摘要：畢竟，為什么別人做了錯事，需要你來買單呢于是門羅誕生了。為什么呢記住，當我們說門羅基于系統(tǒng)時，已經(jīng)使得它與比特幣截然不同。

開始之前，給大家介紹一個資源：Monero——基于環(huán)簽名（Ring Signatures）技術(shù)的虛擬貨幣，內(nèi)容更加干練高效，也更拔高。而下面的內(nèi)容則針對的受眾更廣，可能消化的門檻低些 :)。

原文: What is Monero? The Ultimate Beginners Guide

根據(jù) Monero（門羅） 官網(wǎng): Monero 是一個安全，隱私和不可追蹤的加密貨幣。通過使用密碼學中一種特殊的方法，門羅確保了所有交易保持 100% 的不可關聯(lián)和不可追溯性(unlinkable and untraceable)。在一個日益透明的世界，你會明白為什么門羅會被人們所期待。通過本文，我們將會看到門羅背后的機制，到底是什么使它如此特別。

2012 年 7 月，Bytecoin ，CryptoNote 的第一個實現(xiàn)終于問世。CryptoNote 是一個應用層協(xié)議，它支撐了各種去中心化貨幣。盡管在很多方面，它跟比特幣上的應用層很相似，但是兩者仍有很多不同的地方。

盡管 bytecoin 十分有前景，但是人們也注意到發(fā)生了很多負面的事情，并且鑒于它已經(jīng)產(chǎn)出了 80% 的幣。所以，決定將 bytocin 分叉，新鏈上的幣叫做 Bitmonero，最終被重新命名為 Monero（門羅），在世界語（Esperanto）中叫做“coin”，硬幣的意思。門羅的出塊時間為兩分鐘。

譯者注：就在翻譯本文之時，bytecoin 似乎在 GitHub 上有了一個新賬號 bcndev/bytecoin，這個賬號加入 GitHub 的時間為 2018 年 2 月 6 號。原始的 repo 應該是 amjuarez/bytecoin，但好像一直都不太活躍，star 幾百，fork 幾千，也是“器宇不凡”。而 cryptonote 的 repo 為 cryptonotefoundation/cryptonote，也是 fork 自 amjuarez/bytecoin。

門羅由一個 7 人的開發(fā)者團隊領導，其中 5 人匿名，另 2 人已公開。他們是 David Latapie 和 Riccardo Spagni aka “Fluffypony”。項目是開源眾籌的形式進行。

那么，到底是什么使得門羅這么熱門？CrytoNote 算法給了它什么獨特之處？讓我們來看一下。

你對交易有著絕對的控制權(quán)。你為你的錢負責。因為你的身份是私有的（private），沒有人能夠看到你把錢花到了哪兒。

多虧了隱私性，另一個有趣的屬性是它是真的可替換的（fungible）。什么是可替代性（fungibility）？Investopedia 是這么定義的：

“Fungibility is a good or asset’s interchangeability with other individual goods or assets of the same type.”
所謂可替換性，指的是一個商品或資產(chǎn)與其他同類型個體商品或資產(chǎn)的互換性。

那么，什么是可替代的，什么又是不可替代的。

假設你從一個朋友那兒借了 20 美元。如果你還給他另外 20 美元的鈔票，那么沒問題。實際上，你甚至可以還給他一個 10 美元和 2 個 5 美元的鈔票。仍然沒問題。美元有著可替代的屬性（但并非總是如此）。

但是，如果打算周末借某人的車，回來以后還給他另外一輛車，那么他很可能會揍你。實際上，如果你借走一輛紅色寶馬，然后還給他另一輛紅色寶馬，顯然這并不可行。在這個例子中，車并不是一個可替代的資產(chǎn)。

以 bitcoin 為例，它引以為豪的一點就是比特幣是開放的賬本，但是，這也意味著每個人都可以看到里面的每一筆交易，更重要的是，每個人都可以看到交易的蹤跡。簡單來說，如果你擁有一個曾經(jīng)用于某個非法交易的比特幣，比如購買毒品，那么它的交易細節(jié)里面將會永遠有這樣的印記。實際上，這“污染（taint）”了你的比特幣。

在某些比特幣服務提供商和交易所中，這些“被污染”的幣與“干凈的”幣永遠都不會被一視同仁。這就泯滅了可替換性（fungibility），這也是比特幣經(jīng)常為人所詬病的一點。畢竟，為什么別人做了錯事，需要你來買單呢？

于是門羅誕生了。由于所有數(shù)據(jù)和交易都是不公開的，沒有人能夠知道你的門羅幣在之前經(jīng)歷了哪些交易，也無法知道你的門羅幣會用來購買什么。既然交易歷史不會有人知道，自然也就不存在“交易”蹤跡。因此，“被污染”的門羅幣和“干凈的”的門羅幣也就不復存在，所以它們是可替換的！

比特幣的擴展性問題由來已久。簡單來說，比特幣協(xié)議限定了區(qū)塊大小為 1 Mb（譯者注：擴容，BCH 等為后話）。在早期，比特幣并沒有任何區(qū)塊大小的限制，但是后來為了防止垃圾交易，就施加了大小限制。

對于區(qū)塊大小，門羅并沒有任何“預先設定”的限制。這同時也意味著惡意礦工可能會通過超大區(qū)塊堵塞系統(tǒng)。為了防止發(fā)生這種情況，系統(tǒng)有一個區(qū)塊獎勵的懲罰（block reward penalty）。工作方式如下：

首先，最后 100 個區(qū)塊大小的中位數(shù)叫做 M100。假設礦工挖出了一個新的塊，大小記為 NBS（New Block Size）。如果 NBS > M100，那么區(qū)塊獎勵會隨著 NBS 超過 M100 的平方遞減。

也就是說，如果 NBS 大于 M100 [10%, 50%, 80%, 100%]，那么區(qū)塊獎勵隨之減少 [1%, 25%, 64%, 100%]. 通常來說，區(qū)塊大小超過 2 倍的 M100 是不被允許的，同時如果區(qū)塊小于等于 60kb 則會免于任何的區(qū)塊獎勵懲罰。

在正式開始之前，讓我們來明確一點。實際上，門羅不算是嚴格的“ASIC resistant”，但是制作針對門羅的 ASIC 將會成本高昂，以至于不值得如此操作。為什么呢？記住，當我們說門羅基于 CryptoNote 系統(tǒng)時，已經(jīng)使得它與比特幣截然不同。在基于 CtryptoNote 的系統(tǒng)中所用的哈希算法叫做 "CryptoNight"。

創(chuàng)造 Cryptonight 是為了構(gòu)建一個更加公平，更加去中心化的貨幣系統(tǒng)。利用 cryptonight 的加密貨幣無法用 ASIC 挖礦。它的目的是希望可以杜絕出現(xiàn)礦池的出現(xiàn)，并使得貨幣分散地更均勻。

那么，是什么使得 CryptoNight 防 ASIC？（以下內(nèi)容來自monero.stackexchange.com 用戶 user36303 的回答。）

Crytponight 需要 2 MB 的快速內(nèi)存來工作。這意味著并行哈希會被一個芯片可以分配多少內(nèi)存限制，同時保持盡可能地低成本，以免“入不敷出”。2 MB 的內(nèi)存要比 SHA256 電路要耗費多得多的硅。

Cryptonight 是 CPU 和 GPU 友好型，因為它利用了 AES-Ni 指令集。基本上，如果你用的是沒那么老的機器，由 Cryptonight 所完成的一些工作已經(jīng)在硬件層完成。

已經(jīng)有不少說法說，想要把門羅從工作量證明算法切換至“Cuckoo Cycle”（一種不同于工作量證明的哈希）。如果這種切換真的發(fā)生，那么在 R&D 門羅 ASIC 友好型所耗費的所有工作都將付之東流。

門羅最令人費解的一個地方就是它的多重密鑰（multiple keys）。在比特幣和以太坊等等，你只有一個公鑰和一個私鑰。但是，在門羅這樣的系統(tǒng)里，遠不止此。

view key：門羅有一個 public view key 和 private view key。

public view key 用于生成一次性的 stealth public address(隱匿的公開地址)，資金將會通過這個地址發(fā)送給接收者（后面有解釋）。

private view key 用于接收者掃描區(qū)塊鏈來找到發(fā)送給他們的資金。

這是整個過程的概述。

public view key 構(gòu)成門羅地址的第一部分。

spend key： 如果 view key 大多是為了交易接收方，那么 spend key 就是全部有關于發(fā)送方。跟上面一樣，有兩個 spend key：public spend key 和 private spend key。

public spend key 幫助發(fā)送方參與環(huán)交易（ring transaction），并驗證密鑰鏡像(key image)的簽名（后文有介紹）

private spend key 幫助創(chuàng)建密鑰鏡像，密鑰鏡像能夠使得他們能夠發(fā)送交易。

public spend key 構(gòu)成門羅地址第二部分。

門羅地址是一個 95 個字符的字符串，分別由 public spend key 和 public view key 構(gòu)成。

現(xiàn)在可能會有點令人疑惑，不過先記住就好了，這些概念在接下來的幾個章節(jié)會越來越清晰。

門羅涉及了哪些密碼學相關的知識？

每筆交易都有兩邊，一邊是輸入，一邊是輸出。假設 Alice 需要給 Bob 發(fā)送一些比特幣，交易看起來是怎樣的？

為了發(fā)起交易，Alice 需要花費從之前各種交易收到的比特幣。記住，我們之前說過，每個幣都來源于之前的交易。所以，Alice 可以將之前交易的輸出作為新交易的輸入。后面，當我們談到“輸出”時，尤其是在環(huán)簽名（ring signature）一節(jié)，我們指的是將舊交易的輸出成為新交易的輸入。

所以，假設 Alice 需要從下列交易從獲得輸入，比如 TX(0), TX(1) 和 TX(2)。這三筆交易會被一起包含到這筆交易，并有一個交易輸出 TX(Input).

這是從輸入來看，下面讓我們來看一下輸出。

輸出就是 Bob 可以在之后交易花費的錢，也可能會出現(xiàn)找零，找零會返回給 Alice。找零會成為 Alice 未來任意交易的輸入。

這筆交易非常簡單，因為只有一個輸出（除了找零）。其實交易很可能會有多個輸出。

有了公鑰加密以后，比特幣交易才成為可能。為了對它有一個基本的理解，請看下圖：

比特幣用戶首先選擇私鑰，公鑰由私鑰衍生而來。將公鑰進行哈希得到一個公開的地址公布出去。如果 Alice 要給 Bob 發(fā)送 BTC，Alice 直接給 Bob 公開的地址發(fā)送即可。

那么，問題來了。這個地址是公開的！任何人都可以知道這個地址屬于誰，繼而知道他整個的交易歷史，同時知道他有多少比特幣。盡管比特幣作為一個去中心化的加密貨幣非常成功，但是卻不是一個好的隱私貨幣系統(tǒng)。

下圖是門羅團隊給出的“電子現(xiàn)金三角（Electronic cash triangle）”

正如他們所說，一個理想的電子現(xiàn)金應該滿足三個前提：

電子的

去中心化的

隱私的

于門羅，他們會嘗試滿足這三個標準。門羅背后的哲學就是完全隱私和不透明性。

發(fā)送方隱私由環(huán)簽名（Ring Signature）實現(xiàn)。

Ring Signatures(環(huán)簽名)保證了發(fā)送方隱私

Condidential Address(隱匿地址)保證了接收方隱私

Ring CT(Ring Confidential Transaction, 環(huán)隱匿交易)保證了交易隱私

為了理解環(huán)簽名是什么，它是如何保護了發(fā)送者隱私。讓我們從現(xiàn)實生活中的一個案例談起，當你要給某個人發(fā)送支票時，是不要需要簽名？但是，也正因如此，看到這個支票的任何人（和知道你的簽名是什么樣的人）就會知道你就是那個發(fā)送人。

現(xiàn)在，想一下。

假設，你從街上隨機選擇 4 個人。把你的簽名和這四個人進行混合得到一個獨一無二的簽名。這樣就沒有人能夠發(fā)現(xiàn)這是否真的是你的簽名。

這就是環(huán)簽名本質(zhì)上的工作方式。讓我們來看一下門羅里面這個機制到底是怎樣的。

譯者注：環(huán)簽名和混幣（coinjoin）差不多，區(qū)別在于混幣需要信任第三方。更多內(nèi)容可見：What are the technical advantages of Ring Signatures (CryptoNote) compared to CoinJoin?

假設，Alice 發(fā)送 1000 XMR(XMR 即門羅幣) 給 Bob，系統(tǒng)會如何使用環(huán)簽名來隱藏她的身份？

首先，Alice 會確認她的“ring size（環(huán)大小）”。ring size 是取自區(qū)塊鏈的隨機輸出，它等于 Alice 的輸出值，即 1000 XMR。ring size 越大，交易越大，繼而交易費越高。然后，她用 private spend key 對輸出進行簽名，并發(fā)給到區(qū)塊鏈。另一點要注意的是，Alice 不需要向之前交易的所有者發(fā)送請求來使用這些輸出。

那么，假設 Alice 選擇的 ring size 為 5 ，也就是說 4 個 decoy output（誘騙輸出） 和它自己的交易，從外面看起來就像這樣：

在一個環(huán)簽名交易中，任意一個 decoy 就像真實輸出一樣，因為任何不相關的第三方（包括礦工）都無法知道發(fā)送方是誰。

那么，問題來了。

礦工要做的一個重要的事情就是防止“雙花”。雙花就是指在同一時間，同一筆錢出現(xiàn)在兩筆，甚至更多的交易中。雙花被礦工所解決。在一個區(qū)塊鏈中，只有當?shù)V工將交易包含在區(qū)塊并出塊，交易才算完成。

那么，假設 A 打算給 B 發(fā)送一個比特幣，然后它發(fā)送同樣一個幣給 C，礦工會把其中一筆交易放到塊里，并在處理過程中覆蓋另一筆交易，防止雙花。但是，這只有在礦工能夠看到交易輸入是什么，發(fā)送方是誰的時候才行得通。但是在門羅中，由于環(huán)簽名這些都是不可見的。那么要如何防止雙花呢？

答案就在更為精巧的密碼學中。

門羅的每一筆交易都已它自己的唯一的密鑰鏡像（key image）（我們將會在后面看到密鑰鏡像背后的數(shù)學）。鑒于密鑰鏡像對于每個交易都是不同的，礦工就可以非常容易地檢測，判斷是否雙花。

這就是門羅通過環(huán)簽名實現(xiàn)發(fā)送方隱私的方式。接下來，我們會看到門羅如何通過 stealth address（隱匿地址） 保護接收方身份。

門羅的最大一個賣點就是交易的不可關聯(lián)性（unlinkability）。基本上，如果有人發(fā)送給你 200 XMR，應該沒有人知道這筆錢是發(fā)送給你的。如果 Alice 要給 Bob 發(fā)送門羅幣，除了 Alice，應該沒人任何人知道 Bob 就是這筆錢的接收者。

那么，門羅要如何保證 Bob 的隱私？

記住，Bob 有兩個 public key：public view key 和 public send key。為了推進交易，Alice 的錢包會用 Bob 的 public view key 和 public send key 來生成一次性獨一無二的 public key。

下面是一次性 public key （P） 的計算方式：

$$ P = H(rA)G + B $$

其中：

r = Random scalar chosen by Alice. Alice 選取的一個隨機的標量

A = Bob’s public view key. Bob 的 public view key

G = Cryptographic constant. 密碼學常數(shù)

B = Bob’s public spend key. Bob 的 public spend key

H() = The Keccak hashing algorithm used by Monero. 門羅所使用的 Keccak 哈希算法

由這種方法生成一次性公鑰，然后再生成在區(qū)塊鏈里一次性的公開地址，這樣的地址就叫做“stealth address”，Alice 就通過它給 Bob 發(fā)送門羅幣。現(xiàn)在，Bob 要如何從數(shù)據(jù)的隨機分布中解鎖收到的門羅幣呢?

還記不記得 Bob 也有一個 private spend key？

這是該它登場了。private spend key 就是用來幫助 Bob 掃描區(qū)塊鏈找到他的相關交易。當 Bob 找到這筆交易，他可以通過一個 private key 取回他的門羅幣，這個 private key 與一次性的 public key 相關。因此 Alice 付給 Bob 門羅幣，無人知曉。

在繼續(xù)之前，讓我們來回過頭看一下 key image. 如何計算 key image(I)？

我們已經(jīng)知道了如何計算 one-time public key(P)，我們也有了發(fā)送方的 private spend key，比如叫做 “x”

$$ I = xH(P). $$

從 key image "I" 計算出一次性的 public address P 十分困難(這是密碼學哈希函數(shù)的一個屬性，正著算很容易，反推很難)，因此 Alice 的身份永遠也不會暴露。

當 P 被哈希的時候，永遠都會返回同一個值，意味著 H(P) 也總是同一個值。既然 x 的值對于 Alice 來說是個常數(shù)，她也就是永遠也無法生成多個 I 值。這使得 key image 對于每一筆交易都是不同的。

所以，我們已經(jīng)看到消費門羅的人是如何保持匿名性，我們也看到了接收者也保持了匿名。那么交易本身呢？是否有某種方式能夠隱藏交易額本身？

在 Ring CT 實現(xiàn)之前，過去的交易大概是這樣：

如果 Alice 要發(fā)送給 Bob 12.5 XMR，輸出將會被分為 3 筆交易，10，2，0.5. 這些交易的每一筆都會有自己的環(huán)簽名，然后被加入到區(qū)塊鏈：

盡管這確實保證了發(fā)送方的隱私，但是也將交易暴露給了所有人。

為了解決這個問題，基于 Gergory Maxwell 的研究實現(xiàn)了 Ring CT。Ring CT 其實很簡單，它在鏈上隱藏了交易的數(shù)額。這也意味著所有的交易輸入都不需要再被拆分為已知的面額，錢包現(xiàn)在可以從任意的 Ring CT 輸出中選擇 ring 成員。

譯者注：Ring CT 論文：RING CONFIDENTIAL TRANSACTIONS。環(huán)形加密技術(shù)的基礎仍舊是與比特幣一樣的基于Hash值的公鑰+私鑰加解機制。只是比特幣是用接受者的公鑰加密，接受者用與之配對的私鑰解密驗證。而環(huán)形加密則使用了多個公鑰進行加密，并用接受者的私鑰進行解密驗證。見這個答案。

思考一下這是如何有助于交易隱私的？

既然有這么多的選擇挑選 ring ，并且價值未知，也就不可能再看出這到底是哪一筆交易。

這 3 個因素可以一起來創(chuàng)建一個提供完全隱私的系統(tǒng)。但是對于門羅開發(fā)者來說，這還不夠。他們需要另外一層安全保障。

I2P 是一個路由系統(tǒng)，它能夠讓應用秘密地互相發(fā)送信息而無須任何外部干涉。Kovri 是 I2P 的 C++ 實現(xiàn)，它也會被集成到門羅里面。

如果你正在使用門羅，Kovri 將會隱藏你的網(wǎng)絡流量，如此一來，被動的網(wǎng)絡監(jiān)控就根本不會暴露你正在使用門羅。為此，你的所有門羅流量將會被加密并通過 I2P 節(jié)點路由。節(jié)點就像瞎的看門人，它們會知道你的信息通過，但是不知道這些去向哪兒以及信息的具體內(nèi)容。

I2P 和門羅將會很好地共生，因為:

門羅將會多一層防護層

I2P 所使用的節(jié)點數(shù)將會大幅度地提高 post 實現(xiàn)。

Kovri 仍處于開發(fā)階段（截止成文之時），尚未實現(xiàn)。

門羅市值已經(jīng)獲得了巨大增長：

根據(jù) coinmarketcap.com，截止 2018 年 2 月 16 日 17 時 41 分，流通的門羅有 15,726,996 XMR，每個門羅幣價值 1,855.38 CNY，市值 29,179,631,714 CNY，排名 13。

門羅總量為 1840 萬，挖礦獎勵會持續(xù)到 2022 年 5 月 31。之后，系統(tǒng)設定為 0.3 XMR/min 的獎勵。這是為了礦工能過持續(xù)的激勵挖礦，而不僅僅依賴于交易費，畢竟門羅已經(jīng)被挖完了。

存儲門羅最簡單的方式是去 mymonero.com。

Step 1: 點擊 “Create a new account”

Step 2: 將 private login key 記下來

Step 3: 輸入登錄私鑰并獲得地址

完成！

很簡單，是不是？

唯一要注意的是，不要泄露你的私鑰。

如果忘記了私鑰，點擊 Account，然后點擊 "Review Login Key"。

然后就看到私鑰：

So easy!

那么，相互比較是難以避免的，讓我們來看一下它們是如何堆疊的。

比特幣引以為豪的是其開放透明性。區(qū)塊鏈是一個公開賬本，任何人可以在任何地方獲取它，并查看過去所有的交易。比特幣也相對易于獲取和使用。

Lindia Xie 在他的 medium 文章中，已經(jīng)就門羅和比特幣給出了一個很好的比較：

上圖的 makerket cap 已過時，可在 coinmarketcap.com 查看最新市值。

優(yōu)勢：

隱私性最好的幾個加密貨幣之一

交易之間不可聯(lián)系

交易不可跟蹤

區(qū)塊鏈沒有區(qū)塊限制，并且可動態(tài)擴展

即使當門羅的供應耗盡，也會有 0.3 XMR/min 的供應量激勵礦工

經(jīng)濟上已經(jīng)獲得了巨大增長

其透明性實可選的。如果有人想要交易對某些人可見，比如給審計人員查看密鑰。這也使得門羅是可審計的加密貨幣。

有一個非常有能力的強大開發(fā)團隊領導工作

劣勢：

盡管門羅已經(jīng)被設計為防 ASIC 來避免中心化，但是門羅接近 43% 的算力仍然為 3 個礦池所有：

比起其他加密貨幣，由于涉及了很多的加密操作，門羅的交易大小要大得多。

門羅的錢包兼容性不強。事實上，門羅至今沒有硬件錢包（截止成文之時）。

入門有難度，并且尚未被廣泛接納。

因為它并非是基于比特幣的貨幣，門羅面臨的問題是向其中加入一些元素相對更困難。

毫無疑問，未來會更加開放和去中心化，門羅也會因其隱私性而越具吸引力。特別有趣之處在于，它是少數(shù)幾個不是基于比特幣的幣，卻是同時有著真正價值的“潛力股”。對門羅來說，隨著它已經(jīng)經(jīng)歷了驚人的增長，未來依舊光明一片。當實現(xiàn) Kovri 以后，相信一切會變得更加有趣。