Bitcoin, запущений майже 14 років тому, революціонізував фінансові транзакції, усуваючи посередників. Поява Ethereum та смарт-контрактів подальшим чином прискорила цей тренд, усуваючи посередників з складних фінансових продуктів, таких як торгівля, кредитування та опціони. Однак вартість усунення посередників часто була жертвою приватності. Наша ідентичність та транзакції на ланцюжку легко відстежуються централізованими біржами, вхідними/вихідними шляхами, компаніями з аналітики на ланцюжку та багатьма іншими суб'єктами. Ця прозорість на ланцюжку обмежує розширення Веб 3 для багатьох випадків використання, таких як корпоративні платежі, власна торгівля на ланцюжку та багато інших застосувань.

Ця проблема не нова, і багато проектів, наприклад, zCash, намагалися її вирішити з 2016 року, впроваджуючи технології, такі як докази з нульовим розголосом (ZKPs). З того часу ZK технологія розвивалася з нестямимою швидкістю. Крім того, виникає багато інших технологій, таких як повністю гомоморфне шифрування (FHE) та безпечні багатоадресні обчислення (MPC), щоб вирішити більш складні сценарії використання приватних даних на ланцюжку, тобто, Приватний стан.

У Alliance ми вважаємо, що конфіденційність on-chain дозволить використання, яке раніше було неможливим, і, отже, буде основною темою веб-3 в найближчі кілька років. Якщо ви є засновником, який будує конфіденційну інфраструктуру або додатки, які потребують конфіденційного стану, ми хотіли б підтримати вас. Ви можете звертайтеся та застосовувати до Альянс.

Різні типи приватного стану

Використання приватних даних on-chain природно означає, що ці дані зашифровані. Конфіденційність цих даних залежить від володіння ключем шифрування / дешифрування. Цей ключ, тобто приватний ключ, часто відрізняється від звичайного Приватного Ключа, тобто ключа для підпису транзакцій. Перший контролює лише конфіденційність даних, останній контролює зміну цих даних.

Природа власності Ключа конфіденційності призводить до різних типів приватних станів. Тип приватного стану значно впливає на те, як цей стан може бути представлений на ланцюжку та на кращий підхід до обробки цього стану. Загалом приватний стан можна поділити на Особистий Приватний Стан (ОПС) та Спільний Приватний Стан (СПС)

Персональний приватний стан

Це означає, що дані/стан власність одного суб'єкта і тільки цей суб'єкт може їх переглядати або змінювати. Цей суб'єкт також може вирішити дозволити іншим переглядати дані, наприклад, розділивши ключ перегляду усім або частині цих даних. Приклади цього приватного стану включають:

• Баланс приватного токена
• Приватні облікові дані або особиста інформація. це включає вік, громадянство, статус інвесторської акредитації, обліковий запис у Twitter або будь-які інші дані веб-2, які можуть бути використані в веб-3
• Історія приватних транзакцій

Спільний приватний стан

Спільний приватний стан (SPS) - це приватні дані, які кілька людей можуть змінювати/використовувати для обчислень, не порушуючи конфіденційність. SPS може бути станом, який доступний будь-кому і, отже, може бути змінений будь-яким користувачем. Це може бути станом темного басейну AMM, станом приватного пулу позик, тощо. SPS також може бути обмеженим для невеликої групи учасників, які можуть отримувати доступ або змінювати дані. Приклади останнього включають стан онлайн багатокористувацької гри, де ви дозволяєте змінювати стан активним гравцям. Це також може включати приватні вхідні дані до моделі штучного інтелекту on-chain, де тільки декілька сутностей, наприклад оператор моделі, можуть виконувати обчислення над приватними даними.

SPS важче керувати, ніж особистий приватний стан. Завжди важче міркувати про те, який вид обчислень може бути виконаний на SPS та чи можуть ці обчислення витікати інформацію про нього. Наприклад, виконання угоди проти dark-pool AMM може витікати деяку інформацію про ліквідність всередині пулу.

ZKPs, FHE та MPC

Існують різні можливі підходи до обробки приватних станів on-chain. Кожен підхід підходить для певного типу приватного стану, тому існує конкретний набір застосувань. У багатьох випадках створення корисного застосування вимагає поєднання цих підходів разом.

Докази знань нуля

Перший підхід, який з'явився для роботи з конфіденційністю on-chain, полягав у використанні ZKPs. Цей підхід особливо підходить для особистих конфіденційних даних. У цьому підході власник даних просто може розшифрувати дані локально, використовуючи їхній ключ конфіденційності, зробити будь-які необхідні зміни, зашифрувати результат використовуючи їх ключ, і, нарешті, згенерувати ZKP, щоб довести мережі, що їхні зміни до приватного стану є валідними.

Це зробило ZK особливо підходящим для платіжних мереж, наприклад, zCash, Iron Fish та багатьох інших. У цих архітектурах, коли користувачі здійснюють транзакції з використанням приватних активів, вони виконують всі обчислення локально, тобто витрачають UTXO та створюють нові для отримувача, і змінюють свої приватні баланси токенів. Оскільки обчислення та генерація ZKP відбуваються локально на пристрої користувача, конфіденційність балансів та історії транзакцій захищена. Мережеві майнери бачать лише згенерований ZKP та новий зашифрований UTXO.

Незважаючи на простоту обчислень, необхідних для виконання платежів, UX приватних платежів був складним через довгі часи генерації ZKP. Однак із значними покращеннями у системах доведення zk час генерації доказу для простих платежів знизився до менше ніж 1 с на споживчому обладнанні. Це також дало можливість введення загальної програмованості в системи на основі zk.Ацтек та Aleoє дві великі мережі, які надають загальну програмованість для zk-базованих ланцюжків. Aztec та Aleo мають деякі відмінності, але обидві в основному ґрунтуються намодель ZEXE. У цій моделі кожне застосування повинно бути реалізовано у вигляді zk-схеми. Це створило потребу як в мережі для абстрагування zk-складності для розробників застосунків, так і для користувачів. Це вимагало створення мов програмування високого рівня, наприклад, Noir (Aztec) та Leo (Aleo), які можуть ефективно перетворювати високорівневий код у zk-схеми.

Наприклад, Aztec використовує Noir та його асоційовану фреймворк розробки смарт-контрактів, Aztec.nr, щоб розірвати кожний смарт-контракт на набір функцій. Кожна функція реалізована як zk-схема. Користувачі можуть виконувати загальне обчислення на своїх приватних даних, завантажуючи необхідні функції та виконуючи обчислення локально на своїх пристроях. Деталі того, як виконувалися смарт-контракти Aztec, обговорювалися в ційнитка.

Реалізація, подібна до Aztec, значно покращила використання zk систем, введенням загальної програмованості. Однак такі системи все ще мають кілька викликів:

1. Будь-яке обчислення над приватним станом має відбуватися на стороні клієнта. Це погіршує користувацький досвід та вимагає, щоб користувачі мали здатні пристрої для використання мережі.
2. Підхід zk не підходить для роботи зі спільним приватним станом. За замовчуванням у всіх додатках є публічний стан. Це ускладнює створення додатків, таких як ігри з не повною інформацією та приватний DeFi.
3. Складніша композиція, неможливо виконати транзакції, що потребують зміни кількох приватних станів, оскільки кожен стан повинен бути обчислений окремим користувачем. Такі транзакції потрібно розбити на частини, і кожну частину виконати в окремому блоку.
4. Також є виклики щодо виявлення приватних даних. Якщо користувач отримує транзакцію з приватним станом, вони не можуть виявити цей стан, якщо не завантажать весь приватний стан мережі, спробувати розшифрувати кожен його шматок за допомогою їхнього ключа конфіденційності. Це створює складний UX для користувачів навіть у виконанні простих завдань, таких як запит їхнього балансу, як пояснюється в даному випадку нитка.

Придатні застосування для систем на основі zk

Міцні гарантії конфіденційності zk роблять його придатним для значної кількості використань

Анонімні соціальні медіа

Деякі відомі особистості не можуть поділитися своїми справжніми думками та досвідом, боячись соціального тиску та скасування. Це спонукає до нового типу соціальних мереж, де учасники можуть приватно підтвердити певні риси про себе, наприклад, наявність цифрового багатства на ланцюжку блоків або володіння конкретним NFT, і використовувати це підтвердження для анонімного публікування, не розкриваючи свою справжню особистість. Наприклад,Пісні китівпрототип від мого колегиДевід,

Приватні on-chain облікові дані

Прикладом є надання можливості людям із певними повноваженнями анонімно брати участь у DAO або анонімно голосувати за теми, що потребують певної експертизи. Прикладом цього веб-зразка 3 є HeyAnoun. Більша область застосування використовує реальні референції, наприклад, реальне багатство, академічні ступені, для анонімної участі в протоколах on-chain. Відправлення приватних реальних референцій on-chain може забезпечити кілька використань, таких як неколатералізоване кредитування DeFi, on-chain KYC або географічне відсічення. ZK підходить для цих випадків використання, оскільки воно дозволяє наявність спеціалізованих ключів перегляду для частин приватного стану, які можуть використовуватися в конкретних обставинах, наприклад, неплатоспроможність по кредиту.

Основним викликом щодо включення даних IRL в ланцюг є гарантія автентичності даних IRL. Деякі підходи, такі як zkEmail та TLSNotaryвирішити це питання шляхом аутентифікації веб-трафіку до конкретних веб-доменів та того, що домен містить необхідні дані.

Підприємницьке виставлення рахунків/платежів

Важним підмножину конфіденційних платежів є корпоративні платежі. Компанії часто не хочуть розголошувати своїх бізнес-партнерів/постачальників або умови своїх угод. Прозорість онлайн-платежів обмежила корпоративне використання стейблкоїнових платежів. З належною конфіденційністю на ланцюжкупідприємства впровадження онлайн-платежівможе бути прискорена на основі покращеної ефективності та вигідності по порівнянню з існуючими банківськими рейками.

Підхід FHE

Повний гомоморфний шифрування дозволяє виконувати обчислення над зашифрованими даними та генерувати правильні зашифровані результати без розшифрування даних під час обчислення. Це робить FHE особливо підходящим для роботи зі спільними приватними станами. За допомогою FHE можна створювати додатки на ланцюжку, у яких є приватний стан, такі як приватні пули AMM або приватна виборча скринька. Приватний стан існує на ланцюжку в зашифрованому форматі, що дозволяє будь-якому користувачеві виконувати обчислення над цими даними. Впровадження FHE на ланцюжку може дозволити та спростити численні випадки використання, які раніше були неможливі, такі як приватне голосування та інформаційно-неповні ігри, наприклад, покер.

Переваги FHE

Значна перевага FHE полягає в покращенні композиційності в різних аспектах.

1. Декілька угод/користувачів можуть змінювати один і той же приватний стан в межах одного блоку. Наприклад, декілька обмінів можуть використовувати той самий темний пул.
2. Одна операція може змінити кілька приватних станів. Наприклад, операція обміну може використовувати кілька темних пулів AMM для завершення обміну.

Ще однією перевагою є покращення користувацького досвіду. У FHE обчислення над приватним станом виконуються валідаторами мережі, які можуть розгортати спеціалізоване обладнання для їх швидшого виконання.

Третій перевагою FHE є покращення досвіду розробника. Хоча розробники все ще повинні оновлювати свої ментальні моделі, щоб належним чином керувати приватним станом, бар'єр набагато нижчий, ніж у zk-системах. По-перше, FHE-системи можуть працювати з тією ж моделлю облікових записів, яку використовують ланцюжки смарт-контрактів. По-друге, FHE-операції можна додавати на основі існуючих реалізацій ВМ, дозволяючи користувачам використовувати ті ж фреймворки розробки, інструменти, гаманці та інфраструктуру, з якими вони звикли. Це відноситься до fhEVMреалізація зZamaщо просто додали зашифровані змінні та операції FHE як попередні компіляції. На відміну від очікуваного, ця перевага критична для зростання приватних додатків на ланцюжку, розробники - ключ до створення цікавих додатків, які привертають користувачів. Безперервний досвід розробника може привернути більше розробників у простір FHE.

Обмеження FHE

Приватність Довіра Припущення

Ланцюги FHE потребують глобальних ключів шифрування / дешифрування для всього приватного стану. Це критично для досягнення композиції. Зазвичай ці ключі зберігаються групою валідаторів для можливості розшифрування результатів операцій FHE над приватним станом. Це означає, що група валідаторів також довіряютьне порушувати конфіденційність існуючих приватних станів.

Потенційна витік приватності
Виконання кількох обчислень над зашифрованими даними може порушити конфіденційність. Наприклад, угоди, виконані на темному пулі AMM, можуть розкрити деяку інформацію про поточну структуру ліквідності пулу.

Обчислювальна складність обчислення ПШЕ

Навіть з вдосконалими реалізаціями, операції FHE часто вимагають від 1000 до 1 000 000 разів більше обчислювальних ресурсів, ніж звичайні обчислення. Ця складність обмежує можливу пропускну здатність додатків FHE on-chain. Поточні оцінки від Inco Network показують пропускну здатність від 1 до 5 TPS для операцій FHE. З використанням прискорення за допомогою GPU та FPGA ця пропускна здатність може бути збільшена в 10–50 разів.

Джерело: https://eprint.iacr.org/2021/1402.pdf

Придатні застосування для систем FHE

Системи FHE особливо підходять для застосувань, які вимагають високого рівня композиційності

Інформаційно-неповні ігри. Прикладами тут є карткові ігри, наприклад, покер, де статус колоди карт доступний і може бути змінений кількома гравцями.

Приватне голосування, FHE спрощує впровадження секретних опитувань, коли голоси можуть змінювати підсумок голосування, не знаючи попередній результат голосування

Приватний AMM, впровадження приватних AMM або приватних пулів DeFi взагалі спрощується шляхом представлення стану пулу як зашифрованої змінної .

Підхід КМП

Багатосторонні обчислення (MPC) відомі та популярні в криптовалютній індустрії для конкретного випадку зберігання активів. Деякі з найбільших компаній у цій галузі, наприклад, Fireblocksзаснували успішні бізнеси навколо використання безпечного MPC для утримання одночасності. Крім того, багато постачальників гаманців-як-сервісу, наприклад, Coinbase, 0xPass, використовуйте MPC для покращення безпеки гаманця та користувацького досвіду.

Однак MPC можна використовувати не тільки для захисту закритих ключів. Загалом, MPC вирішує проблему виконання обчислень через приватні входи, тобто дані, і розкриває лише вихідні дані обчислень, не порушуючи приватності входів. У специфічному контексті зберігання активів приватні вхідні дані є уламками приватного ключа. Власники цих шардів співпрацюють, щоб виконувати «обчислення» над цими приватними входами. Обчислення тут генерує сигнатуру транзакції. Кілька сторін тут колективно генерують і розшифровують підпис, і жодна з них не отримує доступу до приватних входів, тобто до приватного ключа.

Так само, MPC дозволяє будь-який тип обчислень над приватними даними без їх розголошення. Це дозволяє MPC керувати приватним станом в контексті блокчейну. Один приклад цього - децентралізоване навчання штучного інтелекту на основі приватних наборів даних. Різні власники даних та постачальники обчислень можуть співпрацювати для виконання навчання штучного інтелекту на основі MPC над приватними наборами даних для розрахунку ваг моделі. Результат обчислень, тобто ваги, розшифровуються групою MPC після фази навчання для створення завершеної моделі штучного інтелекту.

Багато реалізацій MPC забезпечують міцні гарантії конфіденційності для конфіденційності даних, тобто чесний менший, що означає, що вона має подібні гарантії конфіденційності до zk систем. MPC також може виглядати схожим на FHE, оскільки воно дозволяє виконувати обчислення над SPS, що означає, що воно може дозволяти композицію. Однак порівняно з FHE, MPC має деякі обмеження

1. Обчислення можуть виконуватися лише суб'єктами, що належать до групи MPC. Ніхто поза цією групою не може виконувати жодних обчислень над даними
2. Для забезпечення гарантій добросовісних меншин всі учасники MPC повинні співпрацювати для виконання MPC. Це означає, що обчислення може бути цензурним будь-яким учасником групи MPC. Це обмеження можна послабити, зменшивши поріг MPC, тобто кількість сутностей, необхідних для виконання обчислення. Однак ціною тут є те, що конфіденційність даних може бути порушена через координацію між меншою кількістю учасників.

Підходящі застосування для систем MPC

Сховища Dunk CLOBs

Одним із перших реальних застосувань MPC в DeFi є впровадження Dark Pool CLOBs. У цій системі трейдери можуть розміщувати лімітні або ринкові замовлення без попереднього знання стану книги замовлень. Збіг замовлень відбувається за допомогою MPC з використанням приватних даних, тобто існуючої книги замовлень.Renegade Financeє однією з компаній, які будують таку систему.

Децентралізоване виведення власних моделей штучного інтелекту

Деякі додатки, наприклад, менеджери стратегій на основі штучного інтелекту DeFi або Кредитний рейтинг Web 3, може розгортати MPC для виконання інференції за допомогою власних моделей. У цій архітектурі ваги моделі штучного інтелекту є приватними. Ваги можуть бути безпечно розподілені серед кількох обчислювальних вузлів так, що кожен має лише підмножину ваг моделі. Вузли можуть співпрацювати для виконання інференції штучного інтелекту на оновлених подіях у ланцюжку, щоб приймати рішення та подавати транзакції, які виконують стратегію децентралізованих фінансів.

Навчання відкритих моделей штучного інтелекту з використанням власних даних

Тут типовим прикладом є навчання моделей медичної діагностики за допомогою приватних медичних записів. У цьому випадку творці моделі, компанії та власники даних, тобто пацієнти, можуть співпрацювати, використовуючи MPC, щоб запустити процес навчання на основі приватних даних, не порушуючи приватності цих даних. Мережі, такі як Bittensor та Nillionможе дозволити такі сценарії використання.

Псевдо-бездозвільний Спільний Приватний Стан

З обережним проектуванням MPC може бути використаний для обробки псевдо-дозвільних SPS. Наприклад, стан темного пула AMM та обчислення над цим станом можуть бути побудовані як MPC між кількома сутностями. Користувачі, які хочуть взаємодіяти з AMM, повинні поділитися своїми транзакціями з групою MPC, щоб виконати обчислення від їх імені. Перевага цього підходу полягає в тому, що кожен SPS може мати різний набір ключів конфіденційності (порівняно з глобальними ключами у випадку FHE). Ризик цього підходу - можливість цензури групою MPC. Однак, з обережним економічним проектуванням цей ризик може бути зменшений.

Конкуренція або синергія

Обговорювані підходи до поводження з приватною державою в ланцюжку на перший погляд здаються конкурентоспроможними. Однак, якщо відкинути фінансові стимули різних команд, які будують ці мережі, zk, FHE та MPC фактично є взаємодоповнюючими технологіями.

З одного боку, zk системи пропонують більш міцні гарантії конфіденційності, оскільки дані «розшифровуються» ніколи не залишають пристрій користувача. Крім того, ніхто не може виконувати обчислення над цими даними без дозволу власника. Ціною за ці міцні гарантії конфіденційності є слабша комбінаторність.

З іншого боку, FHE сприяє більшій композиційності, але слабкій конфіденційності. Ризик конфіденційності походить від довіри до сутності або невеликої кількості сутностей з глобальними ключами розшифрування FHE. Незважаючи на цей ризик і тому, що композиційність є основним інгредієнтом у криптографії, FHE може забезпечити конфіденційність у багатьох важливих випадках використання, наприклад, в DeFi.

Реалізація MPC пропонує унікальний компроміс між підходами zk та FHE. MPC дозволяє обчислення над спільними приватними даними. Таким чином, він пропонує більше композиційності, ніж ZKPs. Однак обчислення над цим приватним станом обмежено невеликим набором учасників і не є бездозвільним (на відміну від FHE).

Оскільки ZKPs, MPC та FHE відрізняються за швидкістю їх застосування, практичні застосування часто вимагають поєднання цих технологій. Наприклад, Renegade Finance поєднує MPC та ZKPs, щоб забезпечити можливість побудови темного басейну CLOB, що також гарантує, що учасники мають достатньо капіталу для покриття своїх прихованих замовлень. Так само, в онлайн-грі в покер, zkHoldem поєднує ZKPs та FHE.

Ми очікуємо, що мережі, орієнтовані на конфіденційність, поєднають ці технології під капотом, щоб надати розробникам на цих екосистемах всі необхідні інструменти для безшовної побудови додатків. Наприклад, Aztec може поєднати деяку форму MPC в мережі для обробки спільного приватного стану. Так само, Inco Мережаможе використовувати ZKPs для створення приватних адрес та приватної історії транзакцій.

З цим баченням майбутньої конфіденційності Alliance прагне підтримувати засновників, які будують цей майбутнє. Якщо ви будуєте в цій галузі, звертатися та застосовувати до Альянс.

Disclaimer：

1. Цю статтю взято з [Альянс], Усі авторські права належать оригінальному автору [Мохамед Фода]. Якщо є заперечення до цього перевидання, будь ласка, зверніться до Gate Learnкомандою, і вони вирішать це негайно.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора і не становлять жодного інвестиційного поради.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіатування перекладених статей заборонені.