区块链重要基础知识11——比特币的匿名性及其实现与比较

本文结构

1. 匿名基础知识

对匿名的简单理解是：一个匿名集合称为匿名，如果只对应另一个名字，则称为假名。

1.1 为什么需要匿名化

交易记录存储在公共账本上，在区块链上是完全透明的，所以你需要对那些应该匿名的进行匿名操作。但是我们不需要对其进行匿名操作，所以有对应的匿名级别：

1. 触及传统银行 → 2. 更进一步，没有人可以轻易追踪参与者

并且有以下分析和攻击手段，只有经过匿名化后才能进一步保证数据安全和身份安全。

1.1.1 污点分析

如果有频繁的接收者对应发送者，那么我们称之为污点操作（也称为 pypypy 事务 - 网络术语）。这种方法可以在一定程度上分析相关性，但并不准确，所以只能在前期用它来寻找可能性，存在很大的概率问题。

1.1.2 侧信道攻击

定义：即使没有直接关联，你的匿名身份也可能因为旁道或者一些间接信息泄露而暴露（deanonymized）（deanonymized）（deanonymized）

实际示例：如果有人查看匿名比特币交易记录并注意到比特币交易的活跃时间，他可以将这个时间信息与其他公开可用的信息相关联。或者如果某个时间段内有多个账号同时在线，则说明它们大概率相关

1.2 如何实现不同地址不同交易不关联 交易的双方没有关联——这是个伪命题，因为你付钱的时候，对方肯定会收到，即使你去通过许多迂回的手段，但时间和空间上的相关性并不那么强，而且总是有一定的联系。1.3 个匿名集

1.4 道德问题

薪水：由于每次都发薪水，比平时的收入要大比特币无法交易的原因，所以这相当于一个函数的峰值，很容易被恶意攻击者检测到

洗钱：比特币与其他货币的接口不能匿名，现实中不存在匿名

David ⋅ \cdot ⋅ Chaom 提出了盲签名的概念，一种防止跟踪+防止双花的机制

Tor是一种允许不同政客自由发言而不受他人迫害的方法，因为它在网络层将IP匿名化，但很容易被犯罪分子用来非法传播一些东西，使得其他人无法使用IPIPIP。找到它

2. 如何去匿名2.1 隐身地址：2.1.1 解决方案实现

公钥仍然用作地址，

公钥为：gxg_xgx​地址：HgxH_{g_x}Hgx​​

Bob 需要知道公钥但不知道其哈希值，然后 Alice 选择一个随机数 rrr 并计算如下公式：

这里 Alice 可以计算左边的部分，如果 Bob 得到 rrr，他可以计算右边的结果。如果最终一致，那么 Bob 就有资格使用这笔钱

(gx)r=gxr(g_x)r=g_{xr}(gx​)r=gxr​

然后将钱发送到这个公钥，最终被 Bob 实际使用，使用方式如下：

2.1.2 缺陷：Alice 需要将值 r 发送给 Bob；需要假设即使 Bob 不在线，比特币交易仍然有效。2.2 多地址输入交易形成的地址簇（如果小于一个，需要合并）

两个传入交易很可能由同一用户控制。

共享消费（输入对象通用，但由不同人输入）成为不同地址身份（控制器）共同控制的证据。当然，也可能有例外。有可能 Alice 和 Bob 是在同一个卧室的朋友，决定共同购买茶壶并分别付款。但是，一般来说，

公共输入基本上意味着公共控制。

上面的注意：为了支付茶壶，Alice 从两个不同的比特币地址创建了一个交易。通过这种方式，Alice 暴露了一个人控制两个不同地址的事实。

攻击者可以通过检测上述类似交易不断建立地址集群，最终Alice的地址会被攻击者记录下来。

2.3 找零地址随机化（多于一个时需要找零）

早期比特币习惯性的把常用的找零地址放在前面几个不同的输出地址，这样方便我们管理，也更容易调用，但是这里我们比较关心安全性。这也使得更容易暴露给攻击者。所以输出地址需要随机化

Alice可以有多个输出比特币无法交易的原因，最终实现多种组合（支付组合）：

其中一项费用是茶壶店的收货地址，另一项是爱丽丝自己的“零钱”地址。

这样增加了随机性，使攻击者更难突破

2.4 尽量避免成语识别地址

一组研究人员发现了大多数钱包软件使用的习语，并衍生出一种识别找零地址的强大方法。——本质是人们认为自己找到了一个钱包软件的规律：比如一般找零地址是新地址，那么结论就是新地址是零地址，旧地址不是。这不一定是规则。没错，但是在一定程度上可以提高效率，所以需要大量的人工干预来消除一些错误，而这样的规则如果普遍传播，就会导致一些高级用户可以玩这个功能。，那么攻击者获取的信息是错误的

2.4.1 将真实世界的身份与集群联系起来

我们可以用大数据统计的方法进行相应的聚类，那么最终的结果就是对发送到同一个地址的地址进行聚类，最终得到一个对应的地址簇，也可以加上这个聚类因子。相关变量越多最终越准确，也就是他需要更多的背景知识作为基础（其实我们从大数据统计一开始就应该知道✌️）

2.4.2 标记交易，

如果只是通过访问交易所或商家的网站来找出它发布的接收比特币的地址怎么办？

所以可靠的方法是和服务提供者进行一次实际的交易，得到他拥有的真实的东西，最后形成一个覆盖范围越来越大的地址集群，这样我们最终大概可以识别出这些服务提供者。交易越多，越准确

2.5 避免泄露个人信息，最终识别个人

区块链网络上交易图的这些分析，这些方法总结为交易图分析（transaction graph analysis）

通过服务提供商疏忽直接交易 - 在论坛中链接自己的地址2.6 网络层去匿名化

这是一种不依赖交易图的方法，由于其影响广泛，对于隐私保护来说是一个非常严重的问题。

当一个节点创建交易时，该节点会与许多其他节点建立链接并广播该交易。如果网络上有足够多的节点串通起来（或者被同一个攻击者控制），他们就可以知道哪个节点是第一个广播交易的，因此可以推断出这个节点是由创建交易的用户拥有的。自己的。

2.6.1 使用 IP 匿名化的系统 - tor

用户只是普通人，想保护自己不被网络追踪，也就是网络IP是匿名的，所以对于其他想寻找交易来源的人来说，这是一个更好的解决方案。当然，可能还有更合适的方案（因为这个方案还是有一定的局限性，比如低延迟，但是比特币是高延迟的，所以这里有点冲突，其中混币网络是一个可能的替代方案）

使用 Tor 系统为比特币实现网络层匿名化解决方案时有一些注意事项。首先，Tor 的协议与任何基于它的上层协议之间可能存在一些复杂的交互，这可能会导致打破匿名性的新方法。事实上，研究人员发现，在 Tor 协议之上使用比特币时存在一些潜在的安全问题，使用该方案时必须非常小心。其次，可能还有其他更适合与比特币一起使用的匿名通信技术。Tor 的目标是低延迟活动，例如网页浏览。您也不想在浏览网页时坐在那里等待半天，因此可能必须在匿名性方面做出一些牺牲以实现低延迟。相比之下，比特币是一个高延迟系统，因为比特币交易需要时间才能在区块链上得到确认。因此，至少在理论上，我们可能更愿意使用另一种替代方案来实现匿名性，例如混合货币网络（Mix Net，参见本章6.3 节）。但就目前而言，作为一个实际运行并拥有庞大用户群的系统，Tor 还是有一些优势的，这些用户的安全问题已经得到了深入研究。

3 混币网络

货币混合的一个重要特点是它使交易图的有效性降低，

用户将比特币发送给中介，并通过其他用户取回比特币。这使得在区块链上跟踪用户的比特币变得更加困难。

3.1 混币指南：

客户端自动化

费用应该是全部或全部

3.2种不同的混合操作方案

包括本书 5 位作者中的 4 位在内的一组研究人员对混合模式进行了研究，不仅从增强匿名性的角度，而且从安全信任级别的角度，提出了一系列方案来改进混合模式的运行。混合货币：

混币在线钱包

特殊货币混币服务

使用多种混合硬币

3.3 混币实战4.分布式混币

定义：不同于一般的混币交易，是指用户之间以点对点的方式实现混币交易的协议。

好处：

不存在自举问题，用户无需等待可信的集中式混合提供商出现。在分布式混合模式下不太可能发生硬币盗窃，该协议保证您可以在混合交易中取回等值的比特币。在某些方面，分布式混合模式可以提供更好的匿名性。4.1 实施计划 - 组合货币：

核心理念：不同的用户共同创建一个包含所有用户输入的单一比特币交易。主要原因在于，虽然合并成为单一交易，但合并之间双方的签名是相互独立的。

由于输入和输出地址的顺序是随机的，攻击者无法在输入和输出之间建立匹配关系

确认交易中输出信息正确，且输入输出的比特币大小匹配，一经确认即进行签名

通过固定不同组间交易时单位比特币交易的大小，可以有效避免交易信息的泄露。

实施步骤：找到想要混币的交易对手作为节点。交换输入/输出地址。创建交易。将此交易发送给其他人，每个节点在确认其输出地址后对其进行签名。广播此交易。

如果节点按照上述步骤进行操作，会导致多个节点按照正常流程发布交易。恶意节点不希望你的交易成功，它只需要不签名，只要系统考虑到双花问题，只要它先签署另一笔交易，然后只要另一笔交易被确认首先，它想要破坏交易的人肯定会走他的路）

4.2 高层流

侧信道攻击是通过冗余信息分析相关性。其实反过来想，如果不是攻击，而是一个角度，防止别人攻击（俗话说，会攻击，就知道防御），对吧？比如，你发完工资后，每个月都需要存一些家庭资金。一般情况下，你发完工资后，为了方便，会马上存到另外一张专门的银行卡里（这种关联性很大的行为是高风险的交易流程。）——这种行为在时间和账户上关系很大，所以如何消除这种相关性非常重要：

避免合并：用户将尽可能地合并他们的比特币，以便有足够的金额支付到单个接收地址以完成交易。——即拆分而不是将一个地址转移到多个地址，因为这样表明它们是相关的，并且最大化了它们的独立性；

5. 零硬币和零纸币

之前的匿名增强技术都是在原有的核心技术协议之上加载匿名处理，而Zerocoin和Zeronote在协议层集成了匿名处理。

5.1 零币

在系统中，基础货币就是你需要交易的货币，而Zcoin只是提供了一种交易基础货币的机制，保证了新币和旧币之间没有任何关系。

打个比方，就像你去赌场用现金换一些扑克筹码。这些筹码是您存入多少现金的一种证明。当您离开赌场时，您可以带着这些证明来兑换相同数量的钱。但不等同于现金。当然，与扑克筹码不同的是，你不能用零币做任何事情，除非你可以稍后兑换一个基础币。

核心思想：这个证明机制不会显示你拥有哪个Zcoin，而只是证明你确实拥有一个。

5.1.1 零知识证明

定义：它是 Zerocoin 和 Zeronote 使用的主要证明方案，用于证明一个陈述（数学上）是正确的，而不显示任何其他可能导致该陈述正确的信息。

IknowxsuchthatH(x‖<其他已知输入>)