【大文观链】ECDHM：基于数学和密码学的隐私保护方案

链得得注：大文观链，是链得得APP新推出的区块链技术分析系列栏目。由链得得APP作者马文佩伴随诸位用户，对区块链、数字货币市场中前端技术方案进行应用层讲解与热点事件的技术层分析。每个工作日与大家一同分享“链圈技术宅”的那些头脑日常。

今天我们关注的主题依然是区块链上的隐私保护。区块链中的隐私保护问题已经成为了制约公有链发展的一个重要因素，针对这个问题，目前市场上也有众多不同的解决方案，包括我们之前介绍过的群签名、环签名、零知识证明等。实际上，在目前的区块链市场上，主流的隐私保护机制主要有两种思想：第一种是对区块链的内容进行加密，区块仅在进行验证时有意义。另一种思想是沿用比特币的做法，将地址与真实世界的使用者分离开来，以此达到匿名化的目的。

今天介绍的ECDHM是第二种思想的具体体现，其实现方式类似此前介绍的环签名方案，将用户与钱包地址割裂开来，使得在区块链系统当中，无法通过某个地址来联系到具体的某个人。环签名方案使用的方式是建立一个用户组，在组内进行密钥混淆，从而生成一个安全的群签名。

ECDHM是基于迪菲-赫尔曼密钥交换（Diffie–Hellman key exchange，缩写为D-H）实现的。迪菲-赫尔曼密钥交换（或被称为指数密钥交换）是一种基于密码学的安全协议，可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。公钥交换的概念最早由瑞夫·墨克（Ralph C. Merkle）提出，而这个密钥交换方法，由惠特菲尔德·迪菲（Bailey Whitfield Diffie）和马丁·赫尔曼（Martin Edward Hellman）在1976年首次发表。

与迪菲-赫尔曼密钥交换类似，ECDHM的思想是交换双方可以在不共享任何秘密的情况下协商出一个密钥，并将其转化成钱包地址。该地址只会被拥有该密钥的人知道。唯一公开的东西只有可重复使用的地址。因此，用户不用担心交易会被追踪。

在这个过程当中，ECC算法和D-H结合使用，用于密钥磋商。ECC是建立在基于椭圆曲线的离散对数问题上的密码体制，给定椭圆曲线上的一个点P，一个整数k，求解Q=kP很容易；给定一个点P、Q，知道Q=kP，求整数k却是一个难题。ECDHM即建立在此数学难题之上。

基于ECDHM，部分项目发展出了具体方案，例如洋葱币（ONION）使用的Stealth Addresses（隐身地址）、BIP47比特币支付码、BIP75身份管理协议等。这几个具体方案都是基于ECDHM产生一个用于匿名的地址从而保护用户隐私。以洋葱币为例，当你向他人支付ONION时，收款方会生成一个只与付款方共享一个新的钱包地址，付款人将ONION发送到这个新地址中。在区块链中虽然可以查到交易记录，但是也无法知道到底谁在真正收款。

BIP47虽然也是基于ECDHM，但在具体实现上又有所不同，我们会在之后进行介绍。