Mysten Labs 推出 zkLogin 背后的 salt 服务器架构,确保 Web3 应用程序的安全和私密身份管理。
Mysten Labs 推出了 zkLogin 身份验证机制的 salt 服务器架构,确保 Web3 应用程序的安全和私密身份管理。
The Sui 博客最近的一篇文章中描述的架构旨在维护 Web3 空间中用户身份的完整性和隐私。
zkLogin 是一个 Sui 原语,为 Web3 提供无需信任、安全且用户友好的身份验证机制。它允许开发者集成熟悉的Web2登录方法,例如Google或Facebook,使用户能够轻松创建和管理Sui地址。
zkLogin 的一个关键组件是 salt 服务器,每当发起交易时,它都会生成、存储并提供唯一的 salt 值。此盐值可确保链上地址无法追溯到用户的 Web2 凭据。
在 Mysten Labs,salt 服务器在安全的计算环境中运行,以保护主种子,该主种子与用户的 JSON Web 令牌 (JWT) 结合使用,为每个用户每个应用程序派生可重现的 salt 值。保护主种子对于保持 Web2 身份与 Sui 地址的分离至关重要。
为了实现这一目标,盐服务器在 AWS Nitro Enclaves 等隔离、可信的计算环境中运行,确保主种子免受内部和外部威胁。
Mysten Labs 还强调了使用可信计算基础设施来托管 salt 服务器,其中包括 Azure 机密计算、GCP 机密虚拟机和 AWS Nitro Enclaves 等选项,这些选项提供了隔离的计算环境。在这种情况下,选择 Nitro Enclaves 是因为它们能够在具有容器证明的隔离环境中运行服务器,仅允许通过 TCP 直接访问服务的端点。
主种子仅生成一次,在安全、隔离的环境中创建,保证其随机性和安全性。然后,种子被加密并存储在秘密存储中,只有飞地身份才能访问。此过程可确保管理员或外部方无法访问明文机密。
salt 服务器使用种子为每个事务请求生成 salt 值,维护用户 Web2 凭据的机密性。
为了降低种子丢失的风险,Mysten Labs 使用 Unit 410 的 Horcrux 实用程序实施了种子恢复计划。该方法涉及将种子分割成多个加密分片,这些分片冗余地存储在各个远程服务器中。
这些分片可以使用分片的子集进行解密,确保在灾难情况下可以安全地恢复主种子。
Mysten Labs 的 salt 服务器架构旨在在安全性和操作灵活性之间取得平衡。虽然使用 Nitro Enclaves 提供了强大的保护,但它也带来了运营挑战,例如管理网络代理和维护受限环境。
随着 Mysten Labs 继续开发和扩展其 zkLogin 实现和其他 Web3 构造,该架构将得到完善,以满足生态系统不断变化的需求。
更广泛的目标是确保Web3应用程序能够集成用户友好且安全的身份验证机制,使用户能够轻松安全地参与去中心化网络。
以上是Mysten Labs 揭晓 zkLogin 的 Salt Server 架构的详细内容。更多信息请关注PHP中文网其他相关文章!
