28、比特币隐私与交易协议的深度解析

比特币隐私与交易协议的深度解析

1. 零币（Zerocoin）的问题与改进方向

零币是比特币协议的一种扩展，但它存在一些问题。有人批评零币在设置阶段计算的累加器参数可能构成后门，攻击者掌握这些参数后就能随意创建零币赎回操作。不过，有技术可以在设置阶段安全地创建陷门，比如多方计算，只要有一个参与者诚实并丢弃自己的输入，就能创建安全的陷门。

零币的主要缺点是赎回零币时使用的非交互式零知识证明（NIZKP）体积过大。这些证明大约有25kB，超过了比特币交易目前10kB的限制，在现行比特币规则下不实用。一种可能的解决办法是将这些证明存储在区块链外的专用服务器或分布式哈希表中。

此外，零币的铸造、消费和验证操作需要0.3到0.8秒，这对验证交易的节点来说是个问题。一种解决方案是在节点间分配计算工作，同时不影响安全性。

为了改进，零币的开发者提出了一些改变，让NIZKP更小、处理速度更快，同时保留匿名性。还有类似零币的木偶币（Pinocchio Coin），它使用椭圆曲线累加器而非RSA累加器，将证明大小大幅缩减至约350字节。但木偶币存在可扩展性问题，因为造币时间会随现有硬币数量线性增长。

2. 零现金（Zerocash）的优势与特点

零现金也是比特币协议的扩展，能实现完全匿名的去中心化货币。它的主要优势是消费交易比零币更小、验证更快，解决了零币面临的实际问题。此外，零现金不需要固定面额，能隐藏转账金额、付款的来源和目的地。

用户可以通过铸造交易创建任意价值的硬币，铸造交易会创建一系列承诺。而倾倒交易可以将两个之前铸造的交易合并，把资金倒入两个新的输出硬币。通过连接多个倾倒交易，可以将任意数量的之前铸造的硬