智能合约协议的柱石

协议

在计算机科学中，协议指的是两台及两台以上计算机之间，传递的一系列消息。在更高层面的抽象上，协议包括了通过消息传递的算法。这些程序作为人类用户的中间人，或者代理，让人类用户可以通过用户界面来沟通。 我们为了方便，用“Alice”和“Bob”来指代协议的一个端点，但我们必须清楚这些端点实际上是计算机处理单元，它们也许处在人类用户的控制下，也许不在人类用户控制下，它们的动作也许违背人类用户的意愿，也许不违背人类的意愿，这都有可能。 人类用户通常对协议并没有彻底的认知，仅仅从用户界面、手册或者其它方面获得一点隐喻上的理解。与现实世界的合同不一样，协议必须是准确无误的，必须是完整的。

协议有三种基本类型。 我对 Schneier [5]的术语进行了修改，这样与商业术语更加贴近：

自我执行:  Alice <--> Bob,

经由中介:  Alice <--> intermediary <--> Bob

经由仲裁:  (Alice <--> Bob) --> [evidence] --> adjudicator

相应使用“Alice”说明的智能合约，也要区分软件（有两个软件组件，一个是协议的端点，一个是用户界面）和“Alice”本人。密码安全机制和其他计算机安全机制，给了我们很多工具和部件，可以用来构造协议，以形成智能合约的基础。

“网络空间的物理学”

物理媒介的安全属性，是基于我们习以为常的物理属性，例如，一个金原子是无法伪造的。网络空间结构上的约束（“物理”）中，与安全相关的都描述为数学理论，计算机科学家研究它们，并称之为密码学。 下面是密码学世界里，重要的“基本粒子”：

-- 伪随机功能家族 -->

      秘钥加密，哈希，MAC,...

-- 陷门密码体制 单向函数 -->

      公钥加密

-- 伪随机数生成器 -->

      生成秘钥， padding, cookies   

--信息理论/无条件的 -->

       一次一密

这些“粒子”是构建安全协议的强大材料。想像一下，有一种材料是如此坚固，即便是超新星的能力也毁不掉它，而且又是那么便宜，你可以随意取用来建造墙壁、锁、保险箱和信封来保护日常的用品。 这并非是一个比喻：破解 4,096 位 RSA 秘钥，即便使用已知最好的算法，计算机要耗掉的电能都要超过一个超新星的全部能量。密码学的这些早期的技术，将成为全球化商务的第四次成本革命的主要驱动力。

密码学协议

协议中有一个类别，称之为密码协议，因为它们的第一个应用就是用来计算“加密书写”，提供许多基本的砖石，帮助智能合约实现“可观察性”，“可验证性”，“相对性”和“可执行性”等目标，并在这几种目标之间进行平衡。与一般的观念相反，隐秘对于安全性非常重要。密码学协议在称之为“秘钥”的隐秘性因素之上建设。秘钥极大的、不可知的随机性，令系统的其余部分非常简单，而且可以公开。大随机数的隐秘性，是如此巨大，凭运气猜中的可能性之小，是天文尺度上的。这就是密码学协议和智能合约的基石。

当我们考虑如何把密码协议用在网络关系中时，两种严重的警告依次出现。第一种是，协议常常给出安全程度“高达”的假设。这种假设就是薄弱环节，一个完整的运行系统，必须以合理的方式应对这个薄弱点。 一个非常普遍的薄弱点，是假设第三方是可信的。 而这种信任程度，或者信任的功能，却没有详细指出，需要现实世界中的系统分析师对这种风险进行特征分析并改进。最佳的中介协议，对中介和对方当事人的信任，都是有限的。

即便没有对第三方给予信任，密码协议也经常信任合约对手。 例如，对一条信息的加密，会把机密性寄托于拥有解密秘钥的一方。加密并不会阻止秘钥拥有者在网上张贴明文文本。我们不能说加密提供了“保密性”，然后就把我们对保密性的担忧，全数留给加密来解决。

第二个警告是，在加密学语义中用来命名密码（“签名”，“现金”，等等）的许多术语，都有误导性。 有时候，术语忽略了本质的含义：例如，一个“数字签名”，并非是基于生物识别技术的，而是基于秘钥，如果没有另外的机制保护，秘钥很容易被复制。密码学协议经常被扩大含义，用来表示更广泛的意图。例如，“电子货币”就是一个非常广泛的协议，可以实施很多种类的不记名凭证，和分布式对象的保护封装。

对智能合约的攻击

智能合约的协议，必须设计成能够令合约：

(a) 足够健壮，能够抵御初级的、无意的破坏行为

(b) 足够健壮，能够抵御复杂的、利益驱动的、非破坏性（理性的）的攻击

一个破坏者，可以是博弈中的一个策略或者子策略。其功效，最少也应该是某人负面功效的一部分。 或者是由某个合约方错误造成的效果。 “初级的”不过是说缺乏对攻击后果的提前认知，以及缺少足够的资源用以施加攻击。“初级的”攻击者，非常普遍，必须认真对待。 第三类，（c）复杂的、无意攻击行为（攻击者可以，也愿意牺牲足够的资源），例如第三方发起的军事攻击，就是一种特殊的、困难的类型，在典型的合约中很少出现，所以我们可以将之放至单独的类型，并在此处忽略不谈。“初级的”和“复杂的”两种类型之间的区别，已经在《算法信息理论》中形成计算机理论。

第三方攻击带来的预期损失，称之为泄漏。 第三方为了攻破安全机制，需要耗费的成本，称之为破坏成本。 如果破坏成本小于预期可获得的利益，那么就一定会有利益驱动的、非破坏性的攻击发生。

公钥和私钥加密

信用成本所发生的革命，一个重要的驱动力，来自于近些年出现的许多新的加密协议。最传统的密码学是密钥加密法。在这种方法下，Alice 和 Bob （智能合约用来举例的两个人）使用一个共享的，预先约定的秘钥，对两人之间的消息进行加密。这种协议的关键问题，在于如何对秘钥进行保密，而公钥加密则解决了这个问题。使用这种技术，Alice 生成两个密钥，一个叫做公钥，一个叫做私钥。 她自己保存好私钥，把公钥对外公开。 当 Bob 想要发送消息给 Alice，他用 Alice 的公钥加密消息，然后发送加密好的消息给 Alice，Alice 收到消息后便可以用私钥解密消息。私钥实现了“密码陷门”，让 Alice 方便的计算出用公钥加密的逆向解密。公钥和私钥虽然在数学上是有关系的，但无法从公钥计算出私钥来。 RSA 算法是公钥加密方法中，最流行的。

公共认证

公钥加密也产生了许多种数字签名技术。 证明了数据（之后用“对象”来指代）与所谓的签名，也就是私钥是动态相关的：对象被密钥“签字”了。一个认证协议有两个步骤：签名和验证。 两个步骤可以同步发生。也可以异步进行，在很多公共协议种，对签名的验证可以在未来很久之后才执行。

数字签名，也许称之为“数字盖章”或者“数字封印”更好，因为它的功能结合了所有这些方法，而不仅仅是签名。 总之，它不是基于生物计量的，和真的签名不同，当然在私钥中设置密码来签字，能够替代签名。 在很多亚洲国家，常常使用木头块雕刻成“印”，来替代签名。 每个“印”都是独一无二的，因为那雕刻是特殊的，而且木头的纹理也是无法复制的。 数字签名类似于“印”，因为每个新生成的密钥都是独特的。数字签名依赖于签名者保存好私钥。

盲签名公开的认证私有信息（那么我们是否可以使用非私有签名)/数字签名和密钥结合，便拥有了交换的数学属性，这样就可以按照相反的顺序将其解密。如同使用复写纸在未知的文件上盖章（无需担心弄脏了什么）。效果是 Bob"签署"了一个东西，这个东西在大概的内容上已得以验证，但在某些具体的内容上，却并未泄漏。通常的做法，用签名的密钥，来定义和确认所签对象的含义，而非所签对象的内容，从而保证 Bob 所签署的不会是一个空白的支票。 盲签使用在数字无记名证书，在这里 Bob 是清算代理，而在乔姆证书（Chaumian credentials）中，Bob是证书的发布者。

相对性认证

很多密码学者都发明过“魔法墨水签名”，盲签是其中的一个例子。这一类协议的另一个例子是用来在不披露具体信息给对方的情况下，允许对方来验证签名或者获得签名者的身份。最私密的是零知识证明，使用这种方法，只有对手方才能鉴定证明者。指定的确认者签名，让签名者指定某方作为验证者。例如，某公司可以给予某个审计者、调查者或者仲裁者以权力去验证签名的对象，而其他第三方，比如竞争者，无法从签名中获得任何内容。群组签名，可以让成员作为组织的认证成员，进行签名，而不会披露是哪一个成员所签的名。

密钥的保护

至此，我们可以假设Alice 和 Bob 双方是铁板一块。但是在智能合约的世界里，他们会使用计算机软件代理和智能卡来进行电子投标。密钥不需要和身份捆绑在一起，而进行这种捆绑的任务实际上比想像的要困难。一旦密钥捆上了，就必须认真保护，而很多地方网络是非常不安全的。

我们假设黑客可以拦截任何网络协议下的消息，并将信息重新转发。这也确实在互联网上的很多区域频繁发生。我们还必须假设，在实际的应用中，所有的商业操作系统，他们都可以入侵，并找到硬盘上保存的密钥。

对于终端操作的安全问题，根本就没有彻底完美的解决方案来防范网络攻击。但对于基于公钥的系统，有一种策略可以很好的弱化这个问题：

公钥操作，可以在机器的“不可读”的硬件电路板或者智能卡中执行，并且通过非常狭窄的串口线（只承载简单的，单一用途的协议，安全验证）连接到专门的防火墙。这对于高流量的服务器来说，是非常经济的，但对于单个用户而言，则没有实用价值。 除了更好的安全性外，最大的价值在于加快了公钥的运算。

如果 Mallet 的“能力”可以从物理上控制机器，那么一种较弱形式的密钥保护方法就足够了。要诀在于将密钥存在内存中。 这样 PC 就可以免受物理攻击－只要关闭 PC 就能够毁掉密钥。 如果密钥的备份藏在其它安全的地方，PC的用户就能够将大容量的数据加密，并保存在 PC 或者公共的计算机网络上，而不必担心对 PC 的物理攻击能够获取到数据。数据依然处在“橡胶管攻击”的威胁下，在这种攻击下，主人受到强迫，透露出所藏的密钥。

“能力” （capability 是一种安全模式）

面向对象，或者“能力”，安全性，是深刻且极具前景的区域，但这个不在本文范畴之内。 “能力”可以简化许多分布式安全协议的设计。 有了“能力”，我们不必为每一合约问题，都开发新的加密协议，也不必修改加密协议。我们可以利用“能力”，在公共的加密框架上设计丰富的分布式安全协议。

要了解更多信息，可以参考 Introduction to Capability Based Security

Quora (最低法定人数)

对资源的执行或者控制上，Quorum 分布可以基于密钥的加密共享，来执行或者控制资源。这一类技术也称之为阈值技术。这种技术将密钥（以便对用密钥加密的对象进行控制）分割成为N个部分，仅需要其中的 M 部分便可以复原出密钥，但少于 M 个部分，则无法拼出密钥。加密共享用来在不同的负责人之间实现对象的分布式控制，是一个不错的工具。

例如，Markus Jacobsson 设计了一个基于 quorum 的货币系统，用于签署数字化的货币。Quorum 建立的机制，也是基于“需要共谋”原则，并且执行某个职能，需要 N 中的 M 方配合。比之在通常的职责分离模式下，只需要 N 方中的两方便可执行，在安全性上要更强一层，而且在分权模式下的保密性也更佳。

“事后无法伪造” 交易记录 

传统方法中，审计者要去联系双方，以对交易是否发生进行验证。（“需要共谋原则”再次生效）。 使用“事后无法伪造”日志，通过单向哈希功能的分层体系，某一方可以对交易数据的累积哈希值做签名，并公开，完成后，即可公开提交此交易。 交易是完全保密的，除非某个审计者“查找（pings）”这个交易，来判断交易的实际属性。而交易对方的身份，依然是保密的，因为并不需要建立交易的其他事实。 唯一可能的攻击，是在交易发生的时候，实时的伪造交易，而这在现实世界中几乎是不可能的。 大多数的会计欺诈，都是对已完成的大量交易进行分析，然后进行伪造，并利用伪造的交易计算出自己想要的结果。

互为保密计算

密码学者开发了一种协议，可以在两方或者多方之间，创建虚拟机器。多方安全计算可以让任意多的各方参与共享计算，每一方仅仅知道自己的输入得到的结果，以及计算的输出。 这种虚拟机器的特性令人兴奋，每一方的输入都对其它各方保密。 程序和输出，则由各方共享。 由此，可以举例，我们能够在这种虚拟计算机上，通过互联网运行一个电子表格。 我们还可以约定一组公式，用这些公式设置虚拟计算机，每一方输入自己的私有数据。 而对其它各方的输入，我们只能从我们自己的输入和计算输出中进行推导。

这种模式，存在两个主要的弊端。一个是，虚拟计算机非常慢： 每次网络消息，只能处理一个机器指令。 另一个是某些参与方，总是比其它参与方更早得知结果。 有几篇论文就在讨论，为了保证能够获得正确的输出，需要信任多少数量的参与方。 必须将机制设计成，给予足够多的参与方以某种激励，使之有动力去传递正确的结果，或者进行计算，或者对合同进行认证，等等。

有了这些提前警告，理论上，任何算法的中间代理，都可以使用可信的虚拟计算机替代。在实际应用中，由于存在以上两个弊端，我们通常在设计时从更加有效的元素中，挑选使用更加有限的协议。

可信任的第三方：

数学上可信的协议：

多方安全计算机理论，在实现了私有虚拟中介的基础上，对合约的各个阶段都有重大意义。 在协商谈判的领域中，可以清楚的看到这一点。 在经济学中“机制”是一个机构的抽象模型，该机构通过消息与参与者进行通信，而且其规则可以使用算法描述。 这种机构可以是拍卖、交易所、投票站等等。 他们都需要应用某种协商谈判和决策过程。

经济学家假设一个可信任的中介操作该机制。举一个使用虚拟计算机来运行“机制”的例子。 Alice 可以提交一个买入价格，而 Bob 则提交一个卖出价，两个价格都提交到他们共享的虚拟计算机。该虚拟计算机有一个指令，“A 是否大于 B?”。 如果 Alice 的买入大于 Bob 的卖出价，计算机则返回“真”。 更复杂一点的计算机，则可以根据一些不同的算法（Alice的买入价，Bob 的卖出价，折中成交，等等。）这种机制，就使用了“双盲议价”的模式，无需可信任的中介参与。

原则上，这种虚拟计算机（它们都是“图灵完备的”）可以解决任何可计算的问题，任何可计算的经济机制，都能够得以实施，而无须任何中介。 在实际应用中，这些安全的虚拟计算机运行非常慢（每个网络消息，执行一次虚拟计算机指令），而且参与方获得结果的顺序，非常关键。但我们能够证明，任何经济机制都可以在没有可信中介的情况下运行，这就足够令人兴奋了。这意味着，原则上来说，任何可以通过可信任第三方（例如拍卖行或者交易所）进行协商的合约，都能够直接进行协商议价了。所以，在抽象的概念上，智能合约协商议价上，仅存的“困难”问题包括 (a)在使用可信中介情况下，也存在的麻烦问题（由标准的经济原因导致），(b) 在获知结果上的不同步问题，和(c) 从算法上描述议价规则，以及输出合约条款的工作 （包括，当合约参与者缺乏某方面知识时，中介要帮助补足所缺乏的知识。例如，律师对如何起草合约，给出建议）。

对合约的执行阶段，进行这样的分析，就不那么简单了。 首先，执行阶段的经济理论，就不如议价机制的理论那么健全和简单。实际上，大多数经济理论，都简单的假设所有合约都会得到完美执行，而且没有任何成本。 一些关于“交易成本”的文献，开始质疑这种假设，但在合约执行的技术和成本领域，我们依然缺乏真正的成就和一致的理论。

使用多方安全计算机理论，进行执行阶段分析，看上去只能用于那些可以在虚拟计算机内部执行的合约。但是，使用事后无法伪造的审计日志，结合在共享虚拟计算机中运行的审计协议，我们可以在虚拟计算机之外，由选定的仲裁者对各种合约执行动作，进行监控和验证，虽然并非预先设定的自动执行。

在这种互相保密的审计协议中，参与方能够给出验证，账目与之前所提交的交易记录，能够匹配，数字累加也完全正确。 参与方可以基于他们保密的共享交易日志，计算出汇总数值，并且能够在不泄漏日志的情况下，与各个对手方对日志进行交叉验证。他们都无法看到交易的细节，仅仅能够从统计上进行推断。 另外有趣的是，虚拟计算机可以长时间的保存状态，从而实现了复杂形式的个人隐私和自我执行的安全信用。

有了互相保密的审计方法，我们就能够对其他参与方所做声明和报告的真实性，给予足够信任，同时还不必将这些报告中体现的交易信息，以及交易主体信息，泄漏出去。这就为稳固的信誉系统，以及其他可信任的第三方系统，提供了基础。达到了跨越时间、交流和汇总的完整性，并为交易的参与者保密。 只要明确了，在原则上，互相保密的审计是可以达成的，那么我们就可以找到实用的解决方案。