Mysten Labs 推出 zkLogin 背後的 salt 伺服器架構,確保 Web3 應用程式的安全性和私密身分管理。
Mysten Labs 推出了其 zkLogin 身份驗證機制的 salt 伺服器架構,確保 Web3 應用程式的安全和私密身分管理。
The Sui 部落格最近的一篇文章中描述的該架構旨在維護 Web3 空間中使用者身分的完整性和隱私性。
zkLogin 是一個 Sui 原語,為 Web3 提供了一種無需信任、安全且使用者友好的身份驗證機制。它允許開發者整合熟悉的Web2登入方法,例如Google或Facebook,使用戶能夠輕鬆建立和管理Sui位址。
zkLogin 的一個關鍵元件是 salt 伺服器,每當啟動交易時,它都會產生、儲存並提供唯一的 salt 值。此鹽值可確保鏈上位址無法追溯到使用者的 Web2 憑證。
在Mysten Labs,salt 伺服器在安全的計算環境中運行,以保護主種子,該主種子與用戶的JSON Web 令牌(JWT) 結合使用,為每個用戶每個應用程式派生可重現的salt值。主種子的保護對於保持 Web2 身分與 Sui 位址的分離至關重要。
為了實現這一目標,salt 伺服器在隔離、可信任的運算環境(例如 AWS Nitro Enclaves)中運行,確保主種子免受內部和外部威脅。
Mysten Labs 也強調使用可信任運算基礎架構來託管 salt 伺服器,其中包括 Azure 機密運算、GCP 機密虛擬機器和 AWS Nitro Enclaves 等選項,這些選項可提供隔離的運算環境。在這種情況下,選擇 Nitro Enclaves 是因為它們能夠在具有容器證明的隔離環境中運行伺服器,僅允許透過 TCP 直接存取服務的端點。
主種子僅生成一次,在安全、隔離的環境中創建,確保其隨機性和安全性。然後,種子被加密並儲存在秘密儲存中,只有飛地身分才能存取。此過程可確保任何管理員或外部方都無法存取明文秘密。
salt 伺服器使用種子為每個事務請求產生 salt 值,維護使用者 Web2 憑證的機密性。
為了降低種子損失的風險,Mysten Labs 使用 Unit 410 的 Horcrux 實用程式實施了種子恢復計劃。這種方法涉及將種子分割成多個加密的分片,這些分片冗餘地儲存在各個遠端伺服器中。
可以使用分片的子集來解密這些分片,確保在災難場景中可以安全地恢復主種子。
Mysten Labs 的 salt 伺服器架構旨在在安全性和操作靈活性之間取得平衡。雖然使用 Nitro Enclaves 提供了強大的保護,但它也帶來了營運挑戰,例如管理網路代理和維護受限環境。
隨著 Mysten Labs 繼續開發和擴展其 zkLogin 實作和其他 Web3 構造,該架構將得到完善,以滿足生態系統不斷變化的需求。
更廣泛的目標是確保Web3應用程式能夠整合用戶友好且安全的身份驗證機制,使用戶能夠輕鬆安全地參與去中心化網路。
以上是Mysten Labs 揭曉 zkLogin 的 Salt Server 架構的詳細內容。更多資訊請關注PHP中文網其他相關文章!
