数字钱包安全开发与应用实践.pdf

2 0 2 0 云安全联盟大中华区 - 版权所有 12 0 2 0 云安全联盟大中华区 - 版权所有 2 2 0 2 0 云安全联盟大中华区 - 保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（ h t t p s : / / w w w . c - c s a . c n ）。须遵守以下 : （ a ）本文只可作个人、信息获取、非商业用途； ( b ) 本文内容不得篡改 ; ( c ) 本文不得转发 ; ( d ) 该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区2 0 2 0 云安全联盟大中华区 - 版权所有 3 致谢云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。由黄连金担任工作组组长， 9 位领军人分别担任工作组下的 9 个项目小组组长，分别有：知道创宇创始人云安全联盟 CSA 公众号2 0 2 0 云安全联盟大中华区 - 版权所有 4 序言随着数字经济的发展，伴随着区块链技术而来的数字钱包形成对数字资产管理方式的冲击，对于大部分区块链的用户来说，数字钱包是他们首先接触的用户界面。数字钱包有各种不同的形式，但是都会直接或间接地对数字资产进行控制，或者说直接或间接地存储了可以控制数字资产所需要的私钥。数字钱包安全开发与应用实践白皮书分析各种不同的数字资产钱包，和可能的风险和案例，对于如何开发和使用数字钱包提出了中肯的意见和最佳实践，并且提出了数字钱包安全测试标准。数字钱包的技术和安全随着区块链技术的发展，也在不断的发展，本文档对数字钱包安全进行的系统性分析和建议，希望对终端用户和钱包开发者有借鉴作用。李雨航 Y a l e L i C S A 大中华区主席兼研究院院长2 0 2 0 云安全联盟大中华区 - 版权所有 5 目录致谢. 3 序言. 4 1 数字货币钱包分类使用场景. 6 2 数字钱包安全风险分析. 8 2.1 数字钱包使用过程安全分析. 9 2.2 数字钱包开发&应用技术安全分析. 1 0 3.数字钱包安全案例分析. 1 3 3.1 数字钱包安全事件回溯. 1 3 3.2 用户安全使用引导. 1 3 3.3 数字钱包安全设计. 1 4 4 数字钱包安全设计应用实践. 1 5 4.1 无私钥钱包用户需求分析. 1 5 4.2 企业级数字资产钱包需求分析. 2 0 5. 数字钱包安全测试标准. 2 5 参考文献. 3 7 关于云安全联盟大中华区. 3 82 0 2 0 云安全联盟大中华区 - 版权所有 6 1 数字货币钱包分类使用场景数字货币钱包是用来帮助你存储、管理、交易数字货币的工具，利用钱包中生成的数字货币收款地址（公钥），可以接受他人给你转账的数字货币，也可以把你钱包中所拥有的数字货币资产转账给他人。从私钥存储方式、存储数据量和使用主体三个维度将钱包进行分类介绍：按照私钥存储方式分类，可以将钱包分类冷钱包和热钱包两大类。（1）冷钱包：是指使用时不需私钥接触网络的钱包，网络无法访问私钥，比如专业的硬件设备，也称硬件钱包或离线钱包，一般通过 USB 接口、蓝牙、二维码等方式完成私钥签名。优点：安全等级最高，避免了被黑客盗取私钥的风险；自己真正拥有私钥，不受他人监管。缺点：硬件相对较贵；创建钱包和交易相对复杂，效率偏低；只支持主流币种，一般新的小币种不支持；存在硬件丢失或损坏的物理安全风险。适用场景：交易所、企业、银行、机构、大额持币用户等资产管理安全性较高的场景。（2）热钱包：使用时需要接触网络的钱包，包含电脑客户端钱包、手机 APP 钱包、网页钱包等，也称在线钱包。优点：创建钱包和交易均简单，使用方便，转账效率高。缺点：安全性不足，私钥容易被黑客盗取；手机或电脑丢失，私钥容易被专业人士破解。适用场景：新手、持币数量较少者、频繁交易者用于个人用户数字资产便捷交易（客户端钱包，浏览器钱包，网页版钱包2 0 2 0 云安全联盟大中华区 - 版权所有 7 按照数字货币是否中心化管理分类，可以将钱包分为去中心化钱包和中心化钱包 , 按照存储区块链数据方式，去中心化钱包又分为全节点钱包（重钱包）和轻钱包。（1）全节点钱包：是指需要同步所有区块链数据的钱包。优点：可以实现去中心化，更好的隐私性；可以在本地验证交易数据的有效性。缺点：占用很大的硬盘空间，每次使用前需要同步数据；多币种数字资产支持不好，用户体验欠佳。适宜人群：企业、专业人士主要代表（2）轻钱包，指依赖区块链网络上其他全节点，仅保存和同步与自己相关的数据。优点：占用硬盘空间较小，使用时不需同步数据；可以支持多币种数字资产，设计功能简单，用户体验好。缺点：实现去中心化不足，交易验证相对较慢。适宜人群：个人、小白用户主要代表（3 ）中心化钱包，是指不依赖区块链网络，所有的数据均从自己的中心化服务器中获得，也称链下钱包。优点：平台负责私钥的安全管理，私钥（密码）忘记或丢失可以找回；交易效率很高，可以实时到账，可以支持多币种；钱包被盗，大型交易所一般会给予等值赔偿。缺点：过度依赖中心化，存在平台自盗、倒闭、跑路等风险，另外是黑客重点攻击目标。适宜人群：炒币群体，需要频繁交易主要代表。按照钱包的表现形态分类，分为：网页钱包、浏览器插件钱包、 P C 端钱包、硬件钱包、手机 a p p 钱包。（1）网页钱包：网页形式发布的钱包程序，无需安装，打开即可使用、跨平台，有浏览器的设备即2 0 2 0 云安全联盟大中华区 - 版权所有 8 可。（2）浏览器插件钱包 : 以浏览器插件的形式存在，比如 c h r o m e 浏览器的 M e t a m a s k 钱包插件。（3） P C 端钱包：指电脑终端的数字货币钱包，可以通过这个终端进行操作，不便捷。（4）硬件钱包：指用专业的硬件存储数字货币，将数字资产私钥单独储存在一个芯片中，与互联网隔离，即插即用。硬件钱包是一个实体设备，不能保证 1 0 0 % 安全。只是相对于其他保管手段，这是最安全的储存手段之一。（5）手机 A PP 钱包：目前最常见的，适用于新人的就是 A P P 轻钱包 , 也是大家用的比较多的，相对于网页钱包更加灵活方便，安全性较高。但对于大额的数字资产用来说安全性欠缺，可使用不联网的手机生成冷钱包，联网手机仅用于查看钱包。近几年 A P P 钱包出现一种基于智能合约的钱包，用户可以控制私钥和资产，但是利用智能合约可以增加一些基于区块链的功能，比如 M Y K E Y 、 A r g e n t 、 G n o s i s S a f e 、 A u t h e r e u m 这些，核心风险主要在智能合约这块。我们在第五章安全测试标准对于这种类型的钱包的测试提出建议。 2 数字钱包安全风险分析 2 0 1 9 年 1 月黑客利用 E l e c t r u m 钱包漏洞窃取了约价值 7 5 万美元的 B T C 。 2 0 1 9 年 5 月，黑客入侵币安交易所并盗取了 7 0 0 枚 B T C ，总价值高达 4 0 0 0 万美元。 2 0 1 9 年 6 月 Ga t e h u b 存放用户 A P I 访问令牌的数据库遭受入侵，初步统计已有 1 0 0 个 X R P 钱包信息泄露，损失估计为 1 0 0 0 万美元。 2 0 1 9 年 7 月位于新加坡的加密通证交易所 B i r t u e 遭受黑客攻击，因其风险管控漏2 0 2 0 云安全联盟大中华区 - 版权所有 9 洞，黑客共盗取了价值 5 0 0 万美元的 X R P 与 A D A 。数字钱包安全性问题日益严峻，交易所钱包的安全漏洞、风险管控的疏忽使用户的加密资产面临被黑客攻击、盗取的风险，对加密通证市场的发展产生不良影响，但客观上也为未来数字钱包行业的完善进步指明了方向。 2 . 1 数字钱包使用过程安全分析在加密数字货币钱包的日常操作使用过程中，主要有创建钱包和使用（包含交易，钱包余额查看等）两个环节，针对不同的环节我们整理了软硬件层面大部分的安全漏洞和黑客攻击方式。图 1 - 12 0 2 0 云安全联盟大中华区 - 版权所有 1 0 环节漏洞攻击方式创建钱包随机数 1 2 8 b i t 随机数的随机问题，空间分布不均，缺乏专门的审计流程对随机数进行安全测试随机数攻击助记词助记词保存不安全，助记词强度不足盗取、暴力破解私钥存储 A p p 钱包数据没有加密存储，运行环境存在未知病毒以及操作系统漏洞漏洞利用、复制盗取硬件钱包设备接口过多，未采用安全芯片，软系统过于复杂盗取设备暴力破解私钥使用联网操作存在 H T T P S 及 D N S 劫持风险钓鱼攻击交易环节创建交易交易双方的账号没有二次验证收款账户信息被恶意替换交易签名在线环境不安全，协议设计不严格盗取 P IN 码交易广播操作系统不安全，非私密链接通讯拦截交易表 1 - 1 2 . 2 数字钱包开发 & 应用技术安全分析 1 ) 运行环境的安全风险加密数字货币钱包最核心的文件私钥/ 助记词是存储在终端设备上的，无论是 P C 端还是移动端，终端设备如果出现不安全的现象，对于私钥 / 助记词来说是有非常高的安全风险的。一个安全的数字钱包，在设计之初就应该避免因为运行环境不安全而导致的私钥 / 助记词被盗的可能。终端上运行环境的安全问题主要包括病毒软件、操作系统漏洞等。（1 ）病毒软件和普通的银行客户端或支付 A P P 不同的是，加密数字货币钱包的私钥 / 助记词不具备挂失能力，无法通过对账户进行冻结来降低损失，一旦被盗则资产一定会丢失。一款安全的数字钱包，能否对扫描出的终端环境里面的病毒软件和未知病毒软件进行防御是核心考核指标之一2 0 2 0 云安全联盟大中华区 - 版权所有 1 1 （2 ）操作系统漏洞利用操作系统漏洞，可以轻易的绕过操作系统设计的一系列安全边界或沙箱机制，获得访问加密数字货币钱包私钥 / 助记词的能力。无论是 A n d r o i d 、 i O S 、 W i n d o w s 还是 L i n u x ，每年都有大量的安全漏洞被公开和修复，而这些漏洞里面就有不少高危的本地提权的漏洞。利用这些提权漏洞就可以轻易的打破操作系统的安全设计边界，获得访问用户数字钱包私钥/ 助记词存储文件的能力。目前大多数加密数字货币钱包的安全设计都是完全依靠操作系统的安全边界，对于私钥 / 助记词的存储和处理还是停留在早期的使用固定密钥进行加密甚至直接明文保存，完全依靠操作系统的安全边界来限制其他 A P P 的访问，由于缺乏对于系统漏洞的防御，这些数字钱包的用户如果安装了带有本地提权机制的应用，那么其数字资产将面临严重的被盗风险。 2 ) 网络传输的安全风险网络传输的安全性更多的体现在是否有良好的对抗中间人攻击的能力上。中间人攻击（英语： M a n - i n - t h e - m i d d l e a t t a c k ，缩写： M I T M ）是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全监听和控制。虽然大部分数字钱包应用都会使用 H T T P S 协议和服务端进行通讯，但是中间人攻击方法上是可以通过在用户终端中安装一个数字证书的方式拿到 H T T P S 协议里面的内容。安全的数字钱包需要能够对终端里面全部的数字证书的合法性进行扫描、对网络传输过程中的代理设置进行检查并能够保障基础的网络通讯环境的安全性。在数字钱包的开发中，在网络传输层面是否使用双向校验的方式进行通讯验证也是衡量一个数字钱包应用安全性的重要评判标准。 3 ) 私钥（助记词）随机数生成风险私钥的保管对于用户加密通证的安全极为关键。私钥本质是一串随机选出的一定长度的数字。这串数字控制着通证账号的所有权，因此这串数字相当重要，要具有足够的随机性。在私钥的产生过程中，一般采用密码学安全的随机数生成器2 0 2 0 云安全联盟大中华区 - 版权所有 1 2 ( C r y p t o g r a p h i c a l l y S e c u r e P s e u d o r a n d o m N u m b e r G e n e r a t o r : C S P N G ) ，并且需要有一个来自具有足够熵值的源的种子( s e e d ) 。硬件钱包在私钥的随机性上主要依托于自身的安全芯片进行随机数生成，而有些硬件钱包会采用更为有效的方法生成随机数，例如采集硬件噪声所生成的系统熵作为随机数，或使用自身搭载的摄像头进行环境图像采集，生成系统熵用于私钥产出。 4 ) 私钥（助记词）存储方式风险对于数字钱包的私钥 / 助记词，终端设备的存储方式也是需要在安全性设计上加以注意的。私钥 / 助记词文件存放目录的访问权限、私钥/ 助记词存储的形式和加密算法设计都需要通过严密设计。在对多款主流数字钱包进行安全性分析时，我们发现即便是知名的数字钱包，在私钥/ 助记词的存储上也是比较随意的。既有明文存储的，也有虽然是加密存储但是解密的密钥却是在代码里面固定写死的，起不到任何的安全防御作用。 5 ) 应用自身的安全风险数字钱包应用自身的安全风险主要集中在应用安装包自身的安全防御上。应用安装包是否具备抗篡改能力是非常核心的技术能力。另外，应用运行过程中的内存安全、反调试能力、私钥 / 助记词使用的生命周期管理、调试日志的安全性、开发流程的安全等方面也是需要去设计增强的。 6 ) 数据备份的安全风险如果数字钱包应用的数据能够被备份出来，就可以使用计算性能更加强大的机器对私钥 / 助记词进行暴力破解。举例来说，如果 A n d r o i d 属性设置为允许备份，那么就可以利用系统的备份机制对应用的数据文件进行备份，而加密数字货币的私钥 / 助记词也就被备份到外部介质了，这就从另外一个方向打破了操作系统的安全边界设计2 0 2 0 云安全联盟大中华区 - 版权所有 1 3 3 . 数字钱包安全案例分析 3 . 1 数字钱包安全事件回溯 2 0 1 8 年 1 2 月 2 8 日，知名比特币钱包 E l e c t r u m 遭受新型钓鱼攻击已经损失近 2 5 0 个比特币（约 9 1 . 4 万美元），黑客利用僵尸网络发动约每秒 2 5 G b 的恶意流量阻塞服务器，然后劫持服务器并诱导用户跳转钓鱼网站。这个钓鱼网站声称用户需要升级钱包客户端并向用户提供携带后门的版本，用户升级后比特币会被立即转走。 2 0 1 9 年 6 月 5 日，用于安全存储 / 处理 X R P 的钱包和网关 G a t e H u b 中大约有 8 0 - 9 0 个受害者受到黑客攻击，被窃总量大约为 2 3 , 2 0 0 , 0 0 0 瑞波币。没有确凿证据指向攻击的源头，攻击的发生可能有各种方式，包括钓鱼、 G a t e h u b 账户被黑客攻击， G a t e h u b 包含用户私钥的加密数据库被盗并且被离线暴力平均等。 2 0 1 9 年 1 0 月 1 1 日，网页加密货币钱包 S a f u w a l l e t 被黑客通过注入恶意代码窃取了大量资金。 2 0 2 0 年 7 月 2 5 日，数字钱包 L e d g e r 的数据库被未经授权访问，导致数据泄漏。泄漏的数据包括电子商务和市场营销数据。付款信息和加密资产是否安全，外界不能确定，虽然 L e d g e r 官方认为是安全的。 L e d g e r 的公告声称黑客利用被盗的 A P I 密钥用于未经授权访问数据库。目前 A P I 密钥已失效。 3 . 2 用户安全使用引导必须要对私钥或助记词加以备份保管，放在不同安全地方，备份后并进行验证，备份信息不要接触网络。钱包下载时官网下载最安全，下载后可以通过检验哈希值是否和官方公示一致的方法进行验证真伪，其他下载渠道就尽量不要使用。及时更新数字钱包版本，防止最新的安全漏洞给黑客攻击的机会。一般个人用户而言，选择中心化钱包，不用担心私钥备份和丢失问题。对于持币量较大的用户，或者长期投资不做频繁交易的，需要选择专业的硬件2 0 2 0 云安全联盟大中华区 - 版权所有 1 4 冷钱包。对于去中心化钱包，私钥交由用户保存，重视钱包安全核心要素的手动备份。建议通过相对原始的方法来手动记录，远离截图、复制等一切电脑操作，养成良好的上网习惯，将风险降到最低。条件许可的话，可以考虑专门用于数字钱包的手机，不下载其他任何移动应用。 3 . 3 数字钱包安全设计 1 . 网络传输安全大部分数字钱包应用都会使用 H T T P S 协议和服务端进行通讯，但是中间人攻击方法上是可以通过在用户终端中安装一个数字证书的方式拿到 H T T P S 协议里面的内容。安全的数字钱包需要能够对终端里面全部的数字证书的合法性进行扫描。在数字钱包的开发中，在网络传输层面是否使用双向校验的方式进行通讯验证是衡量一个数字钱包应用安全性的重要评判标准。 2 . 接口调用权限安全钱包本身只是区块链世界的接口软件，目前很多都是使用 R P C 调用相应接口，这样调用过程对数据传输的权限控制是数据通讯时的安全之本，对代码和各种场景的设计要非常仔细。远程过程调用时安全策略：如在以太坊钱包节点 G e t h 上启用远程过程调用访问时，千万不要允许带有解锁账户功能的远程过程调用的外部访问等。 3 . 客户端文件管理安全文件安全主要考虑的是安装在用户端的文件是加密并不可被破解的，以及对用户的一些禁止性操作或者增加对某些风险操作的不便利性来降低用户造成的风险。 1 ）抵御终端不良程序对关键文件的访问加密数字资产钱包最核心的文件私钥/ 助记词是存储在终端设备上的，无论是 P C 端还是移动端，终端设备如果出现不安全的现象，对于私钥 / 助记词来说是有非常高的安全风险的。一个安全的数字钱包，在设计之初就避免因为运行环境而导致的私钥 / 助记词存在被盗可能，比如增加用户操作要访问到核心文件时必须进行人脸识别或者短信2 0 2 0 云安全联盟大中华区 - 版权所有 1 5 确认的功能等。 2 ）终端关键文件加密对终端关键文件采用高安全的加密方式，防止普通程序访问，或者即使关键文件被复制出去，第三方也不能轻易破解的功能。在设计钱包时需考虑实际安全操作性采取限制直接导出关键文件的操作，或者允许导出关键文件但是解密方法以不能进行任何操作的显示方式，供用户手动记录。 3 ）助记词等关键信息生成和管理对于钱包的核心关键信息，如助记词、私钥、 K e y s t o r e 的生成和管理需充分考虑安全性。这三者的设计原则和思路基本相同，以助记词为例：为确保客户端生成助记词，不能经过任何云端或者服务器，这是去中心化钱包的核心，任何访问助记词的过程都需要用户主动确认，如上面提到的人脸识别或者短信确认的功能等。 4 . 开发扩展安全考虑到钱包作为区块链的接口端，对应用扩展需求很重要，所以设计上需严格控制开放端口的权限，确保通讯只是公钥签名。同时对应用程序要严格审查是否具备抗篡改能力的核心技术能力，以及应用运行过程中的内存安全、反调试能力等。除此之外，考虑到用户密码忘记的风险，可以考虑采用多签方式增加各种应用场景，如密码找回功能等。 4 数字钱包安全设计应用实践 4 . 1 无私钥钱包用户需求分析加密货币钱包一直被认为是未来加密数字经济必中不可少的基础设施。传统的加密钱包提供的解决方案是，基于密码学生成公私钥，用户通过手中的私钥来验明自己的身份，从而获得资产的控制权。但私钥的存储方式十分考究。没有了私钥，就失去了资产的掌控权，几乎所有传统钱包都在用户注册时就提示用户使用物理方式记录自己的私钥信息。出于手机的私钥存储文件可能遭遇病毒、误删清理等方式等威胁。手动抄写纸质2 0 2 0 云安全联盟大中华区 - 版权所有 1 6 版私钥的方式相对更安全、隐蔽。但这样的操作逻辑对于初级用户来说是非常不友好的，不仅私钥的概念增加了其理解负担，物理存储私钥的模式也一样有丢失风险。如何在妥善保障私钥安全的前提下提升钱包易用性，是钱包开发者永恒的命题。因为丢失助记词而导致自身加密资产无法找回的情况屡见不鲜，根据 2 0 1 9 年 C o i n m e t r i c s 发布的报告：有近 1 7 0 万枚 B T C 已经丢失。许多钱包在创建的过程中，也都要求用户手抄助记词以防止在联网环境下被转移资产。为了保证资金的安全，助记词（或私钥）的保管就需要足够的小心，一方面我们要进行备份，以防私钥丢失，另一方面由于备份也会增加被盗风险，这也是钱包糟糕的体验的一大原因（安全与体验需要权衡折中考虑）。因此，如何在保障用户资产安全的同时摆脱对私钥 / 助记词的依赖，更好获得区块链钱包的用户体验，成为越来越多团队的研究方向。门限签名技术实现 “私钥自由 ”：为了提高资产的安全性，尤其是大额资产，目前通常有这三个方案：多签签名（ M u l t i S i g ）、密钥共享（ S e c r e t S h a r i n g ）模式和门限签名 ( T h r e s h o l d s i g n a t u r e s ： T S S ) 方案。多签签名（ M u l t i S i g ）如果大额的资产，通常会使用多签（ M u l t i S i g ）的方式来分担风险与责任，多签通常需要有多个私钥（ N ），只有当其中的 M 个私钥参与的签名，才可以动用资产，因此正确使用（不把私钥放在一起，由不同的人保管），确实可以提高安全性，因为即使部分私钥被盗或丢失，资产依然是安全的。多签可以理解为一个有多把钥匙的保险柜，使用多签签名时，还应该避免私钥复用，私钥复用会增加私钥泄漏的风险。多签签名通常使用链上合约（或脚本）实现，这也给多签带来一个缺点：需要支付更高的交易费用以及多人异步签名导致的更长的交易确认时间。密钥共享（ S e c r e t S h a r i n g ）与多签不同，密钥共享模式 ( S h a m i r s S e c r e t S h a r i n g ： S S S ) 可以理解为一个把钥匙分层多个部分。通过将密钥分成多个部分并以冗余方式分开保管，发起交易则将一定数2 0 2 0 云安全联盟大中华区 - 版权所有 1 7 量的密钥重新组装为密钥进行签名，这个方案也可以解决密钥被盗的风险，同时解决了上述多签费用高的缺点。不过 S S S 有一个主要缺点：当密钥被重新组装时，会为攻击者提供了获取密钥的可乘之机。门限签名 ( T h r e s h o l d s i g n a t u r e s ： T S S ) 方案门限签名方案（简称： T S S ）结合 S S S 和多签的优点，它基于多方安全计算 ( M P C : M u l t i - P a r t y C o m p u t a t i o n ) 使用多个分片的密钥轮流进行（交易）签名，生成最终有效的签名。 B i n a n c e 门限签名方案（ T S S ） T S S 作为一种分布式密钥生成和签名的加密协议，通过分布式的密钥管理方式让私钥不再成为钱包和资产托管的最脆弱的环。允许构造一个在不同参与方（例如三个用户）之间分发的签名每个人都只持有部分私钥碎片，为了进行交易签名，需要将至少两个用户的签名数据整合在起才能构建有效签名。对于个人而言，门限签名机制可以帮助使用持有的多个设备共同管理私钥，从而使单个受损设备不会对资产造成风险。对于业务运营商，门限签名机制可实现更好的访问控制策略，以防止内部或外部员窃取公司资金。 T S S 技术使我们可以用分布式计算替换所有签名命令，从而让私钥不再成为一个单点风险。门限签名方案跟前面多签和 S S S 方案不同的是：多签通常是需要 M / N 个签名，而门限签名（目前）需要多方都参与签名。多签通常是链上进行的，费用较高，并且不同的链多签的实现方案差别很大。而门限签名是链下的纯密码学的计算生成签名，兼容性更强。多签是可以异步进行签名，而门限签名要求所有参与方在操作过程中都同时在线。 T S S 和 S S S 不一样在于， S S S 虽然分片密钥，但是最终要重构出密钥来签名，那么就存在单点故障和重构出的密钥被泄露的可能。而门限签名（ T S S ）不需要重构出密钥2 0 2 0 云安全联盟大中华区 - 版权所有 1 8 基于门限签名技术的无私钥钱包解决方案 Z e n G o 2 0 1 9 年 9 月，以色列加密货币钱包 Z e n G o 发布了 2 . 0 版本，旨在借助突破性的加密技术，打造了第一款无私钥安全加密钱包，将安全性分布在自主可控设备与钱包服务器之间，无需担心私钥，即使被黑或者丢失了钱包，资产也始终安全，通过完全自主的控制钱包来获得最大的安全性体验。 Z e n G o 基于门限签名技术方案采用将单个私钥拆分为多个私钥碎片 ( 目前是两个部分 ) 由约定多个参与方各自保管的模式。这里我们将其中一个密钥保存在用户自主可控的设备上，另一个存储在钱包服务器上，在进行交易的时候，手机和钱包服务器通信共同完成签名。这套机制和中心化的钱包完全不一样，只有用户本人才可以发起转账，钱包是无法使用用户资金的。如果需要发起转账，用户需要主动发起，然后服务端和客户端将会使用这两个密钥份额进行通讯并签署转账请求，但不会将这两个密钥本身暴露给对方。备份钱包也是相当简单的。一份加密过的客户端持有的密钥会储存在钱包服务器中，而解密的方法是单独存储在用户个人账户中，只有用户本人的面部 3 D 扫描图才可以用来进行解密。所以如果用户不小心删除了钱包软件，或者不小心遗失了手机，都可以在几秒钟之内恢复钱包，因为只需要扫描面部就可以取回备份数据。钱包不仅使用了无密钥机制，还使用了无密码授权机制。使用期间不需要记住任何的密码，因为他们采用了一些方法才到达了这种既方便又安全的方案： 1 . 通过魔法链接授权，也就是依赖邮箱的安全性。当用户通过邮件注册的时候，将会发送一个魔法链接给用户，点击后即可完成授权。 2 . 基于设备的授权，也就是依赖设备本身的安全性。当用户使用 A p p 签署签名时，需要使用面容 I D 或触控 I D 进行授权。 3 . 基于面部 3 D 扫描图的授权，也就是依赖钱包提供的解决方案。当用户需要跨设备恢复账户时，就需要使用面部 3 D 扫描图进行授权。除此之外，钱包还提供了方案应对服务关停的风险：钱包构建了第三方独立的托管服务 E s c r o w 和监听服务 T r u s t e e 。 E s c r o w 可以理解为是钱包服务器的一个备份，而2 0 2 0 云安全联盟大中华区 - 版权所有 1 9 T r u s t e e 则会监听钱包服务的状态，当 T r u s t e e 发现钱包服务关停时，它会请求 E s c r o w 把对应的服务器端的恢复密钥转移到 T u s t e e 指定的 G i t H u b 账号（ h t t p s : / / g i t h u b . c o m / Z e n G o - T r u s t e e ）。钱包（客户端）会在每次启动时，判断 G i t H u b 提供的恢复模式，如果是恢复模式就自动进入恢复模式，从而还原客户端的私钥，这个私钥可以直接进行交易签名进行资产转移，也可以把这个私钥导入到其他的钱包。总体来说，这种数字钱包安全设计方法照顾到用户失去私钥和 Z e n G o 作为企业倒闭后，钱包的系统能够继续运行，用户的私钥可以恢复。因此是一个非常好的设计。但是，也需要注意 E s c r o w 和 T r u s t e e 合谋的风险，和黑客攻击 T r u s t e e 指定的 G i t H u b 账号引起不必要的恢复模式和由此可能造成的合成秘钥被盗的风险。除此之外 I m t o k e n 也是这类安全实践的典型， I m t o k e n 充分利用设备安全沙箱机制，将加密后的 K e y s t o r e 文件存储在手机设备的安全沙箱内，防止其他程序恶意读取及由此造成的用户资产损失。并通过标准的 K e y s t o r e 文件方式进行加密存储，助记词通过业界标准方案 K e y s t o r e 方式加密保存在手机内部，并设置加密次数为 1 0 2 4 0 有效防止暴力破解的可能。其升级后的硬件钱包 I m k e y 在此基础上加入了更加成熟可靠的安全机制。 1 ）安全 P I N 码保护机制安全 P I N 码是打开硬件钱包的密码，硬件钱包所有行为操作均需 P I N 码验证通过后方可执行。在 5 分钟内 I m K e y 硬件钱包无按键行为操作则自动锁屏，需要重新输入正确的 P I N 码才能继续使用。为防止钱包遗失后 P I N 码被暴力破解，系统内置安全保护机制，当 P I N 码输入错误次数达到 5 次以后，钱包将会被自动销毁，私钥数据从硬件钱包完全清除，只能通过重新导入助记词方式恢复。 2 ）真伪验证机制 I m K e y 硬件钱包在初次使用时，会进行一次服务端安全认证。托管在云服务商机房内的专用设备加密机会对 I m K e y 进行真伪认证，只有 I m K e y 官方渠道发售的 I m K e y 硬件钱包才能通过验证。从根源上避免因为伪造和仿冒的假钱包给用户造成资产损失。 3 ）应用验签机制2 0 2 0 云安全联盟大中华区 - 版权所有 2 0 钱包内的应用程序可以负责进行数据签名功能，为防止恶意应用被安装，应用程序签名只能由核心负责人