比特币能运用MimbleWimble协议吗?Pieter Wuille和Charlie Lee是这么说的

洒脱喜 发布在 比特币 42459

“比特币的隐私能够从莱特币运用的EB MimbleWimble提议中受益吗?”
今日在/r/Bitcoin论坛上,有人提出了这样一个问题。

45

注:MimbleWimble协议最初是匿名密码学者“Tom Elvis Jedusor”根据保密交易(CT)、Coin Join等技术提出的协议,而莱特币整合MimbleWimble协议,则是由Grin开发者David Burkett在负责进行的,莱特币的MW协议并不是直接应用到其主链当中,而是通过扩展区块(Extension Block)来完成的。

关于扩展区块(EB):扩展区块(或称为辅助区块)技术方案,最初是由比特币开发者Johnson Lau在2013年提出的,扩展区块(EB)旨在为网络提供有效的区块大小及容量,并通过软分叉(即没有网络分裂)的方式进行部署。这也意味着如果用户不想使用扩展区块(EB),他们就不会被迫使用到它。

为区块链上的每个区块创建一个扩展区块(EB),它看起来就像是一个普通区块,但是没有header(区块头)。来自扩展区块(EB)的Merkle根将被包含在主区块的coinbase当中,并将它们连接到一起。

关于扩展区块方案,它的原作者是这样描述的:

“所有升级的节点将检查比特币是否从主链正确传输到辅助链。

人们可以像在主链中一样转移辅助链比特币,矿工也可以使用与主链相同的机制在辅助链中收取费用。唯一的区别是在辅助链中没有生成奖励。

- Johnson Lau

但这并不是这篇文章的重点,来自比特币core协议的维护者Pieter Wuille给出了关于这一问题的精彩答案,他是这么说的:
“并没有那么简单。

我个人非常希望看到保密交易(CT)技术能够在比特币上面得到应用。默认情况下,隐藏交易金额(而不是一个单独的隐私银弹)将使CoinJoin更加强大。我认为,公平地说,它可能有助于实现现有链上(on-chain)技术很难达到的隐私水平。

然而,保密交易(CT)会从根本上改变交易的工作方式,因为当前交易中预期有明文金额,而没有(极具侵袭性的)硬分叉,这种改变是无法实现的。即使它们突然被允许,也没有人能强迫现有钱包突然采用它们。这样做会破坏兼容性,违背不会使现有非广播交易无效的基本期望。这样一个成功的改变,可能意味着比特币会失去一些最有价值的特性。因此,保密交易(CT)或任何形式隐藏金额的技术必须是可选的( opt-in),而不是默认的。

但可选( opt-in)并不意味着每次交易都需要进行选择。扩展区块(EB)有效地做到了这一点:通过有两个清晰划分的边,并且需要在它们之间进行明确的、可能缓慢/昂贵的操作,你创建了一个保密交易(CT)是默认的、甚至可能比另一个边更便宜的世界。当然,人们仍然可以选择使用遗留端(legacy side,或主链),而且在很长一段时间内,由于兼容性的原因,他们可能会选择使用遗留端,但从长远来看,这可能意味着使用CT的每笔交易会具有更好的隐私性。

事实证明,在扩展区块(EB)中应用的保密交易(CT),要比试图将其插入到现有的交易结构中要简单得多,效率也更高。

因此,我相信扩展区块(EB)是将保密交易(CT)技术引入比特币的唯一可能希望。

但是,这里有很多问题是需要提出来的:

  1. CT交易在计算上要比当前的交易要昂贵得多,而且比当前的交易要大得多,如果说隐私交易选择最终导致使用成本变得更高,那将是非常不幸的;
  2. CT交易引入了一个比我们现有更强大的密码学假设。你不能只运行UTXO集,将这些值相加,然后看看它是否超过了预期的补贴;
  3. 事实上,CT交易本质上要么必须在密码学假设的基础上设定隐私条件,要么必须是soundness的(即印钱)。比特币目前依赖于ECDLP(椭圆曲线离散对数问题)假设来抵御盗窃,但它可以升级到另一种假设(比如因为我们认为ECDLP的基础是不稳固的,然后量子计算…)。而使用CT之后,这就不那么容易了,因为这一假设现在也涵盖了金额;
  4. 这是一种相当大的变化,这需要生态系统有巨大需求才能够成功;
  5. 所有相同的问题,都适用于MimbleWimble协议,甚至会遇到更多的问题。MimbleWimble是一种更先进的CT形式,它对基本数据结构有着更具侵入性的影响,而且可能根本无法在没有扩展区块(EB)的情况下完成,因为它与比特币当前的区块链有着根本的不同(随着时间的推移,MimbleWimble区块链还会收缩(shrink)!)它也移除了Script脚本,甚至移除了拥有类似Script脚本的能力。
让我回到上面的第(3)点,零知识证明技术有一个非常基本的结果,那就是你不能同时拥有无条件的隐私和无条件的可靠性(soundness),因此,这里就存在着设计权衡。
  1. 无条件隐私但计算可靠性(computational soundness)的CT是最常见的选择。这意味着,如果ECDLP因为某种方式遭到威胁(数学突破、secp256k1的意外结构或者量子计算),有人就可能会进行无法被察觉到的增发Coin的操作,但过去(和未来)交易的隐私不会受到影响。据我所知,Monero、ZCash以及Grin都是使用的这种模式。
  2. CT具有无条件可靠性,但计算隐私也是可能的。这意味着如果ECDLP遭遇破解,也不会允许任何人去进行增发操作,但未来(和过去)交易的隐私将面临风险。不幸的是,这种选择的效率要低得多,而且几乎没有系统使用它。
鉴于比特币的设计重点是控制通胀,我预计,如果需要做出选择,很多人会更喜欢第二种模式,而不是第一种模式。不过,也有一点需要说明,如果ECDLP遭遇破解,系统的未来必然会面临风险,但我们可能不想在这种情况发生时放弃过去的隐私,而这一点有利于第一种模式。

而基于扩展区块的CT设计的好处(或可怕之处…)在于,我们可以两者兼得,而不会直接影响到主链的价值。你需要明确地将币移动到CT侧,如果意外的通货膨胀发生在CT侧,那么并不是所有的币都能移回到主链。

而这种意外情况发生时,如果公众对其中一侧的安全信任受到严重影响,这实际上可能意味着两种币的汇率会是不同的。

对此,莱特币创始人Charlie Lee则回复说:
“ Pieter,你认为使用转换承诺(Switch Commitments)方案(https://eprint.iacr.org/2017/237.pdf)来缓解这种完美binding vs 完美隐藏的两难问题有什么想法?应用这种方案后,基本上我们当前是处于完美隐藏和计算binding,然后当量子计算成为现实时,切换到完美binding和计算隐藏。转换前的交易不会显示它们的金额,而量子计算机(QC)也不能在转换后增加币的总供应量。

这就是Grin目前所实施的方案,我认为这给了我们一个很好的逃生舱口和时间来提出一个抗量子计算的CT承诺方案。

译者评:正如Pieter Wuille所言,通过扩展区块(EB)是将保密交易(CT)技术引入比特币的唯一可能,但这种可能性目前依旧很小,而MimbleWimble应用到比特币的可能性更是微乎其微,但这次Pieter Wuille和Charlie Lee所讨论的内容当中,最重要的其实是隐私与安全的权衡,而在这方面,比特币、莱特币以及Grin是存在不同的。

参考资料:https://medium.com/@LitecoinDotCom/litecoin-core-developers-investigating-mimblewimble-and-extension-blocks-technologies-da51077c2174

本文链接:https://www.8btc.com/article/526297
转载请注明文章出处

评论(1)
登录 账号发表你的看法,还没有账号?立即免费 注册