密码学泰斗来学嘉：区块链让密码学从「赔钱」到「值钱」

作者：李小平

广义来讲，区块链技术是利用块链式数据结构验证与存储数据、利用分布式节点共识算法生成和更新数据、利用密码学方式保证数据传输和访问的安全、利用自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式。

如果把区块链技术比作一颗大树，那么密码学、分布式存储、共识机制和智能合约就是这颗大树的根基。与其它先进技术相比，区块链技术的研究与应用过程有所不同。正如国内学术圈流行的一段话：

“在过去，一个科研成果（比如互联网）从理论研究到实际应用，至少需要三年时间。区块链概念的出现，则将这一时间变成了-18个月（意指区块链的理论研究落后于实际应用）。”

近几年，比特币等数字货币的兴起，带动了区块链技术的学术研究，国内外学者与科研机构对区块链的研究兴趣日益浓厚。来学嘉教授，正是被这波区块链浪潮卷进来的学者之一。

来学嘉是国际着名密码学专家、国际密码学会高级会员，自2004年起担任上海交通大学教授。过去的30年里，他着重于应用密码系统的设计和分析（包括分组密码、流密码、Hash函数、PKI），参与了为欧洲的银行使用的信用卡的芯片中的算法的设计，参与了ISO标准 13888不可否认协议、11770密钥管理和18033密码算法的编辑。

他与James Massey教授于1992年共同发明了IDEA密码算法（国际数据加密算法），该算法现已成为全球通用的加密标准之一。他与王小云、冯登国、于红波等人于2014年共同完成对MD5、HAVAL-128、MD4和RIPEMD等四个着名HASH算法的破译文章。

对来学嘉教授来说，区块链是一种既熟悉又陌生的技术。熟悉的是，非对称加密、哈希算法和数字签名并非新技术，加密货币也并非新的发明。早在上世纪90年代，他在瑞士R3安全工程中心工作的时候，结识了“数字货币之父”David Chaum，并与其讨论eCash的可行性。

陌生的是，虽然比特币、以太坊等被统称为“加密货币（cryptocurrency）”，但其底层区块链只使用了数字签名和Hash函数，并未使用加密技术。“加密货币”的错误叫法引起了来学嘉教授的不满，他在近日的一次演讲中，深入浅出地指出了区块链对密码学的贡献，并纠正了一些民间术语的用法。

区块链对密码学的贡献

信息技术的发展，提升了整个社会的效率，但同时伴随着诸多安全问题的出现。信息安全主要是研究单向性，密码学主要是研究单向函数，因此密码学是信息安全领域的基础和核心。在演讲中，来学嘉教授先是给出了国际标准中的五大类信息安全服务：

（1）鉴别服务：也称认证服务，用于确保某个实体身份的可靠性。 （2）访问控制服务：确保只有经过授权的实体才能访问受保护的资源。 （3）数据机密性服务：主要是采用加密手段，使得攻击者即使窃取了加密的数据，也很难得出有用的信息。 （4）数据完整性服务：使信息的接收者能够发现信息是否已被修改，是否被攻击者用假信息换掉。 （5）抗抵赖性服务：也称抗否认性服务，用于防止发送方在发送数据后否认，和接收方在收到数据后否认或伪造数据的行为。

ISO7498-2安全体系结构三维图

密码学中的数字签名、加密算法、Hash函数分别提供了鉴别服务、数据机密性服务、数据完整性服务。区块链对密码学的贡献，主要是为抗抵赖、抗捏造提供了完整的解决方案。

此处区块链的定义是：本质上是一个全局分布且同步的账本（ledger），用户可以验证区块链（账本）的状态（hash链），也可验证账本中每笔交易的合规性（签名）。

抵赖，指的是否认已经做过的事。现实生活要做到抗抵赖，就需要参与者必须服从的第三方，过去的密码学无法提供第三方；捏造，指的是无中生有，捏造没做过的事情，比如假考勤、假证书等等。过去的密码学无法做到抗捏造，因为密码的单向功能建立在已有数据的基础上。

来学嘉教授指出，区块链能做到抗抵赖，是因为区块链本身就是第三方，参与者自觉服从，数字签名为抗抵赖提供证据。因此解决了数字货币中的双花、债券重复抵押、房产双卖等问题；区块链能做到抗捏造，是因为区块链记录了所有的交易，不可篡改、可追溯，这就避免了捏造。

另外，他还指出了区块链对密码学的另一个贡献——区块链为密码学创造了价值，过去的密码学是“赔钱”的，因为要用于保护信息系统的安全，增加了开销；有了区块链后，现在的密码学是“值钱”的，因为密码算法的计算结果（coin）具有价值，另外算法本身也具有价值，比如勒索软件，你要付钱才能解开。

他还对一些民科术语提出了自己的看法：

比如“加密货币”，比特币、以太坊只用了数字签名和Hash函数，并未使用加密技术，cryptocurrency不应翻译为“加密货币”。

比如“去中心化”， 区块链不但没有去中心，而是强化中心——区块链本身就是唯一的中心，所谓“去中心化”是源于比特币去掉了发行货币的中心——银行。

比如“共识机制”，区块链中唯一的共识是参与者只认可最长链的内容。PoW是全民公投、捷足先登，PoS是股份制、钱说了算，这些实质上是记账权。挖矿的本意是录入合法交易，同时获得奖励（new coin），矿工为了拿奖而争夺记账权。

采访

巴比特：您有没有参与过区块链项目？

来学嘉：有很多项目方找过我，但是认认真真做过的项目，只有平安壹账链一个。因为它比较靠谱，能解决实际问题。还有一个海关的项目在做研究方案。其实现在炒作的很多区块链应用，包括溯源、发票这些，都已经不是区块链了。

巴比特：为什么这么说？

来学嘉：因为这些都是可以用传统技术实现的东西。区块链的意义在哪儿？就是传统技术做不到或做起来费事，用区块链来做就很好。一个新技术、新理论出来，很重要的两点是能不能解决以前我们解决不了的问题，和能不能更有效地解决这个问题。

巴比特：您参与的是平安壹账链的哪一部分？

来学嘉：底层密码学设计，在比特币区块链的框架下加入保密的功能，以起到保护隐私的作用。比特币区块链的交易是完全公开的，这种框架不适合很多商业的应用场景。

巴比特：您是怎样构建其密码学架构的？

来学嘉：这个你得问平安，我觉得还是不说的好。像蚂蚁金服（做区块链跨境汇款）也没公开嘛。之所以不公开，可能是牵涉到一些商业机密吧。

巴比特：最近有个很火的项目叫Grin，它是基于一种新型的名为“MimbleWimble”的隐私保护协议，这个协议您有听说过吗？

来学嘉：MimbleWimble有听说过，但是不熟悉，对发币（的项目）不感兴趣，不敢碰。其实密码学的很多东西我也不懂，学科分的太细，像零知识、多方计算，都折腾十几年了，有的问题我都不敢下结论。

巴比特：您是1977年中国恢复高考以来的第一批大学生，师从我国密码学泰斗肖国镇教授，从事了近40年的密码学研究。密码学的什么地方吸引您？

来学嘉：谈不上吸引，我们这些人的学校、学科、学位都是被分配的，没有选择。我和David Chaum他们年纪差不多大，但是由于文化大革命耽误了十年，所以现在辈分没他们高。我们这代人都是这样。

巴比特：研究密码学的人，身上都会有自由主义的精神吗？

来学嘉：90年代密码圈的人都非常的自由主义，像PGP（Pretty Good Privacy，优良保密协议）的主要开发者是菲尔·齐默曼，他说要让密码技术让每个人都能用，要跳出美国的监管。

当时我们也讨论过要不要监管的问题，绝大部分的人一致认为不要监管，只有极少数的有眼光的人认为，如果监管能确保我的安全的话，那我可以忍受一些监管。现在这种观点越来越强烈，全世界的范围来讲，大家都认为应该监管，要不然就要在牺牲个人自由和保护个人安全之间权衡。

结束语：

学术上，来学嘉教授的专业背景极为深厚，讲解深入浅出。访谈中，他非常谦虚，不强调自身的专业背景，很少用晦涩的术语去解释密码学知识。有点像《射雕英雄传》里的老顽童，虽然一把年纪，却不失活泼可爱。面对不重要的问题，他表现得轻松随意，并时常露出带皱纹的微笑；面对重要的问题，他总能点到为止，该“加密”的地方就“加密”。