在前文介绍了Monero的一次性地址方案。从方案看来,Monero中的UTXO只有一次性地址,用户地址是产生一次性地址的基础,用户对UTXO的所有权并不能显现地看出来。发送人在每次交易时创建一次性地址来接收UTXO,并将一次性地址的相关私密信息(一次性私钥)秘密地传递给接收人,用以保护接收人隐私。这样,每个UTXO都具有不同的一次性地址,同一用户的不同笔UTXO“收入”都看上去没有联系。但是如果仅仅使用一次性地址,那么只要UTXO被花费出去,那么同一交易连接的输入输出的UTXO之间也可以产生联系,也就是说资金的链路还是没有被打断或者混淆,资金的走向还是清晰可见。
从观察者角度来看,每个UTXO可以看成与不同的用户对应。如果发送人在发送交易的时候引入多个UTXO,并且将真正的UTXO混淆与引入的UTXO集合之中,这样观察者追踪资金链路的难度将会加大。多次交易之后资金的追踪将会是实际上不可行。那么问题出现了,如何将多个UTXO涉及的一次性地址“捆绑”在一起呢?这里需要使用到环(群)签名方案。
1. 环签名概念介绍
将真正签名人隐藏于多个“助攻”签名人集合之中这一想法最早起源于群签名,在群签名之中存在分发中心,分发中心不仅负责分发产生与分发密钥,并且有机制可以恢复出真正的签名人。但是在环签名中,分发中心被彻底取消。用户密钥不需要分发,只要用户自己生成,也无法恢复出真正的签名人身份。
具体来说,环签名具有如下几个性质:
签名人混淆性质:旁观者只能确定签名出自于群体中的某一成员,仅此而已,具体何人,无从得知,
可链接性:如果同一私钥对不同的消息进行签名,那么有算法可以判定这两个签名出自于同一私钥只手。这种可链接性可与群体有关系,也可与群体无关系。与群体有关系是指,两个环签名所选的混淆群体不同,那么可能无法获知两个环签名是否出自于同一私钥。与群体无关系,就是说无论两个环签名算选的混淆群体是否相同,那么只要这两个环签名出自于同一私钥,就可以链接起来。
不可伪造性:没有私钥不能伪造一个合法的环签名。
虽然环签名概念本身与Monero并无关系,但是这里依然用Monero的场景来举例说明某几个环签名方案。
2. Version-1: 绑定群体的可链接性
2.1 方案
2.2 验签
验签过程实际上就是从起点(并不一定是签名人的“起始点”)开始,依次验证签名环中相邻的两个节点之间是否满足“编织”的映射关系,并最终是否能回到起始点。
2.3 解释
这种预先埋陷门的方式,让带状结构首尾衔接成了完整的环状结构,并且从签名环看来,无法看出签名的起点(起点即是真正的签名人)。
2.4 问题
3. Version-2: 独立于群体的可链接性
3.1 方案
同样以Version-1的场景为例描述方案。
4. Version-3: 简单的多UTXO输入版本
Version-2的方案构建独立的环签名放入到交易中。但是这样的问题是,环签名的数量与输入的UTXO数量成线性增长,这使得交易数据的空间复杂度与签名、验签的时间复杂度都成线性增长,有优化的空间。
总之,真正的签名人,“编织”签名带,并且最终,运用自己所具有的私钥作为“焊接”器,讲编织带的收尾完美地焊接起来。使之成为一个外观完美的环。
环签名的作用不仅仅可以用来混淆发送者,还可以用来作资金数额的区间证明,这个将在后续文章介绍。