找回密码
 立即注册

手机号码,快捷登录

多重签名与多方计算:哪个更安全?

哈希链人| 2019-12-3 09:47 阅读 3120 评论 0

由于其强大的安全性和强大的认证特性,我们在六年多的时间里一直在倡导使用多重签名钱包。但是,我们一直在评估新的加密技术进展,而在最近几个月中,一种被称为多方计算(multi-party computation,MPC)的新技术经常被引用。多方计算为沙米尔秘密共享(Shamir’s Secret Sharing,SSS)提供了一种的强大替代方案,一些钱包提供商认为,多方计算可能比多重签名技术更安全、更易于使用。在本文中,我们将描述多方计算及其与多重签名钱包安全性有何不同。我们认为,多方计算与多重签名技术结合使用时可以提供实用性,但是我们不认为目前这是一种明智的多重签名技术替代方法。

 

多方计算的背景

多方计算是一种相对较新的加密方法,可以将私钥分成多个部分。人们经常把它和一种叫做沙米尔秘密共享的技术相提并论,该技术自 20 世纪 70 年代后期开始出现,用于将单个私钥拆分为多个部分。两种技术之间的关键概念是,一个密钥对的私有部分可以被分为 N 个部分,因此,为了使用私钥创建签名,需要将这些部分中的 M 个放在一起。此类技术被称为 M-of-N,其中 N 个总部分中的 M 个部分保护底层数据。

和多重签名技术一样,沙米尔秘密共享和多方计算都可以帮助减轻两个关键风险:

盗窃:如果少于 M 个部分被盗或被黑客入侵,对手就不可能生成有效的签名

损失:在大多数情况下(M 小于 N),一部分无意损失可以通过备用部分来弥补。

与沙米尔秘密共享相比,多方计算具有一项重要优势。对于沙米尔秘密共享,在将其用于签名之前,需要先在单台机器上重新组装密钥的独立部分。这会在重新组装密钥的机器上产生一个单一故障点。相比之下,多方计算不需要在单台机器上重新组装各个部分。相反,每个部分都可以在单独的机器上用于数学函数,并且,只有在把 M 个部分应用于此数学函数之后,签名才有效。这使得每个部分都可以保持完全分离,并避免了单一故障点。

沙米尔秘密共享和多方计算的一个有趣的好处是,它们可以在区块链不知道利用了它们的情况下使用。这对某些尚不提供原生多重签名功能的区块链(例如门罗币)来说意义重大,因为多方计算签名可以在外部应用。

与多重签名的比较

从功能的角度来看,每个签名钱包使用 M-of-N 密钥的多重签名钱包类似于基于多方计算的钱包,后者将单签名钱包的 M-of-N 部分用作密钥。不同之处在于,多重签名钱包将使用由不同私钥生成的独特签名来保护钱包,而多方计算仅使用创建单个签名,而与参与的私钥部分的数量无关。

签名可追究性

基于多方计算的钱包引入了一个在多重签名钱包那里不存在的重大问题:可追究性(accountability)。对于多重签名的钱包,我们总是很清楚地使用了哪些私钥来签名交易。这很重要,因为我们通常会将单把私钥分配给特定个人,并且了解参与签名交易的人员至关重要。但是,使用基于多方计算的签名,我们无法区分使用了哪个密钥部分来签名交易。多方计算完成后,所有签名看起来都是相同的。

可追究性听起来似乎并不是一个巨大的缺点,但它在货币系统中至关重要,尤其是在考虑通常用于密钥各个部分的人员和存储类型的差异时:

人员:密钥可能存储在不同的人那里。如果密钥存储在公司高管(首席执行官、首席财务官、首席安全官等)那里,并且其中有 2 人合谋监守自盗,那么调查人员将如何知道谁是犯罪分子?当被问到谁签署了交易时,无辜的高管将如何为自己辩护?

地理:密钥可能存储在几个分开的位置。如果需要存储在 5 个位置的 3 把私钥,则取证的一个关键部分就是要知道哪些位置参与了交易。

多机构:安全密钥材料可以存储在几个分开的公司那里。如今,一种常见的做法是向独立公司的独立各方提供备份密钥。当可以明确标识备用密钥,正如多重签名安全性时,资金所有人就不会被备用持有者盗取资金。但是,如果多方计算取消了可追究性,则备份持有者将不愿意持有备份密钥,因为无法区分备份密钥持有者是否参与了欺诈交易。

同行评审

当今的许多多方计算实现者都在使用专有的实现和方法,都只有有限的公开评审或根本没有。正如施奈尔在《论安全》(https://www.schneier.com/blog/archives/2011/04/schneiers_law.html)中所说:“从最笨拙的业余爱好者到最好的密码学家,任何人都可以创建自己无法破解的算法。”不幸的是,许多加密算法从未在数学上被证明是有效的——相反,密码学家在接受算法可信且安全之前依赖于同行评审和足够的评审时间(以年或数十年为单位)。由于椭圆曲线数字签名算法(ECDSA)多方计算太新了,因此供应商不愿分享他们的算法、源代码和实现细节。当前的实现已经提交了许多专利申请,这可能进一步限制这些工具的使用。缺乏透明度以及限制访问这些算法的企图,使得我们无法验证其正确性或安全性,或预测可能的许可成本。

相比之下,多重签名技术是经过实践检验的。它采用了众所周知的、经过严格审查的算法,并具有多种实现方式。基于多重签名的钱包不承担额外的加密风险,它们使用的是在实践中经过最严格审查和了解的简单加密算法。

缺乏硬件安全模块(HSM)支持

同样,基于多方计算的签名的问题还在于缺乏支持该技术的工业级硬件安全模块(Hardware Security Modules,HSMs)。尽管硬件安全模块被金融机构用于保护私钥已有数十年,但当前的硬件安全模块并不支持全新的多方计算加密。安全专家早就认识到,必须通过硬件安全模块专门存储和访问密钥,才能维护基本安全性,多方计算也不例外。密钥或密钥的部分必须被安全地存储。如果多方计算实现者们不为其技术建立起定制化的硬件安全模块,我们可以说它的安全性低于单一密钥系统。

对冷存储和硬件安全模块需求的影响

多方计算的一些支持者提出,多方计算消除了对“冷存储”的需求,但事实并非如此。

“冷存储”仅指私钥离线存储的任何钱包。类似地,“热存储”指的是在线存储私钥的钱包。无论是一把还是三把私钥,无论是否使用多方计算,保护私钥的需求都完全相同。

事实是,黑客继续困扰着整个行业。Facebook 已被黑客入侵。Google 已被黑客入侵。美国政府屡遭黑客入侵。如果多方计算私钥部分在线存储,则它们与在线存储的任何其他数据一样容易遭受黑客和盗窃的风险。

结论

综上所述,当今数字钱包最强大的安全性仍然是多重签名钱包。通过将一把或多把私钥分成多个部分,多方计算可用于增强现有的多重签名方案。例如,如果利用三个人来保护一个 2-3 多重签名钱包,那么这三个用户中的每个人都可以使用多方计算细分其私钥,并将其多方计算密钥部分存储在独立的机器上。但是,完全依赖多方计算技术而没有多重签名保护,会降低安全保护并显著消除交易-时间的可追究性。

作者:Mike Belshe 

编译:币信研究院

评论 0
推荐资讯

深入理解区块链二层扩展方案Rollup:为什么Vitalik对该方案大加赞赏?

背景最近,以太坊创始人 Vitalik Buterin 在一篇题为“混合式二层协议的曙光” 的文章里对 Rollup 方案大加赞赏,认为它为智能合约的可扩展性打开了大门。那么什么是 Rollup ?它包括哪些主流方案?这些方案各自有什么优缺点?它们未来发展前景怎么样?为了找到这些问题的答案,笔者对相关项目做了一番调研,将收集到的信息整理成下面这篇文章。Rollup 的出现最近两年,以太坊二层(Layer-2)扩容技术得到突飞猛进的发展。所谓二层技术,就是将一部分资金存储在主链上的智能合约内作为,在保证足够
陈丹
03-06
阅读3194 评论0

为符合央行新规,国内的区块链金融项目需要国密和监管改造

2月25日时,央行发布了《金融分布式账本技术安全规范》金融行业规范(以下简称规范),在密码算法、账本数据、身份管理、隐私保护等多方面,对金融领域的区块链机构、项目提出了更为正式的规范和要求,导致很多金融机构的,央行。因而,基于Fabric架构的区块链金融项目或需替换密码模块,以符合规范要求,以应对当前互联网安全的严峻考验。)安全审计基于Fabric的区块链金融项目,应二次开发以支持账本审计的需求。Fabric架构各审计功能(Fabric架构不符合要求。基于Fabric的项目如果无法这些隐私保护相关要求,则
邱月盈
03-02
阅读3077 评论0

从「模拟」理解零知识证明:平行宇宙与时光倒流

相信很多人都听说过零知识证明,但是只有极少数人听说过模拟,然而模拟是理解零知识的关键。我们在第一篇文章『初识「零知识」与「证明」』中介绍了一个简单的零知识交互系统:地图三染色问题。那么这个系统真的是零知识的吗?我们为什么要相信这个结论呢?有证明吗?在 Alice 与 Bob 的对话过程中,如果不零知识,Alice就被坑了。交互式系统的设计者「我」需要让 Alice 确信,这个对话确实是零知识的。如果从直觉主义角度解释,要证明一个交互系统中存在信息泄露,那么你只需要指证:第几个 bit 导致信息泄露即可;但
盈链科技
01-16
阅读3184 评论0

初识「零知识」与「证明」

引言我认为区块链很难称为一个“技术”。它更像是一个领域,包罗万象。或者形而上地说,区块链更像一个有机体,融合了各种不同的理论技术。零知识证明是构建信任的重要技术,也是区块链这个有机体中不可缺少的一环。零知识证明是打通链上数据与链下计算的关键技术,也是实现链上数据隐私保护的重要途径要解释「零知识证明」,我们需要先解释「证明」,然后解释什么是「知识」,最后再解释什么是「零知识」。"证明" 的前世今生什么是证明?很多人可能和我一样,看到这两个字,会不禁想起中学考卷中各种三角相似的几何图形,当
小盈
01-13
阅读3048 评论0

2020 焦点前瞻:公链的可扩展性到底如何解决?

大量明星公链即将在 2020 年上线,是时候全面看看可扩展性这个问题。比特币从设计上就是慢的。区块链并不一定是为了速度而创建。中本聪在设计比特币时,将安全性和去中心化置于首位,他也承认,在与中心化的竞争对手如主流信用卡网络竞争时,比特币系统将面临压力。而实际上,比特币的10 分钟出块时间和较小的区块却让它能够维护一个全球性的、无领导网络的共识,因为这样做减少了非故意的账本分叉的频率,又能维持节点运营的低成本和存储的低要求。比特币很慢:在过去一年中,它每秒处理的交易量(tps)还不到 4 次。而且比特币无法
链闻ChainNews
12-23
阅读3336 评论0

安永发布第三代零知识证明区块链技术,可通过批量处理降低交易成本

昨天,全球审计四巨头之一的安永宣布了其零知识证明(ZKP)技术的最新版本,该技术用于实现公有区块链上的私人交易。 这个被称为Nightfall开源协议于去年正式发布,侧重于区块链的可扩展性。来源:Pixabay像比特币和以太坊这样的公有区块链被设计成透明的,唯一的保护是用户身份是不透明的或假名的。但是事实证明,要识别用户很容易。缺乏隐私以及可扩展性和治理问题是企业采用公有区块链的重大障碍。零知识证明技术是用于解决隐私和可扩展性的关键隐私解决方案之一。它可以在不透露细节的情况下回答想要知道的答案。例如,一个
哈希链人
12-20
阅读3223 评论0

快讯

  • 目前BTC挖矿盈利为0.3384美元/天/THash/s

    据Bitinfocharts数据显示,当前BTC挖矿盈利为0.3384美元/天/THash/s;ETH挖矿盈利为0.
    2021-10-19
  • 西班牙国家警察警告加密货币相关骗局激增

    西班牙国家警察已就西班牙出现一波与加密货币相关的投资骗局发出警告。在国家警察最近
    2021-10-19
  • 波卡先行网Kusama通过开启定期、连续插槽拍

    Kusama理事会通过了Motion 377提案,开启Kusama网络的定期、连续拍卖。该提案计划在接
    2021-10-19
  • 以太坊无损彩票项目PoolTogether V4版本上

    以太坊无损彩票项目PoolTogether宣布V4版本上线,目前支持存入Polygon和以太坊上的USD
    2021-10-19
  • 数字资产交易所交易产品发行人Valour在法兰

    DeFi Technologies Inc.宣布其子公司Valour Inc.,一家数字资产交易所交易产品(“ETP
    2021-10-19
  • 加拿大央行重申其暂时没有推出数字货币的计

    加拿大央行重申其暂时没有推出数字货币的计划,但表示如果人们开始减少使用实物现金,
    2021-10-19
  • Uniswap V3在以太坊Layer 2上24小时交易量

    Uniswap创始人Hayden Adams发推称,Uniswap V3在以太坊Layer2(Arbitrum和Optimistic
    2021-10-19
  • 矿业公司Elite Mining Inc将移动挖矿设备的

    10月19日消息,Elite矿业公司(EMI)已于2021年9月将其总部迁至怀俄明州的夏延,EMI将
    2021-10-19
  • Michael Saylor:土耳其可以在央行国库中购

    根据个人财务比较网站Finder的报告,比特币将在2050年之前取代法定货币,处于 "超比特
    2021-10-19
  • 比特币矿企Bitfury首席执行官确认公司正在

    10月19日消息,Bitfury首席执行官Valery Vavilov证实,“随着Bitfury及其公司组合继续
    2021-10-19
浏览更多