密鑰繁多難記難管理？認識高效密鑰管理體系_DGE

作者：嚴強

來源：微眾銀行區塊鏈

密鑰設置是否只要夠安全就能夠重復使用？定期修改密鑰到底有沒有必要？密鑰不幸遺失該如何恢復？素未謀面的雙方，如何才能安全地進行密鑰協商？

上一論我們了解到，基于密碼學的隱私保護方案，其有效性很大程度上取決于能否有效管理好密鑰。這里，我們將進一步分析密鑰管理的具體范疇、每個操作環節的典型風險，以及應對手段。

密鑰管理的對象是密鑰本身或者用于生成密鑰的密鑰材料，三類主要操作環節包括密鑰的使用、保存和協商。

鑒于人類用戶和計算機系統在自身能力上的差異，需要使用不同技術手段和治理手段來實現有效的密鑰管理，以下將對三類操作環節一一展開分析。

密鑰的使用

密鑰的使用是指，用戶基于根密鑰，為不同業務操作生成實際使用的密鑰的過程。這一過程不僅僅包括，直接使用預先設定好的密鑰，如輸入用戶記憶中的用戶口令，還包括使用經過一定變換后的密鑰。

其主要風險是密鑰泄露導致的非授權使用，可能會造成以下后果：

由該密鑰加密的隱私數據泄露。特別是當所有歷史隱私數據都只用一個密鑰加密時，攻擊者將有可能獲得所有歷史隱私數據明文。

使用該密鑰通過身份驗證入侵系統。不只是數據，攻擊者可以獲得用戶所有的操作特權，例如，惡意修改系統訪問控制參數、使用具有法律效應的數字證書對未授權的內容進行數字簽名等。

Ledger澄清：新推出的密鑰恢復服務Ledger Recover沒有任何后門:金色財經報道，硬件錢包制造商Ledger在社交媒體發文澄清，新推出的密鑰恢復服務Ledger Recover沒有任何后門，用戶需要在Ledger上批準該服務，否則永遠不會創建備份，Ledger表示這就是擁有安全硬件和安全屏幕的原因并呼吁用戶相信設備安全。Ledger今日發布Ledger Nano X固件 (2.2.1) 版本更新引入一項名為“Ledger Recover”的服務/功能，可以備份恢復用戶的私鑰助記詞 (SRP) ，但引起Web3用戶的強烈批評，因為該功能需要在線存儲秘密助記詞并與護照或證件信息相關聯且要求KYC注冊。[2023/5/17 15:07:14]

針對這些在密鑰使用環節的風險，核心的應對手段為

密鑰輪轉，即每隔一定時間，生成一個新的密鑰。

對于計算機系統，一般可以輕易生成新的隨機密鑰。新密鑰與舊密鑰可以沒有任何關聯，其有效期限和密鑰本身都將保存在高安全級別的存儲介質中，以此最小化密鑰暴露的風險。

然而，以上方案對于用戶而言，可用性不高。

對用戶來說，生成一個安全的新密鑰，且能夠記住和使用它，已經不是一件容易的事。如果再進一步要求用戶記憶多個超長、隨機、無關聯的密鑰，那用戶很有可能被迫“變通”，使用不安全的手段，例如將密鑰全部寫在紙上、未受保護的手機APP里。

如何讓用戶只記憶一個密鑰，還能實現有效的密鑰輪轉，這里可以用到的關鍵技術是密鑰派生函數。

BlockBank運營主管：沒人知道誰在控制薩爾瓦多的BTC密鑰:9月28日消息，薩爾瓦多本月早些時候正式承認比特幣為法定貨幣，但許多問題仍未得到解答，其中包括一個出于安全目的的重要問題：誰控制著該國比特幣存儲的私鑰？加密錢包提供商 BlockBank 運營主管 Nolvia Serrano 在接受采訪時提出了這個問題，她表示：今天我們的標準是什么？薩爾瓦多會購買更多比特幣嗎？是不是要等到下個月？我們不知道。他們是否打算購買更多比特幣？購買過程是什么？誰在控制BTC密鑰？誰在監督這些過程？此外，Nolvia Serrano還成薩爾瓦多政府尚未披露為 Chivo 錢包選擇供應商的標準，并認為比特幣對透明度的承諾與薩爾瓦多缺乏公開信息的比特幣政策存在明顯差異。根據弗朗西斯科加維迪亞大學公民研究中心委托今年 7 月進行的一項調查發現，77% 的薩爾瓦多人認為該國總統的比特幣法案不是明智之舉，今年 9 月進行的第二項調查發現，超過三分之二 (67%) 的受訪者不同意或強烈反對比特幣成為薩爾瓦多的法定貨幣。[2021/9/28 17:11:28]

KDF具有兩個核心功能：

將一個短的用戶口令延長到一個滿足安全密鑰長度的密鑰。

由一個根密鑰生成多個滿足安全密鑰長度的密鑰。

典型的KDF，如IETFRFC2898標準中的PBKDF2函數，可以表達成如下形式：

DerivedKey?=?PBKDF2(PRF,?Password,?Salt,?IterationCount,?DerivedKeyLength)

動態 | 加密公司Vault12獲Winklevoss Capital支持，允許用戶通過監護人保護私人密鑰:據TheBlock消息，加密貨幣托管初創公司Vault12獲Winklevoss Capital支持，開發了個人加密貨幣安全解決方案，通過使用一種名為Shamir的加密技術，讓朋友和家人作為“監護人”保護用戶的私人密鑰。[2019/10/31]

其中：

PRF是一個隨機數生成函數，負責在運算過程中生成一系列隨機數。

Password是用戶口令。

Salt是為了防止批量窮舉攻擊而設置的鹽值，其作用等價于用戶專屬的隨機種子。

IterationCount是生成派生密鑰時所需迭代計算的次數，可以通過刻意增加迭代計算的次數，加大攻擊者窮舉攻擊的難度。

DerivedKeyLength是派生密鑰的長度，一般比用戶口令長很多。

PBKDF2函數的五個輸入中，用戶只需要記憶用戶口令Password，其他都可以由輔助的計算機系統來計算完成。用戶口令可以根據用戶的偏好設置，不影響用戶體驗。同時只要用戶口令夠長，安全性風險一般都比較可控。

除了PBKDF2之外，BIP-32標準中HierarchicalDeterministic密鑰錢包設計的核心也是KDF。區別在于BIP-32為橢圓曲線公鑰密碼學算法提供了特有的密鑰派生規則，實現了子密鑰樹形擴展和中間節點公鑰托管擴展，有興趣的讀者可以深入了解一下。

動態 | Bitcoin Core的軟件升級將為密鑰提供新語言:據coindesk報道，志愿開發團隊Bitcoin Core即將推出其第17款主要軟件版本，其中包括一些備受期待的變化代碼。屆時將為密鑰提供新語言，該語言最初是由比特幣貢獻者Pieter Wuille提出的。新語言背后的想法是添加重要的額外信息。就如比特幣核心貢獻者Andrew Chow所說，它為從軟件中刪除有問題的“帳戶”提供了“智能”替代方案。[2018/9/4]

KDF技術上實現了密鑰輪轉，在治理上也有必要采取一定的措施，進一步降低密鑰使用時的風險。常見治理策略主要覆蓋了兩大方面的風險：

密鑰的最短長度和最低復雜性：密鑰長度不能太短，不能被常見的字典庫輕易破解。

密鑰的復用：建議定期更改密鑰，且不能復用歷史密鑰。對于計算機系統，可以進一步要求為不同的系統用途設置不同的密鑰。

關于第一條治理策略，業界一般都沒有什么異議，但對于第二條中，用戶需定期更改密鑰的建議，近年來也有一些不同觀點。

實踐中往往發現，為了方便記憶，不少用戶采用了不安全的變通方式，選用了有強關聯的一組用戶口令。例如，2019年使用的舊口令為“password2019”，2020年使用的新口令為“password2020”，一旦舊口令泄露，也很容易推斷出新口令。

反之，如果告知用戶不需要定期更改口令，用戶在心理上反而更有動力去設置一個更為復雜的口令。所以，實施定期更改用戶口令的策略，不一定更安全。

除了以上治理策略，為了控制內部人員濫用密鑰的風險，也很有必要將密鑰的控制權分派到多個職能上相互約束的相關人員手中，只有當所有相關人員都同意使用時，才能正常使用，其背后的技術原理將在下一環節中提及。

動態 | Bitcoin Core兩名開發者通過電郵正式公開2016年遭到廢棄的“警報系統”密鑰:Bitcoin Core開發者Bryan Bishop與Andrew Chow在本月初通過一封電郵，正式公開了已于2016年遭到廢棄的“警報系統”密鑰。郵件中兩位開發人表示，這次的揭秘將是摧毀這個警報系統的最后一步。此外，Bishop與Chow反復強調該密鑰“已徹底停止使用”，所以不再關聯比特幣網絡安全。[2018/7/12]

密鑰的保存

密鑰的保存是指，用戶將密鑰保存在存儲介質中，并在特定的情況下，從存儲介質恢復出之前保存的密鑰。

其主要的風險是因保存不當導致密鑰泄露或遺失，除了上一環節中提到的后果之外，可能會額外造成以下后果：

由該密鑰加密的隱私數據無法被解密。

由該密鑰保護的權益無法被兌現。

針對這些在密鑰保存環節的風險，核心的應對手段為

物理隔離和

密鑰分片。

前者指的是，密鑰保存的環境應該是一個與惡意環境隔離的安全環境。后者指的是，密鑰保存時不應該整存整取，而是進行分片，由多個信任方分別保存，必要時還需要實現多地容災恢復。

對于計算機系統，安全硬件模塊和高物理安全的服務器房間是實現物理隔離常見的手段，必要時，保存密鑰的設備可以一直保持離線狀態，杜絕意料之外的非授權訪問。

對于密鑰分片，可以使用密碼學秘密分享算法來實現。最常用的密碼學秘密分享算法是Shamir秘密分享算法，由以色列密碼學家AdiShamir在其1979年的論文『Howtoshareasecret』中提出。

Shamir秘密分享算法的核心思想是，將密鑰的值設為一個N階隨機多項式中的常量參數，然后在該隨機多項式上隨機選M個點的坐標，這些坐標就是關于密鑰的分片。

這些分片具有以下特性：

如果攻擊者獲得分片總數小于N，攻擊者無法獲得任意關于密鑰的信息。

如果所有可能的分片總數M大于N，通過其中任意N個分片，使用拉格朗日多項式插值算法恢復出隨機多項式之后，便可有效地恢復出密鑰。

相比計算機系統，用戶對于前一項物理隔離的要求可能更容易實現。相比讀取存儲介質中的數據，在未進行威逼利誘的前提下，用技術手段直接提取用戶記憶中的密鑰目前要困難得多。

但對于第二項密鑰分片的要求，則需要配合各類托管技術，使用計算機輔助手段生成和保存高安全性的密鑰分片。具體的技術分類和比較，可以參考上一論密鑰托管相關內容。

無論采用哪一種技術，一般情況下，用戶最少需要記憶一個用戶口令。但如同房門鑰匙一樣，遺忘用戶口令并不罕見，尤其是在賬戶數目和相關密鑰總數繁多的情況下。

如果服務提供商提供有效的密鑰重設服務，相比將密鑰全部寫在紙上或手機APP里，通過密鑰重設服務重設密鑰，密鑰泄露風險可能更低。

密鑰的協商

密鑰的協商是指，多個用戶或系統遠程協商即將在交互過程中所使用的密鑰。

作為社會性生物，和陌生人交換信息，是人類生活中必不可少的組成部分。在當前數據驅動的時代，計算機系統通過跨域交換信息實現更大的價值發掘，是現代信息化商業核心業務模式之一。

在這些信息交換過程中，最典型的應用之一是隱私數據的端到端加密傳輸，為此需要生成一次性密鑰對信息進行加密保護。在缺乏可信信道的前提下，能否與交互方安全地完成密鑰協商，對于隱私數據的保護尤為關鍵。

其主要的風險是惡意通信環境中的密鑰截取或篡改，除了密鑰使用環節中提到的后果之外，可能會額外造成以下后果：

由該密鑰保護的隱私數據被篡改。例如，金融交易中的收款人、付款金額。

由該密鑰保護的其他密鑰泄露。例如，通過加密信道傳輸的后續協議中所約定使用的密鑰。

針對這些在密鑰協商環節的風險，核心的應對手段為

認證交換和

認證分發。

對于計算機系統，根據業務場景和部署環境安全假設的不同，認證密鑰交換的協議有很多不同的類型，最常用的是基于公鑰證書體系和Diffie-Hellman密鑰交換協議。

關于認證密鑰分發，經典密碼學相關方案有基于公鑰證書體系的密鑰封裝、基于可信中間代理和代理重加密的密鑰密文轉換等。比較創新的技術方案包括在第6論中提到的基于量子糾纏理論的量子密鑰分發技術，我國的墨子號量子科學實驗衛星已經實現了千公里級星地雙向量子糾纏分發原型實驗。

在技術手段的協助下，用戶往往對于密鑰協商是無感的。例如，我們在使用瀏覽器時，通常不會意識到，對不同的網站建立安全連接時，會根據不同網站的不同數字證書，進行密鑰的認證交換，并最終使用不同的一次性密鑰與不同的網站通信。

但用戶也需要警惕，核實認證的有效性。一旦數字證書失竊或者過期，攻擊者就有機會假扮服務提供方，截獲用戶的隱私數據，篡改用戶的操作請求，實施經典的中間人攻擊。

密鑰管理的三大環節中，存在著大量的風險點。由于密鑰是密碼學中的最高機密，竊取密鑰往往是攻擊者的首要目標。任何一個環節出現問題，對應隱私保護方案的整體有效性，都會受到嚴重影響。

本論的分享主要關注技術方案和治理策略層面，在實際方案部署時，工程實現和其他相關層面的保護也很關鍵，會需要更完備的組合策略，從多個維度上提供層次化的保障。

正是：密鑰管理謹小慎破解，技術治理合璧顯神功！

有效的密鑰管理是使用基于密碼學的隱私保護方案的重要前提。無論隱私保護方案內部設計多么精妙，任何在密鑰使用、保存、協商環節中出現的疏漏，都會使之功虧一簣。

除了傳統的安全性分析，針對用戶的可用性分析也至關重要。在實際隱私保護應用中，高于常規人類認知記憶能力的要求，都會促使用戶使用不安全的變通手段，導致最終效果大打折扣。

有效的密鑰管理需要在多個維度上融合技術方案和治理策略，同時實現安全性和可用性之間的平衡和優化。

了解完密鑰相關的重要原則和管理技術，自下一論開始，我們將分享在實際的密碼學算法中如何使用這些密鑰，深入解析隱私保護相關的密碼學原語，欲知詳情，敬請關注下文分解。

Tags：比特幣DGELEDEDG比特幣一個多少人民幣ledger錢包查真偽Quantum Resistant Ledgerledger錢包

Gate.io