什么是多方计算 (MPC)?

Published Jul 2, 2021
By Brian Spector, Chief Product and Technology Officer at Qredo

多方计算 (MPC) 是一种加密工具,它允许多方使用他们的组合数据进行计算,而无需透露他们的个人输入。

MPC 由中国计算机科学家 Andrew Yao 发明,通过使用复杂的加密来在多方之间分配计算。

在数字资产的背景下,MPC 可用于替代个人私钥来签署交易。 MPC 在多台计算机之间分配签名过程。 每台计算机都拥有一份代表密钥份额的私有数据,它们共同合作以分布式方式签署交易。

Qredo 率先将 MPC 与 L2 区块链相结合,为数字资产的灵活管理和即时转移创造了一个安全的环境。

在下面的部分中,我们将更详细地探讨 MPC:

  1. 密码学的演变

  2. Andrew Yao 和 MPC 的诞生

  3. 多方计算用例

  4. MPC 如何保护私钥?

  5. Qredo 的共识驱动 MPC

  6. MPC 常见问题

  7. 多方计算安全吗?

  8. MPC 与多重签名

  9. MPC vs Shamir 的秘密共享计划

密码学的演变

密码学历来被用来隐藏信息。 一路回到希腊暴君 Histiaeus,他将纹身信息藏在奴隶的头皮上,以防止对手拦截战时通讯。

从那时起,加密已经发展到服务于更多的用例。 新的密码技术(如公钥密码术)已经出现,使现代网络成为可能,并提供了更复杂的方法来保护数据的机密性。

Andrew Yao 和 MPC 的诞生

被称为多方计算的密码学突破诞生于八十年代的经济繁荣时期,并在过去的几十年里一直在发展; 将协议从求知欲变成构建真实系统的强大工具:

  • 1982年 – 开创性的中国密码学家和计算机科学家 Andrew Yao 引入了带有乱码电路协议的 MPC,允许两方在不泄露输入的情况下共同计算数据。

    那年晚些时候,姚设置了“百万富翁的难题”来说明 MPC 的重要性:

    两位神秘的百万富翁正在吃午饭,他们决定让最富有的人来买单。 然而,两人都不想透露他们有多少钱。 他们如何计算出谁更富有,谁来支付午餐钱?
    解决这个问题需要一个两方协议。 再加上一个百万富翁,你就需要一个多方协议。

  • 1987年 – 计算机科学家 Oded Goldreich、Silvio Micali 和 Avi Wigderson 引入了 Goldreich-Micali-Wigderson (GMW) 协议,将两方计算应用于多方计算。

  • 2008年 - MPC 上线! 该技术的首次大规模商业应用用于保护丹麦密封投标甜菜拍卖的隐私。 在这种类型的拍卖中,出价最高的人获胜,但要支付第二高出价者提出的价格。 MPC 使甜菜种植者能够进行投标,而无需透露他们愿意支付给当时唯一的丹麦甜菜加工商丹尼斯克公司的价格。

  • 2015年 - 随着冷热钱包中数字资产的黑客攻击和盗窃事件激增,早期的加密货币先驱开始使用 MPC 来保护私钥。

  • 2018年 - Qredo 将共识驱动的 MPC 概念化,将多方计算与去中心化的第 2 层网络相结合,以安全地管理数字资产——没有单点故障。

多方计算用例:从拍卖到基因检测

多方计算用例:从拍卖到基因检测

随着 MPC 的不断发展,加速数字化导致技术以越来越快的速度喷出敏感信息。这引发了一场完美风暴,MPC 越来越多地被用于保护敏感数据,充当数字保密协议,控制哪些信息向谁披露。示例包括:

在基因检测中,MPC 可用于让人们检查自己的基因图谱,而不会无意中向政府或保险公司透露他们代谢咖啡因的速度有多快,或者他们患糖尿病的可能性有多大。

在密封投标拍卖中,MPC 可用于确保每个同时提交的投标都完全保密。

在敏感研究中,MPC 可用于安全地收集和分析个人数据(如财务和医疗详细信息),而不会强迫个人向第三方透露敏感信息。

正如波士顿大学在下面的视频中说明的那样,竞争对手的拼车组织可以使用 MPC 就集体利益问题进行合作,而无需共享其机密用户数据:

MPC 如何保护私钥?

与上述目标是防止泄露多方敏感数据的用例不同,MPC 还可用于保护一个实体拥有的单个敏感数据——例如控制数字资产的私钥。

如果没有 MPC,私钥通常存储在一个地方;在热钱包(连接到互联网)或冷存储(离线)中。用系统设计的术语来说,这会造成“单点故障”,这是黑客无法抗拒的目标。

MPC 可以消除这个致命弱点。

使用阈值签名方案 (TSS),可以在私钥中创建和分发独立持有的股份,这样没有一个人可以完全控制私钥。

私钥材料中的这些份额分布在运行多方计算协议的节点之间。因此,我们可以说不存在完整的、单独的私钥——只有由不同人控制的分布式共享,分布在多个节点上。

当需要对交易进行签名时,而不是调用单个私钥,而是触发 MPC 过程,每个独立节点以分布式方式合作签署交易——就像一群人和声唱出一个特殊的音符这是单靠一种声音无法实现的。

这种集体的、去中心化的数字签名被呈现给底层区块链网络并验证交易——就像“传统”私钥所做的那样。

Qredo 的去中心化 MPC

MPC即将成为家喻户晓的名字。

PayPal、BNY Mellon 和 Coinbase 等大公司已经对这项技术进行了投资,他们认识到它可以通过在多台计算机之间拆分私钥材料在加强安全性方面发挥重要作用。但...

分发敏感的私钥材料是不够的。

如果 MPC 节点是集中式的并且受单个组织的控制,则资产仍然容易受到内部勾结或外部黑客的攻击。如果确定资产治理的策略引擎在易受攻击的数据库中运行,并且私钥材料位于英特尔 SGX 等可破解的硬件飞地中,则这种情况更有可能发生。

除非 MPC 节点是真正分布式的,否则分布式签名过程只是去中心化的剧院,所有信任都放在控制节点的集中式 MPC 提供商,并且可能会审查交易或屈服于内部勾结。

为了实现真正的去中心化并消除这种风险,Qredo 将 MPC 的独特实施与第 2 层区块链相结合

每个 MPC 节点独立生成自己的密钥材料,并在防篡改外壳中免受外部攻击。这些分布在全球六个金融中心的数据中心之间,从伦敦到芝加哥和香港。

耦合的第 2 层区块链实现了对访问的细粒度控制,以及网络参与者之间的即时结算:Qredo 网络参与者无需等待缓慢而昂贵的底层链,而是可以在它们之间即时转移“数字化所有权”——创建即时跨链和跨链平台流动性。

了解去中心化 MPC

常见问题解答:您想知道的一切以及有关 MPC 的更多信息

多方计算安全吗?

即使黑客以某种方式设法闯入单个 MPC 节点,他们也无法知道所有节点的集体输出的价值。为了控制由 MPC 保护的钱包,理论上他们需要同时对签署交易所需的设备总数发起攻击。

例如,如果节点数量为 10,签署交易所需的阈值为 5,那么攻击者将需要闯入 6 个节点并窃取密钥份额。主动安全措施(例如在节点之间自动移动敏感私钥材料的密钥轮换)使这变得更加困难。

假设 MPC 是在安全硬件上实现的,这种同时在多个方面进行攻击的需要使得 MPC 比其他私钥存储方法(如具有单点故障的热钱包和冷钱包)更加安全。

此外,MPC 支持的灵活治理减少了流氓人员访问钱包并带走资产的可能性。

多方运算 vs 多签:有什么区别?

“我相信 TSS(阈值签名方案)将重塑钱包和托管服务的格局。它远远优于多重签名。” ——CZ,币安首席执行官

多重签名钱包与使用阈值签名方案 (MPC TSS) 实现的 MPC 具有相似的目标:它们都在多方之间分配签名权力。

不同之处在于,多重签名钱包由不同私钥生成的几个不同的链上签名保护,而 MPC 依赖于在链下创建的单个签名。

使用 MPC 在链下签署交易有很大的好处:

速度。交易可以在链下更快地签署,因为它们不依赖于与缓慢的底层区块链进行交易。

成本。链下计算的签名不会产生网络费用。

隐私。无法在公共账本上查看链下签名。这可以防止交易链被暴露——这可能会向潜在的攻击者泄露敏感的签名方案和工作流程。

兼容性。虽然多重签名钱包与特定的区块链相关联,但 MPC 使用可在 95% 的区块链中实施的标准化加密签名算法 (ECDSA)。

灵活性。链下分布式签名允许复杂的治理方案,可以更容易地配置以适应组织要求并符合监管需求。

总而言之,MPC 与其他形式的采用多重签名技术的加密货币托管相比具有许多明显的优势。阅读有关多方运算与多签的更多信息


MPC vs Shamir 的秘密共享方案

Shamir 的秘密共享方案 (SSSS) 是一种加密方案,可将敏感数据(如私钥)分成几部分。 用户可以定义零件的总数,以及重新创建整体所需的特定零件子集。

与 MPC TSS 不同,在 MPC TSS 中签名是真正分布式的,每个签名者直接对交易进行签名,在 SSSS 中,共享需要在单个机器上或由单个受信任的参与者重新组合。 这引入了单点故障。

原文链接:https://www.qredo.com/blog/what-is-multi-party-computation-mpc 

Qredo 中文页面:qredo.com/zh-cn