密碼學(xué)相關(guān)的安全技術(shù)在整個信息技術(shù)領(lǐng)域有著舉足輕重的重要地位��。如果沒有密碼學(xué)和信息安全的研究成果��,人類社會將無法進(jìn)入信息時代����。區(qū)塊鏈技術(shù)大量依賴了密碼學(xué)和信息安全技術(shù)的研究成果����。因此��,密碼學(xué)是區(qū)塊鏈技術(shù)的核心���。
隨著信息技術(shù)的發(fā)展,密碼學(xué)也躍升到了一個新的高度�。本文從密碼學(xué)角度出發(fā),深度剖析為什么區(qū)塊鏈能夠有效防止信息被篡改�,數(shù)字身份如何認(rèn)證。.
1
同態(tài)加密
同態(tài)加密是基于數(shù)學(xué)難題的計算復(fù)雜性理論的密碼學(xué)技術(shù)���?����?梢詫γ芪倪M(jìn)行直接處理����,也可以對未加密的原始數(shù)據(jù)處理后再對結(jié)果加密��,兩者得到的結(jié)果相同����。同態(tài)加密是一類具有特殊自然屬性的加密方法�,可以保證實現(xiàn)數(shù)據(jù)處理者無法訪問到數(shù)據(jù)自身的信息��。
同態(tài)來自代數(shù)領(lǐng)域��,包括加減乘除四種同態(tài)類型�。能夠同時滿足加法同態(tài)和乘法同態(tài),稱之為代數(shù)同態(tài)����,也稱全同態(tài);能夠同時滿足四種類型的同態(tài)�����,稱之為算數(shù)同態(tài)��。
在計算機(jī)中如果實現(xiàn)全同態(tài)意味著對所有處理皆可實現(xiàn)同態(tài)性�����。反之����,只能實現(xiàn)部分特定操作的同態(tài)性�,則被稱為特定同態(tài)�����。
在區(qū)塊鏈中使用同態(tài)加密技術(shù)�����,運行在鏈上的智能合約處理密文��,使真實數(shù)據(jù)能夠不被知道��,極大地保證了數(shù)據(jù)隱私安全性����。
與傳統(tǒng)加密算法相比����,同態(tài)加密優(yōu)勢非常明顯,業(yè)界也已實現(xiàn)��,但其較高的計算時間或存儲成本�,是無法與傳統(tǒng)加密算法相提并論的。
2
布隆過濾器
談及布隆過濾器不得不提起Hash算法�,由于其具有一一對應(yīng)的特點(即一個內(nèi)容對應(yīng)一個Hash值���,而Hash值最終會轉(zhuǎn)化為二進(jìn)制編碼)。布隆過濾器基于Hash算法的快速查找��,能夠快速準(zhǔn)確判斷出某一元素是否在同一集合內(nèi)�����。
假定一個內(nèi)容和存儲數(shù)組�,通過構(gòu)造Hash函數(shù),使Hash值的總量不能超過數(shù)組大小�,便可實現(xiàn)快速基于內(nèi)容查找對應(yīng)數(shù)組。
相對單個Hash算法查找���,布隆過濾器在提升空間利用率上采用多個Hash函數(shù)��。對同一個給定輸入����,多個Hash函數(shù)將計算出多個地址�����,然后在這些低智商分別標(biāo)記為1����,查找時使用同樣的計算方法��,只要查找到對應(yīng)元素����,如果結(jié)果都為1�����,則表明該輸入存在的概率較大�����。
3
數(shù)字簽名
數(shù)字簽名可以保證某數(shù)字內(nèi)容的來源及完整性��,即不可篡改性�。區(qū)塊鏈技術(shù)基于數(shù)字簽名���,在鏈上交易時只要交易雙方得到的簽名相同即可驗證交易是否成功���。
在加密技術(shù)領(lǐng)域,對非對稱加密算法理論上都可以使用數(shù)字簽名來實現(xiàn)�,但針對一些特定的安全需求�,一些特殊的數(shù)字簽名算法誕生:
環(huán)簽名:
環(huán)簽名首先要選定一個臨時簽名集合�。使用自己的私鑰和集合內(nèi)他人的公鑰即可產(chǎn)生獨立簽名。然而簽名者所在集合內(nèi)的其他人并不知道自己被包含在最終簽名中���。環(huán)簽名有個顯著的特點����,即匿名性�。
盲簽名:
盲簽名是一種特殊的數(shù)字簽名技術(shù)。盲簽名因簽名的人看不到所簽署文件的具體內(nèi)容而聞名�����,它有兩個顯著的特點:一是簽名者對消息的內(nèi)容是不可見的 ;二是簽名被公開后�����,簽名者不能追蹤簽名�����。
多重簽名:
顧名思義����,就是多個用戶對同一個信息進(jìn)行簽名和認(rèn)證的技術(shù)�。放在區(qū)塊鏈領(lǐng)域�����,可以簡單理解為一個數(shù)字資產(chǎn)的多個簽名�,簽名標(biāo)定的是數(shù)字資產(chǎn)所屬及權(quán)限,多重簽名表示該數(shù)字資產(chǎn)可由多人管理��。
群簽名:
群簽名需要有一個群����,群內(nèi)的某一成員可以代表群組進(jìn)行匿名簽名。簽名可以溯源來自于該群組���,但無法準(zhǔn)確追蹤是該群那個成員簽的名��。但是這樣就出現(xiàn)一個問題�����,建立群需要有群管理員,那么管理員添加新成員�����,就存在其追蹤到成員身份的風(fēng)險。
4
數(shù)字證書
數(shù)字證書就是像一個證書一樣�����,證明信息和合法性�。由證書認(rèn)證機(jī)構(gòu)(CertificationAuthority,CA)來簽發(fā)�,權(quán)威的CA包括verisign等。用戶也可自行搭建CA系統(tǒng)���,在私有網(wǎng)絡(luò)中使用�����。
數(shù)字證書是用來證明某個公鑰是誰的�����,并且內(nèi)容是準(zhǔn)確無誤的��。對于非對稱加密算法和數(shù)字簽名來說��,公鑰的分發(fā)極為重要��,一旦公鑰被人知道或替換��,將意味著整個安全體系存在被破壞的風(fēng)險���。
數(shù)字證書大致分為兩類:
加密數(shù)字證書:用于保護(hù)加密用途的公鑰���;
簽名驗證數(shù)字證書:用于保護(hù)簽名用途的公鑰;
通常情況下���,一個數(shù)字證書內(nèi)容可能包括基本數(shù)據(jù)(版本����、序列號)�����、所簽名對象信息(簽名算法類型����、簽發(fā)者信息、有效期�、被簽發(fā)人、簽發(fā)的公開密鑰)�����、CA的數(shù)字簽名等���。證書頒發(fā)者一般還要利用自己的私鑰對證書內(nèi)容進(jìn)行簽名�����,以防證書內(nèi)容被他人篡改利用�。
5
PKI體系
PKI(Public Key Infrastructure)體系在現(xiàn)代密碼學(xué)應(yīng)用領(lǐng)域處于基礎(chǔ)地位�,主要解決證書核心的管理問題。在非對稱加密中�,公鑰可以通過證書機(jī)制進(jìn)行保護(hù),那么如何管理和分發(fā)證書就需要PKI體系保障�。
PKI是建立在公私鑰基礎(chǔ)上實現(xiàn)信息的安全可靠傳遞和身份確認(rèn)的通用框架。一般情況下����,PKI至少包括以下組件:
CA(Certification Authority):負(fù)責(zé)證書的頒發(fā)和作廢,接收來自RA的請求����,也是PKI體系最核心的部分;
RA(Registration Authority):對用戶身份進(jìn)行驗證����,校驗數(shù)據(jù)合法性�����,負(fù)責(zé)登記�,審核過了就發(fā)給CA��;
證書數(shù)據(jù)庫:主要是存放證書���,一般采用X.500系列標(biāo)準(zhǔn)格式�����,并配合LDAP目錄服務(wù)對用戶信息進(jìn)行管理��。
常見的流程為:用戶通過RA登記申請證書�,CA完成證書制作�����,并頒發(fā)給用戶�。用戶如果要注銷證書可以向CA發(fā)出申請。
6
總結(jié)
基于本文對密碼學(xué)中部分算法的解讀����,相信很多讀者對區(qū)塊鏈系統(tǒng)如何實現(xiàn)隱私保護(hù)����、數(shù)據(jù)不被篡改等內(nèi)容有了一定理解�。
深入了解密碼學(xué)對我們研究區(qū)塊鏈技術(shù)意義非常重要���,區(qū)塊鏈和密碼學(xué)相互促進(jìn)發(fā)展����,使密碼學(xué)在區(qū)塊鏈技術(shù)領(lǐng)域能夠充分體現(xiàn)����,與此同時,也反映出密碼學(xué)和區(qū)塊鏈?zhǔn)敲懿豢煞值摹?/p>
