1703864187
这是第一个真正意义上的电子货币方案。它虽然有效,但必须要有一个大家信任的中心机构管理运行的服务器。不仅如此,这个服务器还必须参与每笔交易。如果服务器停止工作,交易就不得不暂停。数年之后的1988年,乔姆与两位密码学专家阿莫斯·菲亚特(Amos Fiat)和摩尼·纳欧尔(Moni Naor)合作,提出线下电子货币的概念。乍看上去这似乎是不可行的:如果用户把同一个电子货币支付给两家没有连入同一个网络或与同一家中心机构合作的不同商家,它们怎么能够发现并阻止这种行为呢?
1703864188
1703864189
与其去预防双重支付,不如关注事后当商家重新连上银行服务器的时候如何察觉。这才是比较聪明的做法。乘坐没有网络连接的飞机时,如果你用信用卡消费,真正的转账是在航空公司重新连上网络之后才发生的。如果你的信用卡被拒付,你会欠航空公司(或你的银行)一笔钱。仔细想想,传统金融体系的很大一部分就建立在如何检测错误和损失这一基础之上,然后才是收回损失或惩罚失误方。如果你给某人开一张个人支票,他不会知道这笔钱是否真实存在于你的账户里,但当他去银行兑现时被银行拒绝,他会追究你的责任。类似地,如果线下电子货币系统被广泛应用,国家应该制定相关法律,规定双重支付属于犯罪行为。
1703864190
1703864191
为了检测出双重支付,乔姆、菲亚特和纳欧尔三人提出了一种复杂的加密机制。简而言之,这套机制可以达到以下目的:发行方在电子货币中以加密方式嵌入你的个人信息,除了你本人,包括银行在内的任何人都无法解密。你用电子货币消费时,接收方会随机挑选一部分密码要求你解密,并将之记录下来。这种解密的内容不足以暴露你的身份。如果你用同一份电子货币双重支付,当两个接收方都去银行兑现时,银行可以把两份解密的信息合在一起,最终几乎可以肯定知道你的身份。
1703864192
1703864193
你可能会担心,万一有人陷害我双重支付呢?比如,你支付给我一份电子货币,我不去银行兑现成有我身份加密的新数字货币,而是直接拿着你给的货币进行重复消费。不必担心,这是行不通的,因为我在用它支付时,接收方会要求我解密一段密码,这段密码与之前你解密的那段密码肯定是不一样的,因此,我无法完成这一解密任务。
1703864194
1703864195
多年以来,许多密码学家一直在研究并完善这一机制。在乔姆、菲亚特和纳欧尔提出的构想中,假设一枚电子货币价值100美元,如果你想买一个价格为75美元的物品,你没法把这枚货币分割成75美元和25美元。你只能去银行,把价值100美元的货币兑换成现金,再拿现金换取价值75美元和25美元的货币。但是,在一篇论文里,Tatsuaki Okamoto和KazuoOhta用梅克尔树(Merkle trees)建立了一个可以分割电子货币的系统。梅克尔树在比特币里还会出现,我们将在第1章遇到它。这个机制的效率还有很大的提高空间。特别是,这一机制采用了由史蒂芬·布兰德斯(Stefan Brands)在20世纪90年代,詹·卡姆实(Jan Camenisch)、苏珊·洪博格(Susan Hohenberger)、安娜·莉斯卡亚(Anna Lysyanskaya)在2005提出的“零知识验证”(zero-knowledge proofs),带来了很好的效果。在第6章,我们将看到,零知识验证也同样被运用于比特币体系中。
1703864196
1703864197
继续回到乔姆。为把自己的想法商业化,他于1989年创立数字现金公司(DigiCash),应该是第一家致力于解决线上支付问题的公司。数字现金公司比我们之前提过的第一虚拟公司和网络现金公司早了整整5年。数字现金系统使用的现金叫电子现金,另外,它们还有一个名为“网络资金”(cyberbucks)的系统。包括美国的几家银行和芬兰至少一家银行在内的数家银行,确实使用了这个系统。这可是远在比特币出现之前的20世纪90年代,可能会让一些比特币推崇者大吃一惊,因为他们认为银行是惧怕科技、抵制创新的庞然大物。
1703864198
1703864199
当你需要交易时,你点击一条由资金接收方发回的链接,跳转至数字现金网页,同时,会开通一条反向链接连回你的电脑。也就是说,你的电脑必须能够接收外部链接,就像一台服务器。你需要拥有自己的IP地址,你的网络服务提供商也必须允许外部连接。如果连接成功,电子现金软件会在你的电脑上运用,然后你再批准交易,进行付款。
1703864200
1703864201
乔姆的数字现金技术获得了几项专利,特别是它使用的盲签技术。外界对他的行为是有争议的,因为专利妨碍了其他人用该技术进一步开发电子现金系统。但是几位经常在一个叫“网络朋克”(cyberpunks)的邮件组里互动的密码学专家则另辟蹊径。著名的中本聪(Satoshi Nakamoto)第一次向全世界宣布比特币系统就是在一个邮件组里,它的前身就是网络朋克,这绝非巧合。我们将在第7章探讨网络朋克运动及比特币的起源。
1703864202
1703864203
网络朋克的几位密码学家开发出了一种名叫魔法货币(Magic Money)的类似于电子现金的产品。魔法货币虽然侵犯了电子现金的专利,但因为他们宣称它只用于实验目的,因此并未被禁止。魔法货币是一个很有趣的软件。它采用纯文本界面,你可以通过电子邮件发送交易信息,只需要把交易信息复制粘贴到电子邮件并发送给其他用户就可以了。当然,你需要使用PGP(Pretty Good Privacy,一种加密软件)等终端对终端的电子邮件加密软件,以确保信息在传输过程中的安全。
1703864204
1703864205
随后,本·劳里(Ben Laurie)在其他人的帮助下创立Lucre系统。该系统试图用一种非专利技术替代电子现金中的盲签,其他则与电子现金系统大致类似。
1703864206
1703864207
另外一个由伊恩·戈德堡(Ian Goldberg)提出的方案则试图解决无法分割电子货币换取零钱的问题。他的思路是:当你没有零钱而向商家支付了过多金额时,如果商家有货币,它会转回给你超额支付的部分。但是应该注意到,这一想法带来匿名性问题。如前所述,在电子现金系统里,付款人匿名而商家不匿名。但是当商家找零时,商家实际上成了付款人,因此他们是匿名的。从你收到商家的找零之后,你需要去银行兑现,这时,你又是不匿名的。这一系统无法确保用户的匿名性,因此,伊恩·戈德堡又重新设立了一个系统,在这个系统中有不同类型的货币,能够确保用户在匿名的情况下既能消费又能收到找零。
1703864208
1703864209
为什么数字现金最终失败了呢?主要原因在于它没能说服银行和商家使用它。因为使用这一系统的商家不多,用户也就不愿意用它。更糟的是,它并不或没有支持好用户和用户之间的交易,只侧重于用户和商家之间的交易。因此,商家不接受它,这个系统就很难激发其他人的兴趣。最终,数字现金败给了信用卡公司。
1703864210
1703864211
另外,比特币既支持用户和商家之间的交易,也支持用户和用户之间的交易。事实上,比特币体系并不把用户和商家区别开来。比特币的成功很大部分大概要归功于它对用户-用户间交易的支持。从一开始,每位比特币用户都可以发给其他用户,因而整个比特币社区都努力争取人们对比特币的支持,并促使商家也接受它。
1703864212
1703864213
数字现金公司的最后几年,它试图通过防侵入硬件来预防双重支付,不再把重心放在双重支付发生后的检测上。在这套系统里,有一种叫作钱包或者类似于卡片的设备。这个设备会记录你的账户余额。消费之后,余额减少;充值之后,余额增加。这个设备的用处是,没有人能够更改计数器数额,不管是通过物理手段还是电子技术。因此,当计数器归零时,倘若没有继续充值,用户都无法消费。
1703864214
1703864215
许多公司推出过带有防侵入硬件的电子现金系统。数字现金后来与一家叫CAFE的欧洲公司合作。另一家叫Mondex[1]的电子钱包公司也是基于这个想法创立的,后来被万事达收购。维萨(Visa)也有类似的系统,名为维萨货币(VisaCash)。
1703864216
1703864217
在使用电子钱包时,使用者既持有一张智能卡片,又拥有一个“读卡器”(wallet unit),两者均可进行充值。使用者之间直接可以互相进行支付。支付方将智能卡插入读卡器中,钱即转入读卡器。接受方将卡插入读卡器,钱就转入第二次插入的卡里。这一过程交换的是数字货币,是匿名的交换流程。
1703864218
1703864219
Mondex公司在几个地方推广其技术,其中一个城市正好离我的家乡安大略省圭尔夫市不远。你大概已经猜到,这项技术并没有被广泛使用。主要原因是,电子Mondex卡片跟现金类似,一旦丢失或者被偷,钱也就丢了。更有甚者,如果卡片发生故障,或者读卡器无法读卡,就没法知道卡里余额是多少。这种事情真正发生时,Mondex公司一般会自担损失。它们会假定卡里有余额并赔偿用户损失,这自然是一笔不小的开支。
1703864220
1703864221
此外,这个系统里的钱包反应比较慢。用信用卡或现金支付要快得多。商家都不喜欢拥有太多支付终端,对它们来说,一个信用卡POS机就够了。多重原因加在一起导致了Mondex公司的失败。
1703864222
1703864223
尽管如此,Mondex公司的用户卡是有小芯片的智能卡片,这项技术事实证明是相当成功的。如今,在很多国家,包括我所在的加拿大,每张信用卡和借记卡都采用了智能卡片技术。它们的目的不是防止双重支付。非现金技术中不会存在双重支付的问题,因为银行而不是卡片记录你的账户余额和可用信用。智能卡片的目的是用于认证,也就是说,它为了证明你知道自己账户的PIN。虽然用途不同,早在银行广泛采用该技术之前,Mondex公司就已经开始运用这项技术。
1703864224
1703864225
凭空发行货币
1703864226
1703864227
如果你有一个价值100美元的电子现金,那怎么能够保证它的确价值100美元呢?数字现金给出的答案很简单:要想获得一个价值100美元的电子现金,你必须从你的银行账户取现100美元,交给发行电子现金的银行。但要实现这个目的可以通过不同的方式,不同的公司采取的方法也各不相同。设想一个小概率事件:如果一个政府授权某家银行发行电子货币,凭空创造新电子现金,会怎么样呢?网格现金(NetCash)就是基于这一假设创立的,但是它并未真正实施过。电子黄金(E-Gold)则采用一套完全不同的体系,它在保险库中存入一定量的黄金,根据黄金价格发行电子货币。一家名为数字黄金(Digigold)的公司并不完全依赖黄金,但也有部分黄金储备。
1703864228
1703864229
归根结底,这些方式都是使电子货币的价值随美元或某种特定商品的价值而浮动。如果美元价值上升或下降,你的电子货币价值就相应地上升或下降。另一种比较激进的方案,就是使电子货币自成体系,其他货币不会影响其发行和价值。
1703864230
1703864231
要想创造一种自由浮动并且具有真实价值的虚拟货币,必须要设计出某种具有稀缺性的东西。其实,正是因为黄金和钻石的稀缺性,它们才会成为货币的储备。在虚拟世界,你可以这样设计你的系统,即虚拟货币只有在需要花一段时间解决了一定的数学计算(或“谜题”)之后方可生成,这样就保证了稀缺性。比特币体系中的“挖矿”就是这样的,我们会在第5章详细探讨。
1703864232
1703864233
通过解决数学计算来赋予虚拟货币价值,这一想法并不新鲜。早在1992年,密码学家辛提亚·沃克(Cynthia Dwork)和摩尼·纳欧尔(Moni Naor)首次提出这种方案,用来降低垃圾邮件问题。设想你每次发送邮件时,计算机都不得不花几秒钟的时间解决一道数学计算题目。如果你没能附上题目的答案,收件人的邮箱会自动忽略你发来的邮件。对于普通用户,因为他们发送邮件的频率不高,不会带来太大麻烦。但对于想同时发送成千上万垃圾邮件的人来说,解决大量的数学计算几乎是不可能的。1997年,亚当·贝克(Adam Back)在一个名为哈希现金(Hashcash)的体系中采用过类似设计。
1703864234
1703864235
要想阻止垃圾邮件,这些数学计算必须具备一定的特性。第一,垃圾邮件发送者解出一道题目之后,不能把这个答案附在他发送的其他邮件上。为了做到这一点,每封邮件会对应一个数学计算题目,题目内容取决于发件人、收件人、邮件内容和发送时间。第二,收件人无须重复解题的烦琐过程,就可以轻松地检查发件人附上的答案。第三,题目之间应是相互独立的,也就是说,解决一道题目不会减少解决其他题目所需的时间。第四,随着硬件性能的提升,解决数学计算变得越来越快、越来越容易,收件人必须要调整他们收到的答案的难度。通过密码学中的哈希方程(hash functions)设计的题目可以满足以上要求,我们将在第1章学习它。
1703864236
[
上一页 ]
[ :1.703864187e+09 ]
[
下一页 ]