陀飞轮项目探索 CBDC 的隐私、安全性和可扩展性最终报告2023 年 11 月1 出版日期 ： 2023 年 11 月© Bank for International Settlements 2023. All rights reserved. Brief excerpts may be replicated or translated provided the source is stated.ISBN 978 - 92 - 9259 - 711 - 5 （ 在线 ） 陀飞轮项目首字母缩略词、缩写和定义 51导言 62原型 112.1高级解决方案体系结构 112.2 eCash 1.0 (EC1) 132.3 eCash 2.0 (EC2) 182.4 实施和测试设置 213结果和注意事项 223.1付款人匿名和其他政策目标 233.2量子安全密码学 233.3可扩展性 243.4隐私和安全权衡 263.5实施注意事项 264结论和后续步骤 27参考文献 29附录 A ： 最优面额算法 32附件 B ： 再平衡的序列图 34附件 C ： 威胁模型和信任假设 36附录 D ： 量子安全盲签名方案 40贡献者 412 陀飞轮项目3执行摘要随着数字支付的持续增长 ， 全球范围内的现金使用量正在下降。在过去的十年中 ， 无现金支付的数量以每年 16 ％ 的速度增长 ， 仅在 CPMI 国家就有超过一万亿笔交易。1在这种情况下 ， 人们对隐私的潜在侵蚀提出了担忧。2不出所料 ， 各国央行对零售央行数字货币 （ CBDC ） 的公开咨询表明 ， 隐私是用户的基本要求。3隐私是将个人信息保密或只为受信任的一群人所知的权利。这意味着存在不同级别的隐私。根据加拿大银行等人 （ 2021 ） 的说法，付款可以是 （ i ） 保密的，只有受信任的方才能看到个人信息 （ 例如信用卡付款 ） ； （ ii ） 假名，可以使用标识符或公共地址来识别个人 （ 例如比特币交易 ） ； 或 （ iii ） 匿名，无法识别交易方 （ 例如现金支付 ） 。然而，隐私和数据保护需要与其他公共政策目标相平衡，特别是反洗钱和打击资助恐怖主义 （ AML / CFT ） 以及打击逃税。Torbillo 项目引入了一种新的隐私范式，可以平衡用户需求和公共政策目标 ： 付款人匿名。例如，使用 CBDC 向商家付款的消费者不会向任何人披露个人信息，包括商家、银行和中央银行。然而, 商家的身份被披露给商家的银行 (作为支付的一部分), 但在那里保密。中央银行没有看到任何个人支付数据，但可以在总体水平上监控 CBDC 流通。除隐私外 ， CBDC 还必须满足用户和其他利益相关者 （ 如银行和监管机构 ） 的其他要求以及其自身的公共政策目标。4Project Tourbillon 同时解决了三个功能 ：隐私- 通过允许付款人匿名 ；1见国际清算银行 （ BIS ） 支付和市场基础设施委员会 （ CPMI ） 红皮书统计数据。 BIS 每年收集 27 个 CPMI 成员辖区的支付和金融市场基础设施的红皮书统计数据。有关更多信息和最新的 2021 年数据 ， 请参见 www. bis. org / statistics / payment _ stats. htm 。2见 Coy (2022) 。3欧洲央行 （ 2021 年 ） 指出，在数字欧元的公众咨询中，有 43 ％ 的受访者将隐私列为数字欧元最重要的方面，远远领先于安全性等其他功能 （ 18 ％ ） 。英格兰银行 （ 2023b ） 指出，在 2023 年数字英镑公众咨询的 50, 000 名受访者中，大多数人对隐私，可编程性和现金减少表示担忧。4例如，英格兰银行 （ 2023a ） 强调了英镑数字版本的以下设计重点 ： 隐私，安全性，弹性，性能，可扩展性和能源使用。此外，欧洲央行 （ 2023b ） 在其第三份报告中补充说，银行必须为最终用户提供离线功能的核心服务，并应提供有条件支付 （ 非可编程货币 ） 。 陀飞轮项目4安全- 通过实施量子安全密码学 ； 以及可扩展性- 通过测试原型使用支付数据处理越来越多的交易的能力。为了评估这三个功能之间的权衡 ， 基于 Chaum （ 1982 ） 描述的 eCash 设计的两个不同的原型作为 Tourbillon 项目的一部分 ： eCash 1.0 （ EC1 ）5 和 eCash 2.0 (EC2)6实现这一点需要细致的校准和精度 ， 很像陀飞轮的内部工作原理 — — 手表中的高精度机械部件。Torbillo 项目表明，实现提供付款人匿名性的设计是可行的。该项目表明，这两个原型都是可扩展的，可以处理越来越多的事务。它还表明可以实现量子安全盲签名，这是一种用于确保匿名的加密技术。然而，实施被证明具有挑战性。量子安全密码学表现出缓慢的性能和有限的功能, 与所谓的经典密码学相比, 吞吐量减少了 200 倍, 突出了进一步研究和开发的需要。最后，两个原型的比较说明了隐私和安全之间的权衡 ： EC1 提供了无条件的支付者匿名，但 EC2 具有更有弹性的安全功能，可以更好地防止伪造。Torbillo 项目是在 eCash CBDC 设计中探索隐私，安全性和可扩展性的第一步。未来的工作可以分为三个方面。首先，进一步开发量子安全密码学，使其更易于实施和部署。其次，增强设计以提高速度和功能，以及涵盖更多的用例。第三，通过探索可持续的商业模式来解决可行性问题。5见 Chaum 等人 (2021) 。6见 Chaum 和 Moser (2022) 。 陀飞轮项目5首字母缩略词、缩写和定义AML反洗钱。BIS国际清算银行。BISIH国际清算银行创新中心。盲人签名加密技术中的内容消息在签名之前被遮蔽 (盲化) 。CBDC央行数字货币。CBDC硬币由中央银行签署的数字硬币。硬币带有序列号的数字文件 ， 尚未 （ 尚未 ） 由中央银行签名。CFT打击资助恐怖主义。CNSA商业国家安全算法。CPMI支付和市场基础设施委员会。CPU中央处理器。数字签名对数据进行加密转换的结果 ， 该转换提供了一种用于验证源身份验证 ， 数据完整性和签名人不可否认性的机制。DLT分布式账本技术。E2EE端到端加密。EC1eCash 1.0 。EC2eCash 2.0 。GPU图形处理单元。哈希一种单向数学函数 ， 可将任何数字数据转换为固定数量的字母数字字符KYC了解你的客户。NIST国家标准与技术研究所。PoS销售点。公钥密码学使用公钥 - 私钥对进行加密和 / 或数字签名的加密系统。rCBDC零售 CBDC 是一种广泛可用的通用 CBDC ， 可供公众用于日常支付。RSA 加密广泛用于互联网上数据加密的公钥加密类型 ， 以其发明者命名 ： Ronald Rivest ， Adi Shamir 和 Leonard Adleman 。RTGS实时总结算。SIC瑞士银行间清算。SNB瑞士国家银行。TPS每秒交易。wCBDC商业银行和其他金融机构可以使用批发 CBDC 。QR代码快速响应代码。QSC量子安全密码学。 陀飞轮项目61 Introduction中央银行数字货币 （ CBDC ） 是一种数字支付工具 ， 以国家账户单位计价 ， 是中央银行的直接负债 （ 加拿大银行等 （ 2020 ） ） 。除支付工具外 ， CBDC 系统 （ 或安排 ） 还包括付款人将一定数量的 CBDC 转移给收款人所需的前端 ， 后端和通信基础设施。CBDC 有两种类型 ： 零售和批发。零售 CBDC （ rCBDC ） 是一种广泛可用的通用 CBDC ， 可供公众使用。另一方面 ， 批发 CBDC （ wCBDC ） 仅适用于对货币政策实施 ， 金融稳定和 / 或支付和结算基础设施的平稳运行具有重要意义的金融机构。7目前 ， 尚未有任何国家全面实施 wCBDC ， 但有 11 个国家 （ 安圭拉 ， 安提瓜和巴布达 ， 巴哈马 ， 多米尼加 ， 格林纳达 ， 牙买加 ， 蒙特塞拉特 ， 尼日利亚 ， 圣基茨和尼维斯 ， 圣卢西亚和圣文森特和格林纳丁斯 ） 实施了 rCBDC ， 中国正在比许多国家大的几个城市测试数字人民币。8此外 ， 欧洲中央银行 （ ECB ） 和英格兰银行 （ BoE ） 正在探索数字欧元和数字英镑。根据司法管辖区的不同，引入 CBDC 被视为升级国内支付轨道 (例如补充现金或加快政府转移) 、改善金融包容性、对抗货币替代和 / 或加强跨境支付的一种方式。但引入 CBDC 也带来了许多挑战，无论是在持续运营还是对金融体系的影响方面。例如，如果民众用商业银行货币大规模替代中央银行货币，rCBDC 可能会导致银行的非中介化。为银行提供更昂贵和更不稳定的资金可能会刺激金融不稳定。在设计 rCBDC 时 ， 中央银行需要考虑用户和其他利益相关者 （ 例如银行和监管机构 ） 的要求以及其自身的公共政策目标。这些要求和目标的优先级将确定 CBDC 和更广泛的 CBDC 系统设计中包含的最终特征。9例如 ， 英国央行 (2023a) 强调了英镑数字版本的以下设计优先事项 ： 隐私、安全、弹性、性能、可扩展性和能源使用。此外 ， 欧洲央行 (2023b) 在其第三份报告中添加了7为了将 wCBDC 与金融机构目前以账面记录形式与中央银行持有的即期存款或准备金余额区分开来 ， 通常假设 wCBDC 是基于分布式账本技术 （ DLT ） 的。8可以通过大西洋理事会的 CBDC 跟踪器和路透社对数字人民币的报道来探索推出的零售 CBDC 。9加拿大银行等人 （ 2020 ） 将 CBDC 的功能分为三类 ： （ i ） 工具功能，例如可兑换性，便利性和接受度 ； （ ii ） 系统功能，例如网络安全 ，弹性、即时结算、可用性、可扩展性、吞吐量、隐私性和互操作性 ； 以及 (iii) 机构特征，如健全的法律框架和遵守标准。 陀飞轮项目7银行必须为最终用户提供离线功能的核心服务 ， 并应提供有条件支付 （ 非可编程货币 ） 。根据当前技术、政策目标或法律 ， 并非所有要求或目标都可以实现。此外 ， 一些要求和目标可能与其他要求和目标相冲突 ， 因此设计 CBDC 可能涉及一个要求或政策目标与另一个要求或政策目标之间的权衡。在打击非法支付的同时实现隐私就是这样一个挑战。隐私是 rCBDC 的重要用户要求。在欧洲央行 （ 2021 年 ） 和 Cliffe （ 2023 年 ） 中，大多数受访者都强调了隐私在 CBDC 中的重要性。然而，个人隐私保护需要与公共政策目标相平衡，特别是反洗钱和打击资助恐怖主义 (AML / CFT) 和打击逃税。Torbillo 项目探讨了三个重要的 CBDC 系统需求的关系，当前的实时实施，试点和研究都强调了这些需求特别具有挑战性 ： 隐私，安全性和可扩展性。10隐私加拿大银行等 (2021a) 提出三个级别: 保密、假名和匿名。在保密支付中 ， 个人的身份仅由有限的受信任方 （ 例如 ， 参与卡支付的银行或支付系统提供商 ） 知道。在假名支付中 ， 个人身份是未知的 ， 但可能有标识符或其他信息可用于将支付链接到个人 （ 例如在比特币中 ） 。匿名是指个人在支付交易中 （ 例如现金 ） 保持不可识别的能力。11Tourbillon 项目引入了付款人的匿名性 ， 以确保发件人的匿名性 ， 同时打击非法付款。1210例如，数字欧元项目 (ECB 2023a) 和中国的数字人民币 (PBOC 2021) 都提到隐私、网络安全和可扩展性是需要考虑的重要特征。数字货币计划总结了这一点，并指出它是 “更大的 CBDC 计划的一部分，该计划将安全性，隐私性和可扩展性方面的技术研究与用户对数字货币系统设计的研究相结合 ” （ DCI ） 。11 然而 ， de Montjoye 等人 （ 2015 ） 指出 ， 即使是一些匿名支付数据 ， 具有足够的元数据 ， 也可以用于重新识别个人。12Tourbil