交换是建立现代密码学领域的成果之一,它恰好实现了这一点。

但是仅共享秘密远远不够:如果我们只是从共享秘密生成一个私钥,那么 Alice 和 Bob 都可以从这个地址消费。我们还添加了一个密钥盲化机制:在一对算法中,其中 Bob 可以将共享密钥与他的根花费密钥结合起来,而 Alice 可以将共享密钥与 Bob 的元地址结合起来,这样 Alice 就可以生成隐身地址,并且 Bob 可以为该隐身地址生成支出密钥,所有这些都无需在隐身地址和 Bob 的元地址之间创建公共链接(或一个隐身地址与另一个隐身地址之间)。

使用椭圆曲线密码学隐藏地址

使用椭圆曲线密码学隐藏地址最初是由 Peter Todd 于 2014 年在比特币背景下引入的。该技术的工作原理如下:

  • Bob 生成一个密钥(m),并计算 M = G * m,其中 G 是椭圆曲线的公认生成点。隐身元地址是(M)。

  • Alice 生成一个临时密钥(r),并发布临时公钥 R = G * r。

  • Alice 可以计算出一个共享密钥 S = M * r,Bob 也可以计算出相同的共享密钥 S = m * R。

  • 一般来说,在比特币和以太坊(包括正确设计的 ERC-4337 账户)中,地址是包含用于验证来自该地址的交易的公钥的哈希。因此,如果你计算公钥,就可以计算地址。为了计算公钥,Alice 或 Bob 可以计算 P = M + G * hash(S)

  • 要计算该地址的私钥,Bob 可以计算 p = m + hash(S)

这满足了我们上面的所有要求,而且非常简单。

甚至有一个 EIP 试图为以太坊定义一个隐身地址标准,它既支持这种方法,又为用户提供了开发其他方法的空间(例如,支持 Bob 拥有单独的支出和查看密钥,或者使用不同的密码学来实现抗量子安全)。现在你可能会想:隐身地址并不是很难,理论知识已经扎实,采用仅是一个实施细节。然而,问题在于,真正有效的实现还需要通过一些重要的实施细节。

隐身地址和支付交易费用

假设有人给你发了一个 NFT。如果你想要确保隐私,他们会将其发送到您控制的隐身地址。扫描链上的临时公钥后,你的钱包会自动发现该地址。你现在可以自由证明 NFT 的所有权或将其转让给其他人。但有一个问题是,该帐户中的 ETH 余额为 0,因此也无法支付交易费用。即使是 ERC-4337 代币付款人也不会奏效,因为它们只适用于可替代的 ERC20 代币。而且你不能从你的主钱包向它发送 ETH,因为那样你就创建了一个公开可见的链接,也就是说没了隐私性。

有一种简单的方法可以解决这个问题:只需使用 ZK-SNARKs 转移资金来支付费用。但这样会消耗大量的 Gas,仅单次转账就会额外消耗数几十万 Gas。

另一种比较聪明的方法涉及信任专门的交易聚合器(MEV 术语中的搜寻者 searchers)。这些聚合器将允许用户支付一次以购买一组可用于支付链上交易的“tickets”。当用户需要在一个不包含任何其他内容的隐身地址中花费 NFT 时,他们会向聚合器提供其中一张 ticket,使用 Chaumian 盲法进行编码。这是在 1980 年代和 1990 年代提出的集中式隐私保护电子现金方案中使用的原始协议。搜索者接受 ticket,并重复将交易免费包含在他们的捆绑包中,直到交易在一个区块中被成功接受。

隐身地址和分离支出和查看密钥

假设 Bob 不是只有一个可以做所有事情的主「根支出密钥」,而是想要一个单独的根支出密钥和查看密钥。该查看密钥可以看到 Bob 的所有隐身地址,但不能进行支出。

在椭圆曲线世界中,这可以使用一个非常简单的密码技巧来解决:

  • Bob 的元地址(M)现在的形式为 (K, V), 编码 G * k 和 G * v,其中 k 是支出密钥,v 是查看密钥。

  • 共享密钥现在为 S = V * r = v * R,其中 r 仍然是 Alice 的临时密钥,R 仍然是 Alice 发布的临时公钥。

  • 隐身地址的公钥是 P = K + G * hash(S),私钥是 p = k + hash(S)。

第一个步骤(生成共享秘密)使用查看密钥,第二个步骤(Alice 和 Bob 的并行算法生成隐身地址及其私钥)使用根支出密钥。

这有很多用例。例如,如果 Bob 想要接收 POAP,那么 Bob 可以给他的 POAP 钱包(或者甚至是一个不太安全的 Web 界面)查看密钥来扫描链并查看他的所有 POAP,而不需要给这个界面花费那些 POAP 的权力。

隐身地址和易扫描

为了更容易地扫描整个临时公钥集,一种技术是向每个临时公钥添加一个视图标签。在上述机制中执行此操作的一种方法是使视图标签成为共享密钥的一个字节(例如,S modulo 256 的 x 坐标,或 hash(S) 的第一个字节。

这样,Bob 只需要为每个临时公钥执行一次椭圆曲线乘法来计算共享密钥,由于有了视图标签,也更容易进行扫描。

隐身地址和抗量子安全

上面的方案依赖于椭圆曲线,不过尽管这种方案效果很好,但不幸的是,容易受到量子计算机的攻击。我们将需要切换到抗量子算法。有两个自然的候选者:椭圆曲线同源和格(lattices)。

椭圆曲线同源是一种非常不同的基于椭圆曲线的数学构造,具有线性特性,可以让我们使用与上面所做的类似的密码技巧,但巧妙地避免了构造可能容易受到量子计算机离散对数攻击的循环群。

基于同源密码学的主要弱点是其高度复杂的底层数学,以及在这种复杂性下隐藏可能的攻击的风险。一些基于同源(密码学)的协议去年被攻击,但其他协议仍然安全。同源的主要优势是相对较小的密钥大小,以及直接移植多种基于椭圆曲线的方法的能力。

A 3-isogeny in CSIDHA 3-isogeny in CSIDH

格(lattices)是一种非常不同的密码结构,依赖于比椭圆曲线同构简单的数学,并且能够做一些非常强大的事情(例如完全同态加密)。隐身地址方案可以建立在格上,尽管设计最好的方案是一个悬而未决的问题。然而,基于格的结构往往具有更大的密钥大小。

全同态加密,格的应用。FHE 还可以用于以不同的方式帮助隐身地址协议:帮助 Bob 外包检查整个链中是否包含资产的隐身地址的计算,而无需透露他的视图密钥。全同态加密,格的应用。FHE 还可以用于以不同的方式帮助隐身地址协议:帮助 Bob 外包检查整个链中是否包含资产的隐身地址的计算,而无需透露他的视图密钥。

第三种方法是从通用黑盒原语构建隐身地址的方案。该方案的共享密钥生成部分直接映射到密钥交换,这是公钥加密系统中的重要组成部分。更难的部分是让 Alice 只生成隐身地址(而不是支出密钥)并让 Bob 生成支出密钥的并行算法。

不幸的是,你无法使用比构建公钥加密系统所需的更简单的成分来构建隐身地址。有一个简单的证明是,可以用一个隐身地址方案构建一个公钥加密系统。如果 Alice 想给 Bob 加密一条消息,她可以发送 N 笔交易,每笔交易要么发往 Bob 的一个隐身地址,要么发往一个属于她自己的隐身地址,Bob 可以看到他收到了哪些交易来读取消息。这很重要,在数学证明中你不能只用哈希来做公钥加密,而你可以只用哈希来做零知识证明,因此,隐身地址不能只用哈希来完成。

这确实是一种使用相对简单成分的方法:零知识证明,可以由哈希和(密钥隐藏)公钥加密组成。Bob 的元地址是一个公开的加密密钥加上一个哈希 h = hash(x),他的支出密钥是对应的解密密钥加上 x。要创建一个隐身地址,Alice 生成一个值 c,并将 Bob 可读的 c 加密作为她的临时公钥发布。该地址本身是一个ERC-4337 帐户,其代码通过要求交易提供零知识证明来验证交易,证明值 x 和 c 的所有权,使得 k = hash(hash(x), c)(其中 k 是帐户代码的一部分)。知道 x 和 c,Bob 就可以自己重建地址及代码。

(c) 的加密不会告诉除 Bob 之外的其他任何人任何信息,并且 (k) 是一个哈希,它几乎不会透露有关 c 的任何事情。钱包代码本身只包含 (k),(c) 私有意味着 (k) 无法追溯到 (h)。

然而,这需要一个 STARK。最终,我认为后量子以太坊世界很可能会涉及使用许多 STARK 的应用,因此我提倡像此处描述的聚合协议将所有这些 STARK 组合成一个递归 STARK 以节省空间。

隐身地址和社交恢复以及多 L2 钱包

很长一段时间以来,我一直很感兴趣社交恢复钱包,社交恢复钱包具有多重签名机制,其密钥能在机构、你的其他设备和朋友的某种组合之间共享。如若你丢失主要密钥,绝大多数密钥允许恢复账户访问。

然而,社交恢复钱包不能很好地与隐身地址结合:如果你必须恢复你的账户(改变控制它的私钥),你还必须执行一些步骤来改变你的 N 个隐身钱包的账户验证逻辑,这将需要 N 笔交易,以高昂的费用、便利性和隐私成本为代价。

社交恢复和多个 L2 协议的相互作用也存在类似的担忧:如果你在 Optimism、Arbitrum、StarkNet、Scroll、Polygon 上有账户,出于扩展原因有十几个并行实例,并且您在每个实例上都有一个帐户,那么更改密钥可能是一个非常复杂的操作。

更改多条链中多个帐户的密钥是一项巨大的工作。

也许你可以使用一些自动化软件在两周的时间跨度内以随机间隔将资产转移到新的隐身地址,以降低基于时间的关联的有效性。但这远非完美。另一种方法是在监护人之间秘密共享根密钥,而不是使用智能合约恢复。但是,这会消除停用监护人帮助恢复您帐户的权力的能力,因此存在长期风险。

一种更复杂的方法涉及零知识证明。这允许许多帐户,甚至跨越许多 L2 协议,在某处(在基础链上或某些 L2 上)由单个 k 值控制,其中更改该值足以更改所有帐户的所有权,所有这些都不会泄你的多个帐户之间的联系。

结论

当前基本的隐身地址可以快速实施,并且可以显著提高以太坊上用户的隐私。我认为出于其他与隐私相关的原因,钱包应该开始转向更原生的多地址模型(例如,为你与之交互的每个应用创建一个新地址可能是一种选择)。

然而,隐身地址确实会带来一些长期的可用性问题,例如社交恢复的困难。从长远来看,这些问题是可以解决的,不过隐身地址生态系统看起来确实严重依赖于零知识证明。

展开全文
打开碳链价值APP  查看更多精彩资讯
声明:本文内容为作者独立观点,不代表碳链价值立场,且不构成任何投资理财建议。
0 1
以太坊

扫一扫,分享到微信

相关推荐

详解2023年以太坊和Layer 1的主要趋势 价值号

详解2023年以太坊和Layer 1的主要趋势

达瓴智库 2023-01-30 价值号
以太坊区块链ETH
以太坊合并升级后进入了更高的阶段,优化了生态的底层,带来正效应。
Foresight Ventures:以太坊迈向 full sharding 的第一步,EIP-4844 全面解析 深度

Foresight Ventures:以太坊迈向 full sharding 的第一步,EIP-4844 全面解析

Foresight News 2023-01-29 深度
以太坊
Sharding 是以太坊扩容的长久之计,也是一个价值巨大、意义深远的长期方案。
以太坊合并后:DVT 分布式验证技术至关重要 价值号

以太坊合并后:DVT 分布式验证技术至关重要

TinTinLand 2023-01-19 价值号
以太坊DVT
以太坊路线图显示,分布式验证技术将是以太坊合并后的下一个关键。根据 Messari 的最新报告,DVT 能够提高验证器的安全性,DVT 或会是以太坊网络的主要发展之一。

碳链快讯更多 ›

2023-01-31

知情人士:推特在美国申请支付许可证,或考虑加密支付选项

2023-01-31

华尔街日报:SBF 曾试图通过拖延破产申请将资产从 FTX 转移到外国监管机构

2023-01-31

金融时报:推特支付系统或将支持加密货币

2023-01-30

Circle 2022 年 12 月储备报告:金库储备资金超 445 亿美元

2023-01-30

大连判决一起虚拟货币洗钱案,涉案金额达 678 万余元

2023-01-30

菲律宾证交会提交涵盖数字产品和加密货币监管的新草案

2023-01-30

美国联邦调查局:SBF 试图通过加密消息应用和邮件联系潜在证人

2023-01-30

Ray Dalio:将有一场货币的竞争,比特币是这场竞争的一部分

2023-01-30

Aptos 联创:希望创造新型数字化信息共享方式来提供经济价值

2023-01-30

贵州茅台将于 2 月 4 日发布首款数字与现实融合产品

2023-01-29

Web3 生态系统 Fastex 完成 2320 万美元融资

2023-01-29

海南10部门联合印发《关于加强数字藏品风险监管工作的通知》,加强数字藏品风险监管

2023-01-29

韩国司法部宣布今年上半年引入「加密货币追踪系统」

2023-01-29

韩国环境部、三星投资公司 Samsung Next 等多家韩国企业被列入 FTX 潜在债权人名单

2023-01-29

王永利:数字人民币暴露出深层次问题,不应定位于现金并统计到 M0

2023-01-29

Yuga Labs 联合创始人因患有心力衰竭将暂时退居幕后

2023-01-28

黄益平:中国若长期禁止加密货币或将错失一些重要的数字技术发展机会

2023-01-28

美SEC专员:呼吁建立适用于包括加密资产的所有资产类别的法律框架

2023-01-28

阿迪达斯旗下 Web3 工作室“/// Studio”将于 2 月 7 日投票选举 15 名理事会成员

2023-01-28

华为申请数字藏品云宝商标

2023-01-28

WazirX拒绝发表与币安关系澄清声明并表示声明内容为「虚假内容」

2023-01-28

《南华早报》:香港金融管理局和香港 SFC 被列入 FTX 债权人名单

2023-01-28

彭博社:因错误押注加密货币与 FTX ,天桥资本旗下最大基金去年亏损 39%

2023-01-28

消息人士:BH Digital 已收购 Dragonfly 整个流动性策略团队

2023-01-27

美 SEC 再度拒绝 Ark Invest 和 21Shares 的现货比特币 ETF 上市申请

2023-01-27

美众议院数字资产小组委员会主席:稳定币立法为今年主要任务

2023-01-27

彭博社:穆迪正在开发稳定币评分系统

2023-01-26

Aave 将购买 270 万枚 CRV 以弥补 Aave V2 超额债务

2023-01-26

Coinbase 被荷兰央行处以 363 万美元行政罚款,因其曾在未注册时提供加密服务

2023-01-26

路透社:币安为涉嫌非法资金案的 Bitzlato 处理了近 3.46 亿美元资金

2023-01-26

Web3 开发平台 Bunzz 完成 450 万美元种子轮融资

2023-01-26

FTX 披露机构债权人完整名单,包括 Apple、Netflix 和 Coinbase 等公司

2023-01-26

特斯拉在 2022 年第四季度没有交易任何比特币

2023-01-25

元宇宙电商 Emperia 完成 1000 万美元 A 轮融资,索尼创新基金等参投

2023-01-25

链游工作室 Mythical Games 拟筹集 5000 万美元新一轮融资

2023-01-25

A16z 领投游戏工作室 Voldex 的 A 轮融资

2023-01-25

法国参议员投票放宽加密许可监管

2023-01-25

Blockstream 完成 1.25 亿美元的可转换票据和担保贷款融资

2023-01-24

美 SEC 专员:SEC 不会单方面拒绝加密公司注册,但需要「比正常情况下更长的时间」

2023-01-24

QuickNode 以 8 亿美元估值完成 6000 万美元 B 轮融资

2023-01-24

欧洲央行执委:数字欧元隐私决定权将留给欧盟立法者

2023-01-24

法国国民议会将于周二就加密公司强制性许可制度进行投票

2023-01-24

MakerDAO 批准在 Yearn Finance 部署 1 亿美元 USDC

2023-01-24

Pantera Capital:2023 年将是区块链创业的绝佳时机

2023-01-24

Gemini 计划进行第三轮裁员,规模为 10%

2023-01-24

Genesis:希望在本周末之前与债权人达成协议,考虑出售自己来偿还债务

2023-01-23

慢雾:疑似朝鲜黑客组织「Lazarus Group」已将部分 Harmony 被盗资金转移到 ETH/Tron 链混币网络

2023-01-23

V神撰文介绍「隐身地址」概念以解决以太坊隐私保护难题

2023-01-23

数据:2022 年前 20 大对冲基金收益达 224 亿美元,Citadel 收益 160 亿美元创新高

2023-01-23

韩国法院裁定 NFT 属投机行为,不受现行立法保护

推荐文章

  • Pantera Capital 致投资者公开信:动荡不安的 2022,行将触底的 2023

    2023-01-25

  • 无聊猿的暴富、包袱与抱负

    2023-01-23

  • 创业老兵再出发,Plai Labs 浅谈为何选择 Web3

    2023-01-23

  • 一文详解Paradigm领投4600万美金的游戏Wildcard

    2023-01-22

  • 链游的下一层次:具有用户生成逻辑的链上游戏

    2023-01-21

价值号更多 ›

吉时通信
吉时通信
文章: 140
  • 释放ChatGPT3的力量:如何用AIGC撰写研报?
  • 科普:关于AIGC的十问十答
  • 从DNS到ENS:域名的Web3时代
链集市ChainMarket
链集市ChainMarket
文章: 223
  • 区块链产业周报|工信部公示2022区块链典型应用案例名单;吉利成立区块链公司;亚马逊云提供区块链解决方案
  • 航运迎来大变革:区块链在其中扮演怎样的角色?
  • 区块链产业周报|麦肯锡推出元宇宙报告,2030年元宇宙将有高达5亿美元价值;香港提出CBDC新思路
Unitimes
Unitimes
文章: 403
  • 以太坊 MEV 黑暗森林:从 Gas 战争到 PBS
  • 对话 Vitalik:合并后 以太坊的下一步是什么?
  • 为什么以太坊是最好的选择?
换一批

热门标签

新基建 比特币 以太坊 矿业 DeFi 共识对话 区块链+ 研报 美联储 央行数字货币 无限QE 加密衍生品 AI 云计算 大数据 5G 政策 交易所 稳定币 电子支付 Libra 算力产业 联盟链 公链 区块链 加密货币 Nervos Cosmos EOS STO

邮件订阅

及时、全面、专业、准确的资讯与数据,致力于为区块链爱好者以及数字货币投资者提供最好的服务。

App内打开

邮件订阅

及时、全面、专业、准确的资讯与数据,致力于为区块链爱好者以及数字货币投资者提供最好的服务。

Moshou

碳链价值是集资讯、行情、数据于一身的区块链信息服务平台,我们追求及时、全面、专业、精确的资讯与数据,致力于为区块链创新者和数字货币投资者提供优质的服务。

关于我们 加入我们 联系我们 隐私条款
微信公众号

扫一扫关注微信公众号

Copyright © 2018-2020 碳链价值 京ICP备18046423号
下载碳链App

下载碳链App

微信公众号

微信公众号

微信公众号

微信公众号

打赏文章作者

支付宝打赏二维码 支付宝扫一扫打赏
微信打赏二维码 微信扫一扫打赏

# 热门搜索 #

CBDC 比特币 DeFi 以太坊 区块链