2023年6月9日,第二屆區塊鏈服務網絡(BSN)全球技術創新發展峰會在湖北武漢成功舉行。本次峰會以“鏈上荊楚,積厚成勢”為主題,匯集了來自政府、學術界、產業界的眾多海內外嘉賓,圍繞區塊鏈基礎設施、底層技術在金融、貿易、文化、社會治理等領域的創新應用展開了交流,共同探討區塊鏈技術創新和產業發展的最新趨勢。

峰會上,多位國內外權威專家帶來了多場高水平主題演講,內容涵蓋對前沿領域的探索、對新業態發展潛力的展望以及對分佈式技術發展成果的總結等各個方面,分享了他們的成果和經驗,也為國內區塊鏈行業的發展提出了寶貴建議。接下來,我們將為所有關注分佈式技術和下一代分佈式可信互聯網發展的讀者呈現這些精彩紛呈的主題演講。本期為中國科學院院士、密碼學家王小雲的分享,題為《密碼技術與區塊鏈》。

演講全文整理如下,為便於閱讀,有所編輯修改:

尊敬的各位領導、朋友們,大家上午好!

密碼學是一門非常重要的學科,它在數據安全領域扮演著重要的角色。為什麼我們需要使用密碼學呢?這是因為當今的數字經濟與數據安全密不可分。我國製定了多項政策性文件來保護數據要素和數據安全,其中包括總書記的重要論述。早在2014年,總書記就提出了以數據為關鍵要素的數字經濟的概念,並在2016年提出了建立數據基礎制度體系的目標。到了2019年和2020年,我們的數據已經被確定為第五大生產要素,並被寫入了中共中央國務院發布的文件中。

去年年底,中共中央國務院發布“數據20條”,提出了參與國際標準數字規則制定的要求。對於數據規則的定義,我經常思考。我認為區塊鏈技術的創新以及包括密碼技術在內的各種應用,如隱私計算等,都是製定數字規則的重要組成部分。這些規則與國際標準以及我國的法律息息相關,因此我們應該更加明確地制定這些規則的內涵。

關於網絡安全,當前主要關注的是數據安全和區塊鏈技術。我們知道,在網絡空間安全和網絡安全學科的發展中,數據安全是核心內容之一。我認為我們的網絡安全法律體系中,很重要的一部法律就是密碼法,它是我國密碼領域的基礎性法律,具有重要意義。我們很難找到其他專門的數學法或其他類似的法律,但密碼法作為一個應用了複雜數學的法律,非常具有獨特性。同時,我們還有網絡安全法、電子簽名法和與密碼學相關的電子簽名算法,這些法律相輔相成。我認為這也是非常重要的。

此外,我們還有數據安全法和個人信息保護法。我相信在立法過程中,這兩個法律更多地關注安全問題。而安全問題背後的支撐技術仍然是密碼技術。換句話說,我們的密碼技術支撐著法律條文中的保密性、真實性、可用性和完整性。我之所以提到這幾個詞,是因為它們與密碼學中的信息安全屬性完全匹配。也就是說,在我國許多法律的執行過程中,離不開密碼技術的支持,特別是對於既有國際標準又有我國標準的數據安全證據,這些數據證據可以作為法律依據。

信息安全的機密性是通過加密算法實現的,而認證性和不可抵賴性是通過簽名算法實現的。數據的完整性意味著任何篡改都能被檢測到,因此我們需要注意確保數據的完整性,這就需要使用哈希函數。

我們必須注意一個問題,如果數據被篡改而無法被發現,那麼電子簽名就可以被偽造,這是密碼學中的一種攻擊方式。因此,哈希函數要確保數據防篡改,以實現區塊鏈的溯源能力。數據的溯源是由哈希函數來保障的,沒有其他技術可以取代它,大家可以放心。世界上沒有其他技術能夠保證區塊鏈的溯源。此外,電子簽名也離不開哈希函數,如果沒有哈希函數,簽名就可以被偽造。因此,哈希函數保證了這三種安全屬性,大家一定要注意。

我對哈希函數進行了十年的研究,一開始我想,全球只有幾個屬性,為什麼有三個屬性離不開哈希函數?而且我們使用的哈希函數要么是MD5,要么是SHA-1,這兩個小小的算法就能保證安全性。這引發了我的研究興趣,幸運的是,我成功地破解了它們。

所以大家可以看到,如果算法能夠確保上述屬性,那麼保護各種功能係統、網絡系統和數據工作系統就變得非常簡單了,我們可以用協議來實現這個保護,而這些協議由密碼算法組成。

在構建密碼算法的協議時,必須滿足可證明安全的條件。經過10多年的歷史發展,TLS終於達到了可證明安全的狀態。對於在線IPsec協議,我們知道當時的WLAN協議並非行業製定的,我們可以看到,行業製定的協議往往需要經歷被破解的過程,最終由密碼學家逐步改進,使其成為可證明安全的協議。這是密碼協議發展的歷史。因此,有時候許多人開發的系統很容易在幾分鐘內被破解,我認為這主要是因為缺乏專業密碼學人員的研究和製定,導致了安全性漏洞的存在,這也包括了3G、4G和5G的3GPP制定的通信標準。

現在讓我們來看看區塊鏈技術。就我個人而言,如果我們接觸實際業務,我更傾向於將其視為一種數據工作模式。數據工作模式必須具備兩個特點:首先,需要由密碼技術來保障數據安全;其次,需要分佈式系統來解決數據的一致性、容錯性和災備性。我們知道,在構建大數據災備中心時,通常會使用分佈式系統來解決數據容錯和災備,並確保數據的一致性。因此,從功能角度來看,區塊鏈可以被視為由密碼技術和分佈式系統支持的數據工作模式。它必須具備防止數據篡改和溯源技術,這是毫無疑問的。

我們的目標是確保大數據的安全,並將數據治理延伸到計算安全領域。今年我提出了一個主題,即計算安全。每年我都會對報告的內容進行調整,今年我開始提出計算安全的概念。計算安全是我從2006年報告國家重點基礎研究發展計劃(973)開始,到現在在科學創新方面的突破,我一直在突破計算安全領域。然而,現在出現了ChatGPT這樣的人工智能技術,我們不得不考慮計算的安全性。我認為無論是通信安全、數據安全還是數據庫存儲安全,都無法代替今天的計算安全。在其中,隱私計算是計算安全的一個子領域。區塊鏈作為一種變革性技術,對於鏈上承載的數據和業務,以及群體工作模式,帶來了新的思路。

我們必須注意,區塊鏈既有鏈上的共同業務和數據一致性,也有各自鏈下的業務。我們必須清楚區分公鍊和私鏈,並梳理清楚業務功能,只有這樣,區塊鏈技術才能得到完善。

區塊鏈的模塊包括密碼技術和共識機制,這是分佈式系統的核心內容。還有分佈式存儲和點對點網絡,正如之前提到的。此外,智能合約相當於一個龐大的籃子或平台,可以將各種高度自動化的業務放入其中。隨著時間推移,這個平台會越來越完善。最終,我們要解決數據業務、數據治理和數據管理的問題,以確保數據的安全性。

要講區塊鏈就必須提到哈希函數。沒有哈希函數,就沒有區塊鏈的概念。當數據庫產生後,IBM希望為我們的文件建立一個快速索引,即為文件提取一個電子指紋,這就是哈希函數的概念。實際上,它與密碼學無關,只是建立快速索引的問題。

在1981年,由於所有的電子簽名都可以被偽造攻擊,這種攻擊被稱為存在性偽造攻擊。於是,兩位密碼學家Davis和Price提出了使用哈希函數來保證安全性的概念。當時這個概念被稱為密碼哈希函數。請注意,密碼哈希函數可以將任何文件壓縮成128、160、192、256、384或512位的比特串,即電子指紋。在簽名時,我們只需對電子指紋進行簽名,無需對原始文件進行簽名。

這引出了一個問題,即電子簽名和數據防篡改。我覺得1981年兩個獨立的密碼學團隊對哈希函數的定義非常完美,至今沒有改變。它可以防止發現任何額外的篡改手段,只有三種篡改手段是已知的。這是了不起的成就。因為在一年內,兩篇論文中,兩個團隊提出了相同或相似的概念。需要注意的是,兩個文件不能有相同的電子指紋,否則無法區分兩個文件的真偽,簽名也是相同的。這就是碰撞攻擊。我本人也研究了碰撞攻擊,證明了MD5的弱點。使用了15台電腦,在32分鐘內找到了碰撞。這是當時為什麼在全球引起轟動的原因,因為它涉及到全球的標準問題。

還有一個攻擊方式是原像攻擊,即已知電子指紋但無法找到原始信息。如果你能找到原始信息,那麼就相當於找到了新的幣,找到了新的數字貨幣,比如比特幣。然而,攻擊者無法通過數據庫中的電子指紋來找到你的口令,只要你的口令是256位的強密碼,破解它將需要數以百萬年的時間。因此,你不必擔心攻擊者通過服務器獲取你的口令。

接下來我們來討論第二原像攻擊。第二原像攻擊是指攻擊者對m1進行簽名後,不能找到一個與m1電子簽名相同的m2,也就是不能將另一個消息的簽名偽裝成m1的簽名。

哈希函數有兩種結構,即MD結構和並行計算結構,數字貨幣的挖掘過程就是尋找一個原像,大家知道尋找原像的過程,目前已經達到了70個0的難度,挖掘的結果就是比特幣。

接下來我將講解共識協議,為什麼我們要使用分佈式系統。大家知道,在挖掘比特幣時,數據必須保持同步,只有在同步的情況下才能進行挖掘。第一個挖出區塊的人將獲得合法的比特幣。大家知道共識協議是分佈式系統的核心技術,關於cft我就不詳細講了,我只介紹拜占庭協議。大家知道,當有三分之一的節點出現故障或惡意行為時,只要有二分之一的節點達成一致,就可以進行投票。此外,我們的共識協議中的2/3投票都是圖靈獎獲得者提出的。

如果沒有密碼技術,攻擊者可以通過控制32個節點來完全控制整個網絡,這就是節點攻擊。在1999年,伊斯科夫使用密碼技術、數字簽名和麥克認證技術提出了帶有節點認證的PBFT共識協議。從2000年到2014年,第二代共識算法如Aliph、BChain和XFT的設計被提出。其中,BChain是超級賬本項目的子協議之一,我的同事是其主要貢獻者。

2014年提出了聯盟鏈的概念,自那時以來,大家都很喜歡HotStuff共識協議,我個人也非常喜歡它,還有Tendermint等。還有一些異步區塊鏈如BEAT和PACE等。大家要知道,我們的拜占庭協議非常適用於聯盟鍊和一些公有鏈。當然,我們一定要利用區塊鏈來構建更加安全的雲。

現在讓我們來看一下列出的比特幣。大家一定要注意共識協議,工作量證明是指挖礦的過程。超級賬本採用的是cft,其中包括Solo/Kafka/Raft。對於Diem(前身為Libra),我比較喜歡的是HotStuff,我認為它比較符合密碼學的可證明安全概念,與簽名相關。

此外,還有Algorand,由圖靈獎得主米卡里提出。最後一個是我們自己設計的聯盟鏈,由山東區塊鏈研究院和清華大學共同設計。大家可以關注迪諾鏈共識,為什麼要比HotStuff更先進更好?

我們來看兩個指標。根據信通院目前公佈的數據,只有我們一家超過了6萬筆交易,即每秒6.8萬筆交易。如果達到10萬筆或20萬筆交易,就不再是單鏈的概念了,大家一定要注意。如果你用一台電腦、兩台電腦或三台電腦進行計算,效率是不同的。因此,在國際上公開的數據中,很少出現超過5萬筆交易的情況。我們公佈的數據是6.8萬筆交易,也是我們評估記錄的數據。所以其他人沒有公佈超過5萬筆交易的單鏈數據,我進行了調研,沒有人說自己超過了5萬筆。這是非常真實的情況,大家一定要注意。我們的測評結果顯示,我們在各種場景中的效率是HotStuff的兩倍,大家一定要記住這個指標。

無論在任何應用環境中,我們的測評結果都是HotStuff的兩倍指標和兩倍效率。共識協議有兩個指標,一個是效率指標,另一個是安全性指標。大家一定要注意,如果我們犧牲了安全性,協議可能會變得更快,但這是不可接受的。我們的可證明安全成果已經在2022年的S&P(Security and Privacy)頂級會議上發表,我們得到了國際認可。它的兩個證明變成了五個證明,一致性變成了三個方面的一致性,活性變成了兩個方面的活性。因此,在進行創新時一定要注意,你需要全面梳理系統的屬性,以證明它是安全的。

現在讓我們來看一下今年的一個突破——大聖。我要強調的是,大聖已經獲得了金融領域的省部級一等獎。大聖已被多家央行數字貨幣橋採用,並已寫入數字貨幣橋的白皮書。我對大聖非常滿意的一點是,我們完成了f+1投票。大家知道,全球通常採用2/3投票機制,但為什麼不能採用1/3投票機制呢?事實上,它是可行的,因為我們已經有一個城市節點,為什麼不能投票呢?

雖然可以進行投票,但其安全性證明非常複雜。我們花了一年時間來證明大聖的安全性,這是一個艱鉅的任務。

我們的大聖共識協議在完成1/3投票後,與HotStuff相比提高了1/4~1/5。在數字貨幣橋中,這意味著交易從1.5萬筆提升到2.5萬筆。需要注意的是,在特定的環境下(例如91個節點的高並發情況下),大聖已經達到了HotStuff的15.8倍。這讓我感到非常欣慰。未來在人工智能時代,節點數量增加後,我們不用擔心,因為我們已經擁有了最先進、高效且安全性證明的新共識協議。

接下來,讓我們談一下智能合約,一定要自己編寫,盡量不要用開源代碼修改智能合約。智能合約是一個非常重要的框架,我預計我們未來的創新大部分都將在智能合約中展開。

每年,我們都會在智能合約中體現當年的創新成果。今年,我們將公佈智能合約中的隱私計算模塊,希望大家能看到我們更好的科技創新成果。在區塊鏈中,我們一定要將智能合約中的隱私計算做好,以保證數據的安全。

我們知道,法律對隱私計算有更多要求,需要滿足安全需求和可控性,必須支持各種安全級別。此外,架構應具備可塑性和可控性,以及算法模塊結構的搭建。我們需要一個可插拔的架構,方便使用和集成。最重要的是,我們需要一流的論文來支撐。涉及實際問題時,我們參考一流的論文比不參考論文做得更好、更快、更多,我們一定要參考最頂級的論文。

最後,我要說的是,我認為區塊鏈有著巨大的發展空間。希望與各位同仁一起,發展和維護好區塊鏈行業,同時做好我們的技術創新。我的報告到此結束,謝謝大家。

-END-