DeFi 的未來若寄託於隱私保護,零知識證明(ZKP)將發揮何種作用?
原文標題:《Web 3.0:隱私一小步,DeFi 一大步》
整理:CypherJump
9 月 10 日晚 8 點,由 CypherJump 發起的主題爲「Web3.0:隱私一小步,DeFi 一大步」的 AMA 在社區展開。
AMA 嘉賓邀請到了上海交通大學密碼學博士林煌、中央財經大學與美國佐治亞理工大學聯合培養經濟學博士郭大治,以及中國科學技術大學博士、安比實驗室創始人郭宇。CypherJump 創始人 & DeFi 實驗室發起者代世超與 3 位博士展開了交流,分享了關於隱私及 DeFi 的觀點。
以下爲對話原文:
代代:請問 3 位老師,如何理解 web 3.0?
林煌:關於 Web 3.0 的定義大家衆說紛紜,但有個共識就是他就是非常智能化的,而且是那種個人化的智能化。比如傳統你上網搜索某種昆蟲的名字,搜索引擎可能會給你提供關於這個詞最高頻的回答。
而在 web 3.0 中,引擎給你的答案可能是根據你的 profile 度身定做的,可能我這個人是個喫貨,他就會提供這種昆蟲可以做成哪幾種菜之類的信息。
當然,可以想象在這種應用場景中,由於用戶本身的信息在 web 3.0 的 personlization 的過程中起至關重要的作用,如何保護好用戶的隱私同時又能讓用戶享受 web 3.0 帶來的便利就是個亟待解決的問題了。
郭大治:關於 web 3.0 並沒有一個統一的概念,但這個概念的提出顯然是針對已有的互聯網提出的,互聯網實現了信息的互聯互通,並最終形成了以 FAAMG 爲代表的互聯網商業模式。
但是,互聯網降低信息傳播成本的同時也爲信息「作惡」提供了便利。發生在 Facebook 身上的用戶隱私泄露事件甚至讓他被傳喚公堂。網絡空間進化的方向是無限逼近真實世界。
Gavin wood 在我們爲何需要 web 3.0 一文中指出,Web 3.0 是一組包容性協議,爲應用程序製造商提供組建模塊。這些組建模塊取代了傳統的 Web 技術,如 HTTP,AJAX 和 MySQL,但提供了一種創建應用程序的全新方式。
區塊鏈顯然符合這個訴求,我們都知道區塊鏈將直接推動金融服務的變革,但目前區塊鏈網絡中鏈上交易的可追溯性使其應用場景受到極大限制。試想,基於鏈上數據的分析,個人的轉賬行爲一定會轉化爲個人畫像;資產透明將和業已存在的金融服務的基本規則形成本質上的衝突。隱私保護在 web 3.0 背景下成爲一種基礎選項。
郭宇:那我先談談自己對 Web3.0 的理解吧。Web3.0 我理解爲數據的融合與重新定義數據的所有權,數據能夠以用戶爲基礎保存在互聯網上,數據之間可以交互並且產生化學反應。
傳統 Web 中,用戶並不擁有數據,數據由巨頭所有,巨頭因爲這些數據而產生利潤,同時爲用戶提供服務。但是數據聚合起來的力量是無窮的,現在的互聯網巨頭公司已經霸佔了整個生態。問題是顯而易見的,各種數據濫用,數據泄露問題每天都在上演。
Web3.0 是需要改變這種情況,讓數據能夠便捷地產生、順暢地流動,健康地使用。是時候發生改變了,不然這種情況惡化下去,很難想象未來會變成什麼樣子。
區塊鏈的誕生,爲這種願景提供了無限可能,區塊鏈提供了加密貨幣,區塊鏈提供了數據共享的基礎設施,區塊鏈提供了去中心化的仲裁機制,這些是 Web3 的基礎。
估計不少朋友都在互聯網公司就職,互聯網公司是如何對待我們的數據的,可能不少人是清楚的,基本事實就是:基本處於無人管地帶。這種情況在進一步信息化,互聯網化的情況下,會加速惡化。
代代:金融被證明是區塊鏈早期的應用領域,【隱私資產】讓 DeFi 真正落地,這個說法你認可嗎?爲什麼?
林煌:我個人是認可這種說法,首先區塊鏈這個技術是比特幣的核心技術,我個人始終認爲比特幣之所以能在 08 世界金融危機之後橫空出世且能在整個世界金融中佔有一席之地,很大程度上和傳統金融界信譽破產有密切關係的。
這些包括各國央行在危機前在貨幣政策上的各種放肆注水,以及在危機之後美國政府所採取的所謂 bail out 華爾街幾大投行的措施。這些在政治上導致西方各國民粹主義氾濫,在經濟上我認爲比特幣可以說是經濟民粹主義的一種體現。
區塊鏈技術作爲比特幣的底層技術,從出身那天就自帶金融屬性,他天生就適合用於解決金融問題。
但是由於區塊鏈本身是個公開賬本,所以在隱私方面是有先天缺陷的,所以如果 DeFi 要真正落地,比特幣如果要真正成爲一個數字現金,隱私問題是個必須邁過的坎,就像我在之前的文章《雜談去中心化隱私支付》提到的那樣,你每天衣食住行的消費記錄完全公開是一般人不敢想象的事情。
郭大治:金融的本質是價值流通,是跨時間、跨空間的價值交換。價值流通的前提是啥?那就是需要對資產進行「確權、定價和可交易」。
這三種功能正好都是區塊鏈的強項,比特幣的設計使其具有顯著的「類黃金」屬性,已經成爲國際社會公認的另類投資品種,以太坊「圖靈完備」虛擬機的設計,使區塊鏈「確權、定價和可交易」的功能理論上可以擴展到任意場景,當然是線上場景。
所以說,區塊鏈是數字經濟的基礎設施,區塊鏈對於金融數字化的影響是天然的。不管去中心化金融,還是中心化金融,圍繞用戶的需求提供服務是基本前提。中本聰在比特幣的白皮書中特意用一章的內容去闡述其匿名性,比特幣最初是作爲一種假名加密貨幣開發的,只要現實世界的身份不會與比特幣地址聯繫起來,它就能保持隱匿。
但是,後來發生的事大家都知道,根據交易記錄已經可以推斷出相當一部分地址的歸屬,所以,去中心化金融需要隱私技術的不斷創新作爲基本支撐,否則的話,去中心化金融將失去其爲用戶提供服務的前提。
郭宇:無比認可,我的觀點可能還要激進一點:沒有隱私保護,就沒有 DeFi 的未來。
任何人都有一種保護隱私的本能,沒有隱私保護會拒用戶於千里之外。想象下 15 年前,我去銀行開通網銀的情形還歷歷在目。轉眼間,我們每天都在使用支付寶和微信在做在線支付了。銀行卡似乎很久沒用了。
預測一下,要不了五年,未來個體的金融行爲將是一個高頻行爲,每天發生 100 次。於是出現這樣一種情況:金融行爲能標籤我們個體,能夠預測出我們的各種個人信息,掌握了我的金融行爲,就掌握了我的物理個體,這想想都毛骨悚然。
不管是金融服務提供者、政府監管者、還是網絡上的黑客,我們都處於弱勢羣體。怎麼辦,金融必須提供「可靠地」的隱私服務。當然隱私服務不代表不接受監管。
DeFi 也不例外,相比於中心化的金融服務,DeFi 可以利用隱私計算技術提供更加可靠的,更加讓人信服的隱私服務。請注意,我強調的是「隱私服務」。
代代:什麼是隱私?如何理解隱私的重要性?
林煌:隱私其實是個很西方的概念,這和他們的個人主義的傳統有關的。劍橋詞典的定義是:「someone’s right to keep personal matters and relationships secret」。
我之前做過一 些 mobile healthcare 方面的隱私計算研究,當時查過美國 healthcare 方面法律對個人隱私的定義,比如 HIPAA(Health Insurance Portability and Accountability Act ) 對個人 healthcare 方面的隱私大致定義成:「the right of individuals to keep his/her individual healthcare info from being disclosed」。
所以從這些定義你大概可以看出,隱私很大程度上是一種對私域的定義和控制。這個其實是個人主義自由主義哲學傳統在信息學領域的一種應用。
我認爲在如今這個信息社會中,對個人隱私的掌控意味着你對個人生活的掌控。失去隱私意味着個人身份的喪失,用咱們中國傳統的一個詞來形容,「失魂落魄」,個人隱私是信息社會個體的靈魂。
郭大治:隱私是一種對錶達自己觀點方式的選擇權,數字社會中,隱私大約等同於數據資產,是經濟活動的基本生產要素,也代表了個人參與社會財富分配的重要途徑。
前一段時間,頗具話題性的民主黨總統競選人楊安澤在一次演講中提出「他若當選,則(美國公民)每人每月發 1000 美元」。這一主張背後的邏輯即是,以大型互聯網公司爲主要推動的數字經濟浪潮不可逆轉,但每個人都不應只是這個浪潮中的犧牲品,而應通過個人擁有的數據資產分享更大多的紅利。所以說,數字社會隱私的重要性上升到一個新的高度。
郭宇:我幫大夥列下,都有哪些隱私:
1、密碼口令,銀行卡密碼,btc 助記詞。這個前面大家都提到了,錢很重要。
2、個人的行爲:銀行流水,出行路線,聊天記錄,醫療歷史。這個也很重要,如果有一個人知道你每一分鐘在地球上的什麼位置,會不會毛骨悚然,像開了上帝視角一樣。
3、個人的言論,思想,文字記錄,語音記錄。這個不好說,對很多人說,這個也無比重要。
4、個人的生物特徵,聲音,照片。 當國內大規模上人臉識別身份認證的時候,我就知道黑客們的生意來了。看吧,過不了 3 年,你們都不敢在朋友圈放照片,人工智能能模擬任何一個人的聲音。
我 16 年的時候在研究身份認證,就發現了這個問題,那個時候凡是用人臉,大家都覺得高科技,絲毫沒注意到這根本沒有安全性可言。
5、其實,還有一大類,大家沒關注,那就是企業的隱私,企業的賬務記錄,銀行流水,客戶信息,管理數據。諸位老闆,你們誰願意把這些東西貼在門上?對於大一點的公司,如果 HR 泄露了薪資,估計就大亂了。列了 5 個方面,重要性已經不言自明。
代代:從區塊鏈從業的角度,也正是看到了「錢」的隱私的重要性,以及區塊鏈自身在隱私方面的天然缺陷,所以很早就誕生了「隱私幣」。那麼,能否普及一下,隱私幣的具體使用場景是什麼?不同的隱私幣之間有什麼區別?
林煌:最直接的應用當然是隱私支付啦,但隱私區塊鏈作爲金融基礎設施,可以有很多更爲複雜的金融活動在上面搭建,比如基於區塊鏈的拍賣,投票,票務管理啊。關於不同隱私幣之間的區別,我之前的文章《雜談去中心化隱私支付》有比較具體的介紹。目前來看隱私幣的核心技術還是零知識證明。
那麼不同隱私幣從技術角度考慮,最主要的差別還是底層零知識證明的差別導致的,比如有無可信初始化這個步驟,比如他們涉及的命題的複雜程度啊。當然,具體到這些隱私區塊鏈如何使用零知識證明,設計上是否存在 over-engineering 之類的,我那篇文章中也有更具體的介紹,我這裏就不一一贅述了。
郭大治:林博士提到了一些隱私幣的使用場景,但我想說的是,實際上隱私幣的使用場景還受隱私技術影響。
比如,最開始隱私幣只能實現隱藏交易地址,到後來又實現交易金額的隱藏;比較早期的「隱私三劍客」門羅、達世、Zcash,分別採用「環簽名」「混幣」和「零知識證明」的方式實現匿名,但大家知道 Zcash 提出的 zk-SNARK,實際上需要「可信預設」,而網絡中的攻擊者可以利用這些設置打印出無限量的 Zcash,且無法被發現。
這是一個巨大的安全隱患。此外,門羅、達世、Zcash 只能實現一個幣種的匿名,而無法和智能合約配合起來應用到諸如金融、拍賣、選舉等諸多場景,更無法和跨鏈通信技術相結合,支持真實場景的計算。
此外,中國央行的「法定數字貨幣」方案也提到了「可控隱私」的設計。所以說,隱私幣是一個值得長期探索的領域,也需要有專門的力量從事這方面的探索。隱私保護的應用絕不僅僅是隱私幣。
代代:什麼是零知識證明?以及如何理解這個概念的諸多分支?
林煌:抱歉,我可能還得提一下我之前寫的那篇綜述文章《雜談去中心化隱私支付》,那裏有對零知識證明這個概念比較通俗的介紹。零知識證明從功能上講可以看作一種非常精細的信息認證和控制泄露手段,他將私密信息嵌入到一個命題中,和傳統對數學命題的證明不一樣的是,他是用密碼的方法來生成證明。
這種證明起碼必須保證兩個性質,健全性(soundness)能保證不掌握命題祕密的人沒法生成證明,換句話說零知識證明本身認證了提供證明者掌握了某個命題所定義的私密信息;
零知識性(zero-knowledge)則能保證證明本身除了說明證明者掌握了和該命題相關的私密外不泄漏任何信息。這就是所謂的精細信息泄露控制。當然,通用的 zkp 還得有個 completeness 性質。
零知識證明從分類學的角度看,有很多種分類法:比如從證明者和驗證者之間是否交互角度可以分成交互式的和非交互式的,比如從具體方案設計上看,可以分成有 trusted setup 的和 setup free 的;從具體 statement,還可以分成特殊零知識證明和 generic 零知識證明方案。
郭宇:零知識證明不是第一個被神化的東西,第一個是 formal verification, 零知識證明理解起來確實略微燒腦,但是基本概念多想幾次也能想通。
廣義的零知識是說的是任何的安全協議,或者叫交互式證明系統,凡是具備零知識這個特性,都可以成爲零知識「證明系統」。
但是我們在區塊鏈技術中最常見的是「有效構造零知識證明」的理論和技術。這一類技術是爲了證明所謂的「算術電路可滿足性」問題答案。算術電路是一種可以表達計算的通用代數結構,如果能夠有效地構造算術電路上的零知識證明,理論上就能證明很多的計算過程。這是狹義地理解,也就是不需要暴露太多細節,但能證明這個東西就是你的,就是零知識證明。
代代:zkp 到底能做些什麼?爲什麼 Suter 要使用 zkp ?
林煌:Zkp 可以做的事情很多,我在 suter 白皮書中提到過任何時候保密性和 accountability 有衝突時零知識證明都有施展身手的機會。上面我提到所有和隱私支付相關的場合零知識證明都可以上場。
事實上,共享經濟比如滴滴這種企業在這方面也是有需求的,我之前和滴滴的人在這方面有過交流。比如他們經常被冤枉說操控價格,但很多時候可能價格本身只是運行算法本身的結果,但他們不能把算法和輸入直接拿出來給別人看說這就是我在這些算法在這些輸入上運行後得到的結果,因爲算法的有些參數本身是商業機密。
所以,這個應用場景其實是可以用零知識證明來證明價格本身是輸入通過算法運算後得到的正確結果,且不泄漏參數是什麼的。
Suterusu 意在搭建一個能讓開發者基於我們設計實現的安全高效的零知識證明技術模塊一鍵發隱私區塊鏈的,模塊化的,可交互的發射平臺。
由於我們核心的技術模塊是基於 groups of unknown order 的零知識證明,他能保證在無需 trusted setup 情況下實現 constant size 的某些特殊的零知識證明,這是我們採用這種零知識證明的主要原因。
郭宇:那我講講 ZKP 在區塊鏈領域中的兩個最重要的作用。 第一個是「祕密數據保護」,它是在不顯式出示數據的情況下,證明一個人擁有數據,或者證明這個數據具有某個特定性質,這個性質可以是一個多項式,也可以是一個 NP 問題,最常見的是算術電路可滿足性。
第二個是「計算壓縮」,他是證明在某個地方發生過一個計算過程,然後這個計算過程用一個 zkp 來代替,然後只要驗證這個 zkp 是否合法,就能知道在遠方曾經發生的計算行爲是否真實發生過。
這兩大類功能足以彌補現在區塊鏈技術中的各種問題。(1)數據上鍊怕泄露(2)數據太大無法上鍊 (3)區塊鏈性能太差。
這三個問題都是 zkp 的拿手好戲,首先 (1),如果上鍊前需要把數據脫敏,那麼可以用 zkp 來代替敏感的那部分數據。對於 (2),數據太大怎麼辦,可以把數據的 commitment 或者數據的 hash 上鍊,但是通過 zkp 可以保證,鏈下保存的數據都還在,沒丟,並且確實能和鏈上的數據對得上。
最後 (3),這是最新的方向,大家可以搜搜 ZK Rollup ,這是 v 神看好的混合二層協議的核心技術。搭配上 eth 2.0 的 data sharding,將會實現超乎想象地性能擴容,zkp 與 區塊鏈放一起是絕配。
代代:安全和密碼學之間是什麼關係?
林煌:在區塊鏈的安全體系中,密碼學毫無疑問是主角。cryptocurrency 把 crypto 作爲 currency 的定語是名副其實的。密碼學是區塊鏈安全的基石,具體到隱私區塊鏈這個應用場景,密碼學更是重中之重。
密碼學這些年在研究方面的進展可謂一日千里,但很多非常棒的想法沒有真正被實現,他們在安全領域的潛力沒有完全挖掘出來,這是很不幸的事情。
但從另外一個角度看,這個問題之所以存在是有他的合理性的,因爲畢竟就像我在《雜談去中心化隱私支付》提到的那樣,密碼學方案往往涉及非常高深的數學,而普通的程序員往往不具備讀懂這些方案的數學基礎,而密碼學家們懂密碼未必真能寫出靠譜的代碼,所以光是組織協調這兩個領域的專家就已經是非常困難的事情了。
目前放眼望去,國內在零知識證明這塊還沒有真正有自己核心技術的項目,大多是還是偏向於拿來主義,直接把某些國外的隱私幣項目底層的零知識證明實現拿過來用的比較多。
我們 suterusu 項目比較獨特的地方是兩位創始人分別在工程實現領域和密碼學專業領域都曾深耕多年,積累了較多的人脈,我們希望能真正做到不僅在密碼學理論創新上有所貢獻,還能真正把這些理論在國內做到首次落地,在這方面我們希望能舉個自己的大旗,而不是僅僅 follow 別人在密碼模塊方面的工作。
郭宇:安全是個比較大的話題,但是回想下計算機的安全更多是基於人的,而密碼學是可以提供數學意義上的安全。
在下一代互聯網應用中,密碼學毫無疑問將佔據一箇中心地位,密碼學提供的安全性是經過「數學證明」的安全性。翻開一本現代密碼學書,你會在第二章看到「安全」的定義。
到底是什麼是安全?這個在傳統網絡安全中是沒有定義過的。在密碼學中是有嚴格定義的,其次,密碼學的安全性是明確定義了安全假設的。任何的安全都基於一定的假設, 現實中太多號稱安全但實際上窟窿百出的原因就是,安全假設過多,安全假設不再成立。
最後,現代密碼學的工具也好,協議也好,zksnark 也好,都要提供安全性證明的!沒有證明,大家不會認可的,這是基於數學的,客觀的,『真正去中心化的』
能啃過 GGPR13 的人不多。所以說,只要這個世界繼續數字化下去,密碼學將會佔據一個非常重要的核心地位,當然區塊鏈也一樣。
代代:個人如何保護自己的隱私?
林煌:我覺得首先個人得有隱私保護方面的意識。比如前段時間出現的 ZAO 軟件事件對我而言就是非常不可思議的事情,怎麼會那麼多人爲了玩一個那麼無聊的遊戲心甘情願地將自己的 facial info 交出呢?
很多時候諸如密碼學技術等是能在隱私信息保護方面起到重要的作用,但他必須有個前提是個人看重自己的隱私,技術纔會被人用起來,纔會真正在保護個人隱私方面起作用。如果個人用戶沒有這方面的意識,那真的就是誰也幫不了的,god only helps those who help themselves。
郭大治:支持專業的人專注地搞隱私技術研發就是對個人隱私保護的貢獻。
郭宇:我看到太多人用 123456 或者生日作爲自己的密碼,把 BTC 助記詞放到微信裏,網盤上。我看到太多人因爲信息泄露被騙……
即使隱私我們無能爲力(我覺得很多黑客比我更瞭解我自己),我們需要意識到這一點,意識到我們「感覺安全」和「實際情況」是那麼得不一樣。 在目前的互聯網環境下,我們的隱私只能阿彌陀佛。大多數互聯網公司的個人信息保護非常脆弱。那麼,安全意識有沒有意義呢?
我覺得有的,至少,我們能夠成爲衆多受害者中略微輕傷的那一撮。
感謝 3 位嘉賓專業的分享,希望更多人提高隱私保護的意識,也希望隱私安全技術,能夠對 DeFi 和區塊鏈有更大的推動力!
繁體中文
简体中文
English
日本語
Español