Platypus 一种集中式的央行数字货币方案

集中式的CBDC，混合使用账户模型和UTXO模型。

角色分类

中央银行：发行货币，交易验证，公开交易日志，防止双花。

• 不是完全受信任的，假定为会遵守监管要求，但可能会破坏交易隐私，即获取交易信息（交易价值以及交易双方信息）。
• 持有公私钥对$(s{k}_C,p{k}_C)$，用于签名用户账户状态承诺。

监管者：发行证书，执行监管需求，如AML（反洗钱）。
用户：作为交易双方，维护自己的账户状态。

• 持有公私钥对$(s{k}_U,p{k}_U)$

基本交易流程

账户由三部分组成，账户状态$stat{e}_i$，金额$ba{l}_i$，序列号$seria{l}_i$
假设交易双方为A、B

1. Transaction Initiation：发送方A更新自己账户，并发送一共6部分内容，
   1. $v_{Tx}$：交易金额。
   2. $blin{d}_{Tx}$：随机盲因子，用于生成承诺。
   3. $com{m}_{Tx}$：交易承诺，$com{m}_{Tx}=comm(v_{Tx},blin{d}_{Tx})$。
   4. $seria{l}_i^A$：旧状态的序列号。
   5. $stat{e}_{i+1}^A$：新账户状态，基于以前的账户状态，通过伪随机生成的序列号$seria{l}_{i+1}^A$和新的账户余额$ba{l}_{i+1}^A=ba{l}_i^A-v_{Tx}$生成。
   6. $zk{p}_{i+1}^A$：零知识证明，证明自己完全遵循上述步骤。
2. Transaction Completion：接收方B更新自己账户，拿到信息后，和A一样计算自己的新账户状态，和相应的零知识证明，证明自己账户遵循合理步骤，账户相比之前的状态正好增加了对应金额。然后发送以下给央行。
3. $com{m}_{Tx}$：交易承诺。
4. $(seria{l}_i^A,seria{l}_i^B）$：交易双方的旧帐户序列号。
5. $(stat{e}_{i+1}^A,stat{e}_{i+1}^B)$：交易双方的新账户状态。
6. $(zk{p}_{i+1}^A,zk{p}_{i+1}^B)$：交易双方的零知识证明。
7. Transaction Execution：央行首先验证双方零知识证明，然后检验两个旧帐户序列号是否出现在之前的交易中，没有出现则添加到已使用记录中，然后对两个用户状态签名得到$({\sigma }_{i+1}^A,{\sigma }_{i+1}^B)$。
8. Payment Acceptance：B验证签名是否有效，有效则接受此交易更新账户信息，然后转发${\sigma }_{i+1}^A$给A。
9. Payment Completion：验证签名并更新账户信息。

此外，为了防止B不发送签名给A，央行会同时发布从B收到的所有信息以及自己对新账户的签名，用于A通过自己的序列号找到自己的交易信息并接受。

基础协议流程

CRS（Common Reference String）在CDBC背景下是成立的，此背景默认Central Bank为trusted，无需其他假设。
设定一个监管者，一个央行，两个用户。

初始化

央行

1. 创建自己密钥对$(s{k}_C,p{k}_C)$，并公开公钥。
2. 设置金额最大值$ba{l}_{max}$，防止溢出

用户注册

用户

1. 生成私钥$s{k}_U=(s{k}_{U1},s{k}_{U2})$，用于伪随机生成序列号$seria{l}_1^U$和盲因子$blin{d}_1^U$。
2. 生成新的状态承诺$stat{e}_1^U=(seria{l}_1^U,ba{l}_1^U,blin{d}_1^U)$
3. 生成零知识证明$zk{p}_1^U$，证明自己的状态承诺中的$ba{l}_1^U=0$
4. 发送$(stat{e}_1^U,zk{p}_1^U)$给央行。

央行

6. 验证，对账户签名，然后发送签名${\sigma }_1^U$给用户。
   

交易

假设交易双方为A, B。那么双方的当前的账户为
$stat{e}_i^A=(seria{l}_i^A,ba{l}_i^A,blin{d}_i^A)$
$stat{e}_j^B=(seria{l}_j^B,ba{l}_j^B,blin{d}_j^B)$
双方都拥有当前账户的签名
${\sigma }_i^A=Sign(s{k}_C,stat{e}_i^A)$
${\sigma }_j^B=Sign(s{k}_C,stat{e}_j^B)$

1. Transaction Initiation

发送方A

1. 确定交易金额$v_{Tx}$，选择随机数$blin{d}_{Tx}$，并创建承诺$com{m}_{Tx}=comm(v_{Tx},blin{d}_{Tx})$。
2. 生成新的序列号和盲因子，然后创建新的账户承诺$stat{e}_{i+1}^A=comm(seria{l}_{i+1}^A,ba{l}_i^A-v_{Tx},blin{d}_{i+1}^A)$
3. 零知识证明，生成proof $zk{p}_{i+1}^A$。证明自己
   1. 旧账户是正确的，即账户和签名能通过验证，$True=Vrfy(p{k}_C,comm(seria{l}_i^A,ba{l}_i^A,blin{d}_i^A),{\sigma }_i^A)$。
   2. 承诺计算正确。
   3. 账户状态更新正确。
   4. 金额没有超过阈值。
   5. 金额更新正确。
   6. 序列号更新正确，即在旧序列号上伪随机产生。
4. 发送信息$v_{Tx}，blin{d}_{Tx}，com{m}_{Tx}，seria{l}_i^A，stat{e}_{i+1}^A，zk{p}_{i+1}^A$给B。

2. Transaction Completion

接收方B

1. 生成新的序列号和盲因子，然后创建新的账户承诺$stat{e}_{j+1}^B=comm(seria{l}_{j+1}^B,ba{l}_j^B-v_{Tx},blin{d}_{j+1}^B)$

2. 零知识证明，生成proof $zk{p}_{j+1}^B$，和A一样。

3. 发送信息$com{m}_{Tx}，seria{l}_i^A，stat{e}_{i+1}^A，zk{p}_{i+1}^A，seria{l}_j^B，stat{e}_{j+1}^B，zk{p}_{j+1}^B$给央行

4. Transaction Execution

央行

1. 验证零知识证明和序列号是否重复，不通过则拒绝并通知B。
2. 否则接受交易，存储序列号到已使用列表，对两个更新的新账户进行签名

${\sigma }_{i+1}^A=Sign(s{k}_C,stat{e}_{i+1}^A)$
${\sigma }_j^B=Sign(s{k}_C,stat{e}_j^B)$

3. 发送两个签名给B，公开交易到公开交易日志里，会同时发布从B收到的所有信息以及自己对新账户的签名。

4. Payment Acceptance

接收方B
检查签名是否有效，有效则存下签名，转发A的签名给A。

5. Payment Completion

发送方A
检查签名是否有效，有效则存下签名，至此交易完成。

提升方案

看完前面的方案可能会有点懵，监管者呢，提都没提？WTF？好像很多功能都还没有，怎么中止交易，怎么披露信息，怎么标识用户，怎么执行的监管等等好像啥都没说😇。
原文的描述比较模糊，没有将相关信息放入基础方案里面，只给了单独一章用于表述该角色的额外功能，而且一些函数只给了一个粗浅的定义，并没提具体实施（咱也不知道为啥，可能是想表现可扩展性高？这就是不给源码的原因吗？）

新增角色

监管者
定义为能执行一些监管规则。

• 持有发行证书密钥对$(s{k}_{RC},p{k}_{RC})$，加密密钥对$(s{k}_{RE},p{k}_{RE})$
  

新增步骤

用户注册
增加向监管者注册的步骤，明确身份。

1. 用私钥计算出公钥作为自己的唯一标识符，标识为$（p{i}_U,s{i}_U）$。
2. 向监管者注册，并证明自己知道对应的私钥，然后收到监管者签名${\sigma }_R^U=sign(s{k}_{RC},(p{i}_U,params))$$params$可以是一些单独不同的规则所需要的参数，如每个用户的不同的持币限制。
3. 签名以及公共身份会包含在账户承诺中，所以需要证明新旧账户承诺中的身份是一样的。

交易监管

1. 添加辅助信息说明：在账户状态承诺里新增了辅助信息，用于用户对交易信息的一些说明，同样需要证明，那么新的完全体账户状态承诺就变为

$stat{e}_i^A=(seria{l}_i^A,ba{l}_i^A,blin{d}_i^A,p{i}_U,au{x}_i^U)$，$au{x}_i^U$为辅助信息（可以理解为一些额外的监管规则）
辅助信息在每一笔交易也许会不一样，故需要进行更新，更新函数为updateAux。

2. 特定条件下的信息披露：新增一个披露函数RegInfo，输入为用户的状态信息，输出为密文信息或者披露信息（特定条件下），如用户身份，余额等信息。当然，要使得披露信息对外不可区分，需要加密，采用监管者公钥加密$p{k}_{RE}$，计算密文$E_{i+1}^U$的过程的正确性需要进行证明，密文将作为交易的一部分发送给央行，央行会转发给监管者，监管者可以解密查看。
3. 额外检查：新增额外检查函数checkOther。

交易零知识证明
增加了这么多信息，那么交易所需要的零知识证明自然需要增加。
以下是完整的需要证明的式子

红色部分为新增的，即

1. 拥有合法的身份，即拥有对应身份的私钥
2. 监管者的签名是有效的。
3. 额外辅助信息更新正确
4. 证明自己的计算披露函数和加密过程正确
5. 额外校验校验也正确
   

小结

• 没有交易中止功能，出现密钥丢失，被骗等很难追回。
• 交易追溯是通过公开日志查询的。
• 没有提多个监管者的方案。
• 没有异步交易，离线交易功能。
  

参考

Wüst, Karl, et al. “Platypus: A central bank digital currency with unlinkable transactions and privacy-preserving regulation.” Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security. 2022.