Úvod
Transparentnost systému je klíčem k normálnímu fungování blockchainu. Takzvaná transparentnost znamená, že každý uzel v síti může uložit kopii a má právo ověřit, zda nedošlo k porušení. V mnoha distribuovaných účetních knihách může kdokoli načíst průzkumníka bloků a procházet bloky, transakce a adresy v síti.
Z hlediska ochrany soukromí není tento přístup ideální. V systémech, jako je bitcoin, lze každou transakci propojit s předchozími transakcemi. Tokeny jsou technicky nezaměnitelné, což znamená, že každý token je vázán na konkrétní transakci. Nikdo vám nemůže zabránit v odesílání bitcoinů, ale pokud tyto coiny někdy projdou přes adresu na černé listině, druhá strana má právo transakci odmítnout.
V nejhorším případě může mít nedostatek homogenity hluboké důsledky pro základy systému. Čisté coiny získávají prémii, zatímco rané mince ztrácejí hodnotu kvůli historickým problémům.
Soukromí bitcoinů je často nadhodnoceno. Ve skutečnosti jsou tokeny i uživatelé v systému dohledatelné. Lidé jsou zvyklí pracovat anonymně (ukazovat veřejnou adresu místo jména), ale tento přístup má určité nevýhody. Se stále se zvyšující přesností agregují špičkové analytické entity v celé síti za účelem deanonymizace.
Důvěrné transakce jsou vylepšeným prostředkem k podpoře skutečně soukromých transakcí.
Co je důvěrná transakce?
Koncept důvěrných transakcí (CT) byl poprvé navržen v roce 2013 Adamem Backem, generálním ředitelem Blockstream, a následně byl rozšířen a rozšířen vývojář bitcoinů Gregory Maxwell. V první části Maxwell nastínil zmíněné problémy „homogenizace“ a „slabé anonymity“ a navrhl odpovídající řešení. Upozornil, že částka transakce může být skryta v širší síti a konkrétní hodnotu mohou znát pouze účastníci transakce.
Za normálních okolností (transakce lze veřejně prohlížet) mohou uzly snadno ověřit, že množství přijatých coinů převyšuje množství odeslané. Například Alice chce poslat 0,3 BTC Bobovi, použije neutracený výstup (říkejme tomu „1 BTC“) a rozdělí ho na dvě části: 0,3 BTC Bobovi a 0,69 BTC k odeslání zpět do osobní peněženky (zbývající prostředky se těží, když se platí poplatky za těžbu).
Pro ostatní uzly je to jednoduchá algebra: 1 > 0,3+0,69, všechny signatury jsou správné a Alicein vstup není spotřebován jinde, takže transakce musí být platná. Po skrytí částky se věci zkomplikovaly. Jak určíme, zda je neznámá částka větší nebo rovna součtu dvou dalších neznámých částek?
Přehled příslušných kryptografických principů
Aby bylo možné data skrýt, musí být použity některé šifrovací techniky. Tradiční metoda je však podobná ukládání dokumentů do trezoru: jakmile jsou uzamčeny, nelze je vyjmout, dokud nejsou odemčeny. Důvěrné transakce fungují podobně jako digitální trezor, kde je obsah skrytý a vlastnictví aktiv může být ověřeno cizinci.
Odpověď spočívá v „homomorfním šifrování“, mechanismu zvaném Pedersenův slib. Tento typ šifrování umožňuje osobám zvenčí provádět operace se zašifrovanými daty pro různé účely, aniž by si mohli prohlížet konkrétní obsah.
K odeslání dat, která chcete zobrazit, lze použít běžný hash. Řekněme, že chcete na sociálních sítích vyhlásit soutěž o výhru 0,01 BTC za uhodnutí vaší oblíbené burzy. Účastníci mohou být k soutěži skeptičtí, protože se můžete po soutěži určitě podívat na jejich odpovědi a vybrat si výměnu, kterou nikdo nezmínil.
Uděláte to tak, že svým fanouškům poskytnete hash: zdánlivě náhodný řetězec čísel a znaků (odpovídající konkrétnímu vstupu), předáte odpověď konkrétní funkcí (tj. specifikujete výměnu) a nakonec získáte výstup. Vezměme si jako příklad algoritmus SHA256:
f1624fcc63b615ac0e95daf9ab78434ec2e8ffe402144dc631b055f711225191Na základě výše uvedené hodnoty hash neznáte konkrétní vstup a nemůžete získat předchozí vstup zpětným postupem přes funkci. Pokud ale víte, že vstup je „Binance“, můžete snadno určit, že jeho hash odpovídá výše uvedenému. Fanoušci se tak budou cítit pohodlněji, když budou vědět, že svou odpověď na konci hry nezměníte, což by vedlo k úplně jinému výstupu.
Ve skutečnosti tato metoda není absolutně bezpečná. Zatímco fanoušci nemohou zpětně analyzovat algoritmus, mohou vytvořit seznam výměn a porovnávat hash jeden po druhém, dokud nedostanou správnou odpověď. Abychom se takovým operacím vyhnuli, můžeme k datům, která je třeba hashovat, přidat náhodná data, nazývaná „masking factor“.
Pokud zadáme „Binance je moje oblíbená burza oproti jakékoli jiné burze 2#43Wr“, bude pro konkurenty těžké uhodnout výsledek (ostatně za pouhých 0,01 BTC to nemohou zkoušet nesčetněkrát).
S Pedersenovými sliby můžeme přidat vstupy po slibu. Maxwell to vysvětlil takto:
C(BF1 + D1) + C(BF2 + D2) = C(BF1 + BF2, D1 + D2)
kde BF označuje maskovací faktor a D označuje data
Dalších několik kroků zahrnuje kryptografii eliptických křivek a důkazy rozsahu, ale základní myšlenkou je provést Pedersenovo zpracování závazků na adrese. Při zasílání finančních prostředků systém vygeneruje další dva "přísliby" (změnu adresy a cílovou adresu pro vrácení prostředků).
Nikdo nezná odeslanou částku, ale lze zkontrolovat, zda se změna a cílový závazek (levá strana Maxwellovy rovnice) rovnají původní adrese (pravá strana rovnice). Pokud je výpočet správný, stačí prokázat, že vstup a výstup jsou stejné, což znamená, že transakce uživatele je platná.
Čeho mohou důvěrné transakce dosáhnout
Pokud jsou v bitcoinech implementovány důvěrné transakce, lze vytvořit soukromější systém. Vstupy a výstupy do systému budou skryty a entity v hlavní knize budou zatemněny, ale uzly mohou stále ověřit jejich pravost. S výrazně lepším soukromím nemůže řetězová analýza odhalit historii dané jednotky, takže bitcoiny jsou efektivně zastupitelné.
Pokud jde o to, zda lze do dohody začlenit „důvěrné transakce“, zdá se to v současnosti nepravděpodobné. S přidáním této funkce bude velikost transakcí větší než u běžných transakcí, což přirozeně vytvoří větší poptávku na trhu vzhledem k omezenému prostoru bloku. Se změnou kódu navíc musí souhlasit většina účastníků sítě, což byl v minulosti problém.
Shrnout
Některé kryptoměny do jisté míry opakovaly důvěrné transakce v bitcoinových postranních řetězcích. Monero například dokonale integruje důvěrné transakce se strukturou „ring signature“ pro dosažení anonymity a homogenity. Soukromí Liquid sidechain a MimbleWimble bylo také výrazně vylepšeno.
Důvěrné transakce mají mnoho výhod, ale také čelí problému zvýšeného objemu zpracování. Kryptoměny již dlouho čelí výzvám, pokud jde o škálovatelnost a propustnost základní vrstvy, a velké objemy transakcí také mnoho lidí znemožní. Zastánci soukromí nicméně tvrdí, že je nutné skrýt částky transakcí a účastníky, aby se kryptoměny staly skutečně homogenními měnami.
