密鑰繁多難記難管理？認識高效密鑰管理體系_比特幣

作者：嚴強

來源：微眾銀行區塊鏈

密鑰設置是否只要夠安全就能夠重復使用？定期修改密鑰到底有沒有必要？密鑰不幸遺失該如何恢復？素未謀面的雙方，如何才能安全地進行密鑰協商？

上一論我們了解到，基于密碼學的隱私保護方案，其有效性很大程度上取決于能否有效管理好密鑰。這里，我們將進一步分析密鑰管理的具體范疇、每個操作環節的典型風險，以及應對手段。

密鑰管理的對象是密鑰本身或者用于生成密鑰的密鑰材料，三類主要操作環節包括密鑰的使用、保存和協商。

鑒于人類用戶和計算機系統在自身能力上的差異，需要使用不同技術手段和治理手段來實現有效的密鑰管理，以下將對三類操作環節一一展開分析。

密鑰的使用

密鑰的使用是指，用戶基于根密鑰，為不同業務操作生成實際使用的密鑰的過程。這一過程不僅僅包括，直接使用預先設定好的密鑰，如輸入用戶記憶中的用戶口令，還包括使用經過一定變換后的密鑰。

其主要風險是密鑰泄露導致的非授權使用，可能會造成以下后果：

由該密鑰加密的隱私數據泄露。特別是當所有歷史隱私數據都只用一個密鑰加密時，攻擊者將有可能獲得所有歷史隱私數據明文。

使用該密鑰通過身份驗證入侵系統。不只是數據，攻擊者可以獲得用戶所有的操作特權，例如，惡意修改系統訪問控制參數、使用具有法律效應的數字證書對未授權的內容進行數字簽名等。

Stellar已集成至三星區塊鏈密鑰庫:金色財經報道，Stellar發展基金會（SDF）今天宣布將Stellar整合到三星區塊鏈密鑰庫（Samsung Blockchain Keystore）中。這種集成使Stellar用戶能夠將私鑰安全地存儲在部分三星Galaxy智能手機上。Stellar的區塊鏈服務可通過三星區塊鏈密鑰庫獲得。除了現有的基于Stellar的產品和應用程序之外，Stellar生態系統的開發人員還可以為三星Galaxy智能手機創建區塊鏈應用程序和服務。[2020/7/16]

針對這些在密鑰使用環節的風險，核心的應對手段為

密鑰輪轉，即每隔一定時間，生成一個新的密鑰。

對于計算機系統，一般可以輕易生成新的隨機密鑰。新密鑰與舊密鑰可以沒有任何關聯，其有效期限和密鑰本身都將保存在高安全級別的存儲介質中，以此最小化密鑰暴露的風險。

然而，以上方案對于用戶而言，可用性不高。

對用戶來說，生成一個安全的新密鑰，且能夠記住和使用它，已經不是一件容易的事。如果再進一步要求用戶記憶多個超長、隨機、無關聯的密鑰，那用戶很有可能被迫“變通”，使用不安全的手段，例如將密鑰全部寫在紙上、未受保護的手機APP里。

如何讓用戶只記憶一個密鑰，還能實現有效的密鑰輪轉，這里可以用到的關鍵技術是密鑰派生函數。

KDF具有兩個核心功能：

將一個短的用戶口令延長到一個滿足安全密鑰長度的密鑰。

由一個根密鑰生成多個滿足安全密鑰長度的密鑰。

Kleiman團隊聲稱澳本聰已擁有加密“Satoshi”文件密鑰:Ira Kleiman的法律團隊聲稱澳本聰已經有能力打開該案核心的加密文件，該文件據信包含超過82萬比特幣的私人密鑰。根據5月21日提交的法庭文件，Kleiman團隊聲稱賴特“有能力打開加密文件，但不會，因為它將包含合作關系及其比特幣持有的證據”。 Kleiman方面稱，價值160萬美元的比特幣(BTC)是從提供給法庭的地址中支出的，以此作為澳本聰有權使用比特幣的證據。還有澳本聰公開威脅要搞垮比特幣市場的行為，這些都需要使用大量比特幣。文件中寫道：“澳本聰一直在從事偽證、偽造證據、誤導性文件和妨礙的行為。”（Cointelegraph）[2020/5/22]

典型的KDF，如IETFRFC2898標準中的PBKDF2函數，可以表達成如下形式：

DerivedKey?=?PBKDF2(PRF,?Password,?Salt,?IterationCount,?DerivedKeyLength)

其中：

PRF是一個隨機數生成函數，負責在運算過程中生成一系列隨機數。

Password是用戶口令。

Salt是為了防止批量窮舉攻擊而設置的鹽值，其作用等價于用戶專屬的隨機種子。

IterationCount是生成派生密鑰時所需迭代計算的次數，可以通過刻意增加迭代計算的次數，加大攻擊者窮舉攻擊的難度。

DerivedKeyLength是派生密鑰的長度，一般比用戶口令長很多。

以太坊2.0開發者：ETH2.0中每個驗證者由兩組密鑰構成:以太坊2.0開發者Carl Beekhuizen發推闡述了ETH2.0中密鑰的解決方案。具體而言，每個驗證者將由兩組密鑰構成：簽名密鑰和取款密鑰。此外，還有公鑰作為ETH2驗證器的標識。驗證者需要使用簽名密鑰來執行其職責，即簽署認證和提交區塊；提款密鑰將則用來轉移和提取以太幣。此外，為了在不犧牲完整性的前提下提高密鑰存儲速度，將添加助記短語和從其他密鑰派生密鑰的功能。（U.today）[2020/5/21]

PBKDF2函數的五個輸入中，用戶只需要記憶用戶口令Password，其他都可以由輔助的計算機系統來計算完成。用戶口令可以根據用戶的偏好設置，不影響用戶體驗。同時只要用戶口令夠長，安全性風險一般都比較可控。

除了PBKDF2之外，BIP-32標準中HierarchicalDeterministic密鑰錢包設計的核心也是KDF。區別在于BIP-32為橢圓曲線公鑰密碼學算法提供了特有的密鑰派生規則，實現了子密鑰樹形擴展和中間節點公鑰托管擴展，有興趣的讀者可以深入了解一下。

KDF技術上實現了密鑰輪轉，在治理上也有必要采取一定的措施，進一步降低密鑰使用時的風險。常見治理策略主要覆蓋了兩大方面的風險：

密鑰的最短長度和最低復雜性：密鑰長度不能太短，不能被常見的字典庫輕易破解。

密鑰的復用：建議定期更改密鑰，且不能復用歷史密鑰。對于計算機系統，可以進一步要求為不同的系統用途設置不同的密鑰。

聲音 | 現代密碼學之父：密碼學將有三大機會 分別是同態加密、區塊鏈和公共密鑰技術:據中國新聞網消息，現代密碼學之父、圖靈獎得主惠特菲爾德·迪菲表示，密碼學將有三大機會。一是同態加密，也就是可以在云端進行加密，而這個云卻不知道數據已加密；二是區塊鏈，主要推動力就是比特幣，比特幣取得了巨大的成功，但它需要巨大的工作量；三是新的公共密鑰技術。[2019/8/26]

關于第一條治理策略，業界一般都沒有什么異議，但對于第二條中，用戶需定期更改密鑰的建議，近年來也有一些不同觀點。

實踐中往往發現，為了方便記憶，不少用戶采用了不安全的變通方式，選用了有強關聯的一組用戶口令。例如，2019年使用的舊口令為“password2019”，2020年使用的新口令為“password2020”，一旦舊口令泄露，也很容易推斷出新口令。

反之，如果告知用戶不需要定期更改口令，用戶在心理上反而更有動力去設置一個更為復雜的口令。所以，實施定期更改用戶口令的策略，不一定更安全。

除了以上治理策略，為了控制內部人員濫用密鑰的風險，也很有必要將密鑰的控制權分派到多個職能上相互約束的相關人員手中，只有當所有相關人員都同意使用時，才能正常使用，其背后的技術原理將在下一環節中提及。

密鑰的保存

密鑰的保存是指，用戶將密鑰保存在存儲介質中，并在特定的情況下，從存儲介質恢復出之前保存的密鑰。

聲音 | 趙長鵬：建議用戶變更API密鑰及2FA代碼:針對“幣安熱錢包被盜7000枚比特幣”，趙長鵬在推特直播中表示：1.建議用戶變更API密鑰，2FA代碼，采取一系列安全措施；2. 目前尚不能確定受影響的用戶數量。[2019/5/8]

其主要的風險是因保存不當導致密鑰泄露或遺失，除了上一環節中提到的后果之外，可能會額外造成以下后果：

由該密鑰加密的隱私數據無法被解密。

由該密鑰保護的權益無法被兌現。

針對這些在密鑰保存環節的風險，核心的應對手段為

物理隔離和

密鑰分片。

前者指的是，密鑰保存的環境應該是一個與惡意環境隔離的安全環境。后者指的是，密鑰保存時不應該整存整取，而是進行分片，由多個信任方分別保存，必要時還需要實現多地容災恢復。

對于計算機系統，安全硬件模塊和高物理安全的服務器房間是實現物理隔離常見的手段，必要時，保存密鑰的設備可以一直保持離線狀態，杜絕意料之外的非授權訪問。

對于密鑰分片，可以使用密碼學秘密分享算法來實現。最常用的密碼學秘密分享算法是Shamir秘密分享算法，由以色列密碼學家AdiShamir在其1979年的論文『Howtoshareasecret』中提出。

Shamir秘密分享算法的核心思想是，將密鑰的值設為一個N階隨機多項式中的常量參數，然后在該隨機多項式上隨機選M個點的坐標，這些坐標就是關于密鑰的分片。

這些分片具有以下特性：

如果攻擊者獲得分片總數小于N，攻擊者無法獲得任意關于密鑰的信息。

如果所有可能的分片總數M大于N，通過其中任意N個分片，使用拉格朗日多項式插值算法恢復出隨機多項式之后，便可有效地恢復出密鑰。

相比計算機系統，用戶對于前一項物理隔離的要求可能更容易實現。相比讀取存儲介質中的數據，在未進行威逼利誘的前提下，用技術手段直接提取用戶記憶中的密鑰目前要困難得多。

但對于第二項密鑰分片的要求，則需要配合各類托管技術，使用計算機輔助手段生成和保存高安全性的密鑰分片。具體的技術分類和比較，可以參考上一論密鑰托管相關內容。

無論采用哪一種技術，一般情況下，用戶最少需要記憶一個用戶口令。但如同房門鑰匙一樣，遺忘用戶口令并不罕見，尤其是在賬戶數目和相關密鑰總數繁多的情況下。

如果服務提供商提供有效的密鑰重設服務，相比將密鑰全部寫在紙上或手機APP里，通過密鑰重設服務重設密鑰，密鑰泄露風險可能更低。

密鑰的協商

密鑰的協商是指，多個用戶或系統遠程協商即將在交互過程中所使用的密鑰。

作為社會性生物，和陌生人交換信息，是人類生活中必不可少的組成部分。在當前數據驅動的時代，計算機系統通過跨域交換信息實現更大的價值發掘，是現代信息化商業核心業務模式之一。

在這些信息交換過程中，最典型的應用之一是隱私數據的端到端加密傳輸，為此需要生成一次性密鑰對信息進行加密保護。在缺乏可信信道的前提下，能否與交互方安全地完成密鑰協商，對于隱私數據的保護尤為關鍵。

其主要的風險是惡意通信環境中的密鑰截取或篡改，除了密鑰使用環節中提到的后果之外，可能會額外造成以下后果：

由該密鑰保護的隱私數據被篡改。例如，金融交易中的收款人、付款金額。

由該密鑰保護的其他密鑰泄露。例如，通過加密信道傳輸的后續協議中所約定使用的密鑰。

針對這些在密鑰協商環節的風險，核心的應對手段為

認證交換和

認證分發。

對于計算機系統，根據業務場景和部署環境安全假設的不同，認證密鑰交換的協議有很多不同的類型，最常用的是基于公鑰證書體系和Diffie-Hellman密鑰交換協議。

關于認證密鑰分發，經典密碼學相關方案有基于公鑰證書體系的密鑰封裝、基于可信中間代理和代理重加密的密鑰密文轉換等。比較創新的技術方案包括在第6論中提到的基于量子糾纏理論的量子密鑰分發技術，我國的墨子號量子科學實驗衛星已經實現了千公里級星地雙向量子糾纏分發原型實驗。

在技術手段的協助下，用戶往往對于密鑰協商是無感的。例如，我們在使用瀏覽器時，通常不會意識到，對不同的網站建立安全連接時，會根據不同網站的不同數字證書，進行密鑰的認證交換，并最終使用不同的一次性密鑰與不同的網站通信。

但用戶也需要警惕，核實認證的有效性。一旦數字證書失竊或者過期，攻擊者就有機會假扮服務提供方，截獲用戶的隱私數據，篡改用戶的操作請求，實施經典的中間人攻擊。

密鑰管理的三大環節中，存在著大量的風險點。由于密鑰是密碼學中的最高機密，竊取密鑰往往是攻擊者的首要目標。任何一個環節出現問題，對應隱私保護方案的整體有效性，都會受到嚴重影響。

本論的分享主要關注技術方案和治理策略層面，在實際方案部署時，工程實現和其他相關層面的保護也很關鍵，會需要更完備的組合策略，從多個維度上提供層次化的保障。

正是：密鑰管理謹小慎破解，技術治理合璧顯神功！

有效的密鑰管理是使用基于密碼學的隱私保護方案的重要前提。無論隱私保護方案內部設計多么精妙，任何在密鑰使用、保存、協商環節中出現的疏漏，都會使之功虧一簣。

除了傳統的安全性分析，針對用戶的可用性分析也至關重要。在實際隱私保護應用中，高于常規人類認知記憶能力的要求，都會促使用戶使用不安全的變通手段，導致最終效果大打折扣。

有效的密鑰管理需要在多個維度上融合技術方案和治理策略，同時實現安全性和可用性之間的平衡和優化。

了解完密鑰相關的重要原則和管理技術，自下一論開始，我們將分享在實際的密碼學算法中如何使用這些密鑰，深入解析隱私保護相關的密碼學原語，欲知詳情，敬請關注下文分解。

Tags：比特幣區塊鏈TELSTE比特幣是什么合法嗎是不是騙局區塊鏈工程專業學什么女生好telos幣生態MASTERMIND

Bitcoin