PSE Retreat综合报告

1. 概要

1.1 概述

本报告整合了 2025 年 6 月 PSE 退修会的成果，研究、工程和产品领域的贡献者齐聚一堂，旨在识别、阐明和构建以太坊应用层隐私的主要开放性问题。这并不是我们决定要做（或不做）的详尽清单，而仅仅是对讨论和观察的综合。我们希望这将有助于我们推进 PSE 的路线图。

1.2 主要成果

• 通过深度研究，阐明并探索了八个核心问题群
• 一个由 10 个领域和 29 个类别构成的问题分类法
• 收集了 240 多个用户故事，并将其综合成可操作的开发主题
• 跨部门出现共同挑战，例如信任 UX、密钥管理和身份
• 验证现有研究计划
• 初步优先级排序以及与 EF 范围内的计划保持一致

2. 确定问题范围：范围、限制和方法

2.1 问题范围

以太坊隐私是一个广阔且多方面的领域，可以说与以太坊生态系统本身一样广阔。我们最初的生态系统研究表明，需要战略性地缩小我们的范围，并应用一种针对基金会职权范围量身定制的“问题优先”方法。为了保持专注，在退修期间有意识地排除了一些领域，例如生态系统协调和治理，并在事后添加。

正在进行的 PSE 研究计划，如客户端证明 (CSP)、私有信息检索 (PIR)、可验证的无知伪随机函数 (vORPF)、可验证的全同态加密 (vFHE) 和不可区分的混淆 (IO) 未在问题范围界定阶段进行探讨，但适用于多个问题领域。这项研究的演变影响着我们如何设计隐私协议、预测隐私扩展挑战，以及理解可能最终支撑下一代私有应用程序的密码学原语。

2.2 选择性深度

在身份和私有 RPC 等领域，现有的研究和之前的团队经验能够实现精确的问题定义和清晰的用户故事。相比之下，更广泛的领域，例如私有交易和私有 DeFi，在定义问题空间和识别可操作的用户故事方面都更具挑战性。这些领域揭示了集体知识的差距，并强调了继续研究的必要性。

2.3 问题阐述

为了确保现实世界的需求与技术发展保持一致，我们通过具体的用户故事来确定每个问题领域的基础。这些故事来自退修讨论、先前的研究、退修中的用户测试和领域经验。在接下来的几周内，我们将完善并优先考虑此列表。请参阅我们不断发展的问题驱动的资源分配模型以及用户故事的完整列表此处。

3. 问题分类法：领域和类别概述

下一节详细阐述了每个问题区域的描述。在适当情况下，将探讨需求、要求和潜在解决方案。

3.1 生态系统协调

3.1.1 管理

管理是指将隐私嵌入为以太坊核心价值的文化责任。虽然存在技术工具，但由于缺乏激励、指导或社区规范，许多项目对面向用户的隐私功能投入不足。积极的管理意味着推广最佳实践, 积极审查 EIP、分享隐私指标，并将开发者和用户的思维模式围绕端到端隐私作为默认期望进行调整。

3.1.2 规范

规范定义了核心隐私和身份系统应如何运行的共同期望。以太坊生态系统缺乏身份、钱包 UX 和交易中关键隐私流程的规范，这导致工具不一致和用户体验分散。更清晰的跨领域规范可以帮助确保可组合性并加速标准采用。

3.1.3 标准

标准是正式协议；示例包括 ERC、凭证格式、W3C 和 IETF 草案。它们对于在整个隐私生态系统中实现安全工程实践、合规性要求和机构采用至关重要。需要共同努力协调生态系统，以团结起来支持统一标准，以推动它们通过标准化机构。

3.2 教育

3.2.1 资源与管理

指的是公开可访问的工具、解释器、仪表板和学习材料，这些工具可以帮助开发人员，也可以帮助用户做出明智的选择。目前，在清晰解释密码学原语、其实际应用和相关隐私权衡的材料方面存在明显的差距。对于政府和机构而言，尤其需要针对政策制定者量身定制的结构良好的非技术性文档，涵盖法律框架、监管影响和部署策略。

开发人员和机构在评估工具或选择保护隐私的设计模式时，经常面临决策瘫痪，而对可用选项的了解有限加剧了这种情况。周到的管理可以通过提高知名度并表明哪些工具符合以太坊的隐私价值观来加速采用。

3.3 治理

3.3.1 私人投票

私人投票是指参与者能够在不泄露其选择或身份的情况下进行投票的能力，从而确保其投票无法追踪并受到保护，免受胁迫、报复或贿赂。这需要支持匿名性、可审计性、可撤销投票以及与匿名凭证兼容的协议，而又不影响可用性或可扩展性。

3.3.2 私人委托

委托工作流经常在链上公开，利益相关者表示希望有一种机制，允许在不泄露委托人和受委托人之间链接的情况下委托投票权。系统必须支持可撤销、不可链接且灵活的委托模式，这些模式在当前的 DAO 框架和信任模型中有效，例如升级 ERC20Votes 等代币标准。

3.3.3 DAO 管理

DAO 越来越多地管理敏感操作，例如贡献者权限、提案生命周期和内部决策。当前的工具使这些工作流完全透明，这可能会危及安全性。用户故事强调了对私有多重签名执行、模块化隐私和匿名化管理任务的需求，以将隐私引入核心治理操作中。

3.4 身份 和凭证

本领域指的是允许用户私下颁发、验证和管理其身份的基础设施和密码学机制。虽然数字身份系统随着 zk 封装器和全局 nullifier 的成熟而成熟，但在凭证生命周期的所有阶段确保端到端和永久隐私仍然是未解决的大规模问题。一种真正多元化的身份方法尚未出现，该方法可以适应不同的用例、多个维度、治理模型和去中心化程度。密钥管理问题，特别是恢复和委托、差分隐私分析和威胁建模，与身份密切相关。

3.4.1 颁发

此类别涵盖可验证凭证格式、VCDM、文档和表示身份声明的证明。一个核心挑战是，目前大多数颁发格式和过程都缺乏不可链接性，使用户面临关联风险。为了解决这个问题，必须清楚地阐明信任假设，特别是围绕硬件飞地 (TEE)、颁发者和保证级别。探索的关键领域包括盲签名、盲签名、标准化 zkTLS 证明以及推动采用数字签名。

3.4.2 演示文稿

安全地呈现凭证不仅仅涉及使用 zkps 进行选择性披露。颁发和演示文稿的合理可否认性允许用户令人信服地否认收到或呈现特定凭证。这要求演示文稿无法以加密方式追溯到特定颁发者或演示文稿事件。

在实践中，用户经常需要将来自多个凭证的属性组合成单个证明或会话特定的声明。递归、临时绑定和使用 nullifier 等技术对于实现具有高效链上验证的不可链接、可组合的演示文稿至关重要。

3.4.3 验证

最小化信任验证关注用户如何在保护隐私和保持可用性的同时，向依赖方证明声明。这些流程必须在用户匿名和法律可审计性之间取得平衡，确保数据最小化，而不会进行大规模监视。MPC 或密钥共享解密等方法为有条件透明度提供了潜力，但它们需要新的基础设施和治理模型。形式化验证也可以在确保验证协议满足密码学和监管要求方面发挥关键作用。

3.4.4 撤销

对于过期、错误颁发和泄露的凭证，需要保护隐私的撤销。现有的解决方案包括非包含证明、较短的有效期、公共撤销列表、CRset、位串状态列表，但这些解决方案中的许多解决方案无法扩展以进行国家部署并满足合规性要求。需要一种解决方案，该解决方案需要对颁发者进行最小的更改、持有者的低带宽和低计算要求以及验证者的脱机要求。

3.4.5 信任注册表

信任注册表构成了 SSI 的支柱。当前的法律框架偏向于许可或联盟链（如 EBSI），这不适当且限制了开放式去中心化网络的采用。随着特定于身份的 L2 的兴起，信任注册表的分散只会加剧。我们预计这将阻碍互操作性，类似于通用以太坊 L2，拥有多个身份 L2 会在信任域中产生摩擦。以太坊基金会应在转变政策以承认公共区块链以及开发围绕它们的信任服务和框架方面发挥关键作用。

3.5 密钥管理

密钥管理包括用户如何安全地控制链接到钱包和凭证的密码学密钥。新兴需求包括支持保护隐私的监护或委托解决方案的公钥基础设施 (PKI)、与假名标识符相关的确定性密钥派生以及不依赖于受信任托管人的去中心化私钥存储。大型分布式网络 (例如，在数千个节点之间轮换秘密份额) 中的 FHE 密钥管理也是一个值得探索的领域。

3.5.1 恢复

恢复涉及在设备丢失或泄露时重新获得对钱包或凭证的访问权限。当前的方法（如助记词或社交恢复）可用性差，并引入了新的隐私和信任风险。

3.5.2 轮换

轮换是指随着时间的推移更新密码学密钥，以保持前向保密和安全性。使用隐身地址的密钥轮换尚未得到充分探索，而且很少有应用程序提供端到端的保护隐私的密钥轮换，而无需重新颁发凭证。委托控制（例如，父/子关系或法律/医疗代理）同样服务不足。协议需要支持保护用户连续性的私钥更新，包括对可验证委托和基于角色的控制的支持。

3.5.3 账户抽象

智能账户提供对资产和权限的可编程控制，但这种灵活性可能会以隐私为代价。即使在用户保留自我托管的情况下，委托签名和付款人等机制也可能会向第三方公开敏感的用户行为。未来的帐户抽象框架必须包含具有隐私意识的抽象。私有帐户抽象仍然是一个尚未解决的难题。

3.6 资产管理

以太坊需要像现金一样的转账，这些转账在成本方面是实际的，并且能够在 L1 级别抵御审查。“交易”一词在以太坊上涵盖了广泛的范围，包括资金转账 (ETH、ERC-20、ERC-721/1155)、投票、身份互动等等。在这个广泛的类别中，重要的是区分两个核心隐私需求：

• 数据的私有传输：隐藏交易中涉及的来源、目的地、资产和金额。
• 私有历史记录：随着时间的推移，隐藏用户的交易历史记录、操作和资产关联。

当前解决这些需求的工具通常是孤立的、昂贵的，或者与钱包的集成度很差。与一般的密钥和资产管理挑战也存在显着重叠。基于 MPC 的密钥控制和标准化确定性密钥派生等技术值得进一步探索，以解决这些差距。

3.6.1 交换

交换是指在不泄露交易意图或价值的情况下，将一种资产交换为另一种资产。保护隐私的交换目前高度孤立。如今，大多数交换都容易受到 MEV 提取和第三方监视的影响。

3.6.2 转账

对于日常使用而言，使用隐身地址、一次性密钥和批处理的私有转账仍然过于 UX 复杂且成本相对较高。

3.7 加强安全

安全不是一个独立的功能；它必须融入到每个保护隐私的系统的思维模式、实践和文化中。在 PSE，我们视安全为每个项目的基础，从协议设计到 DevOps 和部署。这包括理解应用程序特定的隐私不变性，对哪些数据必须始终保持私有的不可协商的保证，以及探索诸如差分隐私等技术。加强威胁建模、正式化这些不变性以及采用可验证的隐私保证将提高整个生态系统中安全可靠系统的标准。

3.7.1 安全工程

安全工程是指严格的开发实践，包括对理论和已实施保证的审计和透明文档。编译和比较文件、流程自动化和经过验证的受信任设置贡献的标准程序将有助于协议的可重复性。

3.7.2 威胁建模

有效隐私设计取决于理解威胁形势。许多隐私项目未能清楚地阐明其 威胁模型，这导致用户期望不匹配和未经检查的攻击面。威胁建模应尽早嵌入设计流程中，并与用户、审计员和集成商透明地共享，从而帮助团队将安全保证与现实世界的风险对齐

3.7.3 后量子准备

机构、政府和生态系统合作伙伴越来越要求后量子 (PQ) 安全性。完全 PQ 安全的系统和仅使用 PQ 安全的密码学原语的系统之间，以及 PII 保护和身份验证等用例之间需要明确地区分。以太坊和许多 ZK 协议仍然缺乏为 PQ 准备定义明确的升级路径。即使 PSE 不直接在此处投入资源，保持对新兴的 PQ 兼容原语（如 STARK 和基于格的方案）的认识，对于长期弹性至关重要。

3.7.4 形式化验证

形式化验证涉及从数学上证明软件的行为符合其规范。虽然在 L1 方面取得了重大进展，通过诸如 zkEVM 的形式化验证 等项目，但在将这些技术应用于证明系统、电路、智能合约、客户端证明和应用层协议方面仍然存在明显的差距。扩展整个堆栈的形式化方法对于确保以太坊上构建的保护隐私的技术的安全性（和合规性）至关重要。

3.8 VM 交互

以太坊用户被迫在隐私（运行自己的节点）和实用性（使用 RPC 提供商）之间做出选择。通过查询、行为模式、网络元数据和身份关联从以太坊状态请求重建主体身份（物理或链上）仍然是一个关键的根本隐私漏洞。

3.8.1 排序

排序定义了交易包含在区块中的顺序。它通过 MEV 和抢先交易引入了隐私风险，因为用户意图在执行之前变得可见

3.8.2 状态查询 (已索引)

索引状态查询包括日志、事件数据和代币余额。保护隐私的访问模式分为三种常见方法：

• 可见查询 - 模糊身份：使用网络级隐私工具（例如，Tor、VPN）在显示查询内容时隐藏身份。
• 模糊查询 – 可见身份：诸如私有信息检索 (PIR) 或带有 ORAM 的 TEE 之类的技术向提供商隐藏查询内容。
• 轮换 RPC：在多个提供商之间分配查询，这样没有单个方可以完全了解用户活动。

3.8.3 状态检索

状态检索是指访问原始以太坊状态。EF 协议团队正在努力开发轻客户端、部分状态节点，Portal network(已淘汰) 和无状态性 有助于降低节点要求，从而为私有读取提供更长期的解决方案。

3.9 UX

3.9.1 信任体验

信任 UX 是指用户如何在不同的技术和隐私意识级别上感知隐私工具的安全性、可信度和透明度。用户难以评估工具是否合法、使用是否安全或尊重其数据，这是由于权限不明确、术语不一致以及缺乏可发现性造成的。这会削弱所有用户类型（从普通用户到关注隐私的开发人员）的信心。

3.9.2 证明性能

证明性能是指可以在客户端高效生成零知识证明。当前围绕内存、CPU、zkp 特定的 GPU 加速和带宽的约束使得客户端证明难以扩展以用于实际应用程序。数字身份、私有交易、密钥管理、zkTLS、DeFi 甚至治理都依赖于此。 应用程序开发人员需要标准化的基准和移动优化的库。提高移动证明性能是让以太坊上的私有 Dapp 主流化的关键。

3.10 DX

3.10.1 开发者工具

对于构建保护隐私的应用程序而言，开发者体验 (DX) 仍然是一个主要的瓶颈。核心差距包括可重现的构建、移动友好的库、测试环境和安全地管理密钥、证明和合规性逻辑的生命周期工具。

4. 生态系统研究差距

4.1 客户端证明

如果没有高性能的客户端证明 (CSP) 或私有委托证明，则必须将敏感数据卸载到远程服务器，从而破坏隐私并引入中心化信任依赖关系。使用户能够在本地（在手机、浏览器或低功耗设备上）生成零知识证明对于保护身份、资产和消息传递的端到端隐私和可验证性至关重要。这需要研究快速、内存高效的证明方案、递归和后量子原语的基准。CSP 研究还为 PSE 的关键系统设计选择提供信息，包括下游计划中的证明系统选择和开发策略。

4.2 实用IO

不可区分的混淆 (iO) 是一种密码学原语，允许任何程序都是“不透明的”，因此除了其输入输出行为之外，它不显示任何内容。与面临隐私可扩展性问题的 MPC 或 FHE 不同，iO 提供了一种非交互式的、无需信任的方式来委托安全计算，这就是 Nick Szabo 著名的 "上帝协议"。

最近的突破表明，从标准的密码学假设理论上可以构造 iO。但是，由于功能加密 (FE) 的递归使用，当前的实现仍然不切实际。尽管如此，iO 代表了以太坊隐私的一项长期研究登月计划：它承诺未来的、通用的、具有最小信任假设的私有计算，从而消除中心化或持久委员会的需求。

对于 PSE 而言，支持早期的 iO 研究 可以使我们始终处于可能性的前沿，即使部署还很遥远。

4.3 Plasma Fold

Plasma Fold 是一个 PSE 研究原型，它通过基于折叠的增量证明恢复了 Plasma。每个用户都在本地生成他们自己余额的紧凑累加器证明，该证明足够小，甚至可以在移动设备上进行计算。在链上，仅发布区块根、nullifier 和签名者位图；绝不会泄露有关发送者、接收者或转账金额的任何信息。

由于系统使用 UTXO 格式（本质上是不可链接的），因此添加对隐身输出或加密票据的支持非常简单，从而为完全私有支付提供了可信的途径。这种方法可以通过实际的 gas 成本实现私有转账和隐身批准。初步基准测试表明，Plasma Fold 可以通过折叠证明实现高达每秒 90,000 笔交易。

5. 下一步

在收到领导和顾问的几轮反馈后，下一阶段的工作将侧重于将用户故事转化为可操作的开发、协调和研究工作。

1. 发布并邀请反馈

向生态系统发布 v1 问题图，并征求公众意见以改进优先级。

2. 成立工作组并分配所有权

为高优先级领域创建重点工作组，尤其是那些标记为“EF 应该支持/协调”或“生态系统应该拥有”的领域。分配所有者并开始起草 RFP 或协作范围。

3. 深入范围 Q3/Q4 优先级

将 240 多个故事汇总到开发工作的 epics 中。开始深入确定 PSE 的 Q3/Q4 路线图的范围。

4. 与 EF 范围内的计划协调

与更广泛的以太坊基金会工作（如万亿美元安全性、形式化验证、帐户抽象、资助工作、ecodev 和协议隐私）保持一致，以避免重复。

• 原文链接： hackmd.io/@xzoey/HyR3Oi2...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～