🔥 参与Gate.io 动态大使专属积分任务,发帖每周瓜分$200奖励(10/28-11/3)!
👉️发帖赢积分,每周根据积分占比参与瓜分 $200 奖励!
立即报名参与:https://www.gate.io/questionnaire/5158(10/28 24点报名截止)
🎁 奖励详情:
根据各位动态大使发帖数量及帖子内容质量获评积分,按积分进行排名及瓜分奖池。
一、周度排名奖
🥇第1名:$25
🥈第2名:$15
🥉第3名:$10
二、阳光普照奖
其他符合条件者按积分比例瓜分 $150 奖池
📍 活动规则:
1. 每周至少发布3条有效帖子(一周至少有3天发帖),即有资格获奖
条条大路通 MPC?探索隐私基础设施的终局
作者:EQ Labs 来源:equilibrium 翻译:善欧巴,金色财经
我们的隐私系列第 1 部分介绍了“隐私”的含义、区块链网络中的隐私与 web2 隐私有何不同,以及为什么在区块链中难以实现隐私。
本文的主要观点是,如果理想的最终状态是拥有可编程的隐私基础设施,能够处理共享的私有状态而没有任何单点故障,那么所有的道路都通向MPC。我们还将探讨MPC的成熟度及其信任假设,强调替代方法,比较权衡,并提供行业概述。
摆脱过去的束缚,迎接未来
区块链中现有的隐私基础设施旨在处理非常具体的用例,例如私人支付或投票。这是一种相当狭隘的观点,主要反映了区块链目前的用途(交易、转账和投机)。正如Tom Walpo 所说- 加密货币遭受费米悖论:
除了增加个人自由之外,我们认为隐私是扩大区块链设计空间的先决条件,超越当前的推测性元数据。许多应用程序需要一些私有状态和/或隐藏逻辑才能正常运行:
实证分析(来自 web2 和 web3)表明,大多数用户不愿意为增加隐私而支付额外费用或跳过额外的环节,我们也同意隐私本身并不是卖点。然而,它确实使新的和(希望)更有意义的用例能够在区块链之上存在——让我们摆脱费米悖论。
隐私增强技术(PET)和现代密码解决方案*(“可编程密码”)是实现这一愿景的基本构建模块(有关可用的不同解决方案及其权衡的更多信息,请参阅附录*) 。
影响我们观点的三个假设
三个关键假设决定了我们对区块链隐私基础设施如何发展的看法:
隐私基础设施的终结
考虑到上述假设,区块链隐私基础设施的最终目标是什么?是否有一种方法适合所有应用程序?是否有一种隐私增强技术可以统领所有应用程序?
不完全是。所有这些都有不同的权衡,我们已经看到它们以各种方式结合在一起。总的来说,我们已经确定了 11 种不同的方法。
目前,在区块链中构建隐私基础设施的两种最流行方法是利用 ZKP 或 FHE。然而,两者都存在根本缺陷:
如果理想的最终状态是拥有可编程的隐私基础设施,可以处理共享的私有状态而不会出现任何单点故障,那么两条路都可以通向 MPC:
请注意,尽管这两种方法最终会趋于融合,但 MPC 的用途不同:
虽然讨论开始转向更细致入微的观点,但这些不同方法背后的保证仍未得到充分探索。鉴于我们的信任假设归结为 MPC 的假设,需要提出的三个关键问题是:
让我们更详细地解答这些问题。
使用 MPC 分析风险和弱点
每当解决方案使用 FHE 时,人们总是需要问:“谁拥有解密密钥?”。如果答案是“网络”,那么后续问题是:“哪些真实实体构成了这个网络?”。后一个问题与所有以某种形式依赖 MPC 的用例相关。
*资料来源:*Zama 在 ETH CC 上的演讲
MPC 的主要风险是串通,即有足够多的参与方恶意串通解密数据或盗用计算。串通可以在链下达成一致,并且只有当恶意方采取某些明显行动(勒索、凭空铸造代币等)时才会被揭露。毋庸置疑,这对系统可以提供的隐私保障具有重大影响。串通风险取决于:
1. MPC 协议在区块链中能提供的隐私保障有多强?
TLDR:不如我们所希望的那么强大,但比依赖一个集中的第三方要强大。
解密所需的阈值取决于所选的 MPC 方案 - 很大程度上是活跃度*(“保证输出交付”)*和安全性之间的权衡。您可以采用非常安全的 N/N 方案,但只要有一个节点离线,它就会崩溃。另一方面,N/2 或 N/3 方案更稳健,但串谋风险更高。
需要平衡的两个条件是:
所选方案因实施而异。例如,Zama 的目标是 N/3,而 Arcium 目前正在实施N/N 方案,但稍后还将支持具有更高活性保证(和更大信任假设)的方案。
在这个权衡边界上,一个妥协的方案是采用混合解决方案:
虽然这在理论上很有吸引力,但它也引入了额外的复杂性,例如计算委员会如何与高信任委员会互动。
加强安全保障的另一种方法是在受信任的硬件内运行 MPC,以便将密钥共享保存在安全区域内。这使得提取或使用密钥共享进行协议定义以外的任何操作变得更加困难。至少Zama和Arcium正在探索 TEE 角度。
更细微的风险包括诸如社会工程之类的边缘情况,例如,MPC 集群中的所有公司都雇用了一名高级工程师超过 10 至 15 年。
2. 技术是否足够成熟?如果不够成熟,瓶颈是什么?
从性能角度来看,MPC 面临的关键挑战是通信开销。它随着计算的复杂性和网络中节点数量的增加而增长(需要更多的来回通信)。对于区块链用例,这会带来两个实际影响:
*资料来源:*Zama 在 ETH CC 上的演讲 2. 3. 许可操作员集:在大多数情况下,操作员集是经过许可的。这意味着我们依赖声誉和法律合同,而不是经济或加密安全。无许可操作员集的主要挑战是无法知道人们是否在链下串通。此外,它需要定期引导或重新分配密钥份额,以便节点能够动态进入/退出网络。虽然无许可操作员集是最终目标,并且正在研究如何扩展 PoS 机制以实现阈值 MPC(例如 Zama),但许可路线似乎是目前最好的前进方向。
替代方法
全面的隐私组合包括:
这很复杂,引入了许多未探索的极端情况,开销很大,并且在未来很多年内可能都无法实际实现。另一个风险是,人们可能会因为将多个复杂概念叠加在一起而产生虚假的安全感。我们添加的复杂性和信任假设越多,推断整体解决方案的安全性就越困难。
这值得吗?也许值得,但也值得探索其他方法,这些方法可能会带来显著更好的计算效率,而隐私保证只会略弱一些。正如Seismic 的 Lyron所指出的那样 - 我们应该专注于最简单的解决方案,以满足我们对所需隐私级别和可接受权衡的标准,而不是仅仅为了它而过度设计。
1. 直接使用 MPC 进行通用计算
如果 ZK 和 FHE 最终都回归到 MPC 的信任假设,为什么不直接使用 MPC 进行计算呢?这是一个合理的问题,也是Arcium、SodaLabs ( Coti v2使用)、 Taceo和Nillion等团队正在尝试做的事情。请注意,MPC 有多种形式,但在三种主要方法中,我们这里指的是基于秘密共享和*乱码电路 (GC)*的协议,而不是使用 MPC 进行解密的基于 FHE 的协议。
虽然 MPC 已经用于分布式签名和更安全的钱包等简单计算,但使用 MPC 进行更通用计算的主要挑战是通信开销(随着计算的复杂性和所涉及的节点数量的增加而增加)。
有一些方法可以减少开销,例如提前离线进行预处理(即协议中最昂贵的部分)—— Arcium和SodaLabs都在探索这一点。然后在在线阶段执行计算,这会消耗离线阶段产生的一些数据。这大大降低了整体通信开销。
SodaLabs 的下表显示了在其 gcEVM 中执行不同操作码 1,000 次需要多长时间的初始基准*(以微秒为单位)。*虽然这是朝着正确方向迈出的一步,但仍有许多工作要做,以提高效率并将操作符集扩展到几个节点之外。
来源:SodaLabs
基于 ZK 的方法的好处是,您只将 MPC 用于需要在共享私有状态下进行计算的用例。FHE 与 MPC 的竞争更为直接,并且严重依赖硬件加速。
2. 可信执行环境
最近,人们对 TEE 的兴趣又重新燃起,它既可以单独使用(基于 TEE 的私有区块链或协处理器),也可以与其他 PET(如基于 ZK 的解决方案)结合使用(仅使用 TEE 进行共享私有状态的计算)。
虽然 TEE 在某些方面更为成熟,并且引入的性能开销更少,但它们并非没有缺点。首先,TEE 具有不同的信任假设(1/N),并且提供基于硬件而非软件的解决方案。人们经常听到的批评是围绕SGX 过去的漏洞,但值得注意的是 TEE ≠ Intel SGX。TEE 还需要信任硬件提供商,而硬件价格昂贵(大多数人无法负担得起)。解决物理攻击风险的一个解决方案可能是在太空中运行 TEE来处理关键任务。
总体而言,TEE 似乎更适合只需要短期隐私的证明或用例(阈值解密、暗盘账本等)。对于永久或长期隐私,安全保障似乎不太有吸引力。
3. 私有 DAC 和其他依赖可信第三方保护隐私的方法
中介隐私可以提供隐私,防止其他用户访问,但隐私保证完全来自对第三方的信任(单点故障)。虽然它类似于“web2 隐私”(防止其他用户的隐私),但它可以通过额外的保证(加密或经济)来加强,并允许验证正确执行。
私有数据可用性委员会 (DAC)就是一个例子;DAC 的成员将数据存储在链下,用户信任他们能够正确存储数据并执行状态转换更新。另一种形式是Tom Walpo 提出的特许序列器。
虽然这种方法在隐私保障方面做出了很大的权衡,但就成本和性能而言,它可能是对低价值、高性能应用程序唯一可行的替代方案(至少目前如此)。例如,Lens Protocol计划使用私有 DAC 来实现私有信息流。对于链上社交等用例,隐私和成本/性能之间的权衡目前可能是合理的(考虑到替代方案的成本和开销)。
4. 隐身地址
隐身地址可以提供与为每笔交易创建新地址类似的隐私保证,但该过程在后端自动进行,并且对用户不公开。有关更多信息,请参阅Vitalik 的这篇概述或这篇深入探讨不同方法的文章。该领域的主要参与者包括Umbra和Fluidkey。
虽然隐身地址提供了一种相对简单的解决方案,但主要缺点是它们只能为交易(付款和转账)添加隐私保证,而不能为通用计算添加隐私保证。这使它们与上面提到的其他三种解决方案有所不同。
此外,隐身地址提供的隐私保障不如其他替代方案强大。匿名性可以通过简单的聚类分析来打破,特别是当传入和传出的转账不在相似范围内时(例如,收到 10,000 美元,但每天的交易平均花费 10-100 美元)。隐身地址的另一个挑战是升级密钥,如今需要为每个钱包单独升级(密钥存储汇总可以帮助解决这个问题)。从用户体验方面来看,如果账户没有费用代币(例如 ETH),隐身地址协议还需要账户抽象或付款人来支付费用。
我们的论点面临的风险
鉴于快速的发展速度和不同技术解决方案的普遍不确定性,我们认为 MPC 将成为最终解决方案的论点存在一些风险。我们最终可能不需要某种形式的 MPC,主要原因包括:
概括
归根结底,链条的强度取决于其最薄弱的环节。在可编程隐私基础设施的情况下,如果我们希望它能够处理共享的私有状态而不会出现单点故障,那么信任保证就归结为 MPC 的保证。
虽然这篇文章听起来对 MPC 有所批评,但事实并非如此。MPC 极大地改善了目前依赖中心化第三方的现状。我们认为,主要问题是整个行业存在虚假的信心,问题被掩盖了。相反,我们应该直面问题,专注于评估潜在风险。
然而,并非所有问题都需要使用相同的工具来解决。尽管我们认为 MPC 是最终目标,但只要 MPC 驱动的解决方案的开销仍然很高,其他方法也是可行的选择。我们总是值得考虑哪种方法最适合我们试图解决的问题的特定需求/特征,以及我们愿意做出哪些权衡。
即使你有世界上最好的锤子,也不一定所有的东西都是钉子。