ZCash、比特币和中央银行数字货币

01

从比特币开始

直接说明ZCash的交易过程可能更抽象。 为了帮助理解，我们不妨先分析一下比特币，做个铺垫。

演示场景：Alice 转给 Bob 1 个比特币。

在转账之前，Alice 需要提前准备好 1 个比特币。 为了方便理解，我们把爱丽丝要转出的1个比特币看成一张面额为1个比特币的“钞票”。

从这个“笔记”中，我们可以得到以下信息：

1. Alice 确实拥有 1 BTC。

2. Alice使用私钥对票据进行签名，证明Alice有权转移资产。

票据的面额和转让权已经明确，爱丽丝可以转账给鲍勃。 传输的原理很简单。 就是为 Bob 创建一个新的“票据”，以证明 Bob 拥有 1 个比特币。 同时，撕掉爱丽丝手中的“字条”。 注意，这里的撕裂是指放弃资产的所有权，并不是真正销毁对应的比特币。 通过这种“旧”和“新”的方式，实现资产所有权。 转移。

上面的逻辑其实也不难理解，因为和日常生活中的银行转账是一样的。 通过银行转账，我们在交易时不需要转移实物货币，而是以银行记账的形式实现“资产所有权”的转移。 比特币交易的过程本质上是一个“资产所有权”的转移过程。 转让比特币的一方“创造”了新的资产所有权，而转让方需要放弃原有的资产所有权，花掉的资产不能再花掉。

02

ZCash的转账原理

与比特币一样，ZCash 的交易过程也是“资产所有权”的转移。 继续用前面的“音符”类比。

演示场景：Alice 转给 Bob 1 ZEC。

在转账之前，爱丽丝创建了一个面额为 1 ZEC 的“票据”。

可以从此凭证获得的信息：

1. Alice 确实拥有 1 ZEC。

2. Alice使用私钥对票据进行签名比特币有实物硬币吗，证明Alice有权转移资产。

3、这张“证件”上多了一串随机数，用符号r表示。 这串随机数就像一个“音符码”，用来唯一标识音符。 爱丽丝的“笔记代码”是 r1。 弄清楚以上信息后，Alice 就可以转账 ZEC 了。

第一步：

和比特币一样，你必须先为 Bob 创建一个“笔记”。 Bob 的注释代码 (r2) 与 Alice 的注释代码 (r1) 不同。

第二步：

当新的“资产所有权”产生时，就需要想办法销毁原有的“资产所有权”。 也就是说，我们必须想办法让爱丽丝手中的“纸条”失效。 与比特币简单粗暴的“直接撕”不同，ZCash采用“作废票据”的方式来达到同样的效果。 你怎么理解的？ 就是在原来的“票据”上不做任何处理，建立作废单据清单，录入需要作废的“发票代码”。

1个

从上图可以看出，原来Alice持有的那张纸条还保存着，并没有消失，只是这张纸条已经记录在“作废列表”中了。 在确定资产权属时，需要同时阅读两个列表的信息。 判断Bob对资产所有权的判断方法是：Bob持有的“note”代码不存在于失效列表中。

但是为什么要这样设计呢？ 其实这样设计的目的就是为了在交易过程中使用“零知识证明”。

03

零知识证明

我们再回顾一下比特币和ZCash的例子。

Alice 想转给 Bob 一单位的数字货币（BTC/ZEC），即 Alice 想转给 Bob 一单位的资产所有权。 这时候有两种方法：

1. 在比特币中是如何完成的

Alice 有一张 1BTC 的纸币，当她想转账给 Bob 时，她先为 Bob 创建一张 1BTC 的纸币，同时当着 Bob 的面撕掉她原来的纸币。

2. ZCash的做法

爱丽丝有一张 1ZEC 的纸币。 在给Bob转账时比特币有实物硬币吗，先为Bob创建一张1ZEC的票据，然后在一个有效的失效列表中记录Alice的发票编号，以证明Alice的票据已经过期。

ZCash 的方法属于零知识证明。 在整个交易过程中，Bob 并没有看到 Alice 的 note，但是还是实现了资产所有权的转移。 在 ZCash 的整个交易体系中，Alice 和 Bob 之间的交易还有其他见证人，即负责记录交易信息的矿工。 同理，矿工不需要看到Alice的纸币，只要能确认代号为r1的纸币已经作废即可。

04

ZCash完整的匿名交易系统

有了上面的铺垫，ZCash的匿名交易过程就可以得到进一步的解释。

还是一样的例子：Alice 转 1 ZEC 给 Bob。 本例涉及的角色是转账方Alice和Bob，记账人（矿工）。

首先，Alice 和 Bob 都有一张纸条。

两个“注释”都是有效的。 Alice 的笔记从一开始就存在于整个 ZCash 网络中，Bob 的笔记产生后也会向全网广播。

为了隐藏交易者的信息，这两张票据必须加密。 全网存在的“笔记”其实就是笔记的消息摘要（hash）。

这些信息是加密的，在爱丽丝和鲍勃以外的人看来，它只是随机数。

同时，因为资产只能有一份，所以所有矿工手里还有一份作废的清单。 爱丽丝想同时广播她的“发票代码”并将其输入失效列表。 发票代码也被加密。 所以矿工能看到的信息其实是这样的。 其中，Alice的note之前就已经存在，Alice的note code r1和Bob的note是Alice在交易过程中广播的。

矿工可以获得的信息是相当有限的，但这并不影响矿工对交易有效性的判断。

判断逻辑很简单：矿工拿到Alice给的note code r1，在失效列表中查找。 如果r1已经存在于失效列表中，则证明r1对应的票据已经失效； 如果失效列表中不存在r1，则证明r1对应的票据仍然有效。 此时，矿工将r1加入废弃列表，将新生成的笔记加入笔记列表。 因此，记账的过程就是将原来的票据登记作废，存入现有票据的过程。

在这个过程中不难发现，矿工每笔交易能收到的只有发票代码和新发票，而这两个东西是加密的。 因此，矿工不知道转账的双方是谁，也不知道转账金额是多少。

让我们回顾一下爱丽丝做了什么：

1、随机选择一个新的票据编号r2，定义一个新的note2 secret，通过复杂的密钥加密系统发送给bob。

2. 向全网广播nf1=hash(r1)。

3. 向全网广播新note2的hash。

在这个过程中，我们发现我们只验证了note1没有被花费，而没有办法验证alice对note1的所有权。 我们连note1的真伪都没查过。 这就是零知识证明可以提供保护的地方。

1个

零知识证明需要证明一般的计算问题，也就是所谓的等式。 在上述过程中，我们需要证明以下三个方程：

1、note1的hash在该节点的hash列表中（即alice生成hash的等式与对应的明文）

2.Alice有对应的私钥，即私钥生成公钥的方程式

3、r1的hash就是广播出来的nf1（即alice用r1生成nf1的hash等式）

05

DCEP的技术特点

上面我们谈到了比特币和ZCash转账过程的技术架构，那么央行即将推出的数字货币DCEP的技术架构是怎样的呢？ 在技​​术架构上，DCEP做了非常大胆的尝试。 央行定义的技术架构是“无架构”。 通过两层运营，商​​业机构将开发自己的钱包系统。 至于商业机构是否使用区块链，是否去中心化不是限制条件。 只要满足央行要求的用户体验，央行就会提供底层支持，最终市场会推动整个系统逐步走向最适合落地的形态。 由于尚未正式上线，DCEP的隐私性能和交易效率尚不明朗。 我们还不知道这是良性竞争还是垄断。

06

NewSpir​​al的零知识证明

南京金宁汇开发的NewSpir​​al是联盟链的底层平台。 我们为数字货币提供双向锚定方案。 用户未来可以自主选择锚定币种（如DCEP），实现联盟链中的价值传递。 让联盟链的落地场景更加丰富。

同时，针对ZCash零知识证明密钥系统过于复杂、不利于使用、效率低下的问题，NewSpir​​al通过长连接的方式在P2P网络中提供秘密传输通道，同时，由于CA组织的介入，易用性也大大提高。 增强。 在实现高效价值传递的同时，有效保护双方的身份和隐私，特别适用于多方需要相互合作但又无法相互信任的场景。 相信NewSpir​​al会成为联盟链落地的典范。 数字货币实现了NewSpir​​al的价值传递，NewSpir​​al为数字货币在工业化场景中的使用提供了环境。