干货 | 要给智能合约增加隐私性并不简单

对用户来说，普通交易的隐私保护（译者注：文中有时也会简称为隐私交易）基本上算是一个已解决了的问题（尽管在研究上仍然遗留了一些挑战）。如果我们想在不透露账户余额或转账金额的前提下转移密码学货币，我们有诸如大零币（Zcash）或门罗币（Monero）这样可接受的选项。不过，对于去中心化应用或者智能合约来说，隐私保护仍是一个尚未解决的问题。

是什么让智能合约与普通交易在输入/输出（I/O）的隐私保护上有所不同呢？

在本文中，我们将解密隐私保护从普通交易拓展到智能合约上会遇到哪些挑战。为此，我们将考察应用于隐私币的常用密码学工具，并探讨为什么这些工具不太适合更复杂的隐私应用。最后，我们将简要介绍最近提出的一些智能合约隐私保护方案。

隐私保护的定义

“ 隐私保护 ” 到底是什么意思？

我们将从函数的角度来定义隐私保护。例如，我们可以把 交易 看作是一些 函数 ，它以账户余额和转账金额作为输入。然后它输出更新后的余额。

（要实现隐私保护）我们可以考虑隐藏函数的输入和输出。就交易而言，这可以让我们隐藏账户余额和转账金额。你会愿意公开你的账户余额和转账历史吗？可能不会吧。因此，我们至少要支持函数（以及随后的智能合约）的 I/O 隐私保护。

我们也可以考虑隐藏函数的 调用者 信息。有时候，函数输入会留下关于函数调用者身份的线索。在实践中，隐藏函数的输入和输出通常会和隐藏函数调用者的身份 相结合 。

最后，我们可以考虑隐藏函数本身。这在密码学货币领域不太常见，其通常与隐藏函数的输入/输出相结合。

当你在本文中看到 “隐私保护” 这个词时，请把它当成一个总称，指的是 至少支持 I/O 隐私保护 的东西。

好吧，但我们要在哪里用到隐私保护呢？

我们可以认为普通交易的隐私保护已被解决（至少在可行性方面确实如此，可扩展性又是另一回事了），所以让我们直接转到智能合约的隐私保护。

不过，我们先绕个弯子，回顾一下以太坊 ……

以太坊 支持用户自定义的合约，合约以代码的形式执行（也就是 “智能合约”）。这些合约用以太坊自己的图灵完备的语言编写，每执行一个操作都要支付一些（预设的）费用。因此，每笔交易都要附上交易费，以激励矿工打包交易。

应用的隐私保护

智能合约让我们在区块链上得以构建丰富的应用 —— 从用户可交易各种密码学货币及其衍生品的 去中心化交易所（DEX） ，到允许权益持有者对提案进行投票的 去中心化自治组织（DAO） 。

我觉得没必要长篇大论讲解为什么 DAO 需要隐私保护；在现实生活中，投票通常都是私下进行的，所以想要隐藏我们的虚拟投票也是非常合理的。

另一方面，去中心化交易所的隐私保护需要解释一下。 抢先交易 （front-running）无论是对中心化交易所还是去中心化交易所都是一个问题。在区块链世界里，抢先交易者密切观察已提交的订单，并通过支付更高的交易费（贿赂矿工）实现插队。这使得抢先交易者 Eve 能够抢在 Bob 之前买到 Bob 想买的证券，并随后以更高的价格卖给 Bob。 封闭式拍卖 是解决这个问题的一个可能的办法。对于有兴趣的读者，可以在 这里 找到更多关于在去中心化交易所的抢先交易的信息。

不过，以太坊的智能合约并没有提供任何形式的开箱即用的隐私保护。所有的信息都是公开可查看的 —— 合约的输入/输出，合约的功能，参与的用户，等等。为以太坊的智能合约 添加 隐私保护不是一件容易的事情，因为以太坊从一开始就没有被设计成支持隐私保护。虽然在以太坊上可以实现隐私交易（通过 1 ， 2 ），但是更复杂的隐私保护操作往往过于昂贵，甚至超过以太坊单个区块的费用限额（即 gas limit），以至于无法实现。

难道我们就不能设计一种新的密码学货币，从一开始就支持任何函数的隐私保护吗？毕竟，大零币和门罗币就是这样做的。

目前我们还不清楚如何在密码学货币中支持任意函数（例如在投票和交易所中需要的函数）的 I/O 隐私保护。为了理解这些挑战，我们需要考察密码学货币是如何支持隐私交易的。

通往隐私保护之路

我们先考察用于 普通交易 I/O 隐私保护的密码学工具。我们将关注账户模型而非 UTXO 模型的加密货币。账户模型在支持智能合约的场景下尤其有用，不过账户模型对于隐私计算来说不是必须的（我们将在后面看到）。

工具 1：同态加法

大多数密码学货币的隐私保护方案都依赖于具有 加法同态 的加密或承诺方案。为了简单起见，我们将专注于加密方案，但同样的原则也适用于承诺方案。

在加法同态加密方案下，我们有以下等式： Enc(a) + Enc(b) = Enc(a + b) 。

因此，加法同态加密方案允许 任何人 这样验证交易的有效性： Enc(balance) + Enc(transfer amount) = Enc(balance + transfer amount) （余额的加密值与转账额的加密值之和，恰等于两者之和的加密值）。

Alice 有自己的的公钥 —— pk_a。她用自己的公钥加密账户余额 bal_a（这样就只有她自己知道账户余额）。我们用 β_a 表示她加密后的余额，β_a = Enc(pk_a, bal_a)。Alice 的公钥 pk_a 和加密后的余额 β_a 都公开在网上，任何人都能查看。

Bob 同样如此；他也有自己的公钥 pk_b，只有他自己知道的账户余额 bal_b，以及用他的公钥加密后的余额 β_b，β b = Enc(pk_b, bal b)。

如果 Alice 想在不透露转账金额（amnt）或她自己的账户余额的情况下向 Bob 转账，她只需要公布用她自己的公钥加密后的转账金额，以及用 Bob 的公钥加密后的转账金额。我们分别用 c_a = Enc(pk_a, amnt) 和 c_b = Enc(pk_b, amnt) 来表示这些值。

现在任何人都可以计算更新后的余额。Alice 更新后的账户余额是 β_a - c_a，Bob 更新后的账户余额是 β b + c b。

等一下！如果所有这些值都被加密了，我们怎么知道 Alice 的账户里有没有足够的钱支付 amnt 金额的转账呢？我们又怎么知道 c_a 和 c_b 加密的金额是不是一样的呢？

这就要用到我们的下一个工具 —— 零知识证明了。

工具 2：零知识证明（ZKP）

为了确保 Alice 没有在上述交易中作弊，她需要在交易中附上一个证明。这个证明需要表明她的账上有足够的资金以完成交易，她没有向 Bob 转一笔负数的金额（无论是意外还是恶意），而且 c_a 和 c_b 确实加密了相同的金额。

当然，Alice 不想透露她真实的账户余额和转账金额；因此，她附上了一个零知识证明 π，让所有其他用户相信必要的条件已经被满足，而无需透露任何额外的信息（如她的账户余额或转账金额）。

现在把所有的工具放在一起 ...

Alice 用她和 Bob 的公钥分别对转账金额进行加密，得到了 c_a 和 c_b。她提供了一个 ZKP，π，证明她在交易中没有作弊。矿工们会验证所有的必要条件是否被满足，ZKP 是否有效。然后，他们会使用同态加法分别更新 Alice 和 Bob 的加密余额：β_a = β_a - c_a，β_b = β_b + c_b。注意，虽然用户提供了加密后的输入和一个 ZKP，但是矿工需要负责执行计算以及更新加密后的余额。在区块链中，我们假设大多数矿工是诚实的，所以我们知道他们会正确地更新 Alice 和 Bob 的余额。

注：这是一个大大简化的解释（例如，省去了为 确保加密安全 所需要的随机性）

将普通交易的隐私保护技术拓展到智能合约上面临的挑战

所以我们刚刚已经看到了，我们可以执行隐藏输入和输出的交易。那么我们可以把在隐私交易中用到的技术，用于支持应用的 I/O 隐私保护吗？换句话说：

隐私计算和隐私交易是否不同？如果是，为什么？

问题 1

需要注意的是，隐私交易需要满足设定的条件才是正确的（即发送方要有足够的资金，转账金额必须为正数，等等）。我们如何能弄清楚一个任意的合约需要满足哪些条件？这些条件显然受特定的应用影响。在投票中，我们可能希望证明我们隐藏的投票是在正确的范围内进行的，而对于拍卖，我们可能希望证明我们的账上有足够的资金用于封闭投标。

对问题 1 的潜在解决方案

这个问题也没那么严重；只是需要用户做更多的工作。去中心化应用的开发者必须明确他们的特定应用需要满足哪些条件，并将这些条件传达给用户。为了能够证明各式各样的条件，我们可能希望在方案中支持一些通用的 ZKP。所谓 通用 的 ZKP 就是能够证明任意的声明（不像那些目前用在大零币里的 ZKP，它们是非通用的）。

问题 2

在普通交易中，我们只对属于同一个用户的值进行操作（即使用同一个密钥加密）。比如在图 6 中，矿工把用 Alice 的公钥加密后的余额与用 Alice 的公钥加密后的转账金额相加。如果我们想对属于不同用户的输入值进行隐私计算呢？这并不是一个多么牵强的需求，比如我们考虑对投票做隐私保护时就会涉及。

对问题 2 的潜在解决方案

目前还不清楚如何在用户相互之间不透露输入明文的情况下，支持对不同用户的输入进行计算。有一些先进的密码学元件（比如安全多方计算和基于多密钥的全同态加密 FHE），允许用户对不同密钥加密的输入进行计算。然而，这些方案的成本都非常高，而且有很多缺点。在密码学货币的应用场景下，目前似乎没有人有一个很好的解决方案来解决这个问题（除了与参与计算的其他用户共享明文，然后在同一个密钥下加密）。

问题 3

普通交易只需要同态加法，因为我们只需要将加密的转账金额加到加密的余额上。如果我们想进行更复杂的计算，可能涉及到乘法呢？

对问题 3 的潜在解决方案

同态乘法允许我们将加密的输入相乘，使得 Enc(a) * Enc(b) = Enc(a * b) 。通过同态加法和同态乘法，我们可以表示任意多项式函数。所以，我们很自然地想到这个问题：

我们能够支持同态乘法吗？

一个既能支持同态加法，又能支持同态乘法的加密方案是 全同态加密（FHE） 。使用 FHE，我们仍然可以遵循图 6 中所描绘的模型。也就是，用户指定加密输入，要运行的函数，以及证明加密输入满足必要条件的 ZKP。矿工能够验证 ZKP。他们使用同态加法和同态乘法直接对用户提供的密文进行操作。

不幸的是，FHE 方案使用基于格（lattice）的加密技术，这（在目前）与密码学货币中使用的超高效的 ZKP 并不兼容。我们曾经写过关于 FHE 及其问题的 文章 。目前，由于 FHE 存在一些缺点，还没有人提出基于 FHE 的解决方案。

这样，我们目前就只剩下 两种方法 来解决问题 3 了。

• 接受我们只能支持同态加法的现状，遵循隐私交易模型。

在这里，用户提供加密后的输入和一个 ZKP，证明他们的输入满足特定应用的一些指定条件。矿工验证证明，使用同态加法对输入进行操作。需要注意，应用于输入的函数只能用加法来表示。因此，只要函数只需要用到同态加法，我们就可以要求矿工对我们加密的输入执行任意满足该条件的函数。 这就是 Zether 所采用的方法 。

• 要求用户线下计算。这样我们就不需要为加密/承诺支持同态乘法了。

在这里，我们要求用户 Alice 将对明文的几乎所有计算都放到线下进行。她会公布计算的加密输入和加密输出。因为计算是在线下完成的（因此我们并不知道 Alice 是否诚实），她同样需要提供一个 ZKP 证明计算过程是正确的。 注意，这一步对隐私交易来说是不必要的，因为矿工会执行计算，而我们假设大多数矿工是诚实的 。就应用而言，她可能还需要另一个 ZKP，证明应用指定的条件已被满足。矿工所需要做的就是验证 ZKP 是否有效，然后同意 Alice 提出的状态变更。 这就是 Zexe 和 Zkay 所采取的办法 。

我不会在这里讨论哪种方法（图 7 与图 8）更优；只想说明它们是 不同 的。

智能合约的隐私保护

前面我们已经谈到了在区块链中支持任意函数的隐私保护要面临的一些问题，现在让我们来看一看一些已有方案的构造。

如果前面说得还不够清楚，我再重申一下，这个领域距离解决问题还有很长的路要走。设计这些构造的论文（即 Zether，Zkay，Zexe）都是在过去两年中发表的。

Zether 是一个建立在以太坊上的隐私交易方案。它可以延伸到支持有限的智能合约的 I/O 隐私保护 —— 即那些可以通过同态加法表示的合约。这使得我们可以执行简单的封闭式拍卖（假设竞拍者会一次买下所有单位）和隐私投票（假设投票选项非 0 即 1）。遗憾的是，由于 gas 的限制，目前在以太坊上只能实现在交易中隐藏用户余额和转账金额。与接下来的两种构造不同，Zether 使用的是 “透明” 的 ZKP（即 ZKP 不需要可信的启动设置）。

Zkay 同样延伸了以太坊的设计以支持智能合约的隐私保护。他们依赖 ZKP 保障隐私计算的正确性，从而可以将大部分工作丢给用户在线下完成。因此，这种设计选择使得它们能够支持比 Zether 更多类型的函数。

Zexe 则试图延展大零币的设计，以支持任意脚本。与前两者不同，Zexe 还可以支持函数本身的隐私保护。

方案 隐私保护类型 模型 表达能力 基于哪条链设计 Zether I/O 图 7 加法函数 以太坊 Zkay * I/O 图 8 任意函数 以太坊 Zexe * I/O, 函数** 图 8 任意函数 大零币

* Zkay 和 Zexe（如前所述）使用的是带有 可信设置 的 ZKP 方案。不过，这些 ZKP 方案当然可以被不需要可信设置的方案替代。

** 在区块链的场景中，I/O 隐私保护似乎比函数隐私保护更有意义，因为用户很可能希望在决定是否参与合约之前先对合约进行审计。

请注意，还有其他一些用于智能合约隐私保护的构造（即 Ekiden 、 Hawk 、 Arbitrum ），但是这些方案都需要某种准-受信任（semi-trusted）的管理器或受信任的硬件。

大多数智能合约的隐私保护方案都需要额外的安全假设 —— 无论是受信任的启动设置（trusted setup），准-受信任的管理器还是受信任的硬件。然而，ZKP 是一个快速发展的领域，更高效透明的构造很可能会被创造出来。

期许

当涉及表达能力，信任和效率时，在智能合约的隐私保护上进行的探索提出了很多有趣的理论和实践挑战。现在，很难说在图 7 或者图 8 所代表的方法中，哪种（如果有一种的话）可能会在区块链的隐私计算中胜出。此外，未来全同态加密的进展能否转化到区块链中以解决问题 3，这也是一个很有趣的看点。

（完）

原文链接: https://blog.nucypher.com/bringing-privacy-to-smart-contracts-is-nontrivial/

作者:RAVITAL SOLOMON

翻译&校对:戡乱 & 阿剑