分享提綱:
區塊鏈錢包的定義
區塊鏈錢包的分類
影響錢包安全的幾個因素
錢包的安全設計參考
>>>>區塊鏈錢包的定義
狹義:私鑰容器。用來存儲私鑰并對交易報文簽名。
廣義:區塊鏈應用APP。余額和交易明細查看、交易報文構造、多地址管理、找零等。
多用途:包含用戶體系,承載行情、資訊、社交、交易平臺、DAPP分發等。
區塊鏈里所有的資產用來證明你的資產所有權和支配資產的唯一依據就是私鑰。說到私鑰就要提到非對稱加密的算法,就是說有一對密鑰,一公一私,由私鑰可以推導出公鑰,當你用私鑰加密的內容可以用公鑰來驗證,有了私鑰其實就有了資產的所有權。
大家看這張圖,小K就是私鑰,大K就是由私鑰推導出的公鑰,然后大K也就是公鑰通過一定的換算可以得到比特幣的地址A,最狹義的錢包其實就是能在錢包里對你的私鑰進行全生命周期的保護,從私鑰的產生要足夠的隨機,產生以后推導出的比特幣地址可以被導出來,讓別人拿到地址給你轉賬,有了比特幣地址可以去查它的交易明細,余額,當你需要動用你的資產的時候,要動用自己的私鑰來簽名,但是簽名只需要用私鑰就行,千萬不要把私鑰流露出來。
聲音 | 亦來云官方:DoS漏洞9月已修復 主網一切正常:今日,DVP漏洞平臺稱此前收到來自社區白帽子的關于亦來云遠程DoS高危漏洞的反饋,攻擊者可借此漏洞遠程攻擊亦來云節點,并最終導致主網癱瘓。
對此,亦來云官方回應稱:該DoS漏洞只是針對RPC接口,不會造成主網癱瘓。該漏洞在DVP發布給團隊后已經立即被修復。目前,團隊已經完成自檢,亦來云主網一切正常。感謝DVP,也歡迎社區成員積極參與安全檢查。[2018/12/7]
我們認為只要具備最基礎的私鑰的保存和簽名其實就構成了一款最狹義的錢包,不管是軟錢包也好,還是硬錢包也好。然后,根據這種最基本的功能又延伸出各種各樣的APP,其實像余額和交易明細的查看,還有多地址的管理,這已經屬于廣義上的錢包。
現在很多的錢包把行情甚至交易所也集成了進去,還有資訊,客戶體系的關系,其實這些都是廣義上的錢包。
>>>>錢包的分類
按照私鑰存儲方式:冷錢包和熱錢包。
按照所使用的設備:PC桌面錢包、在線web錢包、移動端手機錢包、硬件錢包、紙錢包。
亦來云基金將會向芝加哥大學自然科學計算機系捐贈$100,000獎學金:6月7日,Elastos基金會聯合創始人韓鋒、芝加哥大學物理科學部副院長兼發展主任比爾·萊納德和物理科學系主任愛德華·W·科爾布共同簽署了亦來云獎學金協議。根據協議,亦來云基金會向芝加哥大學自然科學計算機系捐贈$100,000獎學金授予研究生項目的學生,并優先考慮那些在網絡安全、計算機操作系統和區塊鏈技術方面表現出強烈興趣的學生。芝加哥大學計算機系將鼓勵學生積極參加區塊鏈專業的學習,積極參加亦來云原生態開發社區。[2018/6/10]
按照數據維護方式:全節點錢包、SPV錢包、完全依賴單點數據。
>>>>影響錢包的幾個因素
1.私鑰k的隨機性
2.私鑰&助記詞的全生命周期保護
3.交易報文的保護
4.傳統APP安全和WEB安全的關注點
剛剛講到私鑰是一個很關鍵的因素,那么其實影響錢包安全的幾個因素全部都要圍繞著私鑰展開。
關于私鑰的隨機性先給大家分享一張圖片。這張圖片大家看到理想的平均分布就是純隨機生成一個私鑰,就像你的助記詞理論上都是純隨機生成的,但是有沒有可能它的隨機生成沒有那么隨機呢,大家看到這張圖就是隨機函數的隨機分布,理想情況下是平均分布,那么我們看到其實是有這樣一種高斯隨機分布和泊松隨機分布。
火幣Pro暫時停止亦來云(ELA)充提業務:據火幣Pro官方消息,因ELA進行技術升級,火幣全球專業站將于北京時間5月3日12:00-20:00期間暫停ELA充提業務。[2018/5/3]
對于真正安全的錢包在私鑰生成環節它就要足夠的隨機,它要滿足平均分布,那么我們盡可能用硬件的隨機函數發生器生成私鑰數值,基本上現在主流的通過國際認證的芯片它里面的私鑰發生器基本上是可以滿足平均分布的。
私鑰k取值范圍是:1~2^256,換算成十進制就是10^77,看下面這句話可見的宇宙里面估計含有的原子個數是10^80。這樣一對比大家就會有個直觀的概念。
接下來這張圖就是取自RANDOM.ORG的網站,理想的隨機函數它的分部像左邊這張圖,那么PHP在Windows下面rand的函數它生成的隨機數的分布就像右邊這張圖,大家可以看到明顯的中間有很多細線,這些線就是分布集中的一個體現。
有個例子,2014年12月,Blockchain.info他們的工程師寫錯一個函數,使得隨機數的生成只有256種可能,這樣的話一名黑客通過遍歷他們的私鑰,從Blockchain.info上面轉走了864個BTC。
亦來云聯合創始人韓鋒:區塊鏈真正顛覆的,是我們的財富觀:是什么在支撐比特幣的價格、區塊鏈存在的意義是什么?亦來云聯合創始人韓鋒認為區塊鏈真正顛覆的,是我們的財富觀。第一代財富觀是“農業時代財富觀”;第二代財富觀是“工業時代財富觀”;第三代、也就是今天的財富觀應該是“未來財富觀(變現未來的財富)”。它的意義是“誰能通過更低成本把未來收入作證券化變成今天的錢,誰就能在未來擁有更多的發展機會”。而變現未來的兩個重要因素是“確權和轉移合規。區塊鏈技術利用密碼學、加密技術可實現“數據確權”,利用分布式結構保證了“轉移合規”。數字一旦被確權,一旦被轉移合規,一樣有資產屬性,一樣可以變現未來,讓我們每個人的數字成為自己的財富。[2018/2/27]
這張圖上面的交易就是當初這名黑客通過偽隨機函數遍歷私鑰轉走的那筆當年的交易記錄。說了這么多其實就是想表明一個問題,私鑰的隨機性是所有區塊鏈資產里面保存你區塊鏈資產最終的第一步,那么一款錢包不管是軟錢包還是硬錢包,它在初始化的時候生成了私鑰,然后通過私鑰推導出公鑰,通過公鑰推導出來你的比特幣地址。
那么接下來關注的一個問題,私鑰生成以后它的全生命周期保護。也就是說從它的存儲到它的調用到它用來簽名一直到消亡,整個生命周期里你的私鑰是永遠不能被別人知道的。那么怎么進行私鑰的全生命周期的保護呢?
亦來云發聲明否認在幣安上幣活動中存在作假行為:亦來云在幣安上幣活動中被質疑存在機器人刷票作假行為,亦來云項目官方通過推特發聲明否認。[2018/2/26]
我們知道你在PC端或者在手機上安裝一個錢包軟件,那么在你進行初始化操作,你把助記詞記下來以后,你的私鑰其實是通過加密的方式存到你的硬盤,或者是手機的存儲器里面。但是對于大多數的操作系統,都有可能潛伏著病和木馬。于是為了保護私鑰,為了在私鑰的全生命周期里面得到一個安全的港灣,最早的一些人使用全冷的方法,就是拿一臺完全報廢的PC機,也不聯網,在那上面運行BTCCore客戶端生成地址以后,把地址拷出來讓別人轉賬,當他需要支付這筆錢的時候,把交易報文在自己的熱端生成,生成以后把交易報文通過U盤拷貝到這臺機器上,這臺不聯網的機器對它進行簽名,簽名以后再拷出來,然后再把報文廣播出去,完成了一次交易。
那其實我們常見的錢包就是這種方案,其實就是用一個安卓的手機用二維碼掃描的方式完成信息的傳遞。
大家可以看這兩張圖,第一張是我們DEMO的App里面往外轉出的一筆BTC的測試幣所產生的報文,我們在界面上看到從一個地址發送到另一個地址,發送的金額是1.22個BTC,手續費是0.002BTC。接下來這張圖是交易產生以后在區塊鏈瀏覽器上看到的實際的交易報文,可以看到花出去這筆1.22個BTC其實它來自于上一次別人轉給你的1.5個BTC,從這里面把它一次性的全花出去,其中有1.22個轉給了你要轉的目標地址,剩下0.278個轉回給了自己,還有0.002的手續費,所有的加在一起剛好等于前一筆的收入,1.5個1BTC。
上面這幅圖來自于今年360出的一份數字貨幣錢包安全白皮書,因為360是傳統的安全的企業,大部分傳統的做安全的公司他們關注的更多的其實是傳統的App安全。大家看這張圖的五大要點,基本上說的是傳統App的安全。
這張圖上面的三幅照片是我今年7月份在北京看雪安全論壇開發峰會上拍的,當時現場知道創宇的胡老師在給大家展示他現場秒破了幾款主流的硬件錢包,胡銘德老師他這種方法其實是安全圈里比較常見的逆向的方法,通過芯片的引腳來把芯片里面一些東西給Dump,安卓的可以直接通過USB接口,或者是通過一些已知的API把里面的一些App給讀出來。
好多硬件錢包他們喜歡用單片機的方案,比如國外某款最著名的錢包它用的這種單片機的方案就很像我們早年國內網上銀行的網銀的U盾,這種U盾它的安全芯片其實已經很安全了,但那是因為芯片個頭比較大,在專業的破解領域有一種很牛的方法,他們可以在納米的尺度上對芯片進行打磨,每打磨一層可以拍張照片,然后一層層的打磨,打磨到最后把所有的里面的東西從物理上對它進行還原,這樣以來里面的算法、數據其實是都可以拿到的。
大家也不用擔心,這個秒破說是這么說,其實可以想一下這種破解的前提是在物理上他已經拿到了你的錢包,也就是說你的錢包被人偷走了,這個時候在他不知道你的Pin碼的情況下,他把你的資產轉走,他能調用里面的私鑰進行簽名。所謂的秒破是能夠接觸到你的錢包的前提下。當然如果你的手機或者PC里被人植入了木馬,那么其實在你任何一次交易的時候都可以被別人動手腳。
上面我發了兩張腦圖可以理一下思路。其實說這么多所有的虛擬幣資產最關鍵的因素還是私鑰,私鑰取決于一開始生成私鑰的隨機數,然后私鑰生成以后在它任何一次使用中都只能有你自己知道,不能被任何人知道。
接下來大家看一下BtcZen選用的這種方案,其實我們是站在巨人的肩膀上,我們選取了最成熟的一種方案就是智能卡,智能卡國際行業標準大概已經有20多年的歷史了,世界各國的銀行卡,信用卡包括國內常見的社保卡還有公交卡基本上用的都是智能卡的方案。為了方便使用我們不想用那種二維碼掃來掃去,我們通過用這種非接觸智能卡,用NFC進行通信。
關于BtcZen智能卡有幾個指標,就是從芯片層面怎樣防止物理上的攻擊。還有從卡內操作系統的層面,和卡內App的層面我們都是有很強的防護機制的。
今日互動:
“11·8”記者節,在這里感謝過去的時間里始終關注著亦來云、記錄著亦來云的朋友們,因為大家的記錄與關注讓更多的朋友能夠認識、了解亦來云。未來,我們共同創造,一同努力,讓更多的人了解與認識區塊鏈,共同記錄與見證著偉大的變革~
在文章下方留言,告訴我們您在什么時候開始關注亦來云,了解亦來云,向身邊的朋友介紹亦來云~我們將根據評論內容選出5位小伙伴,每人贈送亦來云硬件錢包一個。
評論時間截止11月11日晚8點~
=END=
<<向左滑動掃碼關注>>
尊敬的用戶: CoinTiger幣虎將于新加坡時間11月15日16:00上線CS/BTC、CS/ETH交易對.
1900/1/1 0:00:0001 研發 一直以來,CPChain非常重視技術開發與投入,經過一個多月的開發,我們在主鏈和PDash的開發上有了更加可喜的進步.
1900/1/1 0:00:00親愛的社區用戶: 由FCoin提供技術支持的全新交易平臺FCoinJP已經開放注冊,網站www.fcoinjp.com。支持FCoin用戶直接登錄.
1900/1/1 0:00:00OPX交易大賽排名公示 OPX11.13日交易量數據排名公示OPX11.14日交易量數據排名公示 交易大賽:??? 以太坊客戶端OpenEthereum發布v3.2.4版本:據官方消息.
1900/1/1 0:00:00Webv2.0上線,200ETH幸運福利!Bit-Z將隨機抽取200名用戶,于7個工作日內分別發放1ETH獎勵。 條件如下: 1.Webv2.0上線24小時內達到1BTC總成交額.
1900/1/1 0:00:00親愛的Bit-Z用戶: HPB已完成主網升級,Bit-Z將于香港時間2018年11月05日15:00恢復HPB充、提幣服務,屆時平臺不再支持HPBERC20轉賬,僅支持主網轉賬,請廣大用戶注意.
1900/1/1 0:00:00