科普：保护验证者密钥的几种方法

编者按：本文来自以太坊爱好者，作者：JimMcDonald，翻译&校对：闵敏&阿剑，Odaily星球日报经授权转载。我们预设读者对验证者有最基本的了解，包括但不限于“验证者是什么”，“他们为什么需要密钥”，以及“他们通常需要什么操作”等概念。什么是验证者密钥？

在ETH2.0中，验证者密钥被用来确定相关消息是哪位验证者发出的。验证者要发送这些消息才能获得奖励。验证者密钥的风险很难衡量：验证者密钥本身无法用来访问资产。因此，即使攻击者获得了你的验证者密钥，也无法直接盗取资产。但是，他们可以通过敲诈勒索1等方式间接获利，更有甚者，比起自己获利，他们更想让你蒙受损失2。因此，我们通常认为验证者密钥的安全需求很高。

-图1：验证者的安全需求-但是，不像取款密钥那样，验证者密钥要能够随取随用，因为验证者在每个epoch都要签署多个消息。因此，验证者密钥的访问需求也很高。

-图2：验证者密钥的访问需求-因此，我们发现自己陷入了两难困境：从传统上来说，同时满足安全性和可访问性需求是很难实现的，因为提高安全性往往会降低可访问性，反之亦然。

动态 | 链客社区联合北京交通广播推出区块链技术科普节目:12月11日15:15—16:00，区块链技术社区——链客区块链技术社区将联合北京交通广播FM103.9从零开始为大众科普解码区块链技术，蜻蜓FM及北京广播网同期进行全球直播。首期做客嘉宾为链客区块链技术社区创始人郄建军和百度区块链产品负责人于雅楠。[2019/12/11]

-图3：验证者密钥的双重需求-为满足对安全性和可访问性的双重需求，我们需要采取更高级的措施，在不作重大妥协的前提下，较高程度地满足这两方面的需求。这可以通过分层来实现。本文的目的是探究每一层所提供的功能，并了解哪些功能适用于或不适用于验证者设置。Eth2中的密钥对都有一把公钥和一把私钥。出于本文的写作目的，全篇所用的“key”一词指代的都是通常叫做私钥的那把；如果指代的是公钥，会有明确的说明。目标和分层

首先，我们需要定义攻击者和用户的目标。在知道为什么要保护验证者密钥之后，我们就可以思考每个功能可以在多大程度上实现这一目标。首先，攻击者的目标可以被定义成：攻击者的目标是，签署某一条消息时能签出与目标验证者公钥相对应的签名。当然了，如果这是唯一的目标，那么直接毁掉验证者密钥就能阻止攻击者了。但是，这对用户来说一点帮助也没有。因此，我们需要考虑的第二个目标，也就是用户的目标，可以被定义成：用户的目标是只签署理想消息，不签署不良消息。就本文的目标而言，理想消息指的是能够获得奖励的消息，不良消息指的是会触发罚没事件3的消息。请注意，攻击者要想实现其目标，只需要签署任意一条消息即可，而用户的目标是持续性的。这种不对称性是安全系统的一大特征，即，攻击者只需赢一次就够了，而用户需要每次都赢。为此，我们需要一个由不同分层或者说独立功能组成的系统，提供增强型安全性或增强型可访问性，而且可以将二者结合起来，共同达到较高水平。一个良好的安全模型需要具备多个分层，每个分层都会提供某种保障或其它分层的备份，并且有足够多的分层提供可访问性，从而确保用户的目标可以实现。请注意，本文聚焦于技术保护：其它层面上的安全性都不属于本文的讨论范围内，虽然它们在任何安全模型中都是至关重要的部分，应该采取相应解决方案。分层

为了探讨验证者密钥的保护方式，我们先来做个简单的演示：

声音 | 上海股交所总经理：区块链想要大规模发展要做好社会科普工作:金色财经报道，上海股交所总经理张云峰表示，区块链当前还处于一个“概念”的阶段，距离成熟应用，影响到百姓的日常生活还有很长的路要走。对于“区块链”和其会带来的社会和经济效果，沈阳应当持审慎的态度。区块链想要大规模发展，一方面要做好这项复杂技术的社会科普工作，加快社会大众对区块链的了解。另一方面，要充分发挥市场的作用，让企业用实实在在的技术创新，赋能实体经济的发展。[2019/11/17]

-图4：验证者密钥-与ETH2.0的所有密钥一样，验证者密钥也是一串数字4。如果验证者在不采取任何保护措施的情况下存储了验证者密钥，攻击者很容易就能获得该密钥并实现其目标。以下几类人能够获得验证者密钥：任何有权访问运行验证者客户端的计算机账号的人任何被授权访问运行验证者客户端的计算机的人任何可以物理访问运行验证者客户端的计算机的人任何有权访问运行验证者客户端的计算机的数据的人这样一来，用户就无法实现其目标。因此，我们首先要通过加密的方式来保护验证者密钥：

-图5：加密验证者密钥-我们可以通过多种方式加密验证者密钥，例如，EIP-2335标准5。一旦验证者密钥被加密，除非攻击者掌握加密口令，否则无法解密出密钥6。这样就可以很好地保护验证者密钥。乍看之下，攻击者似乎无法通过任何方式来实现其目标。然而，用户也没有办法实现其目标，因为他们再也无法签署理想消息：无论是对于用户还是攻击者来说，经过加密的密钥都是没用的，因为用户必须先将该密钥解密，然后才能用它来签署消息。这样一来，验证者进程就一定要包含访问解密口令这一步骤。即然验证者进程可以访问解密口令，那么攻击者也可以访问该口令，尤其是在解密口令被存储在验证者客户端的情况下，因为验证者客户端有可能遭到攻击。因此，这种改变本身不算上策。不过，如果我们将它与第二层结合起来，就能提供更有力的保护：

动态 | 区块链技术入选科普杂志《科学美国人》2019十大突破性技术榜单:据新浪网今日新闻报道，美国科普杂志《科学美国人》公布 2019 十大突破性技术榜单。区块链技术因在保障食品安全中的作用而上榜。 入选榜单具体原因：区块链技术的发展应用将显著改善食品污染源数据追踪的困境。利用区块链云端系统，食品制造商可以依次在计算机储存各类过程的信息。[2019/9/29]

-图6：远程口令-如果解密口令是远程存储的，加密验证者密钥会带来更强大的保护7。由于口令不再存储于验证者客户端内，攻击者无法从磁盘数据中获得未加密的私钥。攻击者只能发动更加复杂的攻击，例如，从内存中获取解密后的密钥，或模仿验证者客户端进程来获得解密密钥。虽然攻击难度更大了，但是复杂攻击依然有可能获得验证者密钥。此外，用户依然可能在不经意间签署不良消息。因此，我们可以通过增加一个远程签名器层来为用户提高安全性和可访问性。

-图7：远程签名器-远程签名器分离了验证者客户端的核心功能：确定要放到消息中的数据、签署消息并将该消息发送至ETH2.0网络。第一个和第三个功能仍保留在验证者客户端手中，第二个功能由远程签名器来实现。远程签名器还引入了罚没保护机制，可以确定哪些是理想消息，哪些是不良消息，并予以签署或拒绝。如何阻止攻击者将攻击目标从验证者客户端转移到远程签名器呢？首先，签名器可以具备比验证者客户端更高的安全性。验证者客户端需要执行许多任务，包括与ETH2.0网络的其它组成部分通信。这些通信可以为攻击者提供信息和攻击界面。由于签名器只与验证者客户端通信，它们的活动受到很多限制，这就为双方的服务器带来了更高的安全性。其次，远程签名器为用户带来了其它好处。现在，同一个远程签名器可以与多个验证者客户端通信，使得我们能够创建具备高可用性的验证者客户端基础设施。远程签名器确保验证者客户端不会签署任何不良消息。然而，事实上，远程签名器存在单点故障问题：如果远程签名器遭到攻击，或出现故障，用户就连理想消息也签名不了。有没有一种方法可以让远程签名器更能抵抗攻击，同时又不会失去上述任一好处？

声音 | ETC Labs主管：科普教育是未来几年公链面临的巨大挑战:ETCLabs主管Darin Kotalik认为，科普教育是未来几年公链面临的巨大挑战，人们必须要对区块链有基本的认识，分清楚公链和私链的区别。[2019/8/25]

-图8：门限签名-我们还可以在上述层次的基础上再构建一层门限签名，进一步增强安全性和可访问性。验证者密钥需要用Shamir密钥分割流程来处理，即，使用验证者私钥生成多个密钥，然后将它们发送给远程签名器。

-图9：Shamir密钥分割-现在，每个远程签名器都持有由验证者私钥生成的密钥了，而且只需几个远程签名器就可以创建有效签名，也就是所谓的门限签名。假设有3个远程签名器，其中2个远程签名器提供个人签名来生成一个聚合签名，如下图所示：

-图10：生成聚合签名-门限签名的表达式通常写成m/n，也就是说，假设总共有n个签名，需要任意m个签名来生成一个有效签名。如果门限值是2/3，那么使用任意两个签名即可生成一个有效签名。引入门限签名之后，即使有一个服务器8出故障，用户也能签署理想消息，而且也不会增加用户无意间签署不良消息的概率。鉴于硬件、软件和操作失败的可能性不可消除，门限签名确实是一个具有抗逆性的验证基础设施应有的功能。虽然门限签名机制会带来额外的安全性，但是它有两大缺点。第一，分发密钥并不能预防长期攻击：假设门限值是2/3，如果有一个签名器反水，整个机制就会留下永久的漏洞，只要再有一个签名器反水，攻击者就可以达成目标。第二，攻击者有可能在密钥分发过程开始前抢先获得该密钥，从而导致整个机制丧失意义。分布式密钥生成可以一举解决这两个问题：

声音 | 中科院姚建铨：要加快推进区块链与物联网融合的科普 培训:据新华网消息，日前，在区块链与物联网融合发展峰会上，中国科学院院士姚建铨说，关注区块链技术里面的大数据，跟区块链技术结合起来进行测量和检测，能更好地提升激光清洗技术。姚建铨建议，无锡今后要加快推进区块链与物联网融合的科普、培训，正确引导广大人民群众对技术的认知；同时，建立专业、权威，但又普适、成套的理论体系和标准，以此切入区块链的实际应用。[2018/9/18]

-图11：分布式密钥生成-分布式密钥生成是一个比较复杂的话题。具体的运作方式不在本文的讨论范围内。但是，我们会提供一个简短的功能说明，来阐述它是如何克服简单门限签名的局限性的。在分布式密钥生成开始前，用户先要决定门限值，例如2/3。他们可以选择3个远程签名器，并启动生成过程。这3个远程签名器会通过密钥管理器9生成自己的密钥，不与用户或其他任何一个签名器共享，以及一些公共信息。将来自3个签名器的公共信息结合起来就能创建出一个合成公钥。

-图12：创建合成公钥-只需3个签名器中的任意2个即可生成签名，类似简单的门限签名。

-图13：一组签名器签署消息-如果有一个签名器不可用，例如，下线维护或遭到攻击，还可以通过另外两个签名器生成签名。

-图14：另一组签名器签署消息-可以看出，分布式密钥生成与简单的门限签名具备相同的优势，可以避免最开始需要分发密钥的风险。但是，一个签名器被攻陷就会留下永久漏洞的问题仍然存在。那分布式密钥生成还有其它招数吗？有的，就是“密钥更新”。密钥更新就是毁掉现有密钥，由每个签名器重新生成新的密钥。新生成的密钥保留原有密钥的特性，即，任意两个密钥可以结合起来生成一个有效签名。新的密钥与原有密钥不具有相关性，因此无法通过原有密钥计算出新的密钥。

-图15：密钥更新-如果有一个签名器遭到攻击，其它签名器可以触发密钥更新。新旧密钥无法结合起来生成一个有效签名。这样一来，被攻击者盗走的密钥就会变得毫无用处。

-图16：攻击失败-密钥更新可以多次执行，以防多个签名器遭到攻击。其它需要考虑的要点

安全性是一个大概念。上文阐述了不同安全层的功能和优点，并没有提出任何完美甚至最佳解决方案。就保护验证者密钥而言，我们还需考虑很多要点，例如：硬件钱包

支持BLS12-381的硬件钱包预计很快就会上线。硬件钱包可以替代下层所使用的简单磁盘存储系统。但是这样一来，我们可能无法引入分布式密钥生成之类的高级技术。成本效益

凡是涉及安全性的方案都有可能为了提高一点安全性而花费大量资金。每个用户都需要决定自己想要防范的攻击，及其愿意为此付出的代价。远程存储验证者密钥

上文已经讨论过了远程口令存储。但是，远程存储验证者密钥是否还会带来其它优势？虽然它不会增强安全性，但是在出现硬件故障的情况下，它可以让验证者客户端更快恢复，这点对于用户来说非常有利。但是，远程存储也会带来额外的风险，因为我们必需正确配置远程存储，确保只有那些获得许可的人能够访问密钥。备份验证者密钥

虽然本文聚焦于如何保护验证者密钥不受攻击，但是实际上大多数验证者密钥丢失事件背后的原因都平平无奇。最常见的就是存储密钥的硬件丢失。用户需要一个备份策略，而且他们需要知道的是，一旦攻击者获得了被备份的密钥，ta就能对任意消息签出与验证者公钥相对应的签名。我们应该采取适当的措施来确保攻击者无法访问已备份的验证者密钥。在理想情况下，这些密钥最好完全脱机存储，而且外人无法接触其存储设备。多个验证者密钥

如果有多个验证者密钥，它们之间，或者与它们各自的取款密钥之间是否应该具备什么关系？例如，将多个验证者密钥备份成一个种子，这样确实使用起来比较方便，但是不会带来安全效益。用户应该考虑是否想在任意阶段单独控制验证者密钥，再进行相应的计划。结论

本文提供了多种方法来保护验证者密钥，同时确保它们可以用来履行验证职责。每个用户都应该考虑他们想要提供的安全级别，以及他们应该采取的措施。应当考虑的是，验证者密钥不控制资金，因此窃取验证者密钥的攻击者无法直接获得任何利益10。本文单纯从技术层面上探究了如何保护验证者密钥。我们还应该考虑运营和社会安全需求。若想全面保护验证者密钥，就得考虑到所有这些方面。或者，你可以使用提供这类功能的质押服务。在综合考虑技术、风险和资金管理的情况下，Attestant正在构建硬件、软件和操作服务，以提供机构级的质押服务，让你可以随时控制自己的资金。脚注“交出赎金，否则就让你遭到罚没。”通过“金手指攻击”或者将适当规模的攻击与ETH衍生品相结合，这可能会对攻击者的财富产生间接影响。罚没事件指的是，如果有验证者对ETH2.0网络造成伤害，就会损失很大一部分质押物。其范围在1和52,435,875,175,126,190,479,447,740,508,185,965,837,690,552,500,527,637,822,603,658,699,938,581,184,512之间。至文本截稿时，EIP-2335标准仍处于起草阶段，不过已经有很多ETH2.0密钥生成器在使用该标准。我们假设口令足够强大，无法暴力破解。这个例子很好地体现了，如何将两个层次结合起来提供更高的安全性。其它门限签名的变体可以提高冗余性。我们使用密钥管理器一词来指代那些除签名之外还要执行更多操作的远程服务器。还应该注意的是，潜在攻击者并不一定知道这一事实。

标签：区块链ETHETH2ETH2.0区块链害了多少人ETHSHIB币ETH2.0价格

火必APP热门资讯