Cypherpunks 编写代码。我们知道必须有人编写软件来保护隐私,而我们将编写它。
— 埃里克·休斯 (Eric Hughes
) 密码朋克宣言,1993 年
1992 年,三位湾区计算机科学家发起了一个新的邮件列表,用于讨论密码学、数学、政治和哲学。他们将这个邮件列表的成员称为密码朋克:赛博朋克的合成词,反乌托邦科幻小说的一种类型,密码学的主要内容。
密码朋克是一群不拘一格的人,但他们都有一个核心信念:互联网将很快成为人类自由的重要战场。
有原因的反叛者
早在 90 年代初,网络空间仍然是业余爱好者和黑客的领地。但密码朋克们认为,互联网成为社会中心只是时间问题。一旦政府了解互联网的重要性,他们就会采取行动,对互联网进行拉拢、监控和审查。
1993 年 5 月/6 月的《连线》封面。信用:有线
早在 Facebook 出现之前,早在中国防火墙出现之前,早在斯诺登泄密之前,密码朋克们就预见到了它的到来。他们预言了一种在线审查和监视制度将使开放的互联网黯然失色。根据密码朋克的说法,只有一种工具可以确保互联网的自由:密码学。
密码学是密码和密码破译的数学。在 1970 年代之前,密码学是一个相对神秘的领域,只有军方和间谍机构才会使用。当时,强加密(超过 40 位的安全性)被认为是军火,因此从美国出口是非法的。
但密码朋克认为密码学对于主权互联网至关重要。Diffie-Hellman、RSA 和 PGP 的发明预示着一个时代,那时个人可以在他们的数字语音中拥有真正的自由和隐私。加密是将权力从政府手中夺回给个人的最佳方式。
一位名叫 Adam Back 的早期密码朋克(我们将在本课程中再次访问他)将他的电子邮件签名设为 RSA 加密算法,用五行 Perl 代码编写。由于加密算法的出口限制,这是一种非法的公民抗命行为。他鼓励邮件列表中的其他人团结一致地复制它。
随着时间的推移,Peter Junger、Phil Zimmerman 和 Daniel Bernstein 等人的法律胜利、Netscape 等公司对 SSL 和 HTTPS 的开发、美国以外加密软件的实用性以及加密技术的缺乏程度相结合阻碍电子商务最终赢得了争论。随着对加密技术的出口管制放宽,互联网倡导者赢得了第一次加密战争。
但密码朋克们知道仅靠加密不足以解放网络空间。要建立真正自由的数字公共资源,您需要一个完全主权的经济体。换句话说,你需要一种数字原生形式的货币。
密码朋克经济学
理解密码朋克对经济哲学的理解很重要。布雷顿森林体系结束后,密码朋克对中央银行及其对货币政策的控制深表怀疑。许多年后,在 2008 年金融危机之后,他们的怀疑可以说是有道理的,当时中央银行创造了大量资金来拯救陷入困境的银行。
值得在这里短暂游览。一般来说,政府有两种方式为其运作提供资金。
第一个是税收,政府直接将公民的钱转入其金库。第二种方式是印钞,传统上称为铸币税,它也将钱转移给政府,但分析起来更微妙一些。当政府印钞时,政府显然获得了货币,但公民经常发现他们持有的货币价值已经贬值,因为现在有更多的钱追逐同一套实物资产。
税收和铸币税在经济上大致相当,但税收通常需要公民同意,而印钞则可以单方面进行。因此,cypherpunks 将印钞视为一种从货币持有者那里盗窃的形式。
cypherpunks 认为,要拥有一种真正属于网络空间的货币形式,它必须不受政府干预。毕竟互联网本身就已经是无国界、国际化的了!一种互联网原生货币应该让每个人,无论国籍,都处于公平的竞争环境中。将数字经济与单一法定货币捆绑在一起,将使它屈服于单一国家中央银行的一时兴起。
此外,这样的系统不应该有一个能够监督它的中央政党。否则,该中央政党将试图审查系统或操纵货币。在目睹了 20 世纪的多次金融危机和恶性通货膨胀之后,密码朋克们认为,最健全的经济体系是一种无人能操纵的经济体系。
因此,除非拥有自己的货币形式,否则网络空间不可能真正免费。他们可以同意这一点。但是创建数字货币有一个技术问题,目前还没有人能够破解:双花问题。
双花问题
双花问题在原理上很容易理解。想象一下,我有一张 10 美元的数字钞票。
如果那张 10 美元的钞票完全是数字的,那么它只是我硬盘上的一堆比特。是什么阻止我复制和粘贴这些位,所以我现在有两张 10 美元的钞票?如果我用那张 10 美元钞票的副本付给两个人,他们怎么知道哪一张是“真”的?
从根本上说,双花问题可以被视为伪造问题。但是伪造的概念只有在首先有实体钞票的情况下才有意义。在数字世界中,账单只是信息。“真正的账单”只是一个字节序列。
像 PayPal 这样的数字支付方案是如何解决这个问题的?很简单:PayPal 的服务器执行“防伪”。PayPal 有一个围绕其字节移动的单一统一数据库——作为用户,您无法直接访问它。这可以保护系统免受双重支出,但代价是让 PayPal 完全控制货币系统。PayPal 的知识分子后代包括今天的整个金融科技行业,包括 Square(成立于 2009 年)和 Stripe(成立于 2011 年),所有这些都以集中式数据库为核心。
但是,如果您可以在不依赖受信任的第三方的情况下解决双重支出问题,您就有可能创建一种互联网原生的数字货币。
这可能吗?没有人确定。
所以密码朋克们开始工作了。
Chaumian eCash
许多人认为 David Chaum 是密码朋克运动之父。作为一位多产的学术研究者,Chaum 一手开创了匿名通信研究领域,并发明了许多密码协议,包括群签名、混合网络和盲签名。
1990 年,David Chaum 带头进行了第一次认真尝试,尝试建立私人数字货币:DigiCash。
DigiCash 使用新颖的密码学来确保用户隐私,同时解决双重支出问题。底层算法被称为 eCash,于 1982 年首次发布,后来由其他密码学家改进。
以下是 eCash 算法的简化描述:
- 首先,硬币由银行发行给用户。每枚硬币都有特定的面额和序列号,由银行加密签名。
- 当商家从用户那里收到硬币时,商家会将硬币转交给发行银行。
- 银行验证面额和序列号上的签名是否有效,以及硬币之前是否已被使用过。如果结账,银行会确保所有花掉的硬币都是真实的,并且之前没有花过。然后,无论硬币的价值是多少,商家都会得到报酬。
从表面上看,这种设置解决了双花问题,但考虑到银行的存在,它似乎相当中心化。这如何实现隐私?好吧,为此还有一些额外的密码学魔法。
假设用户 Alice 将 5 美元存入她的银行。然后,Alice 要求她的银行发行一张 eCash 5 美元钞票供她下载。伴随这个请求,她为她正在创建的新账单生成一个随机序列号,加上一个随机“致盲因素”。这个致盲因子将被用来混淆哪个序列号属于她。银行serial_number * blinding_factor使用所谓的盲签名对硬币进行加密签名。
盲签名方案让爱丽丝去除了致盲因素,同时仍然在硬币上有一个有效的签名。换句话说,eCash 发行者无法追踪他们签名的盲币。他们所能看到的只是他们最终为商家验证的随机非盲序列号。发行人能够追踪的只是每种面额的硬币总数以及特定序列号是否已经被使用过。
Chaumian eCash 协议示意图
Chaumian eCash 是数字货币的重大飞跃。但在 1998 年,以 eCash (DigiCash) 为基础的公司破产了。它最终在用户采用方面输给了信用卡和 PayPal 等不那么私密的支付系统。当然,当公司清算时,其整个现金生态系统都消失了。
cypherpunks 看到了这次失败,并意识到 Chaumian eCash 有另一个以前被低估的弱点:它依赖于一家公司。如果数字现金要蓬勃发展,它就必须超越对任何中央政党的依赖。
它必须去中心化。
其他尝试
DigiCash 并不是创建数字货币的唯一尝试。密码朋克发起了许多实验,包括用于激励文件共享的支付系统Mojo Nation和用于减少电子邮件垃圾邮件的“支付”方案Hashcash 。(我们将研究 Hashcash 并在密码学模块中自己实现它。)
但密码朋克并不是唯一试图创造数字货币的人。e-gold 成立于 1996 年,是最早创建数字货币的互联网公司之一,比 PayPal 早两年。
电子黄金支付门户。信用:netpennystocks.com
e-gold 发行了一种由黄金储备支持的数字货币,任何人都可以持有和转移。在其鼎盛时期,e-gold 每年处理超过 20 亿美元的转账。它非常受欢迎,但因为它对注册几乎没有限制,所以这种货币被黑客、诈骗者和有组织的网络犯罪分子广泛采用。
美国政府注意到了。经过漫长的法庭审理,法院裁定 e-gold 犯有洗钱罪和追溯性违反汇款法的行为。创始人被追究刑事责任,2008 年,所有电子黄金余额被冻结。在接下来的五年里,美国政府将管理所有电子黄金账户持有人的赎回。
对于密码朋克来说,电子黄金展示了另一个重要的教训:监管机构不希望数字现金存在。
抵押品的问题
e-gold 以黄金为抵押品,而 DigiCash 以美元为抵押品。但两者最终都属于国家的权限。如果你想创造一种不受国家控制的货币,似乎每一种形式的抵押品都有一个中心化的瓶颈。
所以也许,cypherpunks 认为,他们应该完全避免抵押品。
是否有可能创造一种非抵押形式的货币?美元在布雷顿森林体系之后成功脱颖而出,将金本位甩在身后。
但如果你有一种非抵押形式的货币,你也需要以某种方式加强稀缺性。过去的每一种货币形式,无论是贝壳、黄金还是美元,都有某种方法可以确保货币供应量不会失控地膨胀。
cypherpunks 探索了几种非抵押数字货币的方案。两个最重要的方案是戴伟在 1998 年描述的b-money和 Nick Szabo 在 2005 年描述的BitGold。这两个方案都是由著名的密码朋克设计的,与比特币惊人地相似,但它们都缺少关键成分。我们知道 Satoshi 知道 b-money 并在他的白皮书中引用了它,后来他在比特币网站上添加了对 BitGold 的致谢。值得简要介绍一下它们与比特币的异同,以了解比特币的血统。
BitGold 和 b-money
- B-money 和 BitGold 与比特币一样,使用公钥密码术进行身份验证。
- b-money 和 BitGold 都使用工作量证明来铸造新硬币。比特币还使用工作量证明来更新区块链和追加交易。
- B-money 和 BitGold 都使用受信任的时间戳服务器进行交易排序。比特币通过“最长链规则”实现了一个分散的时间戳服务器,我们将在后面讨论。
- B-Money 和 BitGold 通过统计网络中的节点总数并让节点投票来达成共识。比特币通过计算网络中执行的总工作量来达成共识。
B-Money 和 BitGold 最终都容易受到女巫攻击。女巫攻击是指恶意用户以低廉的价格制造出许多新的“女巫”或身份,例如通过僵尸网络。如果系统有一个简单的多数表决规则,不诚实的攻击者可以轻易地压倒系统并决定投票的结果。任何强大的去中心化货币都必须能够抵抗女巫攻击。
归根结底,b-money 和 BitGold 仅在博客文章中进行了描述,因此相对不明确。他们都需要进行重大更改才能成为可行的协议,并且都没有工作代码。因此,他们主要在理论建议的领域进行交易。但这两种设计最终会影响日后问世的数字货币——比特币。
最终是密码朋克为创建比特币之类的东西奠定了基础。在下一节和比特币历史的最后一章中,我们将了解比特币是如何向世界公布的,它是如何被接受的,以及我们对它神秘的密码朋克创造者中本聪的了解。