Was ist eine vertrauliche Transaktion und wie verbirgt sie Transaktionsbeträge?

Vertrauliche Transaktionen in Kryptowährungen verstehen

1. Vertrauliche Transaktionen sind eine kryptografische Methode, die in bestimmten Blockchain-Netzwerken verwendet wird, um den Wertbetrag zu verbergen, der zwischen Parteien übertragen wird. Diese Technologie wurde ursprünglich von Adam Back vorgeschlagen und von Gregory Maxwell im Rahmen der Bemühungen zur Verbesserung der Privatsphäre in digitalen Währungen weiterentwickelt. Durch das Verbergen von Transaktionsbeträgen verhindern vertrauliche Transaktionen, dass Dritte die Vermögensverteilung, Ausgabegewohnheiten oder Kontostände anhand öffentlicher Buchführungsdaten verfolgen können.

2. In herkömmlichen Blockchain-Systemen wie Bitcoin ist jeder Transaktionsbetrag für jeden sichtbar, der die Blockchain analysiert. Während Absender- und Empfängeradressen möglicherweise eine gewisse Pseudonymität bieten, untergräbt die Transparenz der Werte die finanzielle Privatsphäre. Vertrauliche Transaktionen lösen dieses Problem, indem sie Klartextbeträge durch verschlüsselte Verpflichtungen ersetzen und so sicherstellen, dass nur Teilnehmer mit den richtigen Entschlüsselungsschlüsseln den tatsächlich übertragenen Wert sehen können.

3. Der Kernmechanismus basiert auf kryptografischen Techniken, die als Pedersen-Commitments bekannt sind. Diese ermöglichen es einem Benutzer, sich auf einen bestimmten Wert (z. B. 5 BTC) festzulegen, ohne ihn preiszugeben, und ermöglichen es gleichzeitig Netzwerkvalidatoren, zu überprüfen, ob die Eingaben den Ausgaben entsprechen und keine neuen Münzen illegal erstellt wurden. Dadurch wird die Integrität der Geldmenge gewahrt, auch wenn die genauen Beträge verborgen bleiben.

4. Um die Gültigkeit sicherzustellen, ohne Daten preiszugeben, verwenden vertrauliche Transaktionen wissensfreie Beweise oder homomorphe Verschlüsselungseigenschaften. Validatoren können mathematische Operationen an verschlüsselten Werten durchführen, um zu bestätigen, dass die Summe der Eingaben mit der Summe der Ausgaben übereinstimmt, und so Inflationsfehler oder Versuche doppelter Ausgaben verhindern. Diese Überprüfung erfolgt, ohne dass einzelne Transaktionsbeträge jemals entschlüsselt werden.

5. Netzwerke wie Monero und Mimblewimble-basierte Blockchains (z. B. Grin und Beam) implementieren Variationen vertraulicher Transaktionen. In Monero kombiniert RingCT vertrauliche Transaktionen mit Ringsignaturen, um sowohl Absenderidentitäten als auch Beträge zu verschleiern. Mimblewimble geht noch einen Schritt weiter, indem es vertrauliche Transaktionen in sein grundlegendes Design integriert und so einen starken Datenschutz und erhebliche Verbesserungen der Blockchain-Skalierbarkeit durch Cut-Throughs und Pruning ermöglicht.

Wie Pedersen-Verpflichtungen das Verbergen von Werten ermöglichen

1. Das Herzstück vertraulicher Transaktionen ist das Pedersen-Commitment-Schema, das einen Wert an einen zufälligen Blindfaktor bindet. Eine Verpflichtung sieht aus wie C = v H + r G , wobei v der Betrag, r das Zufallsgeheimnis und H und G feste elliptische Kurvenpunkte sind. Ohne Kenntnis von r ist es rechnerisch unmöglich, v aus C abzuleiten.

2. Wenn ein Benutzer Geld sendet, erstellt er Ausgabeverpflichtungen mithilfe neuer Blindfaktoren. Eingaben in einer Transaktion verweisen auf frühere Verpflichtungen, und das System überprüft, ob die gesamte Eingabeverpflichtung abzüglich der gesamten Ausgabeverpflichtung gleich Null ist (Modulo-Gebühr). Dadurch wird die Werterhaltung nachgewiesen, ohne dass ein individueller Betrag offengelegt wird.

3. Da Pedersen-Verpflichtungen additiv homomorph sind, können Knoten verschlüsselte Werte direkt addieren und subtrahieren. Wenn beispielsweise zwei Verpflichtungen 2 BTC bzw. 3 BTC darstellen, entspricht ihre Summe einer Verpflichtung von 5 BTC – auch wenn keiner der Werte im Klartext sichtbar ist. Diese Eigenschaft ist für die Validierung des Transaktionssaldos unerlässlich.

4. Obwohl die Beträge verborgen sind, können Prüfer oder Aufsichtsbehörden mit Zugriff auf den Blinding Key oder Viewing Key (in autorisierten Varianten) den Wert entschlüsseln. Einige unternehmensorientierte Blockchains stellen solche Schlüssel selektiv bereit und sorgen so für einen Ausgleich zwischen Compliance-Anforderungen und allgemeiner Privatsphäre.

5. Eine Einschränkung besteht darin, dass Pedersen-Verpflichtungen nicht die Tatsache verbergen, dass eine Transaktion stattgefunden hat, oder die teilnehmenden Adressen – für vollständige Anonymität sind zusätzliche Schichten wie Stealth-Adressen oder Mischprotokolle erforderlich. Im Rahmen der Mengenvertraulichkeit bieten sie jedoch einen robusten Schutz vor passiver Kettenanalyse.

Die Rolle von Bereichsnachweisen bei der Verhinderung von Überlaufangriffen

1. Eine entscheidende Herausforderung bei verschlüsselten Beträgen besteht darin, zu verhindern, dass böswillige Benutzer negative Werte erstellen, um das Angebot zu erhöhen. Zum Beispiel könnte jemand versuchen, mehr auszugeben, als er besitzt, indem er sich zu einem großen positiven Input und einem größeren negativen Output verpflichtet, sodass alles ausgeglichen erscheint, während er heimlich Münzen prägt.

2. Um dem entgegenzuwirken, verwenden vertrauliche Transaktionssysteme Bereichsnachweise. Hierbei handelt es sich um kryptografische Beweise, die jeder Ausgabe beigefügt sind und belegen, dass der festgeschriebene Wert nicht negativ ist und in einem gültigen Bereich liegt (z. B. zwischen 0 und 2^64 Satoshis), ohne die tatsächliche Zahl preiszugeben.

3. Frühe Implementierungen verwendeten relativ große Borromäische Ringsignaturen für Bereichsnachweise, wodurch die Transaktionsgröße erheblich zunahm. Neuere Ansätze wie Bulletproofs haben diesen Overhead drastisch reduziert und bieten Beweise in logarithmischer Größe, die den Datenbedarf um über 80 % senken und vertrauliche Transaktionen skalierbarer machen.

4. Bulletproofs ermöglichen die Zusammenfassung mehrerer Ausgaben zu einem einzigen kompakten Proof, wodurch die Effizienz gesteigert wird. Sie machen auch eine vertrauenswürdige Einrichtung überflüssig und stützen sich ausschließlich auf standardmäßige kryptografische Annahmen. Dies macht sie ideal für dezentrale und vertrauenswürdige Umgebungen.

5. Trotz dieser Fortschritte tragen Bereichsnachweise im Vergleich zu transparenten Transaktionen immer noch zu einem erhöhten Speicher- und Rechenbedarf bei. Die laufende Forschung konzentriert sich auf die Optimierung der Verifizierungsgeschwindigkeit und die Minimierung der Bandbreitennutzung, um private Transaktionen über leichtgewichtige Clients und mobile Geldbörsen leichter zugänglich zu machen.

Häufig gestellte Fragen

Was hindert jemanden daran, bei einer vertraulichen Transaktion negative Beträge zu senden? Jeder Ausgabe werden Bereichsnachweise beigefügt, um kryptografisch zu beweisen, dass der festgeschriebene Wert innerhalb eines gültigen, positiven Bereichs liegt. Ohne einen gültigen Bereichsnachweis lehnen Knoten die Transaktion ab und verhindern so Überlaufangriffe oder die Erstellung gefälschter Münzen.

Können Miner die Transaktionsbeträge in vertraulichen Transaktionen sehen? Nein. Miner sehen nur verschlüsselte Verpflichtungen und können die tatsächlichen Werte nicht extrahieren, es sei denn, sie verfügen über den privaten Anzeigeschlüssel des Empfängers. Ihre Rolle beschränkt sich auf die Überprüfung der Bilanzkonsistenz und der Beweisgültigkeit, ohne auf sensible Daten zuzugreifen.

Unterstützen alle Kryptowährungen vertrauliche Transaktionen? Die meisten großen Kryptowährungen wie Bitcoin und Ethereum unterstützen vertrauliche Transaktionen nicht von Haus aus. Datenschutzorientierte Münzen wie Monero, Zcash (in geschützten Transaktionen) und auf Mimblewimble basierende Ketten sind die Hauptanwender dieser Technologie.

Wie erfährt ein Empfänger den Betrag, den er erhalten hat? Der Absender überträgt den Wert und den Blindfaktor out-of-band über einen verschlüsselten Kanal (häufig unter Verwendung von ECDH). Der Empfänger verwendet diese Informationen, um die Verpflichtung auf seiner Seite zu entschlüsseln und zu überprüfen, ob der richtige Betrag gesendet wurde.