央行数字货币的隐私技术指南-2

设计隐私
根据Cavoukian(2011)的观点,从一开始就将具有合规性的隐私设计到系统中非常重要。通过设计获得隐私是一种众所周知的方法,要求在整个设计过程中主动设计隐私。另一种选择是先进行功能设计,然后再增加隐私和法规遵从性,这会带来不必要的折衷风险。
自定义和组合隐私结构以实现所需的设计
隐私权设计可以应用各种组件,并且考虑其成熟度进行权衡:
· 群签名(Chaum和van Heyst 1991)允许一组实体在掩盖其身份的同时进行交易,从而仅揭示了“该团体中有人”的交易。
· 秘密共享(Shamir1979)或多重签名(Itakura and Nakamura 1983)可以确保只有在足够数量的实体(例如五个实体中的三个)同意时才披露敏感数据。
· 零知识证明(Blum,Feldman和Micali 1988)可以证明有关数据的债权而无需透露它们(例如,他们可以证明账户余额足以进行交易而无需透露余额)。
· 同态加密(Rivest,Adleman和Dertouzos 1978年)允许对加密的数据进行数学运算(例如,对加密的余额支付利息)。
· 多方计算(Yao1982)允许多个实体安全地将其数据分享出来以进行欺诈检测,同时保持其数据彼此之间的隐私性。
· 差分隐私(Dwork和Roth 2014)和匿名化是确保无法从敏感数据集中提取个人可识别信息的技术。为研究和数据分析之类的用途提供了安全且私有的数据。
系统设计人员可以探索更多没有在这里介绍的技术,以供潜在使用:例如,密文信息检索(Chor等人,1998)和可否认加密(Canetti等人,1997年)。其中大多数都足够灵活,可以跨各种技术平台(例如集中式、分布式账本技术和基于设备的平台)使用,并且可以组合和定制以实现细粒度的CBDC隐私目标。
隐私与治理
商业模式、属性和平台的最佳组合
了解CBDC的业务模型、属性和技术平台对于选择正确的结构并适当地组合它们至关重要。
例如,考虑一个系统,其中私有事务由MSB验证。如果商业模式声明MSB是高度可信的,那么可以通过假设验证者是诚实的来简化隐私协议。否则,所选择的协议必须防止不诚实的验证者,这将带来更高的复杂性。如果金额是隐藏的,并且政策规定了计息的CBDC,那么所选择的方案必须支持加密的利息支付计算。
此外,隐私技术的选择将取决于所选择的平台。典型的证明系统由证明者(例如最终用户)组成,证明者生成证明和检验者(例如系统)来对其进行检查。在DLT系统中,多个节点执行验证,因此系统设计人员需要确保验证协议高效。集中式系统可以容忍较慢的验证。另一个考虑因素是证明者效率与证明大小之间的权衡,实现快速证明生成的算法通常会产生大量证明。在受限的存储限制下,基于设备的解决方案可能会面临挑战。基于设备的解决方案还必须确保所选的方案可以在零星的CBDC网络连接和有限的计算能力的限制内运行。
遵守隐私和技术法规的影响
要求CBDC系统符合法规(例如KYC和AML)。这可以决定隐私级别和隐私技术的选择。KYC可能会要求实体存储具有适当分类的个人数据。通常,在遵守法规的同时实现高度隐私是很复杂的。但是,设计人员可以构建具有混合隐私级别的系统。在这种情况下,不加限制的托管和交易(为用户提供最大的私密性)将在限制(例如最大金额)之内,而无限制的托管和交易则将被允许。
权衡与风险
更高隐私级别的权衡
一般来说,较低的隐私级别更容易实现,因为必须保护的信息更少。为了获得更高的隐私,系统必须将信息封装在可靠的控件中。这增加了复杂性,增加了运营成本。它还增加了计算开销,因此无论是DLT平台还是非DLT平台,扩展到一个总体规模都是具有挑战性或不切实际的。例如,比特币(Nakamoto 2008)是一种公开的DLT,交易完全可见。Zcash(Hopwood等人。2020年)也是一个公共DLT,但完全私有交易建立在零知识证明的基础上。这些隐私构造非常复杂,不可扩展,并且为用户带来比常规事务慢得多的计算开销。
新兴密码技术的风险
诸如零知识证明之类的密码技术尚处于起步阶段,仍然是活跃的研究领域。使用它们所需的技能并不像在更成熟的技术领域那样广泛。很少有系统在业务中部署这些技术,甚至在私营企业中也是如此。这里的风险是它们的技术复杂性和不成熟性可能掩盖漏洞。
此外,还没有任何已知的部署能够覆盖到全国人口。在这种情况下,风险是将这些技术应用于加拿大及以后的人群以供将来使用的未知技术障碍,例如物联网端点的小额支付。
陈智罡博士团队一直致力于全同态加密与区块链技术的研发。