2023年6月9日，第二屆區(qū)塊鏈服務(wù)網(wǎng)絡(luò)（BSN）全球技術(shù)創(chuàng)新發(fā)展峰會在湖北武漢成功舉行,。本次峰會以“鏈上荊楚,，積厚成勢”為主題,，匯集了來自政府,、學(xué)術(shù)界,、產(chǎn)業(yè)界的眾多海內(nèi)外嘉賓，圍繞區(qū)塊鏈基礎(chǔ)設(shè)施,、底層技術(shù)在金融,、貿(mào)易、文化,、社會治理等領(lǐng)域的創(chuàng)新應(yīng)用展開了交流,，共同探討區(qū)塊鏈技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展的最新趨勢,。

峰會上,，多位國內(nèi)外權(quán)威專家?guī)砹硕鄨龈咚街黝}演講,，內(nèi)容涵蓋對前沿領(lǐng)域的探索,、對新業(yè)態(tài)發(fā)展?jié)摿Φ恼雇约皩Ψ植际郊夹g(shù)發(fā)展成果的總結(jié)等各個方面，分享了他們的成果和經(jīng)驗，也為國內(nèi)區(qū)塊鏈行業(yè)的發(fā)展提出了寶貴建議。接下來，我們將為所有關(guān)注分布式技術(shù)和下一代分布式可信互聯(lián)網(wǎng)發(fā)展的讀者呈現(xiàn)這些精彩紛呈的主題演講,。本期為武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院教授何德彪的分享,，題為《區(qū)塊鏈密碼使用指南》。

演講全文整理如下,，為便于閱讀,，有所編輯修改：

大家下午好。

密碼學(xué)在區(qū)塊鏈安全中扮演著至關(guān)重要的角色,，如果沒有密碼學(xué)的支持,，區(qū)塊鏈的安全性將完全無法得到保障。近年來，密碼學(xué)在區(qū)塊鏈應(yīng)用中受到了廣泛的關(guān)注,，目前國內(nèi)在區(qū)塊鏈中使用的密碼學(xué)算法基本上都是國外的一些算法,，雖然國內(nèi)的算法具備一些基本功能，但缺乏一些特殊功能,。

為了提升區(qū)塊鏈安全性,，在密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會的委托下，包括我們在內(nèi)的一些單位共同努力,，共同研發(fā)符合中國當(dāng)前的密碼標(biāo)準(zhǔn)，并符合中國區(qū)塊鏈產(chǎn)業(yè)生態(tài)的密碼算法,。

目前這個標(biāo)準(zhǔn)主要分為以下幾個部分：第一個是零知識證明,，第二個是安全狀況計算，第三個是環(huán)簽名,，第四個是證書管理協(xié)議,。此外，還包括群簽名,、同態(tài)加密,、廣播加密、盲簽名以及共識機制,、密鑰派生等一系列密碼算法,。

這些標(biāo)準(zhǔn)由不同單位負(fù)責(zé)開發(fā)，具體負(fù)責(zé)單位如下：零知識證明由信工所負(fù)責(zé),，多方安全計算由信通院負(fù)責(zé),，武漢大學(xué)負(fù)責(zé)環(huán)簽名和盲簽名，陜西師范大學(xué)負(fù)責(zé)群簽名,，暨南大學(xué)負(fù)責(zé)同態(tài)加密,，清華大學(xué)負(fù)責(zé)共識機制，數(shù)字認(rèn)證和中國網(wǎng)安分別負(fù)責(zé)證書管理和密鑰派生協(xié)議,。

在20年的時候,，首次提出了制定自己的標(biāo)準(zhǔn)，并成立了項目組,，當(dāng)年主要是起草了一些草案,，到12月份完成了初步評審工作；21年在此基礎(chǔ)上,，推薦了各個協(xié)議,，以符合區(qū)塊鏈平臺的需求，對標(biāo)準(zhǔn)草案進(jìn)行完善,；到22年,，對標(biāo)準(zhǔn)進(jìn)行全國征求意見，邀請國內(nèi)企業(yè)和專家參與評審，并提出改進(jìn)意見,，去年12月份完成了標(biāo)準(zhǔn),，目前正在進(jìn)行審批工作。

標(biāo)準(zhǔn)的主要架構(gòu),，從區(qū)塊鏈的角度,，最下面一層是數(shù)據(jù)層，主要包括默克爾樹,、區(qū)塊數(shù)據(jù)等,，向上還包括網(wǎng)絡(luò)層、共識層,、智能合約層,、應(yīng)用層和用戶層，對應(yīng)的密碼技術(shù)支撐環(huán)境,，最下面一層是密碼硬件層,，包括密碼機、PHI-E密碼機,、驗簽服務(wù)器,、智能密碼鑰匙等，主要用于保存密碼和加速密碼運算,；上面一層是基礎(chǔ)密碼算法層,，包括對稱加密、非對稱加密,、數(shù)字簽名,、隨機數(shù)生成等；再向上則是功能性密碼協(xié)議層,，比基礎(chǔ)密碼算法要復(fù)雜得多,，主要是為了實現(xiàn)一些特殊功能而確定的密碼協(xié)議。而密碼運營環(huán)境目前階段暫時基于 PKI體系,，未來會考慮增加標(biāo)識密碼體系,。

接下來向大家介紹一下具體的方案。

一,、零知識證明,。零知識證明是一種復(fù)雜的密碼運算，它用于在不泄露信息的情況下證明某件事情的真實性,。在區(qū)塊鏈中,，零知識證明有許多典型應(yīng)用，例如在轉(zhuǎn)賬過程中,，為了保護隱私,，可以將轉(zhuǎn)賬金額進(jìn)行加密,。然而，使用傳統(tǒng)密碼算法（如SM4,、SM2）加密后,，無法在密文狀態(tài)下進(jìn)行轉(zhuǎn)賬操作。這時候,，可以使用同態(tài)加密來實現(xiàn)在密文狀態(tài)下的操作,，但是單純的同態(tài)加密還不足以保證安全，因為可能出現(xiàn)偷偷篡改密文的情況,。

為了解決這個問題,，零知識證明被引入。零知識證明可以用于證明兩個關(guān)鍵條件：第一,，轉(zhuǎn)賬金額必須是正數(shù)且大于0,；第二，轉(zhuǎn)賬者必須證明自己有足夠的錢來支付,。這樣，零知識證明可以確保在進(jìn)行加密轉(zhuǎn)賬時,，不會發(fā)生非法操作,。

除此之外，零知識證明還可以在數(shù)據(jù)隱私保護,、身份隱私證明,、系統(tǒng)擴容以及有效監(jiān)管等多種區(qū)塊鏈場景中得到應(yīng)用。

對于零知識證明,，目前標(biāo)準(zhǔn)中推薦的協(xié)議包括：支持小明文空間的密態(tài)消息零知識區(qū)間范圍證明,、支持大明文空間的賬戶模型區(qū)塊鏈零知識證明，以及zkSNARK 和 Bulletproofs,，這是近期提出的密碼協(xié)議,，也被廣泛應(yīng)用于零知識證明領(lǐng)域。

二,、多方安全計算,。安全多方計算是一種多人參與運算的方式，只有指定的人可以獲取結(jié)果,，其他人無法得知具體結(jié)果,，且在計算過程中不會泄露數(shù)據(jù)隱私。它在區(qū)塊鏈應(yīng)用中有多個場景：首先,，可以用于鏈上安全計算全過程的記錄,，區(qū)塊鏈本身就涉及多方參與運算，可以利用安全多方計算來確保鏈上計算的安全性,；其次,，無可信中心的安全智能合約,，在智能合約執(zhí)行過程中，利用安全多方計算的流程,，實現(xiàn)無可信中心的安全性,；第三，基于安全多方計算的文獻(xiàn)簽名,，在區(qū)塊鏈中廣泛應(yīng)用的密鑰管理系統(tǒng)（KMS）,，可以將密鑰分散存儲在多個地方，實現(xiàn)基于安全多方計算的文獻(xiàn)簽名,，保護密鑰的安全性,；此外，拜占庭容錯也可以利用多方安全計算的門限簽名實現(xiàn),。

目前標(biāo)準(zhǔn)中推薦的簽名包括：SM2的文件簽名,、SPDZ協(xié)議、混淆電路,、安全多方可信設(shè)置協(xié)議,這些協(xié)議在保障區(qū)塊鏈系統(tǒng)的安全性和隱私保護方面具有重要作用,。

三、環(huán)簽名,。環(huán)簽名是一種用于保護用戶隱私的簽名技術(shù),。傳統(tǒng)的簽名算法如SM2或者國際上的EDDSA簽名，簽名后可以追溯到具體的簽名者,，從而泄露了用戶的身份信息,。為了解決這個問題，環(huán)簽名應(yīng)運而生,。利用環(huán)簽名,，別人只知道某個簽名者是一組簽名者中的一個，但無法確定具體是誰,，這樣很好地保護了用戶的隱私,。

在區(qū)塊鏈中，環(huán)簽名可以應(yīng)用于以下場景：1.區(qū)塊鏈身份隱私：在區(qū)塊鏈中進(jìn)行簽名后,，只能知道是其中一個用戶簽名,，而無法確認(rèn)具體是誰；2.基于環(huán)簽名的POS：在POS共識算法中,，由于需要投票,，如果投票過程不保護用戶隱私，將會泄露投票者的身份信息,，不利于POS的健康發(fā)展,，而環(huán)簽名可以解決這一問題；3.基于環(huán)簽名的PBFT協(xié)議和其他投票協(xié)議：這些共識機制也可以通過環(huán)簽名來保護投票者的隱私,。

目前推薦的環(huán)簽名協(xié)議包括：可鏈接環(huán)簽名LSAG,、基于SM2和SM9的環(huán)簽名,，這是中國基于國家標(biāo)準(zhǔn)算法的環(huán)簽名協(xié)議，由中國團隊提出,。

四,、群簽名。群簽名與環(huán)簽名的不同之處在于引入了一個管理者來解決監(jiān)管需求,。在群簽名中,，所有簽名者簽署完成后，其他人無法確定具體是誰進(jìn)行了簽名,，但是群簽名的管理者可以使用自己的追蹤私鑰來追蹤簽名信息,，從而找出具體的簽名者，以滿足監(jiān)管需求,。

在聯(lián)盟鏈中,，有時需要引入監(jiān)管來解決可能發(fā)生的不當(dāng)行為或違規(guī)行為，而群簽名就非常適用于這一場景,。它可以保護普通成員的隱私,，同時允許管理者在必要時追蹤簽名者的身份。

目前推薦的群簽名標(biāo)準(zhǔn)包括：B B群簽名,、可鏈接的群簽名,、基于事件的可鏈接群簽名，這些都是密碼學(xué)領(lǐng)域比較經(jīng)典的群簽名協(xié)議,，可以在聯(lián)盟鏈中有效應(yīng)用于隱私保護和監(jiān)管需求。

五,、盲簽名,。盲簽名是一種用于保護隱私的簽名技術(shù)，它的基本思想是,，簽名者在進(jìn)行簽名時并不知道具體簽署的內(nèi)容,，從而實現(xiàn)對用戶隱私的保護。舉例來說,，在電子現(xiàn)金的發(fā)行過程中,，使用盲簽名可以確保數(shù)字貨幣的隱私性。在傳統(tǒng)簽名中,，銀行簽發(fā)的序列號暴露了持有人的身份信息,。但盲簽名通過在簽名過程中引入隨機數(shù)，即所謂的盲化過程,，使簽名者只知道自己簽了什么,，而不知道實際的序列號。用戶拿到這個盲簽名后,，再進(jìn)行去盲化處理,，得到真正的簽名結(jié)果,，此時銀行無法確定簽名者到底使用了哪個序列號，從而保護了用戶的隱私,。

目前推薦的盲簽名協(xié)議包括：SM2的盲簽名,、SM9的盲簽名、ISO/IEC 18370國際標(biāo)準(zhǔn)的盲簽名,，這些盲簽名技術(shù)可以廣泛應(yīng)用于混幣技術(shù)和數(shù)字貨幣生成過程中,，保障用戶隱私的同時確保交易的安全性。

六,、同態(tài)加密,。同態(tài)加密是一種特殊的加密技術(shù)，可以在加密的狀態(tài)下對加密數(shù)據(jù)進(jìn)行加法或乘法運算,，而無需解密,。在數(shù)據(jù)交易和金額保護方面，同態(tài)加密非常有用,，通過同態(tài)加密,，可以對交易金額進(jìn)行加密，并在加密狀態(tài)下進(jìn)行加法和減法運算,，從而確保數(shù)據(jù)的隱私性和安全性,。

目前推薦的同態(tài)加密標(biāo)準(zhǔn)包括：LHWW加法同態(tài)加密、Paillier加法同態(tài)加密,、ElGamal乘法同態(tài)加密,、BGV全同態(tài)加密算法以及BFV全同態(tài)加密算法。在實際應(yīng)用中,，Paillier加密被廣泛用于保護數(shù)據(jù)隱私和進(jìn)行安全計算,。

七、廣播加密,。廣播加密允許發(fā)送者將數(shù)據(jù)同時加密給一組特定的用戶,，并通過公開信道傳輸加密后的數(shù)據(jù)，只有加密時指定的授權(quán)用戶才能正確解密,，其他非授權(quán)用戶即使合謀也無法獲得明文數(shù)據(jù),，這樣可以確保數(shù)據(jù)在傳輸過程中的隱私和安全性，防止數(shù)據(jù)泄露給未授權(quán)的人員,。因此廣播加密在聯(lián)盟鏈中得到廣泛應(yīng)用,，因為在有些情況下，除了記賬節(jié)點,，我們不希望其他人能夠獲取相關(guān)數(shù)據(jù),，廣播加密能夠很好地滿足這一需求。

八,、密鑰派生協(xié)議,。密鑰派生協(xié)議主要應(yīng)用于密鑰管理領(lǐng)域,，幫助確保密鑰的安全生成和管理，對于加密貨幣等領(lǐng)域尤為重要,。最常見的協(xié)議是比特幣中使用的BIP協(xié)議,，此外，還有一些國產(chǎn)的密鑰派生協(xié)議,，以及基于雙密鑰的匿名地址派生協(xié)議,，這些協(xié)議在密鑰派生過程中起到重要作用。

九,、證書管理協(xié)議,。證書管理協(xié)議是用于管理證書的協(xié)議。在現(xiàn)今的聯(lián)盟鏈中,，我們將傳統(tǒng)的證書管理方法應(yīng)用于其中,。然而，鑒于區(qū)塊鏈的特性,，我們引入了一些新的標(biāo)準(zhǔn)來滿足需求,。這些新標(biāo)準(zhǔn)包括：1.分布式輕量級證書管理協(xié)議：這個協(xié)議旨在實現(xiàn)證書管理的分布式特性，并且具備輕量級的特點,，以適應(yīng)聯(lián)盟鏈的環(huán)境,；2.分布式證書管理協(xié)議：該協(xié)議進(jìn)一步加強證書管理的分布式屬性，確保證書的安全性和可靠性,；3基于區(qū)塊鏈的去中心化身份認(rèn)證與密鑰管理協(xié)議：這個協(xié)議利用區(qū)塊鏈的特點,，實現(xiàn)去中心化的身份認(rèn)證和密鑰管理，從而提高整個系統(tǒng)的安全性和可信度,。這些新的證書管理協(xié)議適用于聯(lián)盟鏈的場景,，幫助保證證書的有效管理和使用，并提供更加安全可靠的身份認(rèn)證和密鑰管理機制,。

十、共識協(xié)議,。共識協(xié)議是區(qū)塊鏈的核心之一,，它確保所有節(jié)點在網(wǎng)絡(luò)中就交易的有效性和順序達(dá)成一致意見。在聯(lián)盟鏈中,，共識協(xié)議尤為重要,。針對聯(lián)盟鏈，我們推薦了以下5個共識協(xié)議,，它們在國際上被廣泛應(yīng)用且在平臺上被使用較多：PBFT (Practical Byzantine Fault Tolerance),、Tendermint、BFT-SMaRt,、Bchain,、HotStuff PPT,，這些共識協(xié)議在聯(lián)盟鏈中發(fā)揮著關(guān)鍵作用，確保了區(qū)塊鏈網(wǎng)絡(luò)的安全性,、性能和可靠性,。它們是聯(lián)盟鏈中常用的共識算法選擇。

總的來說,，我們現(xiàn)在在區(qū)塊鏈中應(yīng)用了許多密碼協(xié)議,，并對它們做了一些總結(jié)。我們也推薦了一些協(xié)議,，這些推薦并不是強制性的,，只是建議大家使用。如果大家對這些協(xié)議有任何問題,，歡迎與我們交流,，我們也希望能夠盡快將我們國產(chǎn)的一些密碼算法真正應(yīng)用到我們的區(qū)塊鏈行業(yè)中，謝謝大家的支持與參與,。

歡迎轉(zhuǎn)發(fā)評論,。