ZEC: Uovertruffen personvern i en offentlig blockchain

Vi har nylig brukt nærmere 200 timer på å gjennomgå hele Zcash-prosjektet og ZEC cryptocurrency. Ved å analysere prosjektet er det klart for oss at Zcash er et av de viktigste prosjektene i helheten av kryptområdet.

I de tidlige dagene av digital valuta trodde mange at Bitcoin-transaksjoner var helt anonyme og private. Populariteten til Silk Road, det første moderne mørke nettmarkedet, drev denne misoppfatningen og førte til at mange tidlige adoptere forvekslet anonymitet med pseudonymitet.

Som de fleste sikkert vet nå, er Bitcoin-brukere pseudonyme; adressene og balansene deres er helt offentlige, men deres virkelige identitet er det ikke. Mens adresser ikke kan knyttes til enkeltpersoner ved å bare se på blockchain, blir Bitcoin pseudonymitet likevel brutt når et individ beviser eierskap til en adresse, vanligvis ved å bruke en sentral. Som sådan hadde de troende på Bitcoin sin anonymitetsmyte en frekk oppvåkning etter bortfallet av Silkeveien, en av de viktigste begivenhetene i Bitcoin historie.

Utover ulovlige brukssaker, fremhevet Silk Road-vanskeligheten at jakten på personvern som en grunnleggende menneskerettighet var uforenlig med offentlige blockchains på den tiden. Denne erkjennelsen førte til at mange forskere begynte å jobbe med løsninger for å øke personvernet til bitcoin-transaksjoner. Greg Maxwells CoinJoin var et av de tidlige forsøkene på å øke personvernet og effektiviteten til Bitcoin ved å samle flere avsendere av BTC i en enkelt transaksjon; en metode som vanligvis har blitt kalt myntblanding.

Blanding gjør det vanskelig å peke på bestemte avsendere og mottakere av en transaksjon fordi saldoer sendes som en gruppe. Effektiviteten av CoinJoin-blanding har gjort at den, klart, den mest brukte metoden for å skjule identiteter i offentlige blockchains. Selv om den er veldig primitiv, brukes metoden fremdeles mye brukt i dag i cryptocururrency som DASH.

I likhet med CoinJoin bruker Monero også et system som heter RingCT for å maskere avsenderen av en transaksjon. Vi har analysert RingCT tidligere, og i forhold til implementeringer av CoinJoin er det en mye mer sofistikert metode å skjule data. RingCT samler signaturene knyttet til en transaksjon og koder for verdien. Selv om dette er et elegant og effektivt system, innser vi at det er problemer med denne tilnærmingen.

Enkelt sagt er det grunnleggende problemet med metodeblandingsmetoder at transaksjonsdata ikke skjules gjennom kryptering. I stedet er både CoinJoin og RingCT systemer for disassosiasjon. I slike systemer er all informasjon offentlig synlig, men transaksjonsspesifikke data, for eksempel beløpet som sendes, kobles fra brukerspesifikk informasjon, for eksempel adressene som er knyttet til saldoen. Hvis heuristikken som ble brukt til å demontere disse datapunktene, er ødelagt, slik det var tilfelle med flertallet av Monero-transaksjoner før februar 2017, er også personvernet til hele systemet ødelagt.

I stedet for disassosiering, er en sunnere tilnærming til personvern en som bruker sterkere kryptografi, der hele transaksjonsdataene er skjult. Ved første øyekast kan dette være uforenlig med offentlige blockchains. Tross alt er en av verdiforslagene til Bitcoin en offentlig og etterprøvbar eierkjede for hver eneste balanse. Å skjule transaksjoner ville forhindre den bekreftelsesprosessen ved bare å la bæreren av en bestemt nøkkel til å visualisere en transaksjon.

Av denne grunn er den eneste måten å la en blockchain både være kryptert og offentlig verifiserbar gjennom svært sofistikert kryptografi. Heldigvis kan dette oppnås gjennom et av de kraftigste verktøyene kryptografer noensinne har utviklet: Zero-Knowledge Proofs.

NULL KUNNSKAPSMAGIK

Det magiske konseptet bak Zero-Knowledge Proofs er å kryptografisk bevise at noe eksisterer, uten å vite hva det er.

Zcash bruker en variant av Zero Knowledge Proofs som kalles zero-kunnskap Succinct Non-interactive Argument of Knowledge, eller zk-SNARK, for å aktivere private transaksjoner i nettverket. Denne spesifikke implementeringen gjør at krypterte transaksjoner kan verifiseres i millisekunder. Brukere kan generere zk-SNARK-er for selektivt å beskytte kilden, destinasjonen og mengden ZEC gjennom fire forskjellige typer transaksjoner:

Mens zk-SNARK er utrolig kraftige, bærer de også sin rettferdige andel av mangler. En av de største hindringene ved bruk av private transaksjoner på Zcash er at zk-SNARK-er er beregningsintensive og tar tid å produsere. Slike krav forbyr bruk av denne teknologien på mobiltelefoner, noe som utvilsomt har påvirket adopsjonen av private Zcash-transaksjoner. Faktisk har vi funnet at bare rundt 13% av Zcash-transaksjoner for tiden bruker zk-SNARK-er. Fullt private transaksjoner, der både avsender og mottaker er skjermet, utgjør bare omtrent 0,36% av de totale Zcash-transaksjonene.

Selv om Zcash har behandlet flere transaksjoner i sitt nettverk enn Monero, er 86% av dem uskjermet og ser nøyaktig ut som en vanlig bitcoin-transaksjon. På den annen side er XMR-transaksjoner iboende blandet og Monero er privat som standard. Hvis vi skulle sammenligne det totale antallet private transaksjoner i begge nettverk, ville Monero være den klare vinneren.

Som industrien har innsett, påvirker utvilsomt avveining mellom iboende og valgfritt personvern sannsynligheten for at en eiendel blir notert på en regulert børs. Som påpekt til Moneros hovedutvikler Riccardo “fluffypony” Spagni da han holdt et foredrag på Coinbase, regulatorisk press gjør det usannsynlig at en utveksling av Coinbases andel vil kunne støtte Monero i løpet av en nær fremtid. Tilsynsmyndigheter er mer varsel mot private blockchains fordi de er vanskeligere å revidere og regulere.

Motsatt letter alternativiteten til personvern i Zcash regulatorisk frykt og gjør det mulig for disse institusjonene å liste opp uskjermet ZEC. Dette ble eksemplifisert i mai 2018, da New York Department of Financial Services (NYDFS) autoriserte Gemini til å støtte handel og forvaring av Zcash. Dette er et tegn på at regulatorer kan være mer åpne for å jobbe med prosjekter der personvern er valgfritt. Denne viljen er ideell for likviditet av ZEC og fiat-par, og trenger ikke nødvendigvis å skade fungabiliteten til eiendelene i nettverket; to runder med skjermede transaksjoner til forskjellige z-adresser kan være nok til å skjule forvaringskjeden for en bestemt saldo fullstendig.

Garantien om personvern

I rapporten snakket vi om garantien for personvern, eller med andre ord, i hvilken grad brukere kan være sikre på at tidligere transaksjoner vil forbli konfidensielle. For mange koker debatten om Zcash mot Monero ned til styrken og bærekraften til mekanismene som brukes av begge protokollene for å muliggjøre personvern.

Moneros merittliste i den forbindelse ble sterkt besmet i april 2017, da forskere ved Princeton og University of Illinois fant en betydelig sårbarhet i Moneros mixins-protokoll. Dette sikkerhetsproblemet gjorde det mulig for dem å identifisere den sanne avsenderen av de fleste XMR-transaksjoner før aktiveringen av RingCT i februar 2017. De kalte denne utnyttelsen "kjedereaksjon" -analyse og hevdet at heuristikken som ble lagt frem i meldingen, gjorde det mulig å finne adressen. av visse pre-RingCT XMR-transaksjoner med 80% nøyaktighet. Mens aktiveringen av RingCT i februar reduserte sårbarheter knyttet til blockchain-analyse, økte dette bevisstheten om hvor ille problemet var før det ble aktivert. Som vi berørte tidligere, er Monero et system for disassosiasjon; Derfor avhenger personvern av antall falske enheter tilknyttet en transaksjon.

På den annen side er personverngarantiene i Zcash mye mindre underlagt sofistikert blockchain-analyse. I mai 2018 ga forskere ved University College London ut en omfattende artikkel som evaluerte anonymitet i Zcash gjennom lignende blockchain-analyse. Siden bare en brøkdel av transaksjoner i Zcash er private på dette tidspunktet, er det mulig å gruppere en liten brøkdel av transaksjoner basert på en adresses bruksmønster. I denne forbindelse ble andelen av Zcash-transaksjonene som er berørt av blockchain-analyse blek i forhold til Monero. Forskerne fant 23 Zcash-adresser i hele studien som delvis kunne spores ved analyse, mens over 200 000 XMR-adresser sannsynligvis var sårbare for utnyttelse av kjedereaksjon.

Av denne grunn er det vår oppfatning at personverngarantiene som gis av Zcashs zk-SNARK-er er sterkere enn Monero's RingCT. Når det er sagt, er det fortsatt mange risikoer forbundet med bruk av zk-SNARK-er. For at de skal fungere ordentlig, er zk-SNARK-er avhengige av en pålitelig seremoni kalt The Powers of Tau som brukes til å generere et sett med nøkler som kreves for å bevise og bekrefte zk-SNARKs. Hvis det blir kompromittert (og det ikke er noen indikasjon på at noen av seremoniene er blitt kompromittert), utgjør den systematisk risiko for hele prosjektet. Som vi utforsket i rapporten, vil prosessen med å generere disse nøklene, så vel som kravene til å generere zk-SNARK, bli overhalt 28. oktober, når en ny versjon av Zcash aktiveres.

Zcash Sapling

Sapling er en viktig oppdatering, og den er ment å øke bruken av zk-SNARK ved å ta i bruk verktøy som senker deres beregningskrav. Sapling kan redusere minnebruken av konstruksjonen av zk-SNARKer med 98% og gjøre prosessen med å bekrefte disse bevisene 80% raskere. Dette kan tillate at zk-SNARK-er konstrueres på smarttelefoner, noe som er nesten umulig å gjøre i protokollens nåværende versjon. Vi forventer at implementeringen av Sapling vil være en katalytisk hendelse gitt dens betydning og vår erfaring med store nettverksoppgraderinger på andre cryptocurrencies.

Den mest forventede forbedringen i Sapling er en ny elliptisk kurvealgoritme som brukes til å bestemme utfordringene i bekreftelsesprosessen for zk-SNARKs. Mens det tekniske navnet på denne nye kurven er BLS12–381, har forskerne ved Zcash-stiftelsen bestemt seg for å kalle det JubJub. Arbeidet med JubJub baserte seg på en banebrytende ramme som ble utgitt i 2015 kalt C∅C∅; et rammeverk som kan brukes til å bygge svært effektive komponerbare Zero-Knowledge Proofs.

Som vi berørte tidligere, har et av problemene knyttet til adopsjonen av Zcash vært vanskeligheten med å konstruere og verifisere zk-SNARKS. For kontekst kan du vurdere at en beregningsforekomst som kreves for å bekrefte en zk-SNARK i protokollens nåværende versjon, kan bruke over 3 GB RAM-minne for en node. Med JubJub kan Sapling redusere minnebruken med 98% og la zk-SNARK-er genereres og verifiseres på smarttelefoner. Bevistiden reduseres også med 80%, slik at zk-SNARK-er kan verifiseres på bare syv sekunder.

Finansiering av Coinbase

Merk: Vi har oppdatert vårt innlegg for å gjenspeile en avklaring angående blokkering og grunnleggerens belønning. Takk til Zcash-teamet for å tydeliggjøre denne skillet.

Zcash bruker en uortodoks strategi for å finansiere protokollutvikling og belønne teamet sitt. I motsetning til Bitcoin, gir ikke Zcash 100% av blokkbelønningen til gruvearbeidere. I stedet går en del av myntbasen i hver blokk direkte til Zcash-teamet. De kaller dette "Founders 'Reward", og det er designet for å finansiere Zcash kjerneteam og tidlige investorer. Denne strukturen er tidligere testet i protokoller som har en masternode-struktur, som DASH, men den er fremdeles atypisk i PoW-blockchains som bruker Nakamoto-konsensus.

Belønningen for Zcash-blokker blir delt etter fordelingen nedenfor:

· 3% går til Zcash Foundation

· 2,8% går til Zcash Electric Coin Company

· 14,2% går til ansatte i Zcash, rådgivere og grunnleggere

Som sådan går totalt 20% av blokkbelønningen til disse enhetene de neste 4 årene. Gitt protokollens halveringsplan, vil Zcash-teamet ha mottatt 10% av det økonomiske grunnlaget, eller 2,1 millioner ZEC når alle ZEC har blitt utvunnet. Jeg må merke meg at dette er en mye lavere andel av det totale tilbudet som går til stifteteam i forhold til det overveldende flertallet av prosjektene på plassen.

Denne finansieringsmodellen har vært kontroversiell gitt dens uortodoksi, og har nylig skapt et opprør på sosiale medier da flere ble klar over den. Ikke desto mindre er det et argument som må fremmes om at det så langt har bidratt positivt til veksten av Zcash og forskningen rundt zk-SNARKs de siste par årene. Uten at det ble avsatt betydelige ressurser til forskning, ville det være vanskelig å forestille seg hvordan den avanserte kryptografien som ble brukt av Sapling kunne vært utviklet i denne tidsrammen.

Ta kontakt med Digital Asset Research

For institusjonelle investorer som ønsker å abonnere på DARs forskning, kan du sende inn en forespørsel om informasjon her.

Hvis du vil registrere deg på vårt gratis daglige nyhetsbrev, kan du registrere deg her.