“你可以给数据库访问付费、用电子邮件买软件和报纸、在网上玩电子游戏、接收朋友之前欠你的5块钱,还可以买披萨。可能性是无限的。”
上文引用的这句话不是出自某个2011年制作的、介绍比特币的视频。实际上,它完全跟比特币无关。甚至,它不是这个世纪的作品。引文来自一位密码学家DavidChaum在1994年日内瓦的第一次CERN大会上的演讲,他讲的是eCash。
如果密码朋克运动有一个祖先,那肯定是留着胡子和马尾辫的DavidChaum。说这位密码学家领先于时代——他现在已经62还是63岁了——都嫌太轻描淡写了。在大多数人了解到互联网、拥有个人电脑以前,甚至在爱德华·斯诺登、JacobAppelbaum和PavelDurov出生以前,Chaum已经在关心互联网隐私的未来了。
“你必须让你的读者知道这有多重要”,Chaum曾经跟《连线》杂志这么说,“赛博空间完全没有物理限制……没有‘墙’这种东西……它是个完全不同、诡异奇怪的地方,而且大家都知道这是一个全景监狱似的噩梦。不是吗?其他任何人都可以知道你干过的所有事,甚至可以永久记录下来。这跟民主制的基本原理是对立的。”
Chaum的职业起于在伯克利担任计算机科学的教授。他不仅仅是一个数字隐私权的鼓吹者,他还设计了工具来实现隐私权。Chaum出版于1981年的论文“不可追踪的电子邮件、回邮地址和数字假名”为互联网加密通信的研究奠定了基础;这些研究最终产生了隐私保护的技术,比如Tor。
但日常通信的隐私性还不是Chaum最关心的东西。可以说,他还有更大的想法。这个伯克利的教授想设计一种保护隐私的数字货币。
“是把信息保存在个人手里,还是保存在组织手上,每当一个政府或一个公司要把一批事务自动化的时候,都必须做抉择”,Chaum在?ScientificAmerican?上写道,“下一个世纪的社会形态,可能就取决于哪种技术占据主导地位”。那是1992年。
而在10年以前,Chaum已经解决了这个难题:他出版了自己的第二篇重要论文“用于不可追踪的支付系统的盲签名”。那时候,现在比特币圈子里老手如PieterWuille博士、ErikVoorhees和PeterTodd还没出生呢,这个密码学家就已经为互联网设计出了一套匿名的支付方案。
盲签名
Chaum的数字货币系统的核心是他的发明“盲签名”。
要理解盲签名,你得先了解公钥密码学,尤其是,密码学签名是怎么回事。
公钥密码学会用到密钥对,一个密钥对由一把公钥和一把私钥组成,其中公钥是由私钥根据一定的数学公式计算出来的、数字串。用私钥推导公钥非常简单,但根据公钥反向计算出私钥则几乎是不可能的;这是一条单行道。
公钥密码学可以用来建构双方之间的隐私通信——学术论文中一般以“Alice”和“Bob”来代指着两方——只要双方都向对方分享自己的公钥即可。私钥可以保持隐私而不暴露。
但Alice和Bob能用公钥密码学做的可不止隐私通信。Alice还可以“签名”任意数据。实际上,Alice就是用自己的私钥和数据一起做一些数学运算。结果就是另一串看似随机的字符串,称为“签名”。同样地,从签名中也是无法恢复出Alice的私钥的。这还是一条单行道。
有意思的是,Bob都能用Alice的公钥来检查这个签名是不是Alice生成的。检验完了Bob就知道,到底是不是Alice用自己的私钥生成了这条签名。而私钥可以签名任何数据,也就是说数据可以是Alice和Bob的任何表态和请求。举个例子,签名可以意味着Alice同意该段数据表示的意思。
而盲签名则使这一切更进一步。一开始,Bob先生成一个随机数,称为“nonce”,然后拿这个随机数和一段初始数据一起运行特定的数学运算,得出一段乱序的数据片。这个乱序的数据片使其看起来与其它的随机字符串无异。然后Bob拿这段乱序数据给Alice签名。Alice没法断定Bob的初始数据是什么样的,所以她是“盲目的”。Alice签名运算的结果就是“盲签名”。
盲签名的特殊性在于,这条签名不仅关联着Alice的密钥和乱序数据片。它也关联着那段初始的、没有被混淆过的数据。如果能获得那段原始数据,那么任何人仅需使用Alice的公钥,就能检查Alice是否签名了那段原始数据的一个乱序版本——当然也包括Alice自己。
ECASH
盲签名就是Chaum用来创造数字货币系统的关键工具。
要理解这些,你要先把上文示例中的Alice当成一个银行:AliceBank。这是一家普通银行,就像我们现实中的一样,客户们在银行里有专门的账户以及存款。
假设Alice银行有四个客户:Bob、Carol、Dan和Erin。在假设Bob想从Carol手上买些东西。
首先,Bob要向?Alice银行请求“取款”。取款的时候,Bob自己创建一些“电子钞票”,形式是一串独一无二的数字,称作“序列号”。此外,他还要像上面的例子那样,生成这些钞票的乱序版本,然后把这些乱序支票发给Alice银行。
收到Bob的乱序钞票后,Alice银行盲签名每一条乱序数据,然后把这些签名发回给Bob。每签发一条乱序钞票,Alice银行就从Bob的银行账户扣除1块钱。
现在,因为Alice银行盲签了这些乱序钞票,她的签名已经与初始的电子钞票关联了起来。所以Bob现在可以使用这些初始的、没有经过混淆的钞票给Carol支付了。他只需把这些数据发送给Carol即可。
Carol收到这些电子钞票后,转发给Alice银行。Alice可以检查自己是否签名过这些钞票,这也是靠盲签名完成的事:它们都跟她的私钥有关联。Alice银行也顺带检查同样的钞票是否已由他人使用过。
钞票检验完成后,Alice银行就给Carol的账户添加等量的金额,并告知Carol。经过银行的确认后,Carol也知道了Bob所支付的是有效的钞票,可以放心地发货了。
-eCash背后的基本原理。来源:faculty.bus.olemiss.edu/?-
最关键的是,Alice银行只有在Carol要存入这些数字钞票时才会知道未经混淆的钞票数据!因此,Alice银行根本不知道这些钞票是Bob的。理论上,也完全有可能是Dan或者Erin的!
因此,Chaum的解决方案提供了支付中的隐私性。在当时,这不算什么新鲜事:那时候隐私支付是常态。但它是电子形式的,这就是新颖之处。因此,Chaum选择了这个比喻:现金。电子化的现金,eCash。
DIGICASH
到1990年,也就是Chaum发表第一篇论文差不多10年后,DavidChaum创办了?DigiCash?公司,办在阿姆斯特丹,Chaum已在那里生活了好一段时间。这个公司实际上专门做数字货币和支付系统,业务包括一个替代收费亭的政府项目和智能卡。但DigiCash的旗舰项目还是其数字现金系统eCash。
-DigiCash早期的技术团队。来源:chaum.com/ecash?-
那还是网景和雅虎领导科技行业开创新高度的时代,一些人认为微支付而非广告,将成为互联网的收入模式,DigiCash也被认为是科技企业中冉冉升起的新星。当然,Chaum和他的团队也对自己的技术很有信心。
“随着网络支付的成熟,你将可以为各式各样的小事情小物件买单,支付会比今天多得多”,1994年,Chaum这样跟?NewYorkTimes?说。当然,他强调了隐私权的重要性。“你读过的每篇文章、问过的每个问题,你都要支付。”
那一年,经过4年的开发,第一个成功的支付系统已在测试,同年晚些时候,eCash开始允许试用:想要使用这种技术的银行,需要向DigiCash请求许可。
银行业兴趣盎然。1995年末,eCash发出了第一张许可:圣路易斯的MarkTwain银行。而且,在1996年头,世界上最大的银行之一,德意志银行,也试水了。瑞士信贷?是第二个加入的大机构,还有多个国家的银行,也都加入了,包括:澳大利亚的?AdvanceBank、挪威的?AdvanceBank?和?BankAustria。
然而,比起DigiCash达成的交易,更有趣的可能是他们没有谈成的生意。荷兰三大银行中的两家——ING和ABNAmro——?据说已经和DigiCash达成了价值几千万美元的合作。类似地,Visa也被曝出提出了4000万美元的投资,而且网景也有兴趣:eCash本可以放进那个时代最流行的互联网浏览器中。
不过,最能出价不是别人,正是微软。比尔·盖茨希望把eCash集成到Windows95操作系统中,据说愿意出价1亿美元。Chaum——按照故事的说法——要求每卖出一份Windows95就收2美元。于是事儿就黄了。
虽然在当时的技术人员眼中不可谓不亮眼,DigiCash似乎在谈生意上不太利索,因此也难以实现其全部潜能。
到了1996年,DigiCash的员工看过了太多失败的交易,希望有一些改变。办法就是换个CEO:来自Visa的资深人士MichaelNash。这家初创公司还获得了一笔投资,而MITMediaLab的创始人NicholasNegroponte还被任命为董事会主席。DigiCash的总部也从阿姆斯特丹搬到了硅谷。Chaum还是其中一员,不过变成了CTO。
事情并无太大改变。几年打拼下来,eCash并没有被普遍接受。加入的银行一直在实验,才从未力推这门技术;到了1998年,MarkTwain银行只招收了300名商家和5000位用户。在DigiCash与花旗银行的最终协定即将敲定之际——这本来可以给这个项目极大的推动——银行因为不相关的原因而退出了。
“很难获得足够多的商家,所以也没办法获得足够多的消费者。反过来说也是对的。”Chaum在1999年跟?Forbes?杂志这么说,那时候DigiCash已经破产了,“随着互联网变大,用户的平均素质也下降了。所以很难跟他们解释隐私的重要性。”
密码朋克的梦想
DigiCash失败了,连带着eCash也失败了。但是,虽然这项技术没有在商业上成功,Chaum的工作启发了一群密码学家、黑客和活动人士,他们靠着一个邮件列表建立了联系。这个团体里面包含了DigiCash贡献者NickSzabo和ZookoWilcox-O’Hearn,后来以“密码朋克”之名为人所知。
可能比Chaum自己做的还要激进,密码朋克一直怀有创造一种数字现金的梦想;从1990年代到2000年代早期,他们一直在提出不同的数字现金方案。直到2008年,DigiCash落幕的10年后,中本聪把TA的数字现金设想发到了密码朋克的精神继承者的邮件列表。
比特币和eCash在设计视角上没有多少共同点。最重要的是,eCash有一个中心,就是DigiCash,光凭自己是没法成为货币的。即使世界上所有人都在交易中使用且仅使用eCash,你仍然需要银行来提供账户、余额和交易确认。这也意味着eCash虽然能提供隐私性,但并不是抗审查的。举个例子,即使面临银行的封锁,比特币仍能用于给维基解密捐赠,但eCash就做不到,银行一样能锁住维基解密的账号。
但是,Chaum对数字货币的贡献,可以追溯到1980年代早期,仍然能有意义的。比特币没有使用盲签名技术,但建构在比特币协议上的扩展处理层和隐私层可以使用。?Bitcointalk?论坛和reddit论坛子版块?r/bitcoin?版主Theymos,一直倡议在比特币区块链上开发一种类似于eCash的可扩展侧链。比特币交易隐私领域的带头人之一?AdamFiscor也在实现一种使用盲签名的混币服务。当前尚未落地的闪电网络,也可以使用盲签名来提高安全性。
那Chaum自己呢?他回到了伯克利,在那里写出了等身的著作,大部分都跟数字化选举和声誉系统有关。也许,再过20年,全新一代的开发者、企业家和活动人士,把这些著作奉为某项足以改变世界的技术的奠基工作。
本文部分基于两篇在1990年代出版的文章:StevenLevy为《连线》杂志撰写的文章《E-Money(That’sWhatIWant)》,还有未具名作者为《Next!Magazine》撰写的《HoeDigiCashallesverknalde》chaum.com/ecash网站亦提供了丰富的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。