Что означает конфиденциальность в криптовалютной среде

Размышляя о конфиденциальности в криптовалютной среде, можно обратить внимание на то, что нередко криптовалюты представляются как анонимные средства платежей, хотя существует утверждение и о том, что отследить движения цифровых средств гораздо проще, нежели движения фиатных валют вроде доллара. Чтобы увязать эти два утверждения, необходимо в первую очередь понять, что означает конфиденциальность в криптовалютном мире. Ответить на этот вопрос не так просто, как кажется на первый взгляд, ведь термин «конфиденциальность» в сфере блокчейн-технологий может обозначать множество разных явлений. Вместе с тем, его понимание крайне важно для разработчиков, инвесторов и прочих участников криптоэкономической системы. Давайте попробуем разобраться в этом вопросе.
Рассмотрим три основных аспекта приватности в контексте цифровых активов, в число которых входят: личная информация пользователя, совершающего криптовалютную транзакцию; данные о совершаемой операции; общие сведения о состоянии блокчейна, полученные путем комбинирования данных обо всех транзакциях. Для того чтобы сделать доступ к этим сведениям или их получение путем расчета невозможным (или теоретически крайне сложным) для стороннего наблюдателя, в протоколе может использоваться криптография. В то же время те, кто стремится получить ту или иную информацию о блокчейне, могут скомбинировать отдельные ее фрагменты, чтобы узнать интересующие их сведения или хотя бы сделать соответствующие предположения. В этом смысле основной задачей с точки зрения конфиденциальности является разработка протокола, который будет раскрывать для потенциальных злоумышленников минимально возможный объем информации о конкретных атрибутах транзакций.
Важно отметить, что конфиденциальность тех или иных атрибутов – явление далеко не однозначное. Например, определенные сведения могут быть известны одним наблюдателям и неизвестны другим, или же наблюдатели могут сделать определенные предположения, не будучи при этом полностью уверенными в них. Эта двойственность зачастую делает тезисы вроде «Криптовалюта X гарантирует конфиденциальность» или «Криптовалюта X более конфиденциальна, чем Криптовалюта Y» бессмысленными. Более того, при небрежном использовании подобные утверждения могут привести к путанице и неверным интерпретациям, и именно поэтому они могут быть использованы для намеренного введения пользователей в заблуждение. Мы считаем, что куда разумнее делать более предметные заявления вроде «в Monero сумма транзакции является конфиденциальной» или «в ZCash адреса отправителей до определенной степени анонимны». Как мы увидим позже, в некоторых случаях криптографические инструменты вроде доказательств с нулевым разглашением могут помочь в анализе подобных утверждений или даже предоставить твердые аргументы в их пользу.
Итак, давайте рассмотрим отдельно каждый из аспектов конфиденциальности в отношении криптовалют. Конфиденциальность личной информации (анонимность) Анонимность – первое, что приходит людям на ум, когда они слышат слово «конфиденциальность». Анонимность означает отсутствие привязки действий пользователя к его реальной личности. Одной из самых легко обеспечиваемых ее разновидностей является так называемая «псевдонимность»: по сути, именно ее нам гарантируют разнообразные онлайн-сервисы, присваивая псевдонимы вроде bitcoinlover2008 вместо наших настоящих имен. В этой ситуации в большинстве транзакций с участием других пользователей протокола данные о физическом или юридическом лице пользователя bitcoinlover2008 фигурировать не будут. В большинстве криптовалютных сетей, включая Биткоин, пользователям присваивается публичный и приватный ключи. Публичный служит аналогом логина, а приватный – аналогом пароля. Тот, в чьи руки на законных основаниях или путем кражи попадает приватный ключ, может генерировать «подписанные» вашим именем сообщения, а с помощью публичного ключа любой может проверить и подтвердить их авторство. Благодаря этой функции пользователи могут, например, получать биткоины на один или несколько публичных ключей-адресов и контролировать свои средства и отправлять их с использованием приватного ключа – и все это без вмешательства централизованных органов. Эти концепции формируют фундамент современной математической криптографии и сами по себе представляют большой интерес. Впрочем, для наших целей владение комбинацией публичного и приватного ключей означает просто способ реализовать концепцию псевдонимности в контексте децентрализованных сетей. Из-за этой обычно присущей криптовалютным протоколам псевдонимности, у представителей СМИ и широкой общественности формируется ошибочное впечатление о том, что криптовалюты анонимны либо, по меньшей мере, обеспечивают гораздо большую анонимность, чем просто использование псевдонимов. Неудивительно, что это недопонимание приводит к тому, что люди начинают использовать криптовалюты в незаконных целях, будь то азартные онлайн-игры или транзакции в даркнете.
Впрочем, фактический уровень анонимности криптовалют может серьезно разочаровать таких пользователей: они действительно отправляют и получают коины на публичные адреса, и их настоящие имена при совершении транзакций не раскрываются, однако в результате определенных действий эти адреса вполне можно связать с их реальными личными данными.
Во-первых, большинство пользователей приобретает биткоины на биржах за фиатные средства. Совершение транзакций в обычных валютах, как правило, требует взаимодействия с банковской системой и предоставления реальных личных данных. Как мы уже упоминали ранее, в Биткоине все сведения о транзакциях имеют публичный характер, поэтому любой человек, у которого есть доступ к базе данных биржи, может связать публичные адреса с настоящими именами пользователей. Например, если Элис выведет 0,1 BTC через Coinbase на принадлежащий ей адрес, сервис сможет связать ее реальное имя с этим ключом. Если же она отправит 0,2 BTC на адрес незаконного сайта, принимающего спортивные ставки в режиме онлайн, то сторонний наблюдатель может заключить, что Элис участвует в нелегальной игорной деятельности и даже предоставить непреложные публичные доказательства этого факта. Подобные техники называются блокчейн-аналитикой и используются компаниями вроде Chainalysis для группирования публичных адресов по пользователям, установления их связи с реальными личностями и анализа потоков транзакций.
Во-вторых, совершение транзакции с использованием криптовалюты требует отправки некоторых сведений через интернет. В определенных обстоятельствах метаданные о таких взаимодействиях могут быть использованы для отслеживания IP-адреса пользователя, совершившего операцию, и этому не мешает даже использование анонимайзеров вроде Tor. Сочетание двух этих факторов делает совершение полностью анонимных транзакций с использованием одного только свойства псевдонимности чрезвычайно сложной задачей. Конфиденциальность сведений о транзакциях Говоря о приватности криптовалют, люди обычно подразумевают конфиденциальность некоторых аспектовтранзакций. Условно говоря, транзакция – это действие, которое пользователь совершает с целью изменить состояние блокчейна. Например, Элис может отправить X коинов со своего кошелька на кошелек Боба. Даже в такой невинной на первый взгляд ситуации можно получить сразу несколько фрагментов данных: один из адресов Элис – связь между адресами Элис и Боба; один из адресов Боба; сумму отправленных коинов. Более сложные транзакции могут содержать и другие виды информации. Яркий тому пример – код смарт-контракта в Эфириуме. Разные блокчейны по-разному представляют данные о транзакциях, и некоторые их этих методов позволяют скрыть определенные аспекты от стороннего наблюдателя, который видит только «сырые» данные, записанные в блокчейне. Именно поэтому мы назвали этот раздел «Конфиденциальность сведений о транзакциях», а не «Конфиденциальность транзакций», так как степень приватности различных типов данных о переводах может различаться. Самые важные сведения, которые можно скрыть, — это адреса Элис и Боба. Если они будут конфиденциальными, то определить отправителя и получателя транзакции по сведениям о ней будет невозможно. Это также может помешать проведению блокчейн-анализа. Так, если Элис купит криптовалюту Monero, которая обладает такой характеристикой, через популярную биржу Binance и затем выведет ее оттуда, Binance не сможет связать этот вывод с любыми последующими операциями Элис с этими коинами. Если же Элис переведет Monero Бобу, то он также не сможет узнать, что коины были куплены на Binance. Мало того, ответ на вопрос о том, является ли определенный фрагмент сведений о транзакции конфиденциальным, не может быть бинарным.
В примере с адресом Элис степень приватности можно оценить по значению конфигурации анонимности. Конфигурация анонимности (anonymity set) – это минимальный набор адресов, по которому можно вычислить отправителя транзакции, основываясь исключительно на данных блокчейна. Чем выше ее значение, тем меньше информации об отправителе содержится в данных блокчейна. Например, в случае Биткоина значение конфигурации анонимности для самых простых и понятных транзакций равно единице, так как адрес отправителя содержится в сведениях о переводе, тогда как для Monero эта цифра будет намного выше. Конфиденциальность сведений о полном состоянии блокчейна В случае биткоииа все данные о транзакциях публичны. Это значит, что сторонний наблюдатель, имея доступ к записям во всех блоках цепочки, может воссоздать реестр балансов каждого из адресов (впрочем, их можно разделить на разные UTXO (Unspent Transaction Output), или непотраченные выходы транзакций  –  неделимые части биткоина, привязанные к конкретному владельцу). Это мы и называем сведениями о полном состоянии блокчейна.
Впрочем, если некоторые аспекты транзакций будут конфиденциальными, то знание всех записей в блокчейне не даст пользователю знания полного состояния блокчейна. Оно распределяется между разными пользователями, а блокчейн гарантирует согласованность их знаний. Несмотря на то что знание пользователем определенных аспектов состояния блокчейна зависит только от протокола и осведомленности о транзакциях, которые привели к формированию текущего состояния, связь между ними может создавать сложные взаимодействия. В результате различные атрибуты полного состояния блокчейна могут оказаться конфиденциальными в разной степени, например: список всех адресов; баланс отдельно взятого адреса (например, в кошельке 0x2569C92345013F55CFb47C633c57F2f5756B9acA лежит 1 ETH); код смарт-контракта по конкретному адресу (например, код смарт-контракта CryptoKitties по адресу 0x06012c8cf97BEaD5deAe237070F9587f8E7A266d); сведения, связанные с контрактом (например, данные, хранящиеся в контракте CryptoKitties).
Вот простой пример: в ZCoin сумма каждой транзакции публична, однако сведения об отправителе и получателе конфиденциальны, а это значит, что данные о балансе их кошельков также остаются приватными. С другой стороны, в Mimblewimble безопасность сведений о состоянии счетов пользователей обеспечивается иначе: здесь суммы транзакций приватны, а сведения об отправителе и получателе публичны. Пользователи Mimblewimble должны хранить свои средства самостоятельно, а блокчейн только хранит достаточно информации, чтобы исключить вероятность трат, превышающих принадлежащие пользователям суммы. В большинстве случаев сокрытие характеристик транзакций выгодно индивидуальным пользователям, однако в контексте блокчейна это не всегда так. Например, если общее количество коинов той или иной криптовалюты конфиденциально, то пользователи не могут проверить такие характеристики протокола, как, например, график эмиссии. Кроме того, в подобных условиях сложно заметить злоумышленника, который пользуется криптографическими уязвимостями или лазейками в протоколе для несанкционированного выпуска новых коинов.
Поэтому, размышляя о конфиденциальности в криптовалютной среде, вместо общих фраз вроде «МойКоин конфиденциальнее, чем ИхКоин» попробуйте ответить на следующие вопросы: те или иные фрагменты информации (какие?) о состоянии мира (в какой момент?) конфиденциальны (до какой степени?) для тех или иных людей (для кого?). Такой подход позволит нам оценить технологии обеспечения конфиденциальности и их компромиссные решения более объективно.