02 區塊鏈的安全和隱私

原文標題：Security and Privacy on Blockchain
原文作者：RUI ZHANG， RUI XUE,，LING LIU
原文地址：https://doi.org/10.1145/3316481
發表會議：2019 ACM Computing Surveys, Vol. 52, No. 3, Article 51
筆記整理：doxbwx@163.com

1.簡介

作者通過調研分析過去五年內數千篇區塊鏈論文中，發現有12篇關于區塊鏈的安全和隱私威脅的研究報告，發現大多數關于區塊鏈的安全和隱私研究都集中在兩個方面:

• 揭示目前基于區塊鏈的系統所遭受的一些攻擊;
• 提出使用一些最先進的對策來對付這些攻擊的子集的具體建議

作者描述了用于在線交易的區塊鏈的概念，并討論了區塊鏈的基本和額外的安全性和隱私屬性，然后討論一套相應的安全技術，尤其是加密解決方案，以實作基本和額外的安全目標，這篇調查文章的主要目標有以下兩點：

• 為非安全專家提供一個入口點，以更好地了解區塊鏈技術的安全性和隱私屬性
• 幫助專家和研究人員探索區塊鏈的前沿安全和隱私技術

2.區塊鏈概述

2.1 區塊鏈是如何作業的
位元幣網路中，客戶a想發送位元幣給客戶b，它將由客戶a創建一個位元幣交易，該交易得到礦工的批準后才由位元幣網路提交，那些礦工節點將把交易收集到一個區塊中，驗證區塊中的交易，并使用共識協議廣播區塊及其驗證，以獲得網路的批準，當其他節點驗證該塊中包含的所有交易都是有效的時，可以將該塊添加到區塊鏈，
下圖給出了這個程序的說明，只有當包含交易的“區塊”被其他節點批準并添加到區塊鏈時，從A到B的位元幣轉移才會最終確定并合法，
2.2 區塊鏈級別的交易模式
有兩種代表性的區塊鏈級交易模型：由位元幣引入的未消費交易產出（UTXO）模型和由以太坊引入的基于賬戶的交易模型，

• UTXO模型：

下面是UTXO模型的一個例子

如果Bob和Mary都給Alice發送了5個BTC，而Alice沒有花掉它們，那么就有5個BTC從Bob那里簽署給Alice，另外5個BTC從Mary那里簽署給Alice，如果Alice想把她的兩個單一的5BTC實體合并成10BTC的實體，Alice必須執行另一個交易，其方式類似于她需要把她的兩張5美元的鈔票換成10美元的鈔票

在線交易中適用UTXO模型有以下這些優點：

1. 潛在的高度隱私，UTXO模型定義了一個資料結構，使每個用戶可以持有多個BTC實體，不像銀行的賬戶合為一個總金額，只需要在交易程序中揭示自己的實體，而不需要揭示賬戶的地址，
2. 潛在的高度可擴展性，UTXO模型沒有用戶的賬戶概念，這消除了基于賬戶的交易模型的一些限制，交易之間可以平行，而不需擔心順序問題，
3. 潛在的高安全性，UTXO模型為每個用戶的所有BTC實體維護了一個Merkle的所有權證明，可以解決雙重消費問題，

相應地，他也會有一些缺點：

如果Alice收到100個BTC，并希望向Carlo發送10個BTC，Alice必須通過創建兩個輸出來消耗100個BTC的輸出：10個BTC給收款人Carlo，90個BTC回傳給自己作為變化，

在這樣的一種情況下，可能會向觀察者泄露私人資訊，這也使得余額計算成為UTXO模型的一個核心特征，也是導致錢包復雜性的一個重要因素，盡管付款人可以并行應用交易，但由于需要嚴格執行總排序約束，如輸入的總和應等于或超過輸出的總和，因此很難實作真正的并行，

• 基于賬戶的交易模型

通過基于賬戶余額的交易模式，其運作方式類似于今天物體銀行的銀行賬戶，用戶的全部余額資訊都存盤在以太坊中，

基于賬戶的交易模型有許多明顯的好處：

1. 比UTXO模型有更大的空間節省，因為每筆交易都只需要一個參考和一個簽名來產生輸出，
2. 更加簡單，coin不會根據來源而被分開，所有不需要維護coin的來源資訊，
3. 不允許在每筆交易中改變參考，但它提供了對賬戶相關資料的輕松訪問，

賬戶nonce與每個賬戶相關聯，并且作為賬戶發送交易的計數，以防止同一交易行為被多次執行，
作業證明nonce：這是一個區塊中的隨機值，用來通過挖礦獲得作業證明，這是一種去中心化記錄的授權機制，
2.3 區塊鏈中的CAP屬性
位元幣系統似乎已經違反了CAP定理，因為它實作了一致性、可用性和磁區容忍，然而，區塊鏈的一致性是在一段時間后實作的，位元幣挖礦結合共識協議和至少六個確認，通過達成共識來確保最終的一致性，

CAP定理指出，任何分布式系統只能有以下兩個屬性，

• 一致性：每一個計算節點都會收到最近的寫入，
• 可用性：其中任何請求的一些資料總是可用的，
• 磁區容忍度：即使某些子集的節點無法運行，分布式系統始終在運行，

2.4 區塊鏈的演變
區塊鏈可以分為三類：

• 公共區塊鏈
• 聯盟區塊鏈
• 私有區塊鏈

數字貨幣（區塊鏈1.0），發展到智能合約（區塊鏈2.0），以及許多其他形式的去中心化合作，具有高度的問責制和高度的安全和信任（區塊鏈3.0）下圖顯示了區塊鏈的架構，其中紅色虛線的內容是由區塊鏈2.0開發的

3.區塊鏈的安全和隱私屬性

在線交易餓嘟安全和隱私要求大致分為以下幾種：

• 各機構之間賬本的一致性
• 交易的完整性
• 系統和資料的可用性
• 防止雙重浪費
• 交易的保密性
• 用戶身份的匿名性
• 交易的無關聯性

下圖對安全和隱私要求、屬性和技術總結

4. 共識演算法

拜占庭將軍問題（BGP）：一個壞的行為者可能秘密地創造沖突資訊使得組內成員不能表現統一，這會摧毀團隊合作他們行為的效率，

• PoW
  1.任何的證人產生一個達到確定要求的證據都應該是困難并且花費時間的，
  2.其他人可以通過它的正確性來驗證證據應該是簡單并且快速的，

用BGP闡述PoW的作業程序：
1.Append一個nonce（通常從0開始）到原始資訊中，這是一個隨機的十六進制值，
2.為nonce增強訊息應用hash，并且檢查hash結果是否小于等于預設值（比如以5個0開頭）
3.如果滿足哈希條件，城市一邊的軍隊會派帶有hash資訊和nonce的訊息使者給城市另一邊的軍隊，如果不滿足哈希條件，然后nonce值+1，一直迭代這個程序，直到獲取到了滿意的結果，發現正確的nonce值是花費時間的并且計算昂貴的，
4.由于hash的抗碰撞特性，即時訊息使者被抓了，還是很難篡改訊息的hash值，因為篡改后訊息的hash會徹底地不同于原始訊息地hash值，城西地將軍會核實訊息是否以5個0開頭，如果不是就會忽略這條訊息，
5.重復上述迭代程序，以至于大量的訊息使者從城東軍隊穿過城市發送到城西軍隊，

PoW可以有效的解決BGP問題，但是他也有三個限制：

• 因為高計算復雜度和作業證明成功生成的低可能性，協議是一個極其低效率的程序
• PoW安全主要都是來源于挖礦的回報，這就要求有強的鼓勵機制來吸引礦工，
• 參與者有各種各樣的能力，于是產生PoW有不同的成功能力，

總之，PoW共識演算法更加傾向于依賴去中心化激勵和經濟激勵來保證安全性，

• PoS
  每個驗證者都可以通過共識演算法參與提議創建和驗證新區塊，這需要一組驗證者將賭注放在下一個區塊上，并輪流投票，誰將成為下一個區塊的驗證者的決定是根據每個驗證者的賭注大小計算的投票權重做出的，被選中的概率與他們的賭注成正比，
  主要有基于BFT和基于鏈的PoS

chain-based PoS，該演算法在每個時間段（例如，每10秒）偽隨機地選擇一個驗證者，并賦予該驗證者創建一個區塊的權限，并將該區塊與之前的一些區塊（通常是之前最長的鏈的末端的區塊）連接起來，因此，隨著時間的推移，大多數區塊會匯聚成一個不斷增長的單一鏈

BFT被定義為一個系統對BGP的故障容忍能力[75]，考慮一組玩家之間的協議場景：每個玩家持有可能不同的初始值，所有玩家需要通過遵守共識協議來達成一個單一的值，在一個系統中，如果大多數玩家是嚴格遵守協議的誠實玩家，即使少數玩家是惡意的，可能任意偏離協議，也能達成這樣的協議，我們認為這個系統是拜占庭容錯的

其他的共識演算法還有

• Sleepy共識
• 經過時間證明（PoET）
• 權威證明（PoA）
• 聲譽證明（PoR）

下圖表示共識演算法的比較

5.區塊鏈中使用的隱私和安全技術

作者總結了可以利用來加強現有和未來區塊鏈系統的安全和隱私的一些技術，以及他們的優缺點，

1. Mixing
2. 匿名簽名
3. 同態加密（HE）
4. 基于屬性的加密（ABE）
5. 安全的多方計算
6. 非互動式零知識（NIZK）證明
7. 基于可信執行環境（TEE）的智能合約
8. 基于游戲的智能合約
   

作者對于這些技術有一些意見：

1. 沒有一種技術是區塊鏈安全和隱私的萬能藥，應該根據具體情況選擇合適的技術，一般來說，多種技術的結合比使用單一技術更有效
2. 沒有任何技術沒有缺陷或在所有方面都是完美的，所以我們仔細關注將一些安全和隱私技術整合到區塊鏈中所帶來的隱患和潛在危害
3. 安全、隱私和效率之間總是有一個權衡，要提倡完善安全和隱私的技術，但是也要保證性能是可以實際部署使用的情況，

6. 結論

本文描述了實作這些安全和隱私屬性的安全和隱私技術，并且說明Mixing、匿名簽名、加密、安全的多方計算、非互動式零知識證明和智能合約等技術可以應用在區塊鏈中，區塊鏈在業界的關注度越來越高，在實踐中應該保證安全和效率之間的一個平衡，所以未來開發輕量級的加密演算法會是一個關鍵性的使能技術，