- VisualStudio2022插件的安装及使用-编程手把手系列文章
- pprof-在现网场景怎么用
- C#实现的下拉多选框,下拉多选树,多级节点
- 【学习笔记】基础数据结构:猫树
在区块链应用的基础组件中通常有这样一种功能,需要持续不断的向区块链中发送交易,比如arbitrum的Sequencer需要持续不断的发送L2的区块,stark 需要发送单步证明/rBlock发布 的交易,chainlink需要定时发送datafeed交易。而这每一笔交易都需要L1上的账户做签名,如何安全的使用和管理这个密钥是值得关心的.
就我所看到的一般有两种方式:
当然,密钥管理不只是简单的将密钥注入到程序里面,而是如何在程序里面安全的使用这些密钥,毕竟如果密钥发在一个可能被外部接口调用的接口中,可能会降低密钥的安全性.
密钥安全等级(依次递减,只考虑加密算法公开的情况):
所以在程序中也需要对密钥进行保护.
以太坊中每次使用完私钥会将私钥的地址还原成0地址,就是为了避免私钥在内存中泄漏.
私钥泄漏的原理大致是,geth程序在使用玩内存后会释放内存,而他释放内存并不会把内存值全部置0,而只是告诉操作系统,“这段内存我不用了,你可以分配给别的程序” 。而别的程序申请到这段内存之后,他是可以直接读取这段内存里的值,(经典案例就是 在c语言中如果你初始化一个变量,而不为赋值,那他的值不是0值,而是原先在这个值里面的内存的值) 。
先从最底层的调用开始看 。
在单步证明的调用中可以看到,这笔交易的用户信息是保存在auth字段中的 。
func (m *ChallengeManager) IssueOneStepProof(
ctx context.Context,
oldState *ChallengeState,
startSegment int,
) (*types.Transaction, error) {
position := oldState.Segments[startSegment].Position
proof, err := m.executionChallengeBackend.GetProofAt(ctx, position)
if err != nil {
return nil, fmt.Errorf("error getting OSP from challenge %v backend at step %v: %w", m.challengeIndex, position, err)
}
return m.challengeCore.con.OneStepProveExecution(
m.challengeCore.auth, // 用户信息保存在这个字段
m.challengeCore.challengeIndex,
challengegen.ChallengeLibSegmentSelection{
OldSegmentsStart: oldState.Start,
OldSegmentsLength: new(big.Int).Sub(oldState.End, oldState.Start),
OldSegments: oldState.RawSegments,
ChallengePosition: big.NewInt(int64(startSegment)),
},
proof,
)
}
具体如何使用可以继续点进去看,最终是auth中包含一个变量(函数类型的变量),由这个变量进行签名,(我们需要找到的这个函数的生命周期,也就是密钥的生命周期).
那么继续往上看,看这个challengeManager的构造方法 。
func NewChallengeManager(
ctx context.Context,
l1client bind.ContractBackend,
auth *bind.TransactOpts,
fromAddr common.Address,
challengeManagerAddr common.Address,
challengeIndex uint64,
val *StatelessBlockValidator,
startL1Block uint64,
confirmationBlocks int64,
) (*ChallengeManager, error) {
...
return &ChallengeManager{
challengeCore: &challengeCore{
con: con,
challengeManagerAddr: challengeManagerAddr,
challengeIndex: challengeIndex,
client: l1client,
auth: auth, // 也就是上面的auth
actingAs: fromAddr,
startL1Block: new(big.Int).SetUint64(startL1Block),
confirmationBlocks: confirmationBlocks,
},
blockChallengeBackend: backend,
validator: val,
wasmModuleRoot: challengeInfo.WasmModuleRoot,
maxBatchesRead: challengeInfo.MaxInboxMessages,
}, nil
}
可以看到auth是上面传递过来的bind.ContractOpts 。
继续往上面看,auth来自与Builder这个结构,好在这个结构的构造函数只被调用过一次(我们及假设唯一的构造得到的auth就是我们要找的auth,中间没有发生更改) 。
func NewBuilder(wallet ValidatorWalletInterface) (*Builder, error) {
randKey, err := crypto.GenerateKey()
if err != nil {
return nil, err
}
builderAuth := wallet.AuthIfEoa()
var isAuthFake bool
if builderAuth == nil {
// Make a fake auth so we have txs to give to the smart contract wallet
builderAuth, err = bind.NewKeyedTransactorWithChainID(randKey, big.NewInt(9999999))
if err != nil {
return nil, err
}
isAuthFake = true
}
return &Builder{
builderAuth: builderAuth,
wallet: wallet,
L1Interface: wallet.L1Client(),
isAuthFake: isAuthFake,
}, nil
}
builder的auth有两种途径,一种是 AuthIfEoa 也就是从eoa中解析私钥,一种是自己生成私钥 。
那么关键在与这里的wallet是什么(也就是现在从跟踪auth转移到跟踪wallet) 。
最终发现wallet在creatNoteImpl方法里面构造的 。
var wallet staker.ValidatorWalletInterface = validatorwallet.NewNoOp(l1client, deployInfo.Rollup)
if !strings.EqualFold(config.Staker.Strategy, "watchtower") {
if config.Staker.UseSmartContractWallet || (txOptsValidator == nil && config.Staker.DataPoster.ExternalSigner.URL == "") {// 合约账户
var existingWalletAddress *common.Address
if len(config.Staker.ContractWalletAddress) > 0 {
if !common.IsHexAddress(config.Staker.ContractWalletAddress) {
log.Error("invalid validator smart contract wallet", "addr", config.Staker.ContractWalletAddress)
return nil, errors.New("invalid validator smart contract wallet address")
}
tmpAddress := common.HexToAddress(config.Staker.ContractWalletAddress)
existingWalletAddress = &tmpAddress
}
wallet, err = validatorwallet.NewContract(dp, existingWalletAddress, deployInfo.ValidatorWalletCreator, deployInfo.Rollup, l1Reader, txOptsValidator, int64(deployInfo.DeployedAt), func(common.Address) {}, getExtraGas)
if err != nil {
return nil, err
}
} else {
if len(config.Staker.ContractWalletAddress) > 0 {
return nil, errors.New("validator contract wallet specified but flag to use a smart contract wallet was not specified")
}
wallet, err = validatorwallet.NewEOA(dp, deployInfo.Rollup, l1client, getExtraGas)
if err != nil {
return nil, err
}
}
}
继续跟踪我们得到wellet中的验证方法是由txOptsValidator提供的 。
向上继续找txOptsValidator 。
最重找到mainImpl 。
if sequencerNeedsKey || nodeConfig.Node.BatchPoster.ParentChainWallet.OnlyCreateKey {
l1TransactionOptsBatchPoster, dataSigner, err = util.OpenWallet("l1-batch-poster", &nodeConfig.Node.BatchPoster.ParentChainWallet, new(big.Int).SetUint64(nodeConfig.ParentChain.ID))
if err != nil {
flag.Usage()
log.Crit("error opening Batch poster parent chain wallet", "path", nodeConfig.Node.BatchPoster.ParentChainWallet.Pathname, "account", nodeConfig.Node.BatchPoster.ParentChainWallet.Account, "err", err)
}
if nodeConfig.Node.BatchPoster.ParentChainWallet.OnlyCreateKey {
return 0
}
}
if validatorNeedsKey || nodeConfig.Node.Staker.ParentChainWallet.OnlyCreateKey {
l1TransactionOptsValidator, _, err = util.OpenWallet("l1-validator", &nodeConfig.Node.Staker.ParentChainWallet, new(big.Int).SetUint64(nodeConfig.ParentChain.ID))
if err != nil {
flag.Usage()
log.Crit("error opening Validator parent chain wallet", "path", nodeConfig.Node.Staker.ParentChainWallet.Pathname, "account", nodeConfig.Node.Staker.ParentChainWallet.Account, "err", err)
}
if nodeConfig.Node.Staker.ParentChainWallet.OnlyCreateKey {
return 0
}
}
我们得到l1TransactionOptsValidator是使用nodeConfig.Node.Staker.ParentChainWallet 这个配置项得到的. 。
最终的数据结构张这个样子 。
type WalletConfig struct {
Pathname string `koanf:"pathname"`
Password string `koanf:"password"`
PrivateKey string `koanf:"private-key"`
Account string `koanf:"account"`
OnlyCreateKey bool `koanf:"only-create-key"`
}
继续点到OpenWallet可以看到他是如何处理这些配置项的 。
在有私钥的情况下最终会走到这个方法 。
func NewKeyedTransactorWithChainID(key *ecdsa.PrivateKey, chainID *big.Int) (*TransactOpts, error) {
keyAddr := crypto.PubkeyToAddress(key.PublicKey)
if chainID == nil {
return nil, ErrNoChainID
}
signer := types.LatestSignerForChainID(chainID)
return &TransactOpts{
From: keyAddr,
Signer: func(address common.Address, tx *types.Transaction) (*types.Transaction, error) { // signer就是我们一直再找的在发送交易时使用到的签名方法
if address != keyAddr {
return nil, ErrNotAuthorized
}
signature, err := crypto.Sign(signer.Hash(tx).Bytes(), key)
if err != nil {
return nil, err
}
return tx.WithSignature(signer, signature)
},
Context: context.Background(),
}, nil
}
从这里看出来,私钥始终保存在signer这个方法中,在整个使用过程中没有将私钥作为参数传递的情况.
如果使用的是filekey+密码的情况会进入到这个方法 。
func NewKeyStoreTransactor(keystore *keystore.KeyStore, account accounts.Account) (*TransactOpts, error) {
log.Warn("WARNING: NewKeyStoreTransactor has been deprecated in favour of NewTransactorWithChainID")
signer := types.HomesteadSigner{}
return &TransactOpts{
From: account.Address,
Signer: func(address common.Address, tx *types.Transaction) (*types.Transaction, error) {
if address != account.Address {
return nil, ErrNotAuthorized
}
signature, err := keystore.SignHash(account, signer.Hash(tx).Bytes())
if err != nil {
return nil, err
}
return tx.WithSignature(signer, signature)
},
Context: context.Background(),
}, nil
}
程序会根据filekey构造一个keystore,后续签名都是在keystore中签名 。
注意filekey的密码是在终端控制台输入的,其中的readPass函数如下 。
func readPass() (string, error) {
bytePassword, err := term.ReadPassword(syscall.Stdin)
if err != nil {
return "", err
}
passphrase := string(bytePassword)
passphrase = strings.TrimSpace(passphrase)
return passphrase, nil
}
最后此篇关于区块链应用的密钥管理的文章就讲到这里了,如果你想了解更多关于区块链应用的密钥管理的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
我会尽可能地解释我正在做的事情,以获得最好的可能的建议/解决方案。这一切都是在 java 中完成的。 我的客户有一个基于 SWING 的桌面应用程序,它将使用 WebStart 加载。我被指派为用户帐
看来这个page包含 Azure CLI 支持的与 Azure API 管理相关的所有功能。但它没有展示如何使用 Azure CLI 管理用户、产品、证书、订阅和 API 等实体。 Azure CLI
我设置了一个 Hadoop 1.2.x 版本,双节点集群。第一节点(NameNode、Jobtracker)和第二节点(Secondary NameNode、Datanode、TaskTracker)
对于内容驱动的网站,设计好坏的关键是关系型数据库。在这个教程中,我们已经使用了MySQL关系型数据库管理系统(RDBMS)建立了我们的数据库。对于网站的开发者来说,MySQL是一个较受欢迎的选择,这
在尝试运行MariaDB之前,首先确定其当前状态,运行或关闭。 有三个选项用于启动和停止MariaDB – 运行mysqld(MariaDB脚本)。 运行mysqld_safe启动脚本。
我在管理界面中遇到 StackedInlines 前缀的问题。我会尝试发布所有必要的代码。 models.py(简要) ##### Base classes class BaseItem(models
我是新来的。到目前为止,我一直在使用 MVC 模型并使用基本的 session 管理模型,即在 session 中存储一个 token 并检查每个请求。 我正在尝试对lift做同样的事情,但我的 se
我在 win 服务中使用 NHiberante。有时我得到 System.ObjectDisposedException: Session is closed! Object name: 'ISess
我正在尝试使用 HtmlUnit 登录 Facebook 页面并查看其 HTML 内容。我正在尝试通过 HtmlUnit 填写登录凭据,但在单击提交按钮时我没有看到正在执行的 session 。 在
我正在为一个相当大的项目开发一个带有 reactjs 的前端,该项目有两个主要接口(interface)。主站点的前端和管理员的前端。 我应该将它们开发为两个不同的项目还是 reactjs 中的一个项
短版 我有一个使用插件基础结构的应用程序。插件具有可配置的属性,可帮助它们了解如何完成工作。插件按配置文件分组以定义如何完成任务,配置文件存储在由 DataContractSerializer 序列化
如何管理 iPhone 应用程序中的用户 session ?我在应用程序的第一页上从用户那里获取了用户名和密码。用户可以随时注销。如何像其他 Web 应用程序一样在 iPhone 应用程序中存储 se
我正在使用 Azure API 管理,其中包含第三方论坛 (Discourse) 的链接。 api管理提供的默认登录系统用于注册用户。我想知道是否可以对 api 管理和论坛使用单点登录,这样用户就不必
我正在使用 Wordpress 建立一个网站,并且我想利用它的 session 。但我没有找到任何插件,甚至文档。在我开始破解之前有什么建议或引用吗? 注意:我问的是 WP 是否以及如何使用标准 PH
我已阅读《Azure in Action》一书中的以下内容:“在 Windows Azure 中,状态服务器或进程外 session 状态提供程序,不支持” 谁能告诉我为什么不支持这个。他们在书中没有
我有一个内联表单集,我想排除一些模型对象在表单集中显示。 例如。模型 B 具有模型 A 的外键,因此它是 1:n(A 对象有许多 B 对象)关系。现在在 A 管理编辑页面上,我已经获得了 B 的内联。
我正在开发一个基于 session 的项目。我在想,与银行类似,我会创建一张支票并为用户提供阻止 session 超时的能力。 我正在考虑创建一个 setInterval 来检查需要身份验证的空白页面
我正在为一位拥有 Magento 商店的客户工作。里面塞满了产品,但这些产品的名称有点乱。他并没有坚持一种命名约定,而是多年来使用了不同的约定。因此,每当他使用“管理”->“管理产品”部分中的“名称”
我使用大约十几个 XSLT 文件来提供大量输出格式。目前,用户必须知道导出的文件格式的扩展名,例如RTF、HTML、TXT。 我还想使用参数来允许更多选项。如果我可以将元数据嵌入 XSL 文件本身,那
我已阅读《Azure in Action》一书中的以下内容:“在 Windows Azure 中,状态服务器或进程外 session 状态提供程序,不支持” 谁能告诉我为什么不支持这个。他们在书中没有
我是一名优秀的程序员,十分优秀!