区块链上的隐私不仅仅是保护个人用户,它对于企业采用、遵守数据保护法规以及拓展新的设计空间至关重要。
撰文:Duncan Nevada, Hack VC 研究合伙人
编译:1912212.eth,Foresight News
区块链的透明账本从根本上改变了我们对可信系统的看法。正如那句老话所说:「don’t trust, verify」,透明性让我们能做到这点。如果一切都是公开的,任何伪造都可以被标记出来。然而透明性也是可用性的一大限制。当然,有些信息应该公开,例如结算、储备、信誉(甚至身份),但我们绝不希望全部财务和健康记录与个人信息一起公开。
区块链中的隐私需求
隐私是一项基本人权。没有隐私,就没有自由与民主。
正如早期互联网需要加密(或 SSL)来实现安全的电子商务,并保护用户数据一样,区块链需要强大的隐私技术才能充分发挥其潜力。SSL 允许网站加密传输中的数据,确保信用卡号码等敏感信息不会被恶意行为者拦截。同样,区块链也需要隐私保护,以在保持底层系统完整性和可验证性的同时保护交易细节和互动信息。
区块链上的隐私不仅仅是保护个人用户,它对于企业采用、遵守数据保护法规以及拓展新的设计空间至关重要。没有哪家公司希望员工都能看到其他人的薪资情况,或者让竞争对手能够对其最有价值的客户进行排名并挖走他们。此外,某些行业如医疗和金融,对数据隐私有严格的监管要求,只有满足这些要求,区块链解决方案才能成为可行的工具。
隐私增强技术(PET)图谱
随着区块链生态系统的发展,出现了多种重要的隐私增强技术(PET),每种技术都有其独特的优势和权衡。这些技术——零知识证明(ZK)、多方计算(MPC)、完全同态加密(FHE)和可信执行环境(TEE)——涉及六个关键问题。
- 通用性:解决方案在多种用例和计算场景中应用的难易程度。
- 可组合性:该技术与其他技术结合的难易程度,以减少其缺点或开拓新设计空间的成本。
- 计算效率:系统执行计算的效率如何。
- 网络效率:系统在参与者数量增加或数据规模扩大的情况下的扩展性如何。
- 去中心化:安全模型的分布程度。
- 成本:实践隐私的成本是多少。
就像区块链在可扩展性、安全性和去中心化三者之间的权衡一样,同时实现上述六个属性也是一项挑战。然而,近期的进展和混合方法正在推动其可能性变大,使我们更接近于全面、经济且高效的隐私解决方案。
现在我们简要梳理这些隐私增强技术(PETs)的现状,并探讨其未来前景。
零知识(ZK)允许验证某项计算是否发生并得到了结果,而无需揭示输入的内容是什么
- 通用性(中等):电路具有高度的应用特定性,但正通过如 Ulvatana 和 Irreducible 这样的基于硬件的抽象层以及通用解释器(如 Nil 的 zkLLVM)进行改进。
- 可组合性(中等):它可以在孤立环境中与受信任的证明者一起工作,但在网络化设置中,证明者必须看到所有原始数据。
- 计算效率(中等):随着实际 ZK 应用(如 Leo Wallet)的上线,通过新颖的实现,证明的效率正呈指数增长。我们预计随着客户采用的增加,进一步的进展将会出现。
- 网络效率(高):最近的折叠技术引入了巨大的并行化潜力。折叠本质上是一种更高效的构建迭代证明的方法,因此可以基于之前完成的工作进行扩展。Nexus 是一个值得关注的项目。
- 去中心化(中等):从理论上讲,证明可以在任何硬件上生成,但实际上,GPU 在这里得到了优先使用。尽管硬件变得更加统一,但通过像 Aligned Layer 这样的经济级别的自动验证系统(AVS),可以进一步实现去中心化。输入只有在结合其他技术时(见下文)才是私密的。
- 成本(中等):
- 高初始实现成本:电路设计和优化需要较高的初始投入。
- 适中的运营成本:生成证明成本高,但验证效率高。一个显著的成本因素是以太坊上的证明存储,但可以通过使用数据可用性层(如 EigenDA)或自动验证系统(AVS)等其他方法来缓解。
多方计算(MPC):多方可以共同计算结果而无需互相透露各自输入内容
- 通用性(高):考虑到专门化的 MPC 类型(如秘密共享等)。
- 可组合性(中等):MPC 是安全的,但随着复杂性的增加,可组合性降低,因为复杂性会引入指数级的网络开销。然而,MPC 能够处理来自多个用户的私密输入,这是一种相当常见的使用场景。
- 计算效率(中等)
- 网络效率(中等)参与者的数量会使网络需求呈平方级增长。Nillion 和其他项目正在努力解决这个问题。这里也可以利用 Erasure coding/Reed-Solomon 码——或者更宽泛地说,分割数据并保存这些数据块——来减少错误,尽管这不是传统的 MPC 技术。
- 去中心化(高):虽然理论上参与者可以串通,从而影响安全性。
- 成本(高):中等到高的实现成本;由于通信开销和计算需求,运营成本高。
完全同态加密(FHE):允许在加密数据上进行计算,而无需先解密数据
- 通用性(高)
- 可组合性:对于单用户输入,高。对于多用户私密输入,需要与其他技术结合使用。
- 计算效率(低):尽管从数学层到硬件层的优化进展显著,但计算效率仍然较低,这将是一个巨大的突破。Zama 和 Fhenix 在这方面做了大量出色的工作。
- 网络效率(高)
- 去中心化(低):部分原因是计算要求和复杂性,但随着技术进步,FHE 的去中心化可能接近于 ZK 的去中心化水平。
- 成本:非常高。
- 由于复杂的加密技术和严格的硬件要求,实施成本高。
- 由于密集的计算需求,运营成本高。
可信执行环境(TEE):是计算机处理器内的一个安全区域,用于在与系统其他部分隔离的情况下执行敏感操作。TEE 的独特之处在于它依赖于硅和金属,而非多项式(polynomials)和曲线。因此,虽然它可能如今算很强的技术,但其改进速度理论上较低,因为受到昂贵硬件的限制。
- 通用性(中等)
- 可组合性(高):但由于存在 side channel 攻击的潜在风险,安全性较低。
- 计算效率(高):接近服务器端效率,甚至 NVIDIA 的新 H100 芯片组系列配备了 TEE。
- 网络效率(高)
- 去中心化(低):受到特定芯片组(如 Intel 的 SGX)的限制,这意味着可能会受到侧信道攻击的威胁。
- 成本(低)
- 如果使用现有的 TEE 硬件,实施成本较低。
- 由于接近本地性能,运营成本较低。
实际应用案例
为了使这些技术更具实际意义,以下是每种技术的部分现实应用案例:
- 零知识证明(ZK):适用于需要验证某个过程生成正确结果的场景。它与其他技术结合时是一种优秀的隐私技术,但单独使用时牺牲了信任性,更类似于压缩。我们经常用它来验证两个状态是否相同(例如「未压缩的」二层状态和发布到一层的区块头,或验证用户是否年满 18 岁而不透露用户实际的个人识别信息)。
- 多方计算(MPC):常用于密钥管理。这可以是用于其他技术的私钥或解密密钥,也用于分布式随机数生成、小规模机密计算操作和预言机聚合。总的来说,任何需要多个不应串通的参与方进行轻量级基于聚合的计算的场景都是适用的。
- 完全同态加密(FHE):适用于需要在计算机看不到数据的情况下进行简单、通用计算的场景(例如信用评分、智能合约中的 Mafia 游戏,或在不泄露交易内容的情况下对交易进行排序)。
- 可信执行环境(TEE):适用于更复杂的操作,前提是你愿意信任硬件。例如,这是企业、金融 / 医疗保健 / 国家安全机构中私有基础模型(如企业内部存在的大型语言模型)的唯一可行解决方案。权衡是,由于 TEE 是唯一的硬件基础解决方案,理论上其缺点的缓解速度可能比其他技术更慢且更昂贵。
介于之间的选择
没有完美的解决方案,也不太可能有一种技术会成为完美的解决方案。混合多个方法令人兴奋,因为它们可能利用一种技术的优势来弥补另一种技术的不足。下表显示了通过结合不同方法可以解锁的一些设计空间。实际的方法非常不同(例如,将 ZK 和 FHE 结合起来可能需要找到合适的曲线参数,而将 MPC 和 ZK 结合起来可能需要找到某类设置参数以减少最终的网络成本)。
简言之,高效且具有广泛适用性的隐私技术可以解锁各种应用,包括游戏、治理、更公平的交易生命周期(Flashbots)、身份(Lit)、非金融服务(Oasis)、协作和协调。这也是为什么我们对 Nillion、Lit Protocol 和 Zama 感到如此兴奋的原因。
结论
总之,我们看到上述技术潜力巨大,但仍处于探索可能性的早期阶段。单一技术可能接近一定程度的成熟,但技术叠加仍是一个值得探索的领域。