小城的数学浪漫:探秘密码学专业会议 TPMPC 2018

2018-08-08 14:42


江湖上总流传着盖世神功武林秘籍的传说,言之确凿,然见者颇少,一见不得了,譬如《30 天入门九阳神功》,《21 天精通九阴白骨爪》,此等教程实属罕物,睹之不易,遑论据而拥之,若侥幸习得一二,已属佼佼,转瞬跻身武林大佬。江湖更有甚者,机缘巧合得大师弥留之 paper,譬如《10 年浅谈乾坤大挪移》,《深入理解少林易筋经体系结构》、《1 秒钟入定,手把手教你辟邪剑谱》,《当我们在谈论降龙十八掌时我们在谈论什么》,论文加持,顶级算法开窍开天辟地,难题迎刃而解。

一直以来,江湖中血雨腥风的故事大多跟争抢这些电子书有关,赢者仿似开挂,获少林武学研究院等 paper 而制霸中原武林工程学术界,此非独物,区块链江湖里也流传着不少,其中最酷的一样当属密码学无疑,密码学领域不少 paper 似有相同功效。昔时华之山论剑武功绝,今日区块链当问密码学。

近日 AlphaWallet 就有一篇重磅 paper 诞生,虽不似前述诸绝之伟岸功效,但也可谓区块链之震撼大作,诞生在如何的背景之下?在讲些什么?和密码学的关系是什么?解决了什么问题?可以用来做什么?今天 CTO 韡武先从他的视角带你走马观花,看看今年的密码学会议 TPMPC 2018。而在下一期,我们会正式为大家带来这篇江湖秘籍,AlphaWallet 最新的 Paper 《Attestation on Ethereum》!

01

问剑密码学的会议一般都很神祕,就是没多少人知道,没多少人去,去了没多少人听得懂,但是其密码学成果却是江湖里流传的算法神功秘籍,可能有深远影响。给外行有种像是共济会讨论改造世界。关于区块链,熟悉密码学圈子的人应该都知道这个现象,就是密码学家们完全不谈区块链。区块链是密码学应用和分区计算领域的跨领域成果,现在分布式计算专家很多都改称区块链专家了,密码学还是很本色。TPMPC 就是这样一个密码学会议,今年的 2018 年会在丹麦小城 Århus 举行,我试着带大家一起来探秘这个密码学专业会议了。

02

我住处在 Århus 大学对街。早上 9 点起来全无车声、人声,只有鸟叫。这是因为我在 Århus。Århus 去哥本哈根 3 小时路程,全城仅 27 万居民。这也算城吗?我自问。到这个小城,我用的是渡船。东道主丹麦密码学专家 Tore 是我们的顾问,在港口接我。“你没有坐水上飞机来呀?”他说。原来小国有小国的好处,这里的 CTO 出行坐水上飞机,直接在哥本哈根的河道里起降,一下飞机就在 CBD,价格一两百欧元,省下的时间却不止这个价。“可是 Google Map 上没提供这个信息呀”,我笑着说。

03

这座城没有一个摩天大楼,只有一个博物馆算是有意思的建筑。清泉小楼,乏善可陈。然而此时正有 50 多位密码学家共聚此地,因为这是一个一般麻瓜不知道的朝圣之地——全世界最高水平(按论文算)的 MPC——多方安全计算——研究就诞生在这里。

04

多方安全计算是美籍华人姚期智在我所生的那一年 1982 年创建的领域。他提出了一个在不保密的环境下保持秘密的计算方法,靠它获得了图灵奖。姚期智虽然移居清华,他开创的多方安全计算这个领域却定都在 Århus。完成这项使命转化的是 Ivan Damgård 教授,一位白发而精力充沛的教授,行业界的一个传奇人物,生于斯长于斯的丹麦人,也是这场会议的主持人。姚期智在清华现在主要做复杂系统,研究“P 与 NP”这样的问题,但是不忘他的密码学遗产,仍然促成清华跟 Århus 合资建立了研究中心。

Aarhus University © Zairon, Wikimedia Commons, License CC-BY-SA-3.0

05

我住在一个胚胎人工培养专家家里。他给我解释了他的工作,我没听懂。我于是给他解释我此行的目的,到西方取经,这“经”是多方安全计算的一些成果,在很多在区块链场景中,尤其是钱包中,很重要。我先试着给他讲了区块链是如何解决“可信”的问题,而“保密”的问题却悬而末决,需要结合 MPC 才能解决很多应用场景。他听完后表示懂得跟我懂的人胚胎知识差不多。

于是我换了个讲法:“比如说苹果在做 ApplePay,如果美国政府想要用户的支付数据,苹果公司对用户和政府两面都不敢得罪怎么办?如果使用 MPC,苹果就可以说:我们其实自己也不知道。”胚胎专家表示说他懂了。

唉,为了能讲懂,只好讲的不准确。其实我刚才的例子不合适,因为苹果服务器要处理支付的结算环节,不知道是不可能的,用了 MPC 也没用。但是像我们做区块链钱包的,结算由区块链做,我们 AlphaWallet 却是可以用 MPC 保护用户的。现在所有的手机以太坊钱包厂商都知道其用户的以太币地址(可以卖给空投商用,相当于韭菜肥料),而我们出于保护用户,不知道我们用户的以太币地址。这种前提下还要往上做功能,需要的正是 MPC 这种特别魔法。

Aarhus University © Villy Fink Isaksen, Wikimedia Commons, License cc-by-sa-3.0

06

熟悉密码学圈子的人应该都知道这个现象,就是密码学家们不谈区块链。区块链是密码学应用和分区计算领域(加游戏理论)的跨领域成果,现在分布式计算专家很多都改称区块链专家了,密码学还是很本色,跟区块链划清界线。一个月前密码学家 Helger Lipmaa 被指是中本聪,他不客气的说他不可能是中本聪,“因为中本聪不是密码学家嘛”——这个掌故可以反映密码学圈的态度。

洁零知识证明,尤其是非交互的简洁零知识证明,既是区块链未来的核心技术,又是目前密码学的重头。这个领域里这些年研究成果倍出,但是领域里的学者都不太喜欢基于零知识证明设计的 ZCash。我遇到一位零知识理论研究专家,一个坚持要求我用法语叫他名字的十分聪明的青年。他对 ZCash 受媒体暴光很不满意:“先知被当成了神”,他说,“ZKSnark 又不是他们 ZCash 发明的。”

07

在工程圈也有不少人参与会议。各大公司的基础技术研发中心都有代表,包括阿里巴巴。一位家喻户晓的国际品牌荷兰研发中心的代表说,韡武,原来你是搞区块链的,我们一天倒晚反对区块链,都快累死了。我说:你的领域如果跟区块链没关系,为什么需要特别地“反对”它呢?我就不反对胚胎人工培养,跟我没关系嘛。他说,现在各公司的管理层风气是这样的,基础技术研究部门不研究区块链会被问责的,这样重要的技术趋势你们都不研究,公司如何在前沿?所以我们必须额外花力气来反对它。我们光是不做区块链是不够的,得出材料论证我们为什么不做区块链,我听了哭笑不得。

08

我在席间问了几个密码学家,说为什么密码学家不喜欢区块链。总的来说,密码学家觉得区块链是密码学的“不好的”应用,炒币很荒唐,公链搞无政府主义很无聊。传统上密码学的发展跟政府需求是密切相关的,Diffie-Hellman 密钥交换协议不知道免去了多少间谍送命,欢迎比特币的无政府主义思想在密码学界并不吃香。有些密码学技术,比如 IBE(Identity Based Encryption)是基于一个极强中心(知道所有人密钥)假设下发展的(今天讲到一个没有这种假设的 IBE,有意思)。那好的应用是什么呢?有位丹麦密码学博士出来说其实你说区块链不好,但是国家做的也不好,现在丹麦政府给公民发的密匙自己都有一份备份,就没有不可抵赖性了。礼失求诸野,政府不好好用密码学,民间先做区块链有什么错呢?