清华大学密码学博士吴彦冰带你揭开区块链密码学神秘面纱,了解区块链技术原理% L* ]6 @$ O" m2 G- X
& N* C% y T: R4 j, \/ o
@* j7 o7 p- [+ A4 {
, K4 i% O5 o* q* L. K1 D* D- X8 q* m0 M) C1 W* {. f8 f: l
, _ C6 a$ }6 L G9 v8 W/ s主持人' X8 E& E1 G: W4 o& `+ ?9 i7 i
我们从中本聪开天辟地之前聊起。我们都知道区块链诞生于比特币,而比特币诞生于密码学。那么纵观密码学发展历史,经典密码学和现代密码学的区别是什么?工作原理是什么?吴博士5 ?% T# |, s8 ]6 ~' N: J2 B! @
经典密码学和现代密码学区别还是非常大的,比如说经典密码学里面最典型代表比如拿凯萨密码来说。我们现在来看他是非常的简单,就有一个相当于是密码表进行置换。我们可以在里面进行一个置换可以将字母A换成C,可以将b换成D,进行一个混淆。解密的时候也是同样的原理,根据密码表反向回来就可以了。凯赛密码,我们是可以通过统计学分析出来的。比如说统计人类最常用的字母是o,假设密文里出现的最多的字母是r,我们就可以很大程度认为o被置换成了r。但是现代密码学就非常的不同,密码的安全性不是想传统密码一样依赖于加密解密的流程,而是依赖于密钥。现代密码学基本上是非常科学的,是基于一些,数学难题或者是数学体系,进行设计的。就比如说RSA就是基于大整数难分解问题设计。椭圆曲线签名就是基于离散对数问题设计的。 {- o) W1 V. F0 c' E. k
2
; n% O5 B( }& C' |主持人1 G9 `6 ~/ G; a9 y6 z* Z
中本聪并不是第一个尝试将密码学加入到货币中的人。在他之前有一些密码学学者有过尝试,比如PMoney等,那么之前关于密码学的加密货币尝试为什么会失败?. w- E, g( @3 u
2 i3 P9 V0 ~" g1 ~" \+ Z吴博士
' C; B6 Y+ P3 P8 x: x最早将密码学用于货币中的应该算是大卫乔的ecash。他使用到了密码学里面的盲签名技术。盲签名通俗的来讲就是签名人不知道自己签名的内容是什么,银行通过盲签名技术来完成铸币工作。ecash之所以失败主要是,最早不能解决双花问题有很大的关系,还有与ecash的性能和可用性上有一些关系。
& }$ U/ `1 v+ ~2 @; W2 G3+ x3 ~0 H' j3 B$ ^) Z; T# Y
# e. _: {9 F. `: C! |
主持人
6 |+ R, e* t7 J/ u) P4 B) D" p* i
/ R% a2 ^$ \+ p, {
2 k2 P; S) h1 [5 B0 B1 T+ i! C刚说到双花的问题,我想问问为什么会出现双花?比特币是怎么规避双花问题的?
2 Q# E6 V, j: p, t
8 N6 g+ P' m m# m) U+ n吴博士( M9 g/ B8 J* X. v9 p/ F+ d
$ P0 l$ M0 C J3 C9 ~3 R+ g+ y. o" n
8 W( r: z. ]- a* w( i# y
双花,即一笔钱被花了两次或者两次以上,也叫双重支付。ecash是通过设计了一种可撤销匿名性的盲签名来解决双花问题的。; q9 c, r4 a3 }3 x( T
) s6 w; N8 p* ~ {3 R
在比特币中,双花攻击一般会和51%攻击一起使用。那是怎么实现的呢。比特币会选取最长的一条链来当做主链,我们可以在一个包里打包一个交易比如说我在一个区块里进行一笔交易,这笔交易是转给a的。我拥有了百分之五十一的算力,可以使这个区块进行分叉,我在分叉的区块里进行了另一笔转账,将同样的币转给了b,这样同一个币就花了两次。防止51攻击非常困难,就像互联网中防止DDOS攻击是一样的,但是进行51%攻击的难度也非常大。2 V$ t( ?5 V, ^3 Y% i1 k- m
/ l1 g/ V" ~9 l5 { [
" t" }! i" {3 ^ S. X
4
( k3 N% N6 N8 g. ]9 |7 r0 z
0 O8 s" K$ |1 c; _/ r/ I$ ]: h主持人
+ D1 g7 T! p, J1 L1 ?7 x* u1 S7 ?
7 |5 A2 x- L: t5 c" d$ Z7 z
2 b5 p# P3 @* x6 e除了双花之外,大家说起比特币,还常提到拜占庭将军问题。所以也想请您给大家科普一些PBFT共识的知识,比特币是如何解决拜占庭将军的问题?
8 X2 F, X9 J! s2 J4 T
6 h$ y4 B; } p" n9 G# ^+ r( _吴博士# i/ s! R) m2 ^6 w1 B! g
5 P# r V0 h. n+ u" r5 U. y& a, x9 d# q
BFT这个问题是在区块链没有产生之前就已经有了,是兰帕德提出来的,是拜占庭将军问题的一个解决办法也是解决计算机中一致性问题的一个解决方案。
! k) m6 F1 [1 ?9 {/ V& i2 t8 {% L" @- \
那么什么是拜占庭将军问题,其实拜占庭将军问题是兰帕德的讲的一个故事。古代的拜占庭帝国,他们的军队非常多但是不能集中在一个地方,他们分别住在不同的地方,他们要去发起进攻的时候要同时发起进攻,不然的话就会战败。拜占庭将军问题就是解决驻扎在不同地方的将军如何形成统一的进攻或撤退指令。; M, z3 [0 z( d/ x( r& T
; A0 F+ k8 ~% C2 m* [" i
主持人这里提到的PBFT,P就是现实可用的,也就是实际可用的拜占庭将军问题解法,因为在PBFT之前提出过很多BFT的解法,但是都不是多项式时间的算法。IBM主导的超级账本中就有使用PBFT作为共识,但是PBFT随着节点的增加,通信成本会大大增加,所以PBFT通常用在联盟链中。
. |$ }% a! m1 W" Q5 [ {$ I8 m" F( c. F" ]' n
具体的关于这个拜占庭将军问题我在抖音里面有录三个小视频具体的讲他是怎么解决这个问题大家如果感兴趣可以关注我的抖音wuyanice。" m6 |" W0 z9 E" W: |
2 O: H6 Z& b3 m# H$ X
那么比特币是怎么解决这个拜占庭将军问题的呢,就跟上面我们回答的问题是一样的。比特币通过POW共识来解决这个拜占庭将军问题,相当于有这么多个将军,这些将军共同去计算一道难题,然后谁率先解决出这个问题的答案谁就可以发号施令,大家都要听这个将军的。
0 L, W$ N& H- Y
. s6 w' I0 `/ ]. L5 c" ^5 |7 y0 Z6 O* T1 z2 `' s* [2 ?. V
! M# C- B; A5 z3 \+ U' L主持人
" ]$ ?/ s7 p# H我以区块链特性来理解故事中拜占庭帝国将军驻扎的形式就是分布式驻扎所以其实共识是解决问题的关键的。
+ Q) L1 h* `1 z8 j4 H# M3 b: F5+ n4 j1 [2 J- u2 r5 P
; f5 A' E, I& O0 y) e y' |2 }主持人/ N `2 ?4 F8 z6 q, m
目前区块链中POW,POS,DPOS共识算法的区别,能不能通俗形象的给大家解释一下?& T: ]; \# a( L. o& Y
! W9 \) M. o0 |9 L( U" z/ k+ T4 b1 m5 \吴博士 K7 v8 _ k3 v3 p {" j% M
共识算法最开始是为了使区块链的账本达到一致,最开始中本聪使用的POW这个共识算法,在之前有用过比如像处理垃圾邮件问题里面。POW也叫工作量证明的方法。可以举个简单例子什么是POW,POW就好比是去计算一道数学难题,比如说一加一是难题,我们在规定时间内谁先计算出这道数学难题谁就会获得打包权,谁就可以打包区块,之后可以广播给其他人。POS是什么呢,做一个简单的举例,POS就好比是股份制的公司然后谁拥有的币越多就相当于拥有的股份越多。拥有股份越多就相当于对这个区块链掌控度越高。比如说拥有了百分之八十的币,相当于区块链上的打包百分之八十都听这个节点的。DPOS是什么呢,我们也举一个简单的例子,DPOS就相当于是民主制的选举,最典型的应该就是EOS使用的DPOS,每次社区会选举二十一个超级节点,这些超级节点来管理这个链。
* G# u+ p2 \' k V2 }5 X, I0 L# G, K. ]5 Q1 Y- F
主持人
$ e) |8 R( f/ i, e& m0 j那我简单总结一下,POW工作量证明就是谁速度最快谁获胜,POS机制是谁实力最强谁获胜,而DPOS机制是谁获得的社区支持更多谁获胜。
6 r3 x, Z I2 u5 d1 V4 s62 }/ S# \* U( h' l. k
# B' \+ ~# D6 q# A9 H4 r主持人
7 k# c# k2 d: A5 F- O. C那么除了上面提到的几种共识方式之外,有小伙伴对零知识证明也很感兴趣。什么是零知识证明呢?
; x1 X1 c+ w) O, v* p% Y+ h- F8 p( `2 P7 S6 ?4 Q. t
吴博士
0 E7 c6 F$ t4 O2 h' Q7 i# j& n$ i! |: ^, W* n2 @
9 J/ d3 u1 k y" ?
零知识证明,具体的来讲其实应该叫做零知识的知识证明。我们就要讲什么是知识证明,知识证明就是相当于,我知道一个知识,我要去向你证明我知道这个知识。那么什么是零知识证明,就相当于是在证明知道这个知识的时候,我没泄露任何关于这个知识的信息,只是想你证明我知道这个知识,但你不知道是什么,你还能相信我是知道的。3 u" e. \& K" t7 B# g% O
! b$ p( ~* Q I1 [
举个简单的例子来说什么是零知识证明,就比如说阿里巴巴知道开门的咒语但是他要去向强盗证明他知道这个,但是不能把这个咒语告诉强盗,这个就需要用到零知识证明。阿里巴巴会对强盗说你们离我一箭的距离,用弓箭指着我,你们举起右手,我念咒语打开石门,举起左手,我念咒语关上石门,如果我做不到或逃跑,你们就用弓箭射死我。这样强盗就不知道开门的咒语但是又能相信阿里巴巴知道咒语
9 ~+ s0 m- ~: m( h' C, y! G
6 u: l& H& c& [1 E8 A
9 g i$ n, U8 [4 ^7 r7/ E, F9 m; E6 t" z% w3 C6 E0 \4 _
, i- `! b& O. ]3 S6 P6 O# W+ V主持人9 t; j/ r3 m* a* L8 i! f7 `# l
0 }/ P, V1 h, F% d1 S) n* J; ^
' p r# e/ c1 N吴总给我们的分享确实是少见的通俗易懂,那么我们在许多介绍零知识的文章里都能看到完备性、可靠性、零知识这样三个特性,但是少有文章给我们解释背后的深意,它的可靠性和面临的挑战又有哪些呢?) V& a1 X9 f8 u0 u* w
! M5 [! c' m% w% w, [2 z) V吴博士/ w0 `/ e3 k# t6 u& c$ t
# d/ h6 k/ F; N& ~: w1 X( |( d2 F
2 u( z/ i5 l R完备性其实是在数学里面给出了很规范的定理。这里我就通俗的解释下什么是完备性,完备性就是说这个证明通过一定的步数之后是可以给出最终答案的,要不接收这个证明,要不然否定这个证明。可靠性就很好理解了,就是说这个证明协议是可靠的,知道知识的情况下可以给出证明,不知道证明的情况下是无法给出证明的。7 L; r, |4 o# F1 T
, i2 |' ^' f) O) ?/ c( `0 ?7 q" ~零知识性我上面就有提到,就是在给出证明的时候不会泄露任何与知识有关的信息。像zcash就使用了零知识证明来保证匿名性。面临的挑战就是性能和可用性的问题,目前用在匿名上的零知识在产生证明上非常慢。所以无法保证在实际中是可用的,就是说交易的时间会特别长
0 L4 U- z& F& M! H
8 x9 }+ _; n; ]7 [% n: t: w) G7 G9 ?5 g* j
8& ?6 G( v$ l$ Z$ q- y
9 L* `. m# H. P1 \) N主持人
+ L H7 u g& ]. ]/ S( y' [% S' i3 M$ T( u7 P) G
- I; m. O z: @说到匿名性,我想到了隐私保护,也想请问区块链技术和密码学是如何实现隐私保护的?
% D2 L+ M$ d2 f+ Y9 w2 P1 r. b6 p+ K* y; c2 {
吴博士! r0 P; @2 Y( o b
& [, k" d% h0 @ q
- A2 L* Z8 |+ ~4 ^0 l最开始的时候比特币被认为是匿名的,但是后来通过一些手段可以分析出来某个地址对应的人是谁,这样比特币就失去了他的匿名性就成为了一个伪匿名的。后来通过密码学手段上有三种方法来实现匿名性,一种方法是通过混币的方式进行的,就是讲所有交易杂糅在一起,最简单的混币就是把币冲进交易所再提到一个新地址。第二种方法就是使用零知识的方法,一个使用零知识证明的最典型的就是zcash。第三种方法就是通过环签名的方式进行匿名,最典型的就是门罗币。
A! F) s7 x) c4 d- r0 T, _1 g2 v
2 y& D: Z) m/ I6 E3 |; C% ~9
1 V/ R/ ]# e! y" L. ?
8 d& p- t9 Q6 E" z' E1 i0 {主持人- H8 \: q' B5 [ }; m V
5 l4 I+ U! U! O) B
; ?8 p! I; M) z2 H7 W! n& }# `+ |
众所周知,区块链是依赖于哈希算法和其他加密术,在现有算力下是难以破解的,不过近几年有量子计算机对区块链的影响这个话题一直围绕着我们,看了很多相关的文章说面对量子计算机,现有加密技术面临被破解的危险,那么我也想问问您对量子计算机可能给区块链技术带来的冲击怎么看?& Y' h. Y( O3 n$ z4 ?$ I# r
8 c8 o& V) O$ G: v
吴博士1 b: R& `: g% ^- i" A
5 S6 O! W0 f# a3 f. N
" J2 s d) W; B( o9 }
量子计算机会给现有的非对称密码带来很大的冲击,因为现有的公钥密码体系都是建立在困难的数学问题上的,量子计算机能在很短的时间内破解这些数学难题。在区块链里主要是交易签名这块。不过已经有很多学者在研究抗量子密码这方面了。* n$ W3 }' M2 w0 a" O0 z
0 c+ i" @# v1 u1 P4 V
' A+ |' J5 i9 d; R: e k
10
- A+ S0 i ~2 H2 [& C# J) ?- J2 g& K( I( b5 {, z) P r- d
主持人
. v! g8 ]) e; L F. U4 c9 S P8 d# E+ o$ M+ p
2 G6 l/ @. c" _/ x
也就是说这个冲击是巨大的,那量子计算与区块链之间的关系是挑战还是抹杀?它们各自的优劣势都有哪些?能协作共存吗?8 I! S& i! w5 X7 i- r- M* H
) K! g3 C3 Z2 T
吴彦冰. R# ?, e3 h( Y( Q! l: D' k
2 p4 }$ |0 M6 r& e0 J
- z+ ?: u% j- I( e( r* H) J
就和我上面说的一样,现在很多学者都在研究抗量子的密码算法,有基于格基的。现在的抗量子密码算法中私钥过长,地址也会非常长。但是我相信之后的抗量子密码肯定会用在区块链上,所以大家不用很担心。
3 E6 N( o/ S: M' R
) d' l. b* y% K) x. P
1 |' n" w2 ?0 c# G% _11$ [, u7 F$ m1 g# J5 E
* @, v9 B; A7 G1 s. Y主持人
. }( b' v% t6 R! D6 `9 U& k, T- C; i; g- n( l% j$ e4 R. Z' x. ]
. `' A& ~ s$ ~) S7 i# a) m1 D3 T D
我还有最后一个问题,在区块链这一行,一直有两个圈子,一个是币圈,一个是链圈,币圈通证派的观点认为通证是区块链的灵魂,而链圈的观点认为区块链技术只是去中心化公开透明的账本,安全加密,无需代币,您是怎么看待这个问题的?
3 F& ~, n# L# d9 T' t( t, I/ K: w7 M8 [
吴博士$ d2 L x+ s! ]7 x4 j* d
8 t+ j, X& b1 J9 H
+ [, V1 u8 }7 k无币区块链就相当于是分布式账本吧在上面没有任何激励,比如说像IBM提出的超级账本,比如说像一些联盟链中使用的分布式账本。其实这个B在区块链中作用还是非常大的,他相当于是进行一个激励,可能没这个激励的话,这个系统非常非常难以进行运转。但是可以用在一些联盟链中,由特定的节点负责这个链的运转。$ R! L6 E( J, e# O6 t, ]5 W$ a
' W) [7 F0 m7 g! U0 e X/ [
# J+ J( b* A+ F* H/ x9 m. @$ q5 F: N
|
|手机版|Archiver|
( 桂ICP备12001440号-3 )|网站地图
发表于 2020-3-24 09:40:02