Project Tourbillon ： 势索 CBDC 的隐私、安全完整性和可 <unk> 发展 （ 英 ）

陀飞轮项目 探索CBDC的隐私、安全性和可扩展性 最终报告 2023年11月 1 出版日期：2023年11月 ©BankforInternationalSettlements2023.Allrightsreserved.Briefexcerptsmaybereplicatedortranslatedprovidedthesourceisstated. ISBN978-92-9259-711-5（在线） 陀飞轮项目 首字母缩略词、缩写和定义5 1导言6 2原型11 2.1高级解决方案体系结构11 2.2eCash1.0(EC1)13 2.3eCash2.0(EC2)18 2.4实施和测试设置21 3结果和注意事项22 3.1付款人匿名和其他政策目标23 3.2量子安全密码学23 3.3可扩展性24 3.4隐私和安全权衡26 3.5实施注意事项26 4结论和后续步骤27 参考文献29 附录A：最优面额算法32 附件B：再平衡的序列图34 附件C：威胁模型和信任假设36附录D：量子安全盲签名方案40贡献者41 2 执行摘要 随着数字支付的持续增长，全球范围内的现金使用量正在下降。在过去的十年中，无现金支付的数量以每年16％的速度增长，仅在CPMI国家就有超过一万亿笔交易。1在这种情况下，人们对隐私的潜在侵蚀提出了担忧。2不出所料，各国央行对零售央行数字货币（CBDC）的公开咨询表明，隐私是用户的基本要求。3 隐私是将个人信息保密或只为受信任的一群人所知的权利。这意味着存在不同级别的隐私 。根据加拿大银行等人（2021）的说法，付款可以是（i）保密的，只有受信任的方才能看到个人信息（例如信用卡付款）；（ii）假名，可以使用标识符或公共地址来识别个人（例如比特币交易）；或（iii）匿名，无法识别交易方（例如现金支付）。然而，隐私和数据保护需要与其他公共政策目标相平衡，特别是反洗钱和打击资助恐怖主义（AML/CFT）以及打击逃税 。 Torbillo项目引入了一种新的隐私范式，可以平衡用户需求和公共政策目标：付款人匿名。例如，使用CBDC向商家付款的消费者不会向任何人披露个人信息，包括商家、银行和中央银行。然而,商家的身份被披露给商家的银行(作为支付的一部分),但在那里保密。中央银行没有看到任何个人支付数据，但可以在总体水平上监控CBDC流通。 除隐私外，CBDC还必须满足用户和其他利益相关者（如银行和监管机构）的其他要求以及其自身的公共政策目标。4ProjectTourbillon同时解决了三个功能： 隐私-通过允许付款人匿名； 1见国际清算银行（BIS）支付和市场基础设施委员会（CPMI）红皮书统计数据。BIS每年收集27个CPMI成员辖区的支付和金融市场基础设施的红皮书统计数据。有关更多信息和最新的2021年数据，请参见www.bis.org/statistics/payment_stats.htm。 2见Coy(2022)。 3欧洲央行（2021年）指出，在数字欧元的公众咨询中，有43％的受访者将隐私列为数字欧元最重要的方面，远远领先于安全性等其他功能（18％）。英格兰银行（2023b）指出，在2023年数字英镑公众咨询的50,000名受访者中 ，大多数人对隐私，可编程性和现金减少表示担忧。 4例如，英格兰银行（2023a）强调了英镑数字版本的以下设计重点：隐私，安全性，弹性，性能，可扩展性和能源使用。此外，欧洲央行（2023b）在其第三份报告中补充说，银行必须为最终用户提供离线功能的核心服务，并应提供有条件支付（非可编程货币）。 安全-通过实施量子安全密码学；以及 可扩展性-通过测试原型使用支付数据处理越来越多的交易的能力。 为了评估这三个功能之间的权衡，基于Chaum（1982）描述的eCash设计的两个不同的原型作为Tourbillon项目的一部分：eCash1.0（EC1）5和eCash2.0(EC2)6实现这一点需要细致的校准和精度，很像陀飞轮的内部工作原理——手表中的高精度机械部件。 Torbillo项目表明，实现提供付款人匿名性的设计是可行的。该项目表明，这两个原型都是可扩展的，可以处理越来越多的事务。它还表明可以实现量子安全盲签名，这是一种用于确保匿名的加密技术。然而，实施被证明具有挑战性。量子安全密码学表现出缓慢的性能和有限的功能,与所谓的经典密码学相比,吞吐量减少了200倍,突出了进一步研究和开发的需要。最后，两个原型的比较说明了隐私和安全之间的权衡：EC1提供了无条件的支付者匿名，但EC2具有更有弹性的安全功能，可以更好地防止伪造。 Torbillo项目是在eCashCBDC设计中探索隐私，安全性和可扩展性的第一步。未来的工作可以分为三个方面。首先，进一步开发量子安全密码学，使其更易于实施和部署。其次，增强设计以提高速度和功能，以及涵盖更多的用例。第三，通过探索可持续的商业模式来解决可行性问题 。 5见Chaum等人(2021)。 6见Chaum和Moser(2022)。 首字母缩略词、缩写和定义 AML反洗钱。 BIS国际清算银行。 BISIH国际清算银行创新中心。 盲人签名加密技术中的内容消息在签名之前被遮蔽(盲化)。 CBDC央行数字货币。 CBDC硬币由中央银行签署的数字硬币。 硬币带有序列号的数字文件，尚未（尚未）由中央银行签名。 CFT打击资助恐怖主义。 CNSA商业国家安全算法。 CPMI支付和市场基础设施委员会。 CPU中央处理器。 数字签名对数据进行加密转换的结果，该转换提供了一种用于验证源身份验证，数据完整性和签名人不可否认性的机制。 DLT分布式账本技术。 E2EE端到端加密。 EC1eCash1.0。 EC2eCash2.0。 GPU图形处理单元。 哈希一种单向数学函数，可将任何数字数据转换为固定数量的字母数字字符 KYC了解你的客户。 NIST国家标准与技术研究所。 PoS销售点。 公钥密码学使用公钥-私钥对进行加密和/或数字签名的加密系统。 rCBDC零售CBDC是一种广泛可用的通用CBDC，可供公众用于日常支付 。 RSA加密广泛用于互联网上数据加密的公钥加密类型，以其发明者命名：RonaldRivest，AdiShamir和LeonardAdleman。 RTGS实时总结算。 SIC瑞士银行间清算。 SNB瑞士国家银行。 TPS每秒交易。 wCBDC商业银行和其他金融机构可以使用批发CBDC。 QR代码快速响应代码。 QSC量子安全密码学。 1Introduction 中央银行数字货币（CBDC）是一种数字支付工具，以国家账户单位计价，是中央银行的直接负债（加拿大银行等（2020））。除支付工具外，CBDC系统（或安排）还包括付款人将一定数量的CBDC转移给收款人所需的前端，后端和通信基础设施。 CBDC有两种类型：零售和批发。零售CBDC（rCBDC）是一种广泛可用的通用CBDC ，可供公众使用。另一方面，批发CBDC（wCBDC）仅适用于对货币政策实施，金融稳定和/或支付和结算基础设施的平稳运行具有重要意义的金融机构。7目前，尚未有任何国家全面实施wCBDC，但有11个国家（安圭拉，安提瓜和巴布达，巴哈马，多米尼加，格林纳达，牙买加，蒙特塞拉特，尼日利亚，圣基茨和尼维斯，圣卢西亚和圣文森特和格林纳丁斯）实施了rCBDC，中国正在比许多国家大的几个城市测试数字人民币。8此外，欧洲中央银行（ECB）和英格兰银行（BoE）正在探索数字欧元和数字英镑。 根据司法管辖区的不同，引入CBDC被视为升级国内支付轨道(例如补充现金或加快政府转移)、改善金融包容性、对抗货币替代和/或加强跨境支付的一种方式。但引入CBDC也带来了许多挑战，无论是在持续运营还是对金融体系的影响方面。例如，如果民众用商业银行货币大规模替代中央银行货币，rCBDC可能会导致银行的非中介化。为银行提供更昂贵和更不稳定的资金可能会刺激金融不稳定。 在设计rCBDC时，中央银行需要考虑用户和其他利益相关者（例如银行和监管机构）的要求以及其自身的公共政策目标。这些要求和目标的优先级将确定CBDC和更广泛的CBDC系统设计中包含的最终特征。9例如，英国央行(2023a)强调了英镑数字版本的以下设计优先事项：隐私、安全、弹性、性能、可扩展性和能源使用。此外，欧洲央行(2023b)在其第三份报告中添加了 7为了将wCBDC与金融机构目前以账面记录形式与中央银行持有的即期存款或准备金余额区分开来，通常假设wCBDC 是基于分布式账本技术（DLT）的。 8可以通过大西洋理事会的CBDC跟踪器和路透社对数字人民币的报道来探索推出的零售CBDC。 9加拿大银行等人（2020）将CBDC的功能分为三类：（i）工具功能，例如可兑换性，便利性和接受度；（ii）系统功能，例如网络安全，弹性、即时结算、可用性、可扩展性、吞吐量、隐私性和互操作性；以及(iii)机构特征，如健全的法律框架和遵守标准。 银行必须为最终用户提供离线功能的核心服务，并应提供有条件支付（非可编程货币）。 根据当前技术、政策目标或法律，并非所有要求或目标都可以实现。此外，一些要求和目标可能与其他要求和目标相冲突，因此设计CBDC可能涉及一个要求或政策目标与另一个要求或政策目标之间的权衡。 在打击非法支付的同时实现隐私就是这样一个挑战。隐私是rCBDC的重要用户要求。在欧洲央行（2021年）和Cliffe（2023年）中，大多数受访者都强调了隐私在CBDC中的重要性。然而，个人隐私保护需要与公共政策目标相平衡，特别是反洗钱和打击资助恐怖主义(AML/CFT)和打击逃税。Torbillo项目探讨了三个重要的CBDC系统需求的关系，当前的实时实施，试点和研究都强调了这些需求特别具有挑战性：隐私，安全性和可扩展性。10 隐私 加拿大银行等(2021a)提出三个级别:保密、假名和匿名。 在保密支付中，个人的身份仅由有限的受信任方（例如，参与卡支付的银行或支付系统提供商）知道。 在假名支付中，个人身份是未知的，但可能有标识符或其他信息可用于将支付链接到个人（例如在比特币中）。 匿名是指个人在支付交易中（例如现金）保持不可识别的能力。11 Tourbillon项目引入了付款人的匿名性，以确保发件人的匿名性，同时打击非法付款。 12 10例如，数字欧元项目(ECB2023a)和中国的数字人民币(PBOC2021)都提到隐私、网络安全和可扩展性是需要考虑的重要特征 。数字货币计划总结了这一点，并指出它是“更大的CBDC计划的一部分，该计划将安全性，隐私性和可扩展性方面的技术研究与用户对数字货币系统设计的研究相结合”（DCI）。 11然而，deMontjoye等人（2015）指出，即使是一些匿名支付数据，具有足够的元数据，也可以用于重新识别个人。 12Tourbillon原型无法保护消费者的匿名性免受用户行为或外部工具的侵害。特别是，消费者总是可以选择向商家，银行甚至第三方透露自己的身份。商店中的奖励卡或面部识别软件等外部工具也可以将消费者与付款联系起来。 付款人匿名 付款人匿名在付款中向付款人提供类似现金的匿名性，而不是向收款人提供。例如，使用CBDC向商家付款的消费者不会向任何人披露个人信息，包括商家、银行和中央银行。然而,商家的身份对于付款人是已知的,并且仅向商家的银行(作为支付的一部分)公开,在那里它是保密的。中央银行没有看到任何个人支付数据，但可以在总体水平上监控CBDC流通。 安全 数字支付系统的安全性旨在维护CPMI-IOSCO（2012）概述的支付数据的机密性和完整性。密码学可用于维护支付数据的机密性（提供隐私）和整个支付系统的完整性（防止双重支出或伪造）。实现强大的安全性依赖于安全的加密技术，可以抵御当前和未来