私钥保管
安全 专业 保密
为了帮助普通用户提升私钥管理的安全水平,高能链采用代替用户集中管理私钥的设计方案。我们采取如下措施提升私钥安全性:
私钥相关业务被集中到签名服务。签名服务运行在专用的裸金属服务器(BMS, Bare Metal Server)上,并且做了针对性的系统强化、访问权限控制以及网络隔离保护,仅能由指定的应用服务器通过双向认证的安全连接进行访问。
为了兼顾多位管理员共同管理的需要,并防止单一秘密被过多人掌握,高能链采用秘密分割算法(SSS, Shamir's Secret Sharing)对管理员密钥进行安全分割,使得单一或少于门限数量的管理员无法恢复管理员密钥,而个别管理员丢失所管理的分量也不影响对管理员密钥的恢复。
管理员所持分量可以编码为助记词,并使用 Reed-Solomon 编码方法进行纠错,防止个别助记词抄错、遗漏等情况造成恢复错误。
高能链采用多级密钥体系,层层加密,来阻断可能的攻击链条。在高能链的密钥管理体系中,目前一共有三级密钥:
用户助记词种子为第一级,被主密钥所加密后存放于数据库中,并对数据库访问权限做了管理。加密算法为主流的分组加密算法 AES(高级加密标准),分组模式为 GCM(伽罗瓦计数器模式)。GCM 模式具备密文完整性验证能力,可以检测密文被篡改或者替换的情形,避免存放于数据库的密文被攻击者替换从而造成伪造身份签名的效果,或密文被篡改而造成签名无效的后果。
主密钥为第二级,由第三级的管理员密钥所加密,同样采用 AES-GCM 模式。主密钥的明文仅在签名服务器的内存中出现。
管理员密钥为第三级。签名服务启动的时候,由多位管理员共同恢复管理员密钥,签名服务使用管理员密钥解密主密钥后,销毁相关材料,将主密钥驻留内存以便在需要的时候解密用户助记词种子。
通过多级密钥体系和秘密分割技术,高能链阻断了从管理员到用户助记词种子的攻击链条:
单一或少于门限数量的管理员不能恢复管理员密钥;
掌握管理员密钥不一定导致掌握主密钥;
掌握主密钥不一定导致掌握用户助记词种子;
掌握个别用户的助记词种子不一定导致掌握其他用户的助记词种子。
从而最大限度地保证了用户的资产安全。
高能链制定了主密钥定期轮换和按需轮换的管理政策。定期或管理员人员变更后,也会重新生成管理员密钥的秘密分割分量。
用户种子和私钥仅在用户发起签名的时候才在签名服务中被恢复出来,并且完成签名后立即安全销毁。其明文暴露于内存中的时间极为短暂。高能链精心优化了算法流程,配备了性能强悍的硬件以保证足够的签名性能,并避免缓存所恢复的用户私钥。
数字化执行承诺
轻松处理跨链业务