出生于TABCONF 2024的黑客马拉松,可能刚刚解决了最有害的问题:如果您的私钥遭到损害,则无法重置密码。

Frostr始于2024年10月,刚刚宣布了NOSTR生态系统的Alpha发行,并随附了桌面和随附的浏览器扩展密钥签名。

该项目是由Topher()创立的,他的名字是用于开发比特币工程师的名字 - 一个受欢迎的图书馆,用于管理Taproot,Signatures和Bitcoin Transactions-以及Austin(Austin(Austin)(Austin(Austning)()闪电开发人员,是由闪电驱动的开发人员教育平台,拥有500多名学生。

重置密码似乎看起来无害或像简单的UI功能,但这并不容易。让我带您踏上它解决的问题的复杂性,以及如果我们无法解决这个显然简单的问题,那就是危及的。

社交媒体革命

社交媒体改变了世界。但是,我们发现自己在数字身份中处于一个奇怪的地方。我们在线的人以及我们如何主张我们的在线资料的所有权通常取决于像Facebook这样的受信任的第三方,这些方面太大了,无法关心任何个人客户,并且从根本上有权随时更改规则,甚至完全取消您的帐户。

近年来,有争议的影响者甚至政治人物的枯竭,是如何挥舞这种集中权力的例子。也许最著名的例证是在1月6日在美国国会大厦的骚乱之后不久,就在他的第一任期结束前几天,将美国总统唐纳德·特朗普从Facebook和Twitter中撤离。

尽管如此,世界上的许多地方仍在这种数字新狂欢结构上运作。似乎尚未解决的身份的“权力下放”似乎存在根本的问题。

现代银行抢劫

身份系统是社会的关键层。无论您是2000年前的罗马公民还是今天的美国,都可以根据自己的身份打开和关闭门。如今,尽管看起来像是先进的系统,但它依赖于身份和安全性的数字前概念:它们依赖于对您的脸部进行身份验证。

身份证本身,无论您的驾驶执照还是护照,都可以帮助政府雇员,银行出纳员和酒吧弹跳者做一个非常简单的事情:确定您是否看起来像官方卡上的人,然后弄清楚您是否可以访问。

但是世界正在迅速变化。您的外表的晦涩难懂,也不是您的社会保险号(SSN)的秘密性质(SSN)是他们在互联网前世界中的样子:许多人都将其全名和图片发布到Facebook上,一系列黑客将大量的SSN数据泄漏到了黑暗的网络上。 (例如,影响了1.479亿美国人的影响,或者2024年的国家公共数据泄露,超过2亿美国人受到妥协。)

在模拟前互联网时代,当一名强盗穿过当地银行的大门时,他们会这样做,以拿走存储在保险库中的现金,黄金和可交易的贵重物品。

但这不再是事情的运作方式。在数字时代,金钱不再是现金。菲亚特付款通常是可逆的,因此,如果您闯入银行并以某种方式将钱移至您的帐户,不仅可以逆转,而且只会暴露于您身份的链接。

如今,在线抢劫犯不希望窃取现金,黄金或其他贵重物品,而是要窃取个人身份数据。

这些数据又可以用来欺骗那些相同的银行以及各种规模的业务。

实际上,身份欺诈的成本比所有其他形式的盗窃总合计都要高,总计在2020年。

这些集中式平台中的许多不仅将其数据保险库入侵,并且在Dark Web上以美元的价格出售了其内容,但AI正在迅速改善,并且已经通过了图像生成的图灵测试。我们正处于流氓演员可以创建具有泄漏用户数据的虚假ID并欺骗您的数字财富的假自拍照的时刻。

这种威胁可能会激励变革,您可以看到科技公司和政府机构升级身份系统的新努力。以加州移动驾驶执照应用程序为例,与Google和Apple合作开发 - 最初与机场集成以进行身份​​验证。但是该应用程序还邀请开发人员将其集成为一般网站的身份验证形式。采用类似的方法,已经与IRS完全集成,拥有1.36亿成员。

这些应用中的许多应用都需要面部或指纹身份验证,并要求其用户越来越复杂的KYC自拍照,他们必须持有ID和最近的报纸进行认证。

尽管在Facebook时代使用您的面孔来验证您的身份有明显的弱点,但技术巨头继续依靠生物识别数据,并将其与社交信用评分系统中看到的大规模监视工具相结合。

为了有机会遏制数字时代的命运,在到西方之前,我们需要一个既安全又不可知的身份认证系统,既安全又对生物识别数据。我们需要一个不依赖我们脸的身份系统。

输入NOSTR,一个比特币时代的身份和社交媒体协议

出生于比特币开发人员生态系统,迅速发展成为社交媒体网络。

缩写“笔记和其他由继电器传输的东西”(有点嘴) - NOSTR使用户能够将自己验证为社交媒体假名(NYMS),并使用比特币风格的私钥签署帖子。作为一种从根本上使互联网从目前的结构中民主化的自我观察系统,它为社交媒体打开了一系列新的可能性。

NOSTR的支持者认为,当用户决定移动平台或选择错误的政党时,用户最终可以依靠硅谷巨人的慈善或仁慈。

NOSTR通过分布式客户端网络拓扑工作,该拓扑可以使您可以访问称为继电器的各种服务器的内容。如果一个人不公平地对用户进行审查,则很可能还有其他窗口进入NOSTR内容feed,这将使您访问并允许您发布想法。

NOSTR的梦想是解锁新一代的社交媒体技术,该技术不会通过挖掘数据来将用户转化为产品,这不会迫使生物识别身份验证,损害其隐私,这使开发人员可以在开放的网络中构建其密码学和规格已经开放源,并且与比特币融合了互联网,互联网是互联网的。

希望保护其NOSTR品牌免受试图模仿其假冒帐户的名人和用户可以遵循与开发的标准相似的标准,该标准要求用户公开使用其其他社交媒体帐户,将声誉标记合并为一个由密码控制的身份。尽管目前在NOSTR中不是一种实践,但这是一个以KeyBase分散的方式合理解决的问题。

但是,这并不是所有的阳光和彩虹。将身份所有权推向边缘,带有一系列全新的问题,到目前为止,这些问题尚未真正得到解决,并且个人使我无法投资于在NOSTR上建立我的品牌。

没有密码重置

当前没有真正的方法可以重置NOSTR NYM或身份的密码。基于简单的公钥对系统,如果您的私钥被黑客入侵或泄漏,那么您的身份基本上就在得到的人的控制之下。 (你们俩都有秘密,所以没有人可以独家控制它。)

这是一个巨大的问题。尽管此类骇客的例子并不太普遍,但对于可能考虑将严肃资金构建在这种新的社交网络协议中的品牌来说,它们是一种重要的威慑力。

NOSTR的预期设计使这种特殊的风险变得更糟,该设计邀请了许多不同的接口,以访问具有相同用户身份的各种内容的内容,这意味着用户将其私有密钥授予多个客户端,从而将折衷的风险倍增。

因此,已经建立并变得流行的一层防御是外部签名者的想法,通常是这样的浏览器扩展程序,有助于将您的私钥作为一种密码管理器管理,从而为您在各种NOSTR平台上为您提供签名。

尽管今天运行得很好,但它并不能解决基本问题。一个错误和NYM有效地遭到损害,该建立品牌或声誉的价值不仅受到伤害,而且可能会因骗子而戴着您的身份来骚扰您的朋友或客户。

这类似于Facebook,Instagram和Twitter上非常常见的模仿骗局,这些骗局克隆了您的个人资料,并使用网络钓鱼方案进行DM,但更糟糕的是。在NOSTR中,这样的攻击将通过 你的 身份 - 不是一个虚假的个人资料 - 严重损害了意识到这个问题的人对所有内容的真实性的信心。

解决方案应该很简单:只需创建一个密码重置功能即可。正确的?

好吧,事实证明,这里需要一些非常有创造力的工程,因为密码重置基本上只有通过将您对身份的控制权放弃给可以更新中央数据库并为您提供新的密钥集的第三方的控制权才有可能。

到目前为止,那就是。让我们潜入霜冻。

霜冻在主权密钥管理中的突破

密码学最近的突破为比特币和加密货币行业的自我监护开辟了新的大门。一种迅速进入市场的特定创新是Frost,这是一种基于Schnorr的关键管理和关键旋转方案,其功能与比特币多签名地址和交易相似,但没有链交易成本或隐私权折衷。

Schnorr是1990年代发明的加密形式。 Schnorr在欧洲和美国专利到期后的几年后,可能是对比特币的未来升级,并最终在2020年的Taproot Soft Fork升级中引入。

同年,切尔西·科姆洛(Chelsea Komlo)和伊恩·戈德伯格(Ian Goldberg)发表了“霜冻:灵活的圆形精制的schnorr阈值签名”,该技术规范为其在闪电网络基础设施中的使用奠定了基础,以及新的多种签名方案,用于自我监护权。

尽管密码学很复杂,并在本文的范围之内解释了它,但它类似于Shamir Secret Enerion等方案。涉及的加密原则允许用户用Trezor硬件钱包创建一个24字的种子,分为三个单词,分别为12个单词。合并的任何两股股票都可以组装到钱包的主私钥中,而仅任何一份股票都不足以妥协或恢复对帐户的访问。

在这里,Blockstream的研究负责人安德鲁·波尔斯特拉(Andrew Poelstra)对Frost进行了两分钟的视频说明:


弗罗斯特(Frost)中使用了相同的原理,该方案旨在使多方,多方签名的钱包(如交易所使用的钱包)可能更换多方签名的比特币脚本,从而使用户受益于更高的隐私和较低的成本。

通过将Frost与NOSTR继电器协议集成在一起,从而扩展了Frost,因此名称中添加的“ R”。它还可以将技术调整到单用户钱包中,而不是工业级的多用户方案,可以为具有单密钥对的单个密钥对的单个用户(例如在NoSTR中使用的)提供更简单的设置和解锁密钥旋转(密码重置)。

FROSTR启用了三个新功能:

  • 阈值键签名,因此,如果一个键被损害,则可以旋转并生成一组新的子键,从而生成NoStr私有键盘。无需更改您的NOSTR公共和私钥(NSEC)。类似于 - 例如,一个3中的2中的多符号比特币钱包,如果一个键丢失或折衷,则可以使用其他两个键将硬币移至新的稳定结构,并重新控制三个新鲜钥匙,但要脱链。这是一件神奇的事情。
  • 不需要用于NOSTR密钥旋转的应用程序层解决方案,只有像Alby这样的密钥签名者必须集成Frostr;像Primal或Damus这样的NOSTR应用程序甚至不知道Frostr被用户用于钥匙旋转。
  • 已经拥有NOSTR帐户的用户,其NSEC尚未受到损害,不需要迁移到新的按键和身份,而只是将其NSEC从当前的密钥签名中删除,然后开始使用Frostr作为更安全的密钥管理系统。

结果?分散的社交媒体难题中的主要部分是解锁的:无信任的身份重置不依赖集中式看门人进行身份验证的密码。

这项创新的后果,即使是富有成果,这是基本的。 NOSTR生态系统是明智的,看看Frostr。新一代的非生物标准,无信任的数字身份和主权数据所有权用例以比特币时代解锁的新一代非生物标准,无信任的数字身份和主权数据所有权用例可能已经足够了。

要深入研究Frostr,请在网站上查看他们的网站 或看看我与Topher和Austin录制的这个播客有关该主题的录制。

微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈