1703865802
生成一个可记忆的口令
1703865803
1703865804
有一种简便的方法可以生成口令:从最常用的10 000英语词汇中,随机选择6个词,从而生成大致80位长度的字节[6×log2(10 000)大致等于80]。很多人发现这个方法比随机取字母容易记忆,因为这种方法生成的口令通常是下面这样子的:
1703865805
1703865806
worn till alloy focusing okay reducing
1703865807
1703865808
earth dutch fake tired dot occasions
1703865809
1703865810
在实际操作中,我们可以让程序生成密钥的速度变慢(为程序加入一个延迟),这样,黑客通过试错法来破解私钥就需要花费很长的时间,这就是所谓的密钥延展(key stretching)。比如,为了使密钥生成变慢,我们可以让程序把本来很容易计算的哈希函数SHA-256算上220次,这样一来就把黑客的工作量增加了220倍。当然,如果太慢的话,用户在使用比特币的时候,也会计算得很慢,这也很麻烦。
1703865811
1703865812
如果你彻底忘记了大脑钱包的口令,钱包里的比特币就永远取不出来了。
1703865813
1703865814
纸钱包
1703865815
1703865816
第三个选择是纸钱包(见图4.3):把密钥印在纸上,然后把纸锁在保险箱里。显然,这种方式的安全程度取决于我们所使用的纸的安全程度。纸钱包通常用两种方法为公私钥匙编码:二维码和base58码。就像大脑钱包一样,只需要存储少量关键信息,就可以重新建立一个纸钱包。
1703865817
1703865818
1703865819
1703865820
1703865821
图4.3 带公钥的比特币纸钱包
1703865822
1703865823
注:同时使用了二维码和base58码加密。
1703865824
1703865825
防损硬件
1703865826
1703865827
第四种方法是使用防损硬件(tamper-resistant device),用它来保存密钥或用它来生成密钥,总之,此类设备本身不会泄露密钥或输出密钥,而只是在我们按下设备的某个按钮或输入设备密码后显示密钥的保管状态。防损硬件的好处在于一旦设备丢失或者被盗,我们马上就能知道。而且,想要盗走密钥,必须先盗走这个设备。这和将密钥保存在电脑上是不一样的。
1703865828
1703865829
总而言之,用户可使用上述一个或是多个方法来保存密钥。对于热储存,尤其是存有大量比特币的热储存而言,人们愿意投入大量成本或先进的安全机制保护它们。我们将在下一章讨论这些更先进的机制。
1703865830
1703865831
1703865832
1703865833
1703865834
区块链技术驱动金融:数字货币与智能合约技术 [:1703863928]
1703865835
区块链技术驱动金融:数字货币与智能合约技术 4.3 密钥分存和密钥共享
1703865836
1703865837
现在我们了解了各种保存密钥的方法,但在这些方法里,我们总是把密钥保存在一个地方:要么锁在保险箱,要么保存在软件中或打印在纸上。这会造成一个问题:一毁俱毁。当然,我们可以为密钥建立备份,这可以降低密钥丢失或损坏的风险(可获取性),但同时会增加密钥被盗的风险(安全性)。那是否存在一种方法,可以使密钥的可获取性和安全性都得到提高?答案是肯定的。密码学上有一种称为“密钥分存”的技术,就可以做到这一点。
1703865838
1703865839
方法如下:密钥被分成N个片段,只要我们获得其中的K个片段,就可以把原密钥重新还原。但如果获得的片段数量少于K,就无法知道关于密钥的任何信息。
1703865840
1703865841
要实现上述效果,把密钥简单地切分成若干片段是不行的,这样的话,每一个片段都会透露密钥的部分信息。[1]所以,密钥分存并不是简单地切分密钥,而是将密钥转换成若干“子密钥”。
1703865842
1703865843
举个例子,我们设定N=2,K=2,意味着我们把想要加密的密钥(原密钥)转换成两个子密钥,只有同时获得这两个子密钥才能拼出原密钥。我们把原密钥称为S,S是一个很大的数字(比如128位)。然后,我们可以随机产生另一个128位的数字R,让R作为其中的一个子密钥,那么另外一个子密钥就是S⊕R(⊕代表逻辑算符互斥,exclusive OR,或缩写成XOR,也叫异或),我们把S⊕R称为“密文”。然后,我们把子密钥R和密文S⊕R保存在两个不同的地方。单独根据子密钥R或密文都无法知晓原来密钥的任何信息,但如果我们同时得到R和S⊕R,我们可以通过异或逻辑运算得到原来的密钥。[2]
1703865844
1703865845
N和K相等时,我们总是可以这样做:对于之前的K-1个子密钥,我们可以生成N-1不同的随机数,最后一个子密钥就是原密钥与所有其他N-1个子密钥的异或。但如果N大于K的话,这个技巧就行不通了。我们需要借助其他代数方法。
1703865846
1703865847
图4.4中,我们是如何生成子密钥的呢?首先,我们把S标记在Y轴上(0,S),然后经过该点画一条直线,斜率随机,接下来,我们就可以在这条线上挑一些点,要多少有多少。这样,我们就得到N个子密钥,并且K=2。
1703865848
1703865849
1703865850
1703865851