Hi 游客

更多精彩,请登录!

比特池塘 区块链前沿 正文

! k5 _' ?; q8 N' K写在前面:丢失钱包密码或私钥是加密货币用户经常会遇到的问题,那能否有方法可在最小化信任的同时,恢复丢失的密钥呢?这正是以太坊联合创始人vitalik等人正在探索的一个方向,而他们已编写了一个新的EIP(以太坊改进提案),并将其命名为秘密多重签名恢复(Secret Multisig Recovery)方案。- M6 ?4 j& D$ k
) t( u* d0 i3 }1 |
昨日,知名黄金爱好者兼加密货币怀疑者Peter Schiff 在Twitter上声称自己的钱包丢失了密码,因此无法访问自己的比特币。; Q: R/ V9 [, ?5 N. P3 Y
Schiff接着补充说:+ A  u" T8 V+ [" ]' G
* Q6 |2 Y4 |  e/ `! x3 K
“所以现在我的比特币在本质上毫无价值,它也没有市场价值。我知道拥有比特币是个坏主意,但我从来没有意识到它是如此糟糕!”2 D9 I$ n  X+ u+ `# p1 H

% K' I. A% h3 e) w" o8 O& [6 ]5 [. k  r7 h% q2 g' ^9 b1 L
Schiff在推特上公布自己的损失后,加密货币社区很快展开了讨论,例如Morgan Creek Digital 联合创始人兼合伙人Anthony Pompliano就提问他是否自己忘记了密码,而Schiff对此的回答却是:“是我的钱包忘记了密码。”$ l: [% }5 r! w2 g, _
看不下去的Pompliano只好耐心解释道:
2 W' w& w5 K; u) S' N: t4 A+ O
“软件只是执行人类发出的命令,它不能‘忘记’任何事情,给我发邮件吧,我会尽力帮你找回丢失的比特币。”
/ @% G- q  `; m. Z' b2 p不过根据Schiff的回答,他的比特币基本已无望找回了,他提到说:
! Q$ P$ s: V4 c7 a* y! z: b) i4 f+ c9 C! ^8 _- R
“是Eric Voorhees(注:ShapeShift首席执行官)帮我准备的钱包,即便是他也觉得我无能为力。如果你有任何想法,欢迎尝试。”
  g5 a9 y, F/ Q1 p/ A; f
! G7 j8 ~$ ^) Q6 x
看到这里,读者可能觉得这是一个非常悲伤的故事,一位加密货币怀疑者好不容易尝试了比特币,结果却因为自己忘记了密码而丢失了它们。而倘若他在多处备份好私钥,那么即使他忘记了钱包密码,也可以通过私钥访问自己的钱包。
( P, r2 D0 y" D8 q7 y当然,也有人会认为这是一个深刻的教训,它提醒我们要开发相关的技术,为类似的人群提供安全保障。
; L; G" [& W8 a- i3 w3 I比如以太坊联合创始人vitalik就评论称:
( y; I2 D- @% U7 ?4 q
: _% V( d$ ]$ K“对于人们用‘加密货币就是加密货币,你的工作就是要非常小心地在三个地方写下备份种子’来回答这个问题,我感到失望。我们可以,也应该创造更好的钱包技术,使得安全变得更容易实现。
9 v3 f3 C2 Z. @( K( Y6 X例如,这里有一个社交恢复提案:https://t.co/tuSbHhXKgd?amp=1$ k/ ^0 }% v4 x5 P3 t& p4 V4 L" g
那V神所说的社交恢复提案具体是指什么呢?' r0 P- H  Y# q' g& p& B. c
下面我们就来简单了解一下吧。
) s" U; v" u- |EIP 2429:秘密多重签名恢复
; g0 I- |7 H+ [6 }$ J4 Z5 u作者:Ricardo Guilherme Schmidt(ricardo3@status.im)、Miguel Mota(@Miguel Mota)、Vitalik Buterin(@vbuterin)、naxe(@ngmachado)
9 n$ q  b7 U. L' Y: `状态:草案
% D7 U& R1 E6 E3 M2 Y7 F5 f类别:ERC
" Q! A' s" ], Z3 k创建日期:2019-12-07
) F/ c5 D8 z3 A7 }0 a要求:EIP (137, 191, 831, 1271, 1344, 2470)
& p8 P8 V; u# T& P7 l# ]摘要
  d4 y# U( @! M' `6 I一般来说,加密货币的一个糟糕体验是私钥丢失或暴露,这可能导致不可逆转的情况。' A7 Z7 O3 p, ~$ h* c6 h+ B; T/ k
社交恢复被视为账户合约去中心化恢复的一种选择,然而社交恢复的使用,带来了人的因素,而人的因素通常是安全系统脆弱性的主要原因。  @9 @+ o: w$ G) q) t1 y
社交恢复的主要风险是:! d' D! V) {! @9 {4 m$ Y5 X
合谋:如果一些用户知道他们是某个恢复的一部分,他们可能会对恢复攻击的执行感兴趣;目标攻击:外部代理可能了解恢复的所有者,并瞄准执行恢复攻击所需最薄弱的点;一般暴露:攻击者如果设法感染大型用户基础环境依赖项,并获得对多个身份的访问权限,也可能通过恢复对未受影响的用户产生副作用;模拟攻击:针对性攻击可以了解用户的情况,并将该用户模拟到其社交对等方以执行恢复攻击。这变得更加令人关注,因为AI研究能够“深度伪造”其他人的声音和面部动作。5 w. y9 \/ f# l' Z1 z

! L- k4 ^4 g$ a' d( |8 k( M3 u尽管还没有完美的解决方案来解决所有这些问题,但我们的目标是实现“信任最小化”控制者合约,并为用户可能使用的不同钱包启用互操作性。7 _" {2 S/ g# R5 V; K
据悉,该标准提出了一种定义存储在Melkle树中的地址列表方法,这些地址连同它们的权重和用户的个人秘密,将组成一个秘密集,而该秘密集可以在不直接危及用户的情况下公开,因为它仍然需要对地址列表中的总阈值进行人工验证。4 f) G  C' T4 r, v: ^, a
该秘密集可以保存,例如存储在web2云存储当中,而不会严重影响安全性,这对于一些不信任自己,但也不希望信任某些特定实体的用户而言是非常有用的。: o3 [0 Z9 p: `, W# Y# R
用户秘密永远不会在链中显示,显示的只是一个nonce哈希,每次恢复时它都会增加。恢复设置获取此哈希秘密nonce的哈希值的哈希值(hash of a hash),这种双哈希方法被用于数学证明请求恢复的人知道该秘密,而不会泄露它。5 w5 o- g: x( d/ {! u+ g
根据提案,用户可通过提供秘密(user_secret_data)以及加权地址列表(address_list)来配置恢复。# E- M- K$ i7 A0 f* s4 w
user_secret_data可以是用户可猜测的半私有信息。而user_secret_type是可选的随机大整数,并将其与address_list一起导出为private_hash 。
0 C& j6 M: A& x% }" B4 N; n% W地址列表的总权重必须大于阈值,而阈值是一个常数:THRESHOLD = 100 * 10^18。
/ f  t0 j, T$ p5 f% u0 k* Y7 Y而标准定义了生成可预测用户秘密的几种方法。
. K+ |& {1 o" A. I/ j! C  @8 G( U9 f! |
当生物识别(biometrics,例如指纹、面部和瞳孔)技术可用时,应该使用它们,这是最简单的方法。1 R  N4 e1 j; V2 G# J6 y& G
7 d  N$ [' |8 i; C& [+ y
而当没有生物识别技术时,一组通常只有用户知道的诸多问题的标准表单,可被用于生成用户的秘密数据。所有可选的默认字段有:Full Name(全名)、Birth Date(生日)、Mother Name(母亲名字)、Mother Birthdate(母亲生日)、Nationality(国籍)、First Love’s Name(初恋者姓名)、First Pet’s Name(第一只宠物名)、Childhood Nickname(童年昵称)。$ M0 O! q. \- h2 N# [3 |% Q0 W
3 x; k0 d6 P. @+ }0 d# D$ h
而密码派生方法,则类似于详细表单方法,但它只要求用户输入一些内容:Full Name(全名)和Password(密码)。) B; i, @7 r/ h* H$ s0 ^
地址列表/ M2 s+ y* e. @" N& q
用户将定义监护人账户列表,该列表通过用户的联系人列表进行填充。导入选项和输入一个地址应该是很方便的,如图所示:/ p* k7 V( {* S, O  j# v. ?
7 o% {% U0 r/ x9 N* L
选择好监护人后,系统将提示用户定义每个监护人的权重:
; ^" M5 t4 h2 _+ {$ T5 g# y4 O4 A, X( D. c; ]# L: w! Y
这些地址存储在一个标准的merkle树当中,但是每个子叶必须与hash_to_peer进行哈希运算。) ]& ], f- w% x2 W; O0 p
merkle_root被哈希为一个标准merkle树,它由keccak256(bytes32(hash_to_peer), uint256(weight), boolean(is_ens), bytes32(ethereum_address))格式的address_list 子叶组成。
: c2 ?3 _4 D5 B: ]* c* p方案支持了ENS域名,当监护人拥有一个ENS域名时,应该使用ENS域名。根据EIP-137,如果使用了ENS域名,则is_ens必须为“true”。
- J) E- ~0 _6 C4 L列表中的地址可以是账户合约,如果是账户合约,则可以直接调用审批功能,也可以提供EIP-1271签名。而如果是外部拥有帐户,则应用ecrecover逻辑,但它们也可以直接调用approve函数。
! X, h7 c/ U+ ]$ @weight设置此地址值相对于THRESHOLD常量的批准程度。
# s3 M& Z* d- A. w% O8 M. h
/ p3 Y* u" V/ m8 A# ^用户秘密数据哈希8 c+ u( X) ?( `# @6 b
! r9 f& M9 `( x% D  \# K
对于多个用户而言,recovery_contract可能是相同的,这是用户正在使用的共享秘密多重签名合约地址;user_secret_data是用户数据的纯格式字节数据,它从不暴露,也不会被保存。当private_hash是未知时,应向用户进行请求;private_hash是keccak256(user_secret_data),它从不暴露,可以用秘密集导出。这可以在所有恢复中重复使用;merkle_root是通过对普通merkle树进行哈希运算得到的,它在执行时会被揭露;weight_multipler定义要达到THRESHOLD需要乘以多少个单独权重;hash_to_execute是keccak256(private_hash, address(recovery_contract), recovery_contract.nonce(user_address)),它仅在执行时公开,每次恢复都是唯一的,也被称为“显示哈希”。Nonce和恢复合约地址被用于允许重用private_hash;hash_to_peer是keccak256(hash_to_execute),它在恢复授权请求时会公开,其被用于通过揭露public_hash种子来证明用户知道hash_to_execute和merkle_root,这也被称为“部分泄漏哈希”;public_hash是keccak256(hash_to_peer,merkle_root,weight_multiplier),它自配置后就是公开的,只能使用一次,这也用于防止执行的重放。执行成功后,必须使用setup(bytes32,uint256)进行重配置;
; ]$ M: ]. W) H( F
3 D5 ?' S" X) i* [& _, ~恢复秘密集URL
/ v7 Z7 g% _$ m1 Z& [3 o- k' n
2 x4 w/ U( C. g7 g; a- h; x恢复所需的所有信息都将存储在url类型标准中:
) u2 ?/ F/ O# s* |recovery = erc831_part account_contract [ "@" chain_id ] "/" recovery_contract "/" private_hash | secret_type "/" address_list / weight_multipler [ "?" parameters ] [ "#" notes ]4 m0 o9 _9 j* R0 K6 ?1 n# h  ^
erc831_part = "ethereum:recovery-"5 S' u$ `& U1 T0 u
account_contract = ADDRESS
. a- a$ Q5 m5 |9 `" v  m- bchain_id = 1*DIGIT
* o$ b9 c4 @+ X7 `) `recovery_contract = ADDRESS
( S/ n% n- \- G2 V2 z  k/ yprivate_hash = "0x" 64*HEXDIG- m5 N/ j$ T8 u) O" w% I
secret_type = UINT- W. x+ O1 Q9 h
address_list = ethereum_address *( ";" ethereum_address )( S, i% Q+ W0 ~$ x0 l( J' I9 n
weight_multipler = UINT
% A/ n% C  \; P4 b! Tethereum_address = ADDRESS / ENS_NAME "*" weight9 j8 G9 H9 w: N  c# H+ g& f9 _
weight = UINT. }8 ~+ M& r% ^, S+ x' `% d9 |+ A
ADDRESS = "0x" 40*HEXDIG' o# C" w2 r/ M* E9 ]3 Q
parameters = parameter *( "&" parameter )
' U! C8 b% w) Rparameter = key "=" value
( e  U) X" M$ l7 ~, D) rkey = STRING- ?, e% e  s% t' F/ V1 _" ^$ }3 q
value = STRING( u9 ]1 `% l, R* T# e
notes = STRING% G2 W" ?: C7 ?! R# Y, m( r# W3 }
account_contract是指要进行恢复的账户合约,可以使用任何账户合约,因为恢复合约可以执行到任何接口或地址(如常规多重签名);chain_id为所有地址定义了以太坊链,如果不存在,则预设为1(主网);recovery_contract 执行恢复合约的逻辑,必须支持此文档中指定的ABI;secret_type选择生成user_secret_data时使用的标准,在未给定private_hash时是必需的;private_hash是user_secret_data的哈希,如果不存在,恢复将要求使用secret_type所选的标准来获取user_secret_data;weight_multipler 是每个weight将乘以的值,以达到THRESHOLD常数;address_list是具有个人权重的地址列表,最好是另一个帐户合约,表明它们可用于恢复请求,但任何地址都可以帮助恢复。可以使用ENS域名,并在恢复过程中进行解析。总权重应高于THRESHOLD常数;weight默认为Math.ceil(THRESHOLD / address_list.length),由用户设置自定义;parameters可能需要特定的secret_type;如果需要的话,notes可用于密码提示;5 t7 @0 x6 I6 E- C3 G2 {' E
+ n/ c/ p  }7 D2 U5 }8 {
恢复程序
- u- ^9 S- j5 s% ?4 g当需要恢复时,用户需要将其Recovery Secret Set URL(恢复密钥集URL)加载到支持此标准的电子钱包中。根据配置的不同,当private_hash(私有哈希)不可用时,必须从对用户构成挑战的user_secret_data处生成。, {, q8 K' u) E8 U" s6 `7 |+ g
加载有效的密钥集时,它将提示哪些用户请求帮助。一些钱包或许能自动发送请求,而另一些钱包则允许用户共享这个Help Recover Request URL(帮助恢复请求URL)。0 L& }' R! e: e6 B) y
该EIP鼓励尽可能使用预签名的消息EIP-191,这一点很重要,因为gas成本是一个常见的障碍。如果监护人选择的地址是帐户合约,则必须是EIP-1271才能使用预签名信息。建议的正常顺序如下:
$ V3 N2 G3 r6 h
# w3 A; \- X2 [- B/ C+ }在特殊情况下,如果账户合约无法签署信息,或者用户的钱包无法按照这个EIP上指定的格式签署信息,则也可以通过使用msg.sender的方法执行常规操作。
) U* |7 }8 m0 G' |3 l; O, ^在这种情况下,监护人将不得不支付一小部分gas费用。
/ h" T# O4 K, S, m. F  u
/ f7 I/ p/ {3 _) V( r9 v理论基础! U. \/ `* {& i. b4 [; s% z
user_secret_data从不公开,在用keccak256算法进行哈希运算一次后,它就成为从不公开的private_hash。理论上,应该使用生物特征技术,因为用户不太可能丢失他们的生物特征。而生物特征通常是不安全的,因为它们并不是真正的秘密,任何高分辨率相机实际上都可以读取大多数生物特征,而且这些信息通常也为政府所知。$ ~9 ~7 z+ Z$ m. S" _
当生物特征不可用时,用户数据表单仍然提供相当好的安全性,因为合约中存储的哈希是离源数据非常远的加盐(salted )哈希,即使只有名字被用作user_secret_data,也是很难发现的。这些数据越不可预测,就越能抵御目标攻击,而目标攻击仍需要发现用户列表并接收足够的授权。
) v" {0 ^1 I4 r8 f在成功执行之后,需要重新配置以实现安全性保障。在经历一次恢复后,恢复合约必须禁用自身,并等待新的配置。) ^) C  P1 h; i- P1 J$ M7 _
可能存在的攻击
- ]5 v/ g: B8 o4 D需要注意的是,支持此EIP的钱包,应考虑用户可能被请求帮助恢复其他账户,而请求可能来自任何知道secret_set的人,包括合法拥有者或以某种方式获取secret_set的攻击者。
% L# a$ j) Q0 @3 e, q" s因此:3 d7 J' W# W7 [" P) v
钱包必须询问用户请求的合法性,询问请求是否是通过个人验证后进行的;用户必须知道,他们对自己的链上操作负有责任(在某些国家是道德的、合法的),并且必须验证恢复请求的合法性;视频通话可能是通过AI伪造的,但攻击者需要图像和语音样本,例如互联网上的公共演讲内容;为名人进行恢复的用户,永远不要信任视频通话,应该去尝试直接联系周围的人,以检查请求的合法性;) I+ k8 ^3 q3 ^$ o3 h
简评:这种方案正是针对Peter Schiff这样容易忘记钱包密码或私钥的群体而设计的,但其也存在着安全隐患,而它对加密货币的社会可扩展性而言是非常重要的,因为多数人在最初接触加密货币时会和Peter Schiff类似。本文省略了很多技术细节内容,有兴趣的读者可以看原提案内容:https://gitlab.com/status-im/docs/EIPs/blob/secret-multisig-recovery/EIPS/eip-2429.md
BitMere.com 比特池塘系信息发布平台,比特池塘仅提供信息存储空间服务。
声明:该文观点仅代表作者本人,本文不代表比特池塘立场,且不构成建议,请谨慎对待。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

成为第一个吐槽的人

今日晚报灼 小学生
  • 粉丝

    0

  • 关注

    0

  • 主题

    8