ZenGo 优势
无需用户管理私钥和密码,并可以通过面部扫描备份和恢复账户。即使是不了解加密货币行业的新手和个人投资者也能在享受安全性的同时有便捷的用户体验
使用阈值签名及生物识别的方式,降低用户保管私钥的门槛
数字钱包实际是一个管理私钥(生成、存储、签名)的工具,注意钱包并不保存资产,资产是在链上的
ZenGo钱包不需要备份助记词,交易也不需要输入密码,一切只需要FaceID/TouchID
为了保证资金的安全,助记词(或私钥)的保管就需要足够的小心, 一方面我们要进行备份,以防私钥丢失,另一方面由于备份也会增加被盗风险,这也是钱包糟糕的体验的一大原因(貌似安全和体验二者无法兼得)
为了提高资产的安全性,尤其是大额资产,目前通常有这两个方案:多签签名(MultiSig)和 密钥共享(Secret Sharing)模式
多签签名 MultiSig
如果大额的资产,通常会使用多签(MultiSig)的方式来分担风险与责任,多签通常需要有多个私钥(N),只有当其中的M个私钥参与的签名,才可以动用资产,因此正确使用(不把私钥放在一起,由不同的人保管),确实可以提高安全性,因为即使部分私钥被盗或丢失,资产依然是安全的。
多签:一个有多把钥匙的保险柜
使用多签签名时,还应该避免私钥复用,私钥复用会增加私钥泄漏的风险。
多签签名通常使用链上合约(或脚本)实现,这也给多签带来一个缺点:需要支付更高的交易费用以及多人异步签名导致的更长的交易确认时间。
密钥共享(Secret Sharing Scheme)模式
密钥共享模式 (简称:SSS) 通过将密钥分成多个部分并以冗余方式分开保管,发起交易则将一定数量的密钥重新组装为密钥进行签名,这个方案也可以降低密钥被盗的风险,同时解决了上述多签费用高的缺点。不过SSS 有一个主要缺点:当密钥被重新组装时,会为攻击者提供了获取密钥的可乘之机。
密钥共享:一个把钥匙分层多个部分
门限签名(Threshold signatures)方案
门限签名方案(简称:TSS)则结合 SSS 和多签的优点,它基于多方安全计算 (MPC: Multi-Party Computation ) 使用多个分片(目前是两个部分)的秘钥轮流进行(交易)签名,生成最终有效的签名。大家可以理解为:先用一个钥匙旋转一个角度,再用另一个钥匙旋转一个角度才可以打开保险柜。
门限签名方案跟前面多签和 SSS 方案不同的是:
多签通常是需要 M/N 个签名,而门限签名(目前)需要多方都参与签名。
多签通常是链上进行的,费用较高,并且不同的链多签的实现方案差别很大。而门限签名是链下的纯密码学的计算生成签名,兼容性更强。
多签是可以异步进行签名,而门限签名要求所有参与方在操作过程中都同时在线。
和 SSS 也不一样,SSS虽然分片密钥,但是最终要重构出密钥来签名,那么就存在单点故障和重构出的密钥被泄露的可能。而门限签名不需要重构出密钥。
ZenGo钱包
ZenGo 钱包则运用了门限签名方案,它使用两个独立(部分)秘钥来取代传统的单个私钥模式。其中一个秘钥保存在手机上(用 TouchID/FaceID 授权访问),另一个存储在 ZenGo 服务器上,在进行交易的时候,手机和 ZenGo 服务器通信共同完成签名。
实际使用时,ZenGo体验很好,强调 Keyless 概念,只需要touchID或faceID 授权就可以进行交易。
注意:ZenGo仅用来做交易签名,服务器和设备进行通信签署交易,通信过程不会相互暴露秘钥,仅仅是对签名后的数据进行通信。
ZenGo的方案只要两部分不同时发生问题(如泄漏),可以确保资产总是安全的, 我们分别考虑下设备丢失和ZenGo服务关停的问题。
设备丢失(或盗窃)怎么办?
当设备丢失(或盗窃)时,获得设备的人由于没有我们的 TouchID/FaceID ,可以确保我们的资金不会被转移。
那么如何取回自己的资产呢? ZenGo 钱包提供了一个对设备部分的秘钥备份的方案:设备秘钥通过加密之后存储在 ZenGo 服务器上, 而对应的解密秘钥则单独存储在个人 iCloud 帐户中,通过两步认证授权恢复解密秘钥。
因此只要设备丢失和icloud关停两件事情不同时发生,就可以还原出设备部分秘钥,从而取回资产。
ZenGo 服务关停怎么办?
尽管ZenGo宣称有最好的安全性和稳定性,ZenGo同样提供了方案应对ZenGo服务关停的风险:
ZenGo 构建了第三方独立的托管服务Escrow和 监听服务Trustee。
Escrow 可以理解为是ZenGo服务器的一个备份,而 Trustee 则会监听 ZenGo 服务的状态,当 Trustee 发现ZenGo 服务关停时,它会请求 Escrow 把对应的秘钥转移到每个用户Github账号。这种情况ZenGo钱包(客户端)会进入恢复模式,从而还原私钥,这个私钥可以直接进行交易签名进行资产转移,也可以把这个私钥导入到其他的钱包。
细节可阅读参考文章https://zengo.com/how-zengo-guarantees-access-to-customers-funds/和https://zengo.com/a-deep-dive-into-zengo-guaranteed-access-solution/, 以下是一个恢复模式的示意图:
ZenGo 开源与悬赏
ZenGo 可谓业界良心,不单提供了解决方案还开源了代码Github
同时为了提高安全性,ZenGo 开启了悬赏计划,如果你发现什么漏洞,1个BTC在等着你。
门限签名技术相关:
https://zhuanlan.zhihu.com/p/135258941
https://github.com/ZenGo-X/multi-party-ecdsa
基于RSA的门限签名机制
基于RSA的实用门限签名算法实现
https://github.com/Ganapati/RsaCtfTool (Python)
https://github.com/rzcoder/node-rsa(js)
https://github.com/RustCrypto/RSA(rust)
基于ECDSA的门限签名机制 (椭圆曲线数字签名算法)
阈值 ECDSA 包括两个协议:
用于创建秘密共享的密钥生成。
使用秘密共享生成签名的签名。
https://github.com/ZenGo-X/multi-party-ecdsa (ZenGo团队开发,已安全审计,Rust )
该库的四个核心设计原则:
支持多协议
专为密码学工程师打造
高安全性 ,万无一失
密码学的黑盒使用
在该代码库中,实现了3种阈值 ECDSA:
双方签名协议2 party protocol(签名很快),
种任意阈值的协议,
多阈值ECDSA (比第一种2 party protocol的慢,但是安全性更高)。
基于Schnorr的门限签名机制
安全性更高的分布式Schnorr签名和隐式证书的(t, n)阈值方案
多重签名方案,这些方案要求各方参与合作才能签名。
阈值签名方案 (TSS)。这些方案要求至少 t+1 方的任何子集参与合作以发布有效签名。
相关代码实现:
https://github.com/ZenGo-X/multi-party-schnorr (Rust, ZenGo团队开发,根据 GPL-3.0 许可条款发布)
基于BLS的门限签名机制
相关代码实现:
实现了以太坊2.0新BLS阈值签名机制:https://github.com/herumi/bls(C++)
采用分布式密钥生成:https://github.com/celo-org/celo-threshold-bls-rs(Rust)
生成阈值 BLS 签名, 签名采用的是盲签名 的方式,以保护请求另一组签名的安全。
盲签名是一种数字签名形式,其中发送签名消息的内容在签名之前被伪装加密,生成的盲签名可以以常规数字签名的方式针对原始的非盲消息进行公开验证。
