Project Tourbillon ： 势索 CBDC 的隐私、安全完整性和可 发展 （ 英 ）

探索CBDC的隐私、安全性和可扩展性 最终报告2023年11月 出版日期：2023年11月 © Bank for International Settlements 2023. All rights reserved. Brief excerpts may bereplicated or translated provided the source is stated. ISBN 978 - 92 - 9259 - 711 - 5（在线） 首字母缩略词、缩写和定义5 1导言6 2原型11 2.1高级解决方案体系结构112.2 eCash 1.0 (EC1) 132.3 eCash 2.0 (EC2) 182.4实施和测试设置21 3结果和注意事项22 3.1付款人匿名和其他政策目标233.2量子安全密码学233.3可扩展性243.4隐私和安全权衡263.5实施注意事项26 4结论和后续步骤27 参考文献29 附录A：最优面额算法32附件B：再平衡的序列图34附件C：威胁模型和信任假设36附录D：量子安全盲签名方案40贡献者41 随着数字支付的持续增长，全球范围内的现金使用量正在下降。在过去的十年中，无现金支付的数量以每年16％的速度增长，仅在CPMI国家就有超过一万亿笔交易。1在这种情况下，人们对隐私的潜在侵蚀提出了担忧。2不出所料，各国央行对零售央行数字货币（CBDC）的公开咨询表明，隐私是用户的基本要求。3 隐私是将个人信息保密或只为受信任的一群人所知的权利。这意味着存在不同级别的隐私。根据加拿大银行等人（2021）的说法，付款可以是（i）保密的，只有受信任的方才能看到个人信息（例如信用卡付款）；（ii）假名，可以使用标识符或公共地址来识别个人（例如比特币交易）；或（iii）匿名，无法识别交易方（例如现金支付）。然而，隐私和数据保护需要与其他公共政策目标相平衡，特别是反洗钱和打击资助恐怖主义（AML / CFT）以及打击逃税。 Torbillo项目引入了一种新的隐私范式，可以平衡用户需求和公共政策目标：付款人匿名。例如，使用CBDC向商家付款的消费者不会向任何人披露个人信息，包括商家、银行和中央银行。然而,商家的身份被披露给商家的银行(作为支付的一部分),但在那里保密。中央银行没有看到任何个人支付数据，但可以在总体水平上监控CBDC流通。 除隐私外，CBDC还必须满足用户和其他利益相关者（如银行和监管机构）的其他要求以及其自身的公共政策目标。4Project Tourbillon同时解决了三个功能： 隐私-通过允许付款人匿名； 安全-通过实施量子安全密码学；以及可扩展性-通过测试原型使用支付数据处理越来越多的交易的能力。 为了评估这三个功能之间的权衡，基于Chaum（1982）描述的eCash设计的两个不同的原型作为Tourbillon项目的一部分：eCash 1.0（EC1）5和eCash 2.0 (EC2)6实现这一点需要细致的校准和精度，很像陀飞轮的内部工作原理— —手表中的高精度机械部件。 Torbillo项目表明，实现提供付款人匿名性的设计是可行的。该项目表明，这两个原型都是可扩展的，可以处理越来越多的事务。它还表明可以实现量子安全盲签名，这是一种用于确保匿名的加密技术。然而，实施被证明具有挑战性。量子安全密码学表现出缓慢的性能和有限的功能,与所谓的经典密码学相比,吞吐量减少了200倍,突出了进一步研究和开发的需要。最后，两个原型的比较说明了隐私和安全之间的权衡：EC1提供了无条件的支付者匿名，但EC2具有更有弹性的安全功能，可以更好地防止伪造。 Torbillo项目是在eCash CBDC设计中探索隐私，安全性和可扩展性的第一步。未来的工作可以分为三个方面。首先，进一步开发量子安全密码学，使其更易于实施和部署。其次，增强设计以提高速度和功能，以及涵盖更多的用例。第三，通过探索可持续的商业模式来解决可行性问题。 首字母缩略词、缩写和定义 AML反洗钱。BIS国际清算银行。BISIH国际清算银行创新中心。 1 Introduction 中央银行数字货币（CBDC）是一种数字支付工具，以国家账户单位计价，是中央银行的直接负债（加拿大银行等（2020））。除支付工具外，CBDC系统（或安排）还包括付款人将一定数量的CBDC转移给收款人所需的前端，后端和通信基础设施。 CBDC有两种类型：零售和批发。零售CBDC（rCBDC）是一种广泛可用的通用CBDC，可供公众使用。另一方面，批发CBDC（wCBDC）仅适用于对货币政策实施，金融稳定和/或支付和结算基础设施的平稳运行具有重要意义的金融机构。7目前，尚未有任何国家全面实施wCBDC，但有11个国家（安圭拉，安提瓜和巴布达，巴哈马，多米尼加，格林纳达，牙买加，蒙特塞拉特，尼日利亚，圣基茨和尼维斯，圣卢西亚和圣文森特和格林纳丁斯）实施了rCBDC，中国正在比许多国家大的几个城市测试数字人民币。8此外，欧洲中央银行（ECB）和英格兰银行（BoE）正在探索数字欧元和数字英镑。 根据司法管辖区的不同，引入CBDC被视为升级国内支付轨道(例如补充现金或加快政府转移)、改善金融包容性、对抗货币替代和/或加强跨境支付的一种方式。但引入CBDC也带来了许多挑战，无论是在持续运营还是对金融体系的影响方面。例如，如果民众用商业银行货币大规模替代中央银行货币，rCBDC可能会导致银行的非中介化。为银行提供更昂贵和更不稳定的资金可能会刺激金融不稳定。 在设计rCBDC时，中央银行需要考虑用户和其他利益相关者（例如银行和监管机构）的要求以及其自身的公共政策目标。这些要求和目标的优先级将确定CBDC和更广泛的CBDC系统设计中包含的最终特征。9例如，英国央行(2023a)强调了英镑数字版本的以下设计优先事项：隐私、安全、弹性、性能、可扩展性和能源使用。此外，欧洲央行(2023b)在其第三份报告中添加了 银行必须为最终用户提供离线功能的核心服务，并应提供有条件支付（非可编程货币）。 根据当前技术、政策目标或法律，并非所有要求或目标都可以实现。此外，一些要求和目标可能与其他要求和目标相冲突，因此设计CBDC可能涉及一个要求或政策目标与另一个要求或政策目标之间的权衡。 在打击非法支付的同时实现隐私就是这样一个挑战。隐私是rCBDC的重要用户要求。在欧洲央行（2021年）和Cliffe（2023年）中，大多数受访者都强调了隐私在CBDC中的重要性。然而，个人隐私保护需要与公共政策目标相平衡，特别是反洗钱和打击资助恐怖主义(AML /CFT)和打击逃税。Torbillo项目探讨了三个重要的CBDC系统需求的关系，当前的实时实施，试点和研究都强调了这些需求特别具有挑战性：隐私，安全性和可扩展性。10 隐私 加拿大银行等(2021a)提出三个级别:保密、假名和匿名。 在保密支付中，个人的身份仅由有限的受信任方（例如，参与卡支付的银行或支付系统提供商）知道。在假名支付中，个人身份是未知的，但可能有标识符或其他信息可用于将支付链接到个人（例如在比特币中）。匿名是指个人在支付交易中（例如现金）保持不可识别的能力。11Tourbillon项目引入了付款人的匿名性，以确保发件人的匿名性，同时打击非法付款。12 付款人匿名 付款人匿名在付款中向付款人提供类似现金的匿名性，而不是向收款人提供。例如，使用CBDC向商家付款的消费者不会向任何人披露个人信息，包括商家、银行和中央银行。然而,商家的身份对于付款人是已知的,并且仅向商家的银行(作为支付的一部分)公开,在那里它是保密的。中央银行没有看到任何个人支付数据，但可以在总体水平上监控CBDC流通。 安全 数字支付系统的安全性旨在维护CPMI - IOSCO（2012）概述的支付数据的机密性和完整性。密码学可用于维护支付数据的机密性（提供隐私）和整个支付系统的完整性（防止双重支出或伪造）。实现强大的安全性依赖于安全的加密技术，可以抵御当前和未来的网络威胁，例如来自量子计算机的攻击。 可扩展性 可扩展性是指在不影响性能、质量或成本的情况下适应不断变化的需求的能力。在支付系统的背景下，可扩展性是关于确保在高峰和持续需求增加期间的平稳运行。通常,支付系统相对于每周平均值以不同的每日和每周周期运行(如图1所示)。因此，对于支付系统来说，重要的是不仅要快速结算平均支付量，而且还要结算其季节性高峰和持续负荷。 项目目标 The project assesses the degree to which privacy, security and scalability can each be achieved inthe context of two CBDC design proposed by Chaum and Moser (2022). Specifically, the objectiveswere: 隐私-在打击非法付款的同时使付款人匿名；安全-评估量子安全密码学（QSC）的实施；以及，可扩展性-使用支付数据测试原型的可扩展性。 两种设计都基于并扩展了Chaum (1982)提出的eCash设计。13评估是通过为每个设计构建原型，然后分析和测试每个原型的私有性，安全性和可扩展性来完成的。 本报告总结了Tourbillon项目中开展的工作。第2节描述了两个基于eCash的原型及其测试方式。第3节介绍了结果，并讨论了隐私、安全性、可扩展性、权衡和实施考虑因素。第4节最后展望了未来可能的工作。 方框A：量子计算机对密码学的威胁 量子计算利用了量子力学的原理，它允许系统不仅存在于零或一种状态，而且存在于两种状态的组合中（舒马赫1995年）。这种特性被称为叠加，使量子计算机能够比经典计算机更快地解决某些计算问题。这种计算可能带来许多好处，但也构成威胁。 量子计算机对信息安全的威胁在于它们打破非对称密码学(CNSS 2015)的潜在能力，例如基于RSA的加密(Rivest等人1978)、Diffie - Hellman密钥交换和数字签名。这些加密方案保护当今的大部分数字基础设施和通信系统（图A.1）。如果实现了这种威胁，则可能导致数据泄露和对所有数字系统（包括金融系统）的严重信任丧失。 量子计算机仍处于研发阶段，在实现广泛应用之前，还有许多技术挑战需要克服。然而，尽快研究、实现和部署抗量子算法非常重要。 Tourbillon项目使用两种方法来实现量子抵抗。首先，它使用量子计算机无法破坏的哈希函数。哈希函数是密码学中最基本的原始函数。如果哈希函数曾经被破坏，它将由于硬度假设而拆除所有密码学。试图反转哈希函数就像试图解密鸡蛋。 其次，Torbillo项目实现了Belles等人（2023）中描述的基于晶格的盲签名方案。基于晶格的密码学是一 种 潜 在 的 抗 量 子 方 法 ， 用 于NIST标 准 化 的 量 子 安 全 方 案 ， 即CRYSTALS - Kyber和CRYSTALS -Dilithim，但针对盲签名进行了定制。它依赖于量子计算机的晶格问题的硬度，并被优化用于智能手机等资源有限的设备。 密码学和量子电阻图A.1 2原型 本节介绍了作为Project Tourbillon的一部分构建的两个原型：EC114andEC2.15,16它首先是一个高级解决方案架构，然后是对EC1和EC2的深入技术解释，包括工作流程，最后讨论了实现和测试设置。 该项目侧重于通过移动应用程序进行的消费者对商家支付。17对其他用例的扩展，例如对等支付，原则上是简单的。但是，为了简单起见，不在本项目的范围内。 2.1高级解决方案体系结构 两种原型都利用了现有的双层银行系统，并涉及四个方面：中央银行，商业银行（或简称为银行），消费者和商人（图2）。消费者和商人在银行有存款账户，银行在中央银行有准备金账户。 消费者和商家最初必须由银行上线，以确保满足了解您的客户(KYC