4.3 **分存和**共享

现在我们了解了各种保存**的方法，但在这些方法里，我们总是把**保存在一个地方：要么锁在保险箱，要么保存 在软件中或打印在纸上。这会造成一个问题：一毁俱毁。当然，我们可以为**建立备份，这可以降低**丢失或损坏的风险（可获取性），但同时会增加**被盗 的风险（安全性）。那是否存在一种方法，可以使**的可获取性和安全性都得到提高？答案是肯定的。密码学上有一种称为“**分存”的技术，就可以做到这一 点。

方法如下：**被分成N个片段，只要我们获得其中的K个片段，就可以把原**重新还原。但如果获得的片段数量少于K，就无法知道关于**的任何信息。

要实现上述效果，把**简单地切分成若干片段是不行的，这样的话，每一个片段都会透露**的部分信息。^[1]所以，**分存并不是简单地切分**，而是将**转换成若干“子**”。

举个例子，我们设定N=2，K=2，意味着我们把想要加密的**（原**）转换成两个子**，只有同时获得 这两个子**才能拼出原**。我们把原**称为S，S是一个很大的数字（比如128位）。然后，我们可以随机产生另一个128位的数字R，让R作为其中的 一个子**，那么另外一个子**就是S⊕R（⊕代表逻辑算符互斥，exclusive OR，或缩写成XOR，也叫异或），我们把S⊕R称为“密文”。然后，我们把子**R和密文S⊕R保存在两个不同的地方。单独根据子**R或密文都无法知 晓原来**的任何信息，但如果我们同时得到R和S⊕R，我们可以通过异或逻辑运算得到原来的**。^[2]

N和K相等时，我们总是可以这样做：对于之前的K-1个子**，我们可以生成N-1不同的随机数，最后一个子**就是原**与所有其他N-1个子**的异或。但如果N大于K的话，这个技巧就行不通了。我们需要借助其他代数方法。

图4.4中，我们是如何生成子**的呢？首先，我们把S标记在Y轴上（0，S），然后经过该点画一条直线，斜率随机，接下来，我们就可以在这条线上挑一些点，要多少有多少。这样，我们就得到N个子**，并且K=2。

图4.4 **分存的几何示例（N=2）

注：S代表原**，被编码成一个大的整数，图中斜线的斜率随机。斜线上的点（主要是它们的Y坐标 S+R，S+2R，…）代表子**。连接任何两个点，都可以得到S[两点连线，延长，与Y轴的交点就是S（黑点）]。若是只有一个点，又无法确定斜率（斜 率随机），就无法得到S。

为什么我们得到两个点就可以还原原**呢？首先，连接两个点可以得到一条直线，这条直线和Y轴的交点就是 S。然而，如果只有一个点，将得不到任何信息，由于直线斜率是随机的，所以，通过该点的任何直线都有可能是我们生成子**所采用的那条直线，但所有直线和 Y轴的交点都不同。

上述方法中，有一点很精妙：要让这个方法在数学上行得通，我们需要找一个足够大的素数P取模。P不需要和原 **有任何关系，只需要足够大就可以。S的值在0和P-1之间（含0和P-1）。上文中，我们说通过S画直线并在直线上挑选一些点，实际操作时，我们其实 是生成一个介于0到P-1的随机数R，并生成下列点：

x=1,y=(S+R)mod P

x=2,y=(S+2R)mod P

x=3,y=(S+3R)mod P

原**对应的坐标为x=0，y=(S+0×R) mod P，其实就x=0，y=S。

上述方法在K=2，N为任意数字的情况下都有效，例如，如果N=4，就是生成4个子**，并保存在4个不同的设备里。万一有人偷了其中的一个，他对**仍一无所知。即使丢了两个子**，你也仍然可以通过另外两个子**来得到原**。

上述方法可以进一步扩展：我们可以用任何的K和N（只要保证K<N）来实现**分存。在图4.4中我 们用一条直线进行**分存，在代数中，直线就是*度为1的多项式。如果K=3，我们就要用抛物线来实现，抛物线是*度为2的多项式。我们可以用表 4.1中所示公式来表达这一递进系列。

表4.1 **分存的数学原理

注意，如果使用*度为k-1的曲线上的若干点来进行**分存，那么，为了还原原**，至少需要得到K个点的数据。

数学上，拉格朗日公式表明，如果要回归一条*度为k-1的曲线，需要获得至少K个点。最简单的例子就是， 用尺子连接两个点，就可以得到一条直线。因此，如果我们将原**转换成N个子**，除非黑客获得了K-1个子**，否则原**就是安全的，换个说法，我们 最多可以承受N-K个子**被泄露。

当然，**分存并不是比特币的专用技术。你可以将你的密码进行**分存，然后把子**告诉你的朋友，或把它 们放在不同的地方。但是，实际上并不会有人真的这么做。一方面这么做不太方便，另一方面，目前市场上也有其他的安全机制，例如使用短信进行双重验证。但对 于比特币而言，如果你选择本地保存**，那么双重验证等安全机制就不适用了，我们无法通过短信验证码的方式来控制比特币账户。当然，在线钱包则不同，我们 会在下一节讨论。不过，在线钱包和本地储存的区别不大，类似的问题总是存在，只不过换了一种方式。毕竟，在线钱包的服务商在保存**的时候也不能只使用一 种安全措施。

门限密码（threshold cryptography）

**分存还是有一个问题：**分存之后，如果我们后面要用原**来签名，那就需要取得子**，还原成原**，然后才能签名。这个过程有可能被黑客乘虚而入，盗取**。

密码学可以解决这个问题。如果子**储存在不同的设备中，可以以去中心化的方式还原原**，而不是在某台设 备上完成。这种技术叫“门限签名”（threshold signature）技术。典型的例子就是使用双重安全机制的电子钱包（N=2且K=2），如果两个子**分别保存在个人电脑和手机上，你可以在电脑上发 起付款，这时，电脑会生成一个签名片段，并发送到你的手机上，然后，手机会提示你付款信息（包括收款人、金额等），然后等待你确认。如果你确认了付款信 息，这时，手机会利用它的子**完成整个签名，然后广播到区块链上。万一黑客控制了你的电脑，试图把比特币转到他的账户，你根据手机上的付款信息就知道有 问题了，从而不会确认这笔交易。门限密码涉及的数学细节比较复杂，此处我们不展开讨论。

多重签名

还有另外一种方法可以克服**单点保存的缺陷，即多重签名（multisignatures），这个名词在 第3章曾出现过。通过比特币脚本，可以直接把一个比特币账户的控制权交给多个**，而不是将**分存。这些**可以保存在不同的地点，并分别生成签名。当 然，最终完成的交易的信息还是会保存在某台设备上，但即使黑客控制了这台设备，他所能做的也只不过阻止这个交易被广播到整个网络上去。没有其他设备参与， 他无法生成出一个正当有效的多重签名。

举例来说，假设本书的作者安德鲁（Andrew）、阿尔文德（Arvind）、爱德华（Ed）、约什 （Joseph）和史蒂文（Steven）是一家公司的创始人——也许我们就是依靠出售这本书的版权来创建公司——那这家公司就有许多的比特币了。我们可 能会用多重签名来保护这些比特币。我们5个人，每人都有一对**，我们可以用其中的3个签名来保护冷储存——一笔交易需要5个人中至少3个人的签名才能完 成。

这样，只要我们5个人在不同地方且使用不同的安全措施保存各自的**，那么比特币就会相当安全。黑客必须盗取我们当中3个人的**，才能盗取比特币。即便我们其中一个或两个背弃了我们，他（们）也无法卷款而逃，因为他们还需要另一个签名。^[3]同时，如果我们其中一个遗失了**，其他人还是可以取出比特币，并转到新的账户，重新设置密码。总而言之，多重签名可以比较妥善地管理在冷储存端的大额比特币，任何重大事项都需要多人的参与才能实现。

上文中，我们说到，人们使用门限签名技术的原因是为了实现双重安全机制或多重安全机制，使用多重签名技术的原因是为了实现多人对共同财产实现共同控制。实际上，这两种技术都可以实现上述两种目的。

来源：我是码农，转载请保留出处和链接！

本文链接：http://www.54manong.com/?id=407

'); (window.slotbydup = window.slotbydup || []).push({ id: "u3646208", container: s }); })(); '); (window.slotbydup = window.slotbydup || []).push({ id: "u3646147", container: s }); })();