比特币 区块链
数字货币资讯平台

加密货币中的加密:它能给你带来什么保证?

注:本文为技术公司Blockstream研究主管Andrew Poelstra在纽约MCC会议上的演讲。他演讲中,他从密码中学习了数字签名的安全性,并指出签名机制的设计在理论和实际应用上完全不同。因此,用户应该选择警惕许多声称能够创造神奇效果的项目。同时,在他看来,比特币的发展速度是惊人的,所以从技术的角度来看,适当地放慢脚步并没有错。

加密货币中的“加密”:到底能给你带来什么保障

以下是演讲全文:

我没有准备PPT。我想让这次演讲尽可能不那么技术化,我试图剥夺我在屏幕上写方程式的权利。为什么我演讲的主题是加密货币中的一切都是奇怪和困难的。从数学和科学的角度来看,什么是密码学?在实践中,新手如何炒硬币?

加密

从历史上看,密码学的目的是加密,就像试图想出一些随机的东西一样。这里的安全很简单:如果你有钥匙,你可以解密一些东西,用安全模型或风险模型来描述它的想法实际上是毫无意义的。

在现代,密码学取得了很大的进步,包括零知识证书。计算机程序证明了零知识证书。这些程序只解释输入状态,而不泄露输入细节。

数字签名与加密有关。签名类似于加密两个密钥,一个公钥和一个私钥。任何拥有公钥的人都可以加密数据,任何拥有解密钥或私钥的人都可以解密数据。这意味着加密数据可以通过不安全的渠道发送。

数字签名

数字签名恰恰相反—只有有私钥的人才能生成签名,只有有公钥的人才能验证签名。如果你想讨论这里计划的安全性,那就更难实现和定义了。我想谈谈学术背景下的数字签名,然后我想谈谈随机数字生成的实际问题,然后如果我有时间,我想谈谈如何将其扩展到多个签名设置。

没有密钥的人不能伪造信息和公钥签名。从学术上讲,它很难形式化。这里提到的形式化是指定义清晰的状态描述。

多年后,我们多次尝试找出这些定义——我们得出结论,如果没有多种概率时间算法可以主导,数字签名方案是安全的。我们将绝对排除任何算法的可能性(只要边界合理),就不能伪造。即便如此,在定义时也很难证明它的安全性。在现实生活中,一个知道钥匙的人应该能够生成签名。那么,你如何清楚地排除一切,但仍然包含特殊情况呢?

假设你在一场比赛中有一个对手,你的对手不能赢得下一场比赛:我随机拿了一把私钥和一把公钥,我把公钥给了你的对手。如果他能生成签名,那么签名是伪造的,这个计划是不安全的。

直观地说,这是合理的。你生成了一个没有私钥的随机密钥。对手唯一知道的关键是公钥。然而,这个想法是错误的。这个计划的问题是对手有很多公钥签名,类似GPG区块链上可能有电子邮件或过去的比特币交易签名。这把公钥包含了一堆签名。现有的签名方案对可以看到公钥的对手是安全的,但对看到签名的对手是不安全的。这不应该是它的运作方式,但现实仍然是如此。这很难。有一种竞争硬币有这个问题。许多人声称他们可以解决不可能的问题。但大多数人都在对你撒谎,这是这次演讲的真正目的。

假设对手更强大,他可以向挑战者索要信息,而挑战者必须签署信息。现在,当我们给出几乎所有可能的信息时,对手不仅可以伪造信息。我们想提供尽可能多的信息。因此,在任何信息上签名都足够了。当对手伪造信息时,他必须在新信息上签名。

这安全吗?这在传统的安全概念下是安全的,在信息攻击的选择下也被称为不可伪造的存在。但在一个更复杂的系统中,由于某些原因,这是不安全的。我们在比特币中发现,我们排除了使用现有签名并调整它的可能性,同时允许对手只在一个新消息上签名。这在模型中没有被捕获。一旦新闻签名完成,谁关心对手可以为同一消息输出不同的签名?

我们使用的比特币ECDSA和txid基于这些签名,攻击者有能力改变签名,允许他们改变交易txid,这将保持交易的有效性,但会引用任何参考txid因为txid它具有延展性。因此,我们需要一个更强的模型。

我们现在需要一个对手。我们说,如果它在某个信息上签名,信息可能是一样的,但签名必须是一样的。这就是所谓的强制签名。这安全吗?

假设你有一个签名计划—假设你在使用它Schnorr这些签名特别容易受到攻击,比如1989年的原始签名Schnorr算法攻击者得到了你的签名。他没有调整签名,而是通过保留信息的有效性而更改公钥来调整签名。他将获得公钥验证的签名,并生成与第一个公钥相关的签名。通过比特币,您可以在一定程度上生成与代数相关的密钥,例如bip32分层确定性生成的密钥。

理论上,有些人可以生成签名,其他人可以获得签名交易,并在另一笔交易中创建签名,攻击不同密钥的代数关系。

在实践中,这对比特币来说并不是一个问题,因为基于比特币的设计,在比特币交易中签署的数据不仅包括所有关于交易的细节,还包括以前的交易(及其公钥)。所以结果是你得到了一个看起来像的Schnorr签名的东西(公钥除外),但事实证明,签名信息和同一签名密钥的零知识签名比强签名更安全。这比我想说的要复杂得多。

在每一步中,我都在加强安全的概念,完全消除伪造的可能性。我们花了一些时间来探索设计,研究伪造及其实际表现。对于签名,我可以在舞台上描述一场安全比赛,而不用到处使用图表和箭头。多重签名更为复杂。

当你谈论零知识证书——包括零知识证书、模拟器和所有不同的规则——试图证明这些复杂系统的独特性,部署更理想的模型,直到你得到一些特定的东西。然而,在现实生活中,证明的安全性具有巨大的价值。

可证明的安全性

接下来,我想谈谈可以证明安全的概念,尽管我告诉过你这很难。其中之一是随机生成的概念。我将从安全定义转向安全系统部署的实际操作。

基于ECDSA或Schnorr,生成这些签名需要生成一致的随机数据。一致的随机性意味着您可以选择所有可能的随机数-实际上在0和固定的大素数之间。如果您不能随机生成数字,请在多个签名中重复使用相同的数字或相同的数字nonce,然后你的货币就会被盗。这种情况已经发生过好几次了,比如有人用这个小问题解决了ps3.2012年这种情况发生在比特币新手如何炒币的视频中,一些安卓钱包被重复使用nonces,并生成了一个糟糕的随机数生成器。最后,许多人失去了密钥和硬币。

并不是nonce重用。随机的nonces它存在,但软件生成nonces在某种程度上,有偏差。例如,前几个总是0。即使它与随机数量无关,只要有足够的签名,它也足以泄露您的私钥。因此,我们有这些签名方案在学术模型中被证明是安全的,但它们总是需要一致的随机性。直觉告诉我们,随机性不能被猜测,但随机性和一致性没有区别。区分两者足以打破学术证书。在实践中,你会丢失密钥和硬币。

总结

这些东西既困难又微妙。你不应该对声称能创造神奇事物的新项目感到兴奋,而应该怀疑。比特币发展迅速。我们需要放慢脚步,保持警惕。

赞(0)
未经允许不得转载:币圈之家 » 加密货币中的加密:它能给你带来什么保证?

币圈之家

联系我们联系我们