Koń trojański w aktualizacji Ethereum Fusaka: jak zamienić dziesiątki miliardów telefonów w portfele sprzętowe?

Zrezygnuj z wyniosłości i dostosuj się do powszechnych standardów internetowych, aktywnie wchodząc do kieszeni użytkownika.

Autor: Zhixiong Pan

W Twojej kieszeni już od dawna znajduje się „portfel sprzętowy”

W naszych codziennie używanych telefonach i komputerach wbudowane są specjalne chipy bezpieczeństwa. Na przykład w iPhone znajduje się „Secure Enclave”, a w telefonach z Androidem Keystore / Trust Zone / StrongBox.

Ta niezależna fizyczna przestrzeń nazywana jest zazwyczaj TEE (Trusted Execution Environment – Zaufane Środowisko Wykonawcze). Jej cechą jest „tylko wejście, bez wyjścia”: klucz prywatny jest generowany wewnątrz i nigdy nie opuszcza tej fizycznej przestrzeni, a z zewnątrz można jedynie poprosić ją o podpisanie danych.

To właśnie jest standard portfela sprzętowego. Podczas podpisywania, te chipy powszechnie używają algorytmu krzywej wybranej przez NIST (National Institute of Standards and Technology): secp256r1. To także fundament WebAuthn i FIDO2 (np. logowanie odciskiem palca, FaceID).

Przepaść różniąca się tylko jedną literą

Problem polega na tym, że Ethereum natywnie nie obsługuje tego popularnego secp256r1.

Kiedyś społeczność bitcoin, obawiając się „państwowych backdoorów” w krzywych NIST, wybrała mniej popularną secp256k1, więc Ethereum podczas projektowania systemu kont również przejęło tę tradycję.

Chociaż r1 i k1 różnią się tylko jedną literą, matematycznie są to zupełnie różne języki. To prowadzi do poważnego problemu: chip bezpieczeństwa w Twoim telefonie jest „zagubiony” wobec Ethereum i nie może bezpośrednio podpisywać transakcji Ethereum.

Skoro nie można zmienić sprzętu, trzeba go „dostosować” w tej wersji

Ethereum oczywiście nie może zmusić Apple czy Samsunga do zmiany projektu chipów, by dostosować się do secp256k1, więc jedyną drogą jest dostosowanie się Ethereum do secp256r1.

Czy można napisać kod w smart kontrakcie, by weryfikować podpisy r1? Teoretycznie tak, ale obliczenia matematyczne są zbyt złożone – jedno sprawdzenie może kosztować setki tysięcy Gas, co jest ekonomicznie nieopłacalne.

Dlatego w aktualizacji Fusaka deweloperzy sięgnęli po potężne narzędzie: prekompilowane kontrakty (Precompile). To jakby otworzyć „tylne drzwi” lub „wtyczkę” w Ethereum Virtual Machine (EVM). Zamiast pozwalać EVM liczyć krok po kroku, funkcję weryfikacji wpisuje się bezpośrednio w kod klienta. Deweloperzy muszą tylko wywołać określony adres, by wykonać weryfikację przy bardzo niskim koszcie.

W EIP-7951 koszt ten ustalono na 6900 Gas, co oznacza spadek z setek tysięcy do kilku tysięcy – wreszcie w zakresie „codziennego użycia w prawdziwych produktach”.

Ostatni element układanki abstrakcji konta

Wdrożenie tego EIP oznacza, że wreszcie możemy podpisywać autoryzacje dla smart kont na Ethereum w środowisku TEE telefonu.

Warto zauważyć, że nie dotyczy to obecnych adresów EOA, takich jak Twój MetaMask (ponieważ ich logika generowania klucza publicznego nadal opiera się na k1).

To rozwiązanie przygotowano specjalnie dla „abstrakcji konta” (AA wallet). W przyszłości Twój portfel nie będzie już zbiorem słów mnemonic, lecz smart kontraktem. W tym kontrakcie zapisano:

„Jeśli ten odcisk palca (podpis r1) zostanie poprawnie zweryfikowany, pozwól na transfer środków.”

Podsumowanie

EIP-7951 być może nie sprawi, że mnemoniki znikną z dnia na dzień, ale wreszcie usuwa największą przeszkodę na drodze do masowej adopcji Ethereum.

Do tej pory użytkownicy zawsze stali przed trudnym wyborem: Chcesz mieć „bankowy” poziom bezpieczeństwa? Musisz kupić OneKey, Keystone lub Ledger i przechowywać mnemonik jak sztabkę złota; chcesz najwygodniejsze doświadczenie? Musisz trzymać kryptowaluty na giełdzie lub w portfelu powierniczym, kosztem utraty kontroli (poświęcając decentralizację).

Po aktualizacji Fusaka ten wybór przestanie istnieć.

Wraz z wdrożeniem EIP-7951, „telefon jako portfel sprzętowy” stanie się rzeczywistością. Dla przyszłego miliarda nowych użytkowników być może nie będzie już potrzeby wiedzieć, czym jest „klucz prywatny”, ani mierzyć się ze stresem przepisywania 12 słów.

Będą mogli po prostu, jak przy zakupie kawy, zeskanować twarz lub przyłożyć palec, a chip bezpieczeństwa iPhone’a podpisze transakcję secp256r1 i zweryfikuje ją przez natywny prekompilowany kontrakt Ethereum.

To jest właściwy sposób, w jaki Ethereum powinno przyjąć kolejny miliard użytkowników: nie wymagając od nich nauki skomplikowanej kryptografii, lecz dostosowując się do powszechnych standardów internetowych i aktywnie wchodząc do kieszeni użytkownika.