(中共中央黨校,北京 100091)
2008 年,中本聰在《比特幣:一種點對點的電子現(xiàn)金系統(tǒng)》一文中首次提出了區(qū)塊鏈的相關(guān)概念。2009 年,比特幣系統(tǒng)正式上線,區(qū)塊鏈作為比特幣的核心技術(shù)開始進(jìn)入人們的視野。10 多年來,區(qū)塊鏈技術(shù)經(jīng)歷了由“數(shù)字貨幣層級的1.0 時代”、“數(shù)字貨幣與智能合約相結(jié)合的2.0 時代”到“超越貨幣、金融與市場應(yīng)用的3.0 時代”的快速發(fā)展,應(yīng)用范圍不斷擴(kuò)展至醫(yī)療、教育、公益、社交、版權(quán)等諸多領(lǐng)域,“區(qū)塊鏈+”模式已成為推動經(jīng)濟(jì)社會發(fā)展的重要力量。在上述領(lǐng)域中,區(qū)塊鏈在數(shù)字貨幣中的應(yīng)用最為成熟,區(qū)塊鏈與密碼學(xué)技術(shù)的有效融合為實現(xiàn)數(shù)字貨幣的可控匿名性提供了技術(shù)保障。
數(shù)字貨幣是互聯(lián)網(wǎng)時代商品經(jīng)濟(jì)發(fā)展的產(chǎn)物。從本質(zhì)上講,數(shù)字貨幣可被視作是經(jīng)過加密處理,包含發(fā)行方、發(fā)行金額、流通要求、時間約束以及智能合約等關(guān)鍵信息的字符串[1]。數(shù)字貨幣主要包括基于E-Cash 系統(tǒng)的數(shù)字貨幣與基于區(qū)塊鏈技術(shù)的數(shù)字貨幣兩類[2]。在基于區(qū)塊鏈技術(shù)的數(shù)字貨幣中,根據(jù)發(fā)行主體的不同,可以將其分為法定數(shù)字貨幣與非法定數(shù)字貨幣;在非法定數(shù)字貨幣中,根據(jù)組織結(jié)構(gòu)的不同,可以進(jìn)一步分為中心化非法定數(shù)字貨幣與去中心化非法定數(shù)字貨幣(見表1)。
表1 基于區(qū)塊鏈技術(shù)的數(shù)字貨幣
可控匿名性是數(shù)字貨幣的重要特性,它具有雙重意蘊(yùn)。一方面,匿名性理應(yīng)賦予數(shù)字貨幣保護(hù)用戶隱私的正向功能;另一方面,匿名性不應(yīng)使數(shù)字貨幣淪為少數(shù)人進(jìn)行金融犯罪的工具。
實現(xiàn)數(shù)字貨幣的可控匿名性需要強(qiáng)有力的技術(shù)支撐,區(qū)塊鏈?zhǔn)瞧渲械年P(guān)鍵要素。區(qū)塊鏈?zhǔn)且环N具有去中心化特點的分布式賬本數(shù)據(jù)庫,它以P2P網(wǎng)絡(luò)作為通信載體,通過密碼學(xué)確定所有權(quán)與保障隱私,通過分布式系統(tǒng)共識框架保障內(nèi)部一致性,從而能夠?qū)崿F(xiàn)低成本高效率的價值傳遞[3]。根據(jù)記錄權(quán)利的歸屬,可以將區(qū)塊鏈分為公有鏈、聯(lián)盟鏈與私有鏈(見表2)。在公有鏈中,所有節(jié)點共同參與記錄維護(hù);在聯(lián)盟鏈中,由預(yù)先指定的節(jié)點參與記錄維護(hù);在私有鏈中,只由單一節(jié)點參與記錄維護(hù)。
已有研究主要圍繞數(shù)字貨幣的交易技術(shù)、安全技術(shù)與信用保障技術(shù)等方面展開,對數(shù)字貨幣匿名技術(shù)的系統(tǒng)研究相對較少。本文從區(qū)塊鏈技術(shù)治理的視角出發(fā),梳理數(shù)字貨幣匿名技術(shù)的發(fā)展歷程,探討其中存在的基本問題與可能的優(yōu)化路徑。
表2 公有鏈、聯(lián)盟鏈與私有鏈的對比
E-Cash 是一種以數(shù)據(jù)形式流通的貨幣,它最早由Chaum 提出,后來經(jīng)過Juels、Foteini 等人不斷發(fā)展完善。在基于E-Cash 系統(tǒng)的數(shù)字貨幣中,匿名性主要通過盲簽名、信任標(biāo)識與可擴(kuò)展簽名等技術(shù)實現(xiàn)(見表3)。
表3 基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名技術(shù)
在Chuam 的設(shè)計中,E-Cash 系統(tǒng)能夠通過盲簽名技術(shù)實現(xiàn)強(qiáng)匿名性。一方面,在貨幣發(fā)行時,簽名要經(jīng)過盲化處理,能夠確保銀行無法獲得用戶的相關(guān)信息;另一方面,在銀行從商家收取貨幣時,商家只能看到銀行簽名而非用戶簽名。在基于盲簽名技術(shù)的E-Cash 系統(tǒng)中,即使銀行與商家聯(lián)合起來也無法有效追蹤貨幣的使用情況,從而有效保護(hù)了用戶的隱私。
在E-Cash 的應(yīng)用過程中,人們發(fā)現(xiàn)Chuam 的方案存在運行效率較低、金融監(jiān)管困難等問題。為了改善E-Cash 系統(tǒng),Juels 在Chaum 方案的基礎(chǔ)上,引入了基于“信任標(biāo)識”技術(shù)的第三方追蹤機(jī)制[4]。在Juels 的設(shè)計中,用戶可以向可信第三方申請“信任標(biāo)識”并儲存,在需要時能夠通過第三方追查貨幣流通過程中持有者的相關(guān)信息。Juels 的方案提升了E-Cash 系統(tǒng)的運行效率,但其匿名性會受到第三方可信度的影響。
Foteini 等人提出了E-Cash 系統(tǒng)的另一種改進(jìn)方案:他們通過引入可擴(kuò)展簽名技術(shù),構(gòu)建可傳遞的數(shù)字貨幣交易系統(tǒng)。在Foteini 的方案中,用戶能夠根據(jù)消息n 的簽名計算消息n'的簽名,以此為基礎(chǔ)實現(xiàn)了觀察后接收、花費后觀察與花費后接收完全匿名性[5]。Foteini 的方案解決了基于E-Cash 系統(tǒng)的數(shù)字貨幣不可傳遞的問題,進(jìn)一步提升了基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名性,但這一方案同樣存在著金融監(jiān)管困境。
總體來看,在盲簽名、信任標(biāo)識與可擴(kuò)展簽名等技術(shù)的支撐下,基于E-Cash 系統(tǒng)的數(shù)字貨幣具有較強(qiáng)的匿名性,但由于這類系統(tǒng)存在不可拆分、不可聚合等問題,不利于進(jìn)行大量交易[6]。
去中心化的非法定數(shù)字貨幣,是指以個人信用擔(dān)保發(fā)行的數(shù)字貨幣,主要包括比特幣、達(dá)世幣、門羅幣等,它們建立在公有鏈的基礎(chǔ)之上。在去中心化非法定數(shù)字貨幣中,匿名性主要通過假名、混幣、環(huán)簽名、零知識證明等技術(shù)實現(xiàn)(見表4)。
表4 基于公有鏈的去中心化數(shù)字貨幣匿名技術(shù)
比特幣(Bitcoin)是第一種去中心化的數(shù)字貨幣,也是最受用戶歡迎的數(shù)字貨幣之一。據(jù)不完全統(tǒng)計,截至2020 年3 月底,全世界共有5 290 多種數(shù)字貨幣,總市值達(dá)1 800 多億美元,其中比特幣市值超過1 148 億美元,占世界數(shù)字貨幣總市值60%以上。比特幣主要運用假名技術(shù)實現(xiàn)匿名性。在比特幣交易過程中,運行系統(tǒng)通過地址標(biāo)識買賣雙方,避免了直接使用賬戶進(jìn)行交易存儲與管理;用戶在不同交易中可以更換地址,從而阻斷交易行為與用戶身份的直接關(guān)聯(lián)。然而,隨著比特幣遭受攻擊日益頻繁,研究者發(fā)現(xiàn):這種運用其他符號替代用戶賬戶進(jìn)行交易的假名技術(shù)所能提供的匿名性比較有限。攻擊者可以運用統(tǒng)計規(guī)律與背景知識發(fā)起有效攻擊:第一,攻擊者能夠根據(jù)交易記錄,對交易地址進(jìn)行關(guān)聯(lián);第二,攻擊者能夠根據(jù)信息地址,進(jìn)行標(biāo)簽化標(biāo)注;第三,攻擊者能夠結(jié)合背景知識,繪制交易分析圖,并運用拓?fù)浼夹g(shù)映射用戶真實身份。
達(dá)世幣(Dash)在比特幣基礎(chǔ)上進(jìn)行了技術(shù)改良,通過引入混幣技術(shù)Coinjoin,提升了交易的匿名性。達(dá)世幣網(wǎng)絡(luò)中新加入主節(jié)點,并將Coinjoin 作為協(xié)議內(nèi)容的一部分。在發(fā)起達(dá)世幣匿名交易請求時,單筆交易會被分解成數(shù)筆更小的交易發(fā)送至不同的主節(jié)點,并與其他交易進(jìn)行混合,以此增加攻擊者通過數(shù)額推測交易相關(guān)性的難度。需要說明的是,Coinjoin 技術(shù)為達(dá)世幣提供的匿名性是有限的:一方面,提供服務(wù)的第三方能夠追蹤混幣交易的流向;另一方面,達(dá)世幣交易中也存在主節(jié)點被控制以及惡意用戶參與混幣交易的風(fēng)險。
為了解決上述問題,門羅幣(Monero)通過引入環(huán)簽名與隱蔽地址技術(shù),提供了一種不依賴于中心節(jié)點的數(shù)字貨幣匿名方案。門羅幣的用戶持有兩對公私鑰對,用于生成一次性密鑰對;在貨幣交易時,用戶使用一次性公私鑰計算key image,并選擇一個公鑰集合進(jìn)行環(huán)簽名;當(dāng)環(huán)簽名系統(tǒng)成員數(shù)量為n時,攻擊者將單筆交易輸入地址與輸出地址關(guān)聯(lián)起來的概率不會超過1/n。同時,貨幣交易的發(fā)送者借助接受者的地址與一個隨機(jī)數(shù)生成隨機(jī)地址,隨機(jī)數(shù)只由發(fā)送者掌握,進(jìn)一步提升了門羅幣交易系統(tǒng)的匿名性。然而,門羅幣所使用的技術(shù)從本質(zhì)上看仍屬于混合方案,因此在交易過程中也會遇到與達(dá)世幣相似的問題。
零鈔(Zerocash)引入的零知識證明技術(shù),被視作是打破數(shù)字貨幣混合方案局限性的重要嘗試。在貨幣交易中,系統(tǒng)運用承諾函數(shù)將交易發(fā)送者、交易接受者與交易金額等信息進(jìn)行封裝;在驗證過程中,系統(tǒng)運用零知識證明將需要驗證的信息轉(zhuǎn)化為一個多項式驗證問題,身處其中的證明者與驗證者只需要交換少量信息就能夠完成驗證。相關(guān)研究表明,零鈔是目前匿名性最好的數(shù)字貨幣之一[7]。但是運用零知識證明技術(shù)會產(chǎn)生大量的時間與計算開銷,這成為制約零鈔發(fā)展的效率瓶頸。
與E-Cash 系統(tǒng)相比,基于公有鏈的去中心化非法定數(shù)字貨幣匿名技術(shù)更加豐富,同時推動了數(shù)字貨幣傳遞、拆分與聚合等功能的優(yōu)化。但兩者也存在著共同問題:隨著匿名性能的提升,系統(tǒng)的運行效率會受到明顯影響。
中心化非法定數(shù)字貨幣,是指JP Morgan、IBM、Facebook 等以企業(yè)信用背書發(fā)行的數(shù)字貨幣[8],主要包括摩根幣、天秤幣等,它們建立在聯(lián)盟鏈與私有鏈的基礎(chǔ)之上。在中心化非法定數(shù)字貨幣中,匿名性主要通過Quorum、CoCo 框架等技術(shù)實現(xiàn)(見表5)。需要指出的是,聯(lián)盟鏈與私有鏈沒有強(qiáng)烈的激勵社區(qū)成員的現(xiàn)實需要,因此并不都具有專屬的數(shù)字貨幣。
2019 年2 月,JP Morgan 在其開發(fā)的私有鏈項目Quarum上發(fā)行摩根幣(JPM Coin)。在Quorum 項目中,貨幣交易數(shù)據(jù)被分成public 和private 部分,根據(jù)約定協(xié)議進(jìn)行數(shù)據(jù)交互;系統(tǒng)允許用戶運用PrivateFor語法指定交易可見方,從而提升了匿名性;監(jiān)管者則可以通過記錄在多個節(jié)點上的數(shù)據(jù)信息對交易進(jìn)行追溯,從而提升監(jiān)管效率。由于摩根幣只是JPMorgan為機(jī)構(gòu)客戶設(shè)計的一種即時價值流轉(zhuǎn)工具,一般的外部投資者無法使用,因此適用范圍比較有限。
表5 基于聯(lián)盟鏈與私有鏈的去中心化數(shù)字貨幣匿名技術(shù)
為了解決Quorum 通用性不強(qiáng)的問題,IBM 提供了一種適用于多種聯(lián)盟鏈數(shù)字貨幣的CoCo 方案。這一方案引入了TEE(Trust Execution Environment)環(huán)境,通過借助Intel SGX 以及Windows 的VSM 虛擬安全模式等方式,創(chuàng)建可信的網(wǎng)絡(luò)環(huán)境。TEE 環(huán)境既可以保證代碼的正確執(zhí)行,又能保證系統(tǒng)運行時內(nèi)部數(shù)據(jù)不被外界獲取,使聯(lián)盟鏈技術(shù)可以在完全受信任的節(jié)點上高效運行。Coco 方案的不足主要是由于其兼容各類區(qū)塊鏈協(xié)議的發(fā)展目標(biāo)較為宏大,實現(xiàn)過程相對復(fù)雜,落地場景會受到一定限制。
2019 年6 月,F(xiàn)acebook 主導(dǎo)發(fā)行天秤幣(Libra)。由于發(fā)行時間較短與尚未進(jìn)入中國市場等原因,關(guān)于天秤幣匿名技術(shù)的研究相對較少。目前可以推斷的是,天秤幣的匿名性是通過建立在其自主研發(fā)的智能合約語言MOVE 基礎(chǔ)之上的復(fù)合密碼學(xué)技術(shù)實現(xiàn)的。
與去中心化非法定數(shù)字貨幣相比,基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣在保證匿名性的同時,提升了系統(tǒng)運行效率。
法定數(shù)字貨幣,是由各國中央銀行發(fā)行的、以國家信用為擔(dān)保的數(shù)字貨幣。根據(jù)用途不同,可以將其劃分為批發(fā)型法定數(shù)字貨幣與零售型法定數(shù)字貨幣[9];批發(fā)型數(shù)字貨幣主要用于金融機(jī)構(gòu)之間的支付結(jié)算,而零售型數(shù)字貨幣則廣泛應(yīng)用于企業(yè)與個人的日常生活。在國際實踐中,多數(shù)國家央行以區(qū)塊鏈為基礎(chǔ)發(fā)行法定數(shù)字貨幣,其普遍具有的可追蹤性有助于提升金融監(jiān)管效率(見表6)。
我國央行早在2014 年就啟動了法定數(shù)字貨幣的研究工作,并于2017 年開始進(jìn)行“DC/EP”項目研發(fā)?,F(xiàn)階段已完成頂層框架設(shè)計,正在深圳、蘇州、成都與雄安四個城市進(jìn)行數(shù)字貨幣運營的試點工作。
表6 世界各國法定數(shù)字貨幣特點比較
根據(jù)設(shè)想,DC/EP 將采用“一幣、兩庫、三中心”運行模式,按照“前臺自愿、后臺實名”的方式實現(xiàn)可控匿名性。第一,在DC/EP 的交易過程中,貨幣接收者無法通過獲得的數(shù)字貨幣判斷對方的身份信息,從而實現(xiàn)交易雙方之間的匿名;第二,在自愿的前提下,用戶可以留下個人身份信息,并設(shè)置為貨幣接收者可見;第三,央行掌握DC/EP 的流通信息,在公共利益需要維護(hù)的情境中,經(jīng)授權(quán)的特定主體可以向央行申請調(diào)取相應(yīng)賬戶的交易記錄與戶主信息。
關(guān)于DC/EP 未來使用的匿名技術(shù),我們認(rèn)為可以在借鑒已有數(shù)字貨幣匿名技術(shù)的基礎(chǔ)上,研發(fā)具有更廣闊應(yīng)用場景與更高運行效率的復(fù)合匿名技術(shù),同時努力構(gòu)建符合國情與行業(yè)發(fā)展規(guī)律的金融監(jiān)管體系,推動實現(xiàn)數(shù)字貨幣匿名、效率與監(jiān)管三者之間動態(tài)平衡。
回顧數(shù)字貨幣的演化歷程,可以看出實現(xiàn)數(shù)字貨幣可控匿名性要著力解決好三個基本問題:一是由于技術(shù)能力不足導(dǎo)致用戶隱私泄露的問題;二是匿名技術(shù)與系統(tǒng)運行效率難以兼顧的問題;三是匿名性能與金融監(jiān)管如何有效平衡的問題。在從基于E-Cash 系統(tǒng)的數(shù)字貨幣向基于公有鏈的去中心化非法定數(shù)字貨幣的演化中,第一個問題得到了一定程度的解決;在從基于公有鏈的去中心化非法定數(shù)字貨幣向基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣的演化中,第二個問題得到了比較好的解決。法定數(shù)字貨幣是數(shù)字貨幣未來的發(fā)展趨勢,解決好第三個問題是其取得成功的關(guān)鍵。充分實現(xiàn)數(shù)字貨幣可控匿名性是一個漫長的過程,需要廣大學(xué)者進(jìn)行多方面、全方位的深入研究。