介绍
一个人的注意力如何在两周内转移!虽然今天比特币领域的每个人都似乎更关心价格波动,以应对全球金融恐慌(这是可以理解的),但重要的是要记住永远不会消失的问题,比如在比特币交易时维护您隐私的重要性。特别是这个月,我们一直在听到关于KYC/AML合规交易所因涉嫌使用CoinJoin软件而冻结用户帐户的报告(稍后将对此进行更多报道),随后又听到另一起著名且受人尊敬的早期比特币支持者宣传:非流动性山寨币将取代比特币。
如果你想暂时远离全球流行病、金融崩溃和价格波动的影响,这里有一篇分析最新比特币大戏的声明、事实和背景的文章。“首先,在这个由两部分组成的系列文章的第1部分,我们将通过回顾白皮书的开头来研究比特币和隐私之间的基本关系。然后,在第2部分中,我们将重点介绍维护和改进比特币隐私的一些方式——并剔除一些“干扰因素”。
钱需要隐私
比特币被设计来执行货币功能,为了在规模上持续运作,货币需要将个人身份与特定的货币单位和交易分开。这种分离至少有两个基本组成部分。
推诿
我们可以称第一个部分为“推诿”。这描述了个人以后利用货币工具可信地否认与货币工具有任何联系的可能性。
其原因是货币的发展是为了促进个人储蓄和人们之间的自愿交换。但是,自愿交换的正和游戏并不是增加个人财富的唯一方式:另一种方式是暴力没收的负和游戏。
正如社会学家和政治经济学家弗朗茨·奥本海默(Franz Oppenheimer)精辟地指出的那样,社会内部存在两种不同的财富获取范式:
这就是工作和抢劫:一个人自己的劳动和对他人劳动的强行占有。在接下来的讨论中,我建议把自己的劳动与他人的劳动等价交换,称为满足需要的经济手段,而对他人劳动的无偿占有,则称为政治手段。”
虽然诉诸政治手段的诱惑总是存在于广泛的社会环境中,但当涉及金钱时,这种诱惑就特别强烈:使金钱成为交换和储存经济上获得的财富——并作为储存政治上获得财富的一种方式。
交换和储存金钱的个人更容易成为政治寻租者的目标,因为抢劫他们比抢劫简单的物物交换或完全不交换的与世隔绝的隐士更有效。政治组织往往倾向于根据受害者进行的具体交换形式提出没收的条件:税收、征税、通行费、关税、贡品、罚款、贿赂、罚款、消费税、保护费等。
交流中的隐私很重要,而经济交流是敌对环境中最重要、最敏感、最私密、最危险的交流形式之一。有钱能使鬼推磨,一个人的财务和商业生活完全暴露在风险之下,那么他遭受抢劫、敲诈、绑架或政治剥夺的风险就会更高。
由于所有这些原因,对于经济主体来说,最重要的是能够将他们自己的公众身份从他们所参与的特定货币交易中分离出来,从而能够否认这种联系。
可替代性
第二个被称为“可替代性”。“这里,我们指的是接受货币工具的个人安全地忽略该工具与任何特定的个人或用例之间存在联系的可能性。
可替代性与其说是一个政治范畴,不如说是一个经济范畴:它基本上意味着,任何随机数量的货币实际上都与其它货币难以区分,从而使货币接收者的验证成本大大降低。一张50美元的钞票和其他同面值钞票一样好,你不需要知道谁曾经用过它来接受或使用它作为今天的付款。实际上,如果接收方在评估每个单元的价值之前必须对其历史进行评估,那么验证成本将呈指数级增长。
具有讽刺意味的是,全球范围内“了解你的客户”规定的一个相对较近的趋势是,实际上,货币主要是被商家用来避免了解(和信任)他们客户的一种方式!顾客已经被要求“了解他们的商家”,因为他们必须信任他们所购买的产品或服务的质量和可靠的交付。但是,当商人们从微不足道的易货或信贷系统扩展到实际的市场时,他们使用货币来免除了解所有客户的负担。“KYC”监管只是一种政治控制工具,以一种充满经济无知的似是而非的表达来推销。
这不是一个意识形态问题,而是一个功能问题:如果每个当前接收者都必须验证每个前主人的整个政治地位,才能知道有多少政治风险,那么一个好东西不能轻易地通过很多手(作为货币产品需要这样做,包括迫害,审查,税收,债务),他实际上是继承。不可替代的商品不能像钱一样工作。
有些商品是缓解可推诿性和可替代性问题的理想选择:“不记名票据”不携带前持有人的个人信息,使得每个人都可以轻易否认曾参与任何特定交易。
比特币:为隐私而生
中本聪(Satoshi Nakamoto)创造了比特币作为隐私保护的工具。Satoshi积极参与的整个cypherpunk探索,以及比特币实验的加冕仪式,都是关于个人和金融隐私的。Satoshi的大部分早期信息和出版物(包括著名的白皮书,其中有一段是关于它的)都非常关注它的隐私特性。
白皮书中关于隐私的第一个考虑是集中的在线支付中介很容易成为监管的目标。因此,很容易推动这些中间人积极调解争端,从而使大多数交易可逆。因此,这一要求迫使害怕退款风险的商家非常警惕他们的客户,不断地向他们索取比他们原本需要的更多的信息。商人们再次被推回到“KYC悖论”。由于比特币是去中心化的,且不可能监管,因此不能强迫它积极调解纠纷。因此,比特币交易可能很快变得不可逆转,使得任何对支付人个人身份的调查都变得完全多余和没必要。
第二个需要考虑的问题是,比特币的底层(“timechain”,开发它是为了避免在不需要可信第三方的情况下进行重复支出)要求公开每一笔结算交易,从而限制了集中提供商应用传统的“通过隐藏来保护隐私”技术的机会。这种限制由于加密公钥的匿名性而得到了缓解,这种公钥只被使用一次,与身份没有任何关联。用Satoshi的话说:
“传统的银行模式通过将信息访问权限限制在相关方和可信的第三方,从而达到一定程度的隐私保护。公开宣布所有交易的必要性排除了这种方法,但是通过在另一个地方中断信息流(通过保持公钥匿名)仍然可以维护隐私。公众可以看到有人向其他人发送了一笔金额,但是没有将交易与任何人联系起来的信息。这与证券交易所公布的信息水平相似,在这些交易所,每笔交易的时间和规模都是公开的,但不告诉交易双方是谁。”
隐私和信任:全有或全无
Satoshi和其他许多早期的比特币贡献者和研究人员讨论过,这种透明设置的一个有趣特点是,其隐私保证的性质是“全有或全无”。一个可信的第三方确实可以保证你的敏感信息不被潜在的绑架者、劫匪或跟踪者窃取,同时仍然被迫向更强大的政治实体(有税务机构、金融机构、秘密机构等的民族国家)提供任何细节。
在一个(伪)匿名但公开的环境中,我们可以有把握地假设,在每一种情况下,如果后一种类型的对手能够访问敏感的财务信息,前一种类型的对手也会找到方法。当某人在《时代周报》上的隐私被破坏时,所有通过互联网连接的窥探者都能从中受益:政府、盗匪、黑客、商业竞争对手、个人敌人、憎恨者、前配偶等等。这应该成为用户保护其“链上”可推诿性的强大动机,从而保护所有人的可替代性。
另一方面,比特币的基础层交易在内部已经显示出完美的可替代性。这意味着,尽管每个交易都是公共的,但是没有关于谁在某个事务中控制了使用特定输入的私有密匙的公共数据,或者谁现在控制了将使用特定输出的私有密匙的公共数据。
比特币的规则向我们保证,satoshis在所有输入中花费的总金额等于或小于satoshis在所有输出中“锁定”的总金额(交易不能产生通货膨胀,他们只能为矿商省去“块空间费”)。但是,从技术上来说,没有办法确定,仅从公共时间轴数据来看,是否存在一个有10个输入和10个输出的交易将satoshis从一个付款人移动到10个付款人,或者从两个付款人移动到一个付款人,或者从一个实体移动到他自己。当然,一些基于启发式和常见模式的概率推断是可能的,但是在单个交易级别上,使用公共时间轴数据并不能证明什么。
虽然让一个或多个实体控制输出是微不足道的,但让更多的实体控制输入就有点棘手了,需要在所有收款人之间进行一些实时协调,然后才能广播事务。不过,幸运的是,比特币交易的原子性是这样的,这个过程不需要不同的、未知的收款人之间的任何信任。
可互换的因素
比特币交易的这种可替代性特征从一开始就是比特币设计的一部分,但直到后来不同的贡献者才明确指出它的隐私含义。最后,在2013年,格雷戈里·马克斯韦尔(Gregory Maxwell)创造了CoinJoin这个标签,用来指代比特币钱包应该实现的最佳实践,以便充分利用这种已经存在的内在可替代性。随着时间的推移,人们提出了该技术的许多变体(PayJoin、JoinMarket、CoinSwap、P2EP和Zerolink在wallet Wasabi和Samourai中实现),它们的目标都是相同的:利用协议的基本可替代性。
增强比特币隐私保护潜力的另一个动态是它的分层。协议栈的上层,如闪电网络,不需要使用时间链来确认每一个单独的交易;相反,交易只是用来作为“锚”来打开和关闭“合同”,以便在其他地方进行支付。Satoshi很早就想到了这种“支付渠道”:
“双方保留此tx,如有需要,将其传阅,直到有足够的签名。[…]他们可以一致同意继续更新tx。给钱的一方将首先签署下一个版本。如果一方停止同意更改,那么最后一个状态将在nLockTime记录。如果需要,可以在每个版本之后准备一个默认交易,这样n-1方可以将没有响应的一方推出。中间交易不需要广播。只有最后的结果被网络记录下来。就在nLockTime之前,双方和一些目击者节点播出了他们看到的最高序列tx。”
这并不是支付渠道引入的确切方式(它是有缺陷的),但它们现在是许多比特币用户的常用工具。它们可以通过路由直接或共同使用。尽管通常被作为“可伸缩性”解决方案提出,但闪电网络和通常的第2层技术具有很大的隐私优势,可以极大地减少时间链上可用的公共信息的数量。
一开始就出师不利
当然,在日常的比特币钱包和工具中实现隐私最佳实践并非易事。首先,在减少链上泄露的信息量的同时,第2层技术和CoinJoin通常会增加需要管理和保护的网络级信息的数量(主要是因为需要实时交互、可访问的对等点的最新列表、公开可用的流动性等)。特别是闪电网络,在2017年底用户采用协议升级之前,引导并不容易。
虽然与闪电网络不同,CoinJoin在理论上从第一天就可以实现(尽管在协调、流动性和金额混淆方面存在许多实际挑战),但大多数实际的比特币钱包都没有费心去寻找实现的方法。通过不这样做,它们巩固了一种危险的趋势:绝大多数的链上交易被认为是由一个实体创建、签名和传播的,并且完全控制与所有输入相关的私钥。比特币交易开始被视为总是一对一或一对多。因此,协议最有效的可替换特性之一直到最近才真正成为钱包的最佳实践,尽管它一直可用。
但不幸的是,还有更多。其他更简单的最佳实践,包括在比特币的设计中作为微不足道的默认值,大多被那些在早期不太关心隐私、更关注用户体验的工具开发者所忽视。一个明显的例子是地址重用。Satoshi关于公钥的匿名性的说法是基于这样一种假设,即用户每次收到比特币都会生成一个一次性的地址,比特币再次使用后就会被丢弃,再也不会被重复使用。(也许“地址”这个词本身并不是一个好的选择,它经常被链接到永久引用:email, IBAN, ecc.;而现在用于网络交易的“invoice”(发票)一词本来会是一个更简洁的选择。
实现这种设计也不是完全不重要的(特别是在HD钱包引入之前,HD钱包使得仅使用一个“主”备份就可以更容易地重新派生出数千个密钥)。因此,我们最终实现了大量静态地址的重用,降低了熵,便于分析和反匿名化。用户开始在论坛、社交网络和博客上将相同的地址链接到他们的个人资料中。对许多早期用户来说,支付意味着让收款人全面了解他们过去和未来的比特币金融生活。
另一个重大事件是“轻量级客户端”的扩散:应用程序无法直接下载、验证和存储次链,但能够存储私有密钥和查询其他节点(在最好的情况下,是可信的第三方,如钱包提供者;在最坏的情况下,随机节点-即所谓的“SPV钱包”中的节点)用于验证涉及相应公钥的交易的有效性。除了在安全方面造成系统性风险外,这些客户在隐私方面也成为一个常见的风险。
在这方面,工具提供者最初忽略了其他一些次要的最佳实践(包括面向隐私的代币选择、合并避免、更改管理等),但是,在大多数情况下,这三种实践是由窃听者雇佣的链分析公司来监视比特币用户的。
到今天为止,大多数这些问题都有出色的技术解决方案和实现它们的现代工具。但是,在一个已经被“下了药”的生态系统中,很难推行最佳实践(有时候,最佳实践的协调成本虽然很小,但却是存在的),因为它有一些简单(如果是危险的话)的捷径。就像他们说的,隐私是爱陪伴的:即使你有最好的工具,遵循最好的实践,但如果你是唯一这样做的人,这也不会有什么帮助(事实上,让你的努力在比较中脱颖而出,把你置于聚光灯下,甚至可能会伤害到你)。