Главная / Как работает экранирование в Zcash

Как работает экранирование в Zcash

#Новости
15 июля, 2025

Все новости про Zcash в социальной сети «X» (бывший Twitter)  |  Интересные видео про Zcash на YouTube

Автор статьи: Sooraj Sathyanarayanan (02.12.2025) — высокий технический уровень

1. Проблема прозрачности: публичный граф транзакций

Чтобы понять, почему архитектура Zcash в итоге стала необходимостью, сначала нужно рассмотреть утечки данных, которые неизбежно возникают в Биткоине. В протоколе Bitcoin корректность изменений состояния проверяется через повторное воспроизведение всей истории. Когда сети нужно убедиться, что у Алисы действительно есть 1 BTC для расходования, ей требуется увидеть непотраченный выход (UTXO) из предыдущей транзакции.

Визуальная схема модели приватности. Биткоин (слева) делает весь граф транзакций доступным любому наблюдателю. Zcash (справа) прерывает этот граф, направляя средства через непрозрачный защищённый пул.

Благодаря этому блокчейн-обозреватель вроде mempool.space показывает весь транзакционный граф целиком. Стандартная транзакция P2WPKH (Pay-to-Witness-Public-Key-Hash) раскрывает такой набор данных:

Обычная транзакция в сети Биткоина в представлении Mempool.space

// Transaction ID: 7f82...a9b1
{
  "vin": [
    {
      "txid": "3c4a...92d1",
      "vout": 0,
      "prevout": {
        "scriptpubkey_address": "bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh",
        "value": 150000000 // 1.5 BTC (SENDER REVEALED)
      }
    }
  ],
  "vout": [
    {
      "scriptpubkey_address": "bc1qa5wkgauejyd349876q3583k84j38f983j3f98",
      "value": 50000000 // 0.5 BTC (RECEIVER REVEALED)
    },
    {
      "scriptpubkey_address": "bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh",
      "value": 99995000 // 0.99995 BTC (CHANGE OUTPUT & AMOUNT REVEALED)
    }
  ]
}

Утечка данных заключается в том, что любой наблюдатель способен восстановить направленный ациклический граф движения всех средств. Разнообразные эвристики, включая определение сдачи и объединение входов по признаку общего владельца, дают возможность деанонимизировать участников.

Защищённая транзакция Zcash в пуле Orchard работает иначе. Полностью экранированная операция скрывает сам транзакционный граф. Блокчейн-обозреватель может увидеть лишь доказательство с нулевым разглашением и набор «действий», однако адреса и суммы остаются недоступны.

// Transaction ID: 8e91...c4f2
{
  "transparent_inputs": [],
  "transparent_outputs": [],
  "orchard_actions": [
    {
      "nullifier": "28a9...f1d2", // Unique identifier, but unlinkable to previous output
      "commitment": "8b32...e5a1", // Hash of the new note
      "encrypted_note": "a7f3...92b1", // Blob decryptable only by holder of viewing key
      "proof": "0x29a..." // zk-SNARK verifying validity
    }
  ],
  "value_balance": 0 // Net value change is zero (purely shielded transfer)
}

В итоге транзакционный граф оказывается разорванным. Сеть проверяет само криптографическое доказательство, а не содержимое данных.

2. Базовый строительный элемент: доказательства с нулевым разглашением

Основная идея Zcash формулируется просто, хотя её реализация чрезвычайно сложна: подтвердить корректность транзакции, не раскрывая её содержимого.

Протокол применяет zk-SNARKs — краткие неинтерактивные доказательства с нулевым разглашением. Создатель доказательства убеждает проверяющего, что утверждение истинно, а именно что транзакция соответствует правилам консенсуса, при этом не раскрываются данные-свидетели, такие как отправитель, получатель и сумма.

Внутренняя механика устроена так: функция проверки консенсуса преобразуется в арифметическую схему. Когда пользователь создаёт транзакцию, кошелёк формирует доказательство того, что его закрытые входные данные удовлетворяют ограничениям этой схемы (в арифметизации R1CS или PLONKish). Сами входные данные при этом не раскрываются.
Сеть проверяет математическую корректность доказательства, а не фактические детали транзакции.

3. Управление состоянием: коммитменты и нуллификаторы

В Биткоине непотраченные выходы хранятся в открытом реестре. В Zcash такой подход невозможен, потому что сами выходы скрыты. Поэтому используется схема коммитментов и нуллификаторов, которая заменяет модель UTXO двойной системой состояния.

Коммитмент (создание записи / выход)
Когда формируется защищённая «нота», отправитель создаёт коммитмент ноты — криптографический хеш, построенный на основе Pedersen или Sinsemilla. Он связывает воедино три элемента:

  • значение (v)
  • адрес получателя (pk_d)
  • случайную величину, служащую фактором сокрытия (r)

После создания коммитмент добавляется в общее инкрементальное дерево Меркла, а его корень фиксируется в заголовке блока. Сеть получает подтверждение, что средства существуют, однако сама структура дерева не раскрывает их владельцев.

Жизненный цикл защищённой транзакции выглядит так. При создании ноты её коммитмент включается в дерево Меркла. При расходовании zk-SNARK подтверждает право владения, не раскрывая сам коммитмент, а уникальный нуллификатор гарантирует невозможность повторного расходования.

Нуллификатор (трата / вход)

Здесь возникает ключевая трудность. Чтобы потратить ноту, нужно доказать, что вы владеете соответствующим коммитментом в дереве Меркла. Но если указать на этот коммитмент напрямую, вы моментально связываете расходование со своим исходным переводом. Вся модель приватности перестаёт работать.

Решение — нуллификатор (nf), уникальный серийный номер, вычисляемый из секретных параметров ноты. Правила консенсуса проверяют два условия:

Корректность. Предоставляется действительное zk-SNARK-доказательство, подтверждающее знание пути в дереве Меркла к реальному коммитменту и владение приватным ключом.
Уникальность. Этот нуллификатор не должен появляться в сети ранее.

После включения в блок нуллификатор заносится в специальный набор нуллификаторов. Попытка потратить ту же самую ноту приведёт к генерации того же нуллификатора, что вызовет немедленный отказ.
Таким образом, связь между входом и выходом разрывается на криптографическом уровне.

4. Эволюция протокола и криптографические кривые

Хронология обновлений протокола Zcash показывает, как система постепенно перешла от механизмов с доверенной настройкой и высокими вычислительными затратами к полностью недоверенным рекурсивным схемам доказательств.

Zcash прошёл три крупных этапа развития, и каждый из них улучшал скорость работы, уровень безопасности или снижал объём доверия к первоначальным параметрам.

Sprout (2016)

  • Система доказательств: BCTV14 (Libsnark).
  • Настройка: требовалась церемония доверенной настройки, в ходе которой создавалась строка общих параметров (CRS).
  • Ограничения: доказательства генерировались медленно и требовали значительных объёмов памяти; процесс мог занимать гигабайты оперативной памяти.
  • Церемония доверенной настройки. Шесть человек использовали полностью изолированные компьютеры, а источником энтропии служил радиоактивный материал (буквально из Чернобыля). Звучит невероятно, но это подробно описано в официальных протоколах. После завершения процедуры оборудование уничтожили, чтобы исключить возможность использования «токсичных отходов» — параметров, которые теоретически могли бы позволить создавать поддельные монеты.

Sapling (2018)

  • Система доказательств: Groth16.
  • Настройка: потребовалась новая доверенная церемония, состоящая из двух фаз — Powers of Tau и Sapling.
  • Что улучшилось: доказательства стали формироваться значительно быстрее; требования к памяти сократились на порядки; появились технические возможности для аппаратных реализаций и мобильных кошельков.

Orchard (2022)

  • Система доказательств: Halo 2.
  • Криптографические кривые: Pallas и Vesta, образующие цикл кривых.
  • Ключевое изменение: Halo 2 применяет механизм рекурсивной композиции доказательств — то есть создаёт доказательства, которые подтверждают корректность других доказательств. Благодаря этому необходимость в доверенной настройке полностью исчезает. Безопасность протокола теперь основана исключительно на стойкости задачи дискретного логарифма, а не на предположении, что некие секретные параметры были уничтожены надлежащим образом.

5. Практические аспекты, важные для исследователей

Если вы работаете с протоколом Zcash или изучаете его, следует учитывать несколько ключевых моментов.

Файлы параметров.
Для создания транзакций кошелькам необходимо загрузить параметры Zcash — ключи для построения и проверки доказательств. В современных версиях Sapling и Orchard это единоразовая загрузка объёмом около 50–100 МБ.

Пробное расшифрование.
Поскольку содержимое транзакций скрыто, кошелёк не может просто запросить свой баланс. Ему приходится загружать компактные блоки — сжатые данные блоков с зашифрованными нотами — и пытаться расшифровать каждую ноту с помощью входящего просмотрочного ключа. Такой процесс масштабируется линейно по мере увеличения активности сети. Если мобильный кошелёк не открывался несколько месяцев, синхронизация может занять от десяти до тридцати минут.

Турникет.
Представим сбой в криптографической части, который позволяет создать поддельные ZEC внутри защищённого пула. В протоколе предусмотрена страховочная система. Общий объём средств, перешедших из прозрачных адресов в защищённый пул, и общий объём средств, вышедших обратно, остаются публичными. Правила консенсуса исключают возможность вывести больше, чем было внесено. Любые поддельные монеты навсегда остаются внутри пула и не могут попасть в обращение.

6. Метаданные и культура приватности

Криптографическая основа Zcash надёжна, однако поведение пользователей всё ещё может приводить к утечке метаданных.

Атаки по времени.
Если вы получаете 100 ZEC в защищённый пул и почти сразу выводите те же 100 ZEC на другой прозрачный адрес, наблюдатель с высокой вероятностью сочтёт эти события связанными. Совпадение суммы и времени операции делает такую связь очевидной. Наилучшая практика состоит в том, чтобы держать средства в защищённом пуле и использовать прозрачные адреса лишь как точки входа и выхода.

Наборы анонимности и сетевые эвристики.
Распространено заблуждение, будто приватность Zcash определяется количеством активных пользователей, как в миксерах. В действительности набор анонимности в Zcash носит накопительный характер. Поскольку протокол использует глобальное инкрементальное дерево Меркла, любая ваша операция неотличима от любой защищённой ноты, созданной с момента появления пула.

Однако низкая активность сети создаёт почву для анализа трафика. Криптографические данные — суммы и адреса остаются скрыты, но если в конкретный момент вы являетесь единственным участником, совершающим операции, наблюдатель может сопоставить время или сетевую активность с известным платежом. В Zcash «толпа» защищает не сами данные, а момент их передачи.

Ключи просмотра.
Zcash полностью совместим с аудитом. Пользователь может создать ключи просмотра — только для входящих транзакций или полный, которые позволяют третьей стороне видеть историю операций, не получая возможности распоряжаться средствами. Такой механизм подходит для налоговой отчётности, аудита и любых ситуаций, где требуется выборочное раскрытие своей активности.

Завершение

Экранированный Zcash решает задачу, которую долгое время считали невозможной: он позволяет доказать, что у вас есть средства для расходования, не раскрывая, какие именно средства вы используете. За это приходится платить операционной сложностью. Синхронизация занимает больше времени, вычисления становятся тяжелее, и пользователю важно понимать, что именно стоит за понятием «экранированный».

Переход от церемоний Sprout с уничтожением «радиоактивных» параметров к недоверенным рекурсивным доказательствам Orchard показывает, что уровень сложности постепенно снижается. То, что в 2016 году требовало масштабной координации по всему миру, сегодня сводится исключительно к математике.

Криптография выполняет свою задачу. И в отличие от сервисов микширования приватность не требует присутствия большого числа одновременных участников. Набор анонимности уже включает миллионы транзакций, накопленных с момента запуска протокола. Теперь ключевой вопрос заключается не в надёжности математических основ, а в том, сможет ли пользовательский опыт развиться настолько, чтобы такой уровень приватности стал нормой, а не исключением.

Об авторе:

Sooraj Sathyanarayanan — исследователь в сфере безопасности и приватности, сторонник открытого исходного кода и цифровой свободы. Он активно продвигает идеи автономии пользователей и выступает против практик, нарушающих конфиденциальность. С 2022 года публикует материалы о защитных инструментах вроде Proton и Mullvad, анализирует риски цифрового наблюдения и критикует крупные технологические платформы за отношение к приватности. Его стиль сочетает профессиональные комментарии, мемы и лёгкую аниме-эстетику, что делает сложные темы более доступными. Аккаунт привлекает аудиторию, интересующуюся безопасностью, защитой данных и современными инструментами приватности.

из X-сводки

Arborist Call DEX Halo NU5 Orchard PoS PoW Trezor z2z zcashd Zcon ZconVI Zebra ZecWallet ZSA Гранты Доказательства с нулевым разглашением Дорожная карта Инвесторы Конференции Кошельки Кошельки для Zcash Нода Релизы аппаратные кошельки без KYC биржи и обмены биткоин будущее криптовалют внедрение интеграции интервью конфиденциальность криптовалюта криптография Zcash новости Zcash обновление сети объяснения обёрнутые токены оплата ZEC платежи регулирование транзакции унифицированные адреса эмиссия

Метки: ,

Все новости про Zcash в социальной сети «X» (бывший Twitter)  |  Интересные видео про Zcash на YouTube

Вы можете поддержать автора проекта pro.zcash:
(для отправки доната на данный адрес требуется кошелёк с функционалом экранированных транзакций)

автоматическая ссылка

Комментировать статью: