區塊鏈密碼學隱私保護技術綜述
2022-08-28 07:10:40劉峰楊杰齊佳音
網絡與信息安全學報 2022年4期
劉峰,楊杰,齊佳音
區塊鏈密碼學隱私保護技術綜述
劉峰1,2,楊杰2,齊佳音2
(1. 華東師范大學計算機科學與技術學院,上海 200062;2.上海對外經貿大學人工智能與變革管理研究院,上海 200336)
近年來,數據隱私問題日益明顯,如何在區塊鏈中實現有效的隱私保護是研究熱點。針對區塊鏈在隱私保護上的研究現狀與發展態勢,闡述了區塊鏈在交易地址、預言機以及智能合約上的隱私保護方法,歸納出區塊鏈在基本要素防護上的隱私策略。基于國內外高水平文獻梳理分析了特殊密碼學原語、后量子密碼學兩類區塊鏈密碼學防護方法及使用場景,綜述其研究思路,并給出屬性基加密、特殊數據簽名、同態加密、安全多方計算、零知識證明、格密碼等適用于區塊鏈隱私保護的密碼學技術的優缺點,得出區塊鏈應用的隱私防護離不開密碼學技術支持的結論。針對區塊鏈隱私保護技術,從基本要素防護和密碼學防護兩個方面進行了分析,總結出僅從區塊鏈的應用層、合約層出發難以有效解決隱私問題,還需要利用各類密碼學技術根據需求和應用場景的不同進行優勢互補。根據區塊鏈隱私加密技術發展現狀,從區塊鏈基本要素防護和基于密碼學的防護展開敘述。從內生性基本要素安全和外生性密碼學隱私安全兩個角度出發,先研究基本要素隱私防護,再深入分析區塊鏈隱私密碼學防護技術。在對應防護措施中以技術聯合實際應用發展,考慮技術時效性的同時,衡量其隱私處理方面的優劣勢以及潛在價值。展望了未來區塊鏈隱私保護技術的發展方向,說明了需要重點解決的問題。
區塊鏈;隱私保護;密碼學原語;現代密碼學;后量子密碼學
0 引言
隨著信息化時代分布式網絡架構的快速興起,區塊鏈這一分布式賬本技術憑借著可追溯、公開透明等特性備受矚目。基于區塊鏈技術的點對點可信交易機制受到越來越多用戶的青睞,然而隨著個人隱私數據保護意識的覺醒,大眾及組織機構對現有區塊鏈數據的弱隱私性愈感不安。以比特幣為例,雖憑借交易費用低、易于流通等特點立足于當前的金融社會體系,但隨著用戶數量的持續性增長,其信息隱私問題逐漸凸顯。絕大多數用戶并不希望敏感信息在區塊鏈中被公示,因為不受限制的信息暴露易帶來安全隱患,造成潛在隱私危險。Lischke等[1]嘗試對比特幣進行信息地址的匿名,提出用Tor網絡對比特幣的真實交易地址進行防追蹤處理,但隱私性、安全性能仍不完善。Neudecker等[2]通過對比聚類的區塊鏈信息與泛洪比特幣網絡過程中提取的IP地址,得出了小部分聚類的區塊鏈信息地址與IP地址有明顯的關聯,可以借此IP地址找出用戶敏感信息。Goldfeder等[3]表明,比特幣交易中交易接收方可以輕松將比特幣的支付流通信息與用戶Cookies相關聯,從而去除比特幣交易的匿名性,迫使其暴露出用戶的真實身份。
此外,區塊鏈網絡中一些影響較大的惡意攻擊事件的頻頻爆出,增加了用戶對身份信息與財產信息遭受泄露的擔憂度。2019年1月,Ethereum Classic(ETC)遭受了51%攻擊,使某些交易所損失了大量資金。這種攻擊在完全被執行前無法被檢測,在攻擊發生后造成不少ETC持有者的恐慌[4]。2020年,比特幣硬件錢包制造商Ledger的27萬用戶數據信息被盜,數萬人姓名、地址信息等敏感數據被泄露至互聯網,對個人身份信息造成了極大危害。若無法有效提升區塊鏈的隱私安全保護能力而讓此類安全事件頻發,那么以區塊鏈驅動數字文明的進展將會受到明顯制約。很多原本可以用于科學研究和商業應用的數據將無法上鏈被公開披露或者被迫中斷,進而產生數據孤島效應,導致優良商業模式與科學研究無法持續推進。因此,區塊鏈的隱私數據保護成為分布式網絡生態安全的核心問題之一,隱私加密技術的理論研究與實際應用擴展刻不容緩。
由于針對當前區塊鏈隱私方面存在的匿名性差、安全性能低等問題的研究較為零散,同時用戶對隱私數據防護的迫切需求日益明顯,梳理分析區塊鏈隱私防護方法將有助于區塊鏈隱私研究的進一步發展。本文根據區塊鏈隱私加密技術發展現狀,從區塊鏈基本要素防護和基于密碼學的防護展開敘述。如圖1所示,主要從內生性基本要素安全和外生性密碼學隱私安全兩個角度出發,首先研究基本要素隱私防護,再深入分析區塊鏈隱私的密碼學防護。本文在對應防護措施中以技術聯合實際應用發展,考慮技術時效性的同時,衡量其隱私處理方面的優劣勢以及潛在價值。
圖1 區塊鏈隱私保護技術脈絡示意
Figure 1 The pulse of blockchain privacy encryption technology
1 區塊鏈基本要素防護
區塊鏈基本要素的隱私安全,通常會從交易地址、鏈上與鏈下數據交互的接口以及智能合約3個方面進行考慮。從隱私視角率先切入與區塊鏈應用設計安全密切相關的基本內容,有助于理解區塊鏈隱私加密技術方式。
1.1 地址混淆
地址混淆技術在交易地址隱私保護中應用最為廣泛,它是指將進行交易的地址加密重組,使混淆處理過后的地址無法被判別直接源頭,從而實現交易隱私的目的。地址混淆在區塊鏈中主要分為兩類:一類是一次性交易地址,另一類是混幣技術。
(1)一次性交易地址
在區塊鏈中持續使用同一個交易地址會使交易和用戶身份容易被追蹤,最直接的解決方法是在進行不同交易時使用不同的交易地址,給追蹤和分析增加難度。
一般而言,區塊鏈允許用戶便捷地生成不同的交易地址。單筆交易中,付款方可以生成并公開一個交易地址,利用該地址與收款方發生交易行為,從而降低被追蹤的風險[5]。然而,通過交易圖形分析[6]技術仍可以有效判別交易者身份。另外,一次性交易地址每次都需產生新地址進行交易,在交易場景中不斷切換新地址反而會影響用戶體驗、降低交易效率。為了消除這種弊端,隱身地址應運而生。
隱身地址流程如圖2所示,為了不暴露自己的交易地址,收款方把正常交易中使用的公鑰進行隱藏,然后發送隱身地址公鑰給付款方。付款方則利用該隱身地址和一個隨機數進行非對稱加密,生成一個臨時存放交易資金的一次性收款地址。然后,收款方可借助隱身地址私鑰對該一次性收款地址進行解密,獲取可以轉出該筆資金的付款私鑰。
圖2 隱身地址流程
Figure 2 Flow for stealth address
在進行交易的過程中,雖然一次性收款地址是由付款方生成的,但依據非對稱加密算法,對交易資金擁有使用權的,只有可以解密轉出資金私鑰的收款方。相對于“一次一密”的交易方式,隱身地址并不要求付款方每筆交易都生成新的一次性收款地址,這在一定程度上提高了效率的同時保護了收款方的隱私。一般地,隱身地址與環簽名等密碼學技術相結合,以提供更好的隱私性。
(2)混幣技術
混幣技術是指將多個不相關輸入進行混合后再輸出,使外界無法分辨出數字貨幣的流向[7]。一般地,混幣主要利用混淆器實現地址隱私保護,在混淆服務通證池中將若干用戶的交易通證進行混淆處理后,輸出給匿名交易地址,從而減少敵手竊取資金的可能性。然而,借助混淆器進行地址隱藏來間接保護交易隱私的方式效果甚微,存在不少弊端。早期中心化混幣服務的部署方式,典型如Mixcoin協議[8],雖然具備可審計性,但混淆服務器仍掌握著交易地址的關聯信息,對用戶隱私威脅較大。研究表明即使經過多輪混淆處理,如果交易支付的Cookie不及時清除,仍然可以通過技術手段辨別出用戶的錢包再竊取其敏感信息[3]。TumbleBit是2017年提出的一種能夠兼容比特幣的新型中心化混幣協議,相對于Mixcoin,TumbleBit以簡潔的密碼學原語在保證混幣隱私時減少了與敏感數據進行交互的次數,擴展了交易量[9-10]。該混幣方案主要分為資金托管、鏈下支付、鏈上提現3個階段,交易安全方面的防護主要在鏈下支付階段,使用了RSA- Puzzle-Solver協議進行簽名加密與密鑰隱藏。雖在此過程中增加了資金安全、提速了交易[11],卻依舊無法解決單點攻擊產生的隱私風險。
近些年,為進一步改進中心化混幣協議,BlindCoin[12]利用盲簽名對隱私泄露進行防范,同時降低了交易的時間開銷。此外,為解決中心化混幣技術的信任問題,涌現出CoinParty[13]、Xim[14]等分布式混幣技術。然而,這些技術并不完美,在計算開銷、通信復雜度以及交易隱私性等問題上仍留有缺口,對比如表1所示。此外,一些反匿名攻擊將用戶身份的解密轉變為對其行為的聚類分析[15-16],不僅包括網絡流量的IP地址聚類[1-2],還包括交易數據的地址聚類[17]、交易行為的啟發式模型學習[18],這對混幣技術的隱私安全造成了巨大的威脅。在實際應用的部署方面,混幣技術應經過精細的審查與功能測試,融合密碼學算法增強安全性,盡可能規避此類惡意隱私攻擊。
表1 混幣技術對比
1.2 預言機隱私處理
關于鏈上鏈下數據交互接口的隱私保護,首要考慮區塊鏈預言機的隱私處理。預言機是智能合約連接鏈下數據和系統的數字化代理,能夠將區塊鏈與外部世界進行鏈接。在基礎要素防護方面,隱私預言機的設計是區塊鏈隱私保護的戰略樞紐。
盡管在應用方面,區塊鏈預言機項目的實施已經屢見不鮮,然而像Chainlink、Oraclize等預言機網絡仍然只能基于各自機制為區塊鏈提供一些基本公開信息,如價格、交易量等,在信息隱私脫敏處理上很難滿足真實商業需求。在學術研究方面,康奈爾大學提出了隱私預言機協議DECO[19],該協議擴展了HTTP/TLS 協議的數據安全功能,保障了各類隱私和付費數據源傳輸數據時的隱私性和不易篡改性。DECO協議工作流程如圖3所示。
圖3 DECO協議工作流程
Figure 3 The workflow of DECO protocol
從圖3的工作流程可以看出,DECO在使用HTTP/TLS協議的服務器中實現了傳輸層安全(TLS,transport layer security)的短時間握手和零知識性,使數據在建立握手連接過程中不會被輕易泄露。DECO協議通過提交私密消息承諾給驗證方,使即使是最終使用數據的計算機也無法查看數據內容,借助預言機在無須公示私密信息的情況下可進行脫鏈驗證。除此之外,隨著Polkadot[20]跨鏈技術興起,隱私預言機網絡ZK Oracle結合SERO[21]隱私技術,創建出可擴展的區塊鏈Layer2層進行隱私數據處理,以保障數據在鏈上鏈下的通信隱私安全。
客觀來看,預言機在隱私方面研究正不斷向前推進,并且更多地傾向于去中心化預言機可擴展運算中的隱私。此種態勢下,可信執行環境(TEE,trusted execution environment)可以發揮一定作用,如借助機器學習相關軟件在TEE內進行大量復雜運算保障區塊鏈預言機隱私安全。再者,需要考慮數據交互、通信過程中的安全,如利用DECO協議獲取區塊鏈相關應用的Web數據,在傳輸過程中保障隱私。此外,預言機交互合約上的隱私應進行一些安全治理。
1.3 智能合約安全治理
智能合約是區塊鏈2.0時代基本要素的重要組成部分,是解決區塊鏈信任問題的突破性技術之一。合約具備圖靈完備的編程語言,能夠擴充區塊鏈的使用場景和功能。隨著區塊鏈應用的不斷開發,各式各樣的智能合約在不斷增多,對合約隱私安全的治理顯得尤為重要。
在諸多合約隱私研究中,有支持預言機特殊形式的隱私智能合約Mixcles[22],通過結合通證混淆技術為以太坊提供隱私保障。也有針對以太坊智能合約設計的隱私協議Zether,作為ElGamal公鑰賬戶之間傳輸的載體,支持匿名的智能合約交互[23]。此外,共識計算成本高,可被委托鏈外的隱私計算能力受人青睞。例如,Ekiden隱私計算平臺將計算與共識進行分離,利用Intel SGX 處理器[24]在鏈下委托計算合約隱私數據,再向區塊鏈提供數據形式的確切證明。類似地,還有Enigma[25]隱私模型,為支持去中心化應用開發,利用特殊合約處理隱私數據,使公開數據處理在鏈上執行,隱私數據處理在鏈下執行。為了提升區塊鏈性能吞吐量并實現細粒度的隱私保護,雙鏈形式下包含合約級別的聯盟鏈隱私架構[26]是現階段可行的隱私保護方式之一。總體來說,雖然合約隱私技術在不斷突破,并且隱私研究與應用越來越受到關注,但合約上隱私安全問題的要因還需要注意以下幾點。
1) 缺少審查。合約邏輯的審計是必不可少的,規范化合約能夠助推合約的法理性研究,如考慮匿名性檢測[27]、隱私威脅預警[28]、脆弱性檢測[29-30]、漏洞挖掘[31-32]等。
2) 缺乏形式化證明[33-34]。大多數智能合約在編寫之初并沒有考慮過形式化驗證,當部署在某一區塊地址后,因為不能修改,如果存在BUG,會很容易被黑客利用進行惡意攻擊,造成不可彌補的經濟損失[35]。
3) 智能合約編程語言內生性安全問題。早些年合約常用語言Solidity因為空指針等邏輯設計缺陷飽受詬病。另外,相關的開發者社區并不健全,需要多方努力對合約編程語言進行分析測試。
關注基于智能合約的隱私計算技術將有助于建立社會化數據閉環,真正打消數據價值鏈不同環節對數據歸屬、數據安全和隱私保護的顧慮,但仍然有不小的鴻溝需要結合數理邏輯較強的技術進行跨越。
整合區塊鏈基本要素隱私方法,不難看出實現真正意義的區塊鏈隱私保護仍然需要防范很多風險。讀寫限制、一次性交易地址等解決方法雖然相對簡單且具備低風險,但都有各自非常明顯的局限性。若只從區塊鏈基本要素應用上考慮隱私防護,始終不能有效解決區塊鏈隱私安全問題。面對這種局面,越來越多的研究者以及產業界人士開始關切可以精確評估數據隱私性的密碼學知識。這類科學技術能夠與區塊鏈接洽得當,為防范隱私泄露這一技術難題帶來新的契機。
2 基于典型密碼學原語的隱私保護技術
有別于操作系統原語,密碼學原語如簽名、密鑰交換等,主要側重在解決問題的動機上。區塊鏈本質上是一個基于密碼學的技術,使用的密碼學原語比較廣泛,包括橢圓曲線簽名ECDSA、安全哈希等。本節歸類面向區塊鏈的具備隱私效應的典型密碼學原語,分析它們各自的特點以及使用場景,并給出客觀評價。
2.1 特殊數字簽名隱私性簡述與分析
一般而言,區塊鏈上交易信息是通過簽名標定交易發起方的身份,然后由區塊鏈通過特定規則驗證簽名以確保交易信息的正確性,這一切得益于簽名的不易篡改和校驗性。區塊鏈主流平臺,RSA、ECDSA等交易簽名方式已被普遍使用,但這些簽名隱私保護效果不是十分理想,存在參與方身份信息隱匿性弱、多方簽名消息保密性差等弊端。在一些區塊鏈新興應用場景中,能夠實現身份匿名、交易內容隱藏等特殊隱私保護的聚合式數字簽名技術極具價值。
圖4 基于區塊鏈技術的環簽名邏輯示意
Figure 4 Blockchain technology based ring signature logic schematic
(1)群簽名
在需要監管方參與的多方協作場景中,群簽名技術適得其所。群簽名首先由群管理者建立群資源,然后向外界隱蔽群成員身份的隱私信息,讓群成員在群組內進行簽名。簽名完成后只有群公鑰被公開,交由區塊鏈上驗證節點或者邏輯合約進行驗證。整個過程中,群管理者可以利用群私鑰對群成員生成的群簽名進行追蹤以實現監管目的。
因為簽名過程中只有群管理者掌握單個群成員隱私信息,所以在使用過程中需要對群管理者的私鑰集合進行加密保護,否則即使實現了有效監管,如果隱私數據得不到保護,也無法在群成員之間建議信任關系。該簽名方案在區塊鏈上隱私局限性在于對群管理者是否構建了較強信任關系。
(2)環簽名
環簽名是一種特殊的群簽名[36-37],無群管理者且不需要可信中心。基于區塊鏈技術的環簽名邏輯示意如圖4所示。
從圖4中可以看出,環簽名會為一組交易成員提供各自的對外公鑰,使區塊鏈公開數據只能追蹤到交易成員所在組,無法解析出個人信息。這種無條件的匿名性與不可偽造性,為區塊鏈簽名時的數據隱私提供了極大便利。對于無條件匿名,敵手即使竊取了成員私鑰,能確定成員真實身份的概率不會超過1/(為環組成員數);對于不可偽造性,外部攻擊在對成員私鑰不知情時,即使能竊取交易消息的簽名,偽造簽名的概率也可忽略不計。區塊鏈上第一個應用環簽名技術進行隱私匿名的是CryptoNote協議[5],典型如門羅幣(Monero),使用環簽名機制實現交易發送方和交易信息的匿名性。
然而,環簽名機制在交易使用的關聯性上仍留有隱私問題。在2017年2月門羅幣代碼被修改前,M?ser等[18]曾通過分析門羅幣用戶的使用習慣,對環匿名交易進行可追蹤分析,找出了部分用戶的真實地址。此外,在環簽名隱私技術演變過程中,為防止區塊鏈偽造幣產生的同時避免交易金額留存非法,有學者提出Borromean[38]環簽名方案,對交易的輸出金額進行范圍證明以便加強交易隱私性,但其證明大小與范圍區間的上限呈線性關系,影響了區塊鏈的整體效率。總而言之,環簽名、群簽名為主的技術適用于無監管或弱監管的匿名自治組織身份保密上,在大規模應用時應關注其合法性。
(3)盲簽名
盲簽名[39]是數字簽名的變種,主要借助盲因子對簽名數據進行盲化簽名,驗證時則需利用盲化因子進行解盲實現隱私交易。其實現消息隱私的泛化公式如下:
(4)聚合簽名
隨著區塊鏈多方簽名交易需求越來越多,低效單一簽名的方式已經不能滿足多數用戶參與的應用場景,且簽名過程中如何有效處理隱私也是亟須考慮的問題。在此現狀下,能夠對多方簽名消息進行合并簽署的聚合簽名逐步占據優勢,典型如Schnorr簽名與BLS簽名聚合方案。
Schnorr[43]簽名是一種能夠聚合簽名并對單一簽名進行驗簽的簽名技術,構造如下:
雖然BLS簽名不需要隨機數即可完成簽名認證,但其過分依賴雙線性映射,導致計算使用的配對函數并不高效,在驗簽時間效率上反而不如Schnorr。此外,復雜配對函數要求選擇線性配對友好的橢圓曲線,以防MOV攻擊[47]。有關BLS簽名的研究在持續推進,Boneh等[48]在2018年對此簽名方式進行二次更新,在保留原有隱私性上減少了占用比特幣區塊鏈的空間。未來仍可以在BLS簽名使用的配對函數、映射方式上尋找改進方向,以便BLS簽名能夠進一步適用于多方協作的區塊鏈產業鏈中。
為了辨析具備隱私性的特殊數據簽名的優劣勢,更為直觀的比較如表2所示。
表2 特殊數字簽名隱私性能
此類特殊數字簽名在區塊鏈隱私保護上的側重點各不相同,使用時需要綜合考慮場景進行隱私應用。除此之外,門限簽名如門限ECDSA[49-50]、Shamir門限簽名[51]等新型多方參與的簽名方案,在改善交易性能的同時,通過簽名聚合、密鑰聚合等方式拔高了交易隱私性。然而單一簽名技術的改造對區塊鏈隱私處理十分有限,融合其他密碼學技術進行交叉應用,揚長避短是大勢所趨。例如,借助Schnorr同態特性,與Pedersen承諾融合設計可以合并簽署不同消息的高效安全多方計算協議[48];考慮去中心化托管保障用戶隱私信息和資產安全,基于安全多方計算的門限簽名技術進行密鑰的分布式管理(DKMS,distributed key manage system)[52];提出復合簽名技術[53]削弱數據的關聯性,基于Diffie-Hellman 假設保證計算困難性、提高隱私性等。
2.2 基于屬性基加密的區塊鏈訪問控制
屬性基加密[54](ABE,attribute-based encryption)源自對身份信息屬性的識別,其安全性在于使不滿足既定策略的攻擊者所擁有的密鑰無法解密密文。密文可在不安全的信道上進行傳輸,也可上傳至開放的網絡存儲設備中。
屬性基加密主要分為兩種:一種是密鑰策略的屬性基加密[55](KPABE,key-policy attribute encryption),另一種是密文策略的屬性基加密[56](CPABE,ciphertext-policy attribute-based encryption)。其中,CPABE方案能夠有效處理區塊鏈隱私,此方案中數據擁有者可以設定訪問策略,只有滿足訪問策略的用戶可以解密共享一份數據內容。Rahulamathavan等[57]利用屬性加密對區塊鏈數據進行隱私預留,以實現物聯網中端到端的隱私關聯。汪金苗等[58]在單授權CPABE方案下進行擴展,給出了多授權屬性分發管理、訪問可控的隱私保護方案。閆璽璽等[59]在以太坊上設計了可控制關鍵詞語義安全的屬性基加密方案,防止隱私數據泄露實現密文檢索。
因為基于CPABE的訪問控制隱含授權集合的訪問樹結構,所以在區塊鏈隱私保護上能夠進行小群體范圍內的信息隱私保護。任何一種加密技術都會有其劣勢,基于屬性基加密的訪問控制也不例外,如加密過程中大量的雙線性映射,使屬性基加密在數據計算上非常耗時;密文長度會隨著屬性數量增加而增加,從而占用過多區塊存儲空間。因此,優化時間和空間上的研究將會進一步改善區塊鏈訪問控制的性能。此外,如果使用智能合約實現訪問控制[60],直接將訪問策略暴露給全網并不是一個很好的選擇,需要對智能合約設計額外隱私方案。跨組織跨鏈的訪問控制正備受矚目,如何在多鏈并存的條件下解決基于此類新型密碼學技術的訪問控制策略沖突、適應合約自動化控制有十分重要的探討價值。然而,區塊鏈對于密碼學而言,絕不僅僅是在于使用了簽名協議,或者基于工作量證明(PoW,proof of work)等驗證的共識算法使用了哈希函數。在區塊鏈的分布式網絡中,進一步穩固數字世界中共識和交易的基礎設施的正是煥發活力不斷改良的密碼學技術,如同態加密、安全多方計算以及零知識證明。
2.3 同態加密
同態加密屬于基于非噪聲方法的安全計算,可以使數據在密文狀態下進行計算,解密后可獲得與明文進行同樣運算后的結果。對于區塊鏈應用同態加密的理論很多,如Pedersen承諾[61]、ElGamal承諾等密碼學承諾,這些承諾或具備加法同態特性或具備乘法同態特性,可以將數據進行私密保存并通過公布數據的哈希值來承諾它的真實性,如利用ElGamal乘法同態特性進行隱私計算,實現安全可信的交換承諾[62]等。在區塊鏈中,不管是公有鏈、私有鏈還是聯盟鏈,直接對明文信息進行處理并發布至智能合約將會很大程度地泄露敏感數據。應用同態加密既能保證鏈上數據隱私,也能實現節點與節點之間數據的可計算性。區塊鏈同態加密理論模型如圖5所示,參與方首先需要進行算法協商,協定公共參數;然后由加密方對交易信息進行同態加密,并將完成簽名的數據傳送上鏈。等到數據經智能合約驗簽后,使用方將在鏈下解密數據,獲取明文信息;最后由合約對驗簽數據進行銷毀。
圖5 區塊鏈同態加密理論模型
Figure 5 Blockchain homomorphic cryptography theoretical model
同態加密是密碼學重要的研究領域之一,不少區塊鏈應用使用到同態加密,典型如Hawk[63],基于同態映射實現加密數據運算和智能合約的私密信息處理。此外,使用同態加密可以對交易資金進行加密,實現私密交易[64]。然而,在區塊鏈隱私保護方面,交易隱私或者數據運算隱私并不代表全部,同態加密僅能解決密文計算的問題隱私。由于私鑰并不上鏈公開,依靠同態加密技術難以在智能合約上非公開地驗證明文計算的結果,通常情況下同態加密會和其他技術一起使用,如安全多方計算、零知識證明等。
2.4 安全多方計算
信息安全,包括數據安全、通信安全以及計算安全。計算安全在多方協作交易中尤為重要,在密碼學知識領域被稱為安全多方計算(SMPC,secure multi-party computation)。SMPC可以解決協同計算隱私保護問題,具有輸入隱私性、計算正確性以及去中心化特征,能使數據既保持隱私又能被使用,從而釋放隱私數據分享、隱私數據分析以及隱私數據挖掘的巨大價值。個人信息在共享和計算中容易出現安全問題和隱私問題,安全多方計算可以結合區塊鏈特征使用戶數據隱私得以保護[65],使不可信多方之間進行敏感數據聯合計算、敏感數據求交集、敏感數據聯合建模等。例如,隱私計算平臺Enigma[25],通過SMPC以分布式形式計算數據,同時改進分布式哈希表進行數據存儲,并分散到多個區塊鏈節點上進行責任分攤。
考慮到區塊鏈空間有限,對于大量數據的隱私計算,往往會使用SMPC把敏感信息放到鏈下進行計算,再采用有狀態變化的復用微型支付通道構建信息傳輸、交易支付[66]等,通過安全哈希來驗證交易的有效性與可信性。雖然對于計算本身,在區塊鏈鏈外的數據計算隱蔽性較強,但某種程度上會使區塊鏈可信性降低。如果過于依賴鏈外多方計算,則需要額外的可信第三方參與驗證和確認交易,從而增加交易開銷和單點故障風險。可信執行環境[67]一定程度上可增強安全多方計算在區塊鏈隱私保護上的安全效益,但高要求的硬件環境對于目前應用而言,仍然存在差距,大規模應用仍有待時日。
在區塊鏈通用計算領域,SMPC的“低效”是需要克服的問題。一般地,多方計算中需要多輪交互,尤其在某些協作計算的場景下要求參與方保持在線,交易的效率偏低。此外,區塊鏈中應用SMPC,協作計算方的身份往往無法確定,身份識別不可避免地需要揭露參與方的部分隱私,單靠安全多方計算可能無法處理這方面的隱私問題。在大規模商業部署中,SMPC仍存在不小阻力。首先是意愿,很多大企業和機構并不愿意嘗試隱私計算,數據輸出一旦操作不當將會帶來災難級的隱私風險。其次是協作難度,多方數據清理、數據格式統一、接口統一且完整部署好隱私計算的系統,需要大量可信協作方資源參與合作,實現難度較高。
總體來說,在這一密碼學技術領域上,要想鏈上數據相對可信,可先使數據上鏈,然后利用多方隱私計算榨取數據價值,保護數據隱私。然而,現有信息系統是否允許,或者說是否有足夠用于多方協作的數據值得考慮和探究。
2.5 零知識證明
零知識證明是一種不泄露敏感數據信息即能向他人證明信息歸屬權的密碼學技術,善于平衡隱私和透明的需求[68]。ZKP作用于區塊鏈上不僅可以解決數據上鏈隱私泄露,也可以在性能提優、數據量大無法上鏈方面做出改善。本節從目前主流的區塊鏈零知識證明技術入手,剖析近期零知識證明技術的發展現狀。
零知識證明在區塊鏈上最具規模的算法當屬zk-SNARK,是一種無須交互的零知識算法。在應用zk-SNARK的交易輸出中,通過驗證交易內容值正確性承諾的合法性確保數據內容不會被泄露。例如,在Zerocash[69]的UTXO模型中,付款來源存在于指定默克爾樹(Merkle Tree),借助zk-SNARK算法則不需要將其暴露出來即可驗證來源的正確性,實現隱私交易。然而,zk-SNARK算法在進行零知識證明處理前需要對一些公共參考數據集(CRS,common reference string)進行可信設置,CRS一旦遭受破壞就會降低零知識證明具備的隱私效益。因此,現今研究發展中,逐漸著眼于去可信設置的零知識證明算法,如zk-STARK[70]。zk-STARK在既需要互信又存在很多動機的應用場景中,使用同態隱藏、雜湊函數進行抗量子防御。此外,在數據隱私處理方面,STARK組件允許在不損害計算完整性的情況下屏蔽私有輸入且允許區塊鏈進行大規模擴展,對于驗證方的算法復雜度方面可以控制到多項式時間級別。類似無須可信設置的還有BulletProof[71]協議,該協議借助Pedersen承諾代替輸入輸出金額,然后在可公開驗證交易余額情況下,隱藏特定的提交金額。2018年,在遭受一系列隱私問題后,BulletProof算法被引入,在保證區塊鏈隱私基礎上優化交易,提高效率。BulletProof算法產生的證明大小與范圍區間上限呈對數關系,可將多個證明進行合并,使原本占用區塊鏈的數據空間以及交易費用縮減至70%~80%。常見零知識證明算法對比如表3所示。
表3 常見零知識證明算法對比
SNARK算法雖然具有高效的驗證速度和高強的密碼學假設,但需要初始化可信設置,并且生成的交易要花費大量存儲空間。相比之下,BulletProof更適合在中低復雜度的交易中使用,但對于高復雜度的交易中驗證過程相對耗時。STARK在證明方算數復雜度上優于SNARK,在驗證方算數復雜度上優于BulletProof,同時是一種后量子安全的算法,但以太坊gas開銷偏大。除了上述提及的零知識證明算法,一些新型零知識證明技術也在不斷涌現。Sonic[72]和PLONK[73]是基于zk-SNARK算法的零知識證明擴展版本,雖仍需要進行可信設置,但設置的數據信息廣且可重用,因而可拓展性高。最近發布的密碼學工具DARK Proof[74],對Sonic和PLONK的性能進一步調優,移除了其可信設置(該改進算法被稱為Supersonic)。因此,在計算復雜度高的交易或需提供證明的場景中,Supersonic 的驗證非常高效。此外,該證明產生的數據體積遠小于SNARK、STARK這類證明。
雖然零知識證明在區塊鏈隱私保護上效果顯著,用戶可以借助其離線計算數據達到在區塊鏈上的交易信息隱藏[75],但在實現上仍存在一些問題亟須解決。首先是電路設計,因為區塊鏈公開透明,在零知識電路設計上需要大量密碼封裝實現,不可避免地依賴了很多約束和參數調優。其次是側信道攻擊,因為生成零知識證明的時間取決于隱私交易的數據,所以盡管交易機制具備零知識特性,但值得注意的是,能夠測量證明生成時間的攻擊者可能會破壞交易的隱私性。
3 基于后量子密碼學的隱私保護技術
區塊鏈隱私加密技術發展需考慮未來挑戰及如何實現加密技術的升級與替換。量子計算是當前區塊鏈面臨的最具挑戰性的前沿技術,雖然實用型量子計算機的發展還處于起步階段,但已經可以斷定目前區塊鏈很多加密技術可以輕易地被量子計算攻破。例如,利用Shor算法[76]可以快速解決大整數分解及離散對數解困難的問題。研究人員已經確定,使用1 000量子位的量子計算機就可以攻破160位的橢圓曲線,而1 024位的RSA大約需要2 000量子位。盡管已知的量子計算機求解能力有限,但隨著技術的迅猛發展,不排除將來有更高效的量子破解算法面世。由我國研制出的76光子“九章”量子計算原型機,已被證實可以在運算速度和運算能力上遠超當前超級計算機。換言之,量子計算機攻破當前的區塊鏈隱私加密技術可能只是時間問題。因此,尋找能夠應用至區塊鏈的抗量子計算密碼學理論已成為下一代隱私加密技術研究的熱點話題,而抗量子計算的區塊鏈隱私計算的研究重點在于格密碼與全同態加密。
3.1 格密碼嘗試
格密碼主要是基于格困難問題產生的一類噪聲加密密碼。格是一組線性無關的非零向量的整系數線性組合,普遍認為一個高維的格中,隨機選取格基找短格基或得到線性無關的短格向量是困難的,且具備最壞情況困難性[77]。對于量子時代區塊鏈隱私數據保護,格密碼可結合同態加密,建立具備加同態的后量子安全承諾方案保護數據隱私[78];也有學者利用盆景樹模型改進晶格簽名[79],以保證公私鑰的隨機性和安全性,使反量子加密技術適用于區塊鏈用戶地址的生成,從而保護隱私。
基于格密碼的算法可以加快區塊鏈用戶交易速度,在實現密鑰生成、簽名上計算復雜度相對較低,可以在后量子時代高效安全地執行區塊鏈隱私數據計算。
3.2 全同態加密初探
一個算法或協議同時具備加法同態和乘法同態的特性即可視為全同態加密(FHE,fully homomorphic encryption)。區塊鏈隱私保護上尋求全同態加密,主流方法是構造容錯學習(LWE,learning with errors)或環容錯學習(RLWE,ring learning with errors)的困難問題來實現全同態場景的近似替代。現今仍以理論研究為主,如快速隱私集合求交[80]、多身份隱私加密[81]等,全同態加密在區塊鏈中的隱私應用方案,距離高效的工程應用還有著難以跨越的鴻溝[81-83],主要有以下幾點問題需要解決。
1) 缺乏國際統一標準。當前學術和工程應用方面均處于探索階段,使開發者難以參照規范進行系統性開發。
2) 存在計算和存儲開銷大等無法規避的性能問題。2009年,Gentry開創基于理想格的全同態方案[78],從理論上可實現任何同態加密,但目前硬件水平無法支撐。
3) 開源技術社區運營少。開發項目軟件質量差。目前工程化和商業化均處于早期,全同態加密的開發人員少,知識儲備十分不足,從而開發的項目使用少,維護投入比較低。
全同態加密區塊鏈隱私計算應用有著廣闊前景,如果未來能夠出現某種高效的異構加速技術或者硬件產品極大地降低乃至消除性能瓶頸,那么全同態加密可替代可信執行環境中以SGX為主的隱私計算,也可以替代安全多方計算中半同態加密的位置,從而實現“隱私計算直通車”的目的。
3.3 挑戰與風險
除格密碼和全同態加密外,后量子密碼學在區塊鏈隱私加密方案上仍有可擴展的空間。然而,目前抗量子的區塊鏈隱私加密技術面臨著以下幾個挑戰,及時解決這些技術瓶頸,方可在未來游刃有余地應對量子計算機帶來的風險。
簽名方案的改變是迫切需要解決的問題之一。因為舊公鑰和私鑰產生的脆弱簽名無法在量子計算面前確保交易的安全,所以需要將其更新為新的抗量子計算的簽名方案。如果對舊簽名進行更換,那么需要區塊鏈網絡中的大部分節點進行分叉達成新的共識,意味著需要對大規模節點進行升級,從而使基于舊的簽名方案產生的區塊被拒絕。由于擁有節點控制權限的人的更新選擇是自由的,共識勢必是一個緩慢的過程。并且,將區塊鏈升級成具備抗量子的簽名方案絕不僅僅是簡單復制粘貼以及更改一些代碼塊,重排編碼的工作量也非常巨大。
區塊鏈用戶地址的治理也是迫切需要解決的問題之一。區塊鏈用戶地址的轉移直接影響了用戶的資金利益鏈。即使區塊鏈進行量子化的升級,也只是對共識完成后生成的新地址的密鑰產生影響,而共識前的地址并不會被變更和銷毀。理論而言,只有用戶自己選擇將資金轉移到具備量子抗性的地址,才能保障個人財產安全與隱私。值得注意的是,如果轉移過程中共識前的地址發生了丟失,那么沒有人能夠觸碰到共識前地址上的資金,這些資金也永遠無法被轉移,也就永遠容易被敵手利用新型破解技術進行竊取。
加密效能的提升也是迫切需要解決的問題之一。目前的后量子簽名技術,包括現階段提交到美國國家標準技術研究所(NIST)的簽名方案,如CRYSTALS[84]、FALCON[85]、Rainbow[86]等,都會增加區塊的大小,意味著需要更多的計算資源,進而降低每筆交易的速度。抗量子簽名方案會對區塊鏈性能產生很大影響,同時對現有的大部分區塊鏈項目進行安全降級。解決抗量子區塊鏈的問題是當前正在進行的研究,并且有待更深入的研究。
4 結束語
區塊鏈技術在數據可信性與完整性方面已取得較多成果,但在其他方面,尤其是匿名、隱私等技術方面還不夠成熟。本文針對區塊鏈隱私保護技術,從基本要素防護和密碼學防護兩個方面進行了分析,總結出僅從區塊鏈的應用層、合約層出發難以有效解決隱私問題,需要利用各類密碼學技術根據需求和應用場景的不同進行優勢互補。為了進一步突顯文章所涉及的區塊鏈密碼學隱私保護技術以及關聯性,對區塊鏈密碼學隱私保護技術進行對比,如表4所示。
表4 區塊鏈密碼學隱私保護技術對比
結合前文所歸納的各類區塊鏈隱私保護技術以及表4內容,下一步工作應從以下方面來推進。
1) 在基礎要素防護方面,區塊鏈隱私保護技術在原有技術架構的基礎上應融入現代乃至未來可期的隱私密碼學技術。前沿密碼學協議和區塊鏈技術之間的相輔相成將會推動數字世界發展,衍生出安全數據分享、隱私保護,或者更多應用。 Ben-Sasson等[87]最近提出的交互式預言機證明(IOP,interactive oracle proof),融入零知識通過邏輯合理的形式化定義構建了驗證時間短、計算復雜度為多項式時間的隱私方案。簡言之,與時俱進才能更加長久地對區塊鏈隱私保護產生深遠影響。例如,天然適配于分布式網絡的安全多方計算,可以聯合機器學習等應用在區塊鏈上構建安全數據流轉平臺;擁有特別性質的零知識證明技術也為多方參與的可驗證的匿名交易[88]提供了隱私保障。
2) 在密碼學防護方面,區塊鏈隱私保護技術在底層技術上應繼續推進基礎協議與可證明的安全技術創新。不管是應用在區塊鏈上的現代密碼學工具還是實用性協議,都需要提供安全性證明。例如,Ouroboros首次提出具備實用性的PoS協議,通過可證明安全提出了隱私合約機制而被廣泛推崇與研究[89]。如果沒有可證明安全,分布式網絡中的節點單位用戶仍然會留有不信任感,可證明安全是基于數學的、客觀的,也是真正意義上有價值的隱私保護證明方式。
3) 除了上述的研究建議,區塊鏈隱私保護技術也可融合非密碼隱私技術、跨領域乃至多領域技術進行拓展。雖已有Tor網絡、混幣技術以及各類復雜度更高的非對稱加密算法被提出,但方法仍然非常局限,未來有很大改進空間。在數字經濟框架下,區塊鏈可以與匿名[90]、泛化[91]、差分隱私[92]等技術進行優勢互補,增強數據輸入輸出隱私能力。未來區塊鏈隱私加密技術可以與物聯網技術[93-94]進行深度融合,鏈下數據無損安全地移到鏈上,離不開物聯網智能設備的支持,同時,區塊鏈對物聯網智能設備的一些監控監管有巨大的應用前景。另外,一旦聯邦學習、可信執行環境等隱私AI技術[95]融合了區塊鏈,將具有強大糾錯能力和復利生成能力。在面對環境變化時,數據資產的安全流動,讓個人隱私信息、商業秘密在防止泄露條件下進行交易,同時實現公共利益最大化。在數據、應用隱私保護合理的情況下最終形成可信[96]、共贏的新型價值聯盟,實現社會化生產的提效降本,并促進和深化社會創新。
本文著眼于區塊鏈上隱私保護技術,梳理了區塊鏈基本要素隱私防護、隱私密碼學等為核心的技術及思想,展望了未來區塊鏈隱私保護技術的發展趨勢,以積極推動區塊鏈隱私加密技術的研究與發展。
[1] LISCHKE M, FABIAN B. Analyzing the bitcoin network: the first four years[J]. Future Internet, 2016, 8(4): 7-47.
[2] NEUDECKER T, HARTENSTEIN H. Could network information facilitate address clustering in bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2017: 155-169.
[3] GOLDFEDER S, KALODNEEER H, REISMAN D, et al. When the cookie meets the blockchain: privacy risks of web payments via cryptocurrencies[J]. Proceedings on Privacy Enhancing Technologies, 2018, 2018(4): 179-199.
[4] SAYEED S, MARCO-GISBERT H. Assessing blockchain consensus and security mechanisms against the 51% attack[J]. Applied Sciences, 2019, 9(9): 1788-1805.
[5] Nicolas van Saberhagen. CryptoNote v 2. 0[EB].
[6] CHAN W, OLMSTED A. Ethereum transaction graph analysis[C]//Proceedings of 2017 12th International Conference for Internet Technology and Secured Transactions (ICITST). 2017: 498-500.
[7] RUFFING T, MORENO-SANCHEZ P A. Mixing confidential transactions: comprehensive transaction privacy for bitcoin[J]. IACR Cryptol EPrint Arch, 2017, 2017: 238-260.
[8] BONNEAU J, NARAYANAN A, MILLER A, et al. Mixcoin: anonymity for bitcoin with accountable mixes[C]//Financial Cryptography and Data Security. 2014: 486-504.
[9] RANSHOUS S, JOSLYN C A, KREYLING S, et al. Exchange pattern mining in the bitcoin transaction directed hypergraph[C]//Financial Cryptography and Data Security, 2017: 248-263.
[10] HEILMAN E, ALSHENIBR L, BALDIMTSI F, et al. TumbleBit: an untrusted bitcoin-compatible anonymous payment hub[C]//Proceedings 2017 Network and Distributed System Security Symposium. 2017.
[11] FERRETTI C, LEPORATI A, MARIOT L, et al. Transferable anonymous payments via tumblebit in permissioned blockchains[C]//DLT@ ITASEC. 2019: 56-67.
[12] VALENTA L, ROWAN B. BlindCoin: blinded, accountable mixes for bitcoin[M]//Financial Cryptography and Data Security. Berlin, Heidelberg: Springer Berlin Heidelberg, 2015: 112-126.
[13] ZIEGELDORF J H, GROSSMANN F, HENZE M, et al. CoinParty: secure multi-party mixing of bitcoins[C]//Proceedings of the 5th ACM Conference on Data and Application Security and Privacy. 2015: 75-86.
[14] BISSIAS G, OZISIK A P, LEVINE B N, et al. Sybil-resistant mixing for bitcoin[C]//Proceedings of the 13th Workshop on Privacy in the Electronic Society. 2014: 149-158.
[15] LEE S, YOON C, KANG H, et al. Cybercriminal Minds: an investigative study of cryptocurrency abuses in the Dark Web[C]//Pro- ceedings 2019 Network and Distributed System Security Symposium. 2019: 1-15.
[16] CHEN W L, WU J, ZHENG Z B, et al. Market manipulation of bitcoin: evidence from mining the Mt. gox transaction network[C]//Proceedings of IEEE INFOCOM 2019 - IEEE Conference on Computer Communications. 2019: 964-972.
[17] ERMILOV D, PANOV M, YANOVICH Y. Automatic bitcoin address clustering[C]//Proceedings of 2017 16th IEEE International Conference on Machine Learning and Applications. 2017: 461-466.
[18] M?SER M, SOSKA K, HEILMAN E, et al. An empirical analysis of traceability in the monero blockchain[J]. Proceedings on Privacy Enhancing Technologies, 2018, 2018(3): 143-163.
[19] ZHANG F, MARAM D, MALVAI H, et al. DECO: liberating web data using decentralized oracles for TLS[C]//Proceedings of CCS '20: Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security. 2020: 1919-1938.
[20] WOOD G. Polkadot: vision for a heterogeneous multi-chain framework. White Paper[EB].
[21] JIANG Y M, WANG C X, WANG Y W, et al. A privacy-preserving E-commerce system based on the blockchain technology[C]//Pro- ceedings of 2019 IEEE International Workshop on Blockchain Oriented Software Engineering. 2019: 50-55.
[22] BREIDENBACH L. Mixicles: simple private decentralized finance ari juels[EB].
[23] BüNZ B, AGRAWAL S, ZAMANI M, et al. Zether: towards privacy in a smart contract world[C]//Financial Cryptography and Data Security. 2020: 423-443.
[24] ZHANG F, HE W, CHENG R, et al. The ekiden platform for confidentiality-preserving, trustworthy, and performant smart contracts[C]//Proceedings of IEEE Security & Privacy. 2019: 185-200.
[25] ZYSKIND G, NATHAN O, PENTLAND A. Enigma: decentralized computation platform with guaranteed privacy[EB].
[26] 蔡亮, 端豪, 鄢萌, 等. 基于雙層協同的聯盟區塊鏈隱私數據保護方法[J]. 軟件學報, 2020, 31(8): 2557-2573.
CAI L, DUAN H, YAN M, et al. Private data protection scheme for consortium blockchain based on two-layer cooperation[J]. Journal of Software, 2020, 31(8): 2557-2573.
[27] PODGORELEC B, TURKANOVI? M, KARAKATI? S. A machine learning-based method for automated blockchain transaction signing including personalized anomaly detection[J]. Sensors (Basel, Switzerland), 2019, 20(1): 147.
[28] 黃克振, 連一峰, 馮登國, 等. 基于區塊鏈的網絡安全威脅情報共享模型[J]. 計算機研究與發展, 2020, 57(4): 836-846.
HUANG K Z, LIAN Y F, FENG D G, et al. Cyber security threat intelligence sharing model based on blockchain[J]. Journal of Computer Research and Development, 2020, 57(4): 836-846.
[29] ASHIZAWA N, YANAI N, CRUZ J P, et al. Eth2Vec: learning contract-wide code representations for vulnerability detection on ethereum smart contracts[C]//Proceedings of the 3rd ACM International Symposium on Blockchain and Secure Critical Infrastructure. 2021: 47-59.
[30] HE N, ZHANG R, WANG H, et al. {EOSAFE}: security analysis of {EOSIO} smart contracts[C]//30th {USENIX} Security Symposium. 2021: 1271-1288.
[31] KRUPP J, ROSSOW C. teether: gnawing at ethereum to automatically exploit smart contracts[C]//27th {USENIX} Security Symposium. 2018: 1317-1333.
[32] KALRA S, GOEL S, DHAWAN M, et al. ZEUS: analyzing safety of smart contracts[C]//Proceedings 2018 Network and Distributed System Security Symposium. 2018: 2017: 16-17.
[33] BHARGAVAN K, DELIGNAT-LAVAUD A, FOURNET C, et al. Formal verification of smart contracts: short paper[C]// Proceedings of the 2016 ACM Workshop on Programming Languages and Analysis for Security. 2016: 91-96.
[34] ABDELLATIF T, BROUSMICHE K L. Formal verification of smart contracts based on users and blockchain behaviors models[C]//Proceedings of 2018 9th IFIP International Conference on New Technologies, Mobility and Security (NTMS). 2018: 1-5.
[35] MEHAR M I, SHIER C L, GIAMBATTISTA A, et al. Understanding a revolutionary and flawed grand experiment in blockchain[J]. Journal of Cases on Information Technology, 2019, 21(1): 19-32
[36] CHAUM D, VAN-HEYST E. Group signatures[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1991: 257-265.
[37] RIVEST R L, SHAMIR A, TAUMAN Y. How to leak a secret[C]//International Conference on the Theory and Application of Cryptology and Information Security. 2001: 552-565.
[38] MAXWELL G, POELSTRA A. Borromean ring signatures[EB].
[39] CHAUM D. Blind signatures for untraceable payments[C]//Advances in Cryptology. 1983: 199-203.
[40] GREEN M, MIERS I. Bolt: anonymous payment channels for decentralized currencies[C]//Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. 2017: 473-489.
[41] HEILMAN E, BALDIMTSI F, GOLDBERG S. Blindly signed contracts: anonymous on-blockchain and off-blockchain bitcoin transactions[C]//Financial Cryptography and Data Security. 2016: 43-60.
[42] 江澤濤, 徐娟娟. 云環境下基于代理盲簽名的高效異構跨域認證方案[J]. 計算機科學, 2020, 47(11): 60-67.
JIANG Z T, XU J J. Efficient heterogeneous cross-domain authentication scheme based on proxy blind signature in cloud environment[J]. Computer Science, 2020, 47(11): 60-67.
[43] SCHNORR C P. Efficient signature generation by smart cards[J]. Journal of Cryptology, 1991, 4(3): 161-174.
[44] MAXWELL G, POELSTRA A, SEURIN Y, et al. Simple schnorr multi-signatures with applications to bitcoin[J]. Designs, Codes and Cryptography, 2019, 87(9): 2139-2164.
[45] NICK J, RUFFING T, SEURIN Y, et al. MuSig-DN: schnorr multi-signatures with verifiably deterministic nonces[C]//Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security. 2020: 1717-1731.
[46] BONEH D, LYNN B, SHACHAM H. Short signatures from the Weil pairing[C]//Proceedings of the 7th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology. 2001: 514-532.
[47] SCHOLL T. Isolated elliptic curves and the MOV attack[J]. Journal of Mathematical Cryptology, 2017, 11(3): 131-146.
[48] BONEH D, DRIJVERS M, NEVEN G. Compact multi-signatures for smaller blockchains[C]//International Conference on the Theory and Application of Cryptology and Information Security. 2018: 435-464.
[49] DOERNER J, KONDI Y, LEE E, et al. Secure two-party threshold ECDSA from ECDSA assumptions[C]//Proceedings of 2018 IEEE Symposium on Security and Privacy. 2018 : 980-997
[50] CASTAGNOS G, CATALANO D, LAGUILLAUMIE F, et al. Two-party ECDSA from hash proof systems and efficient instantiations[C]//Advances in Cryptology-CRYPTO 2019. 2019: 191-221.
[51] AHMAT D, CHOROMA M, BISSYANDé T F. Multipath key exchange scheme based on the diffie-Hellman protocol and the Shamir threshold[J]. Int J Netw Secur, 2019, 21: 418-427.
[52] SOLTANI R, NGUYEN U T, AN A J. Practical key recovery model for self-sovereign identity based digital wallets[C]//Proceedings of 2019 IEEE Intl Conf on Dependable, Autonomic and Secure Computing, Intl Conf on Pervasive Intelligence and Computing, Intl Conf on Cloud and Big Data Computing, Intl Conf on Cyber Science and Technology Congress. 2019: 320-325.
[53] SAXENA A, MISRA J, DHAR A. Increasing anonymity in bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2014: 122-139.
[54] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//Adv- ances in Cryptology-EUROCRYPT 2005. 2005: 457-473.
[55] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//The 13th ACM Conf on Computer and Communications Security. 2006. 89-98.
[56] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption[C]//2007 IEEE Symposium on Security and Privacy (SP '07). 2007: 321-334.
[57] RAHULAMATHAVAN Y, PHAN R C W, RAJARAJAN M, et al. Privacy-preserving blockchain based IoT ecosystem using attribute-based encryption[C]//Proceedings of 2017 IEEE International Conference on Advanced Networks and Telecommunications Systems. 2017: 1-6.
[58] 汪金苗, 謝永恒, 王國威, 等. 基于屬性基加密的區塊鏈隱私保護與訪問控制方法[J]. 信息網絡安全, 2020, 20(9): 47-51. WANG J M, XIE Y H, WANG G W, et al. A method of privacy preserving and access control in blockchain based on attribute-based encryption[J]. Netinfo Security, 2020, 20(9): 47-51.
[59] 閆璽璽, 原笑含, 湯永利, 等. 基于區塊鏈且支持驗證的屬性基搜索加密方案[J]. 通信學報, 2020, 41(2): 187-198.
YAN X X, YUAN X H, TANG Y L, et al. Verifiable attribute-based searchable encryption scheme based on blockchain[J]. Journal on Communications, 2020, 41(2): 187-198.
[60] 杜瑞忠, 劉妍, 田俊峰. 物聯網中基于智能合約的訪問控制方法[J]. 計算機研究與發展, 2019, 56(10): 2287-2298.
DU R Z, LIU Y, TIAN J F. An access control method using smart contract for Internet of Things[J]. Journal of Computer Research and Development, 2019, 56(10): 2287-2298.
[61] PEDERSEN T P. Non-interactive and information-theoretic secure verifiable secret sharing[C]//Annual international cryptology conference. 1991: 129-140.
[62] RUFFING T, MALAVOLTA G. Switch commitments: a safety switch for confidential transactions[C]//International Conference on Financial Cryptography and Data Security. 2017: 170-181.
[63] KOSBA A, MILLER A, SHI E, et al. Hawk: the blockchain model of cryptography and privacy-preserving smart contracts[C]//Pro- ceedings of 2016 IEEE Symposium on Security and Privacy. 2016 : 839-858.
[64] POELSTRA A, BACK A, FRIEDENBACH M, et al. Confidential assets[C]//International Conference on Financial Cryptography and Data Security. 2018: 43-63.
[65] 王童, 馬文平, 羅維. 基于區塊鏈的信息共享及安全多方計算模型[J]. 計算機科學, 2019, 46(9): 162-168.
WANG T, MA W P, LUO W. Information sharing and secure multi-party computing model based on blockchain[J]. Computer Science, 2019, 46(9): 162-168.
[66] BENTOV I, KUMARESAN R, MILLER A. Instantaneous decentralized poker[C]//International Conference on the Theory and Application of Cryptology and Information Security. 2017: 410-440.
[67] CHOUDHURI A R, GREEN M, JAIN A, et al. Fairness in an unfair world: fair multiparty computation from public bulletin boards[C]//Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. 2017: 719-728.
[68] CHOR B, GOLDWASSER S, MICALI S, et al. Verifiable secret sharing and achieving simultaneity in the presence of faults[C]//Pro- ceedings of 26th Annual Symposium on Foundations of Computer Science (sfcs 1985). 1985: 383-395.
[69] BEN SASSON E, CHIESA A, GARMAN C, et al. Zerocash: decentralized anonymous payments from bitcoin[C]//Proceedings of 2014 IEEE Symposium on Security and Privacy. 2014: 459-474.
[70] BEN-SASSON E, BENTOV I, HORESH Y, et al. Scalable, transparent, and post-quantum secure computational integrity[J]. IACR Cryptol ePrint Arch. 2018, 2018: 46-129.
[71] BüNZ B, BOOTLE J, BONEH D, et al. Bulletproofs: short proofs for confidential transactions and more[C]//2018 IEEE Symposium on Security and Privacy (SP). 2018: 315-334.
[72] MALLER M, BOWE S, KOHLWEISS M, et al. Sonic: zero-knowledge SNARKs from linear-size universal and updatable structured reference strings[C]//Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019: 2111-2128.
[73] GABIZON A, WILLIAMSON Z J, CIOBOTARU O . PLONK: permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge[J]. IACR Cryptol ePrint Arch, 2019, 2019: 953.
[74] BüNZ B, FISCH B, SZEPIENIEC A. Transparent snarks from dark compilers[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. 2020: 677-706.
[75] BOWE S, CHIESA A, GREEN M, et al. Zexe: enabling decentralized private computation[C]//2020 IEEE Symposium on Security and Privacy (SP). 2020: 947-964.
[76] FERNáNDEZ-CARAMèS T M, FRAGA-LAMAS P. Towards post-quantum blockchain: a review on blockchain cryptography resistant to quantum computing attacks[J]. IEEE Access, 2020,8: 21091-21116.
[77] ESGIN M F, STEINFELD R, SAKZAD A, et al. Short lattice-based one-out-of-many proofs and applications to ring signatures[C]//Int- ernational Conference on Applied Cryptography and Network Security. 2019: 67-88.
[78] GENTRY C. Fully homomorphic encryption using ideal lattices[C]//Proceedings of the Forty-First Annual ACM Symposium on Theory of Computing. 2009: 169-178.
[79] YIN W, WEN Q, LI W, et al. A anti-quantum transaction authentication approach in blockchain[J]. IEEE Access, 2018, 6: 5393-5401.
[80] CHEN H, LAINE K, RINDAL P. Fast private set intersection from homomorphic encryption[C]//Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. 2017: 1243-1255.
[81] 湯永利, 胡明星, 葉青, 等. 改進的格上基于多身份全同態加密方案[J]. 北京郵電大學學報, 2018, 41(1): 125-133.
TANG Y L, HU M X, YE Q, et al. Improved multi-identity based fully homomorphic encryption scheme over lattices[J]. Journal of Beijing University of Posts and Telecommunications, 2018, 41(1): 125-133.
[82] GENTRY C, SAHAI A, WATERS B. Homomorphic encryption from learning with errors: conceptually-simpler, asymptotically-faster, attribute-based[C]//Annual Cryptology Conference. 2013: 75-92.
[83] BRAKERSKI Z, GENTRY C, VAIKUNTANATHAN V. (leveled) fully homomorphic encryption without bootstrapping[J]. ACM Transactions on Computation Theory, 2014, 6(3): 1-36.
[84] DUCAS L, KILTZ E, LEPOINT T, et al. CRYSTALS-dilithium: a lattice-based digital signature scheme[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2018: 238-268.
[85] FOUQUE P A, HOFFSTEIN J, KIRCHNER P, et al. Falcon: Fast-Fourier lattice-based compact signatures over NTRU[J]. Submission to the NIST’s Post-Quantum Cryptography Standardization Process, 2018, 36.
[86] DING J, SCHMIDT D. Rainbow, a new multivariable polynomial signature scheme[C]//International Conference on Applied Cryptography and Network Security. 2005: 164-175.
[87] BEN-SASSON E, BENTOV I, HORESH Y, et al. Scalable zero knowledge with no trusted setup[C]//Advances in Cryptology – CRYPTO 2019, 2019: 701-732.
[88] CHOUDHURI A R, GOYAL V, JAIN A. Founding secure computation on blockchains[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. 2019: 351-380.
[89] KERBER T, KIAYIAS A, KOHLWEISS M, et al. Ouroboros crypsinous: Privacy-preserving proof-of-stake[C]//2019 IEEE Symposium on Security and Privacy (SP). 2019: 157-174.
[90] 劉海, 李興華, 雒彬, 等. 基于區塊鏈的分布式K匿名位置隱私保護方案[J]. 計算機學報, 2019, 42(5): 942-960.
LIU H, LI X H, LUO B, et al. Distributed K-anonymity location privacy protection scheme based on blockchain[J]. Chinese Journal of Computers, 2019, 42(5): 942-960
[91] LI H, PEI L S, LIAO D, et al. Blockchain meets VANET: an architecture for identity and location privacy protection in VANET[J]. Peer-to-Peer Networking and Applications, 2019, 12(5): 1178-1193.
[92] 董祥千, 郭兵, 沈艷, 等. 一種高效安全的去中心化數據共享模型[J]. 計算機學報, 2018, 41(5): 1021-1036.
DONG X Q, GUO B, SHEN Y, et al. An efficient and secure decentralizing data sharing model[J]. Chinese Journal of Computers, 2018, 41(5): 1021-1036.
[93] YAJI S, BANGERA K, NEELIMA B. Privacy preserving in blockchain based on partial homomorphic encryption system for ai applications[C]//Proceedings of 2018 IEEE 25th International Conference on High Performance Computing Workshops (HiPCW). 2018: 81-85.
[94] MENDKI P. Blockchain enabled IoT edge computing: addressing privacy, security and other challenges[C]//Proceedings of the 2020 The 2nd International Conference on Blockchain Technology. 2020: 63-67.
[95] PASSERAT-PALMBACH J, FARNAN T, MCCOY M, et al. Blockchain-orchestrated machine learning for privacy preserving federated learning in electronic health data[C]//Proceedings of 2020 IEEE International Conference on Blockchain (Blockchain). 2020: 550-555
[96] 周家順, 王娜, 杜學繪. 基于區塊鏈的數據完整性多方高效審計機制[J]. 網絡與信息安全學報, 2021, 7(6): 113-125.
ZHOU J S, WANG N, DU X H. Multi-party efficient audit mechanism for data integrity based on blockchain[J]. Chinese Journal of Network and Information Security, 2021, 7(6): 113-125.
Survey on blockchain privacy protection techniquesin cryptography
LIU Feng1,2, YANG Jie2, QI Jiayin2
1. School of Computer Science and Technology, East China Normal University, Shanghai 200062, China 2. Institute of Artificial Intelligence and Change Management, Shanghai University of International Business and Economics, Shanghai 200336, China
In recent years, the issue of data privacy has attracted increased attention, and how to achieve effective privacy protection in blockchain is a new research hotspot. In view of the current research status and development trend of blockchain in privacy protection, the privacy protection methods of blockchain in transaction address, prophecy machine and smart contract were explained, and the privacy strategies of blockchain in the protection of basic elements were summarized. Based on high-level literature at home and abroad, two types of blockchain cryptographic protection methods and usage scenarios were analyzed, including special cryptographic primitives and post-quantum cryptography. The advantages and disadvantages of seven cryptographic techniques applicable to current blockchain privacy protection were also reviewed, including attribute-based encryption, special data signature, homomorphic encryption, secure multi-party computation, zero-knowledge proofs, and lattice ciphers. It was concluded that the privacy protection of blockchain applications cannot be achieved without cryptographic technology. Meanwhile, the blockchain privacy protection technologies were analyzed in terms of both basic element protection and cryptographic protection. It was concluded that it was difficult to effectively solve the privacy problem only from the application and contract layers of the blockchain, and various cryptographic technologies should be used to complement each other according to different needs and application scenarios. In addition, according to the current development status of blockchain privacy cryptography, the narrative was developed from blockchain basic element protection and cryptography-based protection. From the perspectives of both endogenous basic element security and exogenous cryptographic privacy security, basic element privacy protection should be studied first, followed by an in-depth analysis of cryptographic protection techniques for blockchain privacy. The strengths and weaknesses and the potential value of the privacy handling aspects of the corresponding safeguards should be measured in terms of the development of technology in conjunction with practical applications, while considering the timeliness of the technology. Finally, an outlook on the future direction of blockchain privacy protection technologies was provided, indicating the issues that need to be addressed in focus.
blockchain, privacy protection, cryptographic primitives, modern cryptography, post-quantum cryptography
The National Natural Science Foundation of China (72042004)
劉峰, 楊杰,齊佳音,等. 區塊鏈密碼學隱私保護技術綜述[J]. 網絡與信息安全學報, 2022, 8(3): 29-44.
TP311
A
10.11959/j.issn.2096?109x.2022054
劉峰(1988?),男,湖北荊州人,華東師范大學博士生,主要研究方向為區塊鏈技術、可計算情感。
楊杰(1998?),男,江蘇泰州人,上海對外經貿大學科研助理,主要研究方向是研究方向為密碼學、區塊鏈、信息隱私和安全多方計算。
齊佳音(1972?),女,陜西洛南人,上海對外經貿大學教授、博士生導師,主要研究方向為先進技術和管理創新。
2021?03?16;
2021?06?10
齊佳音,qijiayin@139.com
國家自然科學基金(72042004)
LIU F, YANG J, QI J Y, et al. Survey on blockchain privacy protection techniques in cryptography[J]. Chinese Journal of Network and Information Security, 2022, 8(4): 29-44.
