「区块链基础概念100」由火星财经「学习区块链」频道出品，在区块链基础概念之上延展深度阅读，并紧密连接产业，关注产业发展热点和趋势。

1. 基础概念

任何人均可以轻易生成大量的私钥、公钥、地址。地址本身是匿名的，通过多个地址交易可进一步提高匿名性。但该匿名性并不像媒体宣传的那样，是某种程度上的匿名。因为比特币的交易数据是公开的，所以任何一笔资金的流向均是可以追踪的。

不了解比特币的人为它的匿名性产生一些担忧，比如担心更利于从事非法业务；了解比特币的人却因为它的伪匿名性而苦恼。传统货币在消费中也是匿名的，且是法律保障的，大部分国家都不允许个人涂画纸币。

地址本身是匿名的，但你可以通过地址对应的私钥签名消息来向公众证明你拥有某个比特币地址。

 

2. 深度解读

一文读懂比特币的私密性及隐私保护

比特币既非完全匿名，也非完全透明。比特币隐私难题在于一个灰色地带：用户金融活动的暴露，最终取决于调查人员的能力与用户所选工具的复杂性。对于互联网上的任何活动来说，没有完美的隐私解决方案；并且在很多情况下，没有一招通吃的解决方案，这意味着注重隐私的选择往往伴随着成本与易用性的平衡。此外，隐私从来都不是静态的，而是不断发展的，以呼应那些搭建保护隐私与破坏隐私工具的群体间的斗争。

 

作者：Eric Wall译者: 王泽龙、方辰

前言

正如我们在加密消息、虚拟私密网络与自由知识计划如Tor项目、维基百科、Signal的演化中所见到的，如果正确的价值被建构其中，技术可以成为一项实现自由的工具。但正如我们从Facebook等中心化平台身上所见到的，技术也会成为一项监控工具甚至社会机器。

除非我们现在鲜明表态 ，帮助平台与协议将用户隐私与去中心化的理念植入脑中，否则大规模的监控与社会信用体系将是我们不可避免的未来。
 

　02　

要点

• 比特币仅仅是半匿名的；该协议并不知晓你的真实姓名，但通过种种方法，仍可通过交易信息关联到你本人。

• 区块链分析公司致力于将比特币活动去匿名化并将相关数据出售给企业与执法机构。

 

• 洞悉比特币这套系统如何运作，掌握Tor、代币控制器（coin control）、合币器等工具的使用，并避免地址的重复使用，对于保护你的身份信息与交易信息免于暴露至关重要。

　03　

为什么要关注加密货币？

从协议层面观察加密货币时，显而易见的是，它比传统的数字支付方式更为隐私导向。在这些协议的基本层面，尽管用户的密钥与真实世界之间通常没有映射，但它使我们以前所未有的程度的自由来在全球范围内存储与转移财富。

加密货币促成隐私的程度绝非微小或二元的——根据用户对核心与辅助技术、使用模式以及攻击者能力与复杂度的个别选择的不同，它会有很大的变化。

我们可以观察到，加密货币（尤其是比特币）的接受率，在那些居民经济自由受限的国家中正在增长，例如委内瑞拉。尽管加密货币在构建抗审查交易网络，与不受各种形式政府破坏的货币政策方面优势显著，但只要威权政体可以去匿名化用户信息并随意起诉相关用户，这些优势的效用就不大。这个问题需要引起我们的重视。
 

　04　

比特币隐私引介

比特币既非完全匿名，也非完全透明。比特币隐私难题在于一个灰色地带：用户金融活动的暴露，最终取决于调查人员的能力与用户所选工具的复杂性。对于互联网上的任何活动来说，没有完美的隐私解决方案；并且在很多情况下，没有一招通吃的解决方案，这意味着注重隐私的选择往往伴随着成本与易用性的平衡。此外，隐私从来都不是静态的，而是不断发展的，以呼应那些搭建保护隐私与破坏隐私工具的群体间的斗争。

比特币协议随时间进化，这会引致其在隐私特性方面戏剧性的变化。核心协议的变化不局限于隐私与透明性间的简单选择，通常还伴随着安全性、可扩展性与透明性以及软件的向后兼容性方面的变化。从历史上来看，相较透明性，比特币社区更倾向于选择隐私这一特性，但同主打隐私功能的加密货币相比，前者又更为保守。
因此，考虑利用比特币逃脱威权政府或企业的监控的人们需要理解，当他们在使用比特币时会在其上留下什么类型的痕迹，以及比特币的隐私属性是否足够满足其他们的需求。然而，实现这种程度的理解需要一些努力。
 

　05　

追踪交易

当你在比特币网络上交易时，你会留下两种痕迹。它们可被分类为“链上信息”与“链下信息”。链上信息并不直接将你的身份信息与交易信息关联，但其揭示了可以将你的交易信息与他人相关联的信息。将你的身份信息信息与交易信息关联的则是第二类即链下信息。
 

　06　

链下信息

当你在比特币网络上交易时，你有时会向/从认识你的人处发送/接收比特币。后者则会拥有将你的身份信息与交易信息相关联的链外信息。

当你将上述事实同你的交易信息可同他人相关联的事实组合后，结果便是一些别有动机的实体有时可以明晰你如何使用自己的比特币，你拥有多少比特币以及你在同谁交易这些信息。

甚至在你不与认识你的人交易的情况下，仍然有无数种方法可将你同一笔交易信息相关联，因为比特币交易通常是以非加密的打包形式在网络上进行的，源IP地址可以通过数种方式被追溯到。通过诸如Bitcoin Core这样的全节点交易时，需要一些三角测量（triangulation）或者目标流量的测探，以便估测源IP地址，而其他“轻”钱包诸如移动钱包（Mycelium、区块链钱包、Coinbase钱包）通常会通过公司运营、可以直接看到你IP地址及完整交易历史的服务器进行。

经由IP地址，地理位置IP地址数据库通常可以粗略估计出你的物理位置。你可以使用这一链接（https://www.maxmind.com/en/locate-my-ip-address）自行测试，输入你在Google地图等界面中的坐标。更重要的是，你的IP地址暴露了你的互联网服务提供商（ISP），后者知晓该IP所有者的真实世界的身份信息，并且ISP通常有法律义务将此信息存储数个月。

即使你是使用公共WiFi来进行交易，你仍有可能意外地将真实身份同所访问网站以及设备连接的后台服务相连。当你启动笔记本电脑后，你的Dropbox应用乐于将其同公司服务器相连，这会使得你的IP地址同Dropbox账号在该公司的服务器日志中相关联。即使你不访问任何个人网站帐户，存储在你笔记本电脑上的Cookie信息可以通过您与之前浏览历史记录的Cookie信息关联，向你浏览的网站显示您的身份。许多网站允许第三方跟踪这样的用户以进行分析——仅谷歌估计会跟踪整个网络的80％网站中的用户。

即使你清除cookie信息，网站运营者也可以通过不同网站追踪你，只要你的浏览器印记是独特的，就可将你的IP地址同身份信息相关联。即使你没有运行任何服务且避免一起浏览一些内容，你的设备的MAC地址仍会暴露给网络提供商，运用多种复杂的方式，其可能会同你的真实身份相关联。所以，即使你的IP地址不会被通过ISP记录追溯到你，你仍可能在使用私人设备时留下其他痕迹。最糟糕的隐私类别当然是使用进行KYC的第三方服务作为你的比特币钱包，因为这些服务将记录你所有的交易信息与真实世界的身份。

你也可能因使用基于网页的工具搜索比特币地址与交易信息而被同后者相关联，因为除了你，没人会无缘无故地在网上搜索相关信息。

当你搜索交易信息或进行交易时，目前隐藏你的源设备与IP地址的最知名方法是借助Tor隐匿服务。包括Bitcoin Core在内的许多钱包将其作为可配选项，而有些钱包则将其内置化。Tor浏览器对于你基于网页的比特币相关活动来说近似一个有用的工具，因为它不仅能够隐藏你的IP地址，在你每次退出时清楚cookie信息，阻止第三方cookie，不受大多数浏览器指纹识别技术的影响。
 

　06　

链上信息

我们可以使用区块浏览器，来逐步理解比特币区块链所揭示信息类型。为了实践一下，我们将使用开源区块浏览器blockstream.info。

截至写作本文时的最新区块（2019年3月8日，区块编号#563899）包含2122笔交易信息。我们来看看随意选出的交易信息揭示了什么。

交易信息包括输入值与输出值，并由交易ID标识（由上图的顶部可见）。如果你的比特币钱包发起了一笔交易，每笔交易都将同一个类似的标识符相关联。
从一个高维度来看，其所揭示的信息如下：

• 该笔交易被挖掘的大致时间（从区块头算起）

• 比特币被发向的地址以及数量（例如，“交易输出值”）

• 交易资金来源（例如，输入值）

让我们在此处逐个看看上述交易的每个部分（https://blockstream.info/tx/e70c2ed31c05fbf2865a15a696a7ca0cb8f3afef92c34f4e41051dc2356827c8）。

　07　

时间

交易并没有打上时间戳，但区块有时间戳。区块时间戳并不必然正确，但是考虑到绝大多数矿工都如实报告时间，所有区块的时间戳数个小时的范围内应该是正确的。对于那些由诚实矿工挖取的区块，它们会是正确的。这并不意味着块时间戳必须精确到事务广播时间的几个小时范围内，因为有时打包交易进区块需要更长的时间。一些区块浏览器通过显示其在网络上首次看到一笔交易的时间，以更准确地查看交易的广播时间。

上述交易打包进区块的时间可以通过查看区块头获取（在我们的案例区块#563899中，其时间戳为2019-02-20 14：45 UTC）
 

　08　

比特币被转向的地址以及数额

这笔交易中接收地址为：
1: 32Z63LVtUERdEEwz275JHt3o4cewPfE8YC 0.26119849 BTC2: 31w3iWUN5EMJMW2YRCc5m4RFqm3zN61xK2 0.2214705 BTC

一个地址不仅仅是表面上看起来那么简单，它并不总仅仅是某个用户的密钥的指示器。地址事实上是某人下次想要转移比特币的花费规则（spending rules）的描述符号。

例如， 如果你向地址37k7toV1Nv4DfmQbmZ8KuZDQCYK9x5KpzP发送一笔比特币，改地址的配置是这样的：你并非将比特币花费给特定私钥的所有者，而是将代币释放给任何拥有相同SHA-1哈希并能够提供两组不同字符串的人的花费规则（这意味SHA-1函数失效了，这发生于2017年——因此不要向那个地址发送任何比特币）。值得注意的是，由于当我们向其发送比特币时，如今许多被使用的地址格式被哈希化了，我们通常直到某人从该地址转出比特币后，我们才知道花费规则是怎样的，因为他们为了达成目的，需要披露被哈希化的内容。

在我们交易例子中，区块链显示比特币已经被从两个地址中花费了，故这些地址的花费规则是已知的了。在交易f491dfe9867c36e85950116a90a6128060d6070866ad0f（https://blockstream.info/tx/f491dfe9867c36e85950116a90a6128060d6070866ad0f3598d70d146750162f）中，

3598d70d146750162f32Z63LVtUERdEEwz275JHt3o4cewPfE8YC（https://blockstream.info/address/32Z63LVtUERdEEwz275JHt3o4cewPfE8YC）显示为一个2/2多签名地址。我们将在下个部分查看信息到底是怎样揭示上述内容的。
类似地， 

31w3iWUN5EMJMW2YRCc5m4RFqm3zN61xK2（https://blockstream.info/address/31w3iWUN5EMJMW2YRCc5m4RFqm3zN61xK2）是一个经常被使用的2/3多签名地址，写作本文时，该地址存有约2700枚比特币（价值1060万美元）。 更高级的区块链工具（如oxt.me）甚至可以随着时间的推移绘制钱包余额，并以近似的准确度显示它看到的活动最多的时段。

地址 31w3iWUN5EMJMW2YRCc5m4RFqm3zN61xK2处的历史余额与活动 | 来源：oxt.me

18：00-22：00UTC是该地址活动最少的时间段，一个合理的假设是这段对应控制该地址的人的当地时间的01：00-05：00或者02：00-06：00。考虑到改地址的活跃时间段、交易量以及多签/名设置情况，可以猜出该地址属于位于GMT+7/8的时区。

如果你有一个很好的隐私卫生习惯，请永远不要重复使用比特币地址，这样以来便可帮助你切断交易关联。这对于所有P2SH地址（所有以”3“开头以及以”bc“开头的62个字符的地址）的用户来说也是个好办法，因为当你披露该地址的花费规则时，你已经向一个新的、哈希化、花费规则未知的地址发送了比特币。

HD钱包可以产生多个地址但只需要一个备份种子以触达资金。这些钱包在你每次接收一笔新的转账时，会自动产生一个新的地址。

现在让我们再看看交易情况，以检视我们还可从已发送的代币中解读出什么。

比特币交易结果通常被导向两个地址，其中一个是真正的支付情况而另一个被称为”变化输出值“（”change output“）则返回发送方。这类似于你为一个3美元的物品支付了5美元，这创建了两笔支付：其中一笔是流向商品的3美元，而另一笔2美元的零钱则流回支付方。

识别变化输出值需要采用试探法。可以用来从其他支付中辨别变化输出值的试探法例子是：round number的使用（交易时以特币数量或者法币价值的数量），交易中输出值的顺序等等。在我们选定的交易中，很容易发现变化输出值，是因为其返回同花费比特币相同的地址，正如我们将在下午中看到的。

大体而言，不同比特币钱包的表现各不相同，并在区块链上留下了不同的痕迹——类似于在浏览网页时，浏览器如何显示自己的信息。因此，有时可能可以识别某些交易，因为其来自特定的比特币钱包应用。

如果你的调查者知道你在使用哪个钱包应用，这将帮助其将你的身份同交易信息相关联，削弱你的隐私。每一条信息都能帮助他了解你是谁，你在做什么。
 

　09　

交易资金来源

在比特币的交易中，“资金来源”永远来自其他未花费的交易，更精确的说，就是未花费的交易输出（UTXO）。在区块浏览器中，你看到的是解码的生区块链数据和派生数据的组合。一个区块浏览器可能会这样显示交易：
来自Bitcoin.com
这里的资金来源显示为一个地址。然而Blockstream浏览器的“资金来源”可以显示为交易。

之所以Blockstream不将交易资金来源显示为地址，是因为地址严格意义上并不是交易输入的一部分，并且它并不总能推断出交易的起始地址。此外，因为不鼓励地址重建，它能打破大众在传统支付系统中的心理，并不再通过显示这笔交易发送者的地址，让用户错以为资金能够退回给接收者。

首先，先从技术上进行分析，如果你运行一个全节点（或者使用一个授信的互联网），你就可以去比特币区块链本地副本中查看交易解码的原始数据。如下图：

e70c2ed31c05fbf2865a15a696a7ca0cb8f3afef92c34f4e41051dc2356827c8解码

这种资金来源被描述为Vin-阵列。他没有提到特别提到一个地址，但是它会指向前一个交易的输出。

593e2d5c65b3505d897a13033741037d6c59e683b3345314a58253a8f1572758是vout: 0，也就是交易的第一次输出（vout: 1意味这个交易的第二次输出，以此类推）。这个未花费的交易输出（UTXO）就是资金来源。

到此可以澄清，“资金来源”既不是地址也不是一个交易，而是此前特定交易的特定支出。如果清晰地了解这一点，将会帮助你在使用比特币时保护你的隐私，我们会在之后的章节一一说明。 
e70c2ed31c05fbf2865a15a696a7ca0cb8f3afef92c34f4e41051dc2356827c8. 的资金来源

我们可以从解码的原始数据进一步解码交易的内容，例如从txinwitness中了解更多有关资金来源的信息。Txinwitness中的最后一行16进制的字串符显示了2-of-3的多重字符脚本，这是我们可以推断出这可能使用一个交易所的钱包。

.txinwitness中的其他两个16进制的字符串，只是满足2-of-3多重条件的签名。

现在我们对于资金来源进行了定义，我们可以看到在在这个例子中，有0.48298999BTC的输出，即使已付款的金额只有1000美元的一部分。这有一个不良的后果：想象一个场景，一个朋友给你支付了10美元，但是交易会显示出他拥有一百万美元并具有立即发送全额的权限，这对于隐私保护来讲并不是特别好的。如果你担忧发送比特币交易时会透露你的财富，你应该关注一下在你的交易中哪些输入被使用。
 

　10　

拼接信息

由于交易总是需要提供资金来源，交易都被联系在一起，产生所谓的交易图。如果你向你的朋友发送比特币，你的朋友会看到你在交易中的资金输入，但同时你也可以看到你的朋友何时发送这些代币以及这些代币会被发到那些地址。

一些比特币地址是众所周知的，比如Bitfinex的冷钱包或者查获的丝绸之路的代币。一个地址会因为这是一个实体而被人们熟知，比如：一个公司或者一个慈善组织，因为它们会在宣传网站上公开收款或者捐赠地址或者无意中通过论坛帖子和执法记录透露了地址。区块链分析公司将会定期搜索网络以收集此类信息。
其他地址也会通过群集分析这项技术通过关联显现出来。
 

　11　

群集分析

让我们回到之前列举的那笔交易 e70c2ed31c05fbf2865a15a696a7ca0cb8f3afef92c34f4e41051dc2356827c8。现在我们可以立即看到这笔交易的资金来源，我们的交易（红点）都已被用于资助第三笔交易（蓝点）。
e70c2ed31c05fbf2865a15a696a7ca0cb8f3afef92c34f4e41051dc2356827c8的交易图

尤其是，第二笔交易的转出和第一笔我们交易的转出都包括在了这笔交易的融资中，它们之前分别被发送到了以下两个地址中：3Qt1YaJwQwtHMb4mjJ41DZVawWXih9LGMq32Z63LVtUERdEEwz275JHt3o4cewPfE8YC
在界面，这似乎是两个单独的地址，每个地址只有一个看似无关的转入和转出交易。但是因为他们的私钥都可以在蓝点交易上签名，这些地址现在都属于小的集群（包括交易转入的其他407个地址），我们可以假设他们属于同一个用户。这种启发法在过去拥有了许多不同的叫法，最新的名为共同输入所有权启发式（common-input-ownership-heuristic.）。 蓝点交易 f491dfe9867c36e85950116a90a6128060d6070866ad0f3598d70d146750162f图集

区块链分析公司将会使用这种启发法去创造巨大的群集。区块链浏览器WalletExplorer已经将这两个地址固定在162787个地址的群集中。分析公司会将集群按照标签分类（IP地址、用户账户、组织以及真实姓名）它们能够使各个地址固定在一个集群内，由此绘制出比特币交易的生态。接下来，他们就会将这些数据集的访问权出售给执法机构以及其他公司。

许多区块链分析公司都会直接通过他们用户得到交易的相关信息，比如加密货币交易所。但是两个头部分析公司Chainalysis和Elliptic，已经声明他们不会追溯它们获取的任何个体的交易信息，但仅限于交易所或其他商业实体。
它只需要对集群中的一个地址进行去匿名化，就可以对整个集群进行去匿名化。
 

　12　

反群集分析

目前我们可以看到，用户身份可以由多种方式与比特币的地址和交易进行关联，比特币的交易也可以通过多种方式相互联系。如果将这些泄漏的信息组合到一起，将会揭示我们所有的财务隐私。

有些比特币用户有意地尝试破解这些分析公司使用的方法，他们使用工具和技术来使分析变得更加困难。一些技术可以通过扭曲行为降低分析的有效性，而其他技术则尝试避免被分析。比特币钱包可以通过将这些技术自动化或者在用户页面上提供这些技术来帮助用户。

以下是其中的一些举措：

• 在创建交易时，把转出的顺序随机化，以降低更改转出检测的精准度。

• 避免HD的钱包地址重复使用。

• PayNym是一个公开可共享的ID，它可以允许你在不同的无关联的地址中接收付款，并且这笔付款这有发起者和你自己知道。PayNym允许每一笔交易都派生一个新的地址，而不需要每次真正地去建立一个新的地址，如果你想要上线接收比特币的捐款，这是非常有帮助的。

• 代币选择/代币控制。钱包可以设计为在可能的情况下通过更加仔细地挑选交易中的收入来优先选择群集分析较少的地址，或者允许用户手动选择交易转入，以避免泄漏某些代币的所有权。

比特币核心的代币选择——用户可以手动选择交易的资金来源

提高隐私保护的更加前卫的技术是CoinJoin。CoinJoin是一种在广播交易之前将不同用户的一些资金输入都添加到联合交易的方案。
在我们的例子中，我们可以看到交易资金转入如何参照之前交易的特定转出，而不是整个交易：
e70c2ed31c05fbf2865a15a696a7ca0cb8f3afef92c34f4e41051dc2356827c8.的资金来源
但是每笔交易的资金输入和输出不会以任何方式相互影响；只要输入的比特币数量足以支付输出的数量，交易就是有效的。
一个由Wasbi 钱包发起的CoinJoin交易

这里的资金转出被切分为了许多等额的小块，所以无法确定任何投入的资金和支付的费用，其结果就是在一次支付中会有很多的资金来源地和发送地，使人难以辨别。技术上并不需要隐藏交易的资金来源和目的地，但是因为已经被混合打乱，因此很难去证明哪个地址发起了交易，哪个用户的比特币又流向了哪一个地址。

这一类交易的另一个有趣之处是他们可以使启发式共同输入所有权的概念更加复杂。这些资金转入都被标记为属于同一拥有者，但是在这个交易中并不会这样。这些图片显示了使用混币技术产生的独立支付的错误集群。 

Wasabi 钱包的混币交易 交易ID从左到右分别为
 72046c65fa25724f11c91f35799f69b66072bc07b2b4e3fc363852c2506b2b90, d7a428a8e3d69f236519cb999dbcb47b3b283548875371da567259be806e35ea, 20cf4fa2f685167f46682dd30c7720a06618656939fadbd1f20e3d471d08dfbb (oxt.me).
因为这些交易都有看起来很奇怪的等量的资金输出，这些交易就更容易被分辨，并且可以更轻易地从群集分析工具中删除。当用户希望向外界混淆支付的资金来源和支付发送的目的地时，等额的混币交易就可以理解为混淆。

最近的一项名为PayJoin或Pay-to-EndPoint（P2EP）的项目也使用了相同的原理来创建与平常交易无法区分的交易。这种新兴的交易类型混合了来自付款人和收款人的资金输入，并且在实际支付某些东西时，将支付金额从发送者的输出资金直接转移到接收者的输出中，由此来支付接收者相应的金额。

一个混和交易的模板：发送者给接收者支付0.5BTC，并在过程中将资金输入打乱这个交易并没有过多的混淆，但是它会错误地触发常见输入所有权启发式。更重要的是，它在触发的时候，不会给分析公司留下这个资金输入不适合聚集的线索（分析公司需要这个线索来避免误报）。如果混合交易被普遍应用，那么虚假的共同输入所有权将会十分巨大，以致于启发式本身也不可靠，这对于区块链分析公司将是巨大的打击。
 

　13　

闪电网络

闪电网络是在比特币协议之上开发的beta技术，以促进低成本的即时支付。目前闪电网络钱包用户可以使用闪电网络。闪电交易在很多方面都与基础层交易不同，从保护隐私的角度，它们是更加有利的。
闪电交易并不是存储在一个公共的账单上：

• 闪电网络交易使用洋葱路由，但是不会向网络的其他部分播报最终的收款人。

• 闪电网络交易并不会将资金输出打乱并且不会聚集在一起。

闪电网络是一个需要流动性的通道系统；目前接受闪电网络支付的商家和用户是比特币用户的一小部分，并非所有支付（特别是巨额支付）都可以通过闪电网络进行传播，过一段时间后应该会有所改善。这也意味着虽然闪电网络可以为其通道中的交易提供更好的隐私保护，但这些通道仍然需要由定期比特币交易提供资金，而这些交易又会遭受到本文中所述隐私问题的影响。

另一个问题是与基层比特币支付不同的是，闪电网络支付的收款人需要运行闪电网络节点。你的节点会使用TCP / IP与其他节点通信。每当你的节点在网络上与他人互动时（发送，接收或路由其他付款）时，某人将知道你的节点以及公钥和IP地址的存在。从公钥中，很容易找出你和其他节点之间打开的通道以及在打开每个通道时提交了多少比特币。对于私人通道，IP地址仅向你开放的通道显示，但对于公共通道，它会向整个网络显示，甚至可能有人探测通道的当前余额来判断你是否会是下一个攻击目标。

当你运营一个闪电网络节点时，你应该假设你的通道余额已经已知并且会它们会连接到你的IP地址。因此在Tor上运营闪电网络节点是保护隐私的一个很好的选择。

闪电网络目前正处于快速发展阶段，许多财产将在不远的未来发生巨变。
 

　14　

协议的创新

这里有一些提高隐私保护的技术，它们是由底层比特币协议发展而成的：

• Schnorr签名：

  一种签名方案，除其它的改进外，还会使多重签名地址和单一签名地址无法区分。

• ｓｃｒｉｐｔless脚本：

  一种在不披露实际支付规则情况下使用脚本的方法。

• Taproot：

  一种无法区分各类支出规则的交易的技术。

　15　

总结

这篇文章旨在介绍比特币隐私保护的工作原理。由于具有匿名以及透明的特性，比特币区块链使隐私权最终取决于用户以及监视的公司使用的工具。如果那些进行监视的公司对区块链进行分析，没有进行隐私保护的用户便很有可能泄露一些财务信息，这是十分危险的。
 

　16　

延伸阅读

为了完全理解比特币的内幕，Andreas Antonopoulos的《精通比特币》是很好的资源，现已翻译成多种语言。

Bitcoin Wiki上的隐私页面更深入地介绍了其中的几个主题，最近由Chris Belcher进行更新。Blockstream区块浏览器最近也进行了修补以显示交易的“隐私评级”，可以由此更多地了解到从交易信息中能够得出什么结论。
特别感谢Adam Gibson，Tomislav Dugandzic和Simon Bohlin为本文提供的想法和反馈。

导读：比特币既非完全匿名，也非完全透明。比特币隐私难题在于一个灰色地带：用户金融活动的暴露，最终取决于调查人员的能力与用户所选工具的复杂性。

区块链深度思考——五大原则之匿名性
 

第一章  认识区块链

第二节 区块链五大原则之匿名性

我们分析匿名性是中本聪建立比特币时考虑电子现金必备要素而加入的必要条件。我们知道现金是非实名的，钱上没有明确的所有权信息，你把一万块钱从天台撒下去那一刻，钱就不是你的了，你奔下楼抢到多少算多少，现金的匿名性是流通性的必要条件，如果每花一块钱都要办个过户手续，那就麻烦了。比特币是电子现金，要实现的目的就是在数字世界打造一个可以匿名、可以交易支付又能避免双花（一张钱被花两次）的工具。

但是当区块链被不断完善和应用以后，人们发现匿名还有更大的价值，那就是隐私保护，虽然很多人认为区块链中的匿名性并不是完全意义的匿名，而是不具名，没关系，关键问题是能不能实现隐私保护。生活在互联网时代我们每个人的隐私越来越少，一方面我们需要开放大量的个人信息给互联网，从而获得更丰富、更便利、更好体验的服务和产品，另一方面我们又必须防备自己的数据被别人滥用，自己的隐私权被别人侵犯，这种矛盾在传统互联网环境下是不可调和的，因为数据不掌握在我们自己手里，而是掌握在那些提供互联网服务的公司手里。即使是个人征信相关数据这种已经写入《网络安全法》的保护数据，也无法避免被一些个人和机构未经授权使用。

现实生活中匿名与确权是对立的，如果你想拥有一种资产，比如房子、车子、钱，你必须用你的真实身份去实名制确权，你不可能在房产证上写个昵称“天边一朵云”，在互联网上一样面临这种尴尬，很多APP都要求你实名认证，而你真心不想实名认证，但是又必须使用这个程序。有没有办法既不用实名又能确权？要解决这个问题，我们要先讨论这个问题的本质，也就是确权，确权就是对资产权利的证明过程，资产权利包括所有权、使用权以及其他收益权、处置权、抵押权等衍生权利，确权的对象是所有权，因为所有权是具有唯一性、排他性的权利，所以只要是所有权就一定需要确权。也就是说必须消除所有权才能实现匿名拥有，这听起来有点不可思议，但是区块链就做到了。

区块链拥有分布式、去中心、不可篡改特性，这就使记录在区块链上的信息具有了可信任性，如果信息本身是可信任的，这种信任包含它和他的拥有者的关系，这里体现为秘钥关系。首先一个每个链上的数据信息背后都代表某种资产或权益，我们可称之为数字资产，每一个数字资产通过非对称加密方式生成一对秘钥，秘钥对应一个区块链钱包地址作为它的拥有者，这个地址与数据资产之间即建立了秘钥关系，当地址拥有者出示公钥即证明了对数字资产的使用权利，其他人就无需寻求第三方来提供证明，也就是说我们不在乎你是谁，我们只在乎你是否拥有支配数字资产的钥匙，实际上也不是完全没有第三方证明，而是用区块链技术取代了第三方证明的作用，这就是区块链作为信任的机器的定义。基于匿名的定义，区块链可以实现对机器、系统衍生数据等与人的创造无关的资产进行赋权，让基于AI的万物互联成为可能，接下来要解决的就是如何一点一点的把我们的资产数字化的问题，这也是区块链落地的关键环节。

匿名虽然可以保护隐私，但也会带来很多不便，至少对政府监管是个挑战，未来的区块链应用应该会走向实名制加隐私保护的方向，就技术角度讲，如果有国家级的居民身份公链，是可以做到按需实名的，所有交易只有国家机关有权穿透识别交易者真实身份，既保护隐私又能预防犯罪。

导读：匿名虽然可以保护隐私，但也会带来很多不便，至少对政府监管是个挑战，未来的区块链应用应该会走向实名制加隐私保护的方向。

匿名性的前世今生——从羊皮纸到区块链密码学
 

一、匿名性：旨在保护个人隐私的密码学技术

1、定义

匿名，顾名思义，就是在交易过程中隐藏部分信息，通常包括部分匿名和完全匿名两类。而匿名币是目前区块链行业中比较热门的一类通证，指的是在交易过程中隐藏交易金额和往来账户信息的一种特殊的区块链通证。

2、种类

● 部分匿名

部分匿名，即隐藏部分交易信息。主要包括两类：匿名限制和部分信息匿名。

匿名限制是指对于指定机构，会显示交易的部分信息，而对于其他用户，则会隐藏全部交易信息。

部分信息匿名是指隐藏部分交易信息，这部分信息可以是账户、交易过程和交易往来账户的其中一项或者多项。

● 完全匿名

即是指交易前后及过程中的所有数据、交易金额和流程都不公开，具有几乎完全匿名的数字资产特性。

3、主要用途

匿名交易目前主要适用于商业应用场合，包括投竞标、大额钱款转账等需要高度隐私的商业活动。

4、主要技术原理

5、匿名币的必要性

很早之前，作为囊括世上大部分IT精英的密码朋克社区，就一直在尝试开发匿名货币。原因在于传统货币和支付手段都是靠第三方政府和银行进行信用背书，而且对每个参与支付的用户都要求实名制，包括通过银行卡和ID进行的身份验证，特别是随着大数据时代的到来，所有人在数据面前，都是透明人，这让很多人觉得自己的隐私受到了侵犯。这也是比特币等数字资产逐渐出现在大众视野中的原因，因为它们的地址不会绑定用户身份信息，也无需实名认证，因此能保障一部分个人隐私。

但随着比特币公开程度的深化，其匿名性开始显露出其存在的一些局限性。包括线上交易地址的可追溯性，会曝光某一地址相关联的交易地址和交易记录；而线下交易更会将钱包地址和真实身份相关联，查询到双方地址的所有交易记录。此外，虽然目前也有很多第三方提供混币服务以帮助匿名，但相当于匿名限制，效果也较为有限。

二、发展沿革：从羊皮纸到密码机器

1、密码学概述

密码学，顾名思义，就是对传达内容和信息进行保护。根据维基百科的释义，密码学一词源自于希腊语，早在公元前400多年就已经产生，是专门研究保密通信，保护传送信息以防止第三方对信息窃取的一门学科，包括密码编码学和密码分析学，主要分为古典密码学和现代密码学。当然，如果把战争时期密集使用密码学的时间段单独来看的话，也可以作为近代密码学，在现代密码学类别里做一个时间上的划分。

2、密码学的发展历程

● 古典密码学

古典密码学主要使用文字替换的方式来达到保密的作用，最早的实际应用可以追溯到公元前60年古罗马时期的凯撒密码。当时的凯撒作为罗马的执政官，深知核心军事信息保密对一场战役的重要性，于是凯撒设计了一种专门用在军事上的转换文字，主要采用了单表替换加密技术，即明文中所有字母都在字母表上向前或向后移动若干位，所以即使信息被敌方获取也不一定能看懂，这就是最早用于实践的密码案例，也是著名的凯撒密码。

虽然当时凯撒的敌人没有意识到这种加密手段，但后来由于字母移位存在一定的限制，以及改良后的随机移位字母表在一定的背景下也较容易被破解，后来也随着苏格兰掉头女王的惨剧落下帷幕。

除了著名的凯撒密码，还有另外5种古典加密方式，包括：

● 近代密码学

近代密码学可以看做是现代密码学的一部分，只是在时间上进行了一个划分，将战争集中使用密码学的时期单独分开来看。

谈起近代密码学，不得不谈维热纳尔密码。虽然维热纳尔密码在1586年就被设计出来了，但直到200年后莫尔斯电码开始流行，这个密码才开始进入人们的视野。因此，按照其应用的时间段，将其纳入近代密码学无可厚非。曾经，维热纳尔的《密码理论》也被称作“不可破译”的密码，直到1854年被建立现代计算机理论框架的查尔斯·巴贝奇破译。

说起来还多亏了一个妄图以侥幸心理获取专利的牙医，如若不是当时他重新包装了维热纳尔密码，并且为难巴贝奇破解密码，那么维热纳尔密码可能需要等大约10年的时间才能被卡西斯基破译。而在当时的美国南北战争期间，南方联军一直使用的就是维热纳尔密码，虽然早已经被破译了，但由于当时没有大规模发表，所以北方政府一直占据着情报获取上的优势，如果维热纳尔密码那时没有被破译，或许南北内战的时间还会更长一点吧。

而近代密码学被频繁使用还是二战时期。1918年，在一战即将结束的时候，德国人亚瑟·谢尔比乌斯参考科赫的构想后设计出了一种密码机器，也就是后来世界闻名的Enigma。Enigma是一种多表替换的加密实践，其加密核心是3个转轮。每个转轮的外层边缘都写着26个德文字母，用以表示26个不同的位置，而经过转轮内部不同导线的连接，改变输入和输出的位置，从而进行加密。一个3转轮的Enigma机器，能进行17576中不同的加密变化。Enigma在二战中作为德国海陆空三军最高级的密码机，曾一度在二战前期势不可挡。当时的Enigma较刚设计出来的原始形态做了一些改变，使用了3个正规轮和1个反射轮，极大提高了军事信息的安全性。

但是1939年，当二战刚刚拉开序幕，波兰密码学家马里安·雷耶夫斯基、杰尔兹·罗佐基和亨里克·佐加尔斯基就将破译Enigma的研究成果共享给英国盟友，帮了很大的忙。然而在德国和波兰、英国的密码学战争较量中，还有两个人我们不能忽视，一个是英国密码破译专家诺克斯，一个是图灵。如果说波兰对Enigma的破译奠定了二战密码破译的基础，那图灵、诺克斯和他们的团队就是二战破译德军密码的核心力量。德国对Enigma不断进行编码程序的变更和改进，图灵团队就不断对德国的密码机器进行研究、模仿和破译，最终制作了能破译德国情报的密码机，命名为“炸弹”。从此，有了“炸弹”的助力，德军在二战中的极大多数行动，都源源不断的从图灵团队传到英国军事指挥中心，帮助英军取得胜利，减少战争损失。可以说，二战的转机也与密码机的破译有很大的关系，但是至于为什么密码机早就被破译了，但是战争还持续了6年之久，这就与当时同盟国的政策和军事策略有很大关系了，毕竟密码学只是一个助力。

● 现代密码学

现代密码学主要是依据密码学建立了理论基础，成为一门科学来判定。1949年，香农发布了一篇名为《保密系统的信息理论》的论文，将信息论引入，提出了混淆和扩散两大设计原则，奠定了密码学的相对成体系的理论基础。香农的密码学理论偏向对称密码学，分成分组密码和流密码。分组加密是将明文分成多个等长的模块，使用确定的算法和对称密钥对每组分别加密，应用于软件类加密，比如电子邮件加密和银行交易转账加密等；而流密码是加密和解密双方使用相同的伪随机加密数据流作为密钥，通常是对一个位进行加密操作，由于实际操作相对更困难，所以通常用于硬件加密。

虽然在1949年，密码学就开始有了一定的理论雏形，但是由于受到历史和现实条件的局限，主要还是政府机关和军事指挥处应用的更为广泛。而密码学真正意义上开始进入发展期还是从七十年代中期。1976年，美国密码学家迪菲和赫尔曼发表了一篇名为《密码学的新方向》，开启了公钥密码体制的新篇章，是当代。主要采用了将加密和解密两个相关密钥单独操作，加密密钥是公开的，称为“公钥”，不仅可以公开算法，连密钥也可以公开，而解密密钥专属于用户，称为“私钥”，两种密钥相关而存异，基于一种特殊的单向陷门函数，不再是简单的表单替代和置换，使得保密程度又上升了一个层次。1977年美国官方颁布了数据加密标准DES用于非国家保密机关，形成了密码学行业的初期规范，并将密码学推向更广泛的应用。而最经典的公钥加密算法莫过于1978年由美国麻省理工出身的里维斯特、沙米尔和阿德曼在数论方法上构造的RSA算法，更偏向非对称加密，目前是安全系数较高的一种加密算法，也是迄今为止最成熟的公钥密码体制。

谈到这里，我们可以看到，密码学终于开始与区块链的加密技术在表面上呈现出一定的相关性了。因为区块链里最普遍使用的加密技术就是利用了RSA的非对称加密技术，每个用户的收款地址就是公钥，同时也需要使用私钥进行签名，对信息进行非对称加密，保障其安全性。

随着时间的发展以及人们对隐私和自由的追求，由极客组成的密码朋克开始探索匿名通讯、匿名交易、盲签名技术和数字资产，追求建立在个人意愿上的隐私暴露。因此，就有了创建了匿名数字现金eCash和盲签名技术的数字资产先驱大卫·查姆，以及后来我们所知道的在区块链行业中广泛使用的比特币、时间戳、分布式存储等技术。当然，这里就暂不赘述目前匿名币主要应用的几项技术了，这些在主要技术原理和主流匿名币对比中我们会再详细叙述。

三、技术应用：匿名币的主要数据对比

1、现存的匿名币

2、目前主流匿名币分析

1) 技术优劣势对比

2）关键数据对比

参考资料：

[1]. 维基百科：密码学

[2]. 秦陇纪，《密码学历史及近40年人物技术里程碑》

[3]. 孙雪，《密码学的发展史》

未经允许，禁止转载。联系作者，请关注达令智库公众号DalingRe-DR

导读：密码学，顾名思义，就是对传达内容和信息进行保护。根据维基百科的释义，密码学一词源自于希腊语，早在公元前400多年就已经产生，是专门研究保密通信，保护传送信息以防止第三方对信息窃取的一门学科。

3. 产业动态

一文了解主流加密货币匿名机制技术对比
 

区块链匿名是一个特别困难的事情，因为公共区块链的设计使得所有的交易都是透明的，加密货币的供应可以被公开验证。即使在保护隐私和维护公共可验证性之间存在冲突，匿名机制也必须确保这两个要素得以保留。 要了解Sigma和Lelantus背后的创新，我们需要研究区块链匿名技术的历史。

1.资金池混币和混币器混币

用于：达世币Dash，比特币混币器

优点：

·不需要特定的共识就可以在大多数加密货币上运行

·实施起来相对简单

·轻量化

缺点：

·只能提供基础的匿名

·要求在线混币

·早期的应用需要可信的第三方

人们试图实现匿名的第一种方法是通过在资金池中混合自己和他人的币来达到目的，混合之后很难证明谁的硬币最初属于谁，从而提供某种程度的匿名。当然，前提是相信别人不会偷你的币。

混币器是这种混合理念的改进，消除了匿名发起者窃取币的可能性，它在Darkcoin（现在称为Dash）中被广泛使用。但是混币器仍然有很多缺点。

（1）因为后台可以记录信息，并且知道每个用户的输入地址和他们正在接收的地址，所以您需要信任匿名发起者。这个问题可以通过使用匿名数字签名来避免，因此混币器的匿名强烈依赖于以匿名方式（例如通过Tor网络）登陆。

（2）要求参与混币的人员在线进行混币。如果双方就混币的数额不能达成一致的话则必须推迟。

（3）匿名受到人数限制。Dash的混币（private transactions）的一轮只涉及3个参与者，但是这个过程可以重复。

（4）最近的研究（https://arxiv.org/pdf/1708.04748.pdf）显示，即使经过多轮混币器混合，如果用户的钱包在进行支付时不清除浏览器cookie的话，可以通过技术手段识别用户的钱包，因为混币只会掩盖地址之间的交易链接，但不会完全破坏它们。

（5）很容易破坏混币器运行，并延迟其他参与者完成混币交易。

更严重的是，Dash中被称为PrivateSend的应用，容易受到集群交叉攻击。

混币器的其他改进，例如CoinShuffle++不再需要可信的第三方，但仍然受到混币器的其他缺点的限制，如有限的匿名、参与者必须在线等。

混币器匿名的主要好处是它们相对简单，并且在加密货币的基础上工作，而不需要使用特定的共识规则。通过适当的预防措施，混币器可以提供基础匿名。

Tumblebit也是一个非常有希望的改进混币器匿名的方案，但超出了本文的范围。与我们将在下一步讨论的其它匿名方案相比，这是一个没有在协议级别实施的匿名计划，但仍然需要其他人提供用于混合的资金。它的主要优点与混币器相同，可以在比特币或任何其他数字货币上实现，而不需要改变其协议。

2.Cryptonote和环签

用于：门罗币Monero

优点：

·混合自动完成

·可以默认情况下自动匿名

·随着新的混币加入和时间的推移，匿名性会增加

·使用RingCT（或防弹证明）执行时可隐藏交易金额

·充分研究过的密码学基础

缺点：

·不能打断交易链接，只能模糊它们，因此属于“诱饵”模型

·因为其区块链数据巨大且不可修剪，因此可扩展性较差

·由于科技进步或执行错误的原因，存在会被解密的风险

·无法利用现有的比特币生态系统，需要单独的工作

·环签大小受限

·无法使用简单的付款验证（SPV），因此您始终必须运行或连接至全节点（没有轻钱包）

·很难实施一些第2层解决方案，如闪电网络

·没有供应可审计性意味着隐藏的通货膨胀可能无法被发现

我们将要探讨的下一个匿名方案是在Monero等Cryptonote加密货币中使用的环签，环签方案大大提高了混币器方案的匿名性。在环签中，某人签署了交易，只能追踪到一个组而不能具体追踪到组中的这个人。比如，可知某个“高级白宫官员”签署了环签，但不能追踪到具体哪个官员签署了这条信息。

Cryptonote和环签可以自动实现匿名功能，无需其他用户指定想要和谁混合，也无需等待其他人提供资金，因为它只是扫描区块链以便使用输出。因为没有混币器，所以你不需要信任任何人。Monero最近还实施了RingCT (RingConfidential Transactions)，也隐藏了交易金额。

目前在Cryptonote加密货币中实现的环签实际大小(你所使用的其他输出的数量)上也有限制，因为随着环的尺寸的增加，交易数据的大小线性增长。这就是为什么在默认情况下，Monero的默认环大小是4。实际上，使用不同的环大小，默认情况下，有可能会让你去匿名化。这意味着，在每笔交易的基础上，匿名性受到环参与者数量的限制。区块链分析师虽然可能无法证明交易是有关联的，但他们可以计算出交易关联的几率。因此Cryptonote的主要缺点是无法破坏交易之间的链接，而只分别混淆交易双方来让交易难于跟踪。

此外，安全研究人员已经找到了方法，通过将交易与交易时间联系起来，对哪个交易是真实交易做出有根据的猜测。在交易中捆绑的一个真实硬币和一组假硬币的任何组合中，真实硬币很可能是在该交易之前移动的最新硬币。在Monero的开发人员最近进行更改之前，时序分析在90％以上的时间内正确识别了真实硬币，这实际上使Monero的隐私保护措施无效。在改变Monero如何选择mixins之后，这个技巧现在可以有45％的机率发现真正的硬币 -这种情况下识别真正的硬币只用大约做两次猜测了，远远低于大多数Monero用户的预期。

另一种对此种加密技术的批评是，如果它的环签技术存在bug，或者出现相当强大的量子计算机，那么整个区块链的记录就会被去匿名化和可追溯，并且无法在事后修正。就像名为Shadowcash的Cryptonote加密货币，因为bug导致所有区块数据全部被解密。然而，实用的量子计算机还有一段时间，它归结为几年前的交易数据是否仍然有价值。为了使这些数据有用，它很可能需要与外部数据相结合。

另外还需要注意的是，使用环签来隐藏交易金额，牺牲了供应可审核性。“供应可审核性”可以验证在交易过程中，是否有新的加密货币被秘密生成，并确定在某一时刻加密货币的具体数量。在Monero的“环签”的实现中，如果有人打破了支撑环签的离散对数，他就可以在没人知道的情况下伪造加密货币，虽然用目前的技术还很难做到。这可能只存在理论上的可能性，因为离散对数问题在密码学中被广泛使用，并且预计离散对数在量子计算时代之前仍然可行。然而，代码错误也会出现伪造的情况，缺乏供应可审查性会使检测隐藏的通货膨胀变得复杂。人们确实曾发现了一个允许无限通胀的Cryptonote的bug，虽然在有人都利用它之前就已经修补了。

使用与比特币完全不同的代码库也意味着第三方必须做更多的工作来将CryptoNote集成到他们现有的生态系统中。简单付款验证（SPV）也不被支持，使轻型钱包实施成为问题。

尽管有这些缺点，但Cryptonote今天已被证明是一种非常好的匿名技术，它唯一公开惨败的例子是Shadowcash，被全部解密，通过使用混合了零交易的Monero交易导致一个级联效应，约87%的输入被去匿名化。 (随后被新的交易所缓和)。因此，区块链分析中的新技术可能会大大降低Cryptonote的匿名性，因为它仅仅是一个基于“诱饵”的系统。最近的FloodXMR论文中证明了这一点，该文件表明，通过大量碎片交易来使得输入端的混合失效，就可以实施成本较低攻击。 当然，关于这种技术的成本和效率尚存在争论。

3.Zerocoin协议和Zcoin

用于：Zcoin，PIVX

优点:

·不需要混币

·成千上万个熔铸和取回交易完全打乱了各地址通过交易建立起来的联系，从而实现极高的匿名性

·保留总量的可审查性

·使用已被大量验证的密码学

缺点:

·由于其中一个证明存在加密缺陷，Zerocoin目前已被破解。 虽然它可以被修复，但更好的实施方案，如Sigma和Lelantus将取代它。

·证明尺寸目前比较大

·需要一个预信任机制

·错误的实施方案或泄漏受预信任设置参数可能导致伪造zerocoin

·在熔铸和取回的时候，需要多加注意。为防止时序攻击，用户必须在准备取回匿名硬币之前将被重铸的硬币保存一段时间。

现在，我们来看看在Zcoin上实施的Zerocoin。与之前只是打乱了交易的输入输出的匿名方案不同，在使用零知识证明的情况下，Zerocoin协议完全打断了币之间的交易链接。

简单地说，零知识证明是你做某件事或知道某件事的证明，而不泄露任何其他信息。例如，要证明您知道密码，而不需要实际显示密码。

Zerocoin的工作原理是，熔铸掉你自己的加密货币(我们称之为零币熔铸)，然后再兑换等量的做记号的新币(被称为零币取回)。这些币在没有任何交易历史的情况下出现，看上去就和新挖出的币一样。这一证明是用来证明你确实销毁过了加密货币，而没有透露你销毁过的具体加密货币信息，因此你有权赎回等量的新币。

这意味着，与混币和Cryptonote技术（匿名集的大小受参与者的数量或环的大小所限制）不同，Zerocoin的匿名集要大的多。你的匿名集等于所有曾经做过相同数值熔铸的总量。这就使得匿名者可以在成千上万的人中使用零币熔铸和取回来扩大规模。此外，这些硬币的交易环节也被完全打破，因为它们看起来完全是全新的硬币，与之相比，之前的匿名方法只是掩盖交易环节。

这种匿名模式也有一些缺点。为了获得巨大的匿名性，同时打破交易链接，Zerocoin需要一次可信的设置来生成初始的参数。在Zerocoin中，有两个被摧毁的大质数。如果有人获取这两个巨大的质数，就可以凭空伪造出Zerocoin。为了解决这一问题，Zcoin使用了1991年的RSA质数挑战中的方法，在该挑战中，密码学专家生成并摧毁了两个大质数，并为能在16年内成功地将其分解的挑战者提供了20万美元的奖金，但无人能破解此难题。时至今日，RSA-2048方法仍然是我们所知的最好的方法，RSA-2048方法仍然被广泛使用，直到某天能够专门破解此类难题的量子计算机的出现。

值得注意的是，对这两个质数成功的分解不会影响零硬币的匿名性，因为它只影响熔铸。此外，Zcoin的总量可查，这样就可以监测硬币的熔铸过程。在项目前期由于编程中的一个bug(并非RSA被破解)，硬币的熔铸出现问题，但我们及时检测到了bug并进行了修复，因此可见，总量可查是非常重要的。

同样值得注意的是，即便是比特币也在2010年遭遇恶性通货膨胀bug，由于供应可审计性人们监测到了凭空产生的1844亿个硬币。 最近在2018年9月，在比特币中发现了另一个恶性通货膨胀的漏洞，但仍然未被开发。

Zerocoin的另一个限制是，熔铸和取回只能处理固定面值的货币，相比环签交易，零币的零知识证明的数据大小是25kb。值得注意的是，不同于Cryptonote交易（所有交易都占用同样大小的数据），只有匿名取回的交易占据了25kb数据，而普通交易的数据大小与比特币交易的数据大小相同。与其他交易相比，Zerocoin取回交易的计算密集程度也很高，需要大约半秒才能完成。

此外，不正确的使用或有规律的使用Zerocoin铸币和花费交易，如总是定期铸造和消费，或做熔铸和取回的间隔时间太短，或使用相同的IP地址熔铸和取回可能会损害匿名，因此需要多加小心。建议用户在他们想要取回硬币之前预先熔铸好硬币。硬币以铸造形式存在的时间越长，匿名性越好。这一点正在通过Zcoin即将推出的GUI来缓解，该GUI建议用户保留一定比例熔铸过的硬币。

总而言之，Zerocoin提供了非常强大的匿名性，但为了实现该匿名，需要信任机制、区块链上的存储空间和额外的计算资源。Zcoin的发展正在解决这些问题。

4.Sigma

用于：Zcoin，NIX

优点：

·无需混币

·匿名性非常高，匿名集可高达100,000左右。 熔铸和取回交易可完全打破地址之间的交易链接。

·保留一定程度的供应可审计性，因为交易金额不会被隐藏，硬币必须取回至基础层。

·使用经过深入研究的密码学。

·很小的证明尺寸，仅为1.5 kB。

·无需预信任机制。

缺点：

·与Zerocoin一样必须使用固定面值。

·操作Sigma熔铸和取回时必须小心，使用者应在取回之前熔铸好相应硬币，以防止时序攻击。

·在密码学基础没有突破前匿名集难以突破100，000。

Sigma是由Zcoin发明并实施的匿名协议，其工作方式与Zerocoin非常相似。它有两个关键的区别：它无需预信任机制，且其证明尺寸大幅变小，大约为1.5 kB（与Zerocoin的25 kB相比）。

Sigma基于学术论文《One-Out-Of-Many-Proofs：Or Howto Leak a Secret and Spend a Coin》（Jens Groth和Markulf Kohlweiss）利用Pedersen承诺及其它技术取代RSA累积器，使此加密构造无需预信任机制。 Sigma设置中唯一需要的系统参数是ECC组规范和组生成器。这种结构已在《Short Accountable Ring Signatures base on DDH》（Jonathan Bootle，Andrew Cerulli，Pyrros Chaidos，Essam Ghadafi，Jens Groth和ChristophePetit）中进一步优化。

Sigma严格来说是深度优化的Zerocoin。其唯一的缺点是它仍然需要固定的面额，这意味当使用者不注意时会更容易被识别出熔铸方和取回方，并且在保障性能前提下，匿名集仅限于大约100,000。

5.Lelantus

如：Zcoin（研发中）

优点：

·无需混币器

·匿名性非常高，匿名集高达100，000左右，使用熔铸和取回交易完全打破交易地址之间的链接。

·使用成熟的密码学，仅需DDH加密假设

·很小的证明尺寸，仅仅为1.5kB

·无需预信任机制

·可使用非固定面额

·可直接匿名付款而无法转换至基础层的硬币

·良好的可扩展性，足以支持默认匿名交易

缺点：

·在加密技术取得突破之前匿名集难以突破100，000

·目前直接匿名付款时需要收入方再次取回并再熔铸，以防止发送方发送的时间被发现

·仍处于早期发展阶段。 Zcoin已完成其加密库，Monero的Sarang Noether也完成其初步实施方案的证明。

Lelantus通过取消对固定面额的要求进一步扩展Sigma，并允许直接匿名付款，但不显示金额。 Lelantus是Zcoin的密码学家Aram Jivanyan的创作，是我们不断改进隐私协议的一部分，其全文可在此处阅读。

Lelantus保留了Sigma不需要预信任机制的所有好处，但通过利用双盲承诺和防弹证明来隐藏交易金额，消除了要求固定面额的剩余弱点。用户可以燃烧任意金额并兑换任意金额，这样就可以更加难以找出熔铸和取回之间的联系。

如果Lelantus存在某些弱点，那么就是其匿名集仍然限制在大约100,000，超出以后的性能使得实施起来不切实际，但我们认为对如此大的匿名集进行分析是不切实际的。与几乎所有其他隐私机制相比，它的匿名集仍然更高，除了Zerocash有自己的一套权衡（预信任机制，复杂的构造等），我们将在下面进一步探讨。

在当前研究状态下直接匿名支付还需要额外的取回和再熔铸步骤来匿名化发送者。我们仍在进一步研究，以进一步改进和扩展。

6.Zerocash and Zcash

如:Zcash，Horizen，Komodo,

优点:

·在熔铸过程和打破地址之间的交易链接方面可能是最好的匿名技术

·验证数据小，验证速度快

·隐藏交易金额

·不需要预先转换成普通硬币，匿名硬币可以直接发送到对方。

缺点:

·匿名交易是计算密集型的（虽然通过Sapling升级得到了很大改善）

·必须由团队安排的复杂预信任机制

·不正确的实施或预信任机制参数的泄漏可能导致伪造硬币。

·因此，如果硬币是伪造的并且凭空产生的，则无法检测供应，因此无法检测到供应。 这种性质的漏洞既可以在发布之前找到，也可以在实时主网中找到。

·使用相对较新的密码术并基于被批评的加密假设（KEA）。

·很难理解完全意义上只有少数人能够掌握密码学和代码，并且可能出错。

我们讨论的最后一个匿名方案是ZCash中使用的Zerocash协议。Zerocash采用了零知识证明，并试图改进Zerocoin协议。有了Zerocash和zkSNARKs技术，匿名数据大小现在只有1 kb，并且可快速验证。此外，所有交易金额都是隐藏的，在进行熔铸时不需要使用固定的面额。Zerocash还允许人们将Zerocash的“零硬币”直接转移给对方，而不需要将其转化为等价的基本硬币。它的匿名方法也是之前所有匿名计划中规模最大的一个，包含了所有铸造的硬币，而没有考虑区块链的面值。

粗略来看，就会觉得Zerocash技术超出了Zerocoin，然而，相对Zerocoin，它也有一些不足。

首先，Zerocash缺乏供应量可审核性。和Zerocoin一样，Zerocash需要一个预信任机制，但Zerocash的设置要复杂得多。Zcash采用了一场涉及6人的多方仪式来完成设置，其参数泄露的唯一方式是，所有的6人相互串通，并保留相关参数。换句话说，你必须信任这6个人中的任何一位，相信他们摧毁了初始参数并且相信这个仪式被正确执行。这是一个严重的问题，Zcash正在组织一个新的预信任机制仪式。

如果代码中存在错误，或加密缺陷或多方预信任机制存在问题，攻击者可能会生成无限制的Zcash，与Zerocoin不同，无法检测到此额外供应。特别是在使用Zerocoin以类似原理运行的系统中，允许创建新硬币，供应可审计性变得越来越重要。

实际上，从发布到2018年10月28日，为期两年，Zcash实际上已经在其主网上修补其中一个漏洞。没有办法判断这个bug是否在被修补之前被利用了，从发现bug到修补之间存在8个月的差距。这不是第一次发现这样的错误。 Zerocash在其开发早期也有内部碰撞漏洞，这也允许锻造硬币。虽然这个bug从未投入生产，但它突出了潜在的风险。

BTCP，一个同时基于Zcash和比特币的分叉币也遭受了隐藏的通货膨胀，近十个月没有被发现。只有在通过比特币UTXO输入时检查UTXO输出流程才能检测到这种通货膨胀。这不是由于密码学的缺陷而是隐蔽的预设，它突出了具有不可审计的供应的潜在问题。

我们强调，即使是像比特币这种经过严格审查的项目也遭遇了许多恶性通货膨胀的错误，例如价值溢出事件和最近的CVE-2018-17144。比特币保留供应可审计性允许检测到这些错误或确认没有发生漏洞利用。

另一个值得商榷的是其使用称为zkSNARKs的新实验密码术，它实际上仅用于Zerocash。对它的审查要少得多，因此不像RSA那样经过实战检验，RSA已经使用并经过多年的审查并继续得到广泛应用。 zkSNARKs使用加密假设，这些假设仍然是实验性的。与已建立的加密算法不同，如离散对数假设或分解硬度，zkSNARKs安全性基于双线性群的指数知识（KEA）假设的变体（通过某些配对友好的椭圆曲线实例化）。 KEA尚未得到很好的研究或部署，也受到批评。一些专家认为zkSNARKs背后的密码学相对较弱。

Zerocash也非常复杂，这意味着只有少数人能够正确理解和审核它。事实上，由于Zcash假设，产生如下现象：

·发现漏洞需要高水平的技术和加密复杂性，而很少有人拥有。

·该漏洞已存在多年，但许多专家密码学家，科学家，第三方审核员和第三方工程团队都没有发现这些漏洞，他们根据Zcash代码启动了新项目。

这实际上是“基于默默无闻的安全”。

Zerocash的另一个主要缺点是，由于需要进行复杂的数学计算，因此，在一台功能强大的计算机上，匿名交易的生成时间要比之前任何一种匿名方式要长得多，特别是对配置较低的计算机来说，这一过程太长。这使得人们无法广泛使用它的匿名功能，也可能会不适用一些功能不太强大的系统，比如移动设备。Zcash通过使用新的BLS12-381曲线在其最新的Sapling升级中对此进行了重大改进，将生成时间缩短至几秒钟，并且需要大约40 MB的内存，这使其最终可用于移动设备。但是，与本文中的其他匿名方案相比，它仍然是计算密集程度最高的。

因此，尽管Zerocash具备可能是最好的匿名性，但它以牺牲总量可查为代价，同时也包括如下缺点：复杂的预信任机制，使用过于新的加密技术，创建匿名交易需要很长时间。

然而，Zcash团队正在对zkSTARKs（zkSNARKs的替代品）进行研究，该研究不需要预信任机制，并使用加密算法和更简单的加密假设。但是，到目前为止，zkSTARKS目前由于尺寸较大而无法使用，而且创建zkSTARK的计算要求仍然很高。还有其他一些有趣的zkSNARKs变种尚未实现，例如Sonic和Spartan，它们以不同的方式解决了预信任机制问题，但是它有一套超出本文范围的权衡取舍。

7.Mimblewimble

用于：Grin,Beam

优点：

·所有交易都是匿名的

·使用完善的密码学

·隐藏交易金额

·区块链可以减小尺寸，因为它只保留UTXO

·不存在重复使用地址的问题

缺点：

·需要接收者和发送者之间的互动。无法留下地址然后离线等待接收。多方交易存在问题，因为各方需要进行通信以创建交易。

·不打破交易链接，只是模糊它们，因此是一个“诱饵”模型。

·监控网络可以揭示交易如何加入的详细信息。

·如果一个块中交易太少，那么匿名性会大大降低，因为它依赖于其他事务来加入。

·硬件钱包中的冷存储很难实现

·Mimblewimble上的开发智能合约更难，因为没有脚本语言，只能通过“无脚本脚本”中的开发来完成部分功能

·相对较早版本的开发并且不共享Bitcoin core代码，使其借用比特币社区共识并将其集成到基础架构中需要独立开发。

Grin和Beam都是MimbleWimble的应用。 Mimblewimble通过两种主要方法工作，首先隐藏所有交易值，然后通过将所有交易到一个大事务中，以便在块中，它看起来像是具有许多输出和输入的巨型交易。仅从区块链中查看它，即使同一个块中只有少量交易，您也只能通过猜测来判断哪个输出来自哪个输入。 Mimblewimble还允许另一个称为直通的功能，如果A向B支付然后将其全部支付给C，则区块链可以记录A到C而不显示B。

较为简单的理解方法是比较交易比特币中的交易方式与交易在Mimblewimble中汇总后的情况。

想象一下A发送到B和C.在单独的事务中D发送给E和F.

在比特币中，这将被视为

（输入）A>（输出）B，C

（输入）D>（输出）E，F

他们还将拥有进一步使其独特的交易价值。

在Mimblewimble中，所有交易值都被隐藏，并且这些交易被聚合，因此一旦交易在块中连接，它将如下所示：

（输入）A，D>（输出）B，C，E，F

现在无法具体知道是谁发送给谁的！

对比比特币和Mimblewimble交易方式

然而，最大的假设是，在这些事务传播之前以及在将它们记录到区块链之前，没有人监视网络。使用vanilla Mimblewimble，有人可以创建一个连接到网络中所有其他节点的恶意节点，并在它们组合在一起之前记录事务，从而能够对事务进行去匿名化，这意味着它除了地址仅使用一次和交易值被隐藏之外，其他方面的匿名性仅仅相当于比特币。

为了缓解这种情况，Grin和Beam都使用蒲公英技术来改变交易的传播方式。不是将每个事务广播到所有对等体，而是首先通过一系列随机选择的对等体（主干阶段）发送该事务，然后才扩散到整个网络（发散阶段）。每个后续节点随机确定是否继续主干阶段（90％几率）或切换到发散阶段（10％几率）。虽然交易处于主干阶段，但在广泛广播之前，它们也与其他交易结合在一起。这使得节点更难以全面了解交易如何连接在一起。然而，它不是一个完美的解决方案，并且在将交易添加到块之前，交易仍然聚集在一起的方式仍然可以找到线索。

这与Mimblewimble也是类似于Cryptonote的基于诱饵的系统这一事实相结合（尽管它使用不同的方法实现了它），它仍然存在与其他基于“诱饵”的隐私系统相同的缺点，其中重复交易可以进一步降低匿名性，交易网络仍然存在。此外，如果区块中的交易不多，则会极大地降低匿名性。如前所述，对网络的主动监控可以进一步威胁匿名性。

通过跟踪MimbleWimble交易构建的交易图表

MimbleWimble的一个重大缺点是需要接收者和发送者之间的交互（意味着接收者和发送者需要直接通信以传达一个致盲因素）和一个可消除地址的极为不同的方案。这意味着您不能只在网站上发布地址，而必须始终提供新值。这也使多方交易复杂化，例如，在一次交易中向B，C，D，E汇款将要求这些方中的每一方在发送之前与A通信。Beam的实现通过使用安全公告板系统解决了这个问题，该系统允许人们将他们的消息发布到Beam的完整节点，以便一旦用户上线就可以传达盲目因素，但如果这会影响隐私，则需要进一步研究。

此外，虽然没有地址，但Pedersen承诺仍然是独一无二的，因此MimbleWimble本身并不隐藏交易图，这意味着您仍然可以看到资金如何流动，因此可以被视为“一次性”地址。这意味着如果没有蒲公英和Coinjoin的附加变通方法，Mimblewimble的隐私就相当于比特币，除了地址只使用一次并且隐藏了交易值。

Grin没有脚本语言，因此实施智能合约可能十分困难，虽然“无脚本脚本”的开发可能能在特定领域使用类似的功能。

凭借完全隐藏的交易值，Mimblewimble没有供应可审计性，它依靠防弹证明/机密交易来检查是否已经凭空创造了任何额外的硬币。然而，因为它背后的密码学十分成熟，因此其供应可审计性并不像Zerocash协议那样是一个巨大的问题。

8 .其他匿名方案以及为什么我喜欢的匿名币没有被分析？

在这里列出的所有区块链匿名方案都得到了研究人员的好评，各种匿名方案都很容易理解。然而，现在的加密货币有好几百种，但只有少数能真正实现匿名。以下是新的匿名机制是否可靠的关键因素：

Ø  它能提供区块链的匿名吗?

一些匿名货币声称具备匿名技术，但在区块链上完全看不到任何匿名保护。具体可见下文：（在区块链上匿名与隐藏IP的区别）。

Ø  专家撰写的匿名保护机制是否被审查过?

看看他们的匿名计划是否经过密码学家的审核，是否有学术论文引用它，许多程序都是由开发人员或程序员编写的，而他们没有任何的加密或信息安全的背景，其实现匿名技术的技术通常并不可靠。

Ø  它仅仅是利用现有技术的一个新名称吗?

一些项目将现有的匿名货币更名为自己的名字，并将其作为自己的名字进行发行，如果他们公开了原始的匿名技术，这是可以接受的。

Ø  是否是中心化的？

如果依靠你信任别人来保护你的匿名计划的话，它通常是一个糟糕的匿名计划。

Ø  团队是否理解这些匿名技术背后的密码学?

除非你自己是专家，否则这很难确定。检查他们的团队，看看他们的团队或者他们的顾问名单上是否有密码学相关的研究经历。

9.总结

每一个匿名模式都有自己的利益和权衡取舍，我们相信，对这些匿名方案进行持续的探索和研究，会改善整个区块链的匿名技术。

我们坚信Zcoin中使用的Sigma和Lelantus协议与其他匿名方案相比，提供了一个非常全面的匿名方案，它使用经过验证的加密技术提供了非常强大的匿名性，同时还保持了可扩展性和可审计性。

可以在下面找到Zcoin解决方案与其它另悉呐隐私技术的对比图表。

原文：https://card.weibo.com/article/m/show/id/2309404398302274650374

稿源（译）：https://first.vip/shareNews?id=2041&uid=1

导读：每一种匿名模式都有自己的利益和权衡取舍，我们相信，对这些匿名方案进行持续探索和研究，会改善整个区块链的匿名技术。

区块链的匿名性与真实商业世界可否兼容？
 

一、前言

互联网刚刚出现的时候，整个社会对互联网寄予了很高的期待，认为它能够做到很多很多东西，比如认为它能够实现去中心化，认为它能够带给人们言论自由。事实证明，互联网确实做到了很多，但是还是有一些东西是它没能做到的。

比如说匿名性这个特点，曾经就被人们认为是互联网能够做到的，而且互联网在某一段时间内也确实做到了，所以那个时候市面上流传一句话叫做“在互联网上没有人知道你是一只狗”。

但是，时至今日，互联网实名制在国内已经是“标配”了，不管你是在家里上网，还是在办公室，还是在网吧，不管你有多少奇奇怪怪的网名和昵称，当监管机构需要找到你的时候，他们总能够轻轻松松的找到你。

匿名性这一点没能在互联网时代实现，多少让人有些沮丧，所以人们把希望放到了区块链上。

二、匿名的比特币

比特币的出现确实给了人们眼前一亮的感觉，而且目前在比特币上面可以认为已经实现了足够强的匿名性。虽然不是绝对的匿名，虽然我们仍然可以通过曝光出来的地址和大数据的相关性分析找出来一定的关联，但是这种匿名性已经足够用，正如江卓尔所说，“我们已经拥有了深灰，我们并不一定需要纯黑。”

但，比特币可能仅仅是一个特例。

首先，比特币是货币，货币的功能算是非常单纯的，就是交易、转帐。你看我们日常生活中的钞票，也是不记名的，一张钞票与另一张钞票，新钞与旧钞，对于个人的使用来说是没区别的。如果你在现实生活中收取现金的话，你也并不关心给你现金的人叫什么名字，所以现金可以认为是匿名的。

比特币也继承了这个特点，当你做交易时，只要你收到比特币就行，你根本不用在乎给你比特币的人叫什么名字，收到比特币就代表着交易顺利完成。

很多政府监管机构对比特币的这种匿名性特点当然是深恶痛绝，因为很多犯罪份子都在利用这个特点从事犯罪活动，政府当然是不希望比特币这种模式成立的，只是政府并没有能力制止比特币、取缔比特币，所以比特币算是靠自己的实力活到了现在，成为了现实生活的一部分。

三、区块链与匿名性

比特币的匿名性这么强，而区块链又被媒体宣称为能够让人们掌握自己的数据，彻底解决隐私泄露的问题，这让我们感觉到，好像可以通过区块链做到匿名性这个特点，在互联网没有能做到的事，也许在区块链时代可以做到。

但是，我个人认为，匿名性这个特点在区块链上也是难以实现的，严格说来应该是和互联网时代一样，技术上可以做到，实践中无法执行。

首先，区块链是一种技术，然后，它也只是众多技术手段之一。

这句话是什么意思呢？区块链是一种技术，它是拿来用的，但是在技术之外还有产品，产品之外还有市场，市场之外还有需求，即使区块链本身在技术层面可以实现匿名性的特点，在产品层面、市场层面都仍然需要实名制。

区块链同时也只是众多的技术手段之一，一般来说一个产品需要多项技术协同合作才能完成。可以这么理解，区块链就好像一台ATM机，当你去ATM机取钱的时候，你只要插入卡输对密码就可以保证能够取出现金出来，ATM机本身并不需要你输入身份，并不需要你的额外信息，但是这并不代表你完全是匿名的，因为你的卡背后就绑定着你的个人的信息。

在区块链领域也是一样，使用区块链可以提供给你某项服务，但这只是一项自动化的服务而已，它只是整个产业链上的一环，当你在进行其它业务的时候，你仍然需要个人的身份。

尤其区块链被人们认为是价值交换网络，一般是资产之间的价值交换，可能涉及到的金额会很大，所以需要整个价值交换的全过程都可信。如果把整个商业过程分为链上、链下两部分的话，区块链只能保证链上的部分可信，但是链下的部分，区块链本身是无法保证的。

大家可以设想这么一个场景，比如说两个人进行股权交易转让，一个出让股权，一个付出数字货币作为对价，整个过程都可以在区块链上完成，原来需要到线下去工商局过户，现在不用，全程智能合约操作，转帐即确权，非常方便，非常流畅。

但是，这只是链上的部分，如果这个股权的出让方并非出于自己的本来意愿，而是因为掌管资产的钱包私钥被别人破解了，而被别人强行卖了，这种情况如果申诉到法院，这笔股权转让交易最终大概率是被法院判决撤销的。

如果整个交易都是匿名的话，你既找不到购买方，又找不到出售方，也找不到这个黑客的行踪，那么这种价值交换的生意还怎么做？还谈什么信任？

所以整个过程光有链上部分的信任是远远不够的，区块链是整个社会生活的一部分，最终是需要和社会的方方面面结合的，最终链上和链下一定是协同的发展，而链下的部分一定是需要实名制的，这是毫无疑问的，而链上部分也必须同时实名制，才能配合链下部分的发展。

四、真实商业与匿名性

有人说既然做生意实名这么重要，那为什么比特币能够成功呢？既然比特币能够成功，那么为什么其它的商业不能够成功呢？

这个问题问的很好，我的答案还是上面的回答：比特币只是一种特例。

资产的功能不像货币这么单纯，资产的功能要复杂很多。除了比特币，在其它绝大部分的商业行为中，比如说你发行股票、信托产品、积分，这些商业行为都涉及到很多链下行为，都涉及到所有权转让，都涉及到资产背后的权利、义务转让，比如我收到股票之后还涉及到后续的分红、投票，有时甚至还可能涉及到去线下开董事会，它不可能像收现金钞票一样，收就完事了。

其实你只要问自己这么一个问题，如果这笔交易出现纠纷怎么办？如果这所交易双方都是匿名的，出现纠纷根本没法儿解决。

有人说通过链上资产抵押是一个靠谱的办法，但是，一方面链上抵押占用了大量的资产，降低了资产运转的效率，最根本的问题是通过资产抵押无法解决所有的事情。

在通过资产抵押和划转解决问题之前，你至少先有一个明确的责任认定，而大多数时候产生纠纷的双方都有一个扯皮的过程，单靠扯皮双方难以做到明确的划分责任，这个扯皮的过程最终需要第三方的介入来认定责任，而第三方要搞清楚这些事情，就必须掌握双方的信息，这是一个匿名系统所做不到的。

我们日常生活中绝大部分的业务都是比较复杂的，都是需要人跟人之间的深度协作，都是需要背后深度的信息共享，都是涉及到链下的部分，都涉及到后续权利、义务的分配问题，也都是一定需要实名制的。

五、无匿名，但是有隐私

有很多人，可能会把匿名与隐私混为一谈，但其实这是两个完全不同的概念。

就好像你使用支付宝，对外转帐一般都是实名转帐，如果转帐金额大，你还需要知道对方的姓名，很明显这里的转帐交易并不是匿名的，但是你的资产余额、贷款余额、家庭住址这些个人隐私信息却并没有泄露，这是有隐私，无匿名。

同时，市面上有大量的网站、APP，虽然它并不需要你实名认证就可以提供一些功能，但是在使用这个APP的时候，需要你的各种授权，又是需要你的电话号码，又是需要读取你的短信、照片，又是需要你的储存权限。可以这么说，虽然它不一定知道你的名字，但是你的操作习惯、个人隐私信息泄露的很严重，这是有匿名、无隐私。

当然，也有一些情况下，你既有隐私，也可以匿名；也一些情况下，你既没隐私，也不匿名，我就不一一举例了。

总结起来，也就是说匿名和隐私这两者是不冲突的，身份公开，有利于商业活动的开展；自己掌握隐私，是每个人的基本权利。你完全可以对外公开身份，来从事某些重要的活动，但是却不泄露自己的隐私，隐私仍然完全由自己掌握。我认为这是未来商业世界的主流，也是区块链落地时的主流方向。

六、凯文凯利谈匿名

凯文凯利曾经在《必然》一书中专门提到匿名性这个特点：

网络让如今比过去任何时候都更有可能真正实现匿名，但它同时使得在现实生活中真正实现匿名难上加难。

我们在掩盖身份的道路上每前进一步，就会在揭开身份使自己完全透明的道路上更进一步。

在一个文明社会中，匿名好比稀土金属。大剂量的此类重金属是已知的对生物体最致命的毒素。但难以察觉的少量匿名情况对系统来说是好的，甚至是必要的。

我见过的任何系统中，当匿名成为常态时，系统必然失败。

导读：匿名和隐私这两者并不冲突，身份公开，有利于商业活动的开展；自己掌握隐私，则是每个人的基本权利。

隐私币回溯与投资——寡头局面显著，未来价值可期
 

图 主流匿名币的五项维度对比

 

导读

 

1 隐私保护代表了在分布式网络中保护交易和参与者的能力。但目前各类数字通证交易仅仅只是具备了化名性，而不具备匿名性。因而需要采取一定的措施来实现匿名性，保障用户的隐私。隐私保护不仅可以减少现实世界的隐私威胁，还能确保货币的可替换性，目前主要包括隐私币、智能合约隐私、隐私基础设施和隐私研究这四类。

 

2 基于线上交易和数字通证信息的泄露问题，隐私币孕育而生。目前已有大约42种隐私币上线。然而，在众多隐私币中，仅有12种隐私币的市值超过1亿，且只有前4市值超过20亿，与其他市值相差较大，5-10名隐私币的市值总和都比不上第4名的市值，寡头局势明显。

 

3 其中，三种主流隐私币XMR、DASH和Zcash的主要功能都集中在货币支付功能上，我们可以根据其部分交易指标，如市值、活跃地址数、交易笔数和交易额等来观察三者的表现.

 

4 隐私币的投资价值主要集中在三点：商业交易的迫切需求、最初推崇比特币是因为其匿名性以及人们对自身权益的关注。若要选择适宜的投资对象，需要从市值、代码更新速度、团队实力、技术以及用户规模等角度来综合考量。

 

 

目录

第一章 区块链隐私保护的概念与作用

1.1 概念：隐私保护代表了在分布式网络中保护交易和参与者的能力

1.2 意义：一方面减少现实世界的隐私威胁，另一方面确保货币的可替换性

1.3 分类：隐私币、智能合约、隐私基础设施、隐私研究

第二章 隐私币及协议的历史发展

第三章 主流隐私币介绍

3.1 隐私币市场现状：前4市值超过20亿，寡头局面显著

3.2 三种主流隐私币：XMR、DASH和Zcash关注度较为集中

第四章 隐私币的投资价值

4.1 隐私币的投资价值：商业交易的必要性以及对自身权益的关注

4.2 如何投资隐私币：不仅要考虑投资目的，且需要从多个投资维度来考量

第一章、区块链隐私保护的概念与意义

 

1.1 概念：隐私保护代表了在分布式网络中保护交易和参与者的能力

隐私保护是区块链中一个极为重要的概念，代表了在分布式网络中保护交易和参与者的能力。虽然区块链一直推崇其匿名性，但从目前来看，在各类数字通证的交易中，使用者无需使用真名，而是利用公钥哈希值作为交易标识，无法识别交易者，仅仅只是具备了化名性，而匿名是指具备无关联性的化名，但重复使用公钥哈希值作为交易标识的数字通证交易显然能建立关联，因此目前匿名性并不具备，因而需要采取一定的措施来实现匿名性，保障用户的隐私。

隐私保护技术并非突然产生的。自古以来，人类就利用加密技术来确保一些重要信息的安全。原始的加密技术最早可以追溯到古代。大多数早期文明使用的符形替换在某种程度上算是原始加密技术的一种，最早记录在案使用这种符形替换的是埃及贵族的坟墓，不过目的是为了增强信息的吸引力。而最早用于保护重要信息的加密技术发生在大约3500年前，用于保护美索不达米亚粘土片的陶器釉的配方。

之后很长一段时期，加密技术主要广泛用于保护重要的政治军事信息。古希腊将加密信息写在羊皮纸上，只有将羊皮纸包裹在特定大小的圆柱体上才能解读信息；古罗马将涉及重要信息的字母移动到拉丁字母表的一定位置，只有知道这个系统和移动字母到一定位置的人才可以成功解读，这也是后来我们熟知的凯撒密码。

中世纪时期，凯撒密码仍然是加密学标准的代表。公元800年，著名的阿拉伯数学家Al-Kindi研发了一种频率分析的技术，使其更容易解密，这也是人类历史上第一次拥有相对系统的解码尝试办法。而在1465年，Leone Alberti开发了多字母解码，被认为是跟Al-Kindi频率分析技术的解决方案对立抗衡的，多字母解码需要使用两个不同的字母表对信息进行编码。一个是写入原始信息的字母表，而第二个是完全不同的字母表，其中的信息会在编码后出现。要想解读信息，必须知道最初写入信息的字母表。除此之外，还有著名的博学家弗朗西斯·培根于1623年发明的一种流行的早期二进制编码方法。

经过几个世纪的发展，在17世纪末，托马斯杰斐逊描述发表了一个在加密学中一个重大突破，即后面我们所知的加密轮，这是由移动轮上的36个字母环组成用于实现复杂的编码，也算是后来Enigma机器的早期雏形。Enigma由Axis电源使用的设备使用旋转式加密轮来编写信息，被广泛用于第二次世界大战。

随着电脑技术的兴起，128数位的加密编码已经成为许多敏感设备和电脑系统的标准设定。在1990年初，计算机科学家们全面发开的量子加密学也提升着现代加密学技术的水平。而被用于区块链的加密技术也采用了多种方式，包括散列函数，公钥加密和数字签名等，这些技术主要用于确保存储在区块链上的数据的安全性以及其验证交易事务。未来，只要还有需要保护的敏感信息和数据，加密技术就仍有很大的发展空间。

1.2 意义

l  减少现实世界的隐私威胁

像谷歌等大公司一直在从Visa和万事达那里收集离线支付数据，阿里一直从淘宝商城收集国内用户的线上支付数据，并利用这些数据建立用户画像，声称用于定向定制化广告投放。我们可以合理猜测很多其他的公司或者个人也在收集这些信息，但这些公司和个人将如何使用用户的交易数据不得而知。因此，区块链隐私保护的一项重要意义就是减少现实世界的隐私威胁。我们没办法完全保障自己的隐私安全，但是可以利用区块链技术将自己的数据掌握在自己手里，减少泄露渠道。

l  确保货币的可替换性

理论上来说，同货币的每个单元都应该是等价的，透明的交易和可追溯性是目前市场上数字通证的主要优势之一，但这种特性会相对损害数字通证的可替换性，比如某些数字通证地址被交易所列为不接受的黑名单，那么用户都会避免与黑名单上的地址产生任何联系，不仅会增加交易成本，最终降低数字通证的流通价值。

1.3 分类

q  隐私币

隐私币可以实现全部或部分隐藏交易金额、发送方和接收方信息，还原数字货币的可替换性，同时保护持币者的隐私，旨在提供完全的隐私性和交易时的不可追溯性。目前的隐私币可以分为两类：以假名为实现条件；以实现无关联性作为条件。

q  智能合约隐私

智能合约中的隐私与支付中的隐私不同，因为智能合约公开包含程序代码。遗憾的是，事实证明程序混淆不可能实现，因此智能合约目前既缺乏保密性隐藏付款金额，也缺乏匿名性隐藏发送方和接收方的身份。

q  隐私基础设施

Web 3堆栈还有关注隐私性的基础设施项目。如尝试构建更好的Tor版本的Orchid、建立私人支付渠道的BOLT、构建一个使用代理再加密的去中心化密钥管理系统的NuCypher以及在包括以太坊的各种区块链中实施zk-STARKs的Starkware等。

q  隐私研究

密码学的学术研究推动了隐私领域的创新。隐私研究主要涉及零知识、多方计算、全同态加密等领域。

第二章、隐私币及协议的历史发展：由隐私泄露和数字通证隐患问题产生

随着互联网的不断发展和对技术的要求提高，许多知名企业先后被爆出存在泄漏大量用户隐私的问题，如Facebook在2018年初发生的一起大规模数据泄露事件，导致其市值在短短两天内蒸发上百亿美元。于是，人们将视线转向天然具备隐私属性的数字通证。但当时的数字通证虽然利用数字和字母的组合作为地址在一定程度上隐藏了用户的部分信息，但重复使用地址交易很容易将用户信息和交易数据对应起来，在隐私方面存在很大的隐患。如2018年8月，在巴西享有极高人气的加密货币投资平台Atlas遭黑客攻击，致使该交易所泄露了26.4万名用户个人信息。因此，基于线上交易和数字通证信息的泄露问题，隐私币孕育而生。目前，据不完全统计，已有大约42种隐私币上线。

图1 隐私币发行时间概览

来源：非小号

 

而在区块链中实现匿名是个极其困难的事，因为所有交易都是透明的，数字通证的供应量需要得到公开验证，匿名机制在保护隐私的同时也必须注意维护公共可验证性。

最早，人们尝试实现匿名的第一种方式是资金池混币，即在资金池中混合自己和他人的币以在表面上混淆通证的归属权来达到目的，但这种方式只能提供较为基础的匿名，而且还需要对资金池发起者有绝对的信任，因此存在一定的缺陷。

为了改善资金池混币的弊端，混币器的理念油然而生。混币器能够消除匿名发起者窃取通证的可能性，但由于后台可以记录相关交易信息，因此强烈依赖于匿名数字签名和以匿名方式登录，且会限制每次参与混币的人数，要求参与混币的人员对混币数额达成一致。此外，研究显示，即使经过多轮混币器混合，如果用户的钱包在进行支付时不清除浏览器cookie的话，可以通过技术手段识别用户的钱包，因为混币只会掩盖地址之间的交易链接，但不会完全破坏它们。即使后来混币器针对可信的第三方有所改进，例如CoinShuffle++，但仍避免不了其他的缺陷。

   

图2 混币器技术机制

另一个匿名方案是环签，即某人签署了交易，只能追踪到一个组而不能具体追踪到组中的这个人。环签方案可以自动实现匿名，无需其他用户指定想要和谁混合，也无需等待其他人提供资金，只是扫描区块链以便使用输出，因此大大提高了混币器方案的匿名性。但目前实现的环签实际大小有限制，因为随着环的尺寸的增加，交易数据的大小线性增长，这意味着，在每笔交易的基础上，匿名性受到环参与者数量的限制，可能存在去匿名化的隐患，而且一旦存在bug，那么整个区块链的记录就会被去匿名化和可追溯，并且无法事后修正。此外，环签还牺牲了供应可审核性，并且轻钱包付款验证也存在问题。尽管有这些缺点，但环签目前是一种较好的匿名技术。

 

图3 Cryptonote和环签技术机制

紧接着出现了零知识证明用于匿名方案的案例。零知识证明，即你做某件事或知道某件事的证明，而不泄露任何其他信息。最著名但就是zk-SNARKS协议，支撑着ZCash。zk-SNARKs是较为新颖的零知识加密算法。基于Zcash，也分叉出了许多其他匿名币，包括Komodo、Zcoin、Horizon、Zclassic、Zencash等，可以说zk-SNARKs协议造就了匿名币的半壁江山。但zk-SNARKs对大规模应用有很大的限制，因此以色列的Eli-Ben Sasson教授提出了一种比 zk-SNARKs 更快的的替代性方案——zk-STARKs，用更简单的对称加密消除了zk-SNARKs 需要消耗大量算力的数论假设，但目前尚未有基于zk-STARKs的隐私币。

图4 零知识证明技术机制

除此之外还诞生了五种隐私协议，如：TEE（可信执行环境），TEE 技术隔离了代码执行、远程证明、安全配置、数据安全存储以及代码执行的可信路径。在 TEE 中运行的 APP 受到安全保护，几乎不可能被第三方访问，是近来流行的将可信计算引入区块链中的方法；Enigma协议，允许节点使用智能合约的加密片段进行计算，而不需要解密；MimbleWimble协议，旨在提高数字货币的可扩展性、隐私和可替代性，融合了保密交易、交易混合和蒲公英协议等多重隐私保护技术，隐去了交易金额，消除了交易地址，而且中间状态可以合并，使其在保护交易隐私的同时简化了交易大小；Zether（Quorum），在保护交易和节点级别的隐私基础上，还能够保护参与者的身份，与Quorum机制中已经存在的访问控制特性相结合，提供了强大的端到端的安全体验；SMPC（安全多方计算），允许对一组输入执行计算，同时保持输入数据的私密性，可用于安全代币交换中的各方，以交换有关信息的同时保持实际信息的私密性等等。这些都是针对之前的弊端进行不断改善而诞生的新型隐私协议。

第三章、主流隐私币

3.1 隐私币市场现状：前4市值超过20亿，寡头局面显著

目前，市面上较为流通的隐私币多达42种，其中还不包括暂未公开发行和没有统计在内的隐私币。在这40多种隐私币中，仅有12种隐私币的市值超过1亿，而且只有前4种隐私币市值超过20亿，与其他市值相差较大，5-10名隐私币的市值总和都比不上第4名的市值，寡头局势明显。

表1 十大主流隐私币

来源：非小号

 

图5 前10隐私币市值占比

 

3.2 三种主流隐私币

在此，我们只介绍前三种XMR、DASH和Zcash，这三类的市值在所有数字通证中排名在前30，具有比较高的关注度，且主要应用都集中在货币功能。

l  XMR

门罗币，简称XMR，诞生于2014年4月18日，其区块大小没有限制，所以不存在扩容风险。门罗币通过环形签名的方式提供匿名性，在门罗币的区块链网络里面，网络首先将签名者的公钥和另外一个公钥进行一起混合，然后对消息进行签名，使得外界无法区分集合中哪个公钥对应真正的签名者。

l  DASH

达世币（DASH）是一款支持即时交易、以保护用户隐私为目的数字通证，在比特币的基础上做了技术上的改良，包括秒级确认、引用当时全新的X11算法、引用次级网络以及实现DarkSend，具有良好的匿名性和去中心化特性，是第一个以保护隐私为要旨的数字通证。

l  Zcash

是首个使用零知识证明机制的区块链系统，它可提供完全的支付保密性，同时仍能够使用公有区块链来维护一个去中心化网络。ZCash 是 bitcoin 的分支，保留了 bitcoin 原有的模式，基于比特币 0.11.2 版代码修改的。不同之处在于，Zcash交易自动隐藏区块链上所有交易的发送者、接受者及数额。只用那些拥有查看秘钥的人才能看到交易的内容。用户拥有完全的控制权，他们可自行选择向其他人提供查看秘钥。

基于这三种数字通证的立足点都在货币功能上，因此主要根据其部分交易指标来观察三者的表现。（图中蓝色：DASH；深红：ZEC；橘色：XMR）

（1）市值

从市值变化来看，2018年1月以前，DASH自 2014年发行以来一直保持着波动上升的趋势，XMR的趋势在时间上大致与DASH类似，而ZEC在刚发行时市值遭遇了一波大贬值后目前趋势也逐渐与DASH和XMR吻合。总的来看，三者在2017年后市值轨迹逐渐开始吻合，在2017年保持增长势头，在年底达到最高峰，也是呼应了17年的牛市，而在18年一整年基本上都保持着波动下降的趋势，直到19年才开始稍微回暖。

图6 XMR、DASH和Zcash市值对比

来源：coinmetrics

（2）活跃地址数

根据 coinmetrics 的定义，活跃地址是指特定时间内发起交易的地址。可以看到，DASH的活跃地址数虽然在过程中伴随着小幅度下降，但基本趋势都偏向于稳定上升，且在2019年1月显著上升，与其市场策略密不可分。而Zcash活跃地址数自2018年6月起有明显的下降趋势。

图7 DASH和Zcash活跃地址数对比

来源：coinmetrics

（3）交易笔数

从交易笔数来看，整体上，DASH的交易笔数几乎持续高于其他两种通证，特别是2018年9月之后，DASH的交易笔数明显上升，且有3次非常明显的大起伏；而XMR和Zcash的趋势自2018年起整体上来看都相对较稳定，只是XMR是稳中有升，而Zcash是稳中略降。

图8 XMR、DASH和Zcash交易笔数对比

来源：coinmetrics

 

（4）交易额

从交易额来看，DASH和Zcash的交易额整体上都保持着震荡上升的趋势，特别是在17年牛市的环境下上升趋势明显。而Zcash虽然在18年伴随着大的上下起伏，依旧无法避免大的熊市环境趋于下降。19年由于大环境开始回暖，且监管开始放松，两种通证都开始转为震荡上升的趋势。

图9 DASH和Zcash交易额对比

来源：coinmetrics

第四章、隐私币的投资价值

4.1 隐私币的投资价值

l  现代社会特别是商业交易需要

现代社会，特别是很多商业活动和交易有时候包含了非常机密的信息，包括了用户的交易及其他个人私密信息，比如2018年亚马逊出现的客户数据泄露事件。今年3月，携程也出现信用卡信息泄露事件，被爆由于携程开启了用户支付服务借口的调试功能，导致其安全支付日志可被任意读取，内容包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等私人信息。因此，商业交易对隐私的需求非常迫切。

l  推崇比特币最初是因为看重其匿名特性

最初，极客们推崇比特币是因为早期缺乏监管的情况下，比特币的匿名性足够保障用户的隐私，而当比特币越来越被大众市场接受，其匿名性无法得到保障，由于目前的大多货币无法很好的支持地下交易，特别是暗网交易，因此匿名货币存在其发展的必要性和特殊的投资价值。

l  追求隐私成为人们更关注自身权益的一部分

大数据时代是个数据即资产、信息即商品的时代，许多公司和机构为了能够更精准的触及受众，都热衷于通过电子终端、网络浏览记录等渠道搜集数据，这种方式对数据展开了更加深度的挖掘和更加全面的监控，方便公司和机构进行数据预测，对受众未来的情况进行分析。

但个人数据并非仅包含公司和机构最初想掌握的部分数据，大部分数据超过了控制范围，也可能成为组织间交易的商品，这些商品包含了机密信息，可能包括个人身份信息，以及其他个人不愿意公开的信息如身体健康状况等，这就会对个人隐私造成非常大的侵害，也是人们越来越追求隐私的重要原因。

4.2 如何投资隐私币

目前的隐私币虽然不如其他种类的数字通证多，但也高达40多种，包括老牌知名隐私币XMR、Zcash和Dash，以及新兴隐私币XVG、PIVX、Grin和Beam等，众多隐私币眼花缭乱，那么我们应该如何选择适宜的投资对象呢？

从投资而非投机的角度看，我们主要从市值、代码更新速度、团队实力、技术以及用户规模五个维度来考虑投资对象。其中：

l  市值排名

市值主要反映了目前在市场上此类隐私币的地位以及市场接受程度，根据市值的短期和长期内变化来确定大众是否对此类隐私币看好，毕竟市场是检验品种好坏的重要标准。虽然有时候项目好坏不一定和市值好坏成正比，但在如今还不太成熟的区块链市场来说，市值可以作为一个相对客观的评价标准。

l  代码更新

区块链是一个具有透明性质的技术，特别是针对代码是完全开放和透明的，因此，通过代码的更新速度和代码的完善质量，可以看出一个团队的综合实力，以及项目的可靠程度和项目是否有长远发展的打算。

l  团队实力

虽然代码更新也能体现一部分团队实力，但很多人毕竟并非技术出身，可能并不能直观的从代码上看出团队的技术实力，这时候只能从白皮书或者项目公开的核心团队背景来看整个团队是否具备足够的实力。

l  技术先进

由于隐私币需要具备足够强大的隐私保护机制，因此对技术的要求较高，所以先进的技术才能够支撑一个隐私币长远的发展。这项条件反映了该隐私币是否具备潜力，或者说能否建立自己的技术护城河，这个护城河越宽，意味着后来者挑战的难度越大，越能够保持自己的地位，是较为核心的竞争力。

l  用户规模

用户规模在这里不是指有多少地址参与了该隐私币的交易，因为无法轻易判断交易背后是否有用户拥有几个地址来提升该隐私币的交易活跃度，当然地址数量的多寡也可以作为一个参考指标。这里的用户规模主要是指用户的信仰程度，着重指那一部分受众，虽然我们之前指出几个指标供大家参考，但用户的信仰才决定了该隐私币的活跃度和市值等，所以这也是个非常重要的指标。

以老牌知名隐私币XMR、Zcash和Dash，以及新兴隐私币XVG、PIVX、Grin和Beam为例：

表2 隐私币投资维度对比

数据来源：非小号，2019.10.10

图10 主流匿名币的五项维度对比

通过以上数据，我们不难发现，老牌隐私币依旧占据着头部不可动摇的位置，市值基本上保持在所有加密通证排名前30之内，且代码提交都保持在比较高的频率，而新兴隐私币的市值排名相对靠后，且整体市值较老牌隐私币差距大，除了PIVX外，其余新兴隐私币代码更新频率不高，当然也可能包括出现时间较晚的原因，如Grin和Beam。

就技术难度来说，比如XMR使用了包括Ring Signatures、Stealth Addresses和Ring CT在内的核心技术，主要是通过多方共同签名、发送者使用一次性随机钱包地址和加密交易金额三个方面来进行隐私保护，而Zcash则是利用Zk-SNARKS和Shielded Transactions在内的关键技术，无需透露任何信息就可以证明给定论述的正确性，且包含了公开的交易形式和匿名的交易形式两种。两者的目的都是通过创造同质化的数字通证从而达到匿名的目的，不同的是XMR的隐私属性是固有的，而Zcash的隐私属性是可以选择的。而新兴隐私币Grin和Beam背后都是利用MimbleWimble协议，通过钱包直接交流决定交易，从而规避了交易地址。同时 MW 的保密交易 (Confidential Transaction) 能够隐藏交易的金额，保护隐私。单从技术上来说，Zcash和XMR的隐私性较强与MW类项目，如MW类协议在交易确认前还有隐私性亟待解决，而Zcash从交易开始就进行了加密措施。此外，XMR和Zcash已经经历过几年的实际验证，而Grin和Beam还需要提升。

从用户规模来看，这几类隐私币的差距较大。首先老牌的隐私币XMR和DASH的用户规模超过30W，而新兴的隐私币只有XVG的用户规模可以抗衡，但实际上XVG也是在2014年发行，中间经历了区块链的大牛市才积累了这么多的用户量。其余的几种隐私币用户规模较小，大多是新兴隐私币，这也与市场的整体行情有关。

综上所述，如果要投资隐私币的用户需要考虑自己的投资目的，如果是需要确保基本的安全收益，建议投资相对老牌和稳定的隐私币种，这部分风险相对较低；如果是需要考虑成长性投资，则可以考虑老牌隐私币和后起之秀，或者是与老牌隐私币技术类似的币种的组合，在争取收益的同时，降低了部分风险；如果是为了争取高额的收益，则建议投资新兴隐私币，虽然风险极高，但有高收益的潜力。

导读：隐私保护代表了在分布式网络中保护交易和参与者的能力，但目前各类数字通证交易仅仅只是具备了化名性，而不具备匿名性，因而需要采取一定的措施来实现匿名性，保障用户的隐私。