数字钱包安全开发与应用实践.pdf

1、2020 云安全联盟大中华区-版权所有12020 云安全联盟大中华区-版权所有3致谢致谢云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。由黄连金担任工作组组长，9 位领军人分别担任工作组下的 9 个项目小组组长，分别有：知道创宇创始人&CEO 赵伟领衔数字钱包安全小组，北大信息科学技术学院区块链研究中心主任陈钟领衔共识算法安全小组，赛博英杰创始人&董事长谭晓生领衔交易所安全小组，安比实验室创始人郭宇领衔智能合约安全小组，世界银行首席信息安全架构师张志军领衔 Dapp 安全小组，元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组，北理工教

2、授祝烈煌领衔网络层安全小组，武汉大学教授陈晶领衔数据层安全小组，零时科技 CEO 邓永凯领衔 AML 技术与安全小组。区块链安全工作组现有 100 多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六十多家单位。本白皮书主要由数字钱包安全小组专家撰写，感谢以下专家的贡献：原创作者：黄连金、肖龙、姚昌林、赵伟（按照字母排序）审核专家：陈钟、徐正伟、杨士田、姚晓宇、余弦、赵淦森（按照字母排序）贡献单位：北京大学、知道创宇（按照字母排序）关于研究工作

3、组的更多介绍，请在 CSA 大中华区官网（https:/c- 云安全联盟大中华区-版权所有4序言序言随着数字经济的发展，伴随着区块链技术而来的数字钱包形成对数字资产管理方式的冲击，对于大部分区块链的用户来说，数字钱包是他们首先接触的用户界面。数字钱包有各种不同的形式，但是都会直接或间接地对数字资产进行控制，或者说直接或间接地存储了可以控制数字资产所需要的私钥。数字钱包安全开发与应用实践白皮书分析各种不同的数字资产钱包，和可能的风险和案例，对于如何开发和使用数字钱包提出了中肯的意见和最佳实践，并且提出了数字钱包安全测试标准。数字钱包的技术和安全随着区块链技术的发展，也在不断的发展，本文档对数字钱

4、包安全进行的系统性分析和建议，希望对终端用户和钱包开发者有借鉴作用。李雨航 Yale LiCSA 大中华区主席兼研究院院长2020 云安全联盟大中华区-版权所有5目录目录致谢.3序言.41 数字货币钱包分类使用场景.62 数字钱包安全风险分析.82.1 数字钱包使用过程安全分析.92.2 数字钱包开发&应用技术安全分析.103.数字钱包安全案例分析.133.1 数字钱包安全事件回溯.133.2 用户安全使用引导.133.3 数字钱包安全设计.144 数字钱包安全设计应用实践.154.1 无私钥钱包用户需求分析.154.2 企业级数字资产钱包需求分析.205.数字钱包安全测试标准.25参考文献.

5、37关于云安全联盟大中华区.382020 云安全联盟大中华区-版权所有61 数字货币钱包分类使用场景1 数字货币钱包分类使用场景数字货币钱包是用来帮助你存储、管理、交易数字货币的工具，利用钱包中生成的数字货币收款地址（公钥），可以接受他人给你转账的数字货币，也可以把你钱包中所拥有的数字货币资产转账给他人。从私钥存储方式、存储数据量和使用主体三个维度将钱包进行分类介绍：按照私钥存储方式分类，可以将钱包分类冷钱包和热钱包两大类按照私钥存储方式分类，可以将钱包分类冷钱包和热钱包两大类。（1）冷钱包：（1）冷钱包：是指使用时不需私钥接触网络的钱包，网络无法访问私钥，比如专业的硬件设备，也称硬件钱包或离

6、线钱包，一般通过 USB 接口、蓝牙、二维码等方式完成私钥签名。优点：安全等级最高，避免了被黑客盗取私钥的风险；自己真正拥有私钥，不受他人监管。缺点：硬件相对较贵；创建钱包和交易相对复杂，效率偏低；只支持主流币种，一般新的小币种不支持；存在硬件丢失或损坏的物理安全风险。适用场景：交易所、企业、银行、机构、大额持币用户等资产管理安全性较高的场景。（2）热钱包：（2）热钱包：使用时需要接触网络的钱包，包含电脑客户端钱包、手机 APP 钱包、网页钱包等，也称在线钱包。优点：创建钱包和交易均简单，使用方便，转账效率高。缺点：安全性不足，私钥容易被黑客盗取；手机或电脑丢失，私钥容易被专业人士破解。适用场

7、景：新手、持币数量较少者、频繁交易者用于个人用户数字资产便捷交易（客户端钱包，浏览器钱包，网页版钱包）。2020 云安全联盟大中华区-版权所有7按照数字货币是否中心化管理分类，可以将钱包分为去中心化钱包和中心化钱包,按照存储区块链数据方式，去中心化钱包又分为全节点钱包（重钱包）和轻钱包。（1）全节点钱包：是指需要同步所有区块链数据的钱包。按照数字货币是否中心化管理分类，可以将钱包分为去中心化钱包和中心化钱包,按照存储区块链数据方式，去中心化钱包又分为全节点钱包（重钱包）和轻钱包。（1）全节点钱包：是指需要同步所有区块链数据的钱包。优点：可以实现去中心化，更好的隐私性；可以在本地验证交易数据的有

8、效性。缺点：占用很大的硬盘空间，每次使用前需要同步数据；多币种数字资产支持不好，用户体验欠佳。适宜人群：企业、专业人士主要代表（2）轻钱包，指依赖区块链网络上其他全节点，仅保存和同步与自己相关的数据。（2）轻钱包，指依赖区块链网络上其他全节点，仅保存和同步与自己相关的数据。优点：占用硬盘空间较小，使用时不需同步数据；可以支持多币种数字资产，设计功能简单，用户体验好。缺点：实现去中心化不足，交易验证相对较慢。适宜人群：个人、小白用户主要代表（3）中心化钱包，是指不依赖区块链网络，所有的数据均从自己的中心化服务器中获得，也称链下钱包。（3）中心化钱包，是指不依赖区块链网络，所有的数据均从自己的中心

9、化服务器中获得，也称链下钱包。优点：平台负责私钥的安全管理，私钥（密码）忘记或丢失可以找回；交易效率很高，可以实时到账，可以支持多币种；钱包被盗，大型交易所一般会给予等值赔偿。缺点：过度依赖中心化，存在平台自盗、倒闭、跑路等风险，另外是黑客重点攻击目标。适宜人群：炒币群体，需要频繁交易主要代表。按照钱包的表现形态分类，分为：网页钱包、浏览器插件钱包、按照钱包的表现形态分类，分为：网页钱包、浏览器插件钱包、PC 端钱包、硬件钱包、手机端钱包、硬件钱包、手机 app 钱包。（1）网页钱包：钱包。（1）网页钱包：网页形式发布的钱包程序，无需安装，打开即可使用、跨平台，有浏览器的设备即2020 云安全

10、联盟大中华区-版权所有8可。（2）浏览器插件钱包:（2）浏览器插件钱包:以浏览器插件的形式存在，比如 chrome 浏览器的 Metamask 钱包插件。（3）PC 端钱包：（3）PC 端钱包：指电脑终端的数字货币钱包，可以通过这个终端进行操作，不便捷。（4）硬件钱包：（4）硬件钱包：指用专业的硬件存储数字货币，将数字资产私钥单独储存在一个芯片中，与互联网隔离，即插即用。硬件钱包是一个实体设备，不能保证 100%安全。只是相对于其他保管手段，这是最安全的储存手段之一。（5）手机 APP 钱包：（5）手机 APP 钱包：目前最常见的，适用于新人的就是 APP 轻钱包,也是大家用的比较多的，相对于

11、网页钱包更加灵活方便，安全性较高。但对于大额的数字资产用来说安全性欠缺，可使用不联网的手机生成冷钱包，联网手机仅用于查看钱包。近几年 APP 钱包出现一种基于智能合约的钱包，用户可以控制私钥和资产，但是利用智能合约可以增加一些基于区块链的功能，比如 MYKEY、Argent、Gnosis Safe、Authereum 这些，核心风险主要在智能合约这块。我们在第五章安全测试标准对于这种类型的钱包的测试提出建议。2 数字钱包安全风险分析2 数字钱包安全风险分析2019 年 1 月黑客利用 Electrum 钱包漏洞窃取了约价值 75 万美元的 BTC。2019 年 5 月，黑客入侵币安交易所并盗取

12、了 700 枚 BTC，总价值高达 4000 万美元。2019 年 6 月 Gatehub 存放用户 API 访问令牌的数据库遭受入侵，初步统计已有 100个 XRP 钱包信息泄露，损失估计为 1000 万美元。2019 年 7 月位于新加坡的加密通证交易所 Birtue 遭受黑客攻击，因其风险管控漏2020 云安全联盟大中华区-版权所有9洞，黑客共盗取了价值 500 万美元的 XRP 与 ADA。数字钱包安全性问题日益严峻，交易所钱包的安全漏洞、风险管控的疏忽使用户的加密资产面临被黑客攻击、盗取的风险，对加密通证市场的发展产生不良影响，但客观上也为未来数字钱包行业的完善进步指明了方向。2.1

13、 数字钱包使用过程安全分析2.1 数字钱包使用过程安全分析在加密数字货币钱包的日常操作使用过程中，主要有创建钱包和使用（包含交易，钱包余额查看等）两个环节，针对不同的环节我们整理了软硬件层面大部分的安全漏洞和黑客攻击方式。图 1-12020 云安全联盟大中华区-版权所有10环节环节漏洞漏洞攻击方式攻击方式创建钱包创建钱包随机数随机数128bit 随机数的随机问题，空间分布不均，缺乏专门的审计流程对随机数进行安全测试随机数的随机问题，空间分布不均，缺乏专门的审计流程对随机数进行安全测试随机数攻击随机数攻击助记词助记词助记词保存不安全，助记词强度不足助记词保存不安全，助记词强度不足盗取、暴力破解盗

14、取、暴力破解私钥存储私钥存储App 钱包数据没有加密存储，运行环境存在未知病毒以及操作系统漏洞钱包数据没有加密存储，运行环境存在未知病毒以及操作系统漏洞漏洞利用、复制盗取漏洞利用、复制盗取硬件钱包设备接口过多，未采用安全芯片，软系统过于复杂硬件钱包设备接口过多，未采用安全芯片，软系统过于复杂盗取设备暴力破解盗取设备暴力破解私钥使用私钥使用联网操作存在联网操作存在 HTTPS 及及 DNS 劫持风险劫持风险钓鱼攻击钓鱼攻击交易环节交易环节创建交易创建交易交易双方的账号没有二次验证交易双方的账号没有二次验证收款账户信息被恶意替换收款账户信息被恶意替换交易签名交易签名在线环境不安全，协议设计不严格在

15、线环境不安全，协议设计不严格盗取 PIN 码盗取 PIN 码交易广播交易广播操作系统不安全，非私密链接操作系统不安全，非私密链接通讯拦截交易通讯拦截交易表 1-12.2 数字钱包开发&应用技术安全分析2.2 数字钱包开发&应用技术安全分析1)运行环境的安全风险运行环境的安全风险加密数字货币钱包最核心的文件私钥/助记词是存储在终端设备上的，无论是 PC端还是移动端，终端设备如果出现不安全的现象，对于私钥/助记词来说是有非常高的安全风险的。一个安全的数字钱包，在设计之初就应该避免因为运行环境不安全而导致的私钥/助记词被盗的可能。终端上运行环境的安全问题主要包括病毒软件、操作系统漏洞等。（1）病毒软

16、件和普通的银行客户端或支付 APP 不同的是，加密数字货币钱包的私钥/助记词不具备挂失能力，无法通过对账户进行冻结来降低损失，一旦被盗则资产一定会丢失。一款安全的数字钱包，能否对扫描出的终端环境里面的病毒软件和未知病毒软件进行防御是核心考核指标之一。2020 云安全联盟大中华区-版权所有11（2）操作系统漏洞利用操作系统漏洞，可以轻易的绕过操作系统设计的一系列安全边界或沙箱机制，获得访问加密数字货币钱包私钥/助记词的能力。无论是 Android、iOS、Windows 还是Linux，每年都有大量的安全漏洞被公开和修复，而这些漏洞里面就有不少高危的本地提权的漏洞。利用这些提权漏洞就可以轻易的打

17、破操作系统的安全设计边界，获得访问用户数字钱包私钥/助记词存储文件的能力。目前大多数加密数字货币钱包的安全设计都是完全依靠操作系统的安全边界，对于私钥/助记词的存储和处理还是停留在早期的使用固定密钥进行加密甚至直接明文保存，完全依靠操作系统的安全边界来限制其他 APP 的访问，由于缺乏对于系统漏洞的防御，这些数字钱包的用户如果安装了带有本地提权机制的应用，那么其数字资产将面临严重的被盗风险。2)网络传输的安全风险网络传输的安全风险网络传输的安全性更多的体现在是否有良好的对抗中间人攻击的能力上。中间人攻击（英语：Man-in-the-middle attack，缩写：MITM）是指攻击者与通讯的

18、两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全监听和控制。虽然大部分数字钱包应用都会使用 HTTPS 协议和服务端进行通讯，但是中间人攻击方法上是可以通过在用户终端中安装一个数字证书的方式拿到 HTTPS 协议里面的内容。安全的数字钱包需要能够对终端里面全部的数字证书的合法性进行扫描、对网络传输过程中的代理设置进行检查并能够保障基础的网络通讯环境的安全性。在数字钱包的开发中，在网络传输层面是否使用双向校验的方式进行通讯验证也是衡量一个数字钱包应用安全性的重要评判标准。3)私钥（助记词）随机数生成风险私钥（助

19、记词）随机数生成风险私钥的保管对于用户加密通证的安全极为关键。私钥本质是一串随机选出的一定长度的数字。这串数字控制着通证账号的所有权，因此这串数字相当重要，要具有足够的随 机性。在私钥的产生过程中，一般采用密码学安全的随机数生成器2020 云安全联盟大中华区-版权所有12(Cryptographically Secure Pseudorandom Number Generator:CSPNG)，并且需要有一个来自具有足够熵值的源的种子(seed)。硬件钱包在私钥的随机性上主要依托于自身的安全芯片进行随机数生成，而有些硬件钱包会采用更为有效的方法生成随机数，例如采集硬件噪声所生成的系统熵作为随机

20、数，或使用自身搭载的摄像头进行环境图像采集，生成系统熵用于私钥产出。4)私钥（助记词）存储方式风险私钥（助记词）存储方式风险对于数字钱包的私钥/助记词，终端设备的存储方式也是需要在安全性设计上加以注意的。私钥/助记词文件存放目录的访问权限、私钥/助记词存储的形式和加密算法设计都需要通过严密设计。在对多款主流数字钱包进行安全性分析时，我们发现即便是知名的数字钱包，在私钥/助记词的存储上也是比较随意的。既有明文存储的，也有虽然是加密存储但是解密的密钥却是在代码里面固定写死的，起不到任何的安全防御作用。5)应用自身的安全风险应用自身的安全风险数字钱包应用自身的安全风险主要集中在应用安装包自身的安全防

21、御上。应用安装包是否具备抗篡改能力是非常核心的技术能力。另外，应用运行过程中的内存安全、反调试能力、私钥/助记词使用的生命周期管理、调试日志的安全性、开发流程的安全等方面也是需要去设计增强的。6)数据备份的安全风险数据备份的安全风险如果数字钱包应用的数据能够被备份出来，就可以使用计算性能更加强大的机器对私钥/助记词进行暴力破解。举例来说，如果 Android 属性设置为允许备份，那么就可以利用系统的备份机制对应用的数据文件进行备份，而加密数字货币的私钥/助记词也就被备份到外部介质了，这就从另外一个方向打破了操作系统的安全边界设计。2020 云安全联盟大中华区-版权所有133.数字钱包安全案例分

22、析3.数字钱包安全案例分析3.1 数字钱包安全事件回溯3.1 数字钱包安全事件回溯2018 年 12 月 28 日，知名比特币钱包 Electrum 遭受新型钓鱼攻击已经损失近 250个比特币（约 91.4 万美元），黑客利用僵尸网络发动约每秒 25Gb 的恶意流量阻塞服务器，然后劫持服务器并诱导用户跳转钓鱼网站。这个钓鱼网站声称用户需要升级钱包客户端并向用户提供携带后门的版本，用户升级后比特币会被立即转走。2019 年 6 月 5 日，用于安全存储/处理 XRP 的钱包和网关GateHub 中大约有80-90 个受害者受到黑客攻击，被窃总量大约为 23,200,000 瑞波币。没有确凿证据指

23、向攻击的源头，攻击的发生可能有各种方式，包括钓鱼、Gatehub 账户被黑客攻击，Gatehub 包含用户私钥的加密数据库被盗并且被离线暴力平均等。2019 年 10 月 11 日，网页加密货币钱包 Safuwallet 被黑客通过注入恶意代码窃取了大量资金。2020 年 7 月 25 日，数字钱包 Ledger 的数据库被未经授权访问，导致数据泄漏。泄漏的数据包括电子商务和市场营销数据。付款信息和加密资产是否安全，外界不能确定，虽然 Ledger 官方认为是安全的。Ledger 的公告声称黑客利用被盗的 API 密钥用于未经授权访问数据库。目前 API 密钥已失效。3.2 用户安全使用引导3

24、.2 用户安全使用引导 必须要对私钥或助记词加以备份保管，放在不同安全地方，备份后并进行验证，备份信息不要接触网络。钱包下载时官网下载最安全，下载后可以通过检验哈希值是否和官方公示一致的方法进行验证真伪，其他下载渠道就尽量不要使用。及时更新数字钱包版本，防止最新的安全漏洞给黑客攻击的机会。一般个人用户而言，选择中心化钱包，不用担心私钥备份和丢失问题。对于持币量较大的用户，或者长期投资不做频繁交易的，需要选择专业的硬件2020 云安全联盟大中华区-版权所有14冷钱包。对于去中心化钱包，私钥交由用户保存，重视钱包安全核心要素的手动备份。建议通过相对原始的方法来手动记录，远离截图、复制等一切电脑操作

25、，养成良好的上网习惯，将风险降到最低。条件许可的话，可以考虑专门用于数字钱包的手机，不下载其他任何移动应用。3.3 数字钱包安全设计3.3 数字钱包安全设计1.网络传输安全网络传输安全大部分数字钱包应用都会使用 HTTPS 协议和服务端进行通讯，但是中间人攻击方法上是可以通过在用户终端中安装一个数字证书的方式拿到 HTTPS 协议里面的内容。安全的数字钱包需要能够对终端里面全部的数字证书的合法性进行扫描。在数字钱包的开发中，在网络传输层面是否使用双向校验的方式进行通讯验证是衡量一个数字钱包应用安全性的重要评判标准。2.接口调用权限安全接口调用权限安全钱包本身只是区块链世界的接口软件，目前很多都

26、是使用 RPC 调用相应接口，这样调用过程对数据传输的权限控制是数据通讯时的安全之本，对代码和各种场景的设计要非常仔细。远程过程调用时安全策略：如在以太坊钱包节点 Geth 上启用远程过程调用访问时，千万不要允许带有解锁账户功能的远程过程调用的外部访问等。3.客户端文件管理安全客户端文件管理安全文件安全主要考虑的是安装在用户端的文件是加密并不可被破解的，以及对用户的一些禁止性操作或者增加对某些风险操作的不便利性来降低用户造成的风险。1）抵御终端不良程序对关键文件的访问加密数字资产钱包最核心的文件私钥/助记词是存储在终端设备上的，无论是 PC端还是移动端，终端设备如果出现不安全的现象，对于私钥/

27、助记词来说是有非常高的安全风险的。一个安全的数字钱包，在设计之初就避免因为运行环境而导致的私钥/助记词存在被盗可能，比如增加用户操作要访问到核心文件时必须进行人脸识别或者短信2020 云安全联盟大中华区-版权所有15确认的功能等。2）终端关键文件加密对终端关键文件采用高安全的加密方式，防止普通程序访问，或者即使关键文件被复制出去，第三方也不能轻易破解的功能。在设计钱包时需考虑实际安全操作性采取限制直接导出关键文件的操作，或者允许导出关键文件但是解密方法以不能进行任何操作的显示方式，供用户手动记录。3）助记词等关键信息生成和管理对于钱包的核心关键信息，如助记词、私钥、Keystore 的生成和管

28、理需充分考虑安全性。这三者的设计原则和思路基本相同，以助记词为例：为确保客户端生成助记词，不能经过任何云端或者服务器，这是去中心化钱包的核心，任何访问助记词的过程都需要用户主动确认，如上面提到的人脸识别或者短信确认的功能等。4.开发扩展安全开发扩展安全考虑到钱包作为区块链的接口端，对应用扩展需求很重要，所以设计上需严格控制开放端口的权限，确保通讯只是公钥签名。同时对应用程序要严格审查是否具备抗篡改能力的核心技术能力，以及应用运行过程中的内存安全、反调试能力等。除此之外，考虑到用户密码忘记的风险，可以考虑采用多签方式增加各种应用场景，如密码找回功能等。4 数字钱包安全设计应用实践4 数字钱包安全

29、设计应用实践4.1 无私钥钱包用户需求分析4.1 无私钥钱包用户需求分析加密货币钱包一直被认为是未来加密数字经济必中不可少的基础设施。传统的加密钱包提供的解决方案是，基于密码学生成公私钥，用户通过手中的私钥来验明自己的身份，从而获得资产的控制权。但私钥的存储方式十分考究。没有了私钥，就失去了资产的掌控权，几乎所有传统钱包都在用户注册时就提示用户使用物理方式记录自己的私钥信息。出于手机的私钥存储文件可能遭遇病毒、误删清理等方式等威胁。手动抄写纸质2020 云安全联盟大中华区-版权所有16版私钥的方式相对更安全、隐蔽。但这样的操作逻辑对于初级用户来说是非常不友好的，不仅私钥的概念增加了其理解负担，

30、物理存储私钥的模式也一样有丢失风险。如何在妥善保障私钥安全的前提下提升钱包易用性，是钱包开发者永恒的命题。因为丢失助记词而导致自身加密资产无法找回的情况屡见不鲜，根据 2019 年Coinmetrics 发布的报告：有近 170 万枚 BTC 已经丢失。许多钱包在创建的过程中，也都要求用户手抄助记词以防止在联网环境下被转移资产。为了保证资金的安全，助记词（或私钥）的保管就需要足够的小心，一方面我们要进行备份，以防私钥丢失，另一方面由于备份也会增加被盗风险，这也是钱包糟糕的体验的一大原因（安全与体验需要权衡折中考虑）。因此，如何在保障用户资产安全的同时摆脱对私钥/助记词的依赖，更好获得区块链钱包

31、的用户体验，成为越来越多团队的研究方向。门限签名技术实现“私钥自由”：门限签名技术实现“私钥自由”：为了提高资产的安全性，尤其是大额资产，目前通常有这三个方案：多签签名（MultiSig）、密钥共享（Secret Sharing）模式和门限签名(Threshold signatures：TSS)方案。多签签名（多签签名（MultiSig）如果大额的资产，通常会使用多签（MultiSig）的方式来分担风险与责任，多签通常需要有多个私钥（N），只有当其中的 M 个私钥参与的签名，才可以动用资产，因此正确使用（不把私钥放在一起，由不同的人保管），确实可以提高安全性，因为即使部分私钥被盗或丢失，资产依

32、然是安全的。多签可以理解为一个有多把钥匙的保险柜，使用多签签名时，还应该避免私钥复用，私钥复用会增加私钥泄漏的风险。多签签名通常使用链上合约（或脚本）实现，这也给多签带来一个缺点：需要支付更高的交易费用以及多人异步签名导致的更长的交易确认时间。密钥共享（密钥共享（Secret Sharing）与多签不同，密钥共享模式(Shamirs Secret Sharing：SSS)可以理解为一个把钥匙分层多个部分。通过将密钥分成多个部分并以冗余方式分开保管，发起交易则将一定数2020 云安全联盟大中华区-版权所有17量的密钥重新组装为密钥进行签名，这个方案也可以解决密钥被盗的风险，同时解决了上述多签费用

33、高的缺点。不过 SSS 有一个主要缺点：当密钥被重新组装时，会为攻击者提供了获取密钥的可乘之机。门限签名门限签名(Threshold signatures：TSS)方案方案门限签名方案（简称：TSS）结合 SSS 和多签的优点，它基于多方安全计算(MPC:Multi-Party Computation)使用多个分片的密钥轮流进行（交易）签名，生成最终有效的签名。Binance 门限签名方案（门限签名方案（TSS）TSS 作为一种分布式密钥生成和签名的加密协议，通过分布式的密钥管理方式让私钥不再成为钱包和资产托管的最脆弱的环。允许构造一个在不同参与方（例如三个用户）之间分发的签名每个人都只持有部

34、分私钥碎片，为了进行交易签名，需要将至少两个用户的签名数据整合在起才能构建有效签名。对于个人而言，门限签名机制可以帮助使用持有的多个设备共同管理私钥，从而使单个受损设备不会对资产造成风险。对于业务运营商，门限签名机制可实现更好的访问控制策略，以防止内部或外部员窃取公司资金。TSS 技术使我们可以用分布式计算替换所有签名命令，从而让私钥不再成为一个单点风险。门限签名方案跟前面多签和门限签名方案跟前面多签和 SSS 方案不同的是：方案不同的是：多签通常是需要 M/N 个签名，而门限签名（目前）需要多方都参与签名。多签通常是链上进行的，费用较高，并且不同的链多签的实现方案差别很大。而门限签名是链下的

35、纯密码学的计算生成签名，兼容性更强。多签是可以异步进行签名，而门限签名要求所有参与方在操作过程中都同时在线。TSS 和 SSS 不一样在于，SSS 虽然分片密钥，但是最终要重构出密钥来签名，那么就存在单点故障和重构出的密钥被泄露的可能。而门限签名（TSS）不需要重构出密钥。2020 云安全联盟大中华区-版权所有18基于门限签名技术的无私钥钱包解决方案基于门限签名技术的无私钥钱包解决方案ZenGo2019 年 9 月，以色列加密货币钱包 ZenGo 发布了 2.0 版本，旨在借助突破性的加密技术，打造了第一款无私钥安全加密钱包，将安全性分布在自主可控设备与钱包服务器之间，无需担心私钥，即使被黑或

36、者丢失了钱包，资产也始终安全，通过完全自主的控制钱包来获得最大的安全性体验。ZenGo 基于门限签名技术方案采用将单个私钥拆分为多个私钥碎片(目前是两个部分)由约定多个参与方各自保管的模式。这里我们将其中一个密钥保存在用户自主可控的设备上，另一个存储在钱包服务器上，在进行交易的时候，手机和钱包服务器通信共同完成签名。这套机制和中心化的钱包完全不一样，只有用户本人才可以发起转账，钱包是无法使用用户资金的。如果需要发起转账，用户需要主动发起，然后服务端和客户端将会使用这两个密钥份额进行通讯并签署转账请求，但不会将这两个密钥本身暴露给对方。备份钱包也是相当简单的。一份加密过的客户端持有的密钥会储存在

37、钱包服务器中，而解密的方法是单独存储在用户个人账户中，只有用户本人的面部 3D 扫描图才可以用来进行解密。所以如果用户不小心删除了钱包软件，或者不小心遗失了手机，都可以在几秒钟之内恢复钱包，因为只需要扫描面部就可以取回备份数据。钱包不仅使用了无密钥机制，还使用了无密码授权机制。使用期间不需要记住任何的密码，因为他们采用了一些方法才到达了这种既方便又安全的方案：1.通过魔法链接授权，也就是依赖邮箱的安全性。当用户通过邮件注册的时候，将会发送一个魔法链接给用户，点击后即可完成授权。2.基于设备的授权，也就是依赖设备本身的安全性。当用户使用 App 签署签名时，需要使用面容 ID 或触控 ID 进行

38、授权。3.基于面部 3D 扫描图的授权，也就是依赖钱包提供的解决方案。当用户需要跨设备恢复账户时，就需要使用面部 3D 扫描图进行授权。除此之外，钱包还提供了方案应对服务关停的风险：钱包构建了第三方独立的托管服务 Escrow 和 监听服务 Trustee。Escrow 可以理解为是钱包服务器的一个备份，而2020 云安全联盟大中华区-版权所有19Trustee 则会监听钱包服务的状态，当 Trustee 发现钱包服务关停时，它会请求 Escrow把 对 应 的 服 务 器 端 的 恢 复 密 钥 转 移 到 Tustee 指 定 的GitHub账 号（https:/ GitHub提供的恢复模

39、式，如果是恢复模式就自动进入恢复模式，从而还原客户端的私钥，这个私钥可以直接进行交易签名进行资产转移，也可以把这个私钥导入到其他的钱包。总体来说，这种数字钱包安全设计方法照顾到用户失去私钥和 ZenGo 作为企业倒闭后，钱包的系统能够继续运行，用户的私钥可以恢复。因此是一个非常好的设计。但是，也需要注意 Escrow 和 Trustee 合谋的风险，和黑客攻击 Trustee 指定的 GitHub 账号引起不必要的恢复模式和由此可能造成的合成秘钥被盗的风险。除此之外 Imtoken 也是这类安全实践的典型，Imtoken 充分利用设备安全沙箱机制，将加密后的 Keystore 文件存储在手机设

40、备的安全沙箱内，防止其他程序恶意读取及由此造成的用户资产损失。并通过标准的 Keystore 文件方式进行加密存储，助记词通过业界标准方案 Keystore 方式加密保存在手机内部，并设置加密次数为 10240 有效防止暴力破解的可能。其升级后的硬件钱包 Imkey 在此基础上加入了更加成熟可靠的安全机制。1）安全 PIN 码保护机制安全 PIN 码是打开硬件钱包的密码，硬件钱包所有行为操作均需 PIN 码验证通过后方可执行。在 5 分钟内 ImKey 硬件钱包无按键行为操作则自动锁屏，需要重新输入正确的 PIN 码才能继续使用。为防止钱包遗失后 PIN 码被暴力破解，系统内置安全保护机制，当

41、 PIN 码输入错误次数达到 5 次以后，钱包将会被自动销毁，私钥数据从硬件钱包完全清除，只能通过重新导入助记词方式恢复。2）真伪验证机制ImKey 硬件钱包在初次使用时，会进行一次服务端安全认证。托管在云服务商机房内的专用设备加密机会对 ImKey 进行真伪认证，只有 ImKey 官方渠道发售的 ImKey 硬件钱包才能通过验证。从根源上避免因为伪造和仿冒的假钱包给用户造成资产损失。3）应用验签机制2020 云安全联盟大中华区-版权所有20钱包内的应用程序可以负责进行数据签名功能，为防止恶意应用被安装，应用程序签名只能由核心负责人通过私钥形式签名发布，由 ImKey 硬件进行验证，而验证公钥

42、在出厂时已预置在硬件钱包内部不可更改替换，只有合法授权的应用程序才能被安装到ImKey 硬件钱包。4）绑定码安全机制初次连接 ImKey 硬件钱包时，ImToken App 会与 ImKey 硬件钱包进行绑定。通过绑定码校验，ImKey 硬件钱包与 ImToken App 交换了生成绑定码使用的公钥，当交易时会对数据进行签名验证。通过独创的绑定码机制，可以有效防止通过对蓝牙通信攻击造成的中间人攻击。5）所见即所签当进行交易时，ImKey 会解析 ImToken App 通过蓝牙传输的交易数据并在 ImKey 屏幕上显示和二次确认，其中会包含本次转账金额、地址、手续费，只有当你都确认没有问题后才

43、会进行数据签名。做到真正的所见即所签，防止黑客通过应用程序漏洞或者蓝牙通信挟持导致转账数据被篡改。4.2 企业级数4.2 企业级数字资产钱包需求分析资产钱包需求分析数字资产钱包本身的使用门槛较高，不仅需要对加密货币本身有所了解而且还需要一定的区块链技术和数字资产的认知及操作能力；对于企业职员特别是传统财务管理人员，要从原本的中心化交易平台转换至区块链思维具有一定的难度。对于企业或机构来说，资产属于组织，不属于个人，然而目前市面上的数字资产钱包大多面向个人用户，这对于企业处理实际财税业务来说，增加了很大的管理和操作使用难度。根据调研分析，企业级用户在数字资产管理领域目前主要的需求点包括：1）密钥

44、的安全生成、存储、使用与分发；2）各种数字资产管理业务流程的信息安全管控；3）数字资产管理商业模式涉及的信息安全支撑；2020 云安全联盟大中华区-版权所有214）具体的多地址的统筹、分类、权限区别管理等。采用采用 MPC 和芯片隔离技术的钱包解决方案和芯片隔离技术的钱包解决方案FireblocksMPC（多方安全计算）解决一组互不信任的参与方之间在保护隐私信息以及没有可信第三方的前提下协同计算问题。应用于区块链也就是将私钥拆分多个碎片由约定多个参与方各自保管，私钥碎片通过 MPC 协议生成全新私钥签名，只有完整签名结果才能上链交易。SGX（软件保护扩展）是新一代 Intel CPU 的加密部

45、分，提供深层次的隔离安全保护，SGX 技术不仅能增强软件的安全性，其更大的意义是和区块链技术结合后即能解决区块链数据隐私的保护和对复杂应用的支持，又不影响区块链的去中心化的特质和数据不可篡改的特性。在保留了区块链的优点的同时又改善了区块链技术的不足。Fireblocks 突破了最新的加密与芯片隔离技术，保障用户的数字资产安全的持有与转移。Fireblocks 平台主要包括三个部分：安全热金库、安全传输环境、流程授权引擎。安全热金库Fireblocks 非托管的热金库使黑客无法通过单点破坏私钥，无论是通过物理破坏还是内部人员入侵。热金库采用芯片级隔离和安全的多方计算（MPC），可提供多层深度防御

46、。它无需繁琐的部署即可实现硬件级安全性。利用 MPC 的特性将热金库的将私钥拆分碎片隔离分布在 Fireblocks 的云服务器（SGX）和客户自有的安全移动容器。不存在唯一私钥，也不能在一个地方重构，消除了单点被破坏的可能性。由于采用了这种分布式密钥管理方案，从热金库中进行资金转移需要 Fireblocks 服务器和客户持有的移动设备共同参与。但是只能在安全传输环境中对经过身份验证的地址交易进行签名，这样的安全体系结构可保障存储在热金库中的资产免于遭受黑客、内鬼或者第三方的安全威胁。2020 云安全联盟大中华区-版权所有22图 4-1Fireblocks 的安全传输环境允许对目标地址进行动态

47、身份验证，这意味着客户的资产转移将始终到达正确的目的地，而无需白名单管理以及繁琐且容易出错的安全流程。使用芯片组隔离的 SSL 加密通讯对地址进行保护和身份验证，利用 API 密钥的安全存储。这样可以防止基于网络和主机的中间人攻击和欺骗攻击，并确保不会从帐户网络中提取数字资产。Fireblocks 工作流授权模型定义了广泛的规则集进行权限管理，自定义的规则和策略防火墙保障任何恶意或欺诈性交易将立即被阻止。这些规则是双向且基于帐户的，而不仅仅是基于地址的，因此即使钱包地址，流动性提供商或交易对手地址发生变化，规则集仍将适用。Fireblocks 安全的存储和传输平台围绕高度敏捷且安全的基础架构构

48、建，是稳健的数字资产保护方案，借助有效的工作流程授权，可以确保资金免受任何不必要的内外部的威胁与干扰。企业级数字资产托管钱包解决方案实践企业级数字资产托管钱包解决方案实践Cactus Custody产品背景介绍：产品背景介绍：2020 年 2 月底，Matrixport 发布旗下机构托管品牌 Cactus Custody 2.0。致力于为数字资产时代提供安全、透明、高效的机构级第三方数字资产托管服务。专注于构建业界2020 云安全联盟大中华区-版权所有23领先的系统安全设计和基础设施，以及提供适应于多样化业务场景的强大企业级财务管理功能。当前已不间断地为 10 亿美金级别的数字资产保驾护航，同

49、时它也满足在监管和反洗钱法例的框架下提供服务。在企业安全储存及归集大额数字资产方面，保证每个用户资金安全和公司内部财务统计上的准确性，提供更多便利企业内部财务统计的功能，极大减少了人工成本和账目出错率。Cactus Custody 降低了数字资产储存中面临的安全风险，并极大简化了数字货币资产的归集、清算流程工作。在用户的实践反馈中，我们可以看出 Cactus Custody 像是数字货币的企业网银，使用其提供的多币种支持互转、业务线隔离、层级审批设定等功能，摆脱了过去公司资产难以实时统计，财务作业不透明，操作繁杂等弊端，做到了公司数字化资产统一、集中进行管理，让公司财务管理更加安全，透明，及时

50、和交易可追溯。产品功能特点：产品功能特点：1)企业财务全貌展示财务仪表盘功能，让用户时刻掌握企业的资产，业务和人员的最新状况。CactusCustody 为客户接入实时资产价格数据，实时反应资产市值，并可以按业务线，资产类别进行筛选展示，让财务和人员分工状况一目了然。企业信息尽在管理者掌握。2)审批矩阵 灵活定制审批流程企业内协作顺畅，业务才能高效开展，对于跨地区和业务多样化的企业尤其如此。全新的审批矩阵可以完美支持细分业务线，各种汇报审批层级，不仅支持门限审批(m/n)，同时支持按金额设定审批门槛，更灵活，有控制，更安全。3)实时动态提醒 随时随地保持同步从登入到设备授权，从入账通知到订单审