比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > MANA > Info

亦來云首款硬錢包的安全理念分享_亦來云

Author:

Time:1900/1/1 0:00:00

分享提綱:

區塊鏈錢包的定義

區塊鏈錢包的分類

影響錢包安全的幾個因素

錢包的安全設計參考

>>>>區塊鏈錢包的定義

狹義:私鑰容器。用來存儲私鑰并對交易報文簽名。

廣義:區塊鏈應用APP。余額和交易明細查看、交易報文構造、多地址管理、找零等。

多用途:包含用戶體系,承載行情、資訊、社交、交易平臺、DAPP分發等。

區塊鏈里所有的資產用來證明你的資產所有權和支配資產的唯一依據就是私鑰。說到私鑰就要提到非對稱加密的算法,就是說有一對密鑰,一公一私,由私鑰可以推導出公鑰,當你用私鑰加密的內容可以用公鑰來驗證,有了私鑰其實就有了資產的所有權。

大家看這張圖,小K就是私鑰,大K就是由私鑰推導出的公鑰,然后大K也就是公鑰通過一定的換算可以得到比特幣的地址A,最狹義的錢包其實就是能在錢包里對你的私鑰進行全生命周期的保護,從私鑰的產生要足夠的隨機,產生以后推導出的比特幣地址可以被導出來,讓別人拿到地址給你轉賬,有了比特幣地址可以去查它的交易明細,余額,當你需要動用你的資產的時候,要動用自己的私鑰來簽名,但是簽名只需要用私鑰就行,千萬不要把私鑰流露出來。

亦來云圍繞Filecoin的一站式金融服務聯盟FilDA在深圳正式成立:2020年10月20日,亦來云圍繞Filecoin的一站式金融服務聯盟FilDA在深圳正式成立。

據悉,FilDA聯盟由亦來云聯合創始人韓鋒老師組局并得到了FBG 周碩基、Cobo 神魚、郭宏才等區塊鏈行業大咖聯合支持。FilDA聯盟社區已凝聚了包括 IPFS 原力區、星際大陸、上海儲迅、開源礦池、星宮數據等IPFS全網50%以上算力的礦工支持。

FilDA將基于Filecoin打造多樣化金融服務, 致力于以安全、優質的系列DeFi產品,長期穩健的DeFi收益,去中心化的Fil質押、借貸、理財等,全面賦能Filecoin上下游的DeFi場景。[2020/10/20]

我們認為只要具備最基礎的私鑰的保存和簽名其實就構成了一款最狹義的錢包,不管是軟錢包也好,還是硬錢包也好。然后,根據這種最基本的功能又延伸出各種各樣的APP,其實像余額和交易明細的查看,還有多地址的管理,這已經屬于廣義上的錢包。

現在很多的錢包把行情甚至交易所也集成了進去,還有資訊,客戶體系的關系,其實這些都是廣義上的錢包。

亦來云基金會理事韓鋒:自由市場是一個分布式計算系統:金色財經現場報道,8月15日,2020國際數字經濟生態峰會于贛州開幕,會上哥倫比亞大學訪問學者、亦來云基金會理事韓鋒演講表示,區塊鏈會為我們的國家和民眾帶來財富,自由市場是一個分布式計算系統,相當于“圖靈機”,發展好的文明體都在不斷提升“系統”中的交易效率來豐富經濟體。交易需要信用媒介,而自由市場的財富共識也是基于信用媒介。未來國家的實力是由數據決定的,數據的個體私有化讓數據成為財富,中國的數字經濟會帶來新的數字財富。[2020/8/15]

>>>>錢包的分類

按照私鑰存儲方式:冷錢包和熱錢包。

按照所使用的設備:PC桌面錢包、在線web錢包、移動端手機錢包、硬件錢包、紙錢包。

按照數據維護方式:全節點錢包、SPV錢包、完全依賴單點數據。

>>>>影響錢包的幾個因素

1.私鑰k的隨機性

2.私鑰&助記詞的全生命周期保護

3.交易報文的保護

亦來云負責人:區塊鏈市場尚未進入公開市場競爭階段:區塊鏈項目亦來云生態應用負責人宋世軍表示,區塊鏈行業發展仍處早期,各家都在尋找落地場景和應用,這些也是各家在拼商務資源的地方,都在找自己關系范圍內的政府和企業合作。由于區塊鏈仍屬于新興技術,商業模式并不清晰,所以,目前市面上公開的合作基本都是憑以往建立的信任來實現的,而不是傳統意義上的招標或者市場競爭完成的。換言之,區塊鏈市場合作絕大部分仍在封閉環境下完成,尚未進入到公開市場競爭的階段。(中國經營報)[2020/8/1]

4.傳統APP安全和WEB安全的關注點

剛剛講到私鑰是一個很關鍵的因素,那么其實影響錢包安全的幾個因素全部都要圍繞著私鑰展開。

關于私鑰的隨機性先給大家分享一張圖片。這張圖片大家看到理想的平均分布就是純隨機生成一個私鑰,就像你的助記詞理論上都是純隨機生成的,但是有沒有可能它的隨機生成沒有那么隨機呢,大家看到這張圖就是隨機函數的隨機分布,理想情況下是平均分布,那么我們看到其實是有這樣一種高斯隨機分布和泊松隨機分布。

對于真正安全的錢包在私鑰生成環節它就要足夠的隨機,它要滿足平均分布,那么我們盡可能用硬件的隨機函數發生器生成私鑰數值,基本上現在主流的通過國際認證的芯片它里面的私鑰發生器基本上是可以滿足平均分布的。

動態 | DVP:亦來云存在Dos高危漏洞 可遠程攻擊致使節點瞬間癱瘓:據DVP漏洞平臺12月07日消息,此前,DVP收到來自社區白帽子的多個關于亦來云遠程DoS高危漏洞的反饋,攻擊者可借此漏洞遠程將亦來云節點瞬間癱瘓,最終導致亦來云主網癱瘓。目前該漏洞已通報給亦來云基金會并完成修復。DVP安全研究人員表示,DoS高危漏洞屬于區塊鏈公鏈中較高危的漏洞,公鏈節點既是客戶端也是服務端,屬于整個公鏈生態的基礎設施,公鏈節點被輕易攻擊下線的危害是非常巨大的,比如會使網絡算力驟減,從而導致51%攻擊等。[2018/12/7]

私鑰k取值范圍是:1~2^256,換算成十進制就是10^77,看下面這句話可見的宇宙里面估計含有的原子個數是10^80。這樣一對比大家就會有個直觀的概念。

接下來這張圖就是取自RANDOM.ORG的網站,理想的隨機函數它的分部像左邊這張圖,那么PHP在Windows下面rand的函數它生成的隨機數的分布就像右邊這張圖,大家可以看到明顯的中間有很多細線,這些線就是分布集中的一個體現。

有個例子,2014年12月,Blockchain.info他們的工程師寫錯一個函數,使得隨機數的生成只有256種可能,這樣的話一名黑客通過遍歷他們的私鑰,從Blockchain.info上面轉走了864個BTC。

金色財經現場報道 亦來云聯合創意人徐繼哲:區塊鏈最終要改變的是人們對傳統的認知:金色財經現場報道,在4月3日舉辦的2018年世界區塊鏈峰會現場,亦來云聯合創意人徐繼哲表示,區塊鏈的本質不是技術的問題,區塊鏈改變的不是成本和效率,而是改變組織機構,改變激勵機制,這個其實也是區塊鏈之所以對于大多數人,包括比特幣難以理解的根本原因。因為比特幣和區塊鏈最終顛覆的是人們的認知,因為在我們的傳統概念里,然后人與人轉賬的話,是幾個基本的概念。我認為區塊鏈最終要改變的,就是我們頭腦當中的關于組織架構,協作方式,以及激勵方式的基本概念。[2018/4/3]

這張圖上面的交易就是當初這名黑客通過偽隨機函數遍歷私鑰轉走的那筆當年的交易記錄。說了這么多其實就是想表明一個問題,私鑰的隨機性是所有區塊鏈資產里面保存你區塊鏈資產最終的第一步,那么一款錢包不管是軟錢包還是硬錢包,它在初始化的時候生成了私鑰,然后通過私鑰推導出公鑰,通過公鑰推導出來你的比特幣地址。

那么接下來關注的一個問題,私鑰生成以后它的全生命周期保護。也就是說從它的存儲到它的調用到它用來簽名一直到消亡,整個生命周期里你的私鑰是永遠不能被別人知道的。那么怎么進行私鑰的全生命周期的保護呢?

我們知道你在PC端或者在手機上安裝一個錢包軟件,那么在你進行初始化操作,你把助記詞記下來以后,你的私鑰其實是通過加密的方式存到你的硬盤,或者是手機的存儲器里面。但是對于大多數的操作系統,都有可能潛伏著病和木馬。于是為了保護私鑰,為了在私鑰的全生命周期里面得到一個安全的港灣,最早的一些人使用全冷的方法,就是拿一臺完全報廢的PC機,也不聯網,在那上面運行BTCCore客戶端生成地址以后,把地址拷出來讓別人轉賬,當他需要支付這筆錢的時候,把交易報文在自己的熱端生成,生成以后把交易報文通過U盤拷貝到這臺機器上,這臺不聯網的機器對它進行簽名,簽名以后再拷出來,然后再把報文廣播出去,完成了一次交易。

那其實我們常見的錢包就是這種方案,其實就是用一個安卓的手機用二維碼掃描的方式完成信息的傳遞。

大家可以看這兩張圖,第一張是我們DEMO的App里面往外轉出的一筆BTC的測試幣所產生的報文,我們在界面上看到從一個地址發送到另一個地址,發送的金額是1.22個BTC,手續費是0.002BTC。接下來這張圖是交易產生以后在區塊鏈瀏覽器上看到的實際的交易報文,可以看到花出去這筆1.22個BTC其實它來自于上一次別人轉給你的1.5個BTC,從這里面把它一次性的全花出去,其中有1.22個轉給了你要轉的目標地址,剩下0.278個轉回給了自己,還有0.002的手續費,所有的加在一起剛好等于前一筆的收入,1.5個1BTC。

上面這幅圖來自于今年360出的一份數字貨幣錢包安全白皮書,因為360是傳統的安全的企業,大部分傳統的做安全的公司他們關注的更多的其實是傳統的App安全。大家看這張圖的五大要點,基本上說的是傳統App的安全。

這張圖上面的三幅照片是我今年7月份在北京看雪安全論壇開發峰會上拍的,當時現場知道創宇的胡老師在給大家展示他現場秒破了幾款主流的硬件錢包,胡銘德老師他這種方法其實是安全圈里比較常見的逆向的方法,通過芯片的引腳來把芯片里面一些東西給Dump,安卓的可以直接通過USB接口,或者是通過一些已知的API把里面的一些App給讀出來。

好多硬件錢包他們喜歡用單片機的方案,比如國外某款最著名的錢包它用的這種單片機的方案就很像我們早年國內網上銀行的網銀的U盾,這種U盾它的安全芯片其實已經很安全了,但那是因為芯片個頭比較大,在專業的破解領域有一種很牛的方法,他們可以在納米的尺度上對芯片進行打磨,每打磨一層可以拍張照片,然后一層層的打磨,打磨到最后把所有的里面的東西從物理上對它進行還原,這樣以來里面的算法、數據其實是都可以拿到的。

大家也不用擔心,這個秒破說是這么說,其實可以想一下這種破解的前提是在物理上他已經拿到了你的錢包,也就是說你的錢包被人偷走了,這個時候在他不知道你的Pin碼的情況下,他把你的資產轉走,他能調用里面的私鑰進行簽名。所謂的秒破是能夠接觸到你的錢包的前提下。當然如果你的手機或者PC里被人植入了木馬,那么其實在你任何一次交易的時候都可以被別人動手腳。

上面我發了兩張腦圖可以理一下思路。其實說這么多所有的虛擬幣資產最關鍵的因素還是私鑰,私鑰取決于一開始生成私鑰的隨機數,然后私鑰生成以后在它任何一次使用中都只能有你自己知道,不能被任何人知道。

接下來大家看一下BtcZen選用的這種方案,其實我們是站在巨人的肩膀上,我們選取了最成熟的一種方案就是智能卡,智能卡國際行業標準大概已經有20多年的歷史了,世界各國的銀行卡,信用卡包括國內常見的社保卡還有公交卡基本上用的都是智能卡的方案。為了方便使用我們不想用那種二維碼掃來掃去,我們通過用這種非接觸智能卡,用NFC進行通信。

關于BtcZen智能卡有幾個指標,就是從芯片層面怎樣防止物理上的攻擊。還有從卡內操作系統的層面,和卡內App的層面我們都是有很強的防護機制的。

今日互動:

“11·8”記者節,在這里感謝過去的時間里始終關注著亦來云、記錄著亦來云的朋友們,因為大家的記錄與關注讓更多的朋友能夠認識、了解亦來云。未來,我們共同創造,一同努力,讓更多的人了解與認識區塊鏈,共同記錄與見證著偉大的變革~

在文章下方留言,告訴我們您在什么時候開始關注亦來云,了解亦來云,向身邊的朋友介紹亦來云~我們將根據評論內容選出5位小伙伴,每人贈送亦來云硬件錢包一個。

評論時間截止11月11日晚8點~

=END=

<<向左滑動掃碼關注>>

Tags:區塊鏈亦來云BTCFIL區塊鏈游戲亦來云幣appLFBTCFILST價格

MANA
【江湖集結】永續合約模擬盤大賽團長招募,邀你瓜分百萬獎池!_KEX

OKEx合約產品服務了全球近千萬的用戶,為數字資產市場提供了風險對沖、套期保值的工具,是廣受全球用戶喜愛的產品之一.

1900/1/1 0:00:00
Summary of Wallet maintenance_AND

Thesummaryofallcurrentwalletmaintenanceareasfollowed:1.

1900/1/1 0:00:00
Newdex恢復TPT/EOS交易的公告_TPT

親愛的用戶: 您好!10月31日Newdex收到TPT官方消息暫停了TPT/EOS交易對,詳情可參考10月31日的公告.

1900/1/1 0:00:00
DragonEx關于 GXS 升級為 GXC 的公告_DRAGON

DragonEx關于GXS升級為GXC的公告 2018-11-06 親愛的用戶: 由于GXS主網于新加坡時間2018年11月6日08:00:00升級更名為GXC.

1900/1/1 0:00:00
Newdex上線ET掛單分紅功能_NEW

親愛的用戶:?您好!今天我們很高興地宣布上線ET掛單分紅功能,Newdex是全網首家支持ET掛單分紅的交易所.

1900/1/1 0:00:00
龍網學院——Finn Time:我和Finn有個約會_ONE

龍網學院——FinnTime:我和Finn有個約會 2018-10-31 FinnTime再度開啟,龍網學院專屬座談會!一小時的自由問答,CEO親自為您答疑解惑!聊聊項目進度,討論平臺發展.

1900/1/1 0:00:00
ads