2023年6月9日,，第二屆區(qū)塊鏈服務(wù)網(wǎng)絡(luò)（BSN）全球技術(shù)創(chuàng)新發(fā)展峰會(huì)在湖北武漢成功舉行,。本次峰會(huì)以“鏈上荊楚,，積厚成勢(shì)”為主題，匯集了來(lái)自政府,、學(xué)術(shù)界,、產(chǎn)業(yè)界的眾多海內(nèi)外嘉賓，圍繞區(qū)塊鏈基礎(chǔ)設(shè)施,、底層技術(shù)在金融,、貿(mào)易、文化,、社會(huì)治理等領(lǐng)域的創(chuàng)新應(yīng)用展開了交流,，共同探討區(qū)塊鏈技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展的最新趨勢(shì)。

峰會(huì)上,，多位國(guó)內(nèi)外權(quán)威專家?guī)?lái)了多場(chǎng)高水平主題演講,，內(nèi)容涵蓋對(duì)前沿領(lǐng)域的探索、對(duì)新業(yè)態(tài)發(fā)展?jié)摿Φ恼雇约皩?duì)分布式技術(shù)發(fā)展成果的總結(jié)等各個(gè)方面,，分享了他們的成果和經(jīng)驗(yàn),，也為國(guó)內(nèi)區(qū)塊鏈行業(yè)的發(fā)展提出了寶貴建議,。接下來(lái),，我們將為所有關(guān)注分布式技術(shù)和下一代分布式可信互聯(lián)網(wǎng)發(fā)展的讀者呈現(xiàn)這些精彩紛呈的主題演講,。本期為武漢大學(xué)國(guó)家網(wǎng)絡(luò)安全學(xué)院教授何德彪的分享，題為《區(qū)塊鏈密碼使用指南》,。

演講全文整理如下,，為便于閱讀，有所編輯修改：

大家下午好,。

密碼學(xué)在區(qū)塊鏈安全中扮演著至關(guān)重要的角色,，如果沒(méi)有密碼學(xué)的支持，區(qū)塊鏈的安全性將完全無(wú)法得到保障,。近年來(lái),，密碼學(xué)在區(qū)塊鏈應(yīng)用中受到了廣泛的關(guān)注，目前國(guó)內(nèi)在區(qū)塊鏈中使用的密碼學(xué)算法基本上都是國(guó)外的一些算法,，雖然國(guó)內(nèi)的算法具備一些基本功能,，但缺乏一些特殊功能。

為了提升區(qū)塊鏈安全性,，在密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)的委托下,，包括我們?cè)趦?nèi)的一些單位共同努力，共同研發(fā)符合中國(guó)當(dāng)前的密碼標(biāo)準(zhǔn),，并符合中國(guó)區(qū)塊鏈產(chǎn)業(yè)生態(tài)的密碼算法,。

目前這個(gè)標(biāo)準(zhǔn)主要分為以下幾個(gè)部分：第一個(gè)是零知識(shí)證明，第二個(gè)是安全狀況計(jì)算,，第三個(gè)是環(huán)簽名,，第四個(gè)是證書管理協(xié)議。此外,，還包括群簽名,、同態(tài)加密、廣播加密,、盲簽名以及共識(shí)機(jī)制,、密鑰派生等一系列密碼算法。

這些標(biāo)準(zhǔn)由不同單位負(fù)責(zé)開發(fā),，具體負(fù)責(zé)單位如下：零知識(shí)證明由信工所負(fù)責(zé),，多方安全計(jì)算由信通院負(fù)責(zé)，武漢大學(xué)負(fù)責(zé)環(huán)簽名和盲簽名,，陜西師范大學(xué)負(fù)責(zé)群簽名,，暨南大學(xué)負(fù)責(zé)同態(tài)加密，清華大學(xué)負(fù)責(zé)共識(shí)機(jī)制,，數(shù)字認(rèn)證和中國(guó)網(wǎng)安分別負(fù)責(zé)證書管理和密鑰派生協(xié)議,。

在20年的時(shí)候,，首次提出了制定自己的標(biāo)準(zhǔn)，并成立了項(xiàng)目組,，當(dāng)年主要是起草了一些草案,，到12月份完成了初步評(píng)審工作；21年在此基礎(chǔ)上,，推薦了各個(gè)協(xié)議,，以符合區(qū)塊鏈平臺(tái)的需求，對(duì)標(biāo)準(zhǔn)草案進(jìn)行完善,；到22年,，對(duì)標(biāo)準(zhǔn)進(jìn)行全國(guó)征求意見，邀請(qǐng)國(guó)內(nèi)企業(yè)和專家參與評(píng)審,，并提出改進(jìn)意見,，去年12月份完成了標(biāo)準(zhǔn)，目前正在進(jìn)行審批工作,。

標(biāo)準(zhǔn)的主要架構(gòu),，從區(qū)塊鏈的角度，最下面一層是數(shù)據(jù)層,，主要包括默克爾樹,、區(qū)塊數(shù)據(jù)等，向上還包括網(wǎng)絡(luò)層,、共識(shí)層,、智能合約層、應(yīng)用層和用戶層,，對(duì)應(yīng)的密碼技術(shù)支撐環(huán)境,，最下面一層是密碼硬件層，包括密碼機(jī),、PHI-E密碼機(jī),、驗(yàn)簽服務(wù)器、智能密碼鑰匙等,，主要用于保存密碼和加速密碼運(yùn)算,；上面一層是基礎(chǔ)密碼算法層，包括對(duì)稱加密,、非對(duì)稱加密,、數(shù)字簽名、隨機(jī)數(shù)生成等,；再向上則是功能性密碼協(xié)議層,，比基礎(chǔ)密碼算法要復(fù)雜得多，主要是為了實(shí)現(xiàn)一些特殊功能而確定的密碼協(xié)議。而密碼運(yùn)營(yíng)環(huán)境目前階段暫時(shí)基于 PKI體系,，未來(lái)會(huì)考慮增加標(biāo)識(shí)密碼體系,。

接下來(lái)向大家介紹一下具體的方案。

一,、零知識(shí)證明,。零知識(shí)證明是一種復(fù)雜的密碼運(yùn)算，它用于在不泄露信息的情況下證明某件事情的真實(shí)性,。在區(qū)塊鏈中,，零知識(shí)證明有許多典型應(yīng)用，例如在轉(zhuǎn)賬過(guò)程中,，為了保護(hù)隱私，可以將轉(zhuǎn)賬金額進(jìn)行加密,。然而,，使用傳統(tǒng)密碼算法（如SM4、SM2）加密后,，無(wú)法在密文狀態(tài)下進(jìn)行轉(zhuǎn)賬操作,。這時(shí)候，可以使用同態(tài)加密來(lái)實(shí)現(xiàn)在密文狀態(tài)下的操作,，但是單純的同態(tài)加密還不足以保證安全,，因?yàn)榭赡艹霈F(xiàn)偷偷篡改密文的情況。

為了解決這個(gè)問(wèn)題,，零知識(shí)證明被引入,。零知識(shí)證明可以用于證明兩個(gè)關(guān)鍵條件：第一，轉(zhuǎn)賬金額必須是正數(shù)且大于0,；第二,，轉(zhuǎn)賬者必須證明自己有足夠的錢來(lái)支付。這樣,，零知識(shí)證明可以確保在進(jìn)行加密轉(zhuǎn)賬時(shí),，不會(huì)發(fā)生非法操作。

除此之外,，零知識(shí)證明還可以在數(shù)據(jù)隱私保護(hù),、身份隱私證明、系統(tǒng)擴(kuò)容以及有效監(jiān)管等多種區(qū)塊鏈場(chǎng)景中得到應(yīng)用,。

對(duì)于零知識(shí)證明,，目前標(biāo)準(zhǔn)中推薦的協(xié)議包括：支持小明文空間的密態(tài)消息零知識(shí)區(qū)間范圍證明、支持大明文空間的賬戶模型區(qū)塊鏈零知識(shí)證明,，以及zkSNARK 和 Bulletproofs,，這是近期提出的密碼協(xié)議，也被廣泛應(yīng)用于零知識(shí)證明領(lǐng)域。

二,、多方安全計(jì)算,。安全多方計(jì)算是一種多人參與運(yùn)算的方式，只有指定的人可以獲取結(jié)果,，其他人無(wú)法得知具體結(jié)果,，且在計(jì)算過(guò)程中不會(huì)泄露數(shù)據(jù)隱私。它在區(qū)塊鏈應(yīng)用中有多個(gè)場(chǎng)景：首先,，可以用于鏈上安全計(jì)算全過(guò)程的記錄,，區(qū)塊鏈本身就涉及多方參與運(yùn)算，可以利用安全多方計(jì)算來(lái)確保鏈上計(jì)算的安全性,；其次,，無(wú)可信中心的安全智能合約，在智能合約執(zhí)行過(guò)程中,，利用安全多方計(jì)算的流程,，實(shí)現(xiàn)無(wú)可信中心的安全性；第三,，基于安全多方計(jì)算的文獻(xiàn)簽名,，在區(qū)塊鏈中廣泛應(yīng)用的密鑰管理系統(tǒng)（KMS），可以將密鑰分散存儲(chǔ)在多個(gè)地方,，實(shí)現(xiàn)基于安全多方計(jì)算的文獻(xiàn)簽名,，保護(hù)密鑰的安全性；此外,，拜占庭容錯(cuò)也可以利用多方安全計(jì)算的門限簽名實(shí)現(xiàn),。

目前標(biāo)準(zhǔn)中推薦的簽名包括：SM2的文件簽名、SPDZ協(xié)議,、混淆電路,、安全多方可信設(shè)置協(xié)議,這些協(xié)議在保障區(qū)塊鏈系統(tǒng)的安全性和隱私保護(hù)方面具有重要作用。

三,、環(huán)簽名,。環(huán)簽名是一種用于保護(hù)用戶隱私的簽名技術(shù)。傳統(tǒng)的簽名算法如SM2或者國(guó)際上的EDDSA簽名,，簽名后可以追溯到具體的簽名者,，從而泄露了用戶的身份信息。為了解決這個(gè)問(wèn)題,，環(huán)簽名應(yīng)運(yùn)而生,。利用環(huán)簽名，別人只知道某個(gè)簽名者是一組簽名者中的一個(gè),，但無(wú)法確定具體是誰(shuí),，這樣很好地保護(hù)了用戶的隱私。

在區(qū)塊鏈中，環(huán)簽名可以應(yīng)用于以下場(chǎng)景：1.區(qū)塊鏈身份隱私：在區(qū)塊鏈中進(jìn)行簽名后,，只能知道是其中一個(gè)用戶簽名,，而無(wú)法確認(rèn)具體是誰(shuí)；2.基于環(huán)簽名的POS：在POS共識(shí)算法中,，由于需要投票,，如果投票過(guò)程不保護(hù)用戶隱私，將會(huì)泄露投票者的身份信息,，不利于POS的健康發(fā)展,，而環(huán)簽名可以解決這一問(wèn)題；3.基于環(huán)簽名的PBFT協(xié)議和其他投票協(xié)議：這些共識(shí)機(jī)制也可以通過(guò)環(huán)簽名來(lái)保護(hù)投票者的隱私,。

目前推薦的環(huán)簽名協(xié)議包括：可鏈接環(huán)簽名LSAG,、基于SM2和SM9的環(huán)簽名，這是中國(guó)基于國(guó)家標(biāo)準(zhǔn)算法的環(huán)簽名協(xié)議,，由中國(guó)團(tuán)隊(duì)提出,。

四、群簽名,。群簽名與環(huán)簽名的不同之處在于引入了一個(gè)管理者來(lái)解決監(jiān)管需求。在群簽名中,，所有簽名者簽署完成后,，其他人無(wú)法確定具體是誰(shuí)進(jìn)行了簽名，但是群簽名的管理者可以使用自己的追蹤私鑰來(lái)追蹤簽名信息,，從而找出具體的簽名者,，以滿足監(jiān)管需求。

在聯(lián)盟鏈中,，有時(shí)需要引入監(jiān)管來(lái)解決可能發(fā)生的不當(dāng)行為或違規(guī)行為,，而群簽名就非常適用于這一場(chǎng)景。它可以保護(hù)普通成員的隱私,，同時(shí)允許管理者在必要時(shí)追蹤簽名者的身份,。

目前推薦的群簽名標(biāo)準(zhǔn)包括：B B群簽名、可鏈接的群簽名,、基于事件的可鏈接群簽名,，這些都是密碼學(xué)領(lǐng)域比較經(jīng)典的群簽名協(xié)議，可以在聯(lián)盟鏈中有效應(yīng)用于隱私保護(hù)和監(jiān)管需求,。

五,、盲簽名。盲簽名是一種用于保護(hù)隱私的簽名技術(shù),，它的基本思想是,，簽名者在進(jìn)行簽名時(shí)并不知道具體簽署的內(nèi)容，從而實(shí)現(xiàn)對(duì)用戶隱私的保護(hù)。舉例來(lái)說(shuō),，在電子現(xiàn)金的發(fā)行過(guò)程中,，使用盲簽名可以確保數(shù)字貨幣的隱私性。在傳統(tǒng)簽名中,，銀行簽發(fā)的序列號(hào)暴露了持有人的身份信息,。但盲簽名通過(guò)在簽名過(guò)程中引入隨機(jī)數(shù)，即所謂的盲化過(guò)程,，使簽名者只知道自己簽了什么,，而不知道實(shí)際的序列號(hào)。用戶拿到這個(gè)盲簽名后,，再進(jìn)行去盲化處理,，得到真正的簽名結(jié)果，此時(shí)銀行無(wú)法確定簽名者到底使用了哪個(gè)序列號(hào),，從而保護(hù)了用戶的隱私,。

目前推薦的盲簽名協(xié)議包括：SM2的盲簽名、SM9的盲簽名,、ISO/IEC 18370國(guó)際標(biāo)準(zhǔn)的盲簽名,，這些盲簽名技術(shù)可以廣泛應(yīng)用于混幣技術(shù)和數(shù)字貨幣生成過(guò)程中，保障用戶隱私的同時(shí)確保交易的安全性,。

六,、同態(tài)加密。同態(tài)加密是一種特殊的加密技術(shù),，可以在加密的狀態(tài)下對(duì)加密數(shù)據(jù)進(jìn)行加法或乘法運(yùn)算,，而無(wú)需解密。在數(shù)據(jù)交易和金額保護(hù)方面,，同態(tài)加密非常有用,，通過(guò)同態(tài)加密，可以對(duì)交易金額進(jìn)行加密,，并在加密狀態(tài)下進(jìn)行加法和減法運(yùn)算,，從而確保數(shù)據(jù)的隱私性和安全性。

目前推薦的同態(tài)加密標(biāo)準(zhǔn)包括：LHWW加法同態(tài)加密,、Paillier加法同態(tài)加密,、ElGamal乘法同態(tài)加密、BGV全同態(tài)加密算法以及BFV全同態(tài)加密算法,。在實(shí)際應(yīng)用中,，Paillier加密被廣泛用于保護(hù)數(shù)據(jù)隱私和進(jìn)行安全計(jì)算。

七,、廣播加密,。廣播加密允許發(fā)送者將數(shù)據(jù)同時(shí)加密給一組特定的用戶,，并通過(guò)公開信道傳輸加密后的數(shù)據(jù)，只有加密時(shí)指定的授權(quán)用戶才能正確解密,，其他非授權(quán)用戶即使合謀也無(wú)法獲得明文數(shù)據(jù),，這樣可以確保數(shù)據(jù)在傳輸過(guò)程中的隱私和安全性，防止數(shù)據(jù)泄露給未授權(quán)的人員,。因此廣播加密在聯(lián)盟鏈中得到廣泛應(yīng)用,，因?yàn)樵谟行┣闆r下，除了記賬節(jié)點(diǎn),，我們不希望其他人能夠獲取相關(guān)數(shù)據(jù),，廣播加密能夠很好地滿足這一需求。

八,、密鑰派生協(xié)議,。密鑰派生協(xié)議主要應(yīng)用于密鑰管理領(lǐng)域，幫助確保密鑰的安全生成和管理,，對(duì)于加密貨幣等領(lǐng)域尤為重要,。最常見的協(xié)議是比特幣中使用的BIP協(xié)議，此外,，還有一些國(guó)產(chǎn)的密鑰派生協(xié)議,，以及基于雙密鑰的匿名地址派生協(xié)議，這些協(xié)議在密鑰派生過(guò)程中起到重要作用,。

九,、證書管理協(xié)議。證書管理協(xié)議是用于管理證書的協(xié)議,。在現(xiàn)今的聯(lián)盟鏈中，我們將傳統(tǒng)的證書管理方法應(yīng)用于其中,。然而,，鑒于區(qū)塊鏈的特性，我們引入了一些新的標(biāo)準(zhǔn)來(lái)滿足需求,。這些新標(biāo)準(zhǔn)包括：1.分布式輕量級(jí)證書管理協(xié)議：這個(gè)協(xié)議旨在實(shí)現(xiàn)證書管理的分布式特性,，并且具備輕量級(jí)的特點(diǎn)，以適應(yīng)聯(lián)盟鏈的環(huán)境,；2.分布式證書管理協(xié)議：該協(xié)議進(jìn)一步加強(qiáng)證書管理的分布式屬性,，確保證書的安全性和可靠性；3基于區(qū)塊鏈的去中心化身份認(rèn)證與密鑰管理協(xié)議：這個(gè)協(xié)議利用區(qū)塊鏈的特點(diǎn),，實(shí)現(xiàn)去中心化的身份認(rèn)證和密鑰管理,，從而提高整個(gè)系統(tǒng)的安全性和可信度。這些新的證書管理協(xié)議適用于聯(lián)盟鏈的場(chǎng)景,，幫助保證證書的有效管理和使用,，并提供更加安全可靠的身份認(rèn)證和密鑰管理機(jī)制,。

十、共識(shí)協(xié)議,。共識(shí)協(xié)議是區(qū)塊鏈的核心之一,，它確保所有節(jié)點(diǎn)在網(wǎng)絡(luò)中就交易的有效性和順序達(dá)成一致意見。在聯(lián)盟鏈中,，共識(shí)協(xié)議尤為重要,。針對(duì)聯(lián)盟鏈，我們推薦了以下5個(gè)共識(shí)協(xié)議,，它們?cè)趪?guó)際上被廣泛應(yīng)用且在平臺(tái)上被使用較多：PBFT (Practical Byzantine Fault Tolerance),、Tendermint、BFT-SMaRt,、Bchain,、HotStuff PPT，這些共識(shí)協(xié)議在聯(lián)盟鏈中發(fā)揮著關(guān)鍵作用,，確保了區(qū)塊鏈網(wǎng)絡(luò)的安全性,、性能和可靠性。它們是聯(lián)盟鏈中常用的共識(shí)算法選擇,。

總的來(lái)說(shuō),，我們現(xiàn)在在區(qū)塊鏈中應(yīng)用了許多密碼協(xié)議，并對(duì)它們做了一些總結(jié),。我們也推薦了一些協(xié)議,，這些推薦并不是強(qiáng)制性的，只是建議大家使用,。如果大家對(duì)這些協(xié)議有任何問(wèn)題,，歡迎與我們交流，我們也希望能夠盡快將我們國(guó)產(chǎn)的一些密碼算法真正應(yīng)用到我們的區(qū)塊鏈行業(yè)中,，謝謝大家的支持與參與,。

歡迎轉(zhuǎn)發(fā)評(píng)論。