編集者注: この記事は以下から引用しましたチェーンニュース ChainNews編集者注: この記事は以下から引用しました

チェーンニュース ChainNews

(ID:chainnewscom)、原著者：カリフォルニア大学サンノゼ校数学科助教授、博士号取得のイー・スン氏、ペリー・ワン編纂、許可を得てオーデイリー社より出版。業界全体が熱心に議論し、ブロックチェーンパブリックチェーンプロジェクトの「スケーラビリティ」問題の解決に着手した後、業界全体が注目するに値する次の重要な問題は、ブロックチェーン技術が「プライバシー保護」をどのように実現するかであると考えています。 。今年登場したテクノロジー主導のプロジェクトの多くは、「プライバシー保護」を中心的な方向性とみなして、この分野での徹底的な探究を始めています。」。

これは大規模かつ複雑なトピックです。実際、多くの誤解が一般的です。ブロックチェーンと仮想通貨の「プライバシー保護」の基本に関する記事を執筆した米国の2人の若い学者に感謝します。 Lianwen は、読者がこの分野の基本知識を明確にし、理解するのに役立つことを期待して、この本を読者に推奨しています。上級読者の場合は、Lianwen が発行した別の詳細な記事を読むことをお勧めします。

ブロックチェーンのプライバシー保護テクノロジーと関連プロジェクトの概要を 1 つの記事で読む

この記事は一般的な知識を紹介していますが、それでも考えて理解するのに時間がかかる「ハードコア」な技術記事です。一番良い読み方は、まず「集めて」からじっくり読むことです。そして、リツイートしてより多くの人に貴重な情報を広めてください。読書を楽しむ！

メディアの説明では、仮想通貨には独自の「匿名」属性があることがよくありますが、他の記事では、仮想通貨取引は追跡が容易であり、法定通貨取引よりも追跡が容易であると指摘する記事もあります。これら 2 つのステートメントに一貫性を持たせるためには、次のことを理解することが重要です。暗号通貨のプライバシー保護とは正確には何を意味しますか?

ブロックチェーンの世界では「プライバシー保護」にも多くの意味があるため、この質問に答えるのは思っているほど簡単ではありません。

ブロックチェーン技術に精通した開発者、投資家、または暗号通貨参加者になるには、暗号化システムにおける「プライバシー保護」が実際に何を意味するのかを理解することが非常に重要です。この点に関する私たちの考えとテクニックの一部を共有するためにこの記事を書きました。

アリスが、Paypal に買収された米国のマイクロペイメント モバイル アプリケーションである Venmo アカウントを開設し、本名を入力して確認する必要があると想像してください。 Venmo 社は彼女の本名を知っており、この情報を他のユーザーと共有する可能性があるため、アリスは自分の身元に関するプライバシーの一部を失います。ボブが Venmo を通じてアリスに 20 ドルを送金し、その取引を彼女のストリームで共有した場合、アリスの取引情報は公開されますが、これまで彼女の個人口座にいくらあるのかは Venmo だけが知っており、他の人は知りません。アリスがビットコイン アドレスを作成し、ボブに 20 ドル相当のビットコインを送金するように依頼したとします。 Venmo トランザクションと比較すると、アリスのビットコイン アドレスは本名に関連付けられていないため、アリスの本当の身元に関してある程度のプライバシー保護が得られます。ただし、ビットコインがボブのアドレスからアリスのアドレスに転送されるという事実、およびアリスがビットコイン転送を受け取った後のビットコインの総額は、ビットコイン ブロックチェーン内の全員にとって透過的な情報です。

したがって、アリスはビットコインを使用することで、ある側面ではプライバシー保護を達成しましたが、他の側面ではプライバシーを失ったことがわかります。：

• これは、トランザクションに異なる暗号通貨を使用する場合にはよくあることです。

• 暗号通貨の世界では、プライバシー保護には主に 3 つのレベルのコンテンツが含まれると考えています。

• 暗号通貨を使用して特定の操作を実行するユーザーの識別情報

ユーザーの対応する操作における特定のトランザクション データ

すべてのトランザクション情報を収集するブロックチェーンの全体的な状態

ブロックチェーン プロトコルでは暗号化を使用できるため、部外者が上記の各リンクのさまざまな部分を知り、計算することは不可能、または非常に困難になります。同時に、ブロックチェーンの特徴をマイニングしたい攻撃者は、さまざまな情報を合成して推測したり、必要な情報を直接要約したりすることもできます。プライバシー保護の手段は、プロトコル設計を通じて、特定の属性フィールドで潜在的な攻撃者に公開される情報をできる限り少なくすることになります。

重要なのは、特定の属性がプライバシー保護のカテゴリに該当するかどうかについては、それほど白黒はっきりしないということです。たとえば、一部の外部観察者にとってはすでに透明な情報ですが、他の外部観察者には明確ではない場合や、外部観察者は偶然推測できるかもしれませんが、必ずしもそうではない場合があります。この曖昧さは、「XX コインはプライバシーを保証する」または「A コインは B コインよりもプライバシー保護の点で優れている」などの単純な記述が成り立たないことが多いことを意味します。また、そのような発言は時々不用意に言葉にされると混乱や誤解を引き起こす可能性があるため、他の人を誤解させるためにそのような発言を作成する人もいます。

この記事の後半では、以下についても説明します。 場合によっては、ゼロ知識証明などの暗号ツールは、そのような主張を定量化し、厳密な証拠を提供するのに役立ちます。

まず、暗号通貨に関連するプライバシー保護から始めましょう。

副題

ID プライバシー、別名匿名性

プライバシーという言葉を聞いたとき、人々が最初に思い浮かぶのは匿名性です。これは、ユーザーの行動が現実世界でのユーザーと結びついていないことを意味します。

この種のプライバシー保護を実現する方法の 1 つは、簡単に実行できる「ペンネーム」方式であり、実際、さまざまなオンライン サービスを受ける際に、電子メール アドレスの代わりに bitcoinlover2008@gmail.com を登録するなど、私たちはペンネームを使用することが習慣になっています。実名を使用します。この場合、bitcoinlover2008@gmail.com の所有者の本名/正式名、たとえば、Alice Jones は、このネットワーク プロトコルでのほとんどのやり取りでは明らかにされません。

ビットコインなどのほとんどの暗号通貨では、ユーザーは公開キーと秘密キーのペアによって署名されます。公開キーはユーザー名に似ており、秘密キーはパスワードに似ています。重要なのは、誰かがあなたの正確な秘密鍵を知っている場合にのみ、合法か違法に取得されたかにかかわらず、あなたによって「署名された」メッセージを作成できるということです。この意味で、誰でもあなたの公開鍵を使用して秘密鍵を閲覧できるということです。 。この機能により、ユーザーは中央当局の介入なしに、所有する複数の公開鍵またはアドレスの 1 つを使用してビットコインなどの暗号通貨を受信したり、独自の秘密鍵を使用して暗号通貨を送信したりすることができます。これらのアイデアは、現代の数学暗号の基礎を形成しています。ただし、秘密鍵と公開鍵のペアを持つことは、分散環境で実際の身元を偽装するために「仮名を使用する」ための 1 つの方法にすぎません。

まず、ほとんどのユーザーはまず取引所で法定通貨でビットコインを購入します。通常、法定通貨取引は現在の銀行システムに関連付ける必要があり、現実世界での本当の身元を確認する必要があります。前のセクションで述べたように、ビットコインのすべてのトランザクション データは完全に公開されているため、特定のアドレスと現実世界の ID を結び付けた交換データベースを誰もが見ることができることを意味します。例で説明すると、アリスが Coinbase から 36n452uGq1x4mK7bfyZR8wgE47AnBb2pzi など、彼女が管理するアドレスに 0.1 ビットコインを引き出した場合、Coinbase は彼女の本名をこのアドレスに関連付けます。彼女が違法なオンライン スポーツ賭博サイトから 0.2 BTC を引き出した場合、外部の監視者は、アリスが違法なオンライン ギャンブルに関与していると推測し、不変の公的証拠を提供する可能性があります。

Chainalies などの企業は、ブロックチェーン分析として知られるこのような技術を使用して、パブリック アドレスをその背後にある ID に関連付け、トランザクションの行き先を分析しました。

画像の説明

第 2 に、暗号通貨取引を行うには、インターネット経由で情報を送信する必要があります。場合によっては、ユーザーが「Tor」などのいわゆる安全なブラウザを使用している場合でも、インタラクション メタデータを使用して、ユーザーがこれらのトランザクションを開始するために使用した IP アドレスを追跡できます。

上記 2 つの理由を組み合わせると、暗号通貨の「仮名」の性質に基づいて、メタデータを使用して匿名トランザクションを実行することは、ほぼ「不可能な作業」であることを意味します。

副題

取引データのプライバシー保護

• いわゆる「プライバシー コイン」について話すとき、通常、これらのコインでの取引は何らかの形でプライベートであることを意味します。

• 大まかに言えば、トランザクションとは、ブロックチェーンの状態を変更するためにユーザーが実行するアクションです。たとえば、アリスは自分が管理するアドレスからボブが管理するアドレスに X トークンを送信します。神の観点から見ると、この非常に単純な例には複数のデータも含まれています。

• アリスのアドレス (36n452uGq1x4mK7bfyZR8wgE47AnBb2pzi など)

• ボブのアドレスへのアリスのリンク

ボブへのアドレス

送信されたトークンの数

より複雑なトランザクションには、イーサリアムのスマート コントラクト コードなど、他の種類の情報が含まれます。ブロックチェーンが異なれば、トランザクション データはさまざまな方法で表示されます。その中には、特定のリンクが第三者に見えないようになっているものや、第三者がブロックチェーンの生データしか見ることができないものもあります。したがって、トランザクション データの種類が異なれば、対応するプライバシー保護の程度も異なるため、このセクションを「トランザクションのプライバシー保護」ではなく「トランザクション データのプライバシー保護」と名付けました。

たとえば、アリスがこの技術機能を備えたモネロを取引所バイナンスから購入し、それを引き出した場合、バイナンスはこの引き出しをアリスがその後モネロに対して行ったことと結び付けることができません。同様に、ボブがアリスからモネロを受け取った場合、アリスがそれらのモネロをバイナンスから購入したことを知る方法はありません。

しかし、問題をさらに複雑にしているのは、取引データが非公開であるかどうかは、白黒はっきり付けられる問題ではないということです。たとえば、アリスのアドレスを例に挙げます。これは匿名性セットのサイズによって測定できます。匿名性セットとは、ブロックチェーン データに基づいて識別できるトランザクション送信者アドレスの最小セットを指します。匿名性セットが大きくなるほど、ブロックチェーントランザクションデータ内の送信者に関する情報が少なくなります。たとえば、ビットコインの匿名性セットのサイズは 1 ですが、モネロの匿名性セットのサイズははるかに大きくなります。

副題

国家のプライバシー

ビットコインブロックチェーンでは、すべてのトランザクションデータは公開されています。つまり、ブロックチェーン内のすべてのブロックを閲覧する外部の観察者は、台帳を復元して、これらのアドレスの口座金額を見つけることができます。これらの金額が分散されている可能性がある場合でも、別の「未使用のトランザクションを入力してください」出力UTXO」、これはブロックチェーンの全体的な状態と呼ばれるものです。ただし、トランザクションの一部が秘密である場合、ブロックチェーン全体の情報があっても、ユーザーは全体の状態を知ることができません。この情報はさまざまなユーザー間で共有され、ブロックチェーンによってユーザー情報の一貫性が保証されます。

• ブロックチェーン状態の特定のプロパティに関するユーザーの知識は、プロトコルとその状態の形成をトリガーしたトランザクションに関する情報のみに依存しますが、2 つの間のリンクにより複雑な相互作用がトリガーされます。したがって、状態のさまざまな性質をある程度までプライバシーを保護することができます。

• 以下にいくつかの例を示します。

• すべてのアドレスリスト

• 特定のアドレスのアカウント残高（たとえば、0x2569C92345013F55CFb47C633c57F2f5756B9acA）には 1 ETH があります

特定のアドレスのスマート コントラクト コード (アドレス 0x06012c8cf97BEaD5deAe237070F9587f8E7A266d の CryptoKitties コントラクトなど)

簡単な控除の例を挙げると、ZCoin の各トランザクションの金額は公開されていますが、送信者と受信者のアドレスは秘密です。つまり、ユーザー アカウントの残高は依然として秘密情報です。一方、プライバシーを保護するブロックチェーン形式であるミンブルウィンブルでは、各トランザクションの正確な金額は非公開ですが、送信者と受信者は公開されるため、ユーザーアカウント残高のプライバシーを保護する別の方法が提供されます。 Mimblewimble のユーザーは、自分のアカウント残高に関する情報を保持する必要があります。これは、ユーザーが使いすぎないようにブロックチェーンには限られた情報のみが保存されるためです。

副題

一部の既存のブロックチェーンプロトコルにおけるプライバシー保護特性

副題

さまざまなプライバシー保護方法

私たちはこれまで、特定の情報が公開されているか非公開であるかに焦点を当ててきました。さらに、さまざまなブロックチェーンで採用されている技術のプライバシー保護方式を整理することも役立ちます。これらのさまざまなプライバシー保護方法を大まかに整理しました。

「レイヤー2」プロトコルライトニング ネットワーク、ステート チャネル テクノロジー、プラズマなどのブロックチェーンの基盤テクノロジー上に構築された「レイヤー 2」プロトコルにより、少数のユーザーが相互に「オフチェーン」トランザクションを実行できるようになります。これは、すべての中間状態がこれらのユーザー間で保存され、状態の変更のみがメイン ブロックチェーンに定期的に書き込まれることを意味します。したがって、中間状態はメインのブロックチェーンに書き込まれることがないため、外部の観察者には見えません。もちろん、第 2 層プロトコル自体もすべてのユーザーに対して異なるレベルのプライバシー保護を設定できるため、これはプライバシー保護テクノロジではなく設計コンセプトによって決まります。したがって、興味のある読者の目には、マイニングできるコンテンツが膨大にあるように見えますが、第 2 層プロトコルにはこれ以上焦点を当てません。」

「第 2 層」プロトコルの開発に関する具体的な詳細については、Lianwen によって公開された以前の記事を参照することをお勧めします。

ハイブリッド

ゼロ知識証明

ハイブリッド方式では、トランザクションの入力と出力で異なるプライバシー保護戦略を採用し、それらを大規模なトランザクションに統合し、送信者と受信者の間のアドレスのつながりを意図的に曖昧にします。これには、タンブラー、CoinJoin、Mimblewimble、Monero など、暗号通貨の世界で最も古いプライバシー保護戦略のいくつかが含まれます。

ゼロ知識証明プロトコル ユーザーがゼロ知識証明を提供すると、たとえば、メッセージ自体を明かさずにメッセージの知識を示すなど、ゼロ知識証明に基づいたプライバシー保護が行われます。このタイプの暗号化は、正しく適用されると、トランザクション/状態のプライバシーを保証し、ブロックチェーンを完全に機能させることができます。」

「ゼロ知識証明」に関する知識については、Lianwen が公開した記事「」を参照することをお勧めします。

数独が引き起こした悲劇～知識ゼロの証明とは？

ユーザーのためのベストプラクティス

プライバシー機能がまったく付加されていない暗号通貨であっても、ユーザーはサイバーセキュリティの脅威やブロックチェーン分析技術に対してある程度の保護を得ることができます。悪意のある者がネットワーク メタデータを使用してユーザーを匿名で攻撃するのを防ぐために、ユーザーは Tor または I2P を使用してトランザクションの元の IP を隠すことができます。ブロックチェーン分析に抵抗するために、ユーザーは通常、支払いを受け取るたびに新しいアドレスに変更することをお勧めします。 Monero や Verge などの暗号通貨はこの機能をネイティブ オプションとして提供しますが、一部の暗号通貨ではこれらのアドレスをユーザーの後続のアクションに関連付けることができます。

信頼できる実行環境 TEE信頼できる実行環境とは、Intel SGX などのプロセッサであり、その上で実行されるデータとコードの整合性と機密性を暗号的に保護すると主張します。 Song Xiaodong 教授率いる Oasis Labs によって商業化されている Ekiden を含むいくつかのプロトコルは、TEE の使用を主張しています。たとえば、ユーザー アカウントの残高は秘密キーで暗号化して信頼できる実行環境に保存でき、「信頼できる実行環境」でのみ復号化および変更できます。これにより、実際にはプライバシー保護を確保する責任が TEE に課せられますが、TEE 自体に弱点がある可能性があります。たとえば、サイドチェーン攻撃により秘密キーが解読される可能性があります。インテル SGX はそのような脆弱性を以前に明らかにしました。さらに、既存の信頼できる実行環境では、製造元の許可が必要になるか、メーカーによるデータ機密性の解読が許可される可能性があります。もちろん、 Gradient や Gradient などの Keystone Alternative は、この問題を解決しようとします。」

Song Xiaodong 教授によって設立された信頼できる実行環境に基づくブロックチェーン プロジェクトである Oasis Labs の具体的な開発については、Lianwen の以前のレポートを参照することをお勧めします。