Author

Topic: [20140719]财务私隐可以和监管共存吗? (Read 887 times)

hero member
Activity: 644
Merit: 500
概要:在财务匿名的好处和监管都不可能不存在的两难之下,作者试着给出了一个折衷方案。简单来说,就是在政府不能伪造财务和交易记录的前提下,国民的财务状况和交易情况被记录在该国的集体“大账单“上,政府只能在满足必要条件时,才可以完成对个人财务和交易情况的查阅。



我不是经济学家或者国税局人员,但是我知道,当匿名加密货币(如ZeroCoin或者AppeCoin)大行其道的时候,政府是不会坐视不理的。不言而喻,政府机构希望资金流动越清晰越好,他们说这对追踪恐怖主义,偷税漏税和非法现金流是必要的。我不能判断他们所行使手段的有效性。但是在更好的方法被使用,或者现行的方法被证明无效之前,监管是我们必须面对的。

但是我也认为,财务私隐应该是一项权利,然而在新的电子现金技术面前(注意这是说电子化的信用货币而不是加密货币),我们也许会失去这项权利。比特币则在这一点上相当不给力(作者的意思是讲比特币有利于财务私隐)。比如说,财务私隐可以防止富人被勒索、绑架和折磨;可以保护公民存在银行或公司内,保护不力的财务记录;还可以保护与政府对立的政治人物不被敲诈勒索。并且由于企业渴望根据消费者的购买习惯建立个人行为数据库,财务私隐可以保护个体免受种种道德上可疑的商业活动的干扰,比如职业歧视、有目标的动态的价格调整、自动保险费调整(依据风险习惯)、自动健康计划费用调整(依据饮食、运动习惯)等等。当前,你的消费习惯会暴露一大推从任何标准看,我们都会称之为隐私的信息:你的医疗状况(药物购买)、你的政治立场(捐赠)、你的性偏好、你的爱好、你的朋友(通过检查共同消费),还有你的商业秘密(供应商,承包商),等等。

财务私隐还可以保护我们不被政府权力的滥用伤害。我不相信政府,我一直受到国家权力的惊吓。在阿根廷,我们有太多的军人独裁。财务私隐会保护我们不被腐败的政府伤害。

但是,若要在法律存在的情况下实现财务私隐,公民们可能不得不寄希望于完全的匿名化。如果否认这一点,假装世界上没有法律力量,没有经济和军事力量的存在,就如同做一个加密技术革命可以欢乐祥和地颠覆政府的梦,天真的梦。

我们必须讨论的一点是,什么样的信息我们可以交给政府,通过什么样的程序我们交出这些信息。这样当政府意识到要对加密货币做些什么的时候(放心,他们会的),我们可以给他们一些让他们满意的东西。这是我的懦夫策略:给他们一些,这样他们就不会全拿走。这并不是愚蠢的:像比特币这样的复杂系统不能轻易地适应外界急迫的要求,比如突然出现的新监管规则。这相当于对依赖共识的加密货币的死刑宣判。如果我们在设计之初为一个新币建立新功能(或者我们提前在比特币实现它),让我们可以容易地遵循监管,甚至我们可以帮助未来负责制定监管措施的人,使他的工作有成效。
自愿披露

一个建议是,我们的加密货币客户端允许在一个加密日志中记录所有支出,并定期上传至政府服务器上。没有人可以被强迫透露秘钥(秘钥也很容易被忘记),事实是秘钥总是安全地存储在某个地方。既然如此,秘钥可以一分为二交给用户选择的具备国际公信力的团体存储。比如,一个用户将一部分秘要交给联合国,另一部分交给他的政府。介时,他的政府需要合理的国际许可才能获得联合国保存的那部分秘钥。如果合成的秘钥不能正确地匹配开启日志,那么这个用户便面临作伪证的嫌疑。

这个建议有一些缺点,个体不能证明他没有做更多的未被记录的支付,也不能否认做过某一项特定支付。当秘钥被政府改动后,政府甚至可以伪造支付,伪造证据。

加密技术显身手的时刻到了。
拥有活性匿名属性的集体签名



一个有帮助意义的有趣的加密协议是集体签名。集体签名协议可以允许用户作为一个集体登陆,而不必知道每一个签名者是谁。通常这样的集体由一个创建者创建,他能够增加和剔除成员,并能推断出每一个集体签名的签名者。

Bellare et al.[1]给出了集体签名策略必须满足的三个特点:

    • 正确性,保证正常生成的签名可以正确地验证和追溯
    • 完全匿名,保证签名不会泄露签名者身份
    • 完全可追溯性,保证所有的签名可被追溯,甚至是被多个成员和集体管理者勾结创造的签名,也可以追溯到勾结伪造的成员。

我们还要求一个属性(由Ateniese and Tsudik [2]提出):

    • 防陷害性,没有成员,即使是被给予追踪秘钥的集体创立者,也不可以代表其他成员签名

还有新的第五个属性:

• 活性匿名( Trapdoor threshold anonymity) 。当一个用户生成一个集体私钥,他同时也生成一个辅助匿名私钥。他将匿名私钥分成m份,公布给m个不同的无勾结的第三方团体。这样当用户签下一个真实签名,(其他人)只有他的一个子集n是能够侦查的。

最后一项属性意味着,不存在单一的追踪秘钥:每一个签名秘钥和他的追踪秘钥联系在一起。注意最后一项属性可以通过使用阈值协议( threshold scheme )解密集体秘钥来获得逼近,但是在这种情况下,第三方将能够勾结伪造签名,这是活性匿名不允许的。我不知道是否有支持解密集体秘钥的集体签名协议,但是我猜这是不可能的。在最后一部分我描述了一下,对任意集体,如何实现这个性能:用两倍的签名。

现在让我们看看这些集体签名是如何解决披露支付的问题的。

每一个政府变成了“集体管理者“,每一个个体获得一个私人秘钥,在他所属的集体标记他的行为(使用防陷害性协议)。同时将每一份匿名私钥片段发送给可信任的组织。

每一项支付都指向个体所属的那个集体,由每一个个体使用他自己的集体私钥来签署记录。密码货币客户端拥有嵌入式的一系列集体管理者的公共密钥,每一个管理者通过自身秘钥提供每一个集体公钥的更新。未登记的支付被政府机构拒绝或者监控。在评判员命令解除某位用户财务隐私的情况下,一些被传播的秘钥片段可以响应评判员要求,送达评判员,活性秘钥被创建,属于用户的支付在交易事件日志中被确认。之后,为用户生成一个新的私钥,旧的不再使用。

活性匿名属性可以在一个已公开的协议里面存在吗?我不知道,但是通过链接两组签名,可以很容易的近似这样的系统:一个用作身份,一个用做匿名。每一个政府创造两个签名集体:身份集体和匿名集体。每一个用户获得两个私钥。如果这样的系统存在,匿名超级追踪秘钥,将被废弃掉。每一个用户的匿名秘钥在秘密分享协议下被分割成不同片段,每个片段发送给不同的第三方。身份秘钥永远不被公开。每一次交易必须同时使用两条秘钥。无论何时政府想要破坏一个用户的匿名性,他需要收集被散布的匿名秘钥。通过这个方式政府永远不能完全伪造用户的签名。

[1] M. Bellare, D. Micciancio, and B. Warinschi. Foundations of group signatures: Formal definitions, simplified requirements, and a construction based on general assumptions. In E. Biham, editor, Proceedings of Eurocrypt 2003, volume 2656 of LNCS, pages 614–29. Springer-Verlag, May 2003.
[2] G. Ateniese and G. Tsudik. Some open issues and directions in group signatures. In Proceedings of Financial Cryptography 1999, volume 1648, pages 196–211. Springer-Verlag, Feb. 1999.

------------
原文:http://bitslog.wordpress.com/2013/07/30/can-financial-privacy-coexist-with-regulation/
作者: Sergio Demian Lerner
译者:面神护法(@一剑飘零五十州)稿源(译):巴比特资讯
Jump to: