2023年6月9日，第二屆區(qū)塊鏈服務(wù)網(wǎng)絡(luò)（BSN）全球技術(shù)創(chuàng)新發(fā)展峰會(huì)在湖北武漢成功舉行,。本次峰會(huì)以“鏈上荊楚,，積厚成勢(shì)”為主題，匯集了來(lái)自政府、學(xué)術(shù)界,、產(chǎn)業(yè)界的眾多海內(nèi)外嘉賓,，圍繞區(qū)塊鏈基礎(chǔ)設(shè)施、底層技術(shù)在金融,、貿(mào)易,、文化、社會(huì)治理等領(lǐng)域的創(chuàng)新應(yīng)用展開(kāi)了交流,，共同探討區(qū)塊鏈技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展的最新趨勢(shì),。

峰會(huì)上，多位國(guó)內(nèi)外權(quán)威專(zhuān)家?guī)?lái)了多場(chǎng)高水平主題演講,，內(nèi)容涵蓋對(duì)前沿領(lǐng)域的探索,、對(duì)新業(yè)態(tài)發(fā)展?jié)摿Φ恼雇约皩?duì)分布式技術(shù)發(fā)展成果的總結(jié)等各個(gè)方面，分享了他們的成果和經(jīng)驗(yàn),，也為國(guó)內(nèi)區(qū)塊鏈行業(yè)的發(fā)展提出了寶貴建議,。接下來(lái)，我們將為所有關(guān)注分布式技術(shù)和下一代分布式可信互聯(lián)網(wǎng)發(fā)展的讀者呈現(xiàn)這些精彩紛呈的主題演講,。本期為中國(guó)科學(xué)院院士,、密碼學(xué)家王小云的分享，題為《密碼技術(shù)與區(qū)塊鏈》,。

演講全文整理如下,，為便于閱讀，有所編輯修改：

尊敬的各位領(lǐng)導(dǎo),、朋友們,，大家上午好！

密碼學(xué)是一門(mén)非常重要的學(xué)科,，它在數(shù)據(jù)安全領(lǐng)域扮演著重要的角色。為什么我們需要使用密碼學(xué)呢,？這是因?yàn)楫?dāng)今的數(shù)字經(jīng)濟(jì)與數(shù)據(jù)安全密不可分,。我國(guó)制定了多項(xiàng)政策性文件來(lái)保護(hù)數(shù)據(jù)要素和數(shù)據(jù)安全，其中包括總書(shū)記的重要論述,。早在2014年,，總書(shū)記就提出了以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)的概念，并在2016年提出了建立數(shù)據(jù)基礎(chǔ)制度體系的目標(biāo),。到了2019年和2020年,，我們的數(shù)據(jù)已經(jīng)被確定為第五大生產(chǎn)要素，并被寫(xiě)入了中共中央國(guó)務(wù)院發(fā)布的文件中,。

去年年底,，中共中央國(guó)務(wù)院發(fā)布“數(shù)據(jù)20條”，提出了參與國(guó)際標(biāo)準(zhǔn)數(shù)字規(guī)則制定的要求,。對(duì)于數(shù)據(jù)規(guī)則的定義,，我經(jīng)常思考,。我認(rèn)為區(qū)塊鏈技術(shù)的創(chuàng)新以及包括密碼技術(shù)在內(nèi)的各種應(yīng)用，如隱私計(jì)算等,，都是制定數(shù)字規(guī)則的重要組成部分,。這些規(guī)則與國(guó)際標(biāo)準(zhǔn)以及我國(guó)的法律息息相關(guān)，因此我們應(yīng)該更加明確地制定這些規(guī)則的內(nèi)涵,。

關(guān)于網(wǎng)絡(luò)安全,，當(dāng)前主要關(guān)注的是數(shù)據(jù)安全和區(qū)塊鏈技術(shù)。我們知道,，在網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)安全學(xué)科的發(fā)展中,，數(shù)據(jù)安全是核心內(nèi)容之一。我認(rèn)為我們的網(wǎng)絡(luò)安全法律體系中,，很重要的一部法律就是密碼法,，它是我國(guó)密碼領(lǐng)域的基礎(chǔ)性法律，具有重要意義,。我們很難找到其他專(zhuān)門(mén)的數(shù)學(xué)法或其他類(lèi)似的法律,，但密碼法作為一個(gè)應(yīng)用了復(fù)雜數(shù)學(xué)的法律，非常具有獨(dú)特性,。同時(shí),，我們還有網(wǎng)絡(luò)安全法、電子簽名法和與密碼學(xué)相關(guān)的電子簽名算法,，這些法律相輔相成,。我認(rèn)為這也是非常重要的。

此外,，我們還有數(shù)據(jù)安全法和個(gè)人信息保護(hù)法,。我相信在立法過(guò)程中，這兩個(gè)法律更多地關(guān)注安全問(wèn)題,。而安全問(wèn)題背后的支撐技術(shù)仍然是密碼技術(shù),。換句話(huà)說(shuō)，我們的密碼技術(shù)支撐著法律條文中的保密性,、真實(shí)性,、可用性和完整性。我之所以提到這幾個(gè)詞,，是因?yàn)樗鼈兣c密碼學(xué)中的信息安全屬性完全匹配,。也就是說(shuō)，在我國(guó)許多法律的執(zhí)行過(guò)程中,，離不開(kāi)密碼技術(shù)的支持,，特別是對(duì)于既有國(guó)際標(biāo)準(zhǔn)又有我國(guó)標(biāo)準(zhǔn)的數(shù)據(jù)安全證據(jù)，這些數(shù)據(jù)證據(jù)可以作為法律依據(jù)。

信息安全的機(jī)密性是通過(guò)加密算法實(shí)現(xiàn)的,，而認(rèn)證性和不可抵賴(lài)性是通過(guò)簽名算法實(shí)現(xiàn)的,。數(shù)據(jù)的完整性意味著任何篡改都能被檢測(cè)到，因此我們需要注意確保數(shù)據(jù)的完整性,，這就需要使用哈希函數(shù),。

我們必須注意一個(gè)問(wèn)題，如果數(shù)據(jù)被篡改而無(wú)法被發(fā)現(xiàn),，那么電子簽名就可以被偽造,，這是密碼學(xué)中的一種攻擊方式。因此,，哈希函數(shù)要確保數(shù)據(jù)防篡改,，以實(shí)現(xiàn)區(qū)塊鏈的溯源能力。數(shù)據(jù)的溯源是由哈希函數(shù)來(lái)保障的,，沒(méi)有其他技術(shù)可以取代它,，大家可以放心。世界上沒(méi)有其他技術(shù)能夠保證區(qū)塊鏈的溯源,。此外,，電子簽名也離不開(kāi)哈希函數(shù)，如果沒(méi)有哈希函數(shù),，簽名就可以被偽造,。因此，哈希函數(shù)保證了這三種安全屬性,，大家一定要注意,。

我對(duì)哈希函數(shù)進(jìn)行了十年的研究，一開(kāi)始我想,，全球只有幾個(gè)屬性,，為什么有三個(gè)屬性離不開(kāi)哈希函數(shù)？而且我們使用的哈希函數(shù)要么是MD5,，要么是SHA-1,，這兩個(gè)小小的算法就能保證安全性。這引發(fā)了我的研究興趣,，幸運(yùn)的是，我成功地破解了它們,。

所以大家可以看到,，如果算法能夠確保上述屬性，那么保護(hù)各種功能系統(tǒng),、網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)工作系統(tǒng)就變得非常簡(jiǎn)單了,，我們可以用協(xié)議來(lái)實(shí)現(xiàn)這個(gè)保護(hù)，而這些協(xié)議由密碼算法組成。

在構(gòu)建密碼算法的協(xié)議時(shí),，必須滿(mǎn)足可證明安全的條件,。經(jīng)過(guò)10多年的歷史發(fā)展，TLS終于達(dá)到了可證明安全的狀態(tài),。對(duì)于在線(xiàn)IPsec協(xié)議,，我們知道當(dāng)時(shí)的WLAN協(xié)議并非行業(yè)制定的，我們可以看到,，行業(yè)制定的協(xié)議往往需要經(jīng)歷被破解的過(guò)程,，最終由密碼學(xué)家逐步改進(jìn)，使其成為可證明安全的協(xié)議,。這是密碼協(xié)議發(fā)展的歷史,。因此，有時(shí)候許多人開(kāi)發(fā)的系統(tǒng)很容易在幾分鐘內(nèi)被破解,，我認(rèn)為這主要是因?yàn)槿狈?zhuān)業(yè)密碼學(xué)人員的研究和制定,，導(dǎo)致了安全性漏洞的存在，這也包括了3G,、4G和5G的3GPP制定的通信標(biāo)準(zhǔn),。

現(xiàn)在讓我們來(lái)看看區(qū)塊鏈技術(shù)。就我個(gè)人而言,，如果我們接觸實(shí)際業(yè)務(wù),，我更傾向于將其視為一種數(shù)據(jù)工作模式。數(shù)據(jù)工作模式必須具備兩個(gè)特點(diǎn)：首先,，需要由密碼技術(shù)來(lái)保障數(shù)據(jù)安全,；其次，需要分布式系統(tǒng)來(lái)解決數(shù)據(jù)的一致性,、容錯(cuò)性和災(zāi)備性,。我們知道，在構(gòu)建大數(shù)據(jù)災(zāi)備中心時(shí),，通常會(huì)使用分布式系統(tǒng)來(lái)解決數(shù)據(jù)容錯(cuò)和災(zāi)備,，并確保數(shù)據(jù)的一致性。因此,，從功能角度來(lái)看,，區(qū)塊鏈可以被視為由密碼技術(shù)和分布式系統(tǒng)支持的數(shù)據(jù)工作模式。它必須具備防止數(shù)據(jù)篡改和溯源技術(shù),，這是毫無(wú)疑問(wèn)的,。

我們的目標(biāo)是確保大數(shù)據(jù)的安全，并將數(shù)據(jù)治理延伸到計(jì)算安全領(lǐng)域,。今年我提出了一個(gè)主題,，即計(jì)算安全,。每年我都會(huì)對(duì)報(bào)告的內(nèi)容進(jìn)行調(diào)整，今年我開(kāi)始提出計(jì)算安全的概念,。計(jì)算安全是我從2006年報(bào)告國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（973）開(kāi)始,，到現(xiàn)在在科學(xué)創(chuàng)新方面的突破，我一直在突破計(jì)算安全領(lǐng)域,。然而,，現(xiàn)在出現(xiàn)了ChatGPT這樣的人工智能技術(shù),，我們不得不考慮計(jì)算的安全性。我認(rèn)為無(wú)論是通信安全,、數(shù)據(jù)安全還是數(shù)據(jù)庫(kù)存儲(chǔ)安全,，都無(wú)法代替今天的計(jì)算安全。在其中,，隱私計(jì)算是計(jì)算安全的一個(gè)子領(lǐng)域,。區(qū)塊鏈作為一種變革性技術(shù)，對(duì)于鏈上承載的數(shù)據(jù)和業(yè)務(wù),，以及群體工作模式,，帶來(lái)了新的思路。

我們必須注意,，區(qū)塊鏈既有鏈上的共同業(yè)務(wù)和數(shù)據(jù)一致性,，也有各自鏈下的業(yè)務(wù)。我們必須清楚區(qū)分公鏈和私鏈,，并梳理清楚業(yè)務(wù)功能,，只有這樣，區(qū)塊鏈技術(shù)才能得到完善,。

區(qū)塊鏈的模塊包括密碼技術(shù)和共識(shí)機(jī)制,，這是分布式系統(tǒng)的核心內(nèi)容。還有分布式存儲(chǔ)和點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò),，正如之前提到的,。此外，智能合約相當(dāng)于一個(gè)龐大的籃子或平臺(tái),，可以將各種高度自動(dòng)化的業(yè)務(wù)放入其中,。隨著時(shí)間推移，這個(gè)平臺(tái)會(huì)越來(lái)越完善,。最終,，我們要解決數(shù)據(jù)業(yè)務(wù)、數(shù)據(jù)治理和數(shù)據(jù)管理的問(wèn)題,，以確保數(shù)據(jù)的安全性,。

要講區(qū)塊鏈就必須提到哈希函數(shù)。沒(méi)有哈希函數(shù),，就沒(méi)有區(qū)塊鏈的概念,。當(dāng)數(shù)據(jù)庫(kù)產(chǎn)生后，IBM希望為我們的文件建立一個(gè)快速索引,，即為文件提取一個(gè)電子指紋,，這就是哈希函數(shù)的概念。實(shí)際上,，它與密碼學(xué)無(wú)關(guān),，只是建立快速索引的問(wèn)題。

在1981年,，由于所有的電子簽名都可以被偽造攻擊,，這種攻擊被稱(chēng)為存在性偽造攻擊。于是,，兩位密碼學(xué)家Davis和Price提出了使用哈希函數(shù)來(lái)保證安全性的概念,。當(dāng)時(shí)這個(gè)概念被稱(chēng)為密碼哈希函數(shù)。請(qǐng)注意,，密碼哈希函數(shù)可以將任何文件壓縮成128,、160、192,、256,、384或512位的比特串，即電子指紋,。在簽名時(shí),，我們只需對(duì)電子指紋進(jìn)行簽名，無(wú)需對(duì)原始文件進(jìn)行簽名,。

這引出了一個(gè)問(wèn)題,，即電子簽名和數(shù)據(jù)防篡改,。我覺(jué)得1981年兩個(gè)獨(dú)立的密碼學(xué)團(tuán)隊(duì)對(duì)哈希函數(shù)的定義非常完美，至今沒(méi)有改變,。它可以防止發(fā)現(xiàn)任何額外的篡改手段,，只有三種篡改手段是已知的。這是了不起的成就,。因?yàn)樵谝荒陜?nèi),，兩篇論文中，兩個(gè)團(tuán)隊(duì)提出了相同或相似的概念,。需要注意的是,，兩個(gè)文件不能有相同的電子指紋，否則無(wú)法區(qū)分兩個(gè)文件的真?zhèn)?，簽名也是相同的,。這就是碰撞攻擊。我本人也研究了碰撞攻擊,，證明了MD5的弱點(diǎn),。使用了15臺(tái)電腦，在32分鐘內(nèi)找到了碰撞,。這是當(dāng)時(shí)為什么在全球引起轟動(dòng)的原因,，因?yàn)樗婕暗饺虻臉?biāo)準(zhǔn)問(wèn)題。

還有一個(gè)攻擊方式是原像攻擊,，即已知電子指紋但無(wú)法找到原始信息,。如果你能找到原始信息，那么就相當(dāng)于找到了新的幣,，找到了新的數(shù)字貨幣,，比如比特幣。然而,，攻擊者無(wú)法通過(guò)數(shù)據(jù)庫(kù)中的電子指紋來(lái)找到你的口令,，只要你的口令是256位的強(qiáng)密碼，破解它將需要數(shù)以百萬(wàn)年的時(shí)間,。因此,，你不必?fù)?dān)心攻擊者通過(guò)服務(wù)器獲取你的口令。

接下來(lái)我們來(lái)討論第二原像攻擊,。第二原像攻擊是指攻擊者對(duì)m1進(jìn)行簽名后,，不能找到一個(gè)與m1電子簽名相同的m2，也就是不能將另一個(gè)消息的簽名偽裝成m1的簽名,。

哈希函數(shù)有兩種結(jié)構(gòu),，即MD結(jié)構(gòu)和并行計(jì)算結(jié)構(gòu)，數(shù)字貨幣的挖掘過(guò)程就是尋找一個(gè)原像,，大家知道尋找原像的過(guò)程,，目前已經(jīng)達(dá)到了70個(gè)0的難度,，挖掘的結(jié)果就是比特幣。

接下來(lái)我將講解共識(shí)協(xié)議,，為什么我們要使用分布式系統(tǒng),。大家知道，在挖掘比特幣時(shí),，數(shù)據(jù)必須保持同步，只有在同步的情況下才能進(jìn)行挖掘,。第一個(gè)挖出區(qū)塊的人將獲得合法的比特幣,。大家知道共識(shí)協(xié)議是分布式系統(tǒng)的核心技術(shù)，關(guān)于cft我就不詳細(xì)講了,，我只介紹拜占庭協(xié)議,。大家知道，當(dāng)有三分之一的節(jié)點(diǎn)出現(xiàn)故障或惡意行為時(shí),，只要有二分之一的節(jié)點(diǎn)達(dá)成一致,，就可以進(jìn)行投票。此外,，我們的共識(shí)協(xié)議中的2/3投票都是圖靈獎(jiǎng)獲得者提出的,。

如果沒(méi)有密碼技術(shù)，攻擊者可以通過(guò)控制32個(gè)節(jié)點(diǎn)來(lái)完全控制整個(gè)網(wǎng)絡(luò),，這就是節(jié)點(diǎn)攻擊,。在1999年，伊斯科夫使用密碼技術(shù),、數(shù)字簽名和麥克認(rèn)證技術(shù)提出了帶有節(jié)點(diǎn)認(rèn)證的PBFT共識(shí)協(xié)議,。從2000年到2014年，第二代共識(shí)算法如Aliph,、BChain和XFT的設(shè)計(jì)被提出,。其中，BChain是超級(jí)賬本項(xiàng)目的子協(xié)議之一,，我的同事是其主要貢獻(xiàn)者,。

2014年提出了聯(lián)盟鏈的概念，自那時(shí)以來(lái),，大家都很喜歡HotStuff共識(shí)協(xié)議,，我個(gè)人也非常喜歡它，還有Tendermint等,。還有一些異步區(qū)塊鏈如BEAT和PACE等,。大家要知道，我們的拜占庭協(xié)議非常適用于聯(lián)盟鏈和一些公有鏈,。當(dāng)然,，我們一定要利用區(qū)塊鏈來(lái)構(gòu)建更加安全的云,。

現(xiàn)在讓我們來(lái)看一下列出的比特幣。大家一定要注意共識(shí)協(xié)議,，工作量證明是指挖礦的過(guò)程,。超級(jí)賬本采用的是cft，其中包括Solo/Kafka/Raft,。對(duì)于Diem（前身為L(zhǎng)ibra）,，我比較喜歡的是HotStuff，我認(rèn)為它比較符合密碼學(xué)的可證明安全概念,，與簽名相關(guān),。

此外，還有Algorand,，由圖靈獎(jiǎng)得主米卡里提出,。最后一個(gè)是我們自己設(shè)計(jì)的聯(lián)盟鏈，由山東區(qū)塊鏈研究院和清華大學(xué)共同設(shè)計(jì),。大家可以關(guān)注迪諾鏈共識(shí),，為什么要比HotStuff更先進(jìn)更好？

我們來(lái)看兩個(gè)指標(biāo),。根據(jù)信通院目前公布的數(shù)據(jù),，只有我們一家超過(guò)了6萬(wàn)筆交易，即每秒6.8萬(wàn)筆交易,。如果達(dá)到10萬(wàn)筆或20萬(wàn)筆交易,，就不再是單鏈的概念了，大家一定要注意,。如果你用一臺(tái)電腦,、兩臺(tái)電腦或三臺(tái)電腦進(jìn)行計(jì)算，效率是不同的,。因此,，在國(guó)際上公開(kāi)的數(shù)據(jù)中，很少出現(xiàn)超過(guò)5萬(wàn)筆交易的情況,。我們公布的數(shù)據(jù)是6.8萬(wàn)筆交易,，也是我們?cè)u(píng)估記錄的數(shù)據(jù)。所以其他人沒(méi)有公布超過(guò)5萬(wàn)筆交易的單鏈數(shù)據(jù),，我進(jìn)行了調(diào)研,，沒(méi)有人說(shuō)自己超過(guò)了5萬(wàn)筆。這是非常真實(shí)的情況,，大家一定要注意,。我們的測(cè)評(píng)結(jié)果顯示，我們?cè)诟鞣N場(chǎng)景中的效率是HotStuff的兩倍，大家一定要記住這個(gè)指標(biāo),。

無(wú)論在任何應(yīng)用環(huán)境中,，我們的測(cè)評(píng)結(jié)果都是HotStuff的兩倍指標(biāo)和兩倍效率。共識(shí)協(xié)議有兩個(gè)指標(biāo),，一個(gè)是效率指標(biāo),，另一個(gè)是安全性指標(biāo)。大家一定要注意,，如果我們犧牲了安全性,，協(xié)議可能會(huì)變得更快，但這是不可接受的,。我們的可證明安全成果已經(jīng)在2022年的S&P（Security and Privacy）頂級(jí)會(huì)議上發(fā)表,，我們得到了國(guó)際認(rèn)可。它的兩個(gè)證明變成了五個(gè)證明,，一致性變成了三個(gè)方面的一致性，活性變成了兩個(gè)方面的活性,。因此,，在進(jìn)行創(chuàng)新時(shí)一定要注意，你需要全面梳理系統(tǒng)的屬性,，以證明它是安全的,。

現(xiàn)在讓我們來(lái)看一下今年的一個(gè)突破——大圣。我要強(qiáng)調(diào)的是,，大圣已經(jīng)獲得了金融領(lǐng)域的省部級(jí)一等獎(jiǎng),。大圣已被多家央行數(shù)字貨幣橋采用，并已寫(xiě)入數(shù)字貨幣橋的白皮書(shū),。我對(duì)大圣非常滿(mǎn)意的一點(diǎn)是,，我們完成了f+1投票。大家知道,，全球通常采用2/3投票機(jī)制,，但為什么不能采用1/3投票機(jī)制呢？事實(shí)上,，它是可行的,，因?yàn)槲覀円呀?jīng)有一個(gè)城市節(jié)點(diǎn)，為什么不能投票呢,？

雖然可以進(jìn)行投票,，但其安全性證明非常復(fù)雜。我們花了一年時(shí)間來(lái)證明大圣的安全性,，這是一個(gè)艱巨的任務(wù),。

我們的大圣共識(shí)協(xié)議在完成1/3投票后，與HotStuff相比提高了1/4~1/5。在數(shù)字貨幣橋中,，這意味著交易從1.5萬(wàn)筆提升到2.5萬(wàn)筆,。需要注意的是，在特定的環(huán)境下（例如91個(gè)節(jié)點(diǎn)的高并發(fā)情況下）,，大圣已經(jīng)達(dá)到了HotStuff的15.8倍,。這讓我感到非常欣慰。未來(lái)在人工智能時(shí)代,，節(jié)點(diǎn)數(shù)量增加后,，我們不用擔(dān)心，因?yàn)槲覀円呀?jīng)擁有了最先進(jìn),、高效且安全性證明的新共識(shí)協(xié)議,。

接下來(lái)，讓我們談一下智能合約,，一定要自己編寫(xiě),，盡量不要用開(kāi)源代碼修改智能合約。智能合約是一個(gè)非常重要的框架,，我預(yù)計(jì)我們未來(lái)的創(chuàng)新大部分都將在智能合約中展開(kāi),。

每年，我們都會(huì)在智能合約中體現(xiàn)當(dāng)年的創(chuàng)新成果,。今年,，我們將公布智能合約中的隱私計(jì)算模塊，希望大家能看到我們更好的科技創(chuàng)新成果,。在區(qū)塊鏈中,，我們一定要將智能合約中的隱私計(jì)算做好，以保證數(shù)據(jù)的安全,。

我們知道,，法律對(duì)隱私計(jì)算有更多要求，需要滿(mǎn)足安全需求和可控性,，必須支持各種安全級(jí)別,。此外，架構(gòu)應(yīng)具備可塑性和可控性,，以及算法模塊結(jié)構(gòu)的搭建,。我們需要一個(gè)可插拔的架構(gòu)，方便使用和集成,。最重要的是,，我們需要一流的論文來(lái)支撐。涉及實(shí)際問(wèn)題時(shí),，我們參考一流的論文比不參考論文做得更好,、更快、更多，我們一定要參考最頂級(jí)的論文,。

最后,，我要說(shuō)的是，我認(rèn)為區(qū)塊鏈有著巨大的發(fā)展空間,。希望與各位同仁一起,，發(fā)展和維護(hù)好區(qū)塊鏈行業(yè)，同時(shí)做好我們的技術(shù)創(chuàng)新,。我的報(bào)告到此結(jié)束,，謝謝大家。