說起來早期比特幣出現(xiàn)的時候亮點應(yīng)該就是其去中心化的特性以及隨之而來的不可篡改性，這意味著我們的賬戶信息不必提供給某家公司或者政府機構(gòu)，看起來就比較自由，然而事實上隨著政府監(jiān)管的加強以及各個交易所的管理的加強，這部分的自由已經(jīng)受到了極大的限制。
不過這就不是我們要討論的內(nèi)容了，今天我們還是從技術(shù)的角度來看看區(qū)塊鏈上的匿名與隱私，這篇應(yīng)該算是開篇，所以前面會有一些簡單的介紹。

區(qū)塊鏈中的隱私保護
為何需要隱私保護
其實比特幣在設(shè)計之初也考慮過賬戶與交易的匿名性，因為整個比特幣的賬戶地址幾乎是無限的，大家都可以隨意創(chuàng)建錢包地址，這樣你甚至可以做到每筆交易都拿一個新地址來接收，然而受限于區(qū)塊鏈網(wǎng)絡(luò)的公開性以及帶來的可追蹤性，對于這些分散的交易你可能需要整合才能進行一筆較大的交易，而這種多輸入的交易一旦出現(xiàn)，我們就可以將這些來源地址劃分到同一賬戶下，繼而對這些賬戶進行進一步追蹤，這樣通過對整個交易網(wǎng)絡(luò)的分析我們就能得到很多可關(guān)聯(lián)的信息，加上交易金額也是公開的，對于一些特定金額的交易我們也能找到蛛絲馬跡，如果對應(yīng)地址的身份得到確認，通過這些信息就可以推算出更多的地址信息，另外還有找零所使用的零錢地址也會帶來信息的暴露，早期比特幣的客戶端就出現(xiàn)過零錢地址總是在輸出地址的第一個的bug，通過這樣層層遞進我們就可以揭開那些隱藏在比特幣網(wǎng)絡(luò)下的真實身份。
可以看到比特幣網(wǎng)絡(luò)所面對的隱私挑戰(zhàn)還是很多的，可以說完全無法滿足匿名性的需求，另外由于區(qū)塊鏈交易的全程可追蹤性，每筆資金的歷史都可以查得清清楚楚，這就相當于給比特幣都打上了烙印，那些涉及過黑產(chǎn)交易的比特幣會永遠保持這一烙印，如果這樣的錢到了你的手上想必你也不太舒服吧，同時如果你在外使用比特幣支付那么別人也能看到你的賬戶里有多少錢，怎么想這都不太安全
你可能會覺得看上去區(qū)塊鏈的隱私保護只是為了隱藏賬戶擁有者的個人身份信息以及消費信息，不過事實上對于各企業(yè)而言區(qū)塊鏈的隱私性也是非常重要的，比如某些在區(qū)塊鏈上與對方簽訂的合約，以及跟客戶的交易信息等等，很多應(yīng)該算是商業(yè)機密了，這些都需要得到保護。
區(qū)塊鏈在隱私保護上的薄弱之處還有很多，這里就不展開說了，一些針對網(wǎng)絡(luò)的嗅探以及對節(jié)點的攻擊也非常具有威脅性，不過區(qū)塊鏈技術(shù)在匿名性上又確實有著得天獨厚的優(yōu)勢，也不能就這么放棄了，所以啊凡此種種都在敦促著新的技術(shù)的應(yīng)用
區(qū)塊鏈中的隱私保護方案
說了這么多，其實我們關(guān)心的也就是交易的可見性，所以后面我主要介紹的也是基于對交易信息進行加密的隱私保護方案，可以說它們是工作在交易層，如果考慮更進一步的話還得想辦法應(yīng)對在更底層也就是網(wǎng)絡(luò)層面的分析，水平以及篇幅所限就不多說了，有興趣的可以自行查閱相關(guān)資料
目前來說，比較典型的對交易內(nèi)容進行隱藏的隱私保護方案主要是達世幣(Dash)所采用的混幣技術(shù)，門羅幣所采用的環(huán)簽名與隱秘地址以及zcash所采用的零知識證明，這些都匯聚了很多密碼學(xué)的知識，深入進去，你會發(fā)現(xiàn)它們真的很難，特別是零知識證明，然而又非常讓人著迷，這可能就是密碼學(xué)的魅力所在吧
此外，還有針對智能合約設(shè)計的Hawk方案以及針對聯(lián)盟鏈的Quorum和Coco框架，也值得了解了解，下面我們簡單來看看門羅幣所采用的加密方案
門羅幣的隱私保護方案
介紹一下門羅幣

門羅幣應(yīng)該算是比較出名的加密貨幣了，現(xiàn)在貌似也超越了達世幣成為了匿名貨幣的老大哥，不過說實話在之前我對它的認識還主要是在挖礦領(lǐng)域，因為它所使用的hash算法比較特殊，不像比特幣那樣可以通過定制ASIC來大幅提高挖礦效率，比特幣的這一特點使得其主要算力幾乎完全來自于ASIC，也就是各大礦池，而要針對門羅幣定制ASIC則成本會很高昂，而且所獲得的提升也沒那么大，所以我們可以直接拿自己的電腦來進行挖礦，而不至于像比特幣那樣被礦池完虐，那些常見的針對服務(wù)器的挖礦入侵以及一些網(wǎng)站嵌入的惡意挖礦腳本一般也是針對門羅幣的，這些黑產(chǎn)對門羅幣的青睞很大程度上也是看中了它的匿名性，大家如果有閑置的服務(wù)器倒也不妨拿來挖挖門羅幣，收益好的時候說不定可以收回服務(wù)器的成本。
門羅幣的前身是bytecoin，它的基礎(chǔ)是cryptonote協(xié)議，至于其特性，也就是在區(qū)塊鏈網(wǎng)絡(luò)上的匿名性，在這里所有的交易數(shù)據(jù)都是加密的，沒人知道一筆交易的輸入與輸出分別來自哪個賬戶，所以這里的資金是不可追蹤的，看起來很神奇，你一定很好奇這樣的話交易該如何確認，畢竟這樣別人都不知道你有沒有足夠的資金來完成交易，下面我們就來看看門羅幣所采用的加密方案是如何工作的
Stealth Address (隱蔽地址)
首先我們來看看門羅幣所使用的Stealth Address技術(shù)，這是門羅幣用以提供匿名性保障的關(guān)鍵性技術(shù)之一。

與比特幣中一個賬戶地址只有一對公鑰與私鑰不同，門羅幣有兩對密鑰，可以理解為一對用來支付交易，一對用來查看交易。
用來支付的是spend key，這對密鑰中的公鑰用來幫助我們參與后面的環(huán)交易，并對key image的簽名進行驗證，而私鑰則用以創(chuàng)建key image。用來查看的是view key，這一對密鑰中的公鑰就是用來生成我們的一次性的Stealth Address，而私鑰則是接收者用以掃描區(qū)塊鏈來查看發(fā)送給他的交易。這部分只是為了把概念給引出來，看不懂也沒關(guān)系，后面我們再做說明。
門羅幣的地址主要就是由上面的兩部分密鑰的公鑰組成，基本結(jié)構(gòu)大致如下：
網(wǎng)絡(luò)編碼(1 byte)+public spend key(32 byte)+public view key(32 byte)+校驗和(4 byte)這樣得到的地址是138位，進行hex轉(zhuǎn)換后將得到95位的標準地址，有興趣的可以在這里進行門羅幣地址的相關(guān)測試
然后我們來看看stealth address，其實它的中心思想很簡單，就是利用接受者的view key的公鑰計算出一個臨時的一次性stealth address，然后將資金發(fā)送到這個地址，然后接收者對區(qū)塊鏈進行掃描時發(fā)現(xiàn)這筆交易就可以利用自己的view key取走這部分資金，而網(wǎng)絡(luò)上的其他人并不知道這筆交易是發(fā)送給誰的，只有接收者自己知道，從而確保了交易的匿名性
stealth address的公鑰的計算方式如下：
P = H(rA)G+B
其中H()表示門羅幣所使用的hash算法，r是發(fā)送者選取的一個隨機數(shù)，G表示的是橢圓曲線的基點，如果不了解的話最好還是先去看看ECC，畢竟這也算是區(qū)塊鏈中的基礎(chǔ)密碼學(xué)了，公式中的A和B則分別表示接收者的public view key和public send key。
得到公鑰P后再由它得到一個門羅幣的地址，這就是一次性的stealth key了。
接下來發(fā)送者再計算一個R=rG，然后將R也打包到以P為目標的交易中，將這筆交易廣播到鏈上。
接收者則在這邊一直掃描著鏈上的交易，對于每筆交易，計算：
P1=H(aR)G+B
其中a為接收者的private view key，因為在橢圓曲線對應(yīng)的公私鑰關(guān)系中 A=aG，所以rA=raG=aR，所以當接收者發(fā)現(xiàn)P=P1時，他就知道這筆交易是發(fā)送給自己的，因為對應(yīng)的P1只有接收者自己可以計算出來，所以除了他以外別人并不知道該交易的目標地址。
要使用這筆交易，接收者只需計算出對應(yīng)的私鑰：
x=H(aR)+b
使用該私鑰即可簽名這筆交易中的資金進行使用。
可以看到接收方這邊的壓力還是比較大的，需要掃描整個鏈上的交易，這也是目前門羅幣性能的一大瓶頸。
環(huán)簽名
接下來我們來看看門羅幣中用以提供匿名性的另一關(guān)鍵技術(shù)，環(huán)簽名。
其實環(huán)簽名的中心思想也很好理解，當你直接對一筆交易進行簽名時，這筆交易的來源自然就被確定是你，但是如果你另外挑一部分交易進來，將你的簽名跟這些簽名進行混合，就又得到了一個新的簽名，這樣別人就無法確定這筆交易是否是來自你，只能判斷來自于那些公鑰組成的集合，其實這倒是跟混幣挺像的。
從2001年第一個正式的環(huán)簽名方案提出以來，環(huán)簽名一直在不斷地發(fā)展完善，現(xiàn)在也算是成熟了，具體的操作方案挺多，不過都看得我有點懵逼，下面我們還是簡要地講講環(huán)簽名的流程，如果想了解細節(jié)可以看看cryptonote 2.0的白皮書里的簽名方案。
首先發(fā)送者會確認一個ring size，也就是這個環(huán)簽名中使用的簽名數(shù)，一般而言這個ring size越大就代表著對應(yīng)的公鑰集合越大，這也意味著更大的安全性，然而這也將占用更多的空間，會對網(wǎng)絡(luò)的效率以及區(qū)塊數(shù)據(jù)的膨脹，畢竟這都是要存在鏈上的。
確定ring size后發(fā)送方就會隨機選擇一個ring size-1大小的公鑰集合，然后將自己的公鑰也添加進去組成一個大小為ring size的公鑰集合{P1,P2,P3…Pn}，接下來的操作就非常有趣了。
我們將利用這些公鑰一同構(gòu)建一個方程，而要解開這個方程需要你知道這些公鑰中的一個對應(yīng)的私鑰，也只需要一個，所以你就可以使用自己的私鑰進行解密，然后將這一方程的解與公鑰以及選取的參數(shù)等打包組成簽名發(fā)送給驗證節(jié)點，驗證節(jié)點對你的簽名驗證過后就能確認你確實是這筆交易的發(fā)送者，但是卻無法判斷你是公鑰集中的哪一個，至于這種方程其實也有很多方案，cryptonote的白皮書中就有一種實現(xiàn)，寫的還算詳細，不過著實是有點復(fù)雜，我也就不細說了(其實還是太菜）。
完成了環(huán)簽名過后你可能還是有很多疑惑，比如在無法確認發(fā)送者的情況下如何保證不會出現(xiàn)雙花攻擊呢，這就要涉及到一個新東西key image了，即I = xH(P)，此處的x就是發(fā)送方的private spend key，而P就是我們前面提到的stealth address，也就表示是要發(fā)送給接收方P的，因為P是一次性的，所以說這個key image是針對每筆交易生成的，也就是說每筆交易的key image都不相同，節(jié)點可以通過驗證key image來判斷這筆交易是否出現(xiàn)過從而避免雙花攻擊。
ring CT
環(huán)形加密，即ring CT，應(yīng)該算是門羅幣中比較新的技術(shù)革新了，去年才正式應(yīng)用，它對前面提到的環(huán)簽名進行了進一步的改進，縮小了簽名大小，進一步提升了效率，更棒的是它的出現(xiàn)使得門羅幣的交易信息中的金額也得到了隱藏，唯一可見的僅有來自于Coinbase的交易金額，即挖礦所得，這也算是進一步提升了門羅幣的匿名性，同時交易大小的縮小也減少了所需的手續(xù)費，這還是挺重要的，畢竟門羅幣之前就一直為高昂的手續(xù)費而為人詬病，這其中很大一部分正是來自于這部分簽名。
至于算法的詳細流程，有興趣的話可以去看看它的論文，就不展開說了(畢竟太菜）。
寫在最后
本文主要還是簡單分析了一下區(qū)塊鏈的隱私保護形勢以及門羅幣所采用的一些隱私保護技術(shù)，畢竟發(fā)展了這么多年，其結(jié)構(gòu)當然不只是我講的這么簡單，研究的過程可能會遇到很多的阻礙，還是不能輕言放棄啊。至于其他幾個隱私保護方案后面有空應(yīng)該也會寫寫吧，零知識證明很是讓人著迷，卻也讓我極度頭疼，此外水平所限，文中如有紕漏還請大佬們指教。