比特币和其他加密货币都可以追溯到这个早期的、注重隐私的互联网支付系统。你可以给数据库访问付费、用电子邮件买软件和报纸、在网上玩电子游戏、接收朋友之前欠你的5块钱,还可以买披萨。可能性是无限的。上文引用的这句话不是出自某个2011年制作的、介绍比特币的视频。实际上,它完全跟比特币无关。甚至,它不是这个世纪的作品。引文来自一位密码学家DavidChaum在1994年日内瓦的第一次CERN大会上的演讲,他讲的是eCash。如果密码朋克运动有一个祖先,那肯定是留着胡子和马尾辫的DavidChaum。说这位密码学家领先于时代——他现在已经62还是63岁了(他没有暴露过自己的真实年龄)——都嫌太轻描淡写了。在大多数人了解到互联网、拥有个人电脑以前,甚至在爱德华·斯诺登(EdwardSnowden)、JacobAppelbaum和PavelDurov出生以前,Chaum已经在关心互联网隐私的未来了。「你必须让你的读者知道这有多重要」,Chaum曾经跟《连线(Wired)》杂志这么说,「赛博空间完全没有物理限制……没有‘墙’这种东西……它是个完全不同、诡异奇怪的地方,而且大家都知道这是一个全景监狱似的噩梦。不是吗?其他任何人都可以知道你干过的所有事,甚至可以永久记录下来。这跟民主制的基本原理是对立的。」Chaum的职业起于在伯克利担任计算机科学的教授。他不仅仅是一个数字隐私权的鼓吹者,他还设计了工具来实现隐私权。Chaum出版于1981年的论文「不可追踪的电子邮件、回邮地址和数字假名」为互联网加密通信的研究奠定了基础;这些研究最终产生了隐私保护的技术,比如Tor(洋葱网络)。但日常通信的隐私性还不是Chaum最关心的东西。可以说,他还有更大的想法。这个伯克利的教授想设计一种保护隐私的数字货币。「是把信息保存在个人手里,还是保存在组织手上,每当一个政府或一个公司要把一批事务自动化的时候,都必须做抉择」,Chaum在ScientificAmerican上写道,「下一个世纪的社会形态,可能就取决于哪种技术占据主导地位」。那是1992年。而在10年以前(1982),Chaum已经解决了这个难题:他出版了自己的第二篇重要论文「用于不可追踪的支付系统的盲签名」。那时候,现在比特币圈子里老手如PieterWuille博士、ErikVoorhees和PeterTodd还没出生呢,这个密码学家就已经为互联网设计出了一套匿名的支付方案。盲签名(BlindSignatures)Chaum的数字货币系统的核心是他的发明「盲签名」。要理解盲签名,你得先了解公钥密码学,尤其是,(普通的)密码学签名是怎么回事。
公钥密码学会用到密钥对,一个密钥对由一把公钥和一把私钥组成,其中公钥是由私钥(一个真正随机的数字串)根据一定的数学公式计算出来的、(看似随机的)数字串。用私钥推导公钥非常简单,但根据公钥反向计算出私钥则几乎是不可能的;这是一条单行道。公钥密码学可以用来建构双方之间的隐私通信——学术论文中一般以「Alice」和「Bob」来代指着两方——只要双方都向对方分享自己的公钥即可。私钥可以保持隐私而不暴露。但Alice和Bob能用公钥密码学做的可不止隐私通信。Alice还可以「签名」任意数据(Bob也是)。实际上,Alice就是用自己的私钥和数据一起做一些数学运算。结果就是另一串看似随机的字符串,称为「签名」。同样地,从签名中也是无法恢复出Alice的私钥的(无论你是否掌握了那段被签名的数据)。这还是一条单行道。有意思的是,Bob(乃至其他所有人)都能用Alice的公钥来检查这个签名是不是Alice生成的(译者注:验证需要被签名的数据)。检验完了Bob就知道,到底是不是Alice用自己的私钥(以及相应的数据片)生成了这条签名。而私钥可以签名任何数据,也就是说数据可以是Alice和Bob的任何表态和请求。举个例子,签名可以意味着Alice同意该段数据表示的意思(就像Alice给合同手写了一个签名一样)。而盲签名则使这一切更进一步。一开始,Bob先生成一个随机数,称为「nonce」,然后拿这个随机数和一段初始数据一起运行特定的数学运算,得出一段乱序的数据片。这个乱序的数据片使其看起来与其它的随机字符串无异。然后Bob拿这段乱序数据给Alice签名。Alice没法断定Bob的初始数据是什么样的,所以她是「盲目的」。Alice签名运算的结果就是「盲签名」。盲签名的特殊性在于,这条签名不仅关联着Alice的密钥(任何数字签名都有这样的特征)和乱序数据片。它也关联着那段初始的、没有被混淆过的数据。如果能获得那段原始数据,那么任何人仅需使用Alice的公钥,就能检查Alice是否签名了那段原始数据的一个乱序版本——当然也包括Alice自己。ECASH盲签名就是Chaum用来创造数字货币系统的关键工具。要理解这些,你要先把上文示例中的Alice当成一个银行:AliceBank。这是一家普通银行,就像我们现实中的一样,客户们在银行里有专门的账户以及存款。
假设Alice银行有四个客户:Bob、Carol、Dan和Erin。在假设Bob想从Carol手上买些东西。首先,Bob要向Alice银行请求「取款」(一般来说Bob当然要在事先取到钱,但你先不要管这些细节)。取款的时候,Bob自己创建一些「电子钞票」,形式是一串独一无二的数字,称作「序列号」。此外,他还要像上面的例子那样,生成这些钞票的乱序版本,然后把这些乱序支票发给Alice银行。收到Bob的乱序钞票后,Alice银行盲签名每一条乱序数据,然后把这些签名发回给Bob。每签发一条乱序钞票,Alice银行就从Bob的银行账户扣除1块钱。现在,因为Alice银行盲签了这些乱序钞票,她的签名已经与初始的电子钞票关联了起来。所以Bob现在可以使用这些初始的、没有经过混淆的钞票给Carol支付了。他只需把这些数据发送给Carol即可。Carol收到这些电子钞票后,转发给Alice银行。Alice可以检查自己是否签名过这些钞票,这也是靠盲签名完成的事:它们都跟她的私钥有关联。Alice银行也顺带检查同样的钞票(序列号)是否已由他人使用过(自己是否遭遇了多重支付)。钞票检验完成后,Alice银行就给Carol的账户添加等量的金额,并告知Carol。经过银行的确认后,Carol也知道了Bob所支付的是有效的钞票,可以放心地发货了。最关键的是,Alice银行只有在Carol要存入这些数字钞票时才会知道未经混淆的钞票数据!因此,Alice银行根本不知道这些钞票是Bob的。理论上,也完全有可能是Dan或者Erin的!因此,Chaum的解决方案提供了支付中的隐私性。在当时,这不算什么新鲜事:那时候隐私支付是常态(译者注:指的是现金交易)。但它是电子形式的,这就是新颖之处。因此,Chaum选择了这个比喻:现金(cash)。电子化的现金,eCash。DIGICASH到1990年,也就是Chaum发表第一篇论文差不多10年后(现在年轻一辈的密码学货币开发者比如MattCorallo、VitalikButerin和OlaoluwaOsuntokun也都还没出生),DavidChaum创办了DigiCash公司,办在阿姆斯特丹(Amsterdam),Chaum已在那里生活了好一段时间。这个公司实际上专门做数字货币和支付系统,业务包括一个替代收费亭的政府项目(最终被取消)和智能卡(类似于我们今天的硬件钱包)。但DigiCash的旗舰项目还是其数字现金系统eCash。
(这个系统叫做「eCash」,而系统中所用的货币叫做「CyberBucks」,相当于我们用大写的「Bitcoin」来指称底层的协议,而用小写的「bitcoin」来称呼其中的货币。)DigiCash早期的技术团队(Chaum不在照片中)。来源:chaum.com/ecash那还是网景(Netscape)和雅虎(Yahoo!)领导科技行业开创新高度的时代,一些人认为微支付而非广告,将成为互联网的收入模式,DigiCash也被认为是科技企业中冉冉升起的新星。当然,Chaum和他的团队也对自己的技术很有信心。「随着网络支付的成熟,你将可以为各式各样的小事情小物件买单,支付会比今天多得多」,1994年,Chaum这样跟NewYorkTimes说。当然,他强调了隐私权的重要性。「你读过的每篇文章、问过的每个问题,你都要支付。」那一年,经过4年的开发,第一个成功的支付系统已在测试,同年晚些时候,eCash开始允许试用:想要使用这种技术的银行,需要向DigiCash请求许可。银行业兴趣盎然。1995年末,eCash发出了第一张许可:圣路易斯的MarkTwain银行。而且,在1996年头,世界上最大的银行之一,德意志银行(DeutscheBank),也试水了。瑞士信贷(CreditSuisse)是第二个加入的大机构,还有多个国家的银行,也都加入了,包括:澳大利亚的AdvanceBank、挪威的AdvanceBank和BankAustria。然而,比起DigiCash达成的交易,更有趣的可能是他们没有谈成的生意。荷兰三大银行中的两家——ING和ABNAmro——据说已经和DigiCash达成了价值几千万美元的合作。类似地,Visa也被曝出提出了4000万美元的投资,而且网景也有兴趣:eCash本可以放进那个时代最流行的互联网浏览器中。不过,最能出价不是别人,正是微软。比尔·盖茨希望把eCash集成到Windows95操作系统中,据说愿意出价1亿美元。Chaum——按照故事的说法——要求每卖出一份Windows95就收2美元。于是事儿就黄了。虽然在当时的技术人员眼中不可谓不亮眼,DigiCash似乎在谈生意上不太利索,因此也难以实现其全部潜能。到了1996年,DigiCash的员工看过了太多失败的交易,希望有一些改变。办法就是换个CEO:来自Visa的资深人士MichaelNash。这家初创公司还获得了一笔投资,而MITMediaLab的创始人NicholasNegroponte还被任命为董事会主席。(最近,通过DigitalCurrencyInitiative的这一层关系,MITMediaLab还聘用了多位BitcoinCore的贡献者。)DigiCash的总部也从阿姆斯特丹搬到了硅谷。
Chaum还是其中一员,不过变成了CTO。事情并无太大改变。几年打拼下来,eCash并没有被普遍接受。加入的银行一直在实验,才从未力推这门技术;到了1998年,MarkTwain银行只招收了300名商家和5000位用户。在DigiCash与花旗银行(Citibank)的最终协定即将敲定之际——这本来可以给这个项目极大的推动——银行因为不相关的原因而退出了。「很难获得足够多的商家,所以也没办法获得足够多的消费者。反过来说也是对的。」Chaum在1999年跟Forbes杂志这么说,那时候DigiCash已经破产了,「随着互联网变大,用户的平均素质也下降了。所以很难跟他们解释隐私的重要性。」密码朋克的梦想DigiCash失败了,连带着eCash也失败了。但是,虽然这项技术没有在商业上成功,Chaum的工作启发了一群密码学家、黑客和活动人士,他们靠着一个邮件列表建立了联系。这个团体里面包含了DigiCash贡献者NickSzabo和ZookoWilcox-O’Hearn,后来以「密码朋克」之名为人所知。可能比Chaum自己做的还要激进,密码朋克一直怀有创造一种数字现金的梦想;从1990年代到2000年代早期,他们一直在提出不同的数字现金方案。直到2008年,DigiCash落幕的10年后,中本聪把TA的数字现金设想(比特币)发到了密码朋克的精神继承者的邮件列表。比特币和eCash在设计视角上没有多少共同点。最重要的是,eCash有一个中心,就是DigiCash,光凭自己是没法成为货币的。即使世界上所有人都在交易中使用且仅使用eCash,你仍然需要银行来提供账户、余额和交易确认。这也意味着eCash虽然能提供隐私性,但并不是抗审查的。举个例子,即使面临银行的封锁,比特币仍能用于给维基解密捐赠,但eCash就做不到,银行一样能锁住维基解密的账号。但是,Chaum对数字货币的贡献,可以追溯到1980年代早期,仍然能有意义的。比特币没有使用盲签名技术,但建构在比特币协议上的扩展处理层和隐私层可以使用。Bitcointalk论坛和reddit论坛子版块r/bitcoin版主Theymos,一直倡议在比特币区块链上开发一种类似于eCash的可扩展侧链。比特币交易隐私领域的带头人之一AdamFiscor也在实现一种使用盲签名的混币服务(这种思路最早是由BitcoinCore贡献者GregMaxwell提议的)。当前尚未落地的闪电网络,也可以使用盲签名来提高安全性。(译者注:原文写于2018年4月。)那Chaum自己呢?他回到了伯克利,在那里写出了等身的著作,大部分都跟数字化选举和声誉系统有关。也许,再过20年,全新一代的开发者、企业家和活动人士,把这些著作奉为某项足以改变世界的技术的奠基工作。本文部分基于两篇在1990年代出版的文章:StevenLevy为《连线》杂志撰写的文章《E-Money(That’sWhatIWant)》,还有未具名作者为《Next!Magazine》撰写的《HoeDigiCashallesverknalde》(译本在此:《HowDigiCashBlewEverything》。)chaum.com/ecash网站亦提供了丰富的信息。
