วิธีการทำงานของกระเป๋าเงิน Passkey

มือใหม่10/24/2024, 6:40:27 AM
ในโพสต์นี้เราจะพูดถึงวิธีการทำงานของ passkeys สำรวจความเสี่ยงของการใช้ passkeys สำหรับกระเป๋าสตางค์ crypto และลงจริงเกี่ยวกับว่า account abstraction ทำให้ passkeys สามารถใช้งานเมื่อผสมกับสมาร์ทคอนแทรคได้อย่างไร

Passkeys are a secure and user-friendly approach to authentication that can also be used to create and securely store crypto wallets, thanks to their use of elliptic curve cryptography.

ในโพสต์นี้เราจะพูดถึงวิธีการทำงานของกุญแจผ่าน สำรวจความเสี่ยงในการใช้กุญแจผ่านสำหรับกระเป๋าสตางค์สำหรับการเข้าถึงบัญชีและสำรวจว่าการทางเอกสารช่วยให้กุญแจผ่านสามารถใช้งานเมื่อผสมกับสัญญาอัจฉริยะ

Passkeys คืออะไร?

Passkeys are a simple and secure way for users to sign into an application without requiring them to store sensitive passwords or remember any login details. Instead, users create and access accounts using familiar methods like biometrics such as Face ID or Touch ID.

นี้ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบและติดต่อกับแอปพลิเคชันได้อย่างง่ายดายโดยไม่ต้องเก็บข้อมูลประจำตัวที่สำคัญ ซึ่งจะช่วยให้มีประสบการณ์ที่ไม่มีรอยต่อและความปลอดภัยเพิ่มขึ้นต่อการละเมิดข้อมูลและเวกเตอร์การโจมตีที่พบบ่อย เช่นการฟิชชิ่ง

บนอุปกรณ์ส่วนใหญ่ เช่น iPhone รหัสผ่านจะถูกเก็บไว้ภายในฮาร์ดแวร์ที่เชี่ยวชาญที่เรียกว่าSecure Enclave; สภาพแวดล้อมที่ได้รับการกำหนดเฉพาะเพื่อป้องกันข้อมูลที่สำคัญ แม้กระทั้งตัวประมวลผลหลักจะถูกคัดค้าง

วิธีการทำงานของ Passkeys คืออย่างไร?

Passkeys utilize การเข้ารหัสด้วยกุญแจสาธารณะเพื่อสร้างคู่กุญแจสาธารณะ-ส่วนตัวบนอุปกรณ์ของผู้ใช้ ประกอบด้วยสองกุญแจ:

  • คีย์สาธารณะ: สามารถดูได้โดยผู้ใดก็ได้ จะถูกเก็บไว้บนเซิร์ฟเวอร์ของแอปพลิเคชันหรือบางครั้งถูกเก็บบนเชนในสมาร์ทคอนแทรค โดยใช้วิธีการเข้ารหัสลำดับทางเลขคณิติคูร์ฟิก สามารถคำนวณได้เสมอจากคีย์ส่วนตัว
  • คีย์ส่วนตัว: ควรจะรู้เพียงผู้ถือบัญชีเท่านั้น (หรือบางครั้งอาจไม่รู้ด้วยตัวเอง) มันถูกเก็บไว้ภายใน Secure Enclave หรือฮาร์ดแวร์ที่มีความปลอดภัยเช่น YubiKey

เหมือนบล็อกเชนวอลเล็ตกุญแจส่วนตัวของคีย์ผ่านสามารถใช้เซ็นข้อความและธุรกรรมที่สามารถส่งไปทำการเปลี่ยนแปลงสถานะบนบล็อกเชนได้

เพื่อเซ็นสัญญาด้วยคีย์ส่วนตัวของ passkey ธุรกรรมถูกส่งไปยังฮาร์ดแวร์ที่มีความปลอดภัย ที่ซึ่งมันถูกเซ็นสัญญาแล้วและลายเซ็นที่ได้จากนั้นถูกส่งออก ในระหว่างกระบวนการนี้เจ้าของหรือผู้พัฒนาแอปต่างไม่มีการเข้าถึงคีย์ส่วนตัวเลย พวกเขาเพียงแต่ได้รับลายเซ็นที่สร้างขึ้น

นี่จะมอบความปลอดภัยที่เพิ่มขึ้นสำหรับผู้ใช้เนื่องจากคีย์ส่วนตัวโดยทั่วไปไม่ได้โหลดเข้าสู่หน่วยความจำของแอปพลิเคชัน ลดความเสี่ยงของการเปิดเผยต่อการโจมตีที่เป็นไปได้ ตัวอย่างเช่นบน iPhone ผู้ใช้ไม่สามารถเข้าถึงค่าของ passkey ได้ภายในการตั้งค่าของพวกเขา โดยที่คีย์ถูกสร้างขึ้นและเก็บไว้ในฮาร์ดแวร์ที่เชี่ยวชาญซึ่งไม่สามารถเข้าถึงได้

การใช้ Passkeys สำหรับกระเป๋าเงินสกุลเงินดิจิตอล

Passkeys และ crypto wallets ใช้เทคโนโลยีพื้นฐานเดียวกันของ elliptic curve cryptography เพื่อสร้างคู่กุญแจสาธารณะ-ส่วนตัว นักพัฒนาแอปพลิเคชันบล็อกเชนสามารถใช้ passkeys เพื่อสร้างกระเป๋าเงินในแอปพลิเคชันที่ปลอดภัยสำหรับผู้ใช้งานด้วย UX ที่มีประสิทธิภาพ

อย่างไรก็ตาม มีความแตกต่างสำคัญหนึ่งที่นำเสนอความซับซ้อนเมื่อใช้ passkeys สำหรับบัญชีบล็อกเชน คือ passkeys ใช้เส้นโค้งแปลกต่างหากจากบัญชีบล็อกเชน

ในขณะที่ Apple, Android และ WebAuthn ใช้เส้นโค้ง secp256r1 (หรือ P-256) สำหรับ passkeys บัญชีบล็อกเชนใช้เส้นโค้งรูปร่าง secp256k1

นี่หมายความว่าธุรกรรมที่ถูกลงลายมือด้วยคีย์ส่วนตัวของหมายศาลไม่ได้รับการเข้าใจ (และดังนั้นถูกปฏิเสธ) โดยบล็อกเชนเช่น Ethereum หรือ Abstract คาดหวังเริ่มต้นของบล็อกเชนคือธุรกรรมถูกลงลายมือด้วยคีย์เป็นคู่ที่สร้างขึ้นบนเส้น曲ส่วน secp256k1

เนื่องจากกระเป๋าเงินปกติ (EOA) ถูกสร้างขึ้นบนเส้นโค้ง k1 ดังนั้นจึงจำเป็นต้องใช้กระเป๋าเงินสมาร์ทคอนแทร็ก เนื่องจากสามารถรวมตรรกะที่กำหนดเองที่ตรวจสอบธุรกรรมที่ถูกลงนามด้วยคีย์ส่วนตัวที่สร้างขึ้นโดย passkeys ก่อนที่จะอนุญาตให้ดำเนินการธุรกรรม

ทำไมบล็อกเชนถึงใช้เส้นโค้ง secp256k1 ครับ?

Bitcoin เป็นครั้งแรกที่นำโค้ด secp256k1 เข้ามาใช้ในการดำเนินการทางคริปโตกราฟิก ซึ่งกำหนดมาตรฐานสำหรับ Ethereum และบล็อกเชนที่ใช้ EVM อื่น ๆ ให้ใช้รูปแบบ k1 ของโค้ดเพื่อบัญชี

รูปแบบ k1 ของเส้นโค้งยังขาดคุณสมบัติบางอย่างเช่นตัวคูณเพิ่มเติมที่ทำให้ secp256r1 ซับซ้อนขึ้นเล็กน้อย ซึ่งหมายความว่า secp256k1 มีประสิทธิภาพในการสร้างคีย์สำหรับการสร้างลายเซ็นต์และการตรวจสอบที่ดีกว่า

แม้ว่าจะไม่พบช่องโหว่โดยตรง แต่ก็มีทฤษฎีสมคบคิดที่มีอยู่ว่า Bitcoin เลือกที่จะใช้ k1 เหนือเส้นโค้ง r1 ที่นํามาใช้อย่างดีเพื่อหลีกเลี่ยงความเป็นไปได้สําหรับประตูหลังที่อาจได้รับการแนะนําอย่างลับ ๆ โดยหน่วยงานของรัฐเช่น NSA เนื่องจากการมีส่วนร่วมในการพัฒนามาตรฐานการเข้ารหัสที่ได้รับการรับรองจาก NIST

วิธีการที่กระเป๋าสมาร์ทคอนแทร็คเปิดใช้งาน Passkey

กระเป๋าสมาร์ทคอนแทร็กท์ (เช่นที่รองรับโดย Gate.io)การสรุปบัญชีท้องถิ่นของ Abstract) สามารถมีตรรกะอย่างอิสระสำหรับ EVM ที่จะดำเนินการ; รวมถึงการตรวจสอบลายมือชื่อสำหรับข้อความที่มันได้รับลายมือชื่อโดยกุญแจส่วนตัวที่สร้างขึ้นบนเส้นโค้ง r1

ไลบรารีเปิดเผยเช่น ตรวจสอบ P256 ของ Daimo โอเพนซอร์สได้สร้างขึ้นเพื่อยืนยันลายเซ็นต์บนเส้นโค้ง secp256r1 ภายในสัญญาอัจฉริยะที่เขียนด้วยภาษา Solidity

ใน Ethereum นี้หมายความว่าคุณสามารถใช้สัญญาอัจฉริยะที่สร้างขึ้นด้วย Gate ได้มาตรฐานการรวมบัญชี ERC-4337เพื่อยืนยันลายเซ็น r1 ของการดำเนินการของผู้ใช้ภายในvalidateUserOpฟังก์ชันของกระเป๋าเงินสมาร์ทคอนแทรกต์

ใน Abstract, การทำงานของบัญชีภายใน สามารถให้กระเป๋าเงินสมาร์ทคอนแทร็คส่งธุรกรรมพร้อมกับฟิลด์ลายเซ็นต์ที่กำหนดเป็นข้อความที่ได้รับลายเซ็นต์โดยกุญแจส่วนตัวของรหัสผ่าน หากบัญชีที่ส่งธุรกรรมเป็นสมาร์ทคอนแทร็คที่รวมตรรกะเพื่อยืนยันลายเซ็นต์ r1 (ใน validateTransactionหลังจากที่ฟังก์ชัน (คำสั่ง) ธุรกรรมถูกยอมรับแล้ว

มันคืออะไร Smart Contract Wallet?

กระเป๋าเงินสมาร์ทคอนแทร็กใช้โค้ด (ในรูปแบบของสมาร์ทคอนแทร็ก) เพื่อจัดการและควบคุมฟังก์ชันของตน ซึ่งหมายความว่าพวกเขาสามารถมีคุณสมบัติที่กำหนดเองใด ๆ รวมถึงโมดูลการกู้คืน ผู้ลงนามที่ได้รับการอนุมัติหลายราย เขตจำกัดการใช้จ่าย คีย์เซสชัน และอื่น ๆ

กระเป๋าเงินสัญญาอัจฉริยะให้ความยืดหยุ่นมากกว่ากระเป๋าเงิน EOA (บัญชีที่เป็นเจ้าของภายนอก) แบบดั้งเดิม และเนื่องจากสามารถรวมรหัส EVM โดยพลการ จึงมีอํานาจในการตรวจสอบลายเซ็น (เช่น อนุญาตธุรกรรม) จากคู่คีย์ที่สร้างขึ้นบนเส้นโค้งวงรี r1

RIP-7212 Precompileคืออะไร?

การยืนยันลายเซ็นต์บนเส้นโค้ง r1 ไม่เป็นตัวเลือกที่เกิดขึ้นธรรมชาติในบล็อกเชนเช่น Ethereum หรือ Abstract เพราะฉะนั้นการดำเนินการยืนยันนี้จะใช้เวลาในการคำนวณมาก ซึ่งทำให้ค่าแก๊สในการยืนยันลายเซ็นต์ r1 เพิ่มขึ้นอย่างมาก (ราว ๆ 100 เท่า) ต่อเทียบกับลายเซ็นต์ k1

RIP-7212 (Rollup Improvement Proposal) предлагает добавление предварительно скомпилированного смарт-контракта в Ethereum L2s для более эффективной проверки подписи на кривой r1. Хотя это пока не включено в Ethereum, масштабируемые решения, совместимые с EVM, такие как Abstract, уже реализовали это и обеспечивают уменьшение газа в 100 раз для проверки подписи r1.

ข้อเสียของกระเป๋าสุดยอด

ข้อเสียของกระเป๋าสตางค์ passkey คือความจริงที่พวกเขาเชื่อมโยงกับโดเมนเดียว ตัวอย่างเช่น หากคุณสร้างกระเป๋าสตางค์บน some-domain.com กระเป๋าสตางค์ของคุณ (และด้วยเหตุนี้กระเป๋าสตางค์ของคุณ) สามารถเชื่อมต่อกับโดเมนที่ระบุเท่านั้น

นี่เป็นการออกแบบอย่างตั้งใจเพื่อป้องกันการโจมตีด้วยวิธีการหลอกลวง อย่างไรก็ตาม มีข้อบกพร่องสำคัญสำหรับผู้ใช้ที่ให้ความสำคัญกับการเก็บรักษาเอง เนื่องจากวอลเล็ตของคุณถูกผูกติดตรงกับแอปพลิเคชันหนึ่ง ซึ่งหมายความว่า:

  1. คุณจะไม่ได้รับประโยชน์จากการมีกระเป๋าเงินเดียวในการเข้าสู่แอปพลิเคชันหลายรายการ ซึ่งเป็นหนึ่งในประโยชน์สำคัญของกระเป๋าเงินดิจิตอล
  2. ถ้าโดเมนล่มหรือไม่สามารถเข้าถึงได้ (เช่นถ้าผู้พัฒนาหยุดจ่ายค่าโฮสติ้ง) คุณจะไม่สามารถเข้าถึงหรือถอนเงินจากกระเป๋าของคุณได้

ด้วยเหตุนี้ กระเป๋าเก็บรหัสผ่านเหมาะสมที่สุดสำหรับจำนวนเงินเล็ก ๆ หรือเพื่อเปิดตัวผู้ใช้งานผู้เริ่มต้นให้ได้สัมผัสกับประสบการณ์การใช้งานคริปโตครั้งแรกจนกว่าพวกเขาจะมีความรู้มากขึ้นเกี่ยวกับกระเป๋าเก็บรหัสผ่านของตนเอง

ถ้าฉันสูญเสียอุปกรณ์ของฉันจะเกิดอะไรขึ้น?

นี้ขึ้นอยู่กับวิธีที่คุณเลือกทำการสำรองรหัสผ่าน มีตัวเลือกหลายอย่างในการสำรองรหัสผ่านลงในคลาวด์ (เช่น Apple Keychain) เพื่อให้สามารถเข้าถึงได้ในอุปกรณ์อื่น ๆ แม้ว่าคุณจะสูญหายรหัสผ่านต้นฉบับของคุณ

ถ้ามีคนขโมยอุปกรณ์ของฉันจะเกิดอะไรขึ้น?

คีย์ส่วนตัวไม่สามารถอ่านได้บนอุปกรณ์ที่เราใช้งานอยู่ในทุกๆ จุด โดยเนื่องจากมันอยู่ใน Secure Enclave อย่างไรก็ตาม หากพวกเขามีการเข้าถึงข้อมูลชีวภาพของคุณพวกเขาสามารถดำเนินการเช่นเดียวกับการควบคุมคีย์ผ่าน / กระเป๋าของคุณ

แอปพลิเคชันจะได้รับข้อมูลชีวภาพของฉันหรือไม่?

ไม่ ข้อมูลชีพของคุณไม่ถูกส่งไปที่ใด ๆ; มันอยู่ในอุปกรณ์ของคุณ ข้อมูลชีพของคุณใช้งานเพื่อ 'ปลดล็อก' รหัสผ่าน

คำปฏิเสธ:

  1. บทความนี้พิมพ์ซ้ําจาก [abs.xyz]. สิทธิ์ในการคัดลอกทั้งหมดเป็นของผู้เขียนต้นฉบับ [Jarrod Watts]. หากมีคำโต้แย้งเกี่ยวกับการเผยแพร่นี้ กรุณาติดต่อ Gate Learnทีมงานของเรา และพวกเขาจะดำเนินการโดยเร็ว
  2. คำประกาศอาชีพความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงเจ้าของบทความเท่านั้นและไม่มีสิ่งใดเป็นการแนะนำการลงทุนใด ๆ
  3. การแปลบทความเป็นภาษาอื่น ๆ จะได้รับการดำเนินการโดยทีม Gate Learn การคัดลอก การแจกจ่าย หรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถือเป็นการละเมิด

วิธีการทำงานของกระเป๋าเงิน Passkey

มือใหม่10/24/2024, 6:40:27 AM
ในโพสต์นี้เราจะพูดถึงวิธีการทำงานของ passkeys สำรวจความเสี่ยงของการใช้ passkeys สำหรับกระเป๋าสตางค์ crypto และลงจริงเกี่ยวกับว่า account abstraction ทำให้ passkeys สามารถใช้งานเมื่อผสมกับสมาร์ทคอนแทรคได้อย่างไร

Passkeys are a secure and user-friendly approach to authentication that can also be used to create and securely store crypto wallets, thanks to their use of elliptic curve cryptography.

ในโพสต์นี้เราจะพูดถึงวิธีการทำงานของกุญแจผ่าน สำรวจความเสี่ยงในการใช้กุญแจผ่านสำหรับกระเป๋าสตางค์สำหรับการเข้าถึงบัญชีและสำรวจว่าการทางเอกสารช่วยให้กุญแจผ่านสามารถใช้งานเมื่อผสมกับสัญญาอัจฉริยะ

Passkeys คืออะไร?

Passkeys are a simple and secure way for users to sign into an application without requiring them to store sensitive passwords or remember any login details. Instead, users create and access accounts using familiar methods like biometrics such as Face ID or Touch ID.

นี้ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบและติดต่อกับแอปพลิเคชันได้อย่างง่ายดายโดยไม่ต้องเก็บข้อมูลประจำตัวที่สำคัญ ซึ่งจะช่วยให้มีประสบการณ์ที่ไม่มีรอยต่อและความปลอดภัยเพิ่มขึ้นต่อการละเมิดข้อมูลและเวกเตอร์การโจมตีที่พบบ่อย เช่นการฟิชชิ่ง

บนอุปกรณ์ส่วนใหญ่ เช่น iPhone รหัสผ่านจะถูกเก็บไว้ภายในฮาร์ดแวร์ที่เชี่ยวชาญที่เรียกว่าSecure Enclave; สภาพแวดล้อมที่ได้รับการกำหนดเฉพาะเพื่อป้องกันข้อมูลที่สำคัญ แม้กระทั้งตัวประมวลผลหลักจะถูกคัดค้าง

วิธีการทำงานของ Passkeys คืออย่างไร?

Passkeys utilize การเข้ารหัสด้วยกุญแจสาธารณะเพื่อสร้างคู่กุญแจสาธารณะ-ส่วนตัวบนอุปกรณ์ของผู้ใช้ ประกอบด้วยสองกุญแจ:

  • คีย์สาธารณะ: สามารถดูได้โดยผู้ใดก็ได้ จะถูกเก็บไว้บนเซิร์ฟเวอร์ของแอปพลิเคชันหรือบางครั้งถูกเก็บบนเชนในสมาร์ทคอนแทรค โดยใช้วิธีการเข้ารหัสลำดับทางเลขคณิติคูร์ฟิก สามารถคำนวณได้เสมอจากคีย์ส่วนตัว
  • คีย์ส่วนตัว: ควรจะรู้เพียงผู้ถือบัญชีเท่านั้น (หรือบางครั้งอาจไม่รู้ด้วยตัวเอง) มันถูกเก็บไว้ภายใน Secure Enclave หรือฮาร์ดแวร์ที่มีความปลอดภัยเช่น YubiKey

เหมือนบล็อกเชนวอลเล็ตกุญแจส่วนตัวของคีย์ผ่านสามารถใช้เซ็นข้อความและธุรกรรมที่สามารถส่งไปทำการเปลี่ยนแปลงสถานะบนบล็อกเชนได้

เพื่อเซ็นสัญญาด้วยคีย์ส่วนตัวของ passkey ธุรกรรมถูกส่งไปยังฮาร์ดแวร์ที่มีความปลอดภัย ที่ซึ่งมันถูกเซ็นสัญญาแล้วและลายเซ็นที่ได้จากนั้นถูกส่งออก ในระหว่างกระบวนการนี้เจ้าของหรือผู้พัฒนาแอปต่างไม่มีการเข้าถึงคีย์ส่วนตัวเลย พวกเขาเพียงแต่ได้รับลายเซ็นที่สร้างขึ้น

นี่จะมอบความปลอดภัยที่เพิ่มขึ้นสำหรับผู้ใช้เนื่องจากคีย์ส่วนตัวโดยทั่วไปไม่ได้โหลดเข้าสู่หน่วยความจำของแอปพลิเคชัน ลดความเสี่ยงของการเปิดเผยต่อการโจมตีที่เป็นไปได้ ตัวอย่างเช่นบน iPhone ผู้ใช้ไม่สามารถเข้าถึงค่าของ passkey ได้ภายในการตั้งค่าของพวกเขา โดยที่คีย์ถูกสร้างขึ้นและเก็บไว้ในฮาร์ดแวร์ที่เชี่ยวชาญซึ่งไม่สามารถเข้าถึงได้

การใช้ Passkeys สำหรับกระเป๋าเงินสกุลเงินดิจิตอล

Passkeys และ crypto wallets ใช้เทคโนโลยีพื้นฐานเดียวกันของ elliptic curve cryptography เพื่อสร้างคู่กุญแจสาธารณะ-ส่วนตัว นักพัฒนาแอปพลิเคชันบล็อกเชนสามารถใช้ passkeys เพื่อสร้างกระเป๋าเงินในแอปพลิเคชันที่ปลอดภัยสำหรับผู้ใช้งานด้วย UX ที่มีประสิทธิภาพ

อย่างไรก็ตาม มีความแตกต่างสำคัญหนึ่งที่นำเสนอความซับซ้อนเมื่อใช้ passkeys สำหรับบัญชีบล็อกเชน คือ passkeys ใช้เส้นโค้งแปลกต่างหากจากบัญชีบล็อกเชน

ในขณะที่ Apple, Android และ WebAuthn ใช้เส้นโค้ง secp256r1 (หรือ P-256) สำหรับ passkeys บัญชีบล็อกเชนใช้เส้นโค้งรูปร่าง secp256k1

นี่หมายความว่าธุรกรรมที่ถูกลงลายมือด้วยคีย์ส่วนตัวของหมายศาลไม่ได้รับการเข้าใจ (และดังนั้นถูกปฏิเสธ) โดยบล็อกเชนเช่น Ethereum หรือ Abstract คาดหวังเริ่มต้นของบล็อกเชนคือธุรกรรมถูกลงลายมือด้วยคีย์เป็นคู่ที่สร้างขึ้นบนเส้น曲ส่วน secp256k1

เนื่องจากกระเป๋าเงินปกติ (EOA) ถูกสร้างขึ้นบนเส้นโค้ง k1 ดังนั้นจึงจำเป็นต้องใช้กระเป๋าเงินสมาร์ทคอนแทร็ก เนื่องจากสามารถรวมตรรกะที่กำหนดเองที่ตรวจสอบธุรกรรมที่ถูกลงนามด้วยคีย์ส่วนตัวที่สร้างขึ้นโดย passkeys ก่อนที่จะอนุญาตให้ดำเนินการธุรกรรม

ทำไมบล็อกเชนถึงใช้เส้นโค้ง secp256k1 ครับ?

Bitcoin เป็นครั้งแรกที่นำโค้ด secp256k1 เข้ามาใช้ในการดำเนินการทางคริปโตกราฟิก ซึ่งกำหนดมาตรฐานสำหรับ Ethereum และบล็อกเชนที่ใช้ EVM อื่น ๆ ให้ใช้รูปแบบ k1 ของโค้ดเพื่อบัญชี

รูปแบบ k1 ของเส้นโค้งยังขาดคุณสมบัติบางอย่างเช่นตัวคูณเพิ่มเติมที่ทำให้ secp256r1 ซับซ้อนขึ้นเล็กน้อย ซึ่งหมายความว่า secp256k1 มีประสิทธิภาพในการสร้างคีย์สำหรับการสร้างลายเซ็นต์และการตรวจสอบที่ดีกว่า

แม้ว่าจะไม่พบช่องโหว่โดยตรง แต่ก็มีทฤษฎีสมคบคิดที่มีอยู่ว่า Bitcoin เลือกที่จะใช้ k1 เหนือเส้นโค้ง r1 ที่นํามาใช้อย่างดีเพื่อหลีกเลี่ยงความเป็นไปได้สําหรับประตูหลังที่อาจได้รับการแนะนําอย่างลับ ๆ โดยหน่วยงานของรัฐเช่น NSA เนื่องจากการมีส่วนร่วมในการพัฒนามาตรฐานการเข้ารหัสที่ได้รับการรับรองจาก NIST

วิธีการที่กระเป๋าสมาร์ทคอนแทร็คเปิดใช้งาน Passkey

กระเป๋าสมาร์ทคอนแทร็กท์ (เช่นที่รองรับโดย Gate.io)การสรุปบัญชีท้องถิ่นของ Abstract) สามารถมีตรรกะอย่างอิสระสำหรับ EVM ที่จะดำเนินการ; รวมถึงการตรวจสอบลายมือชื่อสำหรับข้อความที่มันได้รับลายมือชื่อโดยกุญแจส่วนตัวที่สร้างขึ้นบนเส้นโค้ง r1

ไลบรารีเปิดเผยเช่น ตรวจสอบ P256 ของ Daimo โอเพนซอร์สได้สร้างขึ้นเพื่อยืนยันลายเซ็นต์บนเส้นโค้ง secp256r1 ภายในสัญญาอัจฉริยะที่เขียนด้วยภาษา Solidity

ใน Ethereum นี้หมายความว่าคุณสามารถใช้สัญญาอัจฉริยะที่สร้างขึ้นด้วย Gate ได้มาตรฐานการรวมบัญชี ERC-4337เพื่อยืนยันลายเซ็น r1 ของการดำเนินการของผู้ใช้ภายในvalidateUserOpฟังก์ชันของกระเป๋าเงินสมาร์ทคอนแทรกต์

ใน Abstract, การทำงานของบัญชีภายใน สามารถให้กระเป๋าเงินสมาร์ทคอนแทร็คส่งธุรกรรมพร้อมกับฟิลด์ลายเซ็นต์ที่กำหนดเป็นข้อความที่ได้รับลายเซ็นต์โดยกุญแจส่วนตัวของรหัสผ่าน หากบัญชีที่ส่งธุรกรรมเป็นสมาร์ทคอนแทร็คที่รวมตรรกะเพื่อยืนยันลายเซ็นต์ r1 (ใน validateTransactionหลังจากที่ฟังก์ชัน (คำสั่ง) ธุรกรรมถูกยอมรับแล้ว

มันคืออะไร Smart Contract Wallet?

กระเป๋าเงินสมาร์ทคอนแทร็กใช้โค้ด (ในรูปแบบของสมาร์ทคอนแทร็ก) เพื่อจัดการและควบคุมฟังก์ชันของตน ซึ่งหมายความว่าพวกเขาสามารถมีคุณสมบัติที่กำหนดเองใด ๆ รวมถึงโมดูลการกู้คืน ผู้ลงนามที่ได้รับการอนุมัติหลายราย เขตจำกัดการใช้จ่าย คีย์เซสชัน และอื่น ๆ

กระเป๋าเงินสัญญาอัจฉริยะให้ความยืดหยุ่นมากกว่ากระเป๋าเงิน EOA (บัญชีที่เป็นเจ้าของภายนอก) แบบดั้งเดิม และเนื่องจากสามารถรวมรหัส EVM โดยพลการ จึงมีอํานาจในการตรวจสอบลายเซ็น (เช่น อนุญาตธุรกรรม) จากคู่คีย์ที่สร้างขึ้นบนเส้นโค้งวงรี r1

RIP-7212 Precompileคืออะไร?

การยืนยันลายเซ็นต์บนเส้นโค้ง r1 ไม่เป็นตัวเลือกที่เกิดขึ้นธรรมชาติในบล็อกเชนเช่น Ethereum หรือ Abstract เพราะฉะนั้นการดำเนินการยืนยันนี้จะใช้เวลาในการคำนวณมาก ซึ่งทำให้ค่าแก๊สในการยืนยันลายเซ็นต์ r1 เพิ่มขึ้นอย่างมาก (ราว ๆ 100 เท่า) ต่อเทียบกับลายเซ็นต์ k1

RIP-7212 (Rollup Improvement Proposal) предлагает добавление предварительно скомпилированного смарт-контракта в Ethereum L2s для более эффективной проверки подписи на кривой r1. Хотя это пока не включено в Ethereum, масштабируемые решения, совместимые с EVM, такие как Abstract, уже реализовали это и обеспечивают уменьшение газа в 100 раз для проверки подписи r1.

ข้อเสียของกระเป๋าสุดยอด

ข้อเสียของกระเป๋าสตางค์ passkey คือความจริงที่พวกเขาเชื่อมโยงกับโดเมนเดียว ตัวอย่างเช่น หากคุณสร้างกระเป๋าสตางค์บน some-domain.com กระเป๋าสตางค์ของคุณ (และด้วยเหตุนี้กระเป๋าสตางค์ของคุณ) สามารถเชื่อมต่อกับโดเมนที่ระบุเท่านั้น

นี่เป็นการออกแบบอย่างตั้งใจเพื่อป้องกันการโจมตีด้วยวิธีการหลอกลวง อย่างไรก็ตาม มีข้อบกพร่องสำคัญสำหรับผู้ใช้ที่ให้ความสำคัญกับการเก็บรักษาเอง เนื่องจากวอลเล็ตของคุณถูกผูกติดตรงกับแอปพลิเคชันหนึ่ง ซึ่งหมายความว่า:

  1. คุณจะไม่ได้รับประโยชน์จากการมีกระเป๋าเงินเดียวในการเข้าสู่แอปพลิเคชันหลายรายการ ซึ่งเป็นหนึ่งในประโยชน์สำคัญของกระเป๋าเงินดิจิตอล
  2. ถ้าโดเมนล่มหรือไม่สามารถเข้าถึงได้ (เช่นถ้าผู้พัฒนาหยุดจ่ายค่าโฮสติ้ง) คุณจะไม่สามารถเข้าถึงหรือถอนเงินจากกระเป๋าของคุณได้

ด้วยเหตุนี้ กระเป๋าเก็บรหัสผ่านเหมาะสมที่สุดสำหรับจำนวนเงินเล็ก ๆ หรือเพื่อเปิดตัวผู้ใช้งานผู้เริ่มต้นให้ได้สัมผัสกับประสบการณ์การใช้งานคริปโตครั้งแรกจนกว่าพวกเขาจะมีความรู้มากขึ้นเกี่ยวกับกระเป๋าเก็บรหัสผ่านของตนเอง

ถ้าฉันสูญเสียอุปกรณ์ของฉันจะเกิดอะไรขึ้น?

นี้ขึ้นอยู่กับวิธีที่คุณเลือกทำการสำรองรหัสผ่าน มีตัวเลือกหลายอย่างในการสำรองรหัสผ่านลงในคลาวด์ (เช่น Apple Keychain) เพื่อให้สามารถเข้าถึงได้ในอุปกรณ์อื่น ๆ แม้ว่าคุณจะสูญหายรหัสผ่านต้นฉบับของคุณ

ถ้ามีคนขโมยอุปกรณ์ของฉันจะเกิดอะไรขึ้น?

คีย์ส่วนตัวไม่สามารถอ่านได้บนอุปกรณ์ที่เราใช้งานอยู่ในทุกๆ จุด โดยเนื่องจากมันอยู่ใน Secure Enclave อย่างไรก็ตาม หากพวกเขามีการเข้าถึงข้อมูลชีวภาพของคุณพวกเขาสามารถดำเนินการเช่นเดียวกับการควบคุมคีย์ผ่าน / กระเป๋าของคุณ

แอปพลิเคชันจะได้รับข้อมูลชีวภาพของฉันหรือไม่?

ไม่ ข้อมูลชีพของคุณไม่ถูกส่งไปที่ใด ๆ; มันอยู่ในอุปกรณ์ของคุณ ข้อมูลชีพของคุณใช้งานเพื่อ 'ปลดล็อก' รหัสผ่าน

คำปฏิเสธ:

  1. บทความนี้พิมพ์ซ้ําจาก [abs.xyz]. สิทธิ์ในการคัดลอกทั้งหมดเป็นของผู้เขียนต้นฉบับ [Jarrod Watts]. หากมีคำโต้แย้งเกี่ยวกับการเผยแพร่นี้ กรุณาติดต่อ Gate Learnทีมงานของเรา และพวกเขาจะดำเนินการโดยเร็ว
  2. คำประกาศอาชีพความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงเจ้าของบทความเท่านั้นและไม่มีสิ่งใดเป็นการแนะนำการลงทุนใด ๆ
  3. การแปลบทความเป็นภาษาอื่น ๆ จะได้รับการดำเนินการโดยทีม Gate Learn การคัดลอก การแจกจ่าย หรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถือเป็นการละเมิด
เริ่มตอนนี้
สมัครและรับรางวัล
$100