Enigma：多方计算是区块链隐私问题的解药？

欢迎大家来到第二期的Phala研究室。上次我们探讨了Oasis Labs的核心协议Ekiden，在主流媒体平台收获了不错的反响。这次，我们的主角是也是一位大前辈，Enigma。

“要解决Facebook问题，区块链还不够”

Enigma一词源于希腊文，意为“谜，不可思议的东西”。在官网上，Enigma这样强调自己的特质：

Enigma是一个去中心化的开放源代码协议，它使任何人都可以进行加密数据计算，从而让智能合约和公链具备隐私性。 我们希望，由此提高去中心化技术的可用性和采用率，从而造福更多的人。

Enigma不是一个新项目，但在国内没什么水花。如果你在百度上搜Enigma，跳出来的链接以球鞋和音乐为主，区块链新闻则大多关于Enigma与美国证券交易委员会（SEC）的纠纷——根据SEC发布的消息，Enima MPC通过ICO发行的ENG代币被认为是证券，但该公司并未根据联邦证券法将其注册为证券。除了50万美元的罚款外，Enigma 同意将ICO 筹集到的资金返还给投资者，并把ENG代币注册为证券并向SEC提交定期报告。

但如果你查看他们的海外社交平台主页，会发现几个平台都已有数千粉丝，推特粉丝更高达6万，注册时间为2015年。其他各类社交平台帐号的平均创建时间约在2018年。

据Crunchbase资料显示，2016年9月团队完成了一轮80万美金的Convertible Note融资；2017年9月通过ICO获得了4500万美金的资金。此后，再无融资动态。不难猜测，Enigma团队是借着2017年的ICO热，一战成名。

当然，Enigma有一战成名的资本。核心团队均来自麻省理工，官网13人的团队中只有3人是非技术岗。联合创始人Guy Zyskind曾在2016年发表了一篇长达128页的《Efficient secure computation enabled by blockchain technology（基于区块链的高效安全计算）》，在学界小有名气；另一位联合创始人Can Kisagun曾在麦肯锡任职；主工程师Victor Grau Serrat持有电子计算机工程和电子通信工程的两个硕士学位，虽然并非MIT出身，但曾在2016年-2017年间在MIT做了一年多的志愿者，或许正是在那期间加入了Enigma团队。

由此，我们可以大概得知这个项目的时间线：

Enigma的登场时机也颇有些“天时地利人和”的意味。18年，Facebook数据泄露闹得沸沸扬扬，Enigma团队在Medium上撰文抨击Facebook，同时给出了自己的解决方案。此文获得了3千点赞。

文章称，区块链和比特币之所以诞生于2007年后，正是因为人们开始意识到“中心化”的问题。而现在，是时候意识到隐私问题的重要性了。

……“大而不倒”的机构和不透明的金融衍生品几乎摧毁了全球经济。比特币就是一种去中心化的金融系统，是一种对疯狂的银行系统的回应。……现在，我们正面临另一个危机——数据危机。从表面上看，它似乎没有金融危机那么严重，不会带来灾难性的后果；但那些不经意间（甚至是自愿）参与的用户实际上已经造成了可怕的局面，而且这暴露了更深层次的问题——我们的机构太过集权，政策和体系都不够透明。

很明显，中心化的问题，需要去中心化的解决方案。Enigma也指出，虽然区块链思路是“很有诱惑力的”，但它在隐私保护方面却是“失败”的。

“答案不是区块链，而是包含区块链的隐私协议。”

Enigma的答案

Enigma选择的路线是安全多方计算（Secure Multi-Party Computation)。安全多方计算常见于秘密共享体制中，是现代加密技术的重要组成部分之一，旨在解决一组互不信任的参与方之间保护隐私的协同计算问题，为数据需求方提供不泄露原始数据前提下的多方协同计算能力。由图灵奖获得者、中国科学院院士姚期智教授在1982年提出，姚教授以著名的百万富翁问题来说明安全多方计算。百万富翁问题指的是，在没有可信第三方的前提下，两个百万富翁如何不泄露自己的真实财产状况来比较谁更有钱。通过研究此问题，形象地说明了安全多方计算面临的挑战和问题解决思路。

Generic Protocol

在论文的协议框架章节中，Guy Zyskind设计了一个核心通用协议（Generic Protocol）,并通过6个方面（接口、注册、区块链访问控制、仲裁选择、MPC协议、安全分析）介绍了其运行原理：
（添加小助手，回复enigma，可获取论文原文）

接口（Interface）：

注册（Registering）：
只有帐户中有存款的（买了币的节点）才可以成为算力节点。

这部分资金由合约持有，成为合同用来惩罚作弊方的保证金。这是Generic安全性和效率的关键组成部分。

区块链访问控制（Access Control on the Blockchain）：

该协议始于拥有者将其希望批准的服务的公共密钥列表发送到区块链的已签名交易。 当服务向链下存储请求该所有者的数据时，存储服务器（无论是集中式还是分布式的）都可以检查其是否在区块链上具有许可。简而言之，就是使用区块链的完整性来记录访问控制策略。

Quarum选择（Quarum Selection）：

每次共享新机密内容时，都会选择一个存储Quarum来保存它，且每隔一段时间Quarum就会刷新。同样，每次请求计算时，都会选择一个新的计算法定人数来执行它。……在我们的设计中，快速的Quarum选择机制可以更有效地实现并行性和负载平衡技术，使整个网络的性能得以提高(而非降低)。

MPC协议(MPC Protocol)：

……计算将逐步进行。双方在本地执行计算，直到达到乘法（或输出）门限为止……计算结果到达乘法门限时，门限将按照一种方法随机分配其份额，并将其发送到区块链。当足够多的参与方提供了隐藏份额，参与方再次调用sync以继续进行计算。重复此过程，直到达到输出门限为止。在这种情况下，各方使用服务的公共加密密钥对隐藏的随机性份额进行加密，并将其与隐藏份额一起广播。如果由于某种原因计算失败，则当事方将中止。 区块链将根据谁作弊和谁诚实的事实给出解决方法。

安全性分析（Security Analysis）：
Guy Zyskind认为，这个框架的唯一的不安全点就是输出环节，但输出的对象都是有权限的对象，所以，“不排除有人提交恶意代码，但处理恶意代码已经超出了安全计算的主题”。所以总体而言，“我们的系统可以使用其自身的MPC功能来隐藏其中的许多痕迹”，如存储的机密数据总量、哪个所有者（化名）拥有什么数据、所有者设置什么权限、计算方的化名、要评估的功能、每个计算请求、Quarum存储的机密数据（仅限假名）等等。

激励相容多方计算（IC-MPC，Incentive-compatible MPC）

在机制设计理论中，一个程序称为是激励相容的，若所有的参与者若依机制在诚实地揭示任何被要求的私有资讯时，会得到最好的成果。举例来说，策略性投票即缺乏激励相容的特性。在没有假投标或勾结的情况下，维克里拍卖则是个符合激励相容的例子。

维克里拍卖（Vickrey auction），即次价密封投标拍卖(Second-price sealed-bid auction)。投标者在不知道其他人标价的情况下递出标单，标价最高的人得标，但只需付次高的标价。

Guy Zyskind在论文第六章提出了激励相容多方计算模型（IC-MPC），原因在于传统MPC计算和混合了区块链的MPC是不同的。IC-MPC是传统MPC的拓展：

这个模型由中本聪为比特币设计的共识工作启发而来，只通过了有效交易的矿工可以获得某种形式的激励兼容BA（IC-BA）。
如果我们构造一种严格遵循σi：=定义的机制（Γ，?σ），且让之前提到的协议作为主导策略（对于所有i），那么我们就可以开发出一种效果良好的推荐协议（?σ）。
也就是说，这些协议的本质是一种拓展后的博弈。在这场博弈中，每个i方都会在每回合中向观察者发送一些输入，观察则会检查哪些玩家被骗了，除非上一轮没有人作弊，或者每个i方都需要继续进行计算。诚实方将使用此信息来生成下一轮的输入。在最后一轮（t = T）中，观察者进行最终验证，并将所有输出标准化为0（恶意）或1（诚实）。

最终，我们可以得到这样一个结论：

假定基于（n，t）个秘密共享的IC-MPC，总共有n个参与者，其中t个（主动）作恶，r为理性方，h为诚实+理性方。且具有以下特征：
1.效率。假设在观察者验证和激励过程中，MPC协议终止，它将继续（近乎）高效地运行半诚实执行方。
3.正确性和输出保证。 如果r> t，则协议自动终止，不论何种情况。
4.隐私性。 如果h≥nt，则隐私一定会得到保证。

但由于被动腐败是无法被检测到的，理论上可以通过提高阙值在增强隐私性。不过考到意外参与者和随机拜占庭式故障，因在机制中仍使用了略低的阈值

网络设计

网络中的主要角色有以下几个：

计算方：存储秘密数据并在被要求回报时执行计算的各方。我们开发了一个分布式虚拟机（DVM），该虚拟机在运行时将代码解释为安全的MPC协议（请参见第11.3节）。联合节点：持有大多数public status并负责执行合约（把结果打到链上）。 由于它仅用于协助区块链，因此它从不保存任何私人信息。用户/服务：这一端需安装有保护程序的DVM，支持机密数据共享和使用DVM低级语言发送计算。

不过，上述角色并未在Enigma白皮书中提及，或许只是作为毕业论文的理论价值存在。

优势

Enigma作为ICO的热门项目之一，早在2017年就完成了代币销售。在40000名感兴趣的参与者中，Enigma选择了5000名参与者进行众筹，4500万美元的硬顶在几小时内就卖完了，项目吸引力实在是令人羡慕。

只不过项目最初只是想建立Catalyst：一个去中心化交易所上运行的去中心化算法交易平台。其产品逻辑是数据被去中心化存储在分布式数据库中，而Catalyst的代币ECAT是用于支付使用Catalyst的计算和数据存储成本以及支付去中心化交易费用。由于未知的原因，团队改变策略。不搭建去中心化交易所了，把Catalys作为Enigma的去中心化数据市场之上构建的应用程序之一，并更名为Enigma。

但是因为核心团队背景突出，整体成员都具有知名的麻省理工媒体实验室背景，拥有着丰富的软件开发和运营经验，因此获得业界认可也不是难题。Enigma的行业顾问大多来自量化对冲投资领域，背景深厚，不仅包括多名区块链行业的先行者和研究人员，也包含诸多量化交易策略的资深专家。团队成员配置合理，整体实力较强。

Enigma的网络可以执行代码，而不会将原始数据泄漏到任何节点，同时确保正确的执行。这是取代当前集中式解决方案和可信覆盖网络的关键，这些网络处理敏感业务逻辑的方式可以否定区块链的好处。 Enigma不像区块链一样每个节点都存储完整数据，只有一小部分节点计算部分数据。这种存储与计算分离的设计使系统具备天然的伸缩性，使用相同的链外计算网络来运行通过区块链广播的大量可公开验证的计算

Enigma最初的技术实现思路是MPCs思路使用TEE来隔离加密计算与区块链的其余部分，且团队的工程效率不错：2019年12月，Enigma 就宣布正式发布了首个可连接的测试网Discovery testnet，用户可以将运行secret node并连接至该测试网络。另外Enigma 的混币实施 Salad 也已经部署至以太坊测试网和 Enigma 中，已经是可用状态。

问题

技术路线转变

在白皮书中，为了保持链外计算的私密性，Enigma 团队最初计划使用安全多方计算技术（sMPC），即使算法的执行能够与多个不同实体分离的技术。即使他们想要，实体也不会获得算法的全部数据输入; 每个实体都基于混杂的数据子集执行。所有实体的计算输出都被安全地组合成最终结果。

纵观其白皮书，Enigma将MPC与密码学列为其核心技术手段，然而在工程演进中却走向了TEE一端。比如在2019年12月，Enigma 宣布在兼容以太坊的去中心化网络 Enigma Discovery 中实施了可信计算规范（TCS），并对其进行了开源。此次实现由英特尔系统架构师 Eugene Yarmosh、英特尔首席工程师 Sanjay Bakshi 和 Enigma 合作完成。Enigma 此次发布的版本是针对公共有状态网络的企业以太坊联盟 EEA 链下可信计算规范的首个实现。链下可信计算规范（TCS）使许多细节只对特定的实现开放，为了满足特定用例，Enigma Discovery 对其中的一些细节持保留意见，比如以太坊公共网络的私下计算。

包括在测试网节点部署中，Enigma要求秘密节点必须运行支持Intel SGX的设备。当然，Enigma的目标是无需硬件的安全多方计算（白皮书中对共识节点没有提出特殊的硬件设计），但现阶段还是需要硬件支持的，因此是否是“真MPC”值得商榷。

数据存储

Enigma的区块链数据库不是通用数据库，通过一个去中心化的散列分布式散列表（或DHT），可通过区块链访问，区块链存储对数据的引用，而不是数据本身。 在将存储和访问控制协议编程到区块链之前，私有数据应在客户端进行加密。Enigma以脚本语言为这些任务提供了简单的API。

然而我们认为Enigma自己做数据存储协议不一定是个好想法：在区块链万千项目中，解决去中心化链下数据存储可不是件简单的事。为何要自己造轮子，而不是将加密后的数据复用在共识更强大的存储协议（如Filecoin）中呢？

而且数据存储的需求是多样的：高敏感客户只希望本地或私有化部署，对区块链不放心的用户可以接受中心化存储，普通用户和相信区块链的社区会无条件支持去中心化存储。为何要限定存储协议？我们认为Enigma如果可以focus在计算协议，而不是存储协议中，开发进展会更好。

ICO惹来麻烦

因为这家位于美国和以色列的初创公司，在2017 年就通过 ICO 在 筹集了约 4500 万美元，因此被专打ICO头部项目的美国证券交易委员会（SEC）盯上了。SEC 将 ENG 代币归为证券，认为 Enigma 进行了未注册的证券发行。

不过好在近期Enigma 已就首次代币发行与SEC达成和解，Enigma 同意将其代币注册为证券，按照证券法要求定期向 SEC 提供报告，并向 SEC 支付 50 万美元罚款。此外，Enigma 将提出索偿流程，让参与其 ICO 的投资者索偿当初的投资资金。具体索偿流程尚未确定和披露。

结语

总之，抛开上述问题，Enigma团队早在2016年就意识到了区块链隐私问题且利用多方计算提出了技术解决方案，勇气可嘉。Enima声称自己的方案在金融、医疗、制造、电子政务领域大有可为，但达成合作的新闻却寥寥无几，让人不禁思考支撑Enigma网络的核心价值。从360与腾讯的杀毒软件大战，到今天的淘宝拼多多窃听/窃取用户聊天内容，隐私问题一直存在；但如何让隐私技术落地不变成一次又一次的旧瓶装新酒，则需要所有隐私技术项目共同努力。

Reference

—-

编译者/作者：Phala可信网络

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。