平台动态

赋能 Arweave 生态,Safeheron 可信 TSS-RSA 密钥分片解决方案正式开源

By Safeheron Team - 2022-09-26

Safeheron 是一家透明、开源的数字资产自托管平台,创始初心即为加密世界贡献透明、开源、可验证的安全自托管基础设施,提高与丰富区块链的原生特性 ,构建区块链场景中的最佳密码学实践。

本着这个原则,Safeheron 开源的步伐从未停止,很高兴在此宣布,Safeheron 正式开源自主研发的可信 TSS-RSA 密钥分片解决方案

此前不久,Safeheron 已与 Arweave 生态项目方 everFinance 达成战略合作,将为 everPay 项目集成这一可信 TSS-RSA 密钥分片服务,直接大幅降低其 RSA 密钥分片生成时间成本。Safeheron 真正意义上为 everPay 项目方提供企业级安全可信可验证且高效透明的解决方案。

对 Safeheron 而言,这是 TSS-RSA 密钥分片算法服务,加持 TEE(Trusted Execution Environment)可信技术后的首次亮相并赋能 Arweave 生态,也是Safeheron 基于基础设施层助力、加固区块链产业生态的开始。

Check out Safeheron TEE based RSA key sharding

可信TSS-RSA 密钥分片解决方案优势特征方案优势

TSS-RSA 是由 Safeheron 安全团队基于 Pratical Threshold Signatures 论文 ,使用 C++ 开发的门限签名算法库,不仅可以实现签名生成和验证完全非交互,并且单个私钥签名分片的内容体积会更小。采用该解决方案,加密钱包供应商可以安全、高效、透明地进行 RSA 私钥生成。

高效

everPay 当前生成私钥分片,使用基于 Golang 实现的开源算法库 TCRSA,整个过程需要持续 30 分钟左右的时间,而替换为 TSS-RSA 算法库后,生成分片的时间直接被缩短至平均 30s 左右。如下图所示:TSS-RSA 执行一轮完整的签名生成和验证需要 35.55s,而 TCRSA 执行完一轮 完整的签名生成和验证需要 1674.79s,后者所需时间约是前者的 47 倍。
TSS-RSA takes an average of 30 seconds to generate all key shards

显然,如上图所示 TSS-RSA 提供的高效解决方案,是一次跨越数量级的速度提升,将带动 everPay 的钱包服务体验产生质的飞跃,同时也会为 Arweave 生态,释放更大的想象空间。

安全可信可验证

就安全层级而言,目前,everPay 网络中负责管理用户锁定资产守望者(Watchmen)角色,使用的是中心化服务器的 ExecuteHub 来生成门限签名密钥,然而,中心化服务器存在的数据泄露安全隐患一直饱受诟病,安全性自然也备受质疑。

不同于以往,Safeheron 可信 RSA 密钥分片服务采用 Intel CPU 硬件提供的 SGX 可信计算技术。通过将 TSS-RSA 算法中生成密钥分片的整个过程放入可信执行环境中执行,保障 RSA 密钥分片可用且仅对硬件芯片加密内存空间可见,解决中心化生成 RSA 密钥分片存在的潜在安全问题。

与此同时,基于 Intel 的最新远程认证技术 DCAP,Safeheron 还能保证密钥分片生成的整个流程是可信,可验证的。

透明零信任

Safeheron 可信 RSA 密钥分片服务从设计之初便融入零信任安全架构的概念,在每一个交互环节步步验证,层层把关,将作恶风险降至最低,保证服务本身安全可靠。

可信 TSS-RSA 密钥分片解决方案技术流程

生成私钥分片

以 POST 方法向部署可信 RSA 密钥分片服务的服务端地址发送 HTTP 请求,服务根据请求 携带的请求体中的参数生成对应的密钥分片,并随后进行 Intel DCAP 远程认证。最终,生成结果会与远程认证的结果一起进行打包,并再次以 HTTP 请求方式发送至回调地址。

HTTP 请求体示例:
Generate key shards through TEE-RSA key sharding

查询密钥分片

以 POST 方法向部署可信 RSA 密钥分片服务的服务端地址发送 HTTP 请求,服务根据请求 携带的请求体中的参数查询当前是否有匹配的任务正在生成,并返回查询结果。

HTTP 请求体示例:
Retrieve key shards through TEE-RSA key sharding

远程认证

远程认证是 Intel SGX 可信计算技术中及其重要的环节,这一高级功能可大幅提高服务依赖方的信任。

为准确地辨别服务程序本身逻辑是否有被篡改,每个程序在对应运行的计算平台都会拥有一个独一无二的哈希值。任何对服务程序本身逻辑的修改都会导致哈希值的变更。

不仅如此,每个可信服务的运行都伴随有可信认证报告的生成,通过对可信认证报告的验证便 可确认当前程序是否符合预期地在 Intel SGX 的保护下,运行在支持 Intel SGX 的可信计算平台。

因此,Safeheron 团队同时开源用于验证可信认证报告的 SGX-DCAP 远程认证算法库,通过 根据 Intel 根证书的背书,有效地判断可信认证报告的合法性。

详情请至
GitHub - Safeheron/safeheron-sgx-remote-attestation-js: A demo to give a verification of TEE report from the result generated by sgx-arweave-cpp.
Check out Safeheron SGX remote attestation verification on GitHub

加持 TEE 可信技术,开源赋能 Arweave 生态生态

RSA 非对称加密是构成区块链技术的核心基础架构,近些年,公链、侧链、layer2、跨链、去中心化存储等多种形式的区块链基础设施竞相出现,但 RSA 在私钥生成环节的筑底地位一直未曾动摇。

然而,整个区块链生态随着 DeFi、NFT 等应用场景的深化,安全事件持续频发,仅私钥安全相关的安全问题就层出不穷,此前 Solana 生态 Phatom 钱包私钥生成问题导致的群体性资产损失更是敲响行业警钟。

此次,Safeheron 推出的 TSS-RSA 密钥分片解决方案,不仅加持 TEE 可信技术,同时也已实现项目开源。

对 Arweave 生态来说,实现其去中心化存储生态在多人共管方案上从 0 到 1 的突破,助力 everPay 项目钱包私钥生成体验的大跨步提升。而对整个区块链产业生态来说,也同样意义深远,助力上游技术设施在私钥生成环节上的安全和加固升级。

接下来,Safeheron 团队会持续探索与 Arweave 生态合作的可能性,与众多开发者一起,为 Arweave 生态系统提供更多易于使用和优化的安全基础设施和具有丰富功能的解决方案,与 Arweave 共同成长。

与此同时,也会持续围绕私钥安全进一步优化 MPC 多人共管解决方案,为加密资产接轨 DeFi、NFT 等应用场景提供更科学的技术解决方案。