Еволюція технологій криптографічної приватності

Автор: milian

Переклад: AididiaoJP, Foresight News

Оригінальна назва: Історія розвитку приватності у криптосфері

Кожна велика технологічна хвиля починається з вузькоспеціалізованого чи одноосібного використання, і лише згодом стає загальною або багатокористувацькою.

Перші комп’ютери виконували лише одну задачу: зламували шифри, обробляли перепис населення, рахували балістичні траєкторії — лише через багато років вони стали універсальними, програмованими машинами, які можна було розділяти.

Інтернет спочатку був маленькою p2p-дослідницькою мережею (ARPANET), а потім виріс у глобальну платформу, де мільйони людей працюють і взаємодіють у спільному середовищі.

Штучний інтелект іде тим самим шляхом: перші системи були вузькими експертними моделями, створеними для однієї сфери (шахові рушії, системи рекомендацій, фільтри спаму), а потім перетворилися на універсальні моделі, які можуть працювати у різних сферах, налаштовуватися під нові задачі і стати спільною основою для додатків інших розробників.

Технології завжди починаються з вузькоспеціалізованого або одноосібного режиму, створеного для однієї задачі чи людини, і лише потім розширюються до багатокористувацьких сценаріїв.

Саме на цьому етапі зараз перебувають технології приватності. Приватність у криптосвіті ніколи по-справжньому не виходила за межі “вузьких” та “одноосібних” моделей.

До цього моменту.

Коротко:

• Технології приватності проходять той самий шлях, що й обчислення, інтернет, ШІ: спочатку спеціалізовані, одноосібні системи, згодом — універсальні, багатокористувацькі.
• Приватність у крипті завжди залишалася у вузькому одноосібному режимі, бо ранні інструменти не підтримували спільний стан.
• Приватність 1.0 — це обмежена у виразності одноосібна приватність: нема спільного стану, головний акцент на zero-knowledge доказах, докази генеруються на клієнті, розробники мають писати кастомні електронні схеми, досвід використання складний.
• Рання приватність почалася у 2013 з CoinJoin для біткоїна, далі — Monero у 2014, Zcash у 2016, а потім інструменти на Ethereum, як Tornado Cash (2019) і Railgun (2021).
• Більшість інструментів приватності 1.0 залежать від клієнтських ZK-доказів, що призводить до плутанини між “zero-knowledge-доказами для приватності” та “zero-knowledge-доказами для верифікації”, хоча багато сучасних “ZK”-систем створені для верифікації, а не приватності.
• Приватність 2.0 — це багатокористувацька приватність зі спільним шифрованим станом на основі багатосторонніх обчислень або повністю гомоморфного шифрування; користувачі можуть співпрацювати приватно, як це роблять у спільному публічному стані Ethereum чи Solana.
• Шифрований спільний стан означає, що криптосвіт нарешті отримав універсальний шифрований комп’ютер, відкриваючи новий простір дизайну: даркпули, приватні пули капіталу, приватне кредитування, сліпі аукціони, конфіденційні токени та нові види креативних ринків — навіть на існуючих прозорих ланцюгах.
• Bitcoin приніс публічний ізольований стан; Ethereum приніс публічний спільний стан; Zcash приніс шифрований ізольований стан; Приватність 2.0 закриває останню прогалину: шифрований спільний стан.
• Arcium будує такий шифрований комп’ютер, архітектурно схожий на докази типу Succinct, але з багатосторонніми обчисленнями замість ZK, Arcis компілює Rust у багатосторонні обчислювальні програми для мультикористувацьких шифрованих обчислень.
• Нові додатки на базі приватності 2.0: Umbra використовує Arcium для приватних пулів з конфіденційними балансами та обмінами, Pythia — приватний ринок можливостей, Melee — приватний ринок думок із прихованими коефіцієнтами та арбітражем.

Щоб зрозуміти, як ми дійшли до поточного стану і чому шифрований спільний стан такий важливий, потрібно повернутися до витоків технологій приватності.

Приватність 1.0

Перша хвиля приватності у крипті почалася тут.

Користувачі отримали приватність транзакцій через міксери, приватні пули та приватні криптовалюти. Згодом деякі застосування стикнулися з юридичними проблемами, що викликало дискусії про те, чи повинні і як приватні інструменти боротися з незаконною діяльністю.

Приватність 1.0 відкрила еру одноосібної приватності. Координація можлива, але динамічна співпраця, як на програмованих блокчейнах, недоступна, виразність приватності обмежена.

Основні риси приватності 1.0:

• Немає спільного стану, приватність у “одноосібному режимі”, сфера застосування обмежена
• Основна опора на технології zero-knowledge доказів
• Клієнтські ZK-докази дають найвищу приватність, але складні додатки надто повільні
• Розробникам складно: потрібно писати індивідуальні схеми для приватних додатків

Приватність у крипті почалася на Bitcoin, задовго до впровадження складних криптографічних технік на кшталт zero-knowledge-доказів. Рання приватність у Bitcoin — не справжня “криптографічна приватність”, а радше нестандартні прийоми для руйнування детермінізму публічного леджера.

Початки — CoinJoin (2013), де користувачі змішують входи та виходи транзакцій, щоб приховати платіжні зв’язки. Майже без криптографії, але вже надає приватність на рівні транзакцій.

Далі пішли CoinShuffle (2014), JoinMarket (2015), TumbleBit (2016), Wasabi (2018), Whirlpool (2018) — усі побудовані навколо міксування для ускладнення трейсингу Bitcoin. У когось є додаткові стимули, у когось — багаторівневе шифрування чи покращений UX.

Але всі ці підходи не дають сильної криптографічної приватності. Вони розмивають зв’язки, але не дають математичних гарантій, як пізніші системи на zero-knowledge-доказах. Вони залежать від координації, евристик і випадковості міксування, а не від формальних доказів анонімності.

Приватні криптовалюти

Monero з’явився у 2014 і вперше серйозно спробував побудувати повністю приватний блокчейн з приватними переказами — не просто як додатковий інструмент до прозорого ланцюга. Модель базується на ймовірнісній приватності через кільцеві підписи: у кожній транзакції справжній інпут змішується серед 16 підписів-приманок. Такий підхід на практиці може бути ослаблений статистичними атаками чи атаками на мережевому рівні (наприклад, MAP-розкодування), що знижує ефективну анонімність. Майбутні оновлення на кшталт FCMP мають розширити анонімний сет до всієї мережі.

Zcash (2016) пішов зовсім іншим шляхом. Він не спирається на ймовірнісну приватність, а з самого початку задуманий як токен на zero-knowledge-доказах. Запровадив приватний пул на zk-SNARKs, що дає користувачам криптографічну приватність, а не приховування у підписах-приманках. При коректному використанні транзакції Zcash не розкривають відправника, отримувача чи суму, а рівень анонімності зростає з кожною транзакцією у пулі.

Програмована приватність на Ethereum

Tornado Cash (2019)

Tornado Cash з’явився у 2019 і вперше дав Ethereum програмовану приватність. Хоча лише для приватних переказів, користувачі вперше змогли внести активи у смарт-контракт-міксер, а потім зняти їх за допомогою ZK-доказу, отримавши справжню приватність на прозорому ланцюгу. Tornado широко використовувався легально, але після масштабного відмивання коштів КНДР потрапив у серйозні юридичні скандали. Це підкреслило необхідність блокування злочинців для цілісності пулу — сучасні приватні додатки вже впровадили такі заходи.

Railgun (2021)

Railgun з’явився трохи пізніше у 2021, щоб дати Ethereum приватність, що виходить за межі простого міксування, і дозволяє приватну взаємодію з DeFi. Він не лише змішує депозити та зняття, а й дає змогу користувачам приватно взаємодіяти зі смарт-контрактами через ZK-докази, приховуючи баланси, перекази та дії на ланцюгу, але все одно розраховуючись на Ethereum. Це значний крок вперед від моделі Tornado: приватний стан всередині смарт-контракту, а не простий цикл “змішати — зняти”. Railgun дотепер активно розвивається і має прихильників у DeFi-спільноті. Це один із найамбітніших експериментів програмованої приватності на Ethereum, попри складний UX.

Перед тим, як рухатися далі, слід прояснити одну поширену помилку. З ростом популярності ZK-доказів багато хто вважає, що все, де є “zero-knowledge”, — це приватність. Але це не так. Більшість сучасних “zero-knowledge” технік — це докази коректності, вони чудово масштабують та верифікують, але зовсім не дають приватності.

Розрив між маркетингом і реальністю породив плутанину: “ZK для приватності” та “ZK для верифікації” змішані, хоча вони вирішують зовсім різні задачі.

Приватність 2.0

Приватність 2.0 — це приватність у багатокористувацькому режимі. Користувачі більше не діють ізольовано, а можуть співпрацювати приватно, як це роблять у програмованих блокчейнах.

Основні риси приватності 2.0:

• Шифрований спільний стан, приватність переходить у “багатокористувацький режим”
• На основі багатосторонніх обчислень і повністю гомоморфного шифрування
• Довіра до приватності базується на багатосторонніх обчисленнях. Гомоморфне шифрування має ті ж припущення, бо для розшифрування потрібні багатосторонні обчислення
• Схеми абстрагуються, розробники можуть не писати кастомні схеми (якщо не потрібно)

Це досягається через шифрований комп’ютер, який дозволяє багатьом людям працювати зі спільним шифрованим станом. Багатосторонні обчислення та повністю гомоморфне шифрування — базові технології; обидві підтримують обчислення над шифрованими даними.

Що це означає?

Модель спільного стану, яка лежить в основі Ethereum та Solana, тепер може існувати у приватній формі. Це не разова приватна транзакція і не інструмент для приватного доведення чогось, а універсальний шифрований комп’ютер.

Відкривається цілком новий простір дизайну у крипті. Щоб зрозуміти це, варто згадати еволюцію станів у криптосфері:

• Bitcoin дав публічний ізольований стан
• Ethereum дав публічний спільний стан
• Zcash — шифрований ізольований стан

Завжди бракувало шифрованого спільного стану.

Приватність 2.0 закриває цю прогалину. Вона породжує нову економіку, нові додатки і нові, небачені досі сфери. На мою думку, це найбільший прорив у крипті після смарт-контрактів і оракулів.

Arcium будує таку технологію.

Її архітектура схожа на мережі доказів типу Succinct або Boundless, але замість ZK-доказів для перевірки виконання використовується багатостороннє обчислення для шифрованих даних.

На відміну від SP1 чи RISC Zero, які компілюють Rust у ZK-програми, Arcium (через Arcis) компілює Rust у багатосторонні програми. Простіше кажучи — це шифрований комп’ютер.

Ще одне порівняння — “Chainlink для приватності”.

Приватність, незалежна від ланцюга та активу

Arcium спроєктовано незалежно від блокчейну, може під’єднуватися до будь-якого існуючого ланцюга та забезпечувати шифрований спільний стан на Ethereum, Solana тощо. Користувачам не треба залишати знайому екосистему для приватності. Перший запуск — на Solana, реліз основної мережі Alpha цього місяця.

Zcash і Monero інтегрують приватність у власну валюту. Це ефективно, але створює окрему валютну екосистему з власною волатильністю. Arcium іде шляхом незалежності від активу: додає приватність до вже наявних активів користувача. Це інша модель і компроміси, але для користувача така гнучкість важлива.

Відповідно, практично будь-який кейс, що вимагає приватності, може працювати на шифрованих обчисленнях.

Вплив Arcium виходить за межі крипти. Це не блокчейн, а шифрований комп’ютер. Той самий рушій чітко підходить для традиційної індустрії.

Від нуля до одиниці: додатки та функціонал

Шифрований спільний стан відкриває у крипті безпрецедентний простір для дизайну. Тому з’являються такі додатки:

@UmbraPrivacy: Приватний пул на Solana. Umbra за допомогою Arcium реалізує те, що недоступне Railgun: підтримку конфіденційних балансів і приватних обмінів, а перекази — через zero-knowledge-докази. При мінімальних припущеннях щодо довіри дає функціонал, що значно перевищує прості приватні перекази, і надає SDK єдиного приватного пулу, який може інтегрувати будь-який проєкт для приватності транзакцій у Solana.

@PythiaMarkets: Ринок можливостей із приватним вікном для спонсорів. Новий тип інформаційного ринку, де розвідники роблять ставки на недооцінені можливості, а спонсори дізнаються про альфу, не розкриваючи її.

@MeleeMarkets: Прогнозний ринок із прив’язаною кривою. Аналог Pumpfun, але для прогнозів. Чим раніше зайшов — тим краща ціна. Розробляється ринок думок, де користувачі можуть справді висловлювати погляди, коефіцієнти залишаються конфіденційними, а арбітраж — приватним, що вирішує проблему групового мислення та маніпуляцій оракулами. Arcium забезпечить потрібну приватність для таких ринків і приватного арбітражу.

Даркпули: @EllisiumLabs, @deepmatch_enc та демо-проєкт Arcium darkpool використовують шифрований спільний стан для приватних торгів, запобігають фронтранингу й зникненню котирувань, забезпечують найкращу ціну виконання.

Ончейн-ігри: Arcium дозволяє запускати прихований стан і випадковість CSPRNG у шифрованому спільному стані, повертаючи секретність і справжню випадковість. Стратегічні ігри, карткові, “туман війни”, RPG і блеф-ігри нарешті можуть працювати на ланцюгу. Вже кілька ігор працюють на Arcium.

Приватні перпетуал-контракти, приватне кредитування, сліпі аукціони, шифроване ML-прогнозування і кооперативне навчання AI — це лише частина майбутніх сценаріїв.

Крім цих прикладів, практично будь-який продукт, що потребує приватності, можна побудувати. Arcium дає розробникам повну кастомізацію через універсальний шифрований рушій, а Umbra вже надає SDK для приватних переказів і обмінів у Solana. Разом це робить приватність у Solana простою для складних систем і легких інтеграцій.

Конфіденційний SPL: новий стандарт приватних токенів Solana

Arcium також створює C-SPL — стандарт конфіденційних токенів Solana. Він вирішує проблеми попередніх стандартів “приватність 1.0” для токенів Solana: складність інтеграції, обмежений функціонал, неможливість використання у ланцюгових програмах. C-SPL покращений, усуває тертя, що гальмує поширення приватних токенів.

Це робить приватні токени простими для інтеграції в будь-який додаток без додаткового навантаження для користувачів.

Завдяки інтеграції SPL Token, Token-2022, розширення приватних переказів і шифрованих обчислень Arcium, C-SPL дає Solana конфіденційні токени з повною композиційністю і практичністю.

Висновок

Ми все ще на ранньому етапі цієї хвилі, а простір приватності значно ширший за будь-який окремий підхід. Zcash і Monero продовжують вирішувати важливі задачі у своїх нішах, ранні інструменти приватності вже розкрили потенціал. Шифрований спільний стан вирішує зовсім іншу проблему — багатокористувацька приватна взаємодія в існуючій екосистемі без необхідності залишати її. Це не заміна минулого, а закриття прогалини.

Приватність поступово переходить з опційної спеціалізованої функції у ключову складову додатків. Вона більше не потребує нової валюти, нового ланцюга чи нової економічної системи — це лише розширення інструментарію розробника. Минуле десятиліття утвердило публічний спільний стан як основу, наступна епоха розширить цю основу через шифрований спільний стан, додавши раніше відсутній шар.