王小云：密码学与区块链

2023年6月9日，第二届区块链服务网络（BSN）全球技术创新发展峰会在湖北武汉成功举行。本次峰会以“链上荆楚，积厚成势”为主题，汇集了来自政府、学术界、产业界的众多海内外嘉宾，围绕区块链基础设施、底层技术在金融、贸易、文化、社会治理等领域的创新应用展开了交流，共同探讨区块链技术创新和产业发展的最新趋势。

峰会上，多位国内外权威专家带来了多场高水平主题演讲，内容涵盖对前沿领域的探索、对新业态发展潜力的展望以及对分布式技术发展成果的总结等各个方面，分享了他们的成果和经验，也为国内区块链行业的发展提出了宝贵建议。接下来，我们将为所有关注分布式技术和下一代分布式可信互联网发展的读者呈现这些精彩纷呈的主题演讲。本期为中国科学院院士、密码学家王小云的分享，题为《密码技术与区块链》。

演讲全文整理如下，为便于阅读，有所编辑修改：

尊敬的各位领导、朋友们，大家上午好！

密码学是一门非常重要的学科，它在数据安全领域扮演着重要的角色。为什么我们需要使用密码学呢？这是因为当今的数字经济与数据安全密不可分。我国制定了多项政策性文件来保护数据要素和数据安全，其中包括总书记的重要论述。早在2014年，总书记就提出了以数据为关键要素的数字经济的概念，并在2016年提出了建立数据基础制度体系的目标。到了2019年和2020年，我们的数据已经被确定为第五大生产要素，并被写入了中共中央国务院发布的文件中。

去年年底，中共中央国务院发布“数据20条”，提出了参与国际标准数字规则制定的要求。对于数据规则的定义，我经常思考。我认为区块链技术的创新以及包括密码技术在内的各种应用，如隐私计算等，都是制定数字规则的重要组成部分。这些规则与国际标准以及我国的法律息息相关，因此我们应该更加明确地制定这些规则的内涵。

关于网络安全，当前主要关注的是数据安全和区块链技术。我们知道，在网络空间安全和网络安全学科的发展中，数据安全是核心内容之一。我认为我们的网络安全法律体系中，很重要的一部法律就是密码法，它是我国密码领域的基础性法律，具有重要意义。我们很难找到其他专门的数学法或其他类似的法律，但密码法作为一个应用了复杂数学的法律，非常具有独特性。同时，我们还有网络安全法、电子签名法和与密码学相关的电子签名算法，这些法律相辅相成。我认为这也是非常重要的。

此外，我们还有数据安全法和个人信息保护法。我相信在立法过程中，这两个法律更多地关注安全问题。而安全问题背后的支撑技术仍然是密码技术。换句话说，我们的密码技术支撑着法律条文中的保密性、真实性、可用性和完整性。我之所以提到这几个词，是因为它们与密码学中的信息安全属性完全匹配。也就是说，在我国许多法律的执行过程中，离不开密码技术的支持，特别是对于既有国际标准又有我国标准的数据安全证据，这些数据证据可以作为法律依据。

信息安全的机密性是通过加密算法实现的，而认证性和不可抵赖性是通过签名算法实现的。数据的完整性意味着任何篡改都能被检测到，因此我们需要注意确保数据的完整性，这就需要使用哈希函数。

我们必须注意一个问题，如果数据被篡改而无法被发现，那么电子签名就可以被伪造，这是密码学中的一种攻击方式。因此，哈希函数要确保数据防篡改，以实现区块链的溯源能力。数据的溯源是由哈希函数来保障的，没有其他技术可以取代它，大家可以放心。世界上没有其他技术能够保证区块链的溯源。此外，电子签名也离不开哈希函数，如果没有哈希函数，签名就可以被伪造。因此，哈希函数保证了这三种安全属性，大家一定要注意。

我对哈希函数进行了十年的研究，一开始我想，全球只有几个属性，为什么有三个属性离不开哈希函数？而且我们使用的哈希函数要么是MD5，要么是SHA-1，这两个小小的算法就能保证安全性。这引发了我的研究兴趣，幸运的是，我成功地破解了它们。

所以大家可以看到，如果算法能够确保上述属性，那么保护各种功能系统、网络系统和数据工作系统就变得非常简单了，我们可以用协议来实现这个保护，而这些协议由密码算法组成。

在构建密码算法的协议时，必须满足可证明安全的条件。经过10多年的历史发展，TLS终于达到了可证明安全的状态。对于在线IPsec协议，我们知道当时的WLAN协议并非行业制定的，我们可以看到，行业制定的协议往往需要经历被破解的过程，最终由密码学家逐步改进，使其成为可证明安全的协议。这是密码协议发展的历史。因此，有时候许多人开发的系统很容易在几分钟内被破解，我认为这主要是因为缺乏专业密码学人员的研究和制定，导致了安全性漏洞的存在，这也包括了3G、4G和5G的3GPP制定的通信标准。

现在让我们来看看区块链技术。就我个人而言，如果我们接触实际业务，我更倾向于将其视为一种数据工作模式。数据工作模式必须具备两个特点：首先，需要由密码技术来保障数据安全；其次，需要分布式系统来解决数据的一致性、容错性和灾备性。我们知道，在构建大数据灾备中心时，通常会使用分布式系统来解决数据容错和灾备，并确保数据的一致性。因此，从功能角度来看，区块链可以被视为由密码技术和分布式系统支持的数据工作模式。它必须具备防止数据篡改和溯源技术，这是毫无疑问的。

我们的目标是确保大数据的安全，并将数据治理延伸到计算安全领域。今年我提出了一个主题，即计算安全。每年我都会对报告的内容进行调整，今年我开始提出计算安全的概念。计算安全是我从2006年报告国家重点基础研究发展计划（973）开始，到现在在科学创新方面的突破，我一直在突破计算安全领域。然而，现在出现了ChatGPT这样的人工智能技术，我们不得不考虑计算的安全性。我认为无论是通信安全、数据安全还是数据库存储安全，都无法代替今天的计算安全。在其中，隐私计算是计算安全的一个子领域。区块链作为一种变革性技术，对于链上承载的数据和业务，以及群体工作模式，带来了新的思路。

我们必须注意，区块链既有链上的共同业务和数据一致性，也有各自链下的业务。我们必须清楚区分公链和私链，并梳理清楚业务功能，只有这样，区块链技术才能得到完善。

区块链的模块包括密码技术和共识机制，这是分布式系统的核心内容。还有分布式存储和点对点网络，正如之前提到的。此外，智能合约相当于一个庞大的篮子或平台，可以将各种高度自动化的业务放入其中。随着时间推移，这个平台会越来越完善。最终，我们要解决数据业务、数据治理和数据管理的问题，以确保数据的安全性。

要讲区块链就必须提到哈希函数。没有哈希函数，就没有区块链的概念。当数据库产生后，IBM希望为我们的文件建立一个快速索引，即为文件提取一个电子指纹，这就是哈希函数的概念。实际上，它与密码学无关，只是建立快速索引的问题。

在1981年，由于所有的电子签名都可以被伪造攻击，这种攻击被称为存在性伪造攻击。于是，两位密码学家Davis和Price提出了使用哈希函数来保证安全性的概念。当时这个概念被称为密码哈希函数。请注意，密码哈希函数可以将任何文件压缩成128、160、192、256、384或512位的比特串，即电子指纹。在签名时，我们只需对电子指纹进行签名，无需对原始文件进行签名。

这引出了一个问题，即电子签名和数据防篡改。我觉得1981年两个独立的密码学团队对哈希函数的定义非常完美，至今没有改变。它可以防止发现任何额外的篡改手段，只有三种篡改手段是已知的。这是了不起的成就。因为在一年内，两篇论文中，两个团队提出了相同或相似的概念。需要注意的是，两个文件不能有相同的电子指纹，否则无法区分两个文件的真伪，签名也是相同的。这就是碰撞攻击。我本人也研究了碰撞攻击，证明了MD5的弱点。使用了15台电脑，在32分钟内找到了碰撞。这是当时为什么在全球引起轰动的原因，因为它涉及到全球的标准问题。

还有一个攻击方式是原像攻击，即已知电子指纹但无法找到原始信息。如果你能找到原始信息，那么就相当于找到了新的币，找到了新的数字货币，比如比特币。然而，攻击者无法通过数据库中的电子指纹来找到你的口令，只要你的口令是256位的强密码，破解它将需要数以百万年的时间。因此，你不必担心攻击者通过服务器获取你的口令。

接下来我们来讨论第二原像攻击。第二原像攻击是指攻击者对m1进行签名后，不能找到一个与m1电子签名相同的m2，也就是不能将另一个消息的签名伪装成m1的签名。

哈希函数有两种结构，即MD结构和并行计算结构，数字货币的挖掘过程就是寻找一个原像，大家知道寻找原像的过程，目前已经达到了70个0的难度，挖掘的结果就是比特币。

接下来我将讲解共识协议，为什么我们要使用分布式系统。大家知道，在挖掘比特币时，数据必须保持同步，只有在同步的情况下才能进行挖掘。第一个挖出区块的人将获得合法的比特币。大家知道共识协议是分布式系统的核心技术，关于cft我就不详细讲了，我只介绍拜占庭协议。大家知道，当有三分之一的节点出现故障或恶意行为时，只要有二分之一的节点达成一致，就可以进行投票。此外，我们的共识协议中的2/3投票都是图灵奖获得者提出的。

如果没有密码技术，攻击者可以通过控制32个节点来完全控制整个网络，这就是节点攻击。在1999年，伊斯科夫使用密码技术、数字签名和麦克认证技术提出了带有节点认证的PBFT共识协议。从2000年到2014年，第二代共识算法如Aliph、BChain和XFT的设计被提出。其中，BChain是超级账本项目的子协议之一，我的同事是其主要贡献者。

2014年提出了联盟链的概念，自那时以来，大家都很喜欢HotStuff共识协议，我个人也非常喜欢它，还有Tendermint等。还有一些异步区块链如BEAT和PACE等。大家要知道，我们的拜占庭协议非常适用于联盟链和一些公有链。当然，我们一定要利用区块链来构建更加安全的云。

现在让我们来看一下列出的比特币。大家一定要注意共识协议，工作量证明是指挖矿的过程。超级账本采用的是cft，其中包括Solo/Kafka/Raft。对于Diem（前身为Libra），我比较喜欢的是HotStuff，我认为它比较符合密码学的可证明安全概念，与签名相关。

此外，还有Algorand，由图灵奖得主米卡里提出。最后一个是我们自己设计的联盟链，由山东区块链研究院和清华大学共同设计。大家可以关注迪诺链共识，为什么要比HotStuff更先进更好？

我们来看两个指标。根据信通院目前公布的数据，只有我们一家超过了6万笔交易，即每秒6.8万笔交易。如果达到10万笔或20万笔交易，就不再是单链的概念了，大家一定要注意。如果你用一台电脑、两台电脑或三台电脑进行计算，效率是不同的。因此，在国际上公开的数据中，很少出现超过5万笔交易的情况。我们公布的数据是6.8万笔交易，也是我们评估记录的数据。所以其他人没有公布超过5万笔交易的单链数据，我进行了调研，没有人说自己超过了5万笔。这是非常真实的情况，大家一定要注意。我们的测评结果显示，我们在各种场景中的效率是HotStuff的两倍，大家一定要记住这个指标。

无论在任何应用环境中，我们的测评结果都是HotStuff的两倍指标和两倍效率。共识协议有两个指标，一个是效率指标，另一个是安全性指标。大家一定要注意，如果我们牺牲了安全性，协议可能会变得更快，但这是不可接受的。我们的可证明安全成果已经在2022年的S&P（Security and Privacy）顶级会议上发表，我们得到了国际认可。它的两个证明变成了五个证明，一致性变成了三个方面的一致性，活性变成了两个方面的活性。因此，在进行创新时一定要注意，你需要全面梳理系统的属性，以证明它是安全的。

现在让我们来看一下今年的一个突破——大圣。我要强调的是，大圣已经获得了金融领域的省部级一等奖。大圣已被多家央行数字货币桥采用，并已写入数字货币桥的白皮书。我对大圣非常满意的一点是，我们完成了f+1投票。大家知道，全球通常采用2/3投票机制，但为什么不能采用1/3投票机制呢？事实上，它是可行的，因为我们已经有一个城市节点，为什么不能投票呢？

虽然可以进行投票，但其安全性证明非常复杂。我们花了一年时间来证明大圣的安全性，这是一个艰巨的任务。

我们的大圣共识协议在完成1/3投票后，与HotStuff相比提高了1/4~1/5。在数字货币桥中，这意味着交易从1.5万笔提升到2.5万笔。需要注意的是，在特定的环境下（例如91个节点的高并发情况下），大圣已经达到了HotStuff的15.8倍。这让我感到非常欣慰。未来在人工智能时代，节点数量增加后，我们不用担心，因为我们已经拥有了最先进、高效且安全性证明的新共识协议。

接下来，让我们谈一下智能合约，一定要自己编写，尽量不要用开源代码修改智能合约。智能合约是一个非常重要的框架，我预计我们未来的创新大部分都将在智能合约中展开。

每年，我们都会在智能合约中体现当年的创新成果。今年，我们将公布智能合约中的隐私计算模块，希望大家能看到我们更好的科技创新成果。在区块链中，我们一定要将智能合约中的隐私计算做好，以保证数据的安全。

我们知道，法律对隐私计算有更多要求，需要满足安全需求和可控性，必须支持各种安全级别。此外，架构应具备可塑性和可控性，以及算法模块结构的搭建。我们需要一个可插拔的架构，方便使用和集成。最重要的是，我们需要一流的论文来支撑。涉及实际问题时，我们参考一流的论文比不参考论文做得更好、更快、更多，我们一定要参考最顶级的论文。

最后，我要说的是，我认为区块链有着巨大的发展空间。希望与各位同仁一起，发展和维护好区块链行业，同时做好我们的技术创新。我的报告到此结束，谢谢大家。