安全多方計算 MPC 正熱 如何通過 MPC 管理密鑰？_MPC:SMPC

受訪者：謝翔，PlatON 算法科學家

采訪 / 撰文：李畫

密鑰管理是一個正在變得越來越重要的概念，已經成為區塊鏈領域重要的基礎設施。當數字貨幣或 Token 更多的被交易和使用，而不僅僅被一勞永逸地存儲時，通過私鑰或錢包密碼使用資產的方式既不安全，也不友好，更難以滿足諸多應用場景的需求。

基于 MPC（安全多方計算）的門限簽名方式與多重簽名方式是兩種不同的密鑰管理方法，在這篇文章中，我們采訪了 PlatON 算法科學家謝翔博士，他將為我們介紹基于 MPC 的密鑰管理，以及這種方式與多重簽名方式的本質區別。

謝翔是數學與密碼學專業出身，現為 PlatON 算法科學家及 KeyShard 產品負責人，專注于密碼算法的研究、實現和產品化。KeyShard 提供的是基于 MPC 的密鑰管理服務，為數字貨幣密鑰管理和恢復的痛點提供解決方案。

什么是基于 MPC 的密鑰管理

問：為什么我們需要密鑰管理？

謝翔：個人可以在區塊鏈或比特幣網絡上自由地注冊賬戶、轉賬，不需要任何第三方，這個功能是通過一套數字簽名機制來完成的。在數字貨幣里，最核心的就是如何去管理這個簽名，因為所有的東西都會依賴于這個簽名。

對于用戶而言，管理簽名其實就是去管理密鑰。因此我們說密鑰就是錢，密鑰管理很重要。

在傳統的行業里，你可以通過銀行也好，通過一系列的流程設計也好來管理錢，比如說可以多個人來管，投資經理同意了、投資總監同意了、財務同意了、CEO 同意了，這筆錢才能轉出去。但是一旦挪到數字貨幣這個行業，傳統那套是做不了的，為什么？因為誰有私鑰誰就能轉錢，傳統那一套審批流程是形同虛設的，沒有任何意義。

所以我們做密鑰管理這件事情最初的一個想法，就是說能不能把傳統的對于錢的授權管理機制挪到數字貨幣的世界里面來。這個肯定是需要的，因為現在很多人已經開始用 Token 在投資了，比如說基金，比如說家族的 VC，他們是需要有一種內部管理的機制的，但是傳統的那套審批機制在技術上過不來。

問：多簽可以解決這個問題嗎？

安全團隊：Ronin攻擊者近24小時將4100枚ETH轉移至Tornado Cash:4月29日消息，據CertiK安全團隊監測，Ronin Network攻擊者于近24小時內已將另外4100枚ETH（價值約1190萬美元）轉移至Tornado Cash中。

攻擊者錢包地址：0xDD6458eB5090832eB88BFfc7AdF39B0F3CdD6683。[2022/4/29 2:39:29]

謝翔：多簽是基于腳本或智能合約的。它是設計一個規則，比如說三個人同時簽了或者兩個人同時簽了，將這些簽名傳遞給一份智能合約，合約就開始運行，把錢轉出去。多簽能解決一部分問題，它其實已經用到很多企業里了，但是隨著時間的進展會碰到越來越多的問題，問題在哪里呢？

多簽針對不同的主鏈需要實現不同的智能合約，現在的鏈至少有一千多個了，每個鏈的智能合約體系不一樣，每個人去寫合約寫得還不一樣。拿 VC 來說，VC 可能會投很多鏈，這些 Token 怎么管？你要他們去寫十幾個合約，而且都還要經過安全認證？這是一個大的人力成本。

此外，區塊鏈上合約的任何細節都會被看見，這是有一層安全性問題在那里的。任何人都可以來看這個合約有沒有漏洞，而且很多新的鏈不像比特幣或以太坊那樣經過了時間的驗證，它的合約體系本身有沒有問題是不知道的。你會發現一些新的 Token 出問題，90% 都是合約出問題，這是一個大的風險。

所以在多鏈的情況下，多簽還能方便地支持密鑰管理嗎？目前看其實是很難的。用多簽通過合約的方式來管理密鑰，使用成本高，安全風險高。

問：如果這些不同的鏈都是基于相同的數字簽名算法，比如 Schnorr，那么不同鏈的密鑰管理方法是不是就可以通用？

謝翔：不，邏輯不是這樣的，我給你畫一下。多簽是這樣的，最下邊是區塊鏈，中間是數字簽名，它有個簽名算法，可以是 ECDSA，可以是 Schnorr 等等，最上邊是智能合約。

多簽是怎么做的呢？就是在最上邊的智能合約部分來數合法簽名的個數，一個、兩個、三個……夠了，就把錢轉出去。這種方式不在乎下邊用的是什么簽名算法，Schnorr 也好、BLS 也好，對它來說沒有半點區別。

烏克蘭安全局搗毀非法大型加密貨幣礦場:金色財經報道，烏克蘭國家安全局周四宣布，其在文尼察市發現了該國迄今為止最大的非法加密貨幣挖礦設施。該礦場位于當地一家能源公司的一個前倉庫建筑，竊取的電力足以導致多個城市地區停電。根據初步估計，每周的損失金額可能達到700萬格里夫納（約合256,500美元）。該礦場損害了電表數據，以掩蓋他們的非法活動。[2021/7/9 0:38:18]

這是多簽的一個基本原理，也可以說是好處，它能夠和底層的簽名算法做到一定程度的解耦。但它的問題是要適配不同鏈系統，一千條鏈就需要一千個智能合約，多鏈的兼容性很弱。

問：那基于 MPC 的門限簽名是怎樣的？

謝翔：我把這張圖重新畫一下。最下邊還是這條鏈，中間還是數字簽名，上邊是智能合約。基于 MPC 的門限簽名不會去管下邊的鏈，也不會去管上邊的合約，兩頭它都不會管，它只管右邊這部分，也就是鏈下創建簽名的部分。

它的思路是說一個簽名一定是有一個私鑰的，它把這個私鑰以某種方式分成很多「碎片」，這些碎片可以被很多人同時拿著，然后通過一套 MPC 協議，保證這些碎片不需要被拼起來就可以直接產生一個合法的簽名。「不需要被拼起來」代表著真正的私鑰始終沒有、而且也不需要出現。

問：簽名是在鏈下完成的？

謝翔：需要簽名的時候，比如說我們公司三個人會在鏈下跑一個協議，生成一個簽名，再把簽名放到鏈上。生成簽名的邏輯是放在 MPC 里實現的，出來的是一個標準的簽名，但怎么跑這個協議別人是不知道的。

把這個簽名結果放到鏈上去，別人分不清它后面是一個人簽的還是多個人簽的，因為它的形態、樣子就是一個簽名，和直接用私鑰簽出來是一模一樣的。這一套簽名機制可以完全獨立于鏈，部署在企業的內部。

發現了沒有，多重簽名主要是去數合法簽名的個數，它不依賴于簽名算法，但要去適配鏈系統；基于 MPC 的門限簽名主要是去產生一個簽名，它依賴于簽名算法，但不需要去適配合約和鏈系統。

比特幣安全專家：對比特幣進行51%攻擊性價比太低，發生概率微乎其微:比特幣安全專家AndreasAntonopoulos近期談到了哪些因素或全球性事件可能嚴重威脅比特幣在2020年及以后的存在。首先，最大的威脅——51%攻擊在現實中并不那么可怕。雖然從理論上講可行，但這種攻擊的代價極其高昂，甚至不太有效。Antonopoulos表示：“這樣的攻擊代價高昂，需要巨大的協調，帶來的好處卻很少，而且相對容易挫敗。因此，付出這么大的代價，得到這么少的回報，冒這么大的風險，所以我們至今還沒有看到51%攻擊，我認為未來也不會看到51%攻擊。”他補充稱，即使51%攻擊真的發生，比特幣也很可能會幸存下來，因為在攻擊期間，犯罪分子實際上能做的事情并不多。他們不能偷人們的錢，不能改變共識規則，也不能把無效的交易變成有效的交易。這在很大程度上要歸功于比特幣的去中心化性質，因為它不僅是驗證交易的礦工，也是節點、交易所和商家。談及更多的災難性事件，Antonopoulos表示，雖然大規模電力故障肯定會損害比特幣，但銀行和現有的金融系統將遭受更嚴重的影響。（Decrypt）[2020/5/21]

基于 MPC 的門限簽名與合約模塊是完全解耦的，合約是怎么寫的、鏈是怎么樣的，它完全不在乎。它只要區別簽名算法，只要簽名算法是鏈系統支持的，它就能很好地銜接。算法的話現在可能就是 ECDSA、Schnorr、BLS （以太坊 2.0 可能使用 BLS），所以兼容算法就能兼容很多鏈。基于 MPC 的密鑰管理能做到對多鏈友好，這是一個大的優勢。

另外一個優勢就是這套簽名機制的策略是鏈下的，因此更加安全，它避免了合約被黑客攻擊的風險，而且設計策略可以更加靈活，因為除了驗簽外的大部分流程都搬到鏈下了，使用方可以根據場景，制定自己的碎片管理策略。

問：MPC 在這個過程中的作用是什么？

謝翔：MPC 是一種基于密碼學的協同計算框架，廣義地理解就是多方各自有私密的輸入，一起來完成一個計算任務，在成功完成任務的同時，可以保證整個過程中各自的私密輸入不會泄露。

比如一個「2-3 模式」的基于 MPC 的密鑰管理協議，意味著一共有 3 個碎片，只要任意的 2 個碎片參與執行協議，就可以產生一個合法簽名。這里的簽名產生過程，包括碎片產生過程，都可以看成一種安全多方計算，因為在協議執行過程中，產生和交換的所有中間數據都不會直接或者間接地造成碎片明文的泄露。

動態 | 紐約警察局提醒公眾謹防詐騙者冒充社會安全管理局官員進行BTC詐騙:據The Next Web消息，紐約警察局(NYPD)提醒公眾警惕有詐騙者冒充社會安全管理局官員進行詐騙，要求受害者用比特幣、比特幣兌換預付禮品卡和和銀行卡進行匯款。紐約警察局表示此類詐騙案正在上升。截至2019年至今，NYPD已收到200多起投訴，損失總額超過200萬美元。而在2018年，紐約警察局只收到三起類似的投訴。[2019/5/2]

問：基于 MPC 的門限簽名為什么要跟簽名算法相關？

謝翔：我有多塊碎片，怎么去實現這一個簽名出來？這和算法結構是強相關的，所以會存在某個算法容易做 MPC，某個算法不容易做 MPC 的問題。比特幣要升級到 Schnorr，Schnorr 是非常兼容 MPC 的，ECDSA 不那么兼容 MPC。

問：在基于 MPC 的密鑰管理中，真正的那個私鑰存儲在哪兒？

謝翔：你會發現有個很好玩的事情，就是在整個密鑰管理的生命周期里，真正的私鑰從來沒有出現過，也就沒有私鑰存儲在哪里這個問題了。這是基于 MPC 的密鑰管理的精髓所在，它能夠保證密鑰能用但不存在。

在傳統的密鑰管理中，密鑰是一種確實存在的數據資產，保管它是一件非常難的事情。基于 MPC 的門限簽名在物理層面直接從系統里剝離了密鑰，這與傳統系統在安全理念上是截然不同的。

在傳統方式下，黑客盯住一個點就行，因為私鑰就存在那個點上；但基于 MPC 的密鑰管理將密鑰的安全性分散在多個托管節點里，私鑰在任何時刻都會被分成多份在多個地方，黑客可能要攻破第一個、第二個、第三個、第四個，要把四個碎片全部搞定才能拿到密鑰，而且必須在某一時間范圍內同時拿到四個碎片才能得到密鑰，因為密鑰碎片是在不斷刷新的。

比如密鑰是 10，把它拆成兩個碎片，分在兩個地方。你可以把 10 拆成 5+5，但過一分鐘后把它拆成 1+9，再過一分鐘后把它拆成 2+8。黑客要在一分鐘之內把兩個點都攻破才能拿到 10，如果第一分鐘攻破第一個地方、第二分鐘攻破第二個地方，黑客拿到的是 5 和 9，不是正確的密鑰。

問：多簽是無法做這種刷新的？

美國國會研究服務部安全政策分析師：區塊鏈技術在供應鏈，投票系統及健康記錄方面有優勢:在今天美國眾議院科學、空間和技術委員會召開的技術咨詢委員會上，作為第一名證人，國會研究服務部政府和財務部網絡安全政策分析師Chris A. Jaikaran的觀點如下，他認為尋找不可拒絕的，可追溯的分類賬時，區塊鏈的優勢就顯現出來了。對于一些更加敏感的供應鏈問題，區塊鏈的應用可能需要經過允許并且是隱秘的，這意味著不是每個人都可以訪問該區塊鏈，即使是可以訪問的人也不能訪問全部的區塊鏈。在基于區塊鏈的投票系統上Jaikaran表示，區塊鏈不會記錄投票結果，它會記錄投票人，他的身份及其投票過程，該投票本身存儲在另一個安全系統中。同時，Jaikaran還認為區塊鏈技術在健康記錄存儲方面的應用有潛力，是否能夠解決這個問題取決于具體應用。最后，在眾議員Ralph Abraham詢問委員會將如何支持區塊鏈研究時，Jaikaran表示，目前區塊鏈可用項目的范圍非常廣泛，隨著繼續的調查，將確定什么將是最適合政府使用的。[2018/2/15]

謝翔：沒有辦法。對于多簽，比如參與多簽的是三個人，其中一個人的私鑰被偷了，那對應的方法不是說刷新密鑰，而是要趕緊換地址，把錢轉到新的地址里，這在很多應用場景里是個痛點；或者比如說現在是三個人參與多簽，需要加第四個人，這個時候也要換地址，然后需要一個新的多簽的合約，這是很費勁的，而且轉錢到新地址還需要手續費。

但這些對于 MPC 來說就很容易，它可以保證對外的地址一直不變，內部刷新就好。這個好處也是我們看重的點。

基于 MPC 的密鑰管理的應用

問：基于 MPC 的密鑰管理可以降低私鑰的使用門檻嗎？這或許是最讓普通用戶頭疼的地方。

謝翔：它可以做到與傳統的中心化的方式沒有區別，做到用戶體驗一樣：使用數字貨幣時的操作和你使用微信錢包時的操作是一樣的，你不需要去記助記詞、或者把助記詞存硬件、用本子抄寫下來等等。

用 MPC 一個好玩的事情是什么呢？比方說 A 和 B 用 MPC 共同管理一個賬戶，那么他們倆就可以同時來控制這個賬戶，但同時都不需要記助記詞。如果 A 想用的時候，要發一個請求給 B，B 同意后，A 和 B 通過一套既定的規則，在本地利用各自的碎片計算出一些中間變量，通過信息交換，A 就可以在本地生成一個合法的完整簽名，驗簽通過后，A 就可以把賬戶里的錢轉出去。

當然這里還有一個問題，如何為 A 和 B 生成碎片。事實上，利用 MPC 技術可以實現 A 和 B 各自在本地生成一個碎片，這兩個碎片可以隱式地拼接成一個私鑰，注意，這種拼接只是一種蘊含的數學關系，碎片實際上從未在任何時刻被拼接過。

這個時候，B 那個角色也可以是一個第三方的服務器。服務器確認一下 KYC，核實是不是你發起的，是你發起的之后它就自動通過，也就是自動給出另一個碎片來一起生成簽名。KYC 就是通過發短信、人臉識別、發郵件等等方式，這樣一來，用戶的操作方式就和傳統的操作方式一模一樣。這就和實際的應用場景很掛鉤了。

我們做了一個叫 KeyShard 的 App，是為了告訴用戶基于 MPC 的密鑰管理可以怎么用，可以試著體驗一下，現在只支持以太坊。它就是模擬的傳統的權限管理，要兩個人同意才能動賬戶。

問：回到最開始。你說把傳統的對于錢的授權管理機制挪到數字貨幣領域。在傳統審批流程里，可能需要 A 先通過，然后 B 簽字，然后 C 簽字，這是 MPC 現在就可以做到的嗎？

謝翔：這其實是一個很關鍵的問題。在傳統的流程里這叫做傳簽，傳簽在 MPC 里會有一些障礙，我畫一下 MPC 大概的邏輯。

MPC 這個算法協議是要彼此相連和交互的，比如說經理、財務、CEO 三個人參與生成簽名，它是要求這三個人必須同時在線的，所以 MPC 純算法本身很難做到傳簽。

但我們可以利用工程架構在產品層面實現傳簽功能，讓上層的用戶不用去管也不用去想底層是怎么運行的，對于用戶而言，產品的操作體驗和傳統傳簽是一樣的。所以算法和產品之間是有很大差異的，這里有兩套東西，除了算法本身，還需要把技術和業務邏輯結合起來。

問：可以這么理解嗎，基于 MPC 的密鑰管理不僅是為了安全地存儲密鑰，它更是為了個人或企業能夠方便地、滿足業務邏輯地使用密鑰？

謝翔：它有多個優勢，安全存儲是一方面；而讓個人或者企業更安全便捷地使用密鑰是另一方面。前者是指基于 MPC 的密鑰管理對密鑰或者資產的「托管能力」，體現了靜態的安全性；后者是指基于 MPC 的密鑰管理可以主動設計出多樣化的策略管理，是一種動態的業務賦能。

問：如果有一個需要管理多種 Token 的投資機構，它是不是可以買一套基于 MPC 的密鑰管理算法，然后用這套算法實現對不同鏈的簽名，進而實現對不同鏈上資產的管理？

謝翔：它不太可能直接買算法，它會買產品，比如買一套基于 MPC 的密鑰管理軟件裝在公司內部的服務器上，然后就可以通過一個界面去管理資產。你可以理解為它買了一套基于 MPC 的財務管理系統。

密鑰管理的最底層是一套算法，但可以把它包成產品，也可以包成 App、包成 SDK（軟件開發工具包）。

問：如果有一個錢包公司，希望錢包添加一個讓用戶能基于 MPC 管理私鑰的功能，是不是可以找專業的提供 MPC 解決方案的公司合作？

謝翔：對。你可以理解為這個市場有投資機構、有錢包、有交易所，還有其它的一些業務公司，它們各自有自己的業務，但它們一定都會有怎么管錢這個問題，我們就是提供一套基于 MPC 的密鑰管理能力，也就是基于 MPC 的管錢的能力，來跟它們自己現在的這套系統對接。

從公司的定位來說，KeyShard 其實是一個技術提供商或一個基礎設施公司，它把自己往下沉得多一點，不碰上面的業務。它主導的是底層的密鑰管理的 SDK，希望把授權管理的業務流程揉到 SDK 里面去，當然難點在于要抽象出一套相對來說足夠靈活、好用的 SDK。

基于 MPC 的密鑰管理面臨的挑戰

問：基于 MPC 的密鑰管理現在碰到的難點是什么？

謝翔：技術的、非技術的都有。非技術的是有人會問為什么它是安全的？給我個證書。傳統 KMS （Key Management Service）是有證書的，但因為基于 MPC 的密鑰管理時間沒有那么長，沒有認證。

這是這個學科的特殊性引發的問題。密碼學雖然有堅實的理論基礎，但是它分理論安全和實際安全，實際安全是不是能達到理論安全這個層面是需要時間檢驗的。所以一是需要標準機構，二是需要學術研究的推動。我們會積極地去推進類似標準、去推進工業界對這個技術的認可，但需要時間，沒那么快。

技術上的難點就是剛才說的，需要把這一套新的技術和復雜的業務邏輯結合起來。此外，MPC 是一套分布式的技術，分布式的話就會有同步，也就是共識的問題。

原來的授權管理是一個純中心化的東西，業務流程會很好配；但分布式的場景下會有一定的難度，比如使用者在不在線的問題，網絡好不好的問題，如果在密鑰刷新的時候有延時，是用后面那個碎片還是用前面那個碎片的問題。這種細節會有很多，都要去考慮。

問：基于 MPC 的密鑰管理沒有可追究性這種說法是準確的嗎？就是說不知道誰簽了誰沒有簽，無法追查責任？

謝翔：其實是可以知道的，從算法層面就可以抓到是誰簽的。算法底層可以通過引入檢查和舉報機制，追查到誰沒有簽，甚至知道是誰在簽名過程中給了不遵循規則的錯誤信息。

來自使用的需求：

密鑰管理是一個正在變得越來越重要的概念，它甚至有可能成為區塊鏈領域一類重要的基礎設施。因為當數字貨幣或 Token 更多的被交易和使用，而不僅僅被一勞永逸地存儲時，通過私鑰或錢包密碼使用資產的方式既不安全，也不友好，更難以滿足諸多應用場景的需求。

多重簽名和基于 MPC 的門限簽名都是實現密鑰管理的方法，但它們是截然不同的設計路線：前者在鏈上，依靠智能合約數合法簽名的個數；后者在鏈下，依靠 MPC 用碎片生成合法簽名。本文重點介紹的是后者，也就是基于 MPC 的密鑰管理，希望能對你了解這種技術和方案有一些幫助。

重新認識「私鑰」：私鑰不是鑰匙

「私鑰」這個詞帶來的直覺反應是，它是一種「鑰匙」，作用是打開保管著數字貨幣的保險柜，想一想也似乎有道理，使用私鑰就能拿到幣。但實際上，在區塊鏈和數字貨幣領域，私鑰就意味著資產本身。

試想，你的保險柜鑰匙丟了，你的錢是依然還在的，你可以再配一把鑰匙；但如果私鑰被忘了，錢可就永遠消失了。你的保險柜鑰匙被偷了，你的錢可能依然安全，因為小偷還需要溜進大樓、撬開房間的門鎖；但如果私鑰被偷了，錢幾乎立馬就不再屬于你。

私鑰不是那把打開保險柜的鑰匙，它是要被放進保險柜的資產本身。而如何設計一個保險柜系統存放私鑰，使得柜中的私鑰既安全、又易用，就是密鑰管理。屆時，交到用戶手中的就不是私鑰，而是一套打開保險柜的鑰匙。

多重簽名和基于 MPC 的門限簽名都是實現密鑰管理的方法，但它們是截然不同的設計路線：前者在鏈上，依靠智能合約數合法簽名的個數；后者在鏈下，依靠MPC用碎片生成合法簽名。本文重點介紹的是后者，也就是基于MPC的密鑰管理，希望能對你了解這種技術和方案有一些幫助。 

Tags：MPC區塊鏈比特幣數字貨幣SMPC區塊鏈游戲十年比特幣曲線圖數字貨幣是不是騙局

Fil