本文為SevenX 研究團隊原創,僅供交流學習,不構成任何投資參考。如需引用,請註明來源。
原文連結:https://mirror.xyz/sevenxventures.eth/3sYkMimEKqzQbme8-KszvSrKGj4uPxBLyJM9ncXxgcU
作者:Rui,@Ruisnakes
目錄
加密用戶體驗很糟糕?是密鑰管理爛透了!
密鑰管理層:責任、儲存和訪問
現有產品分析:MetaMask、Trust Wallet、Privy 與Particle
新解決方案:
- 金鑰層:WebAuthn、Secure Enclave (Secure Enclave) 和Passkey (Passkey)
- 賬戶層:智慧合約賬戶(SCA)、外部賬戶(EOA)
- 簽章層:協定r 1 預編譯、第三方服務、Solidity 與零知識驗證器
案例研究:(密鑰)+(帳戶)
- Clave 錢包:(Secure EnclaveWebAuthn)+(SCA)
- Soul 皮夾:(Passkey)+(4337 SCA)
- OKX 皮夾:(MPC-TSS +Passkey)+(4337 SCA)
- Web3 Auth:(MPC-TSS + Passkey)+(EOA/SCA)
- Lit 協定:(MPC-TSS + 去中心化節點+ Passkey)+(EOA/SCA)
*請注意,以上案例可能很快就會改變和改進
展望
TL;DR
私鑰是以太坊上簽署交易的關鍵所在,但即便是以助記詞(也稱為「種子短語」) 這種可讀形式進行管理,用戶的私鑰管理也是一場噩夢。而我們深知,將區塊鏈變成一個複雜遊戲從來都不是我們的本意。
要確保交易安全,就必須對授權使用者進行身份驗證。隨著網路安全和用戶體驗的發展,我們已經從密碼驗證發展為臉部辨識和指紋等生物特徵識別技術。在這項進展中,WebAuthn 是一個關鍵里程碑。本文將重點放在三個術語:
WebAuthn:這是一項Web 驗證標準,使用通常由外部驗證器建立的基於公鑰的憑證。無需密碼,也可實現安全的用戶身份驗證。
Secure Enclave:計算設備內基於硬件的安全區域,旨在保護敏感資料。 Secure Enclave 的不同版本適用於iOS、Android 和Windows 裝置。應用WebAuthn,它可以作為外部驗證器,帶來硬件層級的安全係數,但由於私鑰綁定本地,這會使跨裝置操作變得困難。
Passkey:操作系統層級的WebAuthn 應用,各種設備和系統提供者有其自訂規則。例如,Apple 的Passkey利用iCloud 鑰匙圈(Keychain) 中儲存的金鑰進行跨裝置同步。然而,這種方法通常只應用於特定的平台或系統,無法實現跨系統(Apple-Android)。
如上文所述,WebAuthn 部署與我們對於日常區塊鏈用戶的目標是一致的,即實現高級防釣魚安全和用戶友好的體驗。以下是將WebAuthn 實作融入區塊鏈中的提議:
密鑰層:使用者可以使用臉部辨識或指紋等絲滑方法進行身份驗證。從底層來看,它是基於硬件的安全處理器(如Secure Enclave)或云服務(如iCloud 和Google Cloud)處理密鑰管理的。後面我將深入討論跨裝置和跨平台問題。
帳戶層:智慧合約帳戶(SCA)可分配任意簽署者(例如SE 和Passkey)和閾值機制。此外,其模組化設計增強了靈活性和可升級性。例如,智慧合約帳戶可以根據交易數量、時間或IP 地址等因素動態調整其簽名要求。另一方面,傳統的外部帳戶(EOA)可以透過多方運算(MPC) 服務進行擴展,相對於智慧合約帳戶,這種組合提供了更好的互通性和成本效益,但不具備智慧合約帳戶提供的進階功能,特別是密鑰輪換會更有挑戰。
簽名層:以太坊原生支援k 1 曲線,但WebAuthn 的簽章驗證會產生更高的成本,因為它使用r 1 曲線產生金鑰。因此,zkSync 等Layer 2 解決方案計劃採用原生EIP-7212 r 1 曲線的預編譯。此外,還有第三方服務、Solidity 驗證器、零知識(ZK)驗證器和分散式金鑰管理系統,都能以更具成本效益的方式方便r 1 曲線簽署。
*免責聲明:
技術進步並不代表一定能在市場上獲得成功;並非所有設備和平台都採用了Passkey;使用智慧合約帳戶可能比外部帳戶更昂貴;所提出的解決方案將隨著技術進步而不斷發展。
加密用戶體驗很糟糕?是密鑰管理爛透了!
在區塊鏈領域,區塊鏈資產的真正控制權並不在使用者或錢包提供者手中,而是私鑰。這個密鑰決定了以太坊上交易執行的成敗。為了更好地理解這一點,我們以外部帳戶為例:
密鑰產生:從secp 256 k 1 橢圓曲線中選擇的一個隨機數作為私鑰。然後將該私鑰乘以曲線上的預定義點以產生公鑰。以太坊位址是從公鑰哈希後的最後20 個字節派生出來的。通常,我們會使用助記詞,將私鑰轉為人類可讀的單字作為備份,從而最終產生私鑰和公鑰。
簽署交易:使用私鑰對一個包含了nonce(序號)、金額、gas 價格和接收地址等詳細資訊的交易進行簽名。這個過程涉及橢圓曲線數字簽名算法(ECDSA),這種數字簽名算法使用橢圓曲線密碼學,並採用secp 256 k 1 曲線,產生由(r、s、v)值組成的簽名,然後將簽名和原始交易廣播到網上。
驗證交易:一旦交易到達以太坊節點,它將在節點的記憶體池中進行驗證。為了驗證簽署者,節點使用簽名和散列交易來獲得發送者的公鑰,並透過將提取的地址與發送者的地址進行匹配來確認交易的真實性。
如上文所述,私鑰是鏈上的一個重要實體。最初,以太坊帳戶,即外部帳戶,完全依賴單一私鑰,這帶來了重大風險,因為遺失私鑰意味著失去了對帳戶的存取權。
許多人可能認為帳戶抽象(AA)是使用者體驗問題的終極解決方案,我想說不盡然。賬戶抽象化將以太坊上的validity rule(有效性規則)變為可編程的規則,而智慧合約賬戶則讓其實現。賬戶抽像很強大,可以實現並行發送多個交易(抽象nonce)、gas 贊助,支援使用ERC 20 支付gas(抽象gas),還有一個與本文主題更相關的功能是- 賬戶抽象可以打破固定簽名驗證(抽象ECDSA 簽名)。與外部帳戶不同,智慧合約帳戶可以指派任意簽章者和簽章機制,例如多重簽章(multisigs) 或限定範圍的金鑰(會話金鑰)。然而,儘管帳戶抽象的靈活性和可升級性有所提高,但交易簽名仍需要密鑰。
即使將私鑰轉換為12 個單字的助記詞,管理私鑰仍是一大挑戰,有遺失或遭受釣魚攻擊的風險。使用者必須在複雜的去中心化解決方案與中心化服務之間進行抉擇,但兩者都不是最理想的選擇。
為什麼加密體驗很糟糕?其中很大一部分原因是因為密鑰管理很糟糕。當使用者在密鑰管理的時候,始終需要在體驗、安全性和去中心化之間進行權衡。本文探討了管理密鑰的潛在最佳解決方案。
密鑰管理層
永遠不存在什麼萬全之策,密鑰保管的最佳方式需要根據特定用戶場景進行定制,並受諸多因素影響,如用戶類型(機構還是個人)、資本金額、交易頻率和交互類型等。
事先澄清一下,我不會用目前流行的「自我託管、半託管和完全託管」等字眼。在我看來,真正的自主託管意味著不依賴其他方、獨立簽署交易,即使有些解決方案在傳統意義上都不算是託管(例如儲存在去中心化節點的可信任執行環境中),也不算非託管。僅基於託管類型來判斷解決方案是好是壞就過於簡單粗暴了,也沒有考慮到這些方案的適用性差異。為了更細緻地評估密鑰管理方法,我建議透過三個不同的維度進行分析。
責任
是否將密鑰管理的責任劃分給不同的責任方。
由於個人使用者在管理密鑰時通常面臨種種挑戰,因此分配密鑰管理責任自然就成了風險緩解策略。這類方法包括使用多個金鑰進行協作簽名,多重簽名(Multi-sig)系統是一例,以及透過秘密共享方案(SSS)或多方計算(MPC)將私鑰分為多個部分。
多重簽名(Multi-sig):需要多個完整的私鑰來產生交易簽名。這種方法需要不同簽署者進行鏈上通信,交易費用更高,並影響隱私,因為簽名者的數量在鏈上是可見的。
秘密共享方案(SSS):在單一位置產生私鑰,然後將此密鑰分為多個部分,並分發給不同各方。各方必須重建完整的私鑰以簽署交易。然而,這種臨時性重建可能會引入漏洞。
MPC-TSS(闕值簽章方案):作為多方計算的一種實現,這種加密方法使多方能夠在保持其輸入共同私有的情況下進行計算。每一方都獨立地創建一個密鑰碎片,無需實際見面即可簽署交易。因為是鏈下操作,這種方式所需的費用較低,且不存在秘密共享方案的單點故障風險。
儲存
儲存密鑰或密鑰碎片,受安全性、可存取性、成本和去中心化因素的影響。
中心化雲端服務,如AWS、iCloud 等伺服器。這種方式便於頻繁交易,但更容易受到審查。
本機/行動裝置:密鑰儲存在瀏覽器的安全儲存中。
紙錢包:印出私鑰或二維碼。
可信執行環境(TEE):可信任執行環境在主處理器內提供了一個安全區域,獨立於主操作系統執行或儲存敏感資料。
Secure Enclave:現代裝置上的Secure Enclave 與主處理器隔離,提供額外的安全層,即使在應用程式處理器核心受到威脅時,也可確保敏感使用者資料的安全。
硬件安全模組(HSM):硬件安全模組是專門用於安全金鑰管理和加密作業的硬件設備,通常應用於企業環境,並提供高階的安全功能。
訪問
如何驗證使用者身分以存取儲存的密鑰
訪問儲存的密鑰需要進行身份驗證。這就需要去驗證試圖訪問的個體是否確實得到了訪問密鑰的授權。回顧過去,可將訪問方式分類如下:
你所知道的:密碼、PIN 碼、安全問題的答案或特定圖形。
你所擁有的:包括智慧卡、硬件代幣(基於時間的一次性密碼)或數字因素,如社交賬戶驗證和發送到手機的短信代碼。
你是誰:使用者獨特的身體特徵,如指紋、臉部辨識(如Apple 的Face ID 或Windows Hello)、語音辨識或虹膜/視網膜掃描。
在這些基礎上,雙因素認證(2FA)和多因素認證(MFA)將至少兩個因素結合起來,例如將簡訊與推送通知結合,加強用戶帳戶的安全。
現有產品分析
MetaMask允許使用者使用密碼存取儲存在本機瀏覽器儲存空間中的金鑰。
Trust Wallet允許使用者使用密碼或faceID 存取儲存在使用者本機瀏覽器儲存空間中的密鑰,使用者也可以選擇使用雲端服務備份私鑰。
Privy允許使用者使用電子郵件等多種社群登入方法,透過秘密分享方案將金鑰分成三個部分:
設備分片:瀏覽器-iFrame,行動裝置-Secure Enclave。
Auth 認證分片:由Privy 存儲,鏈接到Privy ID。
Recovery 恢復分片:使用者密碼或由Privy 加密儲存在硬件安全模組(HSM)中。
Particle允許使用者採用社群登錄,使用MPC-TSS,將金鑰分為兩部分:
設備分片:瀏覽器-iFrame
服務器密鑰部分:Particle 的伺服器
新解決方案
金鑰層:WebAuthn、Secure Enclave 和Passkey
上述現有解決方案在吸引用戶關注Web3這一方面起到了關鍵作用。然而,挑戰也隨之而來:密碼可能會被遺忘或成為網絡釣魚攻擊的目標,2FA雖然更安全,但由於涉及多個步驟,使用起來還是很麻煩。此外,並不是所有人都願意委託第三方進行金鑰管理,當有些服務阻止使用者存取金鑰時,使用者仍要依賴系統的可用性和有效性。
這讓我們思考是否有更有效的解決方案——一種能夠提供近乎無信任、高安全性和無縫用戶體驗的解決方案。此方案的追尋引導我們找到最優的Web2 方法。如本文開頭所述,有幾個術語與該主題密切相關,WebAuthn 是身份驗證標準,而Secure Enclave 和Passkey 則是與該標準相關的部署或元件。
WebAuthn
WebAuthn 規範了對基於Web 的應用程式進行使用者驗證的介面。用戶可使用外部驗證器而非密碼登錄互聯網帳號。驗證器可以是漫遊認證器(如Yubikey、Titan key)或平台驗證器(如Apple 裝置上的內置鑰匙圈(keychain))等。
WebAuthn 背後的技術最初是由FIDO(Fast IDentity Online)聯盟所開發。 2019 年3 月,W 3 C 正式宣布將WebAuthn 作為Web 標準,隨著標準化的發展,各大瀏覽器如Google Chrome、Mozilla Firefox、Microsoft Edge 和Apple Safari 都採用了WebAuthn,顯著擴大了WebAuthn 的應用範圍和可用性。現已取得許多先進設備的支援。
WebAuthn 的優勢:
安全性更高:不再依賴密碼的依賴,減少網路釣魚、暴力破解和重播攻擊的風險。
提升使用者體驗:提供更簡單、更快速的登錄,通常只需一次點擊或生物辨識驗證即可登錄。
隱私保護:在身分驗證過程中不會傳送共享秘密內容,個別網站也不會接收任何個人識別資訊。
可擴展性和標準化:作為Web 標準,WebAuthn 確保了不同瀏覽器和平台之間的一致性和互通性。
基於裝置的WebAuthn,例如Secure Enclave
現在,我們可以使用硬件處理器作為身份驗證器,例如Apple 裝置的Secure Enclave、Android 裝置的Trustzone 和Google Pixel 的Strongbox。
密鑰產生:使用公鑰加密,根據WebAuthn 標準產生金鑰對,通常採用的是P-256 r 1 曲線。將公鑰發送至服務端,而私鑰永遠不會離開Secure Enclave。使用者永遠不會處理明文密鑰,因此保障了私鑰安全。
密鑰儲存:私鑰安全地儲存在裝置的Secure Enclave內,這一強化的子系統與主處理器隔離。它保護敏感數據,即使主系統受到損害,原始密鑰資料也無法存取。破解Secure Enclave 的門檻非常高,因此最敏感的資料類型(如Apple Pay 和FaceID 資料)都儲存在這裡。這裡可以查看對Secure Enclave工作原理的深入解釋。
驗證:使用者使用臉部辨識或指紋取得存取權限,Secure Enclave 使用私鑰對服務端的挑戰進行簽名,而服務端則使用公鑰進行驗證。
基於設備的WebAuthn 的優點:
媲美硬件的安全性:Secure Enclave 這樣獨立的基於硬件的密鑰管理器提升了安全性。
抵抗網絡釣魚攻擊:不要在可能受到威脅的裝置或網站上輸入任何資訊。
便捷的體驗:提供更使用者友善的體驗。用戶不再需要記住不同網站的複雜密碼。
基於裝置的WebAuthn 的缺點:
裝置限制:如果裝置遺失或損壞,則無法匯出或擷取私鑰,無法進行跨裝置操作。
基於雲端的WebAuthn,Passkey
為解決跨裝置功能的挑戰,科技巨頭推出了基於雲端的WebAuthn 部署,Passkey 因為Apple 而廣為人知。
以Apple 的Passkey 為例:
密鑰產生:使用者的macOS、iOS 或iPadOS 裝置作為驗證器,在使用者建立帳戶時產生公鑰和私鑰。然後將公鑰發送至伺服器,而私鑰則儲存在裝置的iCloud 鑰匙圈中。 iCloud 鑰匙圈資料以硬體綁定的金鑰對進行加密,並儲存在硬體安全模組中。 Apple 無法存取該密鑰對。
跨裝置同步:這個過程與存取iCloud 相同。對iCloud 帳號進行認證,接收簡訊驗證碼,然後輸入其中一台裝置的密碼。
基於雲端的WebAuthn 的優點:
跨裝置:Passkey 旨在方便用戶訪問,用戶可在經常使用的所有裝置上存取。但目前僅限於Apple 裝置。這種方式對於Android 裝置來說更具挑戰性,因為Android 的版本和硬體種類繁多。
防網釣攻擊:同上。
便捷的體驗:同上。
基於雲端的Passkey 的缺點:
依賴雲端服務:與基於裝置的WebAuthn 相比,基於雲端的Passkey 將安全層從Secure Enclave 的硬體轉移到iCloud 鑰匙圈,有些人可能會認為它託管在雲端服務上。需要考慮的一些關鍵點包括:用戶iCloud 的AppleID 帳戶是否被洩露;雖然iCloud 鑰匙串採用端對端加密來保護數據,但操作錯誤或漏洞都會帶來風險。
平台限制:例如,在Android 裝置上使用基於iCloud 的密碼極具挑戰性。此外,與傳統方法不同,Apple 和Google 不發送特定於裝置的斷言(assertions)。這意味著目前無法驗證產生密鑰的設備類型,這引發了對密鑰及其相關元資料可靠性的質疑。
賬戶層:智慧合約賬戶和外部賬戶
到目前為止,我們可以看到,在解決跨裝置和跨平台相容性的同時保持硬件的安全性是一大挑戰。與之同樣重要的是社交復原選項,例如新增多個守護者(guardian) 以增強安全性。在這種情況下,區塊鏈可以為我們指引一條道路。
請注意:當我們嘗試將Web2的WebAuthn 部署到Web3時,一個明顯的差異在於,Web2只需要證明所有權,而Web3還需要同時授權交易。如果只擁有Passkey,開發人員無法控制簽章訊息,簽章訊息通常是通用的,例如「sign in」。這可能導致潛在的前端操控問題,即用戶「盲目」簽署訊息——這個問題看似微不足道,但實際上至關重要。
智慧合約帳戶本身就是智慧合約,作為鏈上實體,智慧合約帳戶能夠指定任意簽署者。這種靈活性允許用戶對各種裝置和平台進行設置,例如將Android 手機、Macbook 和iPhone 設置為簽名者。此外,模組化智慧合約帳戶支援升級,可交換新的簽署者,可將簽名閾值從2/3 變更為更複雜的配置。
想像一下,一個錢包可以根據情況靈活調整其安全需求:當用戶在熟悉的本地IP 地址上時,這個錢包支援單簽名者身份驗證,但對於來自未知IP 地址或超過一定值的交易則需要多個簽名者。有了模組化和可程式性,只有我們想像不到、沒有實現不了的創新。許多智慧合約帳戶服務提供者都在積極建構這一領域,包括Safe、Zerodev、Biconomy、Etherspots、Rhinestone 等。還要感謝諸如Stackup、Plimico、Alchemy 之類的基礎設施,讓這一切成為可能。
請查看我先前的研究,以獲取有關智慧合約帳戶更全面的背景資訊。
智慧合約帳戶可以透過多方運算服務實現社交恢復和跨裝置/平台相容性。儘管智慧合約帳戶具有固定的簽署者,但多方運算提供者可以將密鑰分割成多個部分,以增強安全性和靈活性。這種方法不具備智慧合約帳戶的可編程和可升級特性,例如時間鎖恢復(timelock recovery) 和輕鬆停用密鑰功能。然而,MPC 不受特定區塊鏈的限制,因此具有卓越的跨鏈能力,比智慧合約帳戶更具成本效益。著名的多方計算提供者有Particle Network、Privy、web3 Auth、OKX Wallet、Binance Wallet等。
簽名層:R 1 支持
讓我們退一步去理解:在以太坊上,私鑰是從k 1 曲線中選擇的隨機數,簽名過程也利用了這個曲線。
然而,根據WebAuthn 標準產生的密鑰對使用的是r 1 曲線。因此,在以太坊上驗證r 1 簽名的成本大約是k 1 簽名的三倍。以下是針對此問題的解決方案:
感謝Dogan 的貢獻,請查看他的研究,以了解更深入的知識。
協議解決方案:
評估:該提案創建了一個預編譯合約,該合約通過給定的消息哈希、簽署的r 和s,以及公鑰的x、y 坐標參數在“secp 256 r 1 ”橢圓曲線中執行簽名驗證。因此,任何EVM 鏈(主要是以太坊的Rollups)都可以輕鬆地整合這個預編譯合約。到目前為止,協定預編譯可能是最節省gas 的解決方案。
應用:zkSync
第三方服務:
解決方案:Turnkey
評估:Turnkey TEE 確保私鑰僅可由用戶透過其Passkey 訪問,Turnkey 永遠無法存取私鑰,然而這仍然需要該服務的有效性。
實現:Goldfinch
Solidity Verifier 解決方案:
解:FCL 的Solidity Verifier,FCL 帶預計算Solidity Verifier,Daimo 的P 256 Verifier
零知識(ZK)驗證器:
評估:此方法利用零知識證明來驗證以太坊虛擬機器(EVM)以外的計算,降低鏈上計算成本。
實現:Bonfire Wallet (Risc Zero),Know Nothing Labs (Axiom)
這些解決方案都可以在以太坊生態中實現更便宜且可行的r 1 簽名驗證,以下是Dogan的評估。
WebAuthn 新案例研究
*請注意,截至2023 年12 月,這些解決方案大多處於早期階段,可能隨時變更或改進。這些範例僅供學習目的;請務必參考它們的官方網站以取得準確資訊。
Clave 錢包:(Secure Enclave WebAuthn)+(智慧合約帳戶)
基本資訊:
示範:https://getclave.io/
賬戶:智慧合約賬戶
鏈:ZkSync
交易過程:
密鑰建立:使用者進行生物辨識驗證,如指紋或臉部識別,在Secure Enclave 內產生密鑰對,永遠不會洩漏。
密鑰簽名:應用程式接收所需的交易訊息,並將簽名請求轉發到Secure Enclave,用戶進行生物驗證以批准簽名,Secure Enclave 使用密鑰對訊息進行簽名,然後廣播到區塊鏈節點。
附加功能:智慧合約帳戶支援許多強大的功能。首先是gas 贊助。使用Paymaster,dApp 或廣告商等都可以為用戶支付gas,使交易過程更加順暢,同時還允許用戶使用ERC 20 代幣支付gas,而不是只能用以太幣或原生代幣。此外,使用者可使用會話密鑰,在一段時間內進行無需簽署的交易。
恢復機制:
恢復過程由Clave 在zkSync 上的智慧合約進行,使用者可以在48 小時的鎖定期內取消恢復,以防止未經授權的惡意活動。
雲端備份:當使用者選擇雲端備份時,將建立一個外部帳戶,該帳戶的私鑰儲存在iCloud 或Google Drive 中,用戶可以使用儲存在雲端的私鑰從不同裝置訪問其帳戶,還可以隨時刪除或覆蓋此備份部分。
社交恢復:使用者可以指定其家人或朋友的Clave 位址作為備份,如果N 個守護者中有M 個確認恢復且未取消,則在48 小時鎖定期後恢復執行。
Soul 錢包:(Passkey)+(4337 SCA)
基本資訊:
示範:https://alpha.soulwallet.io/wallet
帳戶:ERC 4337 智慧合約帳戶
鏈:以太坊、Optimism、Arbitrum,很快就會全面支援以太坊虛擬機器Layer 2
交易過程:
密鑰建立:用戶提供指紋或臉部辨識等生物辨識驗證,操作系統產生Passkey,並使用雲端服務備份。用戶可以跨裝置和跨平台新增多個Passkey。
新增守護者(可選):使用者可以指定不同的以太坊虛擬機器外部帳戶位址作為守護者,並設定帳戶恢復閾值。
賬戶產生:利用反事實部署,用戶進行第一筆交易之前都無需支付任何費用。
恢復機制:
Passkey:使用任意定義的Passkey 在任何裝置上登入錢包。
守護者恢復:指定的守護者可以根據閾值輪換錢包,可稍後設定時間鎖以防止惡意行為。
OKX 錢包:(MPC-TSS + Passkey)+(4337 智慧合約外部帳戶)
基本資訊:
示範:https://www.okx.com/help/what-is-an-aa-smart-contract-wallet
鏈: 30+條鏈
金鑰:MPC-TSS, 2/3
帳戶: 4337 智慧合約帳戶
交易過程:
密鑰創建:透過建立錢包,OKX 將單一私鑰分為三個單獨的部分。一個部分儲存在OKX 服務器上,一個部分儲存在用戶設備的本地儲存中,還有一個部分由設備生成,經過加密處理並可以備份到設備首選的雲服務上,如穀歌 Cloud、iCloud 和華為雲端。
密鑰簽名:OKX 使用MPC-TSS 技術,用戶在簽署交易時可以透過使用三個私鑰部分中的兩個獲得完整的簽名,在此過程中,私鑰碎片彼此不會相互接觸。
恢復機制:
2/3 機制:當使用者登出、裝置無法使用或裝置上的其中一個金鑰洩漏時,使用者可以使用新裝置登入OKX 錢包(取得服務器儲存的金鑰)並取得雲端服務儲存的金鑰部分,使用這兩個部密鑰恢復錢包,OKX 錢包將產生新的密鑰部分。
Web3 Auth:(MPC-TSS +Passkey)+(外部帳戶/智慧合約帳戶)
基本資訊:
示範:https://w3a.link/passkeysDemo
鏈:所有EVM 和Solana
金鑰:MPC-TSS,通常是2/3
帳戶:外部帳戶、 4337 智慧合約帳戶或通用智慧合約帳戶等任何帳戶
交易過程:
密鑰創建:通過創建錢包,產生三個密鑰部分。一個部分用於社交登錄,用戶可以輸入他們的電子郵件,去中心化網絡節點存儲每個用戶的密鑰;一個部分是存儲在用戶設備的本地存儲中的密鑰;還有一個部分由本地計算機生成,並由用戶首選的雲服務進行備份。
密鑰簽名:Web3 Auth MPC-TSS 架構確保使用者的密鑰始終可用,即使使用閾值簽名,密鑰也永遠不會重構或儲存在單一位置。
恢復機制:
閾值恢復:當用戶登出、裝置不可用或裝置上的某個密鑰洩露時,用戶可以使用社交登錄方法登錄WebAuthn 帳戶並取得雲端儲存的密鑰部分,使用這兩個部分的密鑰恢復錢包。
Lit Protocol (MPC-TSS + 去中心化節點+ Passkey) + (外部帳戶/智慧合約帳戶)
基本資訊:
示範:https://lit-pkp-auth-demo.vercel.app/
鏈:大多數EVM,Cosmos,Solana。
帳戶:MPC-TSS, 2/3 機制,可同時適用於智慧合約帳戶和外部帳戶。
交易過程:
密鑰建立:當用戶想要建立錢包時,首先選擇身份驗證方法(支援Passkey、oAuth 社交登錄),然後將請求發送到中繼器以建立密鑰對,並將身份驗證邏輯儲存到智慧合約中。每個密鑰對由Lit 節點透過分散式密鑰產生(DKG)過程共同產生。作為一個去中心化網絡,TEE 內部運行30 個Lit 節點,每個節點都持有密鑰的一部分,但私鑰永遠不會完整存在於TEE 中。
金鑰簽名:收到請求後,Lit 節點根據指定的身份驗證方法獨立驗證或拒絕請求,並使用MPC-TSS 技術, 1. 收集超過閾值(30 個節點中有20 個確認)時產生簽名,並由客戶端組合以滿足請求。
恢復機制:
2/3 機制:使用儲存在智慧合約中的身份驗證方法存取帳戶,Lit 節點驗證請求,如果超過2/3 的節點確認,請求將繼續進行。
展望
在Layer 2、Layer 3 和資料可用性(DA)解決方案的大力推動下,我們力求改善區塊鏈的效能。同時,我們將零知識證明隱私與透明性結合,追求真正的安全性。所有的努力都朝著同一個目標:加密技術準備應用在使用者的日常生活中。
我們很容易困在一個理想的科技夢中,但我們必須問自己:我們追求的是什麼樣的體驗?我們設想的是這樣一個世界:在這個世界裡,加密貨幣應該是直觀易懂的,而不是令人生畏的技術術語;在這個世界裡,用戶可以毫不猶豫地跳進兔子洞,不費吹灰之力。
想像一下,有一個名叫Rui 的用戶:她發現了一個很棒的dApp,可以輕鬆使用臉部辨識或指紋註冊,並且可以設定備份或守護者。她可以使用dApp 輕鬆執行交易,可能只需支付少量ERC 20 費用,甚至可能根本不需要任何費用。之後,她可以自訂錢包設置,例如啟動自動交易的時間鎖,將另一個設備新增為備份簽名者,或修改她的守護者清單。
創業者們正努力將這一切付諸現實。結合WebAuthn 和Passkey,我們增強了私鑰管理,使其既安全又方便。在這一基礎之上,智慧合約帳戶作為一個實體,開啟了個人化安全性和功能性的領域。至於gas?借助Paymaster,提供者可以為swap 交易建立一個“金庫”,甚至允許廣告商為用戶支付費用,因此gas 也不再是負擔了。這演變的核心,特別是對以太坊主網及其等效的Layer 2 來說,就是ERC 4337 。 ERC 4337 引入了另一個內存池,將智慧合約帳戶交易與外部帳戶區分開來,而無需對協議進行重大修改。另一方面,有些Layer 2 網絡甚至原生採用智慧合約帳戶,並將其無縫地整合到系統中。
要讓一切變得簡單,需要付出巨大的努力。我們也面臨許多挑戰,例如降低智慧合約帳戶的部署、驗證和執行費用;標準化接口,以增強帳戶的互通性;跨鏈同步帳戶狀態等。感謝所有建構者,每一天,我們都離成功更近一步。我們的公司SevenX,以及其他加密初創公司,已經準備好,為偉大的公司賦能,幫助它們實現願景。
如果對本文有興趣,歡迎了解我的其他文章,以獲得更全面的背景資訊:
04/ 帳戶:模組化智慧合約帳戶架構與挑戰
03/ 金鑰(本文):WebAuthn 和Passkey,日常加密使用者的金鑰管理
02/ 基礎設施:ERC 4337 帶來的以太坊賬戶演變