BTC-12 比特币匿名

内容编译自北京大学12-BTC-Anonymity教授肖震《区块链技术与应用》公开课

比特币匿名匿名不等于隐私保护。

可能破坏比特币匿名性的方面：

1.一个人可以创建多个地址账户，但这些地址账户可以关联。假设有这样一笔交易：

输入：地址1（4BTC），地址2（5BTC）

输出：address3 (6BTC), address4 (3BTC)

其中，address1和address2可能属于同一个人，因为这个人同时控制着这两个账户的公钥。之所以有两个输入，是因为你很难买到一个账户的全部价值，一个账户是用来找零的。输出地址也可以有一个更改地址。比如前面的例子比特币用户有多少，可以分析出输出中的address4就是要找零的地址，因为如果4是存储地址，那么就不需要使用两个输入，一个就够了。理论上，为了更强的隐私保护，可以人为形成一些不必要的输出来欺骗他人。但是，此类交易通常是通过移动钱包软件生成的。很少有人会自动生成比特币转账交易。常用的比特币钱包只有几个，不会故意生成不必要的输出地址。

2.比特币地址账户与现实中的真实身份相关联。

2.1.资金转入转出。

如果你购买比特币，有一个将资金转移到区块链的过程，很容易暴露你的身份。为了防止使用比特币进行洗钱的非法行为，跟踪资金进出转移链的转移是一种常用方法。

2.2.现实世界用比特币支付。

延迟大比特币用户有多少，等待6次确认需要一个小时左右，交易费用高。接收比特币时，很容易造成隐私泄露。用于支付的账户与真实身份相关联，该支付账户也可能与比特币的其他账户相关联。不仅接受您付款的商店会知道，其他所有人都会知道。

比特币交易记录是公开的，因此在使用比特币付款时，请告知对方您的比特币账户。不仅那个人知道你的账户，你周围的其他人也会意识到你此时正在使用比特币。进行消费，然后去区块链查看此时地点消费了哪些交易，即可推断出该账户是你的。

所以比特币的匿名性也不是绝对的，没有想象中那么好。

例子：

1.中本聪保持着最好的匿名性，没人知道是谁。账户中的比特币仍然没有被花费，与现实世界没有任何联系，他们的真实身份也不会被泄露。 0.0

2.丝绸之路网站，非法网络交易平台。贩卖违禁品。为逃避司法制裁，支付方式为比特币，网络层为TOR，采用匿名投递服务。经营了两三年，终于被查封，换了老大，没收了几十万比特币。他抢到的比特币都没有被花掉，从而防止他的身份被泄露。即便如此，他还是被抓住了。 0.0（有鬼，终止交易）。被查获后，第二版丝绸之路2出现了，几年之内也被查获。

比特币的匿名性并没有想象的那么好，尤其是当你想用它做坏事的时候。任何使用比特币从事非法活动的人最终都会被抓获。 0.0

比特币的匿名性有多好？

匿名与隐私保护有关，即我在不让别人知道的情况下这样做。问题是你想向谁透露你的身份？向谁隐瞒你的身份？

如果是一个普通人不想让身边的人知道我有多少比特币，在这个层面上是可以实现的。用比特币现有的机制，在这个层面保护隐私还是比较容易的。

如果是非法组织，从事黑市活动，此时很难维护隐私。

比特币用户可以采取哪些方法来最大化匿名性？

为了提高匿名性，我们应该从应用层和网络层入手。

eg：化名去网吧发帖，通过身份证+ip就可以知道自己是谁。 IP地址与现实中的真实身份有很强的相关性。因此，比特币要想实现匿名，首先要在网络层实现。对于比特币，比特币交易在互联网上公布。如果网络不保证层匿名，则可以从节点的 IP 地址推断出节点的真实身份。

网络层的匿名性：多路径转发---TOR。消息不是由发送方直接发送给接收方，而是经过多次跳跃和多次转发，中间的每个节点只知道前一个节点是谁，却不知道是谁先发送的。

应用层的匿名性：不同人的币混在一起——混币。破坏匿名性的一个原因是，同一个人的不同比特币账户会被关联起来，因为区块链是公开的，每一个花费的币都可以追溯到源头，因为这个币首先是由那个币交易形成的，然后每一个该币参与的交易可以追溯。所以要起到匿名保护的作用，一种方法是把不同人的币混在一起，把你的身份和身边的人混在一起，让人分不清谁是谁，这些币是从哪里来的。有专门混币的网站，但是混币服务本身必须保持匿名，投进去的币可能会被卷起来跑掉。有些应用程序具有混币的性质，例如在线钱包，但不能保证执行混币功能。加密货币交易所一般具有自然混币的性质，前提是交易所不披露相关提存记录。

保护隐私非常困难。本质原因是区块链是公开的，不可篡改，这对隐私保护来说是灾难性的。

零知识证明：

指一方（证明者）向另一方（验证者）证明一个陈述是真实的，除了该陈述是真实的，没有透露任何其他内容。

比特币中的零知识证明：证明一个账户属于我就是证明我知道该账户的公钥，但我不能告诉你我的公钥。我可以用公钥形成签名，如果你知道账户的私钥，你可以验证签名的正确性（是否算作零知识证明还有待商榷，因为我实际上并没有告诉你公开密钥，但我告诉过你是用公钥签名的，这与披露声明正确以外的任何信息的需要是不一致的）。

同态隐藏：

零知识证明的物理基础是同态隐藏。同态隐藏的3个性质：

1.如果x和y不同，那么它们的加密函数值E(x)和E(y)也不同。加密后的函数值不会碰撞，不像散列函数。

2.给定E(x)的值，很难推断出x的值。加密函数是不可逆的，类似于散列函数的隐藏性。

3.给定E(x)和E(y)的值，我们可以很容易地计算出x和y各自的加密函数值。

--同态乘法：通过E(x)和E(y)计算E(x+y)的值

--同态除法：通过E(x)和E(y)计算E(xy)的值

--扩展到方程

例子：A（证明者）想向B（验证者）证明他知道一组数字提示x+y=7（语句），同时又不让B知道x和y的具体值（隐）。 A将E(x)和E(y)的值发送给B，B通过E(x)和E(y)计算E(x+y)的值（使用属性3） , B 同时估计 得到E(7)的值，如果E(x+y) = E(7)，则验证通过，否则验证失败。根据性质2，E(x)和E(y)是不可逆的，所以无法估计x和y的值。E(x+y) = E(7)，表示x+y=7，因为没有碰撞，使用属性1，如果两个两个密码值E(x +y)和E(7)相等，那么两个输入一定相等。