隐私保护数据发布:模型与算法，隐私保护百度百科

作者:kokii.eth

IntroWeb3重塑了数据的价值，但是分布式结构的区块链是一个封闭的、确定性的系统，智能合约没有实现调用外部API的功能，于是诞生了Oracle的机制来帮助智能合约获取外部数据。

链下数据上传本身不难，难的是通过技术和机制设计生产信任。预测机的问题是解决从数据源到处理再到价馈的信任问题。

成为公认的预测者的一个基本条件是去中心化，即是否允许单点失效和数据验证。链式去中心化的常见解决方案是使用多个数据节点组成一个去中心化的Oracle网络。每个节点将收集数据，并在达成共识后将其输入区块链上的智能合同。

目前Oracle的主要用途是为DeFi提供价格Feed，安全、及时、准确地更新基础资产价格。根据DefiLlama的数据，Chainlink是市场上最大的Oracle解决方案之一。在撰写本文时，该担保的总价值约为110亿美元，占整个市场的46%。

随着区块链的发展，对线下数据的需求越来越强烈，单纯的养活DeFi已经不能满足开发者的需求。现实世界和Web2中的大部分数据无法公开访问，但需要构建Web3的创新应用场景(信用借贷、社交网络、DID、KYC/AML等。).因此，新一代Oracle机器需要支持智能合约，以保护隐私的方式支持涉及敏感数据的复杂用例。

DECO是Chainlink在这方面的解决方案。使用零知识证明技术，用户可以为智能合同生成离线隐私数据证明，而无需向公众或Oracle节点本身披露数据。DECO可以访问现有的API，即使它需要终端用户认证(例如，需要登录以获得银行账户余额)，它也不需要API数据提供者进行任何修改。目前，它已经达到了alpha阶段，正在与几个合作伙伴测试概念验证。

1.背景这里是关于TLS和ZKP的必要背景，DECO是建立在这些协议之上的。

1.1 TL STLS(传输层安全)是一个功能强大且广泛部署的安全协议，以前称为SSL，旨在促进互联网通信的隐私和数据安全。它位于应用协议层和TCP/IP层之间，主要用例是对web应用和服务器之间的通信进行加密。

通过HTTP进行的通信是明文形式，容易被窃听、篡改和冒充。使用TLS后，无论是用户发送到网站的HTTP数据(点击、填表等。)和网站发送给用户的HTTP数据都是加密的，接收方必须使用密钥对加密数据进行解密。HTTPS基于HTTP协议实现TLS加密，这是网站的标准做法。网站需要在其源服务器上安装TLS证书，浏览器会将所有非HTTPS网站标记为不安全。

TLS的基本思想是采用公钥加密方法。网站公开共享的TLS/SSL证书包含公钥，而私钥安装在源服务器上，归网站所有。客户端首先向服务器请求数字证书的公钥，然后用公钥加密信息。服务器收到密文后，用自己的私钥解密。

这里有一个问题。公钥加密的计算量太大。为了减少会话消耗的时间，客户机和服务器生成一个& # 8221；会话密钥& # 8221；(会话密钥)，用于加密信息。由于& # 8221；会话密钥& # 8221；是对称加密，所以运算速度很快，服务器公钥只用于加密& # 8221；会话密钥& # 8221；这本身就减少了加密操作的消耗时间。

因此，TLS协议主要可以分为两层:

认证密钥协商握手协议:明文通信，通过非对称加密相互确认和验证，建立要使用的加密算法，生成一致的会话密钥，用于录音协议的对称加密。

对称加密传输的记录协议:协议的主体，保护数据传输的机密性和完整性。

TLS的密码套件是四种算法的组合:

认证:判断身份的真实性，主流是RSA/DSA/ECDSA。

密钥交换:通信双方协商用于加密的密钥，主流是ECDHE。

加密:对称加密用于通信，趋势是使用GCM。

MAC(消息认证码):用于验证数据的完整性以及数据是否被篡改。主流的有SHA256/SHA384/SHA1等。

TLS非常强大，但是有一个限制:不允许用户向第三方证明自己访问的数据真的来自特定网站，因为数据传输采用对称加密，用户和服务器一样有签署数据的能力。一个直观的例子是，有很多网站的服务器里都有爱丽丝的身份信息，可以很容易地验证爱丽丝已经超过18岁，但爱丽丝很难向鲍勃证明这一点。爱丽丝可以从网站上截图，但是截图很容易伪造。即使截图可以被证明是真的，它也会揭示爱丽丝的确切出生日期，而不仅仅是她超过18岁的事实。

甲骨文需要去中心化(不依赖于单点，如网站服务器)来证明链下私人数据的出处，并在不泄露隐私的情况下将其用于智能合约。零知识证明可以帮助实现这些功能。

1.2 zkP零知识证明，zkP)在区块链中受到广泛关注，主要应用有ZK-Rollup(为了提高扩容效率，在算法设计上做了很多妥协，没有ZK的有效性证明)和隐私技术(真实ZK)。零知识证明允许证明者向验证者证明它有一个见证人可以解决某个计算问题，而不需要透露任何关于见证人的额外信息。

典型的ZK系统可以分为前端和后端。

前端:编译器，把需要验证的语句写成领域专用语言(DSL)然后编译成ZK友好的格式，比如算术电路；

后端:proof系统，交互演示系统检查电路的正确性，如Marlin，Plonky2，Halo22;

在像区块链这样的开放系统上构建交互式问题的过程非常复杂，这证明任何人都可以在任何时候验证它。因此，区块链应用程序中的ZK系统通常是非交互式的，通过使用FIAT–sha mir-heuristics可以将交互式转换为非交互式。

2.DECO worksDECO如何在HTTPS/TLS协议的基础上进行扩展，使服务器可以不加修改地使用它。

DECO的核心思想是在证明者(运行DECO证明者的用户或Dapp)、验证者(运行DECO验证者的Chainlink Oracle)和服务器(数据提供者)之间构建一个新颖的三方握手协议。

出处:当证明者向Web服务器查询信息时，验证者见证交互过程，并接收证明者在TLS会话数据上创建的承诺，从而验证者可以验证信息的真实来源；

隐私:如果数据不需要隐私，证明者可以直接向验证者提供可以解密数据的密钥，这样开发者就可以将数据添加到Dapp中；如果需要隐私，证明者使用ZKP来生成数据不被泄露的证明，供开发人员添加到Dapp中。

具体来说，DECO协议包括三个阶段:

三方握手、证明者、验证者和服务器建立特殊格式的会话密钥，确保数据不可伪造；

查询执行:证明者使用带有她私有参数θs(如账号密码、API密匙)的查询从服务器查询数据；

证明生成，证明者证明响应满足要求的条件。

2.1三方握手注意:以下描述基于AES-CBC-HMAC加密算法。TLS 1.3只保留了更安全的AEAD作为加密算法，加密和MAC使用一个密钥，没有MAC密钥。但是，由于TLS 1.3的密钥独立性，也可以构造类似复杂度的三次握手协议。

证明者P在获得MAC密钥后不能做出承诺，否则就可以伪造或篡改数据。因此，三次握手的思想是使用证明者P和验证者V作为TLS客户端，并与TLS服务器s建立共享的MAC密钥。MAC密钥k在客户端进行分区，证明者持有kp，验证者持有kv，其中k=kp+kv。同时，P还持有用于对称加密算法的加密密钥K {enc}。如果验证者不作恶，三次握手协议可以确保数据不可伪造。

2.2查询执行握手后，由于MAC密钥是秘密共享的，P和V执行一个交互协议(两方安全计算)，用私有参数θs构造一个加密查询的TLS消息查询Q。然后P作为标准的TLS客户端，将Q发送给S，在这个过程中，只有P与S通信，它发送的任何查询都不能泄露给V..

在收到来自S的响应R后，P通过将密文R发送给V来承诺会话，并接收V的kv来验证响应R的真实性..

2.3证明生成接下来，P需要证明密文R对应的明文R满足一定的属性，不需要隐私的话可以直接揭示加密密钥K {enc}，需要隐私的话需要零知识证明。

如果明文由几个数据块组成，R=(B1，& # 8230；，Bn)，DECO使用选择性开生成零知识证明:

只透露具体的数据行:证明R的第I个数据块是Bi，不透露其他数据块。

隐藏包含私有数据的数据行:证明R_{-i}和R相等，除了Bi被删除。

然而，在很多情况下，验证者需要验证所揭示的子串是否出现在正确的上下文中，而上面提到的方法不足以提供上下文的完整性保护。为了弥补这一点，DECO使用了一种叫做两阶段解析的技术:证明者在本地解析其会话数据，确定能够说服验证者的最小子串，然后将数据发送给验证者。这样就实现了隐私。

简明非交互式(NIZK)零知识证明通常具有较高的计算和内存开销。因为DECO实现的ZKP的验证者是指定的(Chainlink的Oracle)，所以可以使用更高效的交互式零知识证明，比如占用内存少、避免可信设置、计算便宜等。

目前，Alpha测试中的DECO仍然使用Dapp作为校准仪。在未来的迭代中，证明者可以由最终用户(比如手机)在本地部署，也可以部署在可信执行环境(TEE)中。

3.ApplicationDECO可以验证用户链下身份信息的有效性，同时保证数据隐私，从而解锁Web3的诸多创新应用场景，从经济到社交。

自托管社会恢复/合法身份认证(你是谁):使用DECO，使用已经有成熟认证机制的机构网站(银行、社交媒体)作为社会恢复的守护者之一。

信用贷款/资金证明(你有多少钱):Teller是DeFi信用贷款协议，用DECO协议证明用户线下银行账户的资产余额超过贷款所需的动态最低门槛。

粉丝证明/互动证明(你和谁互动过):Clique是一个社交预测机器，正在开发一个解决方案，提供跨各种社交媒体平台(如使用Twitter API)的线下用户影响力、忠诚度和贡献度的深度分析。

数字身份/社交身份证明(你有一个在线账户):光致变色是一个数字身份解决方案，它使用DECO将Web3用户绑定到他们的Twitter或Discord社交账户，在这个过程中不会暴露底层的个人身份数据，这样应用程序就可以过滤掉真实用户。

道抗巫、、等。

4.其他PlayersAxiom为Uniswap TWAP构建ZK Oracle，采用完全来自链的可验证数据源，更类似于索引(如hyper Oracle)；Deco和DECO互补大于竞争:越来越多的经济活动会发生在链条上，纯链条预测机是一个方向；越来越多的离线数据需要上传，离线隐私预测机也是一个方向。

经验网络用zk计算把整个预测器放在链上，没有数据必须流经的离线基础设施，和DECO不是一个方向。

5.结论Chainlink是当前甲骨文的绝对领袖。通过DECO Oracle，海量链条下的私有数据将在隐私保护的前提下被链条上的智能契约调用，可以解锁从金融到身份到社交的诸多应用场景。潜在的隐患是证明者的证明生成速度和验证者的中心化。

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信(j7hr0a@163.com)，我们会及时处理和回复。

原文地址"隐私保护数据发布:模型与算法，隐私保护百度百科"：http://www.guoyinggangguan.com/qkl/179587.html。

微信扫描二维码关注官方微信
▲长按图片识别二维码