Слепые подписи позволяют подписывающей стороне подтвердить сообщение, не зная его содержимого. Этот криптографический примитив был предложен Дэвидом Чаумом в 1980-е годы в рамках его экспериментов с eCash, и разработчики инструментов приватности для Биткоина до сих пор используют его, чтобы скрыть связь между депозитами и выводами средств. Когда миксер выдаёт слепую подпись, он фактически обещает выполнить выплату, не зная, какой именно участник позже предъявит соответствующее подтверждение. Именно это свойство делает координатора бесполезным как источник информации — даже если он проявляет излишнее любопытство или получает юридический запрос. Поэтому схемы Chaumian CoinJoin по-прежнему лежат в основе инструментов приватности, представленных в каталоге BitMixList.
Как работают слепые подписи Chaumian
Классическая схема включает четыре шага. Сначала пользователь создаёт случайный токен и «ослепляет» его, умножая на секретный множитель. Затем, после того как пользователь подтверждает внесение средств, координатор подписывает ослеплённый токен. Далее пользователь удаляет секретный множитель и получает действительную подпись для исходного токена. Наконец, пользователь предъявляет этот токен для получения выплаты в одном из следующих раундов. Поскольку координатор никогда не видел токен в раскрытом виде, он не может сопоставить вывод средств с исходным депозитом. На практике обычно используется RSA-ослепление из-за его совместимости, однако продолжаются исследования схем на основе Schnorr и BLS, чтобы протоколы эпохи Taproot могли выполнять пакетную проверку таких подтверждений.
Слепые подписи решают только проблему сопоставления транзакций. Миксерам всё равно нужны достаточная ликвидность, стабильная работа и защита от атак типа Sybil — урок, который особенно ярко проявился после проблем кастодиальных сервисов вроде ChipMixer и CryptoMixer. Когда эти сервисы прекратили работу, кошельки с Chaumian-моделью получили дополнительное внимание, потому что даже компрометация координатора не позволяла задним числом деанонимизировать добросовестных пользователей.
Где Биткоин-проекты используют их сегодня
Chaumian CoinJoin: в документе ZeroLink (2017) и в обновлении WabiSabi для Wasabi Wallet используются ослеплённые учётные данные, когда пользователи регистрируют входы. Когда раунд формирует выходы, координатор видит только анонимные токены, а не то, какой участник указал какой адрес. Chaumian eCash: проекты вроде Cashu или Fedimint используют механизм, при котором эмиссионные узлы подписывают ослеплённые обязательства (IOU), чтобы сообщества могли приватно обращаться с кредитами, обеспеченными сетью Lightning. Обмены без аккаунтов: TumbleBit и модели statechain в стиле Mercury сочетают слепые подписи с криптографическими «обещаниями-задачами», чтобы разорвать связь между платежами Lightning или переводами второго уровня. Эти подходы сейчас рассматриваются вместе с CoinJoin и eCash в нашем расширенном материале по CoinJoin, показывая, как один и тот же криптографический примитив используется в разных продуктах.
Слепые подписи также появляются в академических предложениях, связанных с агрегированием подписей для нескольких входов и с механизмами silent payments. Разработчики, исследующие ковенанты, хотят сочетать их с Chaumian-системами учётных данных, чтобы кошельки могли автоматически перерандомизировать сдачу, не раскрывая координатору балансы пользователей.
Преимущества, ограничения и будущие направления развития
Преимущество очевидно: даже если координатор получает предупреждение или повестку от правоохранительных органов, он всё равно не может сопоставить депозиты с выводами средств. Это даёт пользователям правдоподобное отрицание, когда биржи — ссылаясь на свои политики заморозки средств — задают подробные вопросы о происхождении транзакций.
Однако ограничения не менее важны. Слепые подписи не мешают недобросовестному оператору присвоить депозиты, цензурировать участников или пытаться сопоставлять пользователей через анализ времени операций. Поэтому такие системы должны сочетаться с несколькими мерами: резервными координаторами, аудитами открытого кода, контролем ликвидности и обучением пользователей, чтобы они распределяли активность между несколькими уровнями приватности, например через маршруты с использованием Monero или eCash-системы Cashu.
Будущие исследования сосредоточены на схемах ослепления на базе Schnorr, которые напрямую интегрируются с Taproot, на системах анонимных учётных данных с проверяемыми ключами (KVAC), позволяющих использовать произвольные номиналы, а также на гибридных решениях, объединяющих слепые подписи с доказательствами с нулевым разглашением. Но независимо от используемой криптографии правило остаётся тем же: слепые подписи помогают ограничить возможности координатора, однако это лишь один инструмент. Используйте их только с законно полученными средствами и следите за правовой ситуацией, описанной в трекере преследований BitMixList.
