11月1日，由中国信通院主办的2019（第二届）中国金融科技产业峰会进入了第二天分论坛环节。其中，分论坛二《区块链与加密技术在金融领域应用》在中国信通院云大所金融科技部技术总监许一骏主持下隆重召开。

会上，北京邮电大学网络与交换技术国家重点实验室信息安全中心主任王励成为与会者带来了“区块链中的密码学原语”为主题的演讲。

北京邮电大学网络与交换技术国家重点实验室信息安全中心主任王励成

王励成：谢谢主办方的邀请。我选择的这个题目在别的场所也讲过，但是我的讲义一直在更新之中，以前参加CFT共享金融50人论坛，在过去的两三年活动中，这个论坛里很多朋友都关心区块链、关心区块链在金融当中的应用，但是很多人最后集中提一个问题，即每个密码干了什么事情，希望能够给他们做一些科普。我当时选了“区块链中的密码学原语”。梳理的目的是帮助金融界的区块链工程师判断选用密码组件是否安全、合理。

区块链基本结构和特征

大家都是区块链的先行者、实践者，理解的比我要更加透彻。

我自己总结下来，认为区块链是双链哈希锁定。一条链是从上而下形成的一条链，另外一条链应该是立体结构，另外一条哈希链垂直于这个屏幕，也就是牵涉到每一笔交易、每一个币，怎么分叉，怎么转到下一笔交易当中，也有一条链。正因为密码学的特性，链的结构是双链哈希锁定，所以有一个基本特征，账本只增不改，这是强的特性。

区块链中的密码学原语有哈希函数、多重签名、数字签名、同态加密、标准数字签名、同态承诺、环签名、累积器、可连接环签名、零知识证明、不一次签名、密码掷签等。

哈希函数。区块链具有所谓华丽、高贵的出身，这都是图灵奖获得者做的事情。很好奇的一点是工作量证明是1997年就出现了，但区块链1998年才出现，后面的故事不展开，大家自己去搜索。

用于区块链或数字货币的其他哈希，有一些已经走向国际推荐的标准法案。

过去十年中，围绕挖矿出现了让我们学术界意想不到的事情，作为密码设计者，希望哈希算的越快越好，越节省计算资源越好，但是由于挖矿，这件事情导致现在大家去设计X11、X13、X17这样的哈希算法，就是11、13、17种哈希套起来用，目的就是要让哈希算的越慢越好，对抗挖矿，这是业界出现的事情。从理性、从节省计算资源和学术界角度来讲这是极其不合理的。

数字签名。在区块链当中集中应用的是ECDSA和EDDSA，特别是EDDSA用的是另一种曲线。

环签名。是在签名当中隐私性保护方面做得好的，做环签名时有一句话，“拉您入环，与您何干？”这么强的隐私性，一般人还是不想用它，因为太霸道了。

可连接环签名。Booromean  Rings特点：断开一个，则全部分离。区块链中的用途：隐蔽的交易金额的范围证明。也就是在等式当中有一个不成立，剩下都不成立。开始提出时很好，但现在效率比较低，已经被另一种技术取代。

多重签名。它在典型区块链产品ZILLIQA里有应用，多重签名就是针对相同消息的多个不同签名聚合成一个签名，只需验证一次。区块链中的应用：减少总的签名尺寸。

同态加密。在区块链中，包括金融圈里，随着区块链的火热，大家讨论时经常讨论密码的一些东西，也讨论同态密码的一些东西，但真正把完全同态用到区块链当中，我看到的还不多，主要看的是他们的白皮书，实际产品看的比较少。同态加密技术的发展突破是2009年，但到目前为止还有不尽如人意的地方。

同态承诺。在区块链中用的非常多，加密货币或区块链当中加密技术，“加密”二字从哪来，有可能是很多从业同行把承诺也等同于加密，可能这么理解的。因为承诺也具有隐藏性，但承诺是不出意外情况下不需要打开，而且打开的方式跟解密的方式也不一样，承诺的打开就是把当初做承诺的证据拿来就行了，不需要做解密操作。

累积器（聚合器）。就是把很多人压到一个很小的屋子里去，这个屋子本来可能就能装一个人，把成千上万的人可以压进去。区块链中的应用：范围证明，构造其他密码原语的工具。

零知识证明。在区块链里应用的比较多，应用好的就是zk-SNARK。它是弱中心化，因为没有做到完全去中心。

密码掷签。ALGORAND带来的理念是密码掷签，就是事先你是不是潜在的验证者，没法知道，不管算力有多强，无法事先预估，所以密码掷签碰运气，还是有其很好的应用。ALGORAND有26个专利产品。

密码原语在隐私保护方面起到什么作用？主要是付款人隐私、收款人隐私和交易内容隐私。

 区块链与公共服务

这是我最近两年一直在思考的一个问题，现在认为杀手级应用太少。有一位领导说：除了能够造币还能做什么？

我们分析区块链到底能做什么？有人有一个提法，赋能特性。到底做了一个什么样的赋能特性。目前我看到的材料从业务可信方面讲得很少，业务逻辑本身有没有作弊，有没有耍流氓，区块链也许在这方面有一些作为。

谢谢大家！