Calibra最新論文DAPOL：分布式責任審計證明_POL

前言：

我們存放在交易所里的數字資產安全嗎？我們手上持有Tether的USDT安全嗎？如何證明？傳統信用的基石來自權威，信息，流動性，強弱的不對稱，而加密世界的信用來自于證明，「Don'ttrust,verify」不擠兌，銀行10%準備金就夠了，擠兌了，100%準備金也不夠，因為存貸款期限的錯配，銀行照樣會倒閉。

日前FB的DAPOL論文，旨在如何證明數字交易所的嘗付能力，或者如何證明政府公告的COVID-19數據正確？其原理主要通過Merkletree(默克爾樹)，驗證我的余額是否包含在公告的資產中，或被證實確診的“我”包含在公告的確診人數當中。當然這里面還需要考慮大量的安全性，隱私性要求。DAPOL旨在為責任審計提供安全隱私的密碼證明。

DistributedAuditingProofsofLiabilities分布式責任審計證明https://eprint.iacr.org/2020/468.pdf

摘要

分布式責任審計證明旨在讓那些接受用戶存款如交易所證明其償付能力，或者接受用戶投票，評論的平臺能證明其公示結果是正確無異，證明責任或義務總額，同時不損害用戶隱私。例如要證明我們平時看到COVID-19報告確診人數是否正確，其原理就是每個確診的人，都能很輕易地通過加密協議，證明“我”是被包含在其確診的總數里面，并且過程并不會泄漏“我被確診”的信息。

DAPOL更典型的用例是數字交易所場景，我存放在中心化的交易所里的代幣，有沒有被交易所挪用，也就是交易所如何證明其償付能力？

負債證明：證明交易所欠所有客戶的代幣總數。

資產證明：證明交易所數字資產的所有權。

一般來說，交易所應該證明擁有的代幣的總余額大于或等于其負債，也就是用戶存在交易所的代幣總額。

與傳統的基于審計師審計的方法相比，DAPOL的優勢在于，它為用戶提供了一種透明機制來驗證交易所用戶余額是否包含在報告的負債/債務總額中，并通過添加額外的隱私保護來補充審計師進行的傳統審計驗證過程。

目前本DAPOL提案只關注負債證明部分，并基于假設被審計單位沒有任何增加其他負債或義務的動機。雖然債務證明是證明財務償付能力的一個重要部分，但DAPOL還有許多其他應用場景，包括在稅收報表中的使用，在社交網絡中的“負面”投票和攻擊性內容的透明報告等。

DAPOL方法結合了以前已知的加密技術，核心是基于增強的Maxwell的Merkle樹結構，并分別使用Balancesplittingtricks/平衡分裂技巧、efficientpadding/有效填充、verifiablerandomfunctions/可驗證隨機函數、deterministickeyderivationfunctions/確定性密鑰派生函數和來自Provisions和ZeroLedge解算協議的范圍證明技術進行擴展。

由于Bulletproofs、Gro16、Ligero、Plonk、Halo和其他有效的ZKP結構在上述負債/償付能力證明協議發布時不可用或不成熟，但任何有效的求和結構集成零知識方案都是一個很好的候選方案。

Keywords:distributedauditing;liabilityproofs;zeroknowledgeproofs;privacy;standards.

關于DAPOL提議

旨在推動ZKP加密技術應用主流化的ZKProof開放計劃，“DAPOL”文檔與ZKProof開放計劃的范圍保持一致，重點是在各種場景中促進ZKP使用，與傳統方法相比，基于ZKP的構造的DAPOL提供的隱私和透明性更好的選擇。

DAPOL是一個以隱私、透明度和安全性為重點的包容性社區驅動流程，旨在促進分布式審計流程的可信規范和開源實現，特別是用于責任、義務和“否定”投票的證明。

探討ZKP審計規范化的一個主要原因是，目前行業在償付能力證明工具上存在不一致性。審計人員經常需要重新對被審計公司提出的算法進行證明，因為它們沒有一個共同的參考，同時明顯過時的弱隱私保護技術仍然被廣泛使用。

我們希望最終的解決方案能在金融業以及其他需要報告義務、責任或“反對”票的業務。

起因/動機

該方案結合了一組加密原語，為審計過程提供了一個分布式的隱私保護解決方案，審計過程要求實體在不公開任何用戶數據的情況下，透明地報告其責任總額、義務或與負面報告相關的任何內容。五大原因和技術的發展成熟激發和推動了這一提議：

一、隱私增強技術：一些在高級隱私技術已顯示出巨大潛力，更重要的是，這些技術已經達到了成熟和實用的程度，許多技術的標準化工作正在進行中。如零知識證明、多方計算、差分隱私、私隱信息檢索、私隱集合交集、不經意RAM，混合網絡和安全飛地等。

Mythical Games起訴前高管秘密為新公司籌集1.5億美元:金色財經報道，Mythical Games公司已經對Web3游戲工作室的三位前高管提起訴訟，指控他們在公司任職期間違反了信托責任。根據周四提交的案件，高級副總裁Chris Ko、首席運營官兼游戲主管Matt Nutt和聯合創始人Rudy Koch竊取了Mythical公司的融資計劃，在仍受雇于該公司的情況下將1.5億美元注入他們的新公司Fenix Games。

去年，Ko、Nutt和Koch的任務是為Mythical Games的風險投資部門Mythical Ventures獲得投資者。在各自于11月宣布離開該公司后，這些高管宣布Fenix Games從Cypher Capital籌集了資金，Cypher Capital是這些高管之前為Mythical Ventures獲得資本而合作的主要投資者。（coindesk）[2022/12/24 22:04:48]

應用ZKP是允許驗證一條信息而無需公開它的數據。在隱私保護審計中，ZKP讓驗證程序向任何第三方，如用戶或審計員演示某些數據通過了共享驗證過程，而沒有透露它們的數據。在我們的設計中，被審計實體應該證明其總負債額，而不暴露負債結構及其用戶基礎信息。同時，它可以將ZKP交付給每個用戶，用戶可以驗證其余額/金額是否包含在報告的總負債中。

二、全球隱私保護條例：審計已經受到新的隱私保護條例的影響。2019年，在日益認識到數據的經濟價值之際監管機構在幾個關鍵司法管轄區，加快了標準化數據安全政策的努力。隨著新十年的開始，PET領域繼續孕育出新的解決方案。歐盟的《通用數據保護條例》已于去年生效，對全球隱私格局產生了重大影響。在美國，立法者也在激烈地辯論數據使用問題。加利福尼亞州率先采用了自己的數據隱私監管框架，即《加利福尼亞消費者隱私法》。美國馬薩諸塞州、紐約州和新澤西州等多個州的立法機構已經提出或宣布了考慮自己隱私法規的計劃。

三、去中心化的大肆宣傳：由于其不變性、安全性和無中央權威，區塊鏈技術越來越流行于各種商業和社會流程中。雖然區塊鏈通常與加密貨幣相關，但它有其他應用，以及應用于金融以外的不同行業。為了審計的目的，區塊鏈可以用作一個不可變的公共公告欄，實體在那里發布其責任報告。

四、更廣泛的應用：盡管DAPOL協議最明顯的應用是數字貨幣交易所和數字錢包的償付能力證明，但我們意識到，其在金融行業之外的信息披露的義務要求的場景中有更廣泛的應用。一些例子包括可核實的銀團貸款和保險合同、稅務報告收入、賭博中的頭獎、透明的慈善籌款活動、不贊成投票和虛假新聞報道等。在上述所有情況下，添加一個功能，使每個人都可以檢查用戶自已的余額或反對票是否包含在其信息披露報告中，這將在隱私保護下增加透明度和正確性驗證。

五、缺乏行業標準：分布式私隱審計仍然沒有標準化的協議，過去造成了用戶資金損失。責任審計最明顯的應用之一是與償付能力證明有關，即實體證明其擁有足夠的資產來支付其負債應對用戶的提取。一個健全的債務證明系統可以防止資金損失。

第一個眾所周知的例子是，2002年安達信會計師事務所對美國能源公司安然的審計失敗，最終導致安然公司破產，當時世界上五大審計會計師事務所之一安達信被解散，并被判妨礙司法公正罪。這是一例子，表明像DAPOL這樣的分布式審計工具可能有利于審計師保障業務和提高透明度。

另一個例子是，2014年初，總部位于東京的最大的比特幣交易所Mt.Gox的客戶從Mt.Gox提款，但從未收到錢。結果發現，一名攻擊者在沒有被注意到的情況下，慢慢地吸干了Mt.Gox的所有比特幣。2014年2月，該公司以6400萬美元的債務為由申請破產。

Mt.Gox案一個積極的結果：它在數字交易所領域引入了審計流程，最初是由個人審計師審計，然后是像德勤這樣的大型審計公司審計。更重要的是，它引發了對有效償付能力證明方案的研究，2014年，GregoryMaxwell提出了第一個償付能力的密碼證明。但最初的方案泄露了有關數據和個人余額的信息vii，并沒有在交易所的大范圍內使用，數字貨幣交易所更傾向于使用可信的審計師，而不是Maxwell協議。除了隱私問題，最初的Maxwell方案也被證明是不安全的，盡管如此，它仍然是業內使用的主要方案。

由于缺乏一個完整而有效的隱私保護的審計方案，業界在使用密碼證明的償付能力猶豫不決。在2019年的ZKProof社區活動中的討論還顯示，由于沒有官方標準參考，審計師不能盲目相信被審計實體提供的規范和實施，需要從頭開始實施自定義的責任證明。

2014年親自審計Bitfinex和OKCoin的Ripple前首席技術官斯特凡?托馬斯這樣說過：“在我們還沒有實現完全零知識、可通過加密驗證的審計之前，你必須信任審計師，例如我，才能判斷”。本文就是嘗試對上述問題的回答；我們的DAPOL提供一個實用的基于ZKP的審計解決方案。

委內瑞拉和哥倫比亞占據LocalBitcoins交易量的23%:委內瑞拉已成為加密貨幣點對點(P2P)交易平臺LocalBitcoins的第二大市場，而哥倫比亞已經躍居第三位，這兩個拉丁美洲國家占據了LocalBitcoins總市場的23%。（Decrypt）[2020/12/9 14:39:40]

第一章。償付能力證明工具

1.1密碼技術

本節列出此協議中使用的最重要的加密技術模塊。為了獲得完整的解決方案，我們組合下面的多個密碼技術，而其中一些可以選擇性地用于提供額外的安全屬性和隱私保證。

1.1.1Merkle樹

Merkle樹是一種分層數據結構，能夠對數據集合進行安全驗證。在Merkle樹中，每個節點都有一個索引對表示為N。Merkle樹的一個重要特征是其每個節點的構造由以下方程控制：

Merkle樹的主要功能是驗證某個數據包Di是N數據集、的一個列表或集合的成員。δ∈D1....Dn號,稱為Merkle證明。它包括獲取一組散列，稱為給定數據包Di和Merkle根R的驗證路徑。數據包的驗證路徑只是通過重復散列和連接來重建根R所需的最小散列列表。注意，如果所有包D11,...,Dn為驗證器所知，但它確實需要比Merkle路徑大得多的存儲開銷，并且整個數據集可供驗證器使用。

1.1.2求和Merkle樹(默克爾樹)

求和Merkle樹是一種改進的Merkle樹，其中每個葉子由組成，其中v是一個數值，h是一個blob，也就是抗沖突哈希函數h下哈希結果的結果。Merkle樹和求和Merkle樹的主要區別在于，在求和默克爾樹中，每個內部節點都包含一個數值，等于它的子數值之和。因此，所有葉平衡都按自底向上的順序填充，因此根節點的最終平衡是所有葉節點數值的總和。

對于核實客戶余額是否包含在報告的總金額中的分布式審計償付能力證明，如果證明通過，資產不低于數據集中的金額之和，則資金是安全的。

基于對Maxwell協議的安全修改，證明了對于一個內部節點，達到求和的正確性，我們還應該包含它的兩個子余額，而不僅僅是它們的求和。

1.1.3Pedersen承諾

為了保護用戶余額穩私，我們建議使用Pedersen承諾。設G是具有s=|G|元的循環群，G和h是G的兩個隨機生成元，則Pedersen對整數v∈0，1。，s-1形成如下：選擇承諾隨機性r，并返回承諾c：=COM=gvhr。

Pedersen承諾是完全隱藏的：承諾c不揭示承諾值v。以類似的方式，承諾在計算上也具有約束力：如果一個對手可以以兩種不同的方式打開承諾c，那么同一個對手可以用來計算logh，因此把離散對數問題分解成G。

Pedersen承諾的一個非常有用的性質是它們是加同態的。如果c1和c2是對值v1和v2的兩個承諾，分別使用承諾隨機性r1和r2，則c:=c1×c2是對v1+v2的承諾，使用隨機性r1+r2，如c==gv1+v2hr1+r2

1.1.4設置成員資格證明

集合成員證明允許證明者以零知識的方式證明他存在于給定的公共集合中。例如，可以在電子投票的情況下使用這種證明，選民需要證明他的票包含于所投候選人的票倉中。在償付能力證明情況下，這種方式可用于證明用戶余額是否計入公告的總額中。集合成員證明的另一個常見用例是當集合由范圍組成時——證明是否包含在集合范圍內。

1.1.5零知識范圍證明

零知識范圍證明允許證明一個數在一定范圍內。簡言之，給定一個值v，在零知識中證明v屬于某個離散集S。在本文中，S是一個數值范圍，如。

定義3。關于承諾方案C的范圍證明是集合成員證明的一個特例，其中集合S是A，b∈N的連續整數序列S=。

1.1.6可驗證隨機函數

可驗證隨機函數是偽隨機函數，它基于公共輸入和私鑰給出其輸出的公共可驗證證明。簡而言之，它將輸入映射到可驗證的偽隨機輸出。在DAPOL環境中，需要VRFs來確定和唯一地生成審計id和固有的Merkle樹。

1.1.7隱私信息檢索

可公開訪問的數據庫是檢索最新信息必不可少的資源，但是它們也會對用戶的隱私造成很大的風險，因為一個好奇的數據庫操作員可以跟蹤用戶的查詢并推斷出用戶的需求什么。事實上，在需要保密用戶的意圖的情況下，用戶在訪問數據庫時通常要謹慎。

在經常性審計中，一個完整的分布式責任證明解決方案應該滿足的一個重要特性是，在不知道客戶要求哪種證明的情況下，向客戶提供證明。如果被審計實體可以提取用戶詢查請求信息，那么潛在在進行的審計證明修改的可能性。

加州脫美計劃組織“Calexit movement”尋求把加密貨幣作為其金融支柱:一項受英國脫歐啟發的名為“Calexit movement”的計劃希望加州脫離美國，成為獨立國家。該計劃背后的人現在正在尋求把加密貨幣作為其金融支柱。該組織最近任命了區塊鏈專家Alastair Caithness來分析如何利用像比特幣這樣的數字資產來保障全民基本收入。Caithness對未來基于加密貨幣經濟的想法表示贊賞，他認為這種形式可以“以前所未有的規模為免費醫療、免費教育和基本收入形式提供資金”。根據相關計劃，州政府已同意今年向“ Calexit”舉行公開請愿，可能在2024年之前進行正式投票。（cointelegraph）[2020/9/2]

隱私信息檢索是一種協議，允許客戶端檢索數據庫的某個元素，而該數據庫的所有者無法確定檢索了哪個元素。

此外，強大的隱私信息檢索是一種隱私信息檢索，附加的要求是客戶機只了解他正在查詢的元素，而不了解其他元素。此要求捕獲數據庫所有者的典型隱私需求。

1.2償付能力證明方案

本節簡要介紹本提案中在償付能力證明方案的密碼證明列表。DAPOL使用了來自以下所有解決方案的功能。

1.2.1基于求和樹

就在Mt.Gox破產案之前，Maxwell提出了一個協議，使交易所能夠證明其總負債，同時允許用戶驗證其賬戶余額是否包含在總負債當中。交易所構建了一個類似于1.2中描述的總和Merkle樹，其中每個葉節點包含客戶余額，客戶id和一個新nonce連接的余額散列。

原來的提案已被證明是不安全的，因為人們可以要求的負債少于所有用戶的余額總額。在這里，我們的協議的修復方法，是將兩個余額分別添加到散列中，而不是先將它們聚合起來。在本文中，我們稱協議為Maxwell+。

每個節點存儲其左、右子節點的聚合余額，以及其左、右子節點數據的哈希值。根節點存儲所有客戶余額的總和，表示報告中的總負債；然后，交易所廣播根節點。如圖1.1.2所示。

當客戶驗證其余額是否包含在交易所申報的負債總額中時，僅對部分哈希樹就進行驗證足以。具體來說，交易所按照從客戶的葉節點到根節點的唯一路徑將每個節點的nonce和兄弟節點發送給客戶，這稱為身份驗證路徑。路徑上的其他節點不需要傳輸，因為存在有足夠的信息來重建它們。當且僅當其路徑終止于由交易所廣播并簽名的根目錄時，就包括其余額。

雖然很優雅，但此協議并沒有隱藏在根節點中發布的交易所總負債的值。雖然對這個價值的粗略理解可能是公共知識，但確切的價值可能是敏感的商業數據。此外，定期的證據將揭示交易所持有量的精確變化。該協議還泄露了有關其他客戶余額的部分信息。例如，如果使用簡單的平衡樹，則每個客戶的證明都會顯示樹中兄弟帳戶的確切余額。更一般地，在給定的身份驗證路徑中顯示的每個兄弟節點都會顯示該相鄰子樹中客戶的總擁有量。這可以通過使用不平衡樹或執行隨機平衡拆分來減輕，因此不清楚任何相鄰的子樹中有多少，但是協議本身會泄漏這些信息。

圖1.1顯示了通過應用和的修復的4節點求和Merkle樹。

Maxwell的設計允許分布式驗證檢查，每個客戶驗證他/她的余額是否包含在報告的總負債中，因此，在理論上，審計過程可以通過模型來執行，其中唯一公開的信息是根節點。

然而，有一些真實的用例，如果首選集中審計，則可以將Maxwell的方案轉換為不進行求和的正則Merkle樹。這樣的設計如圖1.2所示，其中內部節點不攜帶余額，以便在檢查其身份驗證路徑時向普通用戶隱藏兄弟數量。然而，審計人員將有權訪問每一個葉余額，并可以將其匯總以獲得報告的總價值。從某種意義上說，用戶只能驗證其包含在散列當中，而平衡聚合和正確性僅由審計員執行。

1.2.2基于隨機分裂求和樹

SplitMaxwell是對原來的Maxwell方案的一個修改，它增加了額外的隱私保障，包括審計員和其他用戶的私隱內容。簡單地說，在將所有葉子添加到總和樹之前，先拆分余額，然后將所有葉子洗牌。由于拆分，每個用戶將收到多個身份驗證路徑，雖然樹的高度可能會增加，但同輩葉暴露的信息較少，而用戶基數的大小會變得模糊。這種構造可以應用于任何方案之上，包括Maxwell、Maxwell+、集中式Maxwell甚至Provisions。

SplitMaxwell+的一個有趣的特性是，即使有人可以訪問每個leaf葉節點，這個審計員不能獲得關于單個用戶余額的信息，同時leaf的數量與Split的數量成線性增長，這實際上起到了填充機制的作用，可以隱藏用戶總數。圖1.3和1.4顯示了3個用戶的余額拆分示例。簡而言之，SplitMaxwell+的好處如下：

聲音 | Coingeek創始人Calvin Ayre：BSV最終會成為一種數字黃金+的形式:Coingeek創始人Calvin Ayre剛剛轉發此前華爾街日報關于比特幣與傳統資產市場存在很高相關性的報道，并表示：BSV因為進行了擴容并且具有效用，因此最終會成為一種數字黃金+的形式。但Segwit BTC和ABC/BAB/BCH并未擴容，因此沒有效用，長遠來看并不可能成為數字黃金。[2018/12/30]

對審計師或其他客戶的客戶余額的有限敞口。

身份完全受保護，相同平衡的拆分之間沒有鏈接。

填充客戶總數。在集中式Maxwell方案中，審計員可以直接訪問這個數字，而在其他任何解決方案中，它都可以通過樹的高度來預測。

償付能力的多個證明不能組合起來提取上述任何數據，因為每個審計都是獨立的，并且采用不同的拆分和洗牌。

以前，人們可以將不同審計之間的余額關聯起來，并圍繞特定客戶的損益提取統計數據。SplitMaxwell+解決了這個問題，因為它的證明應用了一個新的隨機分裂和洗牌。

由于上述原因，此模型可以實現更頻繁的監視。僅當由于任何原因無法使用完整的基于ZKP的方法或應用程序可以容忍某些隱私泄漏時，才建議使用SplitMaxwell+。

主要缺點包括：

由于分解平衡/余額后需要更大的樹，證明結構和驗證效率較低。

與原始協議類似，報告的負債總額也會公布。在某些應用中，這可能是不可取的。

由于上述原因，如果每隔幾周或幾個月提供一次此類證明，人們可以通過檢查總報告金額的更新來提取業務信息。

1.2.4基于確定性樹范圍證明

2019年的ZKProof社區活動中，已經提出擴展的方案并進一步討論了基中的條款，為協議提供了額外的安全保證。更新后的方案DProvisions按照規定使用了基于NIZK的距離驗證系統，并結合了確定性稀疏Merkle樹結構。通過利用VRF之上的關鍵派生函數，可以確定地計算每個審計id和盲因子。這在基于樹的責任證明上提供了許多新的隱私和透明特性。

最重要的是，在非確定性構造中，惡意實體可以將基于用戶彼此相鄰的位置的某些分析，從而在統計上，可能只驗證樹的一小部分的正確性。我們可以通過在每次審計中允許確定性的洗牌來更好地分散用戶的葉子。這可以通過在將葉子放到樹上之前對其哈希值進行排序來實現。由于散列是確定性計算的，由于VRF的屬性，惡意實體不能任意修復樹中用戶節點的關系順序。也就是說，如果兩個或兩個以上的用戶一起工作，他們可以了解，如果至少在他們之間，順序已正確對應。注意，在不同的審計輪次之間，這種確定性的順序總是不同的，因此不能通過后續的順序提取任何信息。

DProvisions的另一個特點是它使用稀疏的Merkle樹，目的是在需要填充時最小化偽用戶。注意，填充可以幫助混淆用戶群的總體大小。如圖1.8所示，只需要對空子樹的根進行填充，因此，我們可以輕松地支持以前不可能的樹高。值得注意的是，樹的高度顯示了最大的用戶數，因此，高度為40的樹可能可以支持當今的大多數應用程序。實際上，你可以選擇一棵足夠大的樹，即使在最有希望的預測場景中，它也能在未來的x年內工作，因此樹的大小永遠不需要更新；如果更新了，它可能會顯示出一些變化，即更多的用戶進入系統。

稀疏樹的填充大小。給定M，用戶數，假設它是2的冪：M=2m，H，樹的高度，我們估計需要添加到樹中的零節點數的界限如下：

在最佳情況下，所有用戶節點占據樹的最左邊的葉子，因此填充高度m的最左邊的子樹，然后需要沿著從該子樹的根到根的路徑添加零個節點，最多添加；

在最壞的情況下，所有用戶都均勻地分布在樹的葉子中，因此高度最低的子樹每個只有一個節點，需要添加零個節點來生成子樹的根，則添加的零個節點的數量最多為*2m。

因此，要“人工”添加的節點數至少為，最多為*2m。請注意，如果我們必須像前面建議的那樣用零節點填充整個樹，為了使樹完整，零節點數必須為2H-1，這對于H>=32是不實際的，或者顯著大于我們的方法要添加的零節點數。

1.2.5基于安全飛地SecureEnclavebased(TrustedComputing)

YeeCall內置錢包完成BCH升級 支持32MB基礎塊:今日，YeeCall內置錢包已完成BCH的網絡升級工作，成為首批支持其32MB基礎塊的錢包。此前，YeeCall與BCH（BCF、Bitcoin Cash Fund）基金已建立戰略伙伴關系，將在技術、社群運營、品牌推廣等多個領域展開合作。[2018/5/16]

Decker等人。提出了利用安全飛地技術同時保護執行正確性和用戶隱私的思想。他們的工作使用了英特爾和AMD的通用處理器，命名為英特爾可信執行技術和AMD安全虛擬機，但現在人們可以使用英特爾SGX技術來實現他們的方案。簡而言之，他們的建議是在不使用零知識證明的情況下，通過在一個可信平臺上運行所有計算，將隱私添加到Maxwell的方案中，該平臺提供以下功能：

受保護功能：可訪問受保護位置、內存區域或僅受信任平臺訪問的寄存器的命令。這些內存區域可能包含敏感數據，例如私鑰或當前系統狀態的某些方面的摘要。

完整性度量：度量在當前平臺上執行的軟件的過程。度量是在執行的每個階段執行的軟件的加密散列。

完整性報告/遠程認證：向第三方交付平臺測量結果的過程，以便驗證其是否源自可信平臺。

可信平臺的這些特性部署在消費者硬件上，這個單元稱為可信平臺模塊，是一個安全的密碼協處理器，通常集成在硬件主板上。

盡管這樣的設計有可能實現任何復雜的邏輯，但對基于飛地的威脅模型的主要批評是：a）過于信任硬件供應商；b）成功的側通道攻擊報告可能導致秘密暴露或破壞遠程認證安全保證。

1.3隱私特征

盡管最廣泛的POL方法是Maxwell的原始協議，但它本質上泄露了一些關于用戶帳戶和交換的信息；它提供的保護也比對抗性驗證程序所需的要少。其中一些缺陷源于這樣的設計：在構造證明時，為證明人提供了做出任意決定的機會，而沒有向驗證人透露這些決定。此外，審計師可能會要求更廣泛的調查，特別是為了解決爭議，有時可能需要隨機抽樣，以完全滿足傳統審計的要求。

隨后的方案，如Maxwell+、SplitMaxwell+、Provisions和DProvisions，解決了上述一些問題，但它們并沒有完全消除這些問題。

最終協議的目標是滿足以下所示的理想隱私/安全特性。

賬戶信息泄露。即使在獨立審計期間，也不應披露有關單個用戶的數據。

在Maxwell方案中，證明被構造為Merkle樹，因此每個驗證者在其同胞的葉子中學習平衡。因此，為了減少賬戶信息泄露，每次新發布證明時，都必須對賬戶列表進行隨機洗牌。

即使使用洗牌，驗證者也可能發現一些關于余額分配的信息，特別是當相互串通時。比特幣交易所Kraken的首席執行官杰西?鮑威爾明確指出，賬戶持有人的隱私權是其公司沒有實施Maxwell協議的主要原因。

提出了兩種方法來解決這一問題：平衡分裂和零知識證明。

在平衡余額拆分中，實現可能更簡單、更直接；通過在多個葉節點之間拆分每個帳戶的余額，并要求驗證器分別檢查每個葉節點，可以減少信息泄漏。確實，許多實際應用程序可能會容忍這種泄漏并使用SplitMaxwell+，但理想情況下，我們希望確保實際值的完全保密。

第二個選項通過發布同態承諾完全隱藏余額，允許添加而不顯示余額。

理論上，這兩種方法都可以結合起來。盡管這會導致較大的樹，但拆分也可以作為填充機制來隱藏用戶總數。DProvisions的稀疏Merkle樹解決方案提供了相同的填充屬性，而沒有分裂。但是，如果第三方審計員要求隨機抽樣以滿足法規要求并確保至少檢查了一些樹葉，則ZKP和拆分組合可能會有幫助。使用拆分，審計員將只了解用戶余額的一部分。

交換信息泄露。不應泄露負債總額。這一要求與傳統銀行和交易所受到的監管并無不同。請注意，償付能力的頻繁證明暴露了有關平臺中發生的交易量的信息。想象一下，如果每隔幾周提供一次這樣的證明，人們就可以提取有關交易所業務成功的商業信息。因此，有權選擇隱瞞全部負債/償付能力是需要的。

依賴于完整的賬戶持有人驗證。Merkle樹方法要求將驗證證據完整性和正確性的責任分配給所有賬戶持有人。沒有普遍參與，兩者都不可能實現。在正確的情況下，這是必要的；分布式的正確性證明正是該方案的目標。通過組合SplitMaxwell+和DProvisions，每個用戶將需要驗證多個身份驗證路徑的正確性。

交互訪問證據。每個帳戶持有人都從交易所收到一份個人證明，其中僅包含自己的葉節點和根節點之間的節點。在實踐中，這意味著每個賬戶持有人都必須要求他們提供個人證明，從而向交易所隱式透露他們正在檢查的是哪一頁。

惡意驗證程序可以使用此信息忽略很少或從不檢查包含證明的用戶。防止這種泄漏的機制是可取的。

獨立驗證工具。我們注意到，如果用戶確實驗證了他們的帳戶，他們應該使用交易所自己提供的驗證工具以外的其他工具；這樣的工具可以自動化，以增加參與度。這是為了確保驗證軟件正確驗證驗證。理想情況下，此建議的結果將優先提供參考實現，最終獨立的服務和應用程序將支持驗證。

用戶數。在provision和Maxwell方案中，客戶的數量都會被顯示出來。此信息可用于了解交易所的進展情況，因此最好對其進行模糊處理，或者盡可能將其完全隱藏。DProvisions允許有效的填充機制來實現預定義的上限。后者似乎滿足了當今應用程序的隱私和效率要求。

執行問題。理想情況下，交易所不應向審計師披露客戶信息，除非需要解決爭議和例行抽樣。也就是說，Maxwell的方案最初是設計在一個分散的無審計師環境中工作的，但實際上，該方案以前在現實世界中的應用揭示了審計師個人的平衡余額，而不僅僅是root根源。一個例子是iconmi案例，在這個案例中，審計人員接收到完整的Merkle樹，并檢查到根節點的所有平衡和散列。審計員確實能夠檢查沒有負余額，并且所有節點的總和和散列都正確。他們還公開列出了根節點散列，這意味著如果iconmi試圖更改這些樹中的任何余額或添加或刪除用戶，它將是公開的。這種方法的另一個問題是，他們使用了原始的Maxwell協議，該協議已經被證明有一個缺陷，允許在樹中隱藏值。

后續審計。負債證明主要包括對每個客戶余額的承諾和該余額在一定范圍內的證明。對于所有新用戶和其余額改變了承諾的用戶，需要重做證明。對于其他用戶來說，在技術上不需要重做證明。但是，如果不更改余額保持不變的客戶的證明，則會泄漏有多少用戶在這兩個證明之間積極使用他們的帳戶。如果重新生成完整的證據，則此信息將保持私有。如果一個交易所接受這個隱私泄露，它可以大大減少證據更新的規模，但這是不可取的。

爭議解決。文獻中沒有一個協議提供爭議解決。如果用戶發現他們的帳戶丟失或余額不正確，他們沒有足夠的加密證據證明是這樣。回想一下，用戶在交易所保留資金的主要動機是避免需要記住長期的密碼秘密，因此交易所必須能夠執行用戶指令并在沒有用戶密碼驗證的情況下更改其余額。不喜歡交易所的用戶也可能謊稱賬戶驗證失敗，僅憑規定筆錄無法判斷用戶或交易所是否正確。

雖然這個問題在密碼上似乎無法解決，但我們可以對每一筆涉及用戶帳戶的交易使用傳統的相互合同簽名，然后我們可以揭示這些簽名，總結這些值，并將其用作發生爭議時的證據。理想情況下，被審計公司應將簽名推送到用戶的電子郵件或電話號碼上，而不是通過網站按要求送達。上述要求是為了防止故意刪除“證據”。

第二章。應用

本章旨在展示DAPOL潛在應用，或者結合其他工具，或者作為獨立服務。

請注意，所有應用，無論它們使用會計余額還是其他類型的可替代值，都有完全相同的要求。證明人應提供一份總負債或債務的證明或“否定”投票，以便每個用戶都能驗證其是否包含在公示總額中，理想情況下，無需了解其他用戶余額的任何信息。

2.1償付能力證明

償付能力證明用作公共證明，以證明保管服務準備金運行，例如，某些客戶資產是否能在給定時間內提取。Maxwell的協議已經被一些比特幣交易所用來證明他們仍然擁有客戶存入的資產。

償付能力證明是檢查負債是否等于準備金，它由負債證明和準備金證明兩部分組成。本提案中已經提到，DAPOL是一個債務/責任證明系統，由于債務獨立于準備金部分使用的區塊鏈技術，因此任何區塊鏈交易所和保管錢包都可以使用它來透明地證明償付能力。

2.2否決投票

“消極投票”一詞有時用于允許選民否決候選方案；它也可能意味著選民提供的唯一選擇是投票反對一個或多個候選人，但有時用于允許選民選擇投票贊成或反對某個候選人的系統。在我們的上下文中，反對票是對候選人、提案或服務的投票，可以算作負一票，也可以支持權重。與大多數選舉制度不同，它要求只提出消極的措施或選擇。

DAPOL可以作為一個原語方案，以分布式方式支持不贊成投票，每個候選人都會收到反對票，并將其存儲在本地分類賬中。理想情況下，不需要中央機構或web服務來接收投票、審計和監督流程。如果惡意實體試圖通過不包含某些選票來作弊，則投票者始終可以檢查他/她是否包含在報告的結果中來證明。

可能存在這樣的案例，即報告的總金額應保持隱閉，并且僅用于與另一個同態承諾進行比較，即在不了解候選人實際投票百分比差異的情況下對候選人進行排序。一個例子是選舉制度，在這種制度下，競選各方比較其佩德森承諾，而不透露其實際的反對票數目。

特別指出，選舉制度本身是一個復雜的系統，需要滿足其他性質的要求，包括脅迫和賄賂。因此，根據投票系統的要求，DAPOL應該與其他加密工具結合，以獲得完整的解決方案。例如，當用戶投票反對時，他們肯定會收到一張簽名的收據，并在發生爭議時將其用作證據。同樣，要禁止sybil攻擊，可能需要實現雙重投票預防機制。

2.3負面評價

評級平臺中的負面評價可被視為不贊成投票的一個例子。在一個理想的分布式系統中，每個銷售商或制造商都可能收到關于產品或服務質量的負面評價，并有義務發布一份關于收到的低評級總數的報告。

顯然，一個人可以通過漏掉部分或全部的反對票來作弊，有被抓住的危險。請注意，不需要中央機構或網站運行不批準跟蹤服務，因為這種理論設計是完全分散去中心的。使用DAPOL，每個人都可以檢查他們的投票是否包含在報告的總數中，然后將結果與預定義的閾值進行比較。顯然，對于一個完整的系統，還應該使用sybil攻擊保護機制。

2.4籌款和ICO

籌款是通過邀請個人、企業、慈善基金會或政府機構參與尋求和收集自愿捐款的過程。雖然籌款通常是指為非營利組織籌集資金的努力，但有時也被用來指為營利性企業確定和招攬投資者或其他資金來源。

目前的捐贈系統存在的一個問題是，平臺/慈善機構沒有一個簡單的方法來匯總用戶轉賬，以證明所有用戶捐款都包含在報告的總金額中。此外，官方審計在募捐活動中并不總是適用，因此許多捐贈者可能會擔心“我的捐款是否真的被記錄進去了？”。DAPOL實際上可以提高籌資活動的透明度和隱私性，從而增加用戶的信任和參與。

2.5收入報告

為了稅務審計，企業必須定期報告收入。想象一下，如果每個公民/買家都能自動為驗證每個商業公司的納稅證明做出貢獻。

顯然，DAPOL可以補充現有的審計系統，但它可以為普通用戶提供額外的隱私保障，因為政府或國稅局不一定需要跟蹤個人收據來交叉檢查會計報告的正確性。

2.6銀團貸款

銀團貸款是由一群放款銀行，向共同一個大借款人提供信貸。借款人可以是公司、個人項目或政府。銀團中的每間銀行貢獻部分貸款金額，他們都分擔貸款風險。其中一個貸款人作為管理人，代表銀團中的其他貸款人管理貸款。

在某些需要額外隱私的情況下，可能會出現放款人不一定知道其他放款人的貢獻的情況。同時，如果安排銀行報告虛假的總供款，它可能會承擔責任。DAPOL可以成為此類場景的一個很好的候選加密工具。

2.7彩票

彩票受到嚴格控制，在大多數地方受到限制或至少受到管制。然而，有報道稱，有人為操縱獎金和大規模欺詐丑聞，確實，公平性很難證明，即使是真正的彩票。

在傳統的彩票中，雖然我們要求第三方審計員確保正確計算所報告的總獎金。實際上，在許多彩票游戲中，每個用戶都是根據下注的金額來貢獻最終的獎金。像DAPOL這樣的系統可以增加一個額外的安全網；獎金池實際上是一個負債，組織者沒有任何動機增加它。因此，DAPOL可以透明地隱藏個人貢獻和/或只向獲獎者透露獎金總額。

2.8信用評分和財務義務

信用評分是一個數字，代表一個人的信用評估，或該人償還其債務的可能性。信用評分是根據對個人信用報告的統計分析生成的。除了最初的目的外，信用評分還用于確定保險費率和就業前篩選。

通常這些服務都是集中的，益百利、Equifax和TransUnion等信貸局都會記錄一個人的借貸和還款活動。

使用DAPOL，可以建立一個新的分布式金融債務信用系統，用戶可以在不需要第三方跟蹤的情況下維護自己的信用評分。這樣一個系統可能會更少的入侵，更私人。此外，如果我們將DAPOL與其他加密原語結合起來，雇主和貸方可以比較信用報告，而不必揭示其實際價值。

2.9轉介/介紹方案

轉介網站是一個互聯網地址或主機名，用于讓訪問者訪問另一個網站。訪客點擊了轉介網站上的超鏈接，該超鏈接指向他/她現在所在的網站。

推薦行業通常是通過介紹費來賺錢的；推薦網站應該償還推薦人的費用。然而，在許多情況下，即在賭博網站中，費用與用戶的活動掛鉤，例如注冊或存款。不幸的是，推薦方不得不盲目地相信來自推薦網站的報告才能得到公平的回報。

類似的情況是房地產業務中的轉介費，其中一個代理或經紀人為轉介的客戶向另一個代理或經紀人收取費用。

DAPOL可以為轉介業務提供額外的透明層；如果用戶習慣了這種模式，并且他們有激勵機制或自動檢查包含證明的方法，那么如果報告實體報告了虛假或扭曲的數字，則可能會被抓到。

2.10官方責任報告

在流行病大流行期間，受影響的衛生機構和地方當局報告了由病或細菌引起的感染和死亡的官方數字。在微觀尺度上也適用于各種疾病。同樣，公司需要報告每個時期的工作事故，而當局則定期公布失業率。上述所有因素的共同點是，官方報告的數字可以模擬為責任和債務。

一個例子是最近由嚴重急性呼吸綜合征冠狀病2引起的2019-20年冠狀病大流行。疫情于2019年12月在中國湖北武漢首次確認，并于2020年3月11日被世界衛生組織確認為大流行。透明度、及時的信息和準確的報告對于從死亡軌跡中得出結論性的見解，以避免延誤衛生設施的準備工作，并適當預防流行病的副作用，是非常重要的。

DAPOL可以作為社區、醫院和其他組織利用這項技術并允許個人私下核實的補充工具。盡管一個完整的解決方案需要一個有充分文檔記錄的方法，但大致上，這個想法是，每一個被檢測出攜帶病的人都可以從地方當局或醫療中心得到一個簽名響應。然后，在每一天，相應的組織或當局發布一個Merkle樹，其中每個葉子對應一個人。

然后，受感染的人可以檢查他們是否包含在樹中，而組織可以交叉比較他們的數字，甚至不披露實際的數量；盡管我們希望在這個特定的用例中，報告的總數量應該是公開的。請注意，這樣一個工具將幫助這些組織識別其內部流程中的陷阱。顯然，這種幼稚的方法可以通過將DAPOL與其他隱私保護和數據分析技術相結合來增強，我們希望從社區獲得寶貴的反饋來適應這種情況。

總結與展望

加密世界有非常多的很cool的密碼技術如Merkle樹，零知識證明，但行業同時也沖斥著很多負面的東西，跑路，割韭菜，交易所挪用用戶的投票權對項目分叉投票等等，這些無不與傳統不對稱信任一至，而僅當大眾都能通過密碼技術去verfiy，而不是盲目相信時，行業才直正成熟。

Tags：POLWELLAXWAPOPPOLLGivewell InuPAXWVaporRISE

幣安app官網下載