如我们所看到的,把比特币放在你的个人电脑里就像把钱放在钱包里带着,这叫“热储存”。这很方便但很不安全。而另一方面,“冷储存”是离线的,把比特币锁在其他地方。冷储存不联入互联网,是封存起来的。所以相对安全和保险,但是很显然不方便。这就像你带着一些零钱出去,但是把终生积蓄锁在保险箱里的道理一样。
要分开热储存和冷储存,你也必须要用不同的私钥,否则如果热储存被人破坏了,冷储存也会处于危险之中。你也需要把币在两边转来转去,这样两边都需要知道对方的地址或公钥。
因为冷储存是离线的,所以热储存与冷储存无法通过网络相连,但其实冷储存不需要上线就可以接收比特币——热储存端知道冷储存的地址,所以它随时可以给冷储存转账。当你觉得你的钱包里的钱太多的时候,你可以把一部分的币转到冷储存,但不需要让冷储存上线而暴露自己。当然,只要冷储存上线,就可以接收到区块链的转账信息,然后可以随意处理这些比特币。
但管理冷储存有一个小问题:一方面,为了私密性和其他考虑,我们希望使用不同的地址(这些地址有不同的密钥)收款。所以我们把比特币从热储存转到冷储存的时候,要用一个新的冷储存地址。但是由于冷储存不上线,所以热存储端必须要能找到这样的地址。
一个直接的解决方案是让冷储存一次性生成一批地址,然后把地址列表发送给热储存,热储存可以依次使用这些地址,当然,这个方法的缺陷是为了传送地址,我们不得不经常让冷储存端上线。
分层确定性钱包
一个比较有效的解决办法是使用一个分层确定性钱包(hierarchical deterministic wallet)。这个方法可以让冷储存端制造无限制的地址数量,然后通过一个短暂的、一次性的交换,让热储存端知晓所有地址。但这需要使用密码学的技巧。
回想一下,我们在第1章谈到密钥生成和电子签名时,我们使用了“generateKeys”来生成一个公钥(也就是地址)和一个私钥。在分层确定性钱包里,生成密钥的方式不太一样。不同于生成一个单一地址,我们生成一个被称为“地址生成信息”的东西;我们也不只生成私钥,而是生成“私钥生成信息”。有了地址生成信息,我们就可以生成一系列地址。我们把地址生成信息和一个整数i作为地址生成函数的输入参数,就生成了序列里的第i个地址。同样,我们用私钥生成信息来生成一系列私钥。
密码学的神奇之处在于:对于每个i而言,第i个地址和第i个私钥相匹配——换言之,第i个私钥控制第i个地址的比特币,就好像这是用经典办法产生的。这样一来,我们就有一长串配对的公钥和密钥。
密码学的另一个技术优点是安全性——地址生成信息并不会泄露关于私钥本身的任何信息。这意味着你可以放心地把地址生成信息给任何人,他就可以用它来生成第i个密钥。
并不是所有的电子签名算法目前都可用于生成分层确定性密钥。比特币使用的电子签名算法ECDSA支持分层密钥,让我们可以使用这个技巧。即冷储存端生成任意多个密钥,热储存端生成相应的地址,见图4.2。
图4.2 分层确定性钱包示意
注:冷储存端生成和保存私钥生成信息和地址生成信息,然后将地址生成信息一次性转给热储存端。当热储存端要给冷储存端转账时,就按次序生成新的地址。冷储存端上线后,也会按顺序生成地址,然后查收相应地址收到的款项,直到某一地址没有收款位置。如果冷储存端需要向热储存端转账,它就会按顺序生成私钥序列。
ECDSA的工作机制如下:通常一个ECDSA私钥是一个随机数x,其对应的公钥是gx。为了生成分层确定性密钥,我们需要另外两个随机数k和y。
私钥生成信息:k,x,y
第i个私钥:x=y+H(k‖i)
地址生成信息:k,gy
第i个公钥:gxi=gH(k‖i)·gy
第i个地址:H(gxi)
分层确定性钱包有我们需要的所有特性:两方都可以生成公钥/私钥序列,而且这些公钥/私钥相互配对(因为与私钥x对应的公钥就是gx)。而且,这种方法还具有另外一种我们尚未提及的特性:当你向外提供这些公钥时,这些公钥之间没有联系,也就是说,别人无法断定这些公钥来自同一个钱包。稻草人方案(冷储存端生成大量的地址)也具有这种特性,但我们需要小心地保护这些地址,因为这些地址事实上并不是独立生成的。这种特性对于保护隐私和实现匿名是至关重要的,我们将在第6章展开讨论。
分层确定性钱包有两种不同的安全性,热储存端的安全性较低。如果热储存受到损害,那么上文提到的非相关性就不复存在,但这种情况下,私钥(以及比特币)仍然是安全的。通常,分层确定性钱包支持任意多个安全等级——这也是“分层”的由来——虽然,我们还没有讨论细节。这种安排非常有用,例如,当一家公司内部存在多种授权级别时,就需要这种特性。
现在,我们讨论一下冷储存如何保存信息(私钥或私钥生成信息)。第一种方式是将信息保存在某个设备(例如笔记本电脑、手机或平板电脑,或U盘)中,然后将这个设备好好保管,最好是让这些设备断开网络,并将其锁起来,这样,如果有人想盗取信息,那么他首先需要进入这些设备的保存处。
大脑钱包
第二种方法我们称之为大脑钱包(brain walle)。这种方式下,你通过一个密码就可以支取比特币。大脑钱包无须使用硬件、纸张或者其他长期储存介质。大脑钱包在物理安全性较差的情况下(例如跨国出差、旅行时)非常有用。
大脑钱包的主要原理是用一个可预测的算法把一个口令变成一对公钥/私钥。例如,你可以选择一个哈希算法将口令转译成一个私钥。在给定私钥的情况下,可以用同样的方法得到私钥。进一步地,结合前文所提到的分层确定性钱包技术,你可以根据口令生成一整套地址和私钥,从而实现钱包的完整功能。
但是,如果一个黑客猜到你的口令的话,他还是可以偷走你大脑钱包里的所有私钥。在电脑安全领域里,我们通常假定黑客知道你生成密钥的步骤,黑客不知道的只是你的口令。所以黑客可以尝试使用不同的口令,生成地址,并在区块链中查看这些地址上是否还存在未被使用的比特币,一旦发现比特币,黑客就可以迅速把这些比特币转给自己。黑客可能永远都不知道(或者根本不关心)这些比特币属于谁,这类攻击也不需要入侵任何设备,猜口令不针对任何人,所以也不会留下任何痕迹。
这种方法与尝试破解电子邮箱密码的方法不同,邮件服务器通常对密码试错有一定的次数或频率限制(被称为在线猜测),但是对于大脑钱包而言,黑客可以下载一堆未被使用的比特币的地址,然后用电脑程序去慢慢地试错,黑客都不需要知道大脑钱包的地址,这被称为离线猜测或者密码破解。相应地,设置口令的难度大大增加了,又要容易记,又要不容易被猜中。一种安全的方法是使用自动程序生成一个80位的数字,然后将其转换成口令。
生成一个可记忆的口令
有一种简便的方法可以生成口令:从最常用的10 000英语词汇中,随机选择6个词,从而生成大致80位长度的字节[6×log2(10 000)大致等于80]。很多人发现这个方法比随机取字母容易记忆,因为这种方法生成的口令通常是下面这样子的:
worn till alloy focusing okay reducing
earth dutch fake tired dot occasions
在实际操作中,我们可以让程序生成密钥的速度变慢(为程序加入一个延迟),这样,黑客通过试错法来破解私钥就需要花费很长的时间,这就是所谓的密钥延展(key stretching)。比如,为了使密钥生成变慢,我们可以让程序把本来很容易计算的哈希函数SHA-256算上220次,这样一来就把黑客的工作量增加了220倍。当然,如果太慢的话,用户在使用比特币的时候,也会计算得很慢,这也很麻烦。
如果你彻底忘记了大脑钱包的口令,钱包里的比特币就永远取不出来了。
纸钱包
第三个选择是纸钱包(见图4.3):把密钥印在纸上,然后把纸锁在保险箱里。显然,这种方式的安全程度取决于我们所使用的纸的安全程度。纸钱包通常用两种方法为公私钥匙编码:二维码和base58码。就像大脑钱包一样,只需要存储少量关键信息,就可以重新建立一个纸钱包。
图4.3 带公钥的比特币纸钱包
注:同时使用了二维码和base58码加密。
防损硬件
第四种方法是使用防损硬件(tamper-resistant device),用它来保存密钥或用它来生成密钥,总之,此类设备本身不会泄露密钥或输出密钥,而只是在我们按下设备的某个按钮或输入设备密码后显示密钥的保管状态。防损硬件的好处在于一旦设备丢失或者被盗,我们马上就能知道。而且,想要盗走密钥,必须先盗走这个设备。这和将密钥保存在电脑上是不一样的。
总而言之,用户可使用上述一个或是多个方法来保存密钥。对于热储存,尤其是存有大量比特币的热储存而言,人们愿意投入大量成本或先进的安全机制保护它们。我们将在下一章讨论这些更先进的机制。