加拿大央行：CBDC如何保护使用者的隐私？

编者按

加拿大央行最近连续发表了多篇有关CBDC的论文，这是第一篇。数字货币与电子支付中的隐私模式和技术，究竟指的是什么？加拿大央行的这篇论文，给出了一个俯瞰的全景视角。

加拿大银行的研究已经确定，支付中的隐私技术为公共利益提供了好处(Garratt和Van Oordt,2019)。本文概述了什么是在中央银行数字货币(CBDC)系统中技术上可行的隐私保护。CBDC中的隐私不仅仅是匿名或完全公开的二元选择。系统设计人员可以选择哪些类型的信息需要保密，对哪些人保密。由于隐私并不是银行唯一的职权范围，因此界定隐私需要与外部各方协商。我们在本说明中的做法是:

开发一个评估不同的隐私模式的框架

了解制定各种隐私模式的技术工具

提出CBDC隐私设计方法的建议

列出主要的风险和权衡

关键信息

有许多加密技术和操作设计可以做到细粒度的隐私设计，这需要了解关于隐私和披露的详细要求。

银行可以设计一个CBDC系统，比商业产品提供的隐私级别更高——但要有权衡。一些需求的组合是不可行的，或许可能导致较高的操作成本和过度的复杂性以及风险。此外，用户的整体隐私将取决于用户行为和CBDC生态系统中其他实体的隐私策略等因素。

实现现金类隐私的技术还不成熟。它们的部署有限，都不符合“了解你的客户”(KYC)和反洗钱(AML)规定。它们的风险包括隐藏的漏洞、缺乏可伸缩性和复杂的操作。

维护隐私和遵守法规(后者需要披露信息)对于CBDC来说是一分为二的。为了防止欺诈，主动披露信息的必要性使得情况更加复杂。

通过第三方对CBDC架构和操作的审查，可以增强公众对银行制定的隐私设计的信任。

系统隐私分析

提供一系列的隐私服务的多样化支付系统

目前存在或可能用于支付系统的隐私技术种类繁多，从现金、借记卡和信用卡到公共和私有分布式账本技术(DLTs)、集中系统和离线设备。不同的系统对用户可用的隐私有显著的不同。例如，大多数用户都意识到，广义上说，使用现金是高度隐私的，而信用卡提供的隐私较少。我们的目标是更精确地分类系统之间的隐私差异性。

分析、比较和定义CBDC系统需求的框架

我们认为一个CBDC系统由持有额度和交易组成，其中‘持有额度’有所有者(O)和余额(B)，‘交易’有付款人(Pr)、收款人(Pe)和金额(A)。隐私是指持有额度和交易数据对参与实体隐藏的程度。这些实体有很多——付款人的银行或货币服务公司(MSB)、收款人的现金服务公司、政府机构、支付提供商和公众——每个实体对持有和交易的可见度都不同。我们提出了一个框架，其中系统的隐私配置文件是对每个实体保密的详细信息的程度的组合。这个公式允许我们比较不同技术的隐私配置文件。

我们在表1中总结了以下代表性技术的隐私级别：

磁条信用卡

EMV【1】芯片信用卡

电子转账

借记卡

许可DLT

公共DLT(如比特币)的托管和高级使用

由多个不同分类账组成的分级分类账系统

基于设备的系统，根据KYC规则使用设备分配给可识别客户或分配给匿名客户

现金

基于脱机设备的系统(如PUF Cash，一种基于物理上不可克隆功能的系统(见Calhoun等人,2019)最接近于实现类似现金的隐私。

表1：支付技术的隐私配置文件

注: 分数越高/颜色越黑代表更多隐私性

多个实体和行为的依赖

对于某一实体(如商户)，一个系统可能更为私人化，而对于另一实体(如政府)则不那么私人化。隐私也可能因用户的行为而有所不同:例如，通过在线账户支付可能会泄露个人信息。在设计CBDC系统的隐私，我们必须考虑许多微妙的问题:

应该将所有交易例行地披露给政府，还是只披露部分交易(如设置美元限额)?

执法部门是否应该能够明确知道个人的财产，即使只是大概知道？

应该对商户隐藏支付人的身份吗?

应该向付款人的MSB显示哪些交易细节?

用户是否可以在某种程度上在KYC规则之外进行交易?

通过使用一个框架来记录CBDC隐私需求，系统设计者可以确保它们覆盖所有实体，并使用具有类似隐私配置文件的系统的设计思想。

隐私技术和设计

采用隐私设计

根据Cavoukian(2011)的观点，从一开始就在系统中设计符合法规的隐私是很重要的。隐私保护设计是一个众所周知的方法，它要求在整个设计过程中主动地保护隐私。另一种选择，即先进行功能设计，然后再添加隐私和合规性，会带来不必要的权衡风险。

组合制定隐私架构以实现理想的设计

隐私设计可以运用构建不同完备度的区块和权衡：

群签名(Chaum和Van Heyst,1991)允许一组实体在进行交易时隐藏其身份，只显示“群体中有人”进行了交易。

密钥共享(Shamir,1979)或多重签名(Itakura和Nakamura,1983)方案可以保证只有在足够数量的实体(例如五个中的三个)同意时，敏感数据才会被泄露。

零知识证明(Blum, Feldm和Micali,1988)可以在不披露数据的情况下验证有关数据声明 (例如，他们可以在不披露数据的情况下证明一笔交易的账户余额足够)。

同态加密(Rivest, Adleman和Dertouzos,1978)允许对模糊数据进行数学运算(例如，对加密的余额支付利息)。

多方计算(Yao,1982)允许多个实体安全地将他们的数据提供到一个联合数据集中，以进行欺诈检测，同时保持他们的数据相互保密。

差分隐私(Dwork和Roth,2014)和匿名化是确保个人身份信息不能从敏感数据集中提取的技术。对于研究和数据分析等用途，这些数据既安全又私密。

系统设计者可以探索更多未涉及到的潜在应用技术:例如，私有信息检索(Chor等,1998)和可否认加密(Canetti等,1997)。其中大多数都足够灵活，可以跨各种技术平台(例如，集中式、DLT和基于设备)使用，并且可以组合和定制以实现细粒度的CBDC隐私目标。

隐私和监管

商业模式、属性和平台的最优组合

了解CBDC业务模型、属性和技术平台对于选择正确的构造并适当地将它们组合是至关重要的。

例如，考虑一个由MSBs验证私人交易的系统。如果业务模型声明MSBs是高度可信的，那么隐私协议可以通过假设验证者是诚实的来简化。如果没有，所选协议必须防止不诚实的验证者，这将带来更高的复杂性。如果金额是隐藏的，并且政策规定了一个计息CBDC，那么所选方案的加密计算必须支持对利息支付。

此外，隐私技术的选择将取决于所选择的平台。典型的验证系统由生成验证的验证者(如最终用户)和检查验证的验证者(如系统)组成。在DLT系统中，多个节点执行验证，因此系统设计者需要确保验证协议是高效的，集中式系统可以容忍较慢的验证。另一个需要考虑的问题是验证效率和验证大小之间的权衡——实现快速验证生成的算法通常会导致较大的验证。这对于受有限存储限制的基于设备的解决方案来说可能是一个挑战。基于设备的解决方案还必须确保所选方案能够在分散的CBDC网络连接和有限计算能力的限制下运行。

遵守隐私和技术法规的影响

CBDC系统需要遵守法规(例如KYC和AML)，这可以决定隐私的级别和隐私技术的选择。KYC可能要求实体存储对个人数据进行适当分类。一般来说，在遵守法规的同时实现高水平的隐私是复杂的。然而，设计师可以建立一个具有混合隐私级别的系统。在这种情况下，不受监管的持有额度和交易(为用户提供最大的隐私)将被允许在限制范围内进行(例如，设置最大限额)，而受监管的持有和交易则不受限制。

权衡和风险

高水平隐私权衡

一般来说，由于需要保护的信息较少，较低的隐私级别更容易实现。为了获得更高的隐私，系统必须将信息封装在可靠的控件中。这增加了复杂性，也增加了运营成本。它还增加了计算开销，因此无论DLT还是非DLT平台，扩展到种群大小都是具有挑战性的或不切实际的。例如，比特币(Nakamoto,2008)是具有完全可见交易的公开DLT。Zcash (Hopwood et al.,2020)也是一个公共DLT，但具有基于零知识证明的完全私有交易。这些隐私结构非常复杂，不能伸缩，并且需要用户的计算开销，比常规交易要慢得多。

新兴密码技术的风险

诸如零知识证明之类的密码技术还处于起步阶段，目前仍处于活跃的研究领域。在更成熟的技术领域中，使用它们所需的技能并不广泛可用。即使是在私营企业，也很少有系统将这些技术应用于生产。这里的风险是，它们的技术复杂性和不成熟可能掩盖漏洞。此外，目前所知的部署还没有扩大到全国范围。在这种情况下的风险是存在将这些技术应用于加拿大地区和未来使用的未知技术障碍，如在物联网端点的微支付。.

脚注

【1】 EMV最初是欧洲支付(Europay)、万事达(Mastercard)和维萨(Visa)的缩写，这三家公司创立了该标准。该标准现在由EMVCo管理，这是一个由Visa、万事达卡(Mastercard)、JCB、美国运通(American Express)、银联(UnionPay)和Discover平分控制权的财团。

参考文献

Blum, M., P. Feldman and S. Micali. 1988. "Non-Interactive Zero-Knowledge and Its Applications." In?STOC ’88: Proceedings of the Twentieth Annual ACM Symposium on Theory of Computing, 103–112. Chicago, IL. January.

Calhoun, J., C. Minwalla, C. Helmich, F. Saqib, W. Che and J. Plusquellic. 2019. "Physical Unclonable Function (PUF)-Based e-Cash Transaction Protocol (PUF-Cash)."?Cryptography?3 (3): 18.

Canetti, R., C. Dwork, M. Naor and R. Ostrovsky. 1997. "Deniable Encryption." In?Advances in Cryptology — CRYPTO '97, ed. B. S. Kaliski, 90–104. Lecture Notes in Computer Science, vol. 1294. Berlin, Heidelberg: Springer.

Cavoukian, A. 2011. "Privacy by Design." Information and Privacy Commissioner of Canada. January.

Chaum D. and E. van Heyst. 1991. "Group Signatures." In?Advances in Cryptology— EUROCRYPT ’91, ed D. W. Davies, 257–265. Lecture Notes in Computer Science, vol. 547. Berlin, Heidelberg: Springer.

Chor, B., O. Goldreich, E. Kushilevitz and M. Sudan. 1998. "Private Information Retrieval."?Journal of the ACM?45 (6): 965–982.

Dwork C. and A. Roth. 2014. "The Algorithmic Foundations of Differential Privacy."?Foundations and Trends in Theoretical Computer Science?9 (3-4): 211–407.

Garratt R. and M. van Oordt. 2019. "Privacy as a Public Good: A Case for Electronic Cash," Bank of Canada Staff Working Paper No. 2019-24.

Hopwood, D., S. Bowe, T. Hornby and N. Wilcox. 2020. "Zcash Protocol Specification." March 20.

Itakura K. and K. Nakamura. 1983. “A Public-Key Cryptosystem Suitable for Digital Multisignatures.”?NEC Research & Development?71: 1–8.

Nakamoto, S. 2008. "Bitcoin: A Peer-to-Peer Electronic Cash System." November 8.

Rivest, R. L., L. Adleman and M. L. Dertouzos. 1978. “On Data Banks and Privacy Homomorphisms.” In?Foundations of Secure Computation, ed. R. A. Demillo, 169–179. New York: Academia Press.

Shamir, A. 1979. ?"How to Share a Secret."?Proceedings of the ACM?22 (11): 612–613.

Yao, A. 1982. "Protocols for Secure Computation." In?SFCS '82: Proceedings of the 23rd Annual Symposium on Foundations of Computer Science?(SFCS ’82), 160–164. Los Alamitos, CA: IEEE Computer Society.

End

编译?| 叶子逸（中钞区块链技术研究院）

—-

编译者/作者：中钞区块链技术研

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。