比特币的新隐私工具

镇上有一个新的隐私工具：状态链上的货币互换。 最初的状态链设计是由 Ruben Somsen 在东京的 Scaling Bitcoin 2018 上提出的。 我将快速总结，但 Aaron van Wirdum 对原始概念进行了非常透彻的解释。 总体思路是让促进实体（状态链运营商）与用户创建一个 2-of-2 多重签名地址，以促进 UTXO 的链下转移。 然后，用户将其 2-of-2 的私钥传输给新用户。 状态链实体将被告知何时发生这种情况，届时将只允许新所有者将资金转出。 所以整个想法是通过字面上转移私钥本身来进行交易，并让状态链运营商强制执行当前的所有权。

就像闪电网络渠道一样，每个用户都有一个预先签署的交易，允许他们在时间锁定到期后单方面控制 UTXO。 这样，如果状态链运营商消失，资金就不会永远被困在 2-of-2 中。 但是这种备份选项必须与其中一方试图滥用其预先签署的交易来窃取资金的风险进行权衡。 Somsen 的提议取决于 eltoo，以便在前任所有者试图窃取资金的情况下，促进新所有者替换前任所有者的预先签署的关闭交易。 状态链设计的最后一个主要部分是从一个所有者到另一个所有者的签名链，从原始所有者开始一直到当前所有者。 这从一个所有者传递到另一个所有者，并与每笔交易并行附加，因此每个人都可以保留本地副本以证明合法转移，并且在当前所有者的情况下，他们实际上是合法所有者。

由于对 eltoo 的依赖以及软分叉往往不会在一夜之间发生的事实，CommerceBlock 开始致力于在 2020 年实施不依赖于 eltoo 的状态链变体。 代替 eltoo 允许最近的交易取代先前的交易，他们实施了一种称为 Mercury 的递减 nLocktime 方案。 这个想法是将原始所有者的关闭交易时间锁定到未来的 x 个区块； 在区块链达到此阈值之前，他们无法执行交易以收回资金。 然后在下一次所有权转移时，新所有者的交易时间锁定为 x-1。 这允许当前所有者在原始所有者有效提交之前将其关闭交易提交给链。 随着进一步所有权转移的发生，时间锁继续递减（x-2、x-3 等），确保当前所有者始终可以在任何先前所有者的交易解锁之前采取行动。 这消除了对 eltoo 的要求，但在所有者之间转移状态链时引入了限制：您只能多次减少时间锁，然后才能再降低； 在某个时候，未来减去一些时间（块），变得等于现在（nLocktime 是当前的块高度）。 此时，用户必须关闭状态链，否则年长的所有者将能够窃取代币，因为那些较早的 nLocktime 交易达到其锁定时间到期并变得有效。

Somsen 的原始设计与 Mercury 之间的另一个主要区别是密钥生成的处理方式。 Mercury 没有使用明显的 2-of-2 多重签名脚本，而是实施 ECDSA-MPC（椭圆曲线数字签名算法多方计算）。 您可以认为这在功能上类似于使用 Schnorr 的 MuSig 地址，但在 Schnorr 的情况下，用户只需将两个公钥添加在一起即可创建一个地址，这两个公钥都需要签名。 使用 ECDSA-MPC，密钥生成是一个具有多个步骤的更具交互性的过程。 最后，它们在功能上产生了相同的结果：一个显然不是多重签名的公钥，并且参与的双方都拥有签署交易所需的匹配私钥的份额。

使用 ECDSA-MPC 的传输过程是一个交互过程，在这种过程中，状态链运营商和发送者通过 ECDSA-MPC 协作，通过密钥共享生成私钥，而不是像 Somsen 的提案中描述的那样，原始所有者明确传输现有的私钥。 至关重要的是，有不止一组可能的密钥共享可以生成相同的私钥。 因此，状态链运营商然后与接收者重新创建私钥，但通过制作不同的密钥共享。 状态链运营商然后删除他们持有的与前一个所有者相对应的密钥共享。 CommerceBlock 使用 HSM（硬件安全模块）强制执行此操作，尽管这不会消除所有信任。 这样，如果状态链诚实地运行，它实际上无法与过去的所有者签署关闭交易，因为它当前持有的密钥共享不能与过去所有者的密钥共享一起创建有效签名。 同样在这种勾结的情况下，公共证据将是可发布的，表明该州链实体的行为不诚实。 这是声誉上的阻碍。

公开证明如何运作？ CommerceBlock 之前设计了一种称为 Mainstay 的 Opentimestamps 变体。 Opentimestamps 只是一个协议，用于获取任意数据并将其包含在一个非常大的默克尔树中，其根提交给比特币交易。 Opentimestamps 的问题在于树是完全无序的。 事情只是在它们进来时被添加到树的末尾。这意味着它不能保证冲突信息不会被区块链中的同一个锚定事务提交。 Mainstay 所做的是在默克尔树中为特定数据有效分配规范“槽”，例如证明体育比赛结果的预言机。 每个人都可以知道要检查那个特定预言机的哪个“槽”，然后可以忽略不在该槽中的任何冲突时间戳。 这允许人们用时间戳来证明某事，而不会留下时间戳冲突的可能性，以便有选择地显示（如果您可以在默克尔树中的任何地方写入，则可以在一个地方拥有真实的时间戳，同时在其他地方指向虚假的时间戳） . Mercury statechain 的每次转移都在特定的 mainstay slot 中得到证明，以便提供当前所有权的时间戳证明，如果 statechain 实体行为不诚实，则可以发布该证明。

现在状态链实现的细节已经不重要了，进入有趣的部分：coinswap。 coinjoins 和 coinwaps 历史上的一般区别是，coinjoin 是在单个交易中显式和公开可见地使用隐私增强技术，而 coinswap 通常被认为是隐蔽的，在合作成功的情况下，不是在多个单独的交易中公开可见地使用隐私技术。 整个世界都可以看到 UTXO 何时进入 coinjoin，但如果按照前面一般讨论的方式实施，除了参与者之外，没有人会知道 UTXO 何时参与 coinswap。

建立在 Mercury 状态链之上的 coinswap 实现打破了 coinjoins 和 coinswap 在这种公开与隐蔽隐私属性方面的明显区别。 状态链的转移记录在 Mainstay 承诺中，因此对抗性地，每次状态链更改所有者时，您都必须假设它是公共知识。 但是每次转移也可以是与在同一块间隔内转移的任何其他状态链的货币交换。 因此，就匿名工具而言，这成为一种弗兰肯斯坦怪物，结合了coinjoins的匿名特性，同时使用coinswap的机制进行链下UTXO的交换。 它使用状态链顶部的“coinswap”链外来模拟 coinjoin 的类似匿名属性，而不会为每次交换产生链上费用。

Mercury statechains 上的 Coinswap 本质上只是常规的 statechain 转移，带有一些有趣的加密魔法，使它们匿名。 当您为典型的 coinjoin（如 Whirlpool 或 Wasabi）注册一个 UTXO 时，您将一个 UTXO 注册为输入，然后收到一个盲加密凭证，您可以使用它在 coinjoin 中创建一个输出，以便通过新的网络连接取回您的硬币以保护您的隐私免受协调员的侵害。 在 Mercury 的方案中，通过注册状态链、接收盲令牌然后查询协调器以随机分配一个新地址以将其状态链转移到该地址，来近似进行相同的协调。 甚至有机会将自己的状态链还给自己。 这是随机的。 在那之后，基本上只是每个人都签署了他们的状态链转移原子，就像 coinjoin 一样。

最后，我们在这里看到的东西非常违反直觉，并且处于比特币工具的“信任范围”中的一个奇怪点，人们可能不习惯深入考虑。 严格来说，在技术层面上，正在发生的是一种货币互换； 代币被秘密交换，而没有留下直接的链上指纹，表明正在发生 UTXO 交换。 但是由于 Mainstay 对所有转移的承诺以及在不同时间段内哪些状态链转移了所有者的启发式分析潜力，您可以推断发生了coinswap，从而将匿名集收益降低到相当于标准coinjoin。 但是您不必为每个“coinjoin”支付链上费用。

为了真正理解“奇怪点”的意义，可以说是单一实体充当国家链运营商，您可以将其视为近似于托管安排。 但是由于 HSM 强制删除密钥共享、Mainstay 证明和预先签署的关闭交易，只要运营商不与先前的状态链所有者合作欺骗合法所有者，用户总是有一条单方面退出系统的路径.

我认为描述信任模型的最佳方式是转述来自 CommerceBlock 的 Tom Trevethan：“这旨在在隐私工具方面占据完全托管混合器和完全去信任的 coinjoin 之间的中间地带。” 不可否认，国家链运营商（在本例中为 CommerceBlock）对诚实行事具有一定程度的信任。 但也有一些机制可以公开提醒用户注意他们的不诚实行为，并通过与纯链上 coinjoin 相比潜在的费用节省来获得明显的隐私好处。

它并非完全无需信任，但也并非完全基于信任。 在隐私工具方面，这是一个新的领域。 就我个人而言，鉴于集中式混合器仍然被广泛使用这一事实未被充分认识，我很想看看它在何处适合该生态系统。 镇上来了一个新孩子。

这是Shinobi的客座帖子。 表达的观点完全是他们自己的观点，不一定反映 BTC, Inc. 或 Bitcoin Magazine 的观点。

—-

原文链接：https://bitcoinmagazine.com/technical/a-new-privacy-tool-for-bitcoin

原文作者：Shinobi

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。