密鑰繁多難記難管理？認識高效密鑰管理體系_PAS

作者：嚴強

來源：微眾銀行區塊鏈

密鑰設置是否只要夠安全就能夠重復使用？定期修改密鑰到底有沒有必要？密鑰不幸遺失該如何恢復？素未謀面的雙方，如何才能安全地進行密鑰協商？

上一論我們了解到，基于密碼學的隱私保護方案，其有效性很大程度上取決于能否有效管理好密鑰。這里，我們將進一步分析密鑰管理的具體范疇、每個操作環節的典型風險，以及應對手段。

密鑰管理的對象是密鑰本身或者用于生成密鑰的密鑰材料，三類主要操作環節包括密鑰的使用、保存和協商。

鑒于人類用戶和計算機系統在自身能力上的差異，需要使用不同技術手段和治理手段來實現有效的密鑰管理，以下將對三類操作環節一一展開分析。

密鑰的使用

密鑰的使用是指，用戶基于根密鑰，為不同業務操作生成實際使用的密鑰的過程。這一過程不僅僅包括，直接使用預先設定好的密鑰，如輸入用戶記憶中的用戶口令，還包括使用經過一定變換后的密鑰。

其主要風險是密鑰泄露導致的非授權使用，可能會造成以下后果：

由該密鑰加密的隱私數據泄露。特別是當所有歷史隱私數據都只用一個密鑰加密時，攻擊者將有可能獲得所有歷史隱私數據明文。

使用該密鑰通過身份驗證入侵系統。不只是數據，攻擊者可以獲得用戶所有的操作特權，例如，惡意修改系統訪問控制參數、使用具有法律效應的數字證書對未授權的內容進行數字簽名等。

Trust Wallet移動端應用已支持密鑰云備份:2月22日消息，多鏈非托管錢包Trust Wallet移動端應用已支持密鑰云備份，用戶可將助記詞備份至iCloud（iOS）或Google Drive（Android）。[2023/2/22 12:22:47]

針對這些在密鑰使用環節的風險，核心的應對手段為

密鑰輪轉，即每隔一定時間，生成一個新的密鑰。

對于計算機系統，一般可以輕易生成新的隨機密鑰。新密鑰與舊密鑰可以沒有任何關聯，其有效期限和密鑰本身都將保存在高安全級別的存儲介質中，以此最小化密鑰暴露的風險。

然而，以上方案對于用戶而言，可用性不高。

對用戶來說，生成一個安全的新密鑰，且能夠記住和使用它，已經不是一件容易的事。如果再進一步要求用戶記憶多個超長、隨機、無關聯的密鑰，那用戶很有可能被迫“變通”，使用不安全的手段，例如將密鑰全部寫在紙上、未受保護的手機APP里。

如何讓用戶只記憶一個密鑰，還能實現有效的密鑰輪轉，這里可以用到的關鍵技術是密鑰派生函數。

KDF具有兩個核心功能：

將一個短的用戶口令延長到一個滿足安全密鑰長度的密鑰。

由一個根密鑰生成多個滿足安全密鑰長度的密鑰。

典型的KDF，如IETFRFC2898標準中的PBKDF2函數，可以表達成如下形式：

DerivedKey?=?PBKDF2(PRF,?Password,?Salt,?IterationCount,?DerivedKeyLength)

Torus推出支持微信、谷歌登錄的密鑰管理服務OpenLogin:4月20日消息，Web3.0登錄服務提供商Torus宣布推出非托管式的公鑰基礎設施OpenLogin，可以提供基于PKI的認證工具和服務，在用戶體驗、隱私和安全方面可支持無密碼認證的功能。

Torus表示，開發者只需要用十分鐘集成SDK，就可以支持無密碼認證或者其他互聯網登錄功能，比如Google、微信、Twitter、Github、郵件等。[2021/4/20 20:40:46]

其中：

PRF是一個隨機數生成函數，負責在運算過程中生成一系列隨機數。

Password是用戶口令。

Salt是為了防止批量窮舉攻擊而設置的鹽值，其作用等價于用戶專屬的隨機種子。

IterationCount是生成派生密鑰時所需迭代計算的次數，可以通過刻意增加迭代計算的次數，加大攻擊者窮舉攻擊的難度。

DerivedKeyLength是派生密鑰的長度，一般比用戶口令長很多。

PBKDF2函數的五個輸入中，用戶只需要記憶用戶口令Password，其他都可以由輔助的計算機系統來計算完成。用戶口令可以根據用戶的偏好設置，不影響用戶體驗。同時只要用戶口令夠長，安全性風險一般都比較可控。

除了PBKDF2之外，BIP-32標準中HierarchicalDeterministic密鑰錢包設計的核心也是KDF。區別在于BIP-32為橢圓曲線公鑰密碼學算法提供了特有的密鑰派生規則，實現了子密鑰樹形擴展和中間節點公鑰托管擴展，有興趣的讀者可以深入了解一下。

動態 | 2020年“比特幣密鑰驗證日”將至 交易所儲備或將受到考驗:距離2020年的“比特幣密鑰驗證日”（1月3日）只有二十余天了，預計在這場活動中，可能會有數萬名比特幣所有者從交易所錢包中取出比特幣，轉移到一個他們控制著私鑰的地址。據悉，2020年的“密鑰驗證日”是迄今為止第二次比特幣持有者大規模驗證密鑰的日期，這也是許多加密貨幣交易所的關鍵時刻，其儲備將再次受到考驗。（BeInCrypto）[2019/12/9]

KDF技術上實現了密鑰輪轉，在治理上也有必要采取一定的措施，進一步降低密鑰使用時的風險。常見治理策略主要覆蓋了兩大方面的風險：

密鑰的最短長度和最低復雜性：密鑰長度不能太短，不能被常見的字典庫輕易破解。

密鑰的復用：建議定期更改密鑰，且不能復用歷史密鑰。對于計算機系統，可以進一步要求為不同的系統用途設置不同的密鑰。

關于第一條治理策略，業界一般都沒有什么異議，但對于第二條中，用戶需定期更改密鑰的建議，近年來也有一些不同觀點。

實踐中往往發現，為了方便記憶，不少用戶采用了不安全的變通方式，選用了有強關聯的一組用戶口令。例如，2019年使用的舊口令為“password2019”，2020年使用的新口令為“password2020”，一旦舊口令泄露，也很容易推斷出新口令。

反之，如果告知用戶不需要定期更改口令，用戶在心理上反而更有動力去設置一個更為復雜的口令。所以，實施定期更改用戶口令的策略，不一定更安全。

動態 | 加密錢包GateHub的140萬個用戶賬戶信息被盜 包括密碼、密鑰和助記詞:金色財經報道，數據泄露索引網站“ Have I was Pwned”一名安全研究人員表示，加密錢包GateHub和RuneScape機器人提供商EpicBot 220萬用戶的密碼數據和個人信息已被泄露。Hunt稱，被盜信息包括來自GateHub加密貨幣錢包的多達140萬個用戶帳戶的個人信息，以及自稱為世界上最安全的多合一RuneScape機器人提供商EpicBot上約80萬個用戶帳戶的數據。 被盜信息包括注冊的電子郵件地址、密碼、雙因素身份驗證密鑰、助記詞和錢包哈希。GateHub官方表示，錢包哈希沒有被訪問。（cointelegraph）[2019/11/20]

除了以上治理策略，為了控制內部人員濫用密鑰的風險，也很有必要將密鑰的控制權分派到多個職能上相互約束的相關人員手中，只有當所有相關人員都同意使用時，才能正常使用，其背后的技術原理將在下一環節中提及。

密鑰的保存

密鑰的保存是指，用戶將密鑰保存在存儲介質中，并在特定的情況下，從存儲介質恢復出之前保存的密鑰。

其主要的風險是因保存不當導致密鑰泄露或遺失，除了上一環節中提到的后果之外，可能會額外造成以下后果：

由該密鑰加密的隱私數據無法被解密。

由該密鑰保護的權益無法被兌現。

動態 | 創世賬號丟失密鑰工具提案已經通過:據 IMEOS 報道，由 EOS DAC 發起的創世賬號丟失密鑰解決方案的提案，第二步也是最后一部分，已經得到 15 票，提案已經完全通過。 創世賬號丟失密鑰解決方案提案程序： 1.創建 eosio.lost 賬號 (完成) 2.部署丟失密鑰恢復合約到 eosio.lost (完成) 。[2019/5/5]

針對這些在密鑰保存環節的風險，核心的應對手段為

物理隔離和

密鑰分片。

前者指的是，密鑰保存的環境應該是一個與惡意環境隔離的安全環境。后者指的是，密鑰保存時不應該整存整取，而是進行分片，由多個信任方分別保存，必要時還需要實現多地容災恢復。

對于計算機系統，安全硬件模塊和高物理安全的服務器房間是實現物理隔離常見的手段，必要時，保存密鑰的設備可以一直保持離線狀態，杜絕意料之外的非授權訪問。

對于密鑰分片，可以使用密碼學秘密分享算法來實現。最常用的密碼學秘密分享算法是Shamir秘密分享算法，由以色列密碼學家AdiShamir在其1979年的論文『Howtoshareasecret』中提出。

Shamir秘密分享算法的核心思想是，將密鑰的值設為一個N階隨機多項式中的常量參數，然后在該隨機多項式上隨機選M個點的坐標，這些坐標就是關于密鑰的分片。

這些分片具有以下特性：

如果攻擊者獲得分片總數小于N，攻擊者無法獲得任意關于密鑰的信息。

如果所有可能的分片總數M大于N，通過其中任意N個分片，使用拉格朗日多項式插值算法恢復出隨機多項式之后，便可有效地恢復出密鑰。

相比計算機系統，用戶對于前一項物理隔離的要求可能更容易實現。相比讀取存儲介質中的數據，在未進行威逼利誘的前提下，用技術手段直接提取用戶記憶中的密鑰目前要困難得多。

但對于第二項密鑰分片的要求，則需要配合各類托管技術，使用計算機輔助手段生成和保存高安全性的密鑰分片。具體的技術分類和比較，可以參考上一論密鑰托管相關內容。

無論采用哪一種技術，一般情況下，用戶最少需要記憶一個用戶口令。但如同房門鑰匙一樣，遺忘用戶口令并不罕見，尤其是在賬戶數目和相關密鑰總數繁多的情況下。

如果服務提供商提供有效的密鑰重設服務，相比將密鑰全部寫在紙上或手機APP里，通過密鑰重設服務重設密鑰，密鑰泄露風險可能更低。

密鑰的協商

密鑰的協商是指，多個用戶或系統遠程協商即將在交互過程中所使用的密鑰。

作為社會性生物，和陌生人交換信息，是人類生活中必不可少的組成部分。在當前數據驅動的時代，計算機系統通過跨域交換信息實現更大的價值發掘，是現代信息化商業核心業務模式之一。

在這些信息交換過程中，最典型的應用之一是隱私數據的端到端加密傳輸，為此需要生成一次性密鑰對信息進行加密保護。在缺乏可信信道的前提下，能否與交互方安全地完成密鑰協商，對于隱私數據的保護尤為關鍵。

其主要的風險是惡意通信環境中的密鑰截取或篡改，除了密鑰使用環節中提到的后果之外，可能會額外造成以下后果：

由該密鑰保護的隱私數據被篡改。例如，金融交易中的收款人、付款金額。

由該密鑰保護的其他密鑰泄露。例如，通過加密信道傳輸的后續協議中所約定使用的密鑰。

針對這些在密鑰協商環節的風險，核心的應對手段為

認證交換和

認證分發。

對于計算機系統，根據業務場景和部署環境安全假設的不同，認證密鑰交換的協議有很多不同的類型，最常用的是基于公鑰證書體系和Diffie-Hellman密鑰交換協議。

關于認證密鑰分發，經典密碼學相關方案有基于公鑰證書體系的密鑰封裝、基于可信中間代理和代理重加密的密鑰密文轉換等。比較創新的技術方案包括在第6論中提到的基于量子糾纏理論的量子密鑰分發技術，我國的墨子號量子科學實驗衛星已經實現了千公里級星地雙向量子糾纏分發原型實驗。

在技術手段的協助下，用戶往往對于密鑰協商是無感的。例如，我們在使用瀏覽器時，通常不會意識到，對不同的網站建立安全連接時，會根據不同網站的不同數字證書，進行密鑰的認證交換，并最終使用不同的一次性密鑰與不同的網站通信。

但用戶也需要警惕，核實認證的有效性。一旦數字證書失竊或者過期，攻擊者就有機會假扮服務提供方，截獲用戶的隱私數據，篡改用戶的操作請求，實施經典的中間人攻擊。

密鑰管理的三大環節中，存在著大量的風險點。由于密鑰是密碼學中的最高機密，竊取密鑰往往是攻擊者的首要目標。任何一個環節出現問題，對應隱私保護方案的整體有效性，都會受到嚴重影響。

本論的分享主要關注技術方案和治理策略層面，在實際方案部署時，工程實現和其他相關層面的保護也很關鍵，會需要更完備的組合策略，從多個維度上提供層次化的保障。

正是：密鑰管理謹小慎破解，技術治理合璧顯神功！

有效的密鑰管理是使用基于密碼學的隱私保護方案的重要前提。無論隱私保護方案內部設計多么精妙，任何在密鑰使用、保存、協商環節中出現的疏漏，都會使之功虧一簣。

除了傳統的安全性分析，針對用戶的可用性分析也至關重要。在實際隱私保護應用中，高于常規人類認知記憶能力的要求，都會促使用戶使用不安全的變通手段，導致最終效果大打折扣。

有效的密鑰管理需要在多個維度上融合技術方案和治理策略，同時實現安全性和可用性之間的平衡和優化。

了解完密鑰相關的重要原則和管理技術，自下一論開始，我們將分享在實際的密碼學算法中如何使用這些密鑰，深入解析隱私保護相關的密碼學原語，欲知詳情，敬請關注下文分解。

Tags：PAS比特幣ASSPASSPAS價格比特幣價格實時行情分析Asset-Backed ProtocolPASSIVE價格

DAI