以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Luna > Info

區塊鏈:密碼學博士帶你了解「零知識證明」與「隱私幣」

Author:

Time:1900/1/1 0:00:00

「琬點聊」是Blocklike推出的線上直播系列欄目,每周我們都會邀請近期最「搞事情」的交易所、熱搜幣種、能聊熱點話題的大V進群分享討論。3月26日19:00,「琬點聊」第二十五期開播,本期主題為「密碼學博士帶你了解零知識證明與隱私幣」,本次直播由BlocklikeCEO小琬對話上海交通大學密碼學博士、SuterusuCTO林煌。林煌博士:SuterusuCTO,擁有上海交通大學的密碼學博士和佛羅里達大學的隱私保護分布式系統博士學位。曾在洛桑理工學院擔任博士后研究員,負責基因組數據保護和基于區塊鏈的數據貨幣化方面的應用密碼學研究。后任香港應用科技研究院副主任工程師,是若干區塊鏈項目的PI,負責架構及方案設計。曾在多個頂級IEEE期刊和密碼安全會議上發表二十幾篇論文,引用次數過1000。本次直播中,林煌帶我們進入了密碼學的世界,深入淺出地科普了關于隱私保護,零知識證明的原理,隱私幣的種類差異等等問題。以下為本期直播內容,由Blocklike編輯整理:小琬:近期主流社交媒體微博被爆出泄露用戶大量隱私,「有5.38億條微博用戶信息在暗網出售,其中,1.72億條有賬戶基本信息。涉及到的賬號信息包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等」,此事在社會上引起了熱議。作為隱私保護方面的專家,您認為目前社會中存在的隱私泄露事件都是由哪些原因引起的?隱私泄露都有哪些路徑呢?林煌:導致隱私泄漏的原因可以從兩個角度分析:一個是系統在設計實現時存在的漏洞,另外是用戶在實際使用過程中的疏忽。比如這次微博隱私信息泄漏事件,我了解的情況是微博的訪問控制系統允許用戶使用本地手機通信錄來搜尋朋友手機號所使用的賬號。這個看似合理的訪問控制機制允許黑客利用這個漏洞,通過偽造本地手機通信錄來掃描賬戶所使用的手機號。這個算是系統設計時的疏忽導致的攻擊。另外一些實現方面的漏洞,比如很多安全系統用到密碼算法,而密碼算法的實現是很容易出問題,如前段時間轟動一時的針對openssl實現的heartbleed攻擊,還有針對各種系統漏洞的零日攻擊等等。在實際使用中也容易出現各種問題,比如用戶在選擇系統密碼時可能會選擇一些隨機性極弱的密碼,如123456等,這個黑客很容易就能猜出來,還有用戶為了記憶方便,可能在多個網站上使用相同的密碼,這也很容易導致黑客通過撞庫猜出對應的密碼。這些看起來似乎是個很常見很容易解決的問題,但在實際中確實屢見不鮮,甚至國家級的安全部門都會犯這種低級的錯誤,比如最近CIA的一個用于網絡攻擊的工具庫的泄漏也是由于管理員設置的密碼過于簡單,結果被人成功攻擊了。據報道,他們設置的密碼分別為123ABCdef和mysweetsummer,所以哪怕這些理應非常專業的部門也會犯這種非常低級的錯誤。另外很多時候黑客會使用各種malware來攻擊,比如給用戶發些附有malware鏈接的釣魚郵件等等,很多時候這種社會工程學的攻擊往往會利用一些人性的弱點,所以需要用戶隨時保持警惕才能防止這種攻擊。小琬:允許使用本地手機通信錄來搜尋朋友手機號應該是社交平臺必備的功能,是否都會存在比較大的信息泄露風險?畢竟連微博實力這么強的平臺都會有漏洞,更別提小軟件了。林煌:是的,所以很多時候系統設計時可能需要在系統的可用性和安全性之間做取舍。安全本質上是取舍的藝術。小琬:隱私的重要性不言而喻,對于大數據時代習慣了使用互聯網生產和生活的個人及組織更是如此,然而目前的現狀卻是大眾苦隱私泄露久矣卻多束手無策,在您看來,我們可以通過哪些門檻較低的方法來保護個人及組織的隱私?如果隱私已經泄露出去了,可以有哪些方法來及時止損呢?林煌:我覺得首先要防患于未然,也就是在系統設計實現這個階段要有專業人士參與,尤其是像密碼方案的設計和實現有很多需要注意的地方,比如要使用在實際中被反復測試過的密碼代碼庫等。這也是為何我們強調應該多支持密碼代碼庫的設計和實現,包括像Suterusu這種項目,因為安全可靠的密碼代碼庫需要出色的密碼學家和工程師通力合作,這需要有足夠的資源長期地支持才可能完成。另外,從用戶的角度講,要提高安全意識,養成良好的上網習慣,如果你嫌設置隨機性高的密碼使用起來過于麻煩,也可以用一些密碼管理器。當隱私信息泄漏時,比如微博上的賬戶密碼泄漏,應該及時地重置相關隱私信息。小琬:其實大家都會有意識的保護隱私,但有時候防不勝防。比如密碼的管理,安全和容易記憶也需要取舍。我也嘗試用過密碼管理器,不過比較擔心密碼管理器的安全。林博士覺得密碼管理器是否安全,有沒有推薦的比較安全的密碼管理器。林煌:其實還是有些簡單易用的密碼生成和記憶法的,也不一定非得用密碼管理器。我不使用密碼管理器的,可以給你推薦一種manuelblum,一個圖靈獎獲得者設計的一種隨機密碼生成法。這個基本思想是,你自己設計一個數學算法,將字母和數字對應。然后每次你用一個網站,你可以用該網站網址使用這個算法和數字對應,當然生成的密碼隨機性不一定足夠強,不過如果你的算法本身不泄漏的話,在實際中應該是夠用的。小琬:主打隱私保護的隱私幣作為一種特殊的幣種,在行業中熱度很高,您作為密碼學博士,是如何看待隱私幣的呢?不同的隱私幣有哪些區別?林煌:首先隱私幣是一個將理論密碼學應用于實際的非常棒的社會實驗。由于這些嘗試,零知識證明等非常艱深的密碼學概念才得以走出實驗室,為大眾所知。目前主流用到零知識證明的隱私幣主要包括zcash,門羅幣以及稍微小眾點的grin和beam。zcash所使用的零知識證明需要可信初始化,他允許攻擊者在無法被偵測到的情況下打印無限量的zcash,而門羅幣目前使用的環簽名方案雖然不需要可信初始化,但簽名大小還是和匿名集合線性相關,相對而言又不是那么scalable。grin和beam都是mimblewimble協議的實現,由于mimblewimble協議本身是在匿名性和scalability之間找tradeoff的方案,所以在隱私性上相對弱一些。另外上述幾種隱私幣幾乎都不支持智能合約。我們Suterusu項目提出的匿名支付方案允許我們的隱私保護區塊鏈協議在安全性和可擴展性之間獲得最佳均衡,即幾乎常數級別的證明大小且無需可信初始化。我們的匿名支付方案還支持智能合約平臺,因此能支持些更為復雜的金融科技方面的應用。如果大家有興趣了解更多關于隱私幣方面的區別,可以參考下我之前寫過的兩篇相關的文章:雜談去中心化隱私支付和介紹zcash和mimblewimble的文章。小琬:這里可能還需要您解釋一個概念:可信初始化。林煌:所謂的可信初始化是由于這種類型的零知識證明協議的初始化過程中涉及一些陷門知識,這種陷門知識好比數字簽名方案中的私鑰。在簽名方案中你的私鑰泄漏給攻擊者,那攻擊者可以生成合法的簽名而不被探測。在零知識證明方案中這種陷門知識泄漏則允許攻擊者生成合法的證明而不被探測。由于在實際中需要一個entity負責初始化過程,這種陷門知識必然為這個負責的entity所掌握,因此實際上這和去中心化支付的理念是背道而馳的,而且也是個巨大的安全隱患。盡管zcash試圖使用安全多方計算來解決這個問題,但安全多方計算還是有可能引入新的安全漏洞,而且攻擊者還是有可能成功攻擊這些多方計算的參與者,所以這不是徹底的解決方案,理想的零知識證明方案應該是無需可信初始化的。小琬:零知識證明被認為是保護數據隱私的一種優質方案,但其作為一種新型的科學技術,尚難以被大眾理解。作為零知識證明領域的前沿探索者,請您為大家深入淺出地講解一下零知識證明的原理。林煌:零知識證明其實可以看作一種加密的數學證明。當你讀完一個數學證明,正常情況下你應該有種在數學上功力見長的感覺,因為你掌握關于這個定理的新知識。而零知識證明則有所不同,他的目的不在于讓證明驗證者掌握新知識,他的核心目的是說服驗證者證明者懂得如何證明這個命題,或者更正式地說他掌握了使得命題成立所需的秘密,僅此而已。他不關心驗證者讀完證明后有沒有掌握新知識,事實上這里的零知識恰恰被定義成證明本身除了泄露一個事實:即證明者掌握了使得命題成立需要的秘密外,不泄漏其他任何信息。所以零知識證明的證明往往是以密文的形式出現,所謂密文你可以把他看作一堆亂碼。換句話說通過讀這些亂碼,就能相信命題成立,相信證明者懂得如何寫這個證明,但除此之外你一無所知。由于零知識證明本身是以亂碼的形式出現,這時候我們就得考慮一個問題,就是如果一個沒有掌握證明這個命題所需秘密的人,一個攻擊者渾水摸魚濫竽充數怎么辦?所以零知識證明的另外一個性質可靠性就變了非常有意義,他的目的就在于保證攻擊者在不掌握證明命題成立所需的知識或秘密情況下是無法偽造證明的。當然,零知識證明還得考慮完整性這個性質,我們這里暫時就不展開了。通俗地說,零知識證明可以看作數字簽名和加密兩種概念的推廣和結合。零知識這個性質其實和加密方案所需的保密性有一定對應關系的,加密方案的保密性能保證加密密文不泄漏所加密明文的任何有用信息。零知識這個性質在隱私幣中則通常用于保證隱私性。而可靠性則可以看作數字簽名方案的不可偽造性在通用命題中的一種推廣。在數字簽名方案中,一個沒有簽名密鑰的用戶是無法偽造簽名的,這就是所謂的不可偽造性。零知識證明的可靠性在隱私幣中往往用于保證只有用戶掌握隱私幣對應的秘密情況下才能成功花掉相應貨幣。小琬:中本聰在其短短9頁的比特幣白皮書中用了一整個章節討論比特幣的隱私問題,數字貨幣自誕生以來,圍繞著其產生的隱私安全問題就一直備受行業從業者的關注,請問在您看來零知識證明可以為數字貨幣的隱私安全提供哪些助力?林煌:零知識證明在保密支付中最簡單的應用就是用于證明當輸入和輸出金額以密文或數字承諾的形式出現時滿足balance的條件,即輸入金額之和等于輸出金額之和。由于密碼方案通常在有限域上進行,因此一個負數等價于一個很大的正數,往往需要使用區間證明來證明金額在合理的范圍之內。為了保證交易參與者的隱私,會使用到成員證明來隱藏交易發起者身份。另外,如果發送者需要給接受者加密一些信息,可能會使用零知識證明證明所加密內容的合法性。這些都是零知識證明在數字貨幣交易隱私方面所起的作用。近來,零知識證明在personaldatamonetization方面也出現了不錯的應用,比如basicattentiontoken項目最近使用零知識證明在保證用戶隱私的同時區分獲得token的是真正的用戶而非僵尸網絡,詳情請查我之前寫的介紹這個zk-sense項目的文章。這個既和basicattentiontoken這個數字貨幣有關,又和傳統互聯網經濟的新模式相關,非常有意思。另外,如果考慮數字貨幣的應用基礎設施的話,比如半去中心化的身份認證設施或者聯盟身份認證設施,由于涉及用戶身份隱私和可問責性,零知識證明也有用武之地。小琬:著重于隱私、分權及可擴展性的門羅幣是最早的也是最熱門的隱私幣種之一,有非常多的用戶持有并且使用它,請問您對門羅幣的評價是?林煌:門羅幣在社區方面做得很不錯,但就像我上面提過的那樣,在scalability和效率上其實還有很大的提高空間,另外,門羅幣本身是不支持智能合約的。相比之下,我們Suterusu的方案在安全性上不遜色于門羅幣,在scalability上比他們更有優勢,且支持智能合約。小琬:目前全球對于數據與隱私安全間的政策尚不明朗,很多留存在互聯網中的隱私正在被當做是免費的數據在使用,有觀點認為數據的「隱私」邊界不在該不該發現和匯集一些必要的信息,而在于后續,這些信息如何被保存、管理、分析和使用。請問在您看來,數據的監管與「隱私」邊界在哪?林煌:這種觀點可能未必準確,我認為保護數據的隱私必須從數據源頭做起,我們知道系統的安全程度取決于系統中最弱的一環。而很多時候,數據系統最弱的一環可能就恰恰在數據的源頭,目前隱私系統設計的一些新理念包括bringapplicationtodata事實上也和這個前提密切相關的。近年來隱私數據監管方面的進展是有目共睹的,這包括歐洲的一般數據保護法和美國加州最近公布的消費者隱私法。這些法規對商家monetize用戶數據的過程提出了很多要求。比如CCPA明確指出:用戶個人信息如果被用于所知會的不同目的,商家必須提前告知并征得用戶同意才行。再比如,商家如果提供金融激勵來購買用戶隱私數據時,必須明確說明估算用戶數據價值的具體方法。在法規上逐漸明確地定義用戶對個人數據的所有權和控制權是件好事,但法規沒有技術的配合是行不通的。未來隨著個人數據主權的建立以及personaldatamonetization框架的建立我相信密碼技術會在這個過程中起到至關重要的作用。這里可能包括從在多方數據分享時可能用到的多方計算技術,為了保證多方計算過程的計算可靠性會用到的零知識證明技術,比如為了給隱私數據合理定價設計的隱私保護的數據定價技術,甚至可以想象將來由于用戶數據對于不同的買家的價值不同而導致價格不同,也許智能合約也可以用于自動化這種monetization過程。小琬:您在Suterusu擔任CTO,這個項目在應用路徑上跟其他隱私幣的差別在哪里?林煌:我們設想的Suterusu的應用場景主要有以下幾種:匿名交易,關于數字貨幣的匿名化要求將越來越強,Suterusu作為一個隱私保護二層協議將為其他主流數字貨幣提供匿名化服務。另外,我們也會考慮提供可控匿名的模塊,從而滿足用戶對合規化方面的要求。由于suter提供了智能合約功能,可以通過智能合約自動化實現合規請求。另外一個應用場景是零知識身份證明,現在一個網站的注冊用戶登錄時幾乎都要向網站管理員泄漏自己的身份,通過在身份認證過程中引入零知識成員證明有可能在滿足身份認證要求同時還能保護用戶隱私。此外,我們也在研究使用零知識證明來提高區塊鏈系統的scalability。目前比如zk-rollup還有coda的思路都是使用零知識證明來提高區塊鏈的scalability,但它們多多少少都存在一些安全隱患。比如幫助生成零知識證明的operator有可能被dos攻擊等,所以,這方面也是我們研究努力的方向。

密碼學博士高承實:量子計算機大規模應用將對非對稱密碼算法和哈希函數帶來致命性的影響:密碼學博士,計算機應用專業副教授高承實發表《量子計算機的應用會顛覆掉比特幣系統嗎?》專欄文章,文章表示,量子計算機從發展狀況來看,還處于極其早期階段,離真正實用還有相當遠的距離。如果量子計算機真正能夠大規模應用,將對密碼算法當中的非對稱密碼算法和哈希函數帶來致命性的影響。現在基于數學難解問題而生成的非對稱密碼算法RSA和ECC安全性將不復存在,哈希函數的抗碰撞性也將受到極大挑戰,除非盡可能增加哈希函數的輸出長度。目前的非對稱密碼,主要是ECDSA和哈希函數SHA256,是比特幣系統最核心的底層技術,確保了比特幣分配和支付的安全,在比特幣系統的多個環節得到了應用,包括生成錢包地址、對交易進行簽名和驗證、計算區塊內所有交易的默克爾數生成區塊以保證塊內數據難以被篡改、激勵礦工開展挖礦競賽以維護系統的自運行……如果ECDSA和SHA256兩種算法的安全性不復存在,那么整個比特幣系統的安全性也將不復存在。

當然我們也沒有必要那么悲觀。第一,量子計算機的真正使用還有相當遠的距離;第二,隨著量子計算以及量子計算機的發展,抗量子計算的密碼算法也會同步得到發展,比如格密碼。

真的到了那個時候,或者比特幣系統中的密碼模塊會替換為抗量子計算的密碼模塊,或者比特幣已經完成它的歷史使命,從這個世界上消亡。(財新)[2020/12/24 16:21:46]

Nervos研究員論文被國際密碼學頂會歐密會收錄:近日,Nervos基金會密碼學研究員Alan Szepieniec的論文《Transparent SNARKs from DARK Compilers》被國際密碼學頂會歐密會收錄,同時,Alan也受邀在該會議上發表了主題演講。這項基礎性的工作為零知識證明領域貢獻了一種全新的無需Trusted Setup的通用工具,標志著 Nervos在2020年的研究工作又向前邁進了堅實的一步。

歐密會(Eurocrypt)是密碼學中最著名的學術會議國際密碼學協會所主辦的三大旗艦會之一,在CCF推薦列表和 CACR列表中均為A類會議,密碼學中最重要的文章一般都會在這三個會議中發布。Eurocrypt 2020是第39屆密碼技術理論與應用國際會議,首次在線上舉行。[2020/5/18]

聲音 | “現代密碼學之父”迪菲:量子計算不會威脅到區塊鏈:據澎湃消息,3月27日,被譽為“現代密碼學之父”的圖靈獎得主惠特菲爾德?迪菲(Whitfield Diffie)在博鰲亞洲論壇上接受澎湃新聞采訪時表示,量子計算只會威脅到密碼學中非常窄、但非常重要的一個領域,上世紀70年代建立起來的公鑰加密體系會變得脆弱。但密碼學中的許多技術,包括區塊鏈用到的哈希編碼在量子計算面前并不脆弱。[2019/3/27]

聲音 | 楊慶峰:現代密碼學結合區塊鏈技術可基本消除技術層面的安全問題:據澎湃新聞消息,上海大學哲學系教授楊慶峰發文指出,如果說長三角一體化建設過程中數據共享會成為一個問題,數據共享會影響到未來長三角一體化公共服務的落實,那么這個問題就必須嚴肅對待。同時,其表示現代密碼學的方法已完全可以解決這一問題,再加上區塊鏈技術的未來運用的可能性極大,這基本上消除技術層面出現的安全問題。需要擔憂的是倫理方面的問題,諸如隱私保護、被遺忘權等方面的問題。[2019/3/14]

聲音 | 密碼學高級研究員Vidyasagar Potdar:許多加密貨幣交易所未建立足夠的密碼安全壁壘:根據Itp.net消息,近日,科廷大學高級研究員Vidyasagar Potdar進行的一項研究表明,現今流行的11種加密貨幣交易所均存在密碼安全性問題,這些安全漏洞可能直接導致用戶的加密貨幣或是用戶憑證被盜用,交易所也會因此喪失聲譽和公信力。同時,Potdar還認為交易所應該普遍提高安全標準,因為安全性對于金融交易至關重要,這也是用戶選擇交易所的信心來源。[2018/9/4]

Tags:比特幣區塊鏈ALASUTER穩定幣和比特幣的區別是什么幣換天下區塊鏈ALAXSUTER價格

Luna
BLO:EOS周報 | “EOS生態”資金盤借節點旗號斂財1700萬;Block.one或借豁免權免受律所集體訴訟事件影響(3.31-4.7)

本周大事記 EOS漲勢喜人。周內,EOS突破2.7美元關口,在4月7日凌晨迎來了高達9%的上漲幅度。目前EOS在2.75美元附近盤整,是自3·12下跌發生后出現的新高點.

1900/1/1 0:00:00
BCH:BCH、BSV雙幣減半,對BTC后續影響幾何?

文|黃雪姣編輯|郝方舟出品|Odaily星球日報 人們盼望已久的減半“先遣軍”,BCH,終于迎來減半.

1900/1/1 0:00:00
COI:N號房經營者一個以太幣錢包就收入24億韓元

調查顯示,在Telegram上經營“N號房”聊天群分享性剝削視頻的趙周彬(音)從2018年就開始通過加密貨幣收取加群會費.

1900/1/1 0:00:00
TON:TON社區:沒有誰能阻止TON的啟動

編者按:本文來自Cointelegraph中文,作者:MICHAELKAPILKOV,Odaily星球日報經授權轉載。盡管美國法院裁定禁止TON區塊鏈,但其開發者仍在考慮部署該區塊鏈.

1900/1/1 0:00:00
INM:星球前線|幣安或將以4億美元收購CoinMarketCap

Odaily星球日報譯者|余順遂 摘要: 據TheBlock了解,幣安收購加密數據網站CoinMarketCap的談判已進入最后階段。知情人士透露,幣安希望為這筆交易支付高達4億美元的費用.

1900/1/1 0:00:00
AIN:揭秘行情分析師亂象:抄襲、偽造收益、花式喊單,聯合機構做局

編者按:本文來自DeepChain深鏈,作者:不二做,Odaily星球日報經授權轉載。“翻車”對于行情分析師來說是家常便飯,畢竟對于預測未來,沒有人能夠十拿九穩.

1900/1/1 0:00:00
ads