CFT50区块链与密码学研讨会在上交所召开
2017-11-11 金融科技研究 CFT50区块链与密码学研讨会在上交所召开
11月11日,上海。由中国金融科技50人论坛(CFT50)与证券信息技术研究发展中心(上海)举办的“区块链里的密码学技术”闭门研讨会议,在上海证券大厦举行。来自社科院、上交所、上海保交所、中金所、香港大学、上海支付协会、银联、蚂蚁金服、华瑞银行、海尔金控、万达网络、分布科技、井通网络、镍磐科技、荣泽科技、众之金服等机构和企业的近40位嘉宾出席。
会议由中国社科院金融研究所所长助理、CFT50首席经济学家杨涛主持,上交所技术有限责任公司架构师朱立代表主办方致辞,CFT50学术成员、Chinaledger技术委员会主任、前上交所总工程师白硕,北京邮电大学副教授王励成,上海保交所区块链底层首席架构师燕宝分别进行了主题发言,嘉宾们就密码学与区块链技术的关系,国内外密码学发展现状,面临局限与应对等议题进行了深入研讨。
王励成教授认为,密码学是区块链从艺术走向科学的必由之路。
近年来,区块链技术快速的发展,在金融领域有大量应用落地。与此同时,也暴露出了一系列安全风险和技术漏洞,令更多人开始关注区块链的底层技术——密码学,这也正是我们今天研讨聚焦的主题。
2017-11-20 上交所朱立:联盟区块链最大的技术挑战将是隐私保护
2017-11-21 上交所朱立:许可链的性能优化
朱立介绍了证券信息技术研究发展中心正在进行的区块链相关课题研究,展示了区块链性能提升的成果。朱立认为,从技术角度,联盟区块链的交易吞吐量提升不再是挑战,更高的挑战是隐私保护,这是区块链和密码学需要一起应对的难题。
白硕进行了题为《区块上隐私与数据主权保护》的主题演讲。白硕认为,数据主权问题普遍存在且日益迫切,区块链+密码学可提供解决方案,这项工作的意义重大,挑战性强,技术壁垒高,需要优势互补、共同应对。
王励成的演讲主题是《区块链中的密码学》,回顾了区块链采用的主要加密技术的发展历史,以及两者结合带来的安全优势,算法的脆弱性及应对策略,面临的其他局限和创新方向。
燕宝的演讲题目为《区块链技术体系中的加密技术——量子密码和后量子密码》,介绍了量子密码体系的发展和基本方案,比较了四种后量子密码体制的优缺点,回顾了区块链系统遭遇的相关攻击和用于密码破译的量子算法。
有观点认为:没有密码学就没有区块链。
经过了20年的科学研究,在密码学领域和去中心化计算网络上都产生了新的进展,带来诸如区块链技术之类的前沿技术,而这些技术可能潜含着从底层的改变社会运转方式的力量。
自2011年开始,全球区块链技术研究、实践的趋势愈加强烈,特别是在金融领域有大量应用落地。与此同时,也暴露出了一系列技术漏洞、安全风险和机制缺陷,令更多人开始关注区块链的底层技术——密码学。优势与局限,恰如剑之双刃,如何用好密码学来逐渐更新与完善当前的区块链技术,让理念真正落入现实——建立起去中心化的可信网络,值得区块链、密码学和金融领域的专家共同认真研讨。
在主题分享之后,与会嘉宾进行了圆桌研讨,参与嘉宾包括:
- 井通网络科技有限公司研发工程师蔡维佳,
- 上海华瑞银行创新部总经理、区块链负责人方宵恩,
- 分布科技联合创始人、分布科技密码学工程师李俊,
- 众之金服区块链负责人李伟,
- 现代支付与互联网金融研究中心主任、上海市支付协会副秘书长马颖,
- 蚂蚁金服高级专家殷山,
- 江苏华信区块链研究院副院长助理张戴维,
- 中金所技术公司工程师章庆,
- 荣泽科技钟晓等。
王励成:密码学研究与区块链实践应该打破隔空喊话
2017-11-17 北邮王励成:密码学研究与区块链实践应该打破隔空喊话
作为一个哈希算法,它的安全性有三层含义,第一个就是抗碰撞,第二层抗第二原像,第三层是抗第一原像。从攻破的难度讲,找到碰撞是最容易的,找到第一原像是最难的。
第二个绕不开的密码原语是数字签名。数字签名概念的提出者是Diffie和Hellman,1976年他们开辟了公钥密码学方向。最终到2015年,(他们两位)获得了图灵奖,可谓实至名归。数字签名作为公钥密码学的基本原语之一,它的安全目标主要是确保消息源的认证性、不可抵赖性、完整性,它有一个标准安全性定义,是指在选择消息攻击下存在性不可伪造(EUF-CMA)。
- 1984年,ElGamal的签名方案和他的加密方案一块提出,他的签名方案很快就演变成了DSA和ECDSA,这是我们区块链所使用的,所以这里要强调一下。
- 1989年,Schnorr签名发表,后来还发展成了EdDSA,这也是在区块链当中有用的。
这里我简单对照了一下ECDSA和EdDSA。原则上说它们都是基于椭圆曲线的
- 只不过ECDSA是比特币、以太坊都在使用,相比来说,EdDSA计算效率更高,安全性也更好,而且已经被互联网研究专业工作组选为TLS下一代椭圆曲线。
- 而EdDSA是Zcash、门罗比等在使用,它用的是扭爱德华曲线——一种平面模型的椭圆曲线。
标准的数字签名说完,我们再说一些关于数字签名的一些变种原语在区块链里的使用情况。
首先是一次签名在门罗币里的应用。一次签名的概念很简单,就是一个签名私钥只能使用一次,第二次使用就会泄露签名私钥,所以不可能轻易去使用第二次。这个概念是Lamport提出的,他也是图灵奖获得者。
门罗币拿一次签名做什么?用来隐藏收方和发方的地址。
假设在区块链上的某一个用户有两个长期的公私钥对,就按照这个式子来简单组合成一个临时的公私钥对。红色的都代表私钥,黑色的值代表公钥,通过这样一个组合方式,因为有随机性就达到了隐藏长期公钥的目的。
第二个在区块链里有用的就是环签名。环签名的概念就是任意组环,环中任何一个人均可能是签名人,达到的是无条件匿名。
那么这个无条件匿名太厉害了,所以现在要加一点限制,特别是反洗钱的要求。所以这两年提出了可链接环签名,环中同一个人的两次环签名可连接起来,但签名人的身份仍然是匿名的。
接下来我会说同态加密,同态加密就是不需解密,基于密文进行运算,它可用于安全多方计算、云计算等场景,包括刚才白老师讲到的很多需求我感觉用同态加密都可以做。
我们再提一下最近的一个应用,叫做密码掷签或者叫做秘密抽签,它可以看作是一个有效的民主化的共识机制——Algorand,是Micali提出的,他是12年获得图灵奖的。
他基本的思想是用加密历史区块的方式产生随机数。
我比较看好这个方式。而其他的方式,例如PoW,工作量证明,就等于说谁拳头硬谁说了算,PoS谁腰包鼓谁说了算,总觉得不是一个民主化的社会。
Algorand怎么说呢?
让运气来决定,就是靠密码算法得出了随机数,上一个区块里的一些数据作为一个随机数的种子,再加上后续的一些数据,使得在下一个区块诞生之前,攻击者或任何人,包括自己都不知道谁会不会是记账者、会不会是验证者。这就实现了真正的民主,也就是说靠运气,看上帝选中谁了,这就是最公平、最理想的。
工程界是不是看好这个Algorand机制,我不知道。其每一步都是用的可证明安全的方法,我们做密码的人非常喜欢,这在理论上是没有任何问题的;但是工程上到底行不行我们需要测试。他的论文也一直在更新,现在已经更新到第九版,已经超过了70多页。
关于区块链结合密码的安全优势,有几个方面:
- 首先是区块链开源的精神。开源的精神拥抱Kerckhoff原则,它是密码学公开研究的一个原则,其含义就是密码算法必须是公开的,这跟区块链开源精神是一致的。
- 可证明安全,是一个很好的工具。区块链结合密码学,特别是结合公钥密码学的可证安全方法,可能会是区块链从艺术走向科学的必由之路。
- 当然,工程可以先行。从研究的角度来说,安全现在离科学还差一点点,安全还停留在艺术的层次,这儿加了一个补丁,那儿想一个妙招,而密码学已经进入了科学发展的阶段,它有严整的体系,一套数学化的体系。
目前区块链采用密码学的脆弱性及应对策略。一个是现在有很多新的链出来,使用的一些哈希都根本没有经过密码圈充分的攻击。一个密码算法要能够投入使用,国际范围内对它的分析和攻击是必不可少的。现在那些新的币和新的链使用了自己的哈希,这是不是一个问题?我的建议就是,尽量选用国际标准的哈希算法。再一个就是ECC类的算法不抵抗量子攻击,我们需要逐步切换到抗量子密码上。
因此,从目前来看,靠量子算法攻破这些密码算法暂时还没有那么危险。况且做经典密码的人有两个信心,
- 一方面国际上已经在征集后量子密码的标准,这个标准一旦公布,我们就可以切换到抗量子的(密码)标准上去;
- 另一方面,每一个经典密码的设计寿命其实是有限度的,有时候还没有到那个年限,我们早就换掉了。
所以我觉得量子攻击要考虑,但不是区块链当前特别严重的问题。
研讨最后,王励成教授建议:现在可能业界跟学术界隔空喊话太多。
从纯技术原理上讲,大家提的问题其实不是可行性问题,而是可用性的问题,这两个差别在哪。
- 可行性就是原理上通,这个就可行,
- 可用性就是如果效率上制约了,用不成就是不可用。
可用性问题有时候撇给我们(做理论的),我们解决不掉,我们必须是跟工程技术人员,特别是跟具体的业务系统的实现,做深度的融合,才有可能解决底层的可用性问题。