# 加拿大央行 — 離線支付的 CBDC 研究 #### 原文 : [Bank Of Canada - central bank digital currency for offline payments](https://www.bankofcanada.ca/2023/02/staff-analytical-note-2023-2/) --- >重點前情提要 1. CBDC 為傳統紙幣的延伸與補充，必須支持在線離線都可以使用的特性 2. 考慮 **Intermittent offline（短時間）** 以及 **Extended offline （長時間）** 兩方案 3. 離線 CBDC 為用戶提供好處，如更具彈性、更好的可訪問性以及隱私相關保護 4. 離線 CBDC 可能需要具有控制功能的安全硬件（secure hardware）防止竄改 5. 在合規性、安全要求和用戶需求之間取得平衡，合理控制離線時間與金額是一大挑戰 6. 離線交易支援設備可能是智慧型手機以及特別設計的 **Universal Access Device (UAD)** --- ### ▮ 兩種離線支付設計模式  <br> - **Intermittent offline** （左） - 離線時發起交易會將該金額鎖定，防止付款人進一步支出，直到連線同步後才可做使用 - 由於受限於安全與風險考量，短時間內較可能採取此方式，避免雙花攻擊的問題 - 設計簡單，可能只需要存儲秘密信息（例如私鑰）就 OK - **Extended offline** （右） - 離線時發起交易後無需等待同步，收款人可以拿去做後續其他點對點的交易資金 - 使用 UAD 為優先選擇，因離線時間可能較長，用智慧型手機有電池壽命不夠長的問題 - 設計困難，可能需要成熟的 CBDC 系統，作為一個自我封閉的支付生態系統 - **保持有彈性結合兩種支付方式** - 針對不同用戶有不同用例， Intermittent offline 結合 Extended offline 尤佳 <br> ### ▮ 風險與保護 - 風險 — 雙花、增加資金、複製設備、竄改限制 - 仔細設計資金的表示和轉移方式，以便破壞單個設備上的保護不會損害系統的完整性 - 一台設備離線持有的金額可能會受到限制，以保持適當的風險水平 - 保護 - **secret-free hardware** , **physical unclonable functions** , **extra layer of authentication for defence in depth** 新興技術一定程度可能降低系統風險 - CBDC 系統要保證完整保護的門檻很高。必須考慮包含硬體 + 軟體 + 密碼學的多層組合 <br> ### ▮ 議題討論 - 減少支付方式之間的摩擦 - 現在線下收到紙幣還需要存入電子金融系統才可線上使用，太麻煩 - 過去幾年電子支付迅速發展但離線支付還停留在紙幣交易等級 - 隱私性與保護的權衡 - 離線 CBDC 可設計為不記名免註冊的，如同紙幣般保留隱私 - 但作惡者可能會被激勵用於鑽 KYC、AML、反恐怖主義融資的漏洞 <br> ### ▮ 各國觀點 ```! 國際貨幣基金組織的研究表明，在許多情況下，無需連上網路即可運作的能力將成為 CBDC 的「成敗」關鍵 ``` 1. 瑞典 Riksbank 積極研究離線支付能力極限 2. 韓國積極研究離線支付安全性問題 3. 中國人民銀行大規模「線下」數位人民幣試點（運用典型晶片和 PIN 信用卡） <br> ### ▮ 結論 本文探討了擴展離線功能在支付系統上的影響，包括政策和商業技術支持方面的考量。雖然中央銀行已投入擴展離線裝置的試驗，但尚無商業化的完整解決方案。從金融風險角度看，擴展離線方案可能成為詐騙和金融犯罪目標，需採取風險控制措施。 為降低風險，部分專家建議支付僅在裝置重新連線後結算，ㄧㄧㄧ但此舉限制了部分使用案例。中央銀行需瞭解離線支付解決方案的技術基礎，承擔發行裝置的責任以及部署和流通風險。儘管技術可降低風險，風險仍會隨技術成熟演變，因此應確保剩餘風險與政策目標相符。 ###### tags: `Lab 研究`