(中共中央党校,北京 100091)
2008 年,中本聪在《比特币:一种点对点的电子现金系统》一文中首次提出了区块链的相关概念。2009 年,比特币系统正式上线,区块链作为比特币的核心技术开始进入人们的视野。10 多年来,区块链技术经历了由“数字货币层级的1.0 时代”、“数字货币与智能合约相结合的2.0 时代”到“超越货币、金融与市场应用的3.0 时代”的快速发展,应用范围不断扩展至医疗、教育、公益、社交、版权等诸多领域,“区块链+”模式已成为推动经济社会发展的重要力量。在上述领域中,区块链在数字货币中的应用最为成熟,区块链与密码学技术的有效融合为实现数字货币的可控匿名性提供了技术保障。
数字货币是互联网时代商品经济发展的产物。从本质上讲,数字货币可被视作是经过加密处理,包含发行方、发行金额、流通要求、时间约束以及智能合约等关键信息的字符串[1]。数字货币主要包括基于E-Cash 系统的数字货币与基于区块链技术的数字货币两类[2]。在基于区块链技术的数字货币中,根据发行主体的不同,可以将其分为法定数字货币与非法定数字货币;在非法定数字货币中,根据组织结构的不同,可以进一步分为中心化非法定数字货币与去中心化非法定数字货币(见表1)。
表1 基于区块链技术的数字货币
可控匿名性是数字货币的重要特性,它具有双重意蕴。一方面,匿名性理应赋予数字货币保护用户隐私的正向功能;另一方面,匿名性不应使数字货币沦为少数人进行金融犯罪的工具。
实现数字货币的可控匿名性需要强有力的技术支撑,区块链是其中的关键要素。区块链是一种具有去中心化特点的分布式账本数据库,它以P2P网络作为通信载体,通过密码学确定所有权与保障隐私,通过分布式系统共识框架保障内部一致性,从而能够实现低成本高效率的价值传递[3]。根据记录权利的归属,可以将区块链分为公有链、联盟链与私有链(见表2)。在公有链中,所有节点共同参与记录维护;在联盟链中,由预先指定的节点参与记录维护;在私有链中,只由单一节点参与记录维护。
已有研究主要围绕数字货币的交易技术、安全技术与信用保障技术等方面展开,对数字货币匿名技术的系统研究相对较少。本文从区块链技术治理的视角出发,梳理数字货币匿名技术的发展历程,探讨其中存在的基本问题与可能的优化路径。
表2 公有链、联盟链与私有链的对比
E-Cash 是一种以数据形式流通的货币,它最早由Chaum 提出,后来经过Juels、Foteini 等人不断发展完善。在基于E-Cash 系统的数字货币中,匿名性主要通过盲签名、信任标识与可扩展签名等技术实现(见表3)。
表3 基于E-Cash 系统的数字货币匿名技术
在Chuam 的设计中,E-Cash 系统能够通过盲签名技术实现强匿名性。一方面,在货币发行时,签名要经过盲化处理,能够确保银行无法获得用户的相关信息;另一方面,在银行从商家收取货币时,商家只能看到银行签名而非用户签名。在基于盲签名技术的E-Cash 系统中,即使银行与商家联合起来也无法有效追踪货币的使用情况,从而有效保护了用户的隐私。
在E-Cash 的应用过程中,人们发现Chuam 的方案存在运行效率较低、金融监管困难等问题。为了改善E-Cash 系统,Juels 在Chaum 方案的基础上,引入了基于“信任标识”技术的第三方追踪机制[4]。在Juels 的设计中,用户可以向可信第三方申请“信任标识”并储存,在需要时能够通过第三方追查货币流通过程中持有者的相关信息。Juels 的方案提升了E-Cash 系统的运行效率,但其匿名性会受到第三方可信度的影响。
Foteini 等人提出了E-Cash 系统的另一种改进方案:他们通过引入可扩展签名技术,构建可传递的数字货币交易系统。在Foteini 的方案中,用户能够根据消息n 的签名计算消息n'的签名,以此为基础实现了观察后接收、花费后观察与花费后接收完全匿名性[5]。Foteini 的方案解决了基于E-Cash 系统的数字货币不可传递的问题,进一步提升了基于E-Cash 系统的数字货币匿名性,但这一方案同样存在着金融监管困境。
总体来看,在盲签名、信任标识与可扩展签名等技术的支撑下,基于E-Cash 系统的数字货币具有较强的匿名性,但由于这类系统存在不可拆分、不可聚合等问题,不利于进行大量交易[6]。
去中心化的非法定数字货币,是指以个人信用担保发行的数字货币,主要包括比特币、达世币、门罗币等,它们建立在公有链的基础之上。在去中心化非法定数字货币中,匿名性主要通过假名、混币、环签名、零知识证明等技术实现(见表4)。
表4 基于公有链的去中心化数字货币匿名技术
比特币(Bitcoin)是第一种去中心化的数字货币,也是最受用户欢迎的数字货币之一。据不完全统计,截至2020 年3 月底,全世界共有5 290 多种数字货币,总市值达1 800 多亿美元,其中比特币市值超过1 148 亿美元,占世界数字货币总市值60%以上。比特币主要运用假名技术实现匿名性。在比特币交易过程中,运行系统通过地址标识买卖双方,避免了直接使用账户进行交易存储与管理;用户在不同交易中可以更换地址,从而阻断交易行为与用户身份的直接关联。然而,随着比特币遭受攻击日益频繁,研究者发现:这种运用其他符号替代用户账户进行交易的假名技术所能提供的匿名性比较有限。攻击者可以运用统计规律与背景知识发起有效攻击:第一,攻击者能够根据交易记录,对交易地址进行关联;第二,攻击者能够根据信息地址,进行标签化标注;第三,攻击者能够结合背景知识,绘制交易分析图,并运用拓扑技术映射用户真实身份。
达世币(Dash)在比特币基础上进行了技术改良,通过引入混币技术Coinjoin,提升了交易的匿名性。达世币网络中新加入主节点,并将Coinjoin 作为协议内容的一部分。在发起达世币匿名交易请求时,单笔交易会被分解成数笔更小的交易发送至不同的主节点,并与其他交易进行混合,以此增加攻击者通过数额推测交易相关性的难度。需要说明的是,Coinjoin 技术为达世币提供的匿名性是有限的:一方面,提供服务的第三方能够追踪混币交易的流向;另一方面,达世币交易中也存在主节点被控制以及恶意用户参与混币交易的风险。
为了解决上述问题,门罗币(Monero)通过引入环签名与隐蔽地址技术,提供了一种不依赖于中心节点的数字货币匿名方案。门罗币的用户持有两对公私钥对,用于生成一次性密钥对;在货币交易时,用户使用一次性公私钥计算key image,并选择一个公钥集合进行环签名;当环签名系统成员数量为n时,攻击者将单笔交易输入地址与输出地址关联起来的概率不会超过1/n。同时,货币交易的发送者借助接受者的地址与一个随机数生成随机地址,随机数只由发送者掌握,进一步提升了门罗币交易系统的匿名性。然而,门罗币所使用的技术从本质上看仍属于混合方案,因此在交易过程中也会遇到与达世币相似的问题。
零钞(Zerocash)引入的零知识证明技术,被视作是打破数字货币混合方案局限性的重要尝试。在货币交易中,系统运用承诺函数将交易发送者、交易接受者与交易金额等信息进行封装;在验证过程中,系统运用零知识证明将需要验证的信息转化为一个多项式验证问题,身处其中的证明者与验证者只需要交换少量信息就能够完成验证。相关研究表明,零钞是目前匿名性最好的数字货币之一[7]。但是运用零知识证明技术会产生大量的时间与计算开销,这成为制约零钞发展的效率瓶颈。
与E-Cash 系统相比,基于公有链的去中心化非法定数字货币匿名技术更加丰富,同时推动了数字货币传递、拆分与聚合等功能的优化。但两者也存在着共同问题:随着匿名性能的提升,系统的运行效率会受到明显影响。
中心化非法定数字货币,是指JP Morgan、IBM、Facebook 等以企业信用背书发行的数字货币[8],主要包括摩根币、天秤币等,它们建立在联盟链与私有链的基础之上。在中心化非法定数字货币中,匿名性主要通过Quorum、CoCo 框架等技术实现(见表5)。需要指出的是,联盟链与私有链没有强烈的激励社区成员的现实需要,因此并不都具有专属的数字货币。
2019 年2 月,JP Morgan 在其开发的私有链项目Quarum上发行摩根币(JPM Coin)。在Quorum 项目中,货币交易数据被分成public 和private 部分,根据约定协议进行数据交互;系统允许用户运用PrivateFor语法指定交易可见方,从而提升了匿名性;监管者则可以通过记录在多个节点上的数据信息对交易进行追溯,从而提升监管效率。由于摩根币只是JPMorgan为机构客户设计的一种即时价值流转工具,一般的外部投资者无法使用,因此适用范围比较有限。
表5 基于联盟链与私有链的去中心化数字货币匿名技术
为了解决Quorum 通用性不强的问题,IBM 提供了一种适用于多种联盟链数字货币的CoCo 方案。这一方案引入了TEE(Trust Execution Environment)环境,通过借助Intel SGX 以及Windows 的VSM 虚拟安全模式等方式,创建可信的网络环境。TEE 环境既可以保证代码的正确执行,又能保证系统运行时内部数据不被外界获取,使联盟链技术可以在完全受信任的节点上高效运行。Coco 方案的不足主要是由于其兼容各类区块链协议的发展目标较为宏大,实现过程相对复杂,落地场景会受到一定限制。
2019 年6 月,Facebook 主导发行天秤币(Libra)。由于发行时间较短与尚未进入中国市场等原因,关于天秤币匿名技术的研究相对较少。目前可以推断的是,天秤币的匿名性是通过建立在其自主研发的智能合约语言MOVE 基础之上的复合密码学技术实现的。
与去中心化非法定数字货币相比,基于联盟链与私有链的中心化非法定数字货币在保证匿名性的同时,提升了系统运行效率。
法定数字货币,是由各国中央银行发行的、以国家信用为担保的数字货币。根据用途不同,可以将其划分为批发型法定数字货币与零售型法定数字货币[9];批发型数字货币主要用于金融机构之间的支付结算,而零售型数字货币则广泛应用于企业与个人的日常生活。在国际实践中,多数国家央行以区块链为基础发行法定数字货币,其普遍具有的可追踪性有助于提升金融监管效率(见表6)。
我国央行早在2014 年就启动了法定数字货币的研究工作,并于2017 年开始进行“DC/EP”项目研发。现阶段已完成顶层框架设计,正在深圳、苏州、成都与雄安四个城市进行数字货币运营的试点工作。
表6 世界各国法定数字货币特点比较
根据设想,DC/EP 将采用“一币、两库、三中心”运行模式,按照“前台自愿、后台实名”的方式实现可控匿名性。第一,在DC/EP 的交易过程中,货币接收者无法通过获得的数字货币判断对方的身份信息,从而实现交易双方之间的匿名;第二,在自愿的前提下,用户可以留下个人身份信息,并设置为货币接收者可见;第三,央行掌握DC/EP 的流通信息,在公共利益需要维护的情境中,经授权的特定主体可以向央行申请调取相应账户的交易记录与户主信息。
关于DC/EP 未来使用的匿名技术,我们认为可以在借鉴已有数字货币匿名技术的基础上,研发具有更广阔应用场景与更高运行效率的复合匿名技术,同时努力构建符合国情与行业发展规律的金融监管体系,推动实现数字货币匿名、效率与监管三者之间动态平衡。
回顾数字货币的演化历程,可以看出实现数字货币可控匿名性要着力解决好三个基本问题:一是由于技术能力不足导致用户隐私泄露的问题;二是匿名技术与系统运行效率难以兼顾的问题;三是匿名性能与金融监管如何有效平衡的问题。在从基于E-Cash 系统的数字货币向基于公有链的去中心化非法定数字货币的演化中,第一个问题得到了一定程度的解决;在从基于公有链的去中心化非法定数字货币向基于联盟链与私有链的中心化非法定数字货币的演化中,第二个问题得到了比较好的解决。法定数字货币是数字货币未来的发展趋势,解决好第三个问题是其取得成功的关键。充分实现数字货币可控匿名性是一个漫长的过程,需要广大学者进行多方面、全方位的深入研究。