乾貨 | 閃電 VS 雷電:瞭望塔模式(中):瞭望塔中的隱私保護方案
閃電 vs. 雷電:瞭望塔可拓展嗎? (上):模式及運營成本
本文我們將討論擴充套件瞭望塔服務以及提升閃電網路、雷電網路隱私保護能力的幾種不同的方法。
免責宣告:雖然我持有 比特幣(BTC),以太幣(ETH),比特幣現金(BCH),雷電網路代幣(RDN)等加密貨幣,但我的投資組合很分散, 因此我沒有任何經濟動機為任何加密貨幣當託。我希望能夠看到許多不同擴容方案的專案互相競爭,同時使用者能夠自由選擇支付方案。如果你有不同立場,沒有關係,我對此毫無意見並願意與你繼續探討相關話題。感謝點對點(P2P) OTC 交易平臺 LocalEthereum 對本文的支援。
背景介紹
首先,我要感謝 Reddit 這個社群,大家能夠公開地討論各種主題。 上一篇文章 在這 4 個子話題的主頁推送,收穫了一些非常棒的討論。非常感謝!
其次,雷電網路的 “監察服務” 並不是最終名稱,未來有可能會變化,因此在沒有具體指明的情況下(例如:“閃電網路瞭望塔” 或 “雷電網路監察服務”),本文將使用 “瞭望塔” 來指代閃電網路與雷電網路的具體實現。
第三,如果你第一次接觸瞭望塔這個概念,我建議你先閱讀上一篇文章,其中講述了:為什麼瞭望塔對於鏈下擴容 非常重要 、瞭望塔服務執行原理、閃電網路與雷電網路實現之間的差異、描述了兩種主流瞭望塔策略、瞭望塔服務運營(和資金)成本並概述了主要可擴充套件性挑戰。
第四,我們還將使用到以下兩個術語:
- 業務導向型瞭望塔 指的是 能夠 將同一通道或賬戶的所有狀態更新連結在一起的瞭望塔
- 隱私導向型瞭望塔 指的是 不能 將同一通道或賬戶的所有狀態更新連結在一起的瞭望塔
有關這些模型的更多細節,請閱讀 上一篇文章 。
插播:有些人問我為什麼使用 “業務(business) VS 隱私(privacy)” 這個詞來表述瞭望塔服務的不同側重。因為企業若想增加收入並且在競爭中生存下來,不關注隱私的瞭望塔服務提供方有更多途徑來增加收入並降低運營成本。因此,從企業生存發展角度,他們的方案可行性更高。
關鍵問題
在廣泛採用瞭望塔服務之前,社群需要解決三個主要問題:
- 隱私
- 可擴充套件性
- 可追責性
在本文中,我們將討論針對隱私與可擴充套件性的不同解決方案,並討論它們的不足。
和往常一樣,你不必認可本文描述的所有觀點,但相信你讀完會覺得不無裨益,如果你有什麼想要分享討論的,請隨時參與進來。
隱私
我確信瞭望塔服務是閃電網路和雷電網路隱私保護的瓶頸所在,因為如果瞭望塔能夠將交易關聯起來,那麼其他隱私保護功能便沒有什麼價值了。
普遍觀點認為,相比於鏈上交易,鏈下交易仍具有更快速、更便宜、隱私保護更強的特點。但是,這種思維模式很難進行全球推廣,因為若要全球推廣,實際面臨的問題就是 “它現在比 Visa、支付寶、微信、PayTM 更好麼?或者換句話說,它能夠永遠存在麼?”
此外,鏈下交易可能並不能更好地保護隱私,因為使用者能夠在每次鏈上交易的時候使用一個新的鏈上地址,像 LocalEthereum 等錢包或服務提供方都會預設提供這一功能。然而,鏈下交易僅能與唯一一個鏈上地址或通道關聯。
讓我們一起來看一些可以略微提升隱私保護能力解決方案。
1. 交易時間模糊化
適用範圍:閃電網路 & 雷電網路
使用者向瞭望塔傳送狀態更新之前,能夠通過引入一些隨機延遲(例如:幾秒鐘或幾分鐘)來將交易時間模糊化,從而增加流量分析成本。
然而,如果交易的對手方會不加任何延遲就將通道更新發送給他的瞭望塔的話,這種辦法就行不通了,因為可能會有很大型的瞭望塔網路,它們將參與大規模金融監管,以遵守當地及國際法律,像銀行和其他金融機構一樣,必須向有關部門透露有關其客戶的所有資訊。在協議層面強行增加延遲可能有助於緩解這個問題,但是這樣做會顯得很奇怪。
注意: 在業務導向型瞭望塔設計中 ,瞭望塔能夠明確知道它們目前監聽的具體是哪些通道,因此它們清楚每個通道的所有參與方。
下面的例子中,Bob 沒有任何延遲地傳送他的狀態更新,但 Alice 嘗試將交易時間模糊化:
此外,將狀態更新延遲更長時間(例如幾個小時)會讓使用者體驗更差,因為為了確保交易安全,使用者必須保持線上,直到狀態更新發送出去並且收到一個確認資訊。因此,要確定使用者的時區以及識別使用者是否使用唯一指紋或經常更換時區仍然相當容易。
插播:模糊化交易時間能夠增強隱私導向型瞭望塔隱私保護能力,因為隱私導向型瞭望塔不能將相同通道或賬戶的狀態更新相關聯。然而,由於運營需求不斷上漲但盈利模式有限,隱私導向型瞭望塔能否大規模推廣仍不清楚。
在面向隱私的點對點(P2P)、自主保管且端到端加密的 LocalEthereum 平臺上購買與出售以太幣(ETH)。你可以建立一個新的密碼保護賬戶,或者使用你最喜歡的錢包(例如:Ledger、MetaMask)或手機應用(像 imToken)登入。
2. 在不同瞭望塔之間迴圈更新狀態
適用範圍:閃電網路
使用者能夠在每筆鏈下交易完成之後,通過向多個瞭望塔中的隨機一個傳送他的狀態更新的方式,實現瞭望塔間迴圈。
總之,這是一個不錯的功能,但是在現代社會它並不能很大程度地提升隱私保護能力。因為在實際應用當中,我們應該將多個瞭望塔視作一個大的監聽整個網路活動的實體。
正如上面所提到的,瞭望塔服務節點很可能會形成一個服從監管的大型瞭望塔網路,像銀行一樣參與大規模的金融監管。一些瞭望塔最初可能由獨立實體控制,但最終會加入監管網路,就像最近 ShapeShift 等加密交易所一樣。
此外,瞭望塔迴圈會降低使用者體驗,因為使用者必須發現多個瞭望塔節點,並且可能要多次支付。為了方便起見,大多數外行會僅僅選擇一個特定的瞭望塔節點。因此,由於 預設設定問題 ,瞭望塔循只能作為一小部分黑客才會使用的高階工具。
我們可以在協議層強制使用多個瞭望塔節點,但是大瞭望塔可以提供特定的服務來偽裝成多個瞭望塔節點。
請注意,此解決方案並不適用於當前的雷電網路,因為在雷電網路中,使用者是通過公共聊天室將狀態更新資訊傳送給所有經註冊的監察服務節點的。
還有許多其他的方法也使用了多瞭望塔節點(例如:Celer 網路), 但我們留待後文加以探討 。
3. 將不同使用者的狀態更新繫結在一起
適用範圍:閃電網路(eltoo 升級後適用,但效果有限) & 雷電網路(效果有限)
另一種方式是使用混幣服務的概念。
CoinJoin (混幣)是一種免信任的方法,可以將多個消費者的比特幣支付組合到一筆交易當中,從而使得外部觀察者更難以確定哪個消費者向哪個或哪些接收方付款。 ( wiki )
與混幣服務類似,不同使用者的狀態更新理論上能夠以一種免信任的方式繫結在一起,並以一段資料的形式傳送給瞭望塔。
挑戰:
- 目前不清楚如何以免信任的方式實現該功能。很大程度上,使用者仍需信任某一服務/狀態更新參與方。然而,這個參與方可能洩露使用者隱私。
- 如果該功能的具體實現使得使用者在收到瞭望塔成功接收資料的確認前,需要保持線上,就會造成使用者體驗較差的問題。
- 該功能應該是一種預設功能,否則外行就不會使用該功能。
- 在業務導向型設計中(例如:目前雷電網路的方案),只能將交易時間模糊化,而不能將狀態更新所有者模糊化。
4. 狀態更新路由
適用範圍:閃電網路(eltoo 升級後適用,但效果有限) & 雷電網路(效果有限)
另一種非常有趣的方式是通過類似路由多跳轉發的方式,將狀態更新發送給瞭望塔。
然而,這個方案面臨著很多挑戰:
- Alice 需要能夠通過 Bob 和 Carol 將一個加密資料包傳送給瞭望塔節點(使用 Tor 僅能遮蔽 IP,但並不夠)。理想情況下,所有狀態更新應該看起來屬於最後一跳(Carol)。
- 如果瞭望塔對儲存或接收狀態更新收費(有關業務模型的更多內容,請閱讀下一篇文章),Carol 應該能夠替 Alice 支付瞭望塔節點的服務費。
- Bob 和 Carol 應該能夠因提供資料轉移服務而向 Alice 獲取一定的費用,以激勵他們提供這類服務。
- Alice 需要獲取到瞭望塔已經收到狀態更新的確認資訊。
- 該路由演算法應該是免信任的,所以實現思路並不清晰。
- 該功能應該是一種預設功能,否則外行就不會使用該功能。
- 即便能夠正確地實現,它依舊會降低使用者體驗、增加受攻擊面並且增加收費的中繼節點。
- 業務導向型瞭望塔(例如:目前雷電網路的方案)清楚正在檢測的是哪條通道,並且也只知道狀態更新的實際擁有者是誰,因此仍是隻有交易時間可以模糊化。
5. 製造大量的噪聲(虛假路由)
適用範圍:閃電網路 & 雷電網路(無 PFS —— path-finding service,尋路服務)
使用者可以通過傳送大量虛假小額交易或向瞭望塔傳送虛假狀態更新的方式來隱藏他的真實交易,模仿高頻經濟活動或路由過程。
問題:
- 即便隱私導向型瞭望塔能夠儲存更多的狀態更新,可擴充套件性依舊是一個等待解決的問題。提供隱私導向型方案時,瞭望塔可以為狀態儲存向賬戶收費(適用於哪種方案?),但這樣的話,由於需要花費真金白銀,外行人就不會使用這個隱私功能了。
- 建立大量虛假交易將大幅度增加頻寬負擔,因此有可擴充套件性的問題。
- 如果對方使用尋路服務(PFS),那麼傳送虛假交易就沒有意義了,因為 PFS 提供方知道哪些交易是真實交易。
因此,存在真實用例麼?
業務導向型瞭望塔(RDN 或 eltoo)的隱私保護水平能夠通過在 協議層面強制 使用者傳送小額噪聲交易的方式來提升。由於瞭望塔只儲存最新的狀態更新,資料儲存需求並不會顯著增加。頻寬負擔仍然是一個比較嚴重的問題;對家若使用尋路服務,將消除傳送噪聲交易帶來的隱私保護效果。
關於隱私的幾點思考
到目前為止,這些都不是根本的解決方案,上面所描述的所有方法都有它們的缺點,如果我們在基礎層已經有了較好的隱私保護,那麼它們更多隻是錦上添花,而非雪中送炭。然而,如果在基礎層瞭望塔能夠將同一通道或賬戶的所有狀態更新關聯起來,那麼我們就無法大幅度提升隱私保護水平了。
作者:Sam Aiken
翻譯&校對:storm pang & 阿劍
本文由作者授權 EthFans 翻譯及再出版。