Le nuove tecnologie che cambiano il futuro del Web3, conoscenza di base del portafoglio Passkey e analisi dei prodotti correlati

Autore originale: Cipher, fondatore di JoyID
1. Punti chiave del rapporto di ricerca
·Passkey è la prossima generazione della tecnologia degli account Web2, priva di installazione, sicurezza, comodità e privacy.
·Il portafoglio Passkey introduce questa tecnologia nel mondo blockchain e ci offre una nuova esperienza di portafoglio
·L'esperienza dell'utente è addirittura migliore rispetto ai tradizionali account Web2 e la nuova esperienza dell'utente darà vita anche a nuovi scenari per l'utente
·La soglia per l'ingresso degli utenti ordinari nel mondo blockchain è stata completamente superata e la divulgazione su larga scala di Web3 potrebbe essere proprio dietro l'angolo.
2. Panoramica
2.1 Introduzione alla tecnologia Passkey
Prima di introdurre Passkey, dobbiamo introdurre WebAuthn. Si tratta di una tecnologia di accesso senza password proposta dalla FIDO Alliance supportata congiuntamente da Apple, Google, Microsoft, Meta, ecc. Esegue l'autenticazione dell'utente tramite una coppia di chiavi asimmetriche generata dal dispositivo, sostituendo lo schema di autenticazione della password dell'utente. Il suo principio è simile allo scudo USB o al portafoglio hardware che utilizziamo tradizionalmente. Gli utenti utilizzano la chiave privata salvata nel dispositivo per creare una firma digitale per autenticare la propria identità sul server.
Le chiavi private di WebAuthn vengono generate e gestite in chip di sicurezza dedicati, corrispondenti al Secure Enclave dei dispositivi Apple, al Secure Element dei dispositivi Android e al TPM dei dispositivi PC. Sono chip indipendenti dalla CPU e dal sistema operativo e hanno un livello di sicurezza molto elevato. Ad esempio, in quest'area vengono archiviati i dati della carta di credito Apple Pay. La chiave privata nel chip di sicurezza non può essere letta tramite API esterne. Può essere evocata solo dal modulo di blocco schermo del sistema (solitamente biometrico) per le operazioni di firma digitale.
Passkey è una soluzione di sincronizzazione della crittografia delle chiavi basata su WebAuthn. Gli utenti possono utilizzare icloud o l'account Google per crittografare e sincronizzare automaticamente le chiavi private del proprio dispositivo per ottenere l'esperienza di accesso automatico a un sito Web su più dispositivi contemporaneamente. Attualmente, i dispositivi tradizionali tra cui iOS, Android e MacOS supportano completamente Passkey, mentre Windows 10/11 supporta solo WebAuthn.
La tecnologia Passkey/WebAuthn (considerando che l'unica differenza tecnica tra i due è la sincronizzazione, d'ora in poi verranno collettivamente chiamate Passkey) è la tecnologia di autenticazione degli account di prossima generazione promossa dalle grandi aziende. Presenta vantaggi molto evidenti: nessuna password, anti-smarrimento, anti-contraffazione, semplice e facile da usare, ecc. Ma ha anche dei difetti naturali, ovvero i dispositivi di marche diverse non possono fidarsi l'uno dell'altro. È impossibile sincronizzare iOS Passkey con i dispositivi Android, quindi l'accesso agli account sui terminali della marca è sempre un grosso problema.
2.2 Passkey unisce i vantaggi di Web3
La stessa tecnologia Passkey è progettata per i servizi di rete Web2 e non tiene conto degli scenari applicativi Web3/Crypto. Ma grazie alla sua architettura a chiave asimmetrica, eserciterà grandi vantaggi una volta combinato con Web3.
·Il portafoglio Passkey può essere utilizzato per creare un portafoglio non custodito senza password o parole.
·Il portafoglio Passkey non ha bisogno di rivelare alcuna informazione privata dell'utente, inclusi e-mail, numero di cellulare o persino nome utente
·Il portafoglio Passkey migliora la sicurezza del portafoglio degli utenti ordinari a livello hardware e offre un'esperienza utente migliore.
·La blockchain può fungere da intermediario fiduciario, consentendo il riconoscimento reciproco delle passkey generate da dispositivi di marche diverse, il che può fornire un'esperienza utente migliore rispetto a quando Web2 utilizza Passkey.
Sicurezza, comodità e non custodia, questi tre vantaggi apparentemente impossibili possono essere ottenuti con il portafoglio Passkey. Sarà un importante promotore della narrativa dell'adozione di massa di Web3.
2.3 Breve analisi di ERC4337 e portafoglio MPC
Concentrandosi anche sulla narrativa dell’adozione di massa, esistono già due soluzioni tradizionali sul mercato, vale a dire il portafoglio astratto per account ERC4337 e il portafoglio informatico multipartitico sicuro MPC. Rivediamo innanzitutto brevemente i loro principi e le loro caratteristiche.
Portafoglio ERC4337
ERC4337 è uno standard a livello di applicazione per i portafogli contrattuali EVM. I vantaggi del portafoglio contrattuale stesso includono il ripristino della chiave privata in caso di smarrimento, il pagamento delle spese di gestione, la gestione flessibile delle autorizzazioni, le transazioni batch, ecc. Ma anche i suoi svantaggi sono evidenti, inclusi elevati costi di inizializzazione, commissioni elevate per singola transazione, scarsa compatibilità con DAPP, ecc. Questi sono i vantaggi e gli svantaggi teorici del portafoglio contrattuale. Nell’uso reale presenta molte altre carenze.
·Gli utenti hanno ancora bisogno di una chiave privata, il modo in cui viene generata e gestita è un problema
·La questione del trust Anchor Point in caso di smarrimento e reset della chiave privata: ovvero chi ha l'autorità di resettare la chiave privata del wallet dell'utente
·Problema di sincronizzazione multicatena del ripristino della chiave privata: presupponendo che l'utente abbia solo risorse su Polygon e reimposti la chiave privata in questo momento, la chiave privata del contratto su Ethereum dovrebbe essere reimpostata? In caso di ripristino, sarà richiesta una commissione di gestione elevata. In caso contrario, gli utenti successivi non saranno in grado di utilizzare i propri account su Ethereum.
·Si è verificato un problema con la fonte della tariffa di distribuzione iniziale, che deve essere pagata dall'utente o sovvenzionata da terzi.
·Problemi di incentivi per i bundler secondo il protocollo 4337
Questi problemi teorici e pratici hanno portato il tasso di adozione effettivo dei portafogli ERC4337 a essere inferiore al previsto.
Portafoglio MPC
Il portafoglio MPC consiste nel dividere la chiave privata in più parti e consegnarle a più parti per la custodia. Quando è richiesta una firma, le chiavi private vengono unite insieme per formare una chiave privata completa e quindi firmata oppure ogni frammento viene firmato separatamente e le firme vengono unite e calcolate in una firma completa. I vantaggi del portafoglio MPC includono
·Costi on-chain bassi, gli utenti non devono pagare commissioni aggiuntive per l'esecuzione del contratto di portafoglio
·La soluzione di ripristino è flessibile. Gli utenti possono utilizzare e-mail, telefono cellulare, password, archiviazione nel cloud e altri metodi come metodi di autenticazione per ottenere frammenti di ripristino.
·Indipendente dalla piattaforma, il portafoglio MPC non solo supporta EVM, ma teoricamente supporta anche vari sistemi blockchain
Tuttavia, MPC presenta anche un grosso svantaggio, ovvero deve introdurre servizi di hosting e firma centralizzati. Richiedono costi elevati per mantenere la sicurezza delle informazioni e il backup dei dati dei server shard e per garantire che possano rispondere tempestivamente alle richieste di firma degli utenti. Ciò porta anche al fatto che il modello di business del portafoglio MPC è toB SaaS ed è difficile per gli utenti migrare. Ciò porta anche ad applicazioni che spesso non sono disposte a vincolare gli utenti a un determinato fornitore di servizi MPC.
3. Analisi del prodotto portafoglio Passkey
3.1 Tre direzioni del portafoglio Passkey
Abbiamo analizzato i portafogli Passkey attualmente presenti sul mercato e abbiamo scoperto che si dividono principalmente in tre direzioni tecniche.
·Schema di verifica della firma AA + Passkey, rappresentato da Clave e Banana SDK
·Schema di autenticazione della delega centralizzata, rappresentato da Turnkey
·Soluzione Signature Transform, rappresentata da JoyID
Di seguito li presenteremo e li analizzeremo uno per uno.
3.2 SDK di Clave e Banana
Il primo tipo di portafoglio adotta l'architettura di firma AA + Passkey, costruisce un account astratto sulla catena compatibile EVM e utilizza direttamente contratti intelligenti per verificare le firme Passkey. Vengono qui presentati due progetti rappresentativi.
Clave era originariamente un progetto che ha vinto un premio all'EthGlobal Hackathon 2023. Al momento della partecipazione il progetto è stato chiamato opClave. Utilizza il contratto EVM per calcolare la firma secp256r1 richiesta da Passkey (non il solito secp256k1 A causa delle limitazioni della complessità dell'algoritmo e delle capacità EVM, la verifica di una firma Passkey richiede da 600.000 a 900.000 gas). Ciò è inaccettabile per gli scenari reali, almeno per gli scenari di adozione di massa. Pertanto, Clave prevede di ridurre il consumo di gas costruendo una catena Layer3 separata e aggiungendovi un contratto di verifica della firma secp256r1 precompilato. Tuttavia, questo metodo danneggia gravemente le caratteristiche multi-catena del portafoglio, quindi è difficile da rendere popolare.
Banana SDK (https://www.bananawallet.xyz/) si posiziona come un SDK toB piuttosto che come un portafoglio toC. Attraverso Banana SDK, i dapp party possono incorporare portafogli a bassa soglia ovunque, facilitando l'importazione da parte degli utenti. Ma la soluzione e i problemi di fondo sono gli stessi di Clave. L’elevata tariffa del gas è il più grande ostacolo alla praticità di questo tipo di prodotto.
Per risolvere il problema dei costi della verifica della firma Passkey su Ethereum, gli sviluppatori hanno avanzato proposte Ethereum come EIP-7212, sperando che EVM abbia un algoritmo di verifica della firma secp256r1 precompilato integrato, riducendo così in modo significativo il costo della verifica della firma. Tuttavia, questo EIP comporta modifiche alla crittografia sottostante e al livello di consenso. Anche se può essere superato, il tempo necessario per unirsi alla rete principale sarà calcolato in anni. Clave sta attualmente lavorando con zksync per sostituire EIP-7212 in zksync e distribuirlo principalmente su di esso.
Inoltre, ci sono altre soluzioni per progetti che utilizzano la verifica della firma on-chain AA + Passkey, comprese soluzioni che utilizzano prove a conoscenza zero per ridurre i calcoli on-chain, come knownothinglabs che utilizza halo2 e bonfire wallet che utilizza risc0 bonsai. Tuttavia, la maggior parte dei prodotti esiste solo nella fase di prototipo e attualmente non esistono prodotti che possano essere ulteriormente analizzati.
3.3 Chiavi in ​​mano
Considerando il costo della verifica delle firme della Passkey nei contratti intelligenti, sviluppatori come Turnkey (https://turnkey.com) mettono la verifica della Passkey fuori dalla catena e lasciano invece che il servizio centralizzato verifichi la firma della Passkey dell'utente e controlli la crittografia dopo la verifica della firma ha avuto esito positivo. Questa soluzione è essenzialmente il modo in cui Web2 utilizza Passkey, sostituendo nome utente e password con una coppia di chiavi pubblica-privata, ma la decisione finale sull'autenticazione viene comunque data dal server centralizzato.
Chiavi in ​​mano si posiziona come il servizio WaaS di toB. Il suo vantaggio è che gli strumenti di sviluppo sono molto completi, l'esperienza degli sviluppatori è molto buona e anche il supporto ecologico è molto buono. Esistono già molti partner che sviluppano prodotti. Ad esempio, Dynamic.xyz fornisce un servizio di portafoglio toC basato su chiavi in ​​mano e l'esperienza dell'utente è buona.
Ma è molto evidente anche il problema di Turnkey, ovvero che gestisce essenzialmente la chiave privata del portafoglio dell'utente (anche se la sua documentazione sottolinea ripetutamente che non è custodiale. Il motivo sembra essere che la chiave privata si trova nell'ambiente TEE del server e l'amministratore non può accedere direttamente al TEE) e il modello di business è il servizio SaaS di toB. Una volta che il servizio va offline, gli utenti dovranno affrontare il problema di non essere in grado di firmare.
3.4 IDPosizione
Il portafoglio JoyID (joy.id) segue tecnicamente un percorso unico chiamato Signature Transform. Il portafoglio JoyID stesso supporta più catene tra cui Ethereum, Bitcoin, Solana, ecc. e si comporta come un portafoglio EOA standard su queste catene. Allo stesso tempo, decentralizza le proprie chiavi e le apparecchiature autorizzate tramite l'account AA su Nervos CKB . Si tratta di un'architettura molto speciale che combina la flessibilità di un conto AA con il basso costo e l'elevata compatibilità di un conto EOA.
L'account AA gestito da JoyID è principalmente responsabile dell'autorizzazione reciproca della Passkey tra più dispositivi e salva i frammenti crittografati calcolati dalla chiave 2 su 2. L'altro frammento viene calcolato dal dispositivo in tempo reale tramite Passkey al momento della firma per ottenere una conversione decentralizzata della firma tra secp256r1 → secp256k1. Questa soluzione non richiede l'intervento del server durante la firma delle transazioni. Si basa completamente sulla firma del chip di sicurezza lato dispositivo dell'utente, garantendo sicurezza, decentralizzazione e non custodialità.
In termini di esperienza effettiva con il prodotto, l'intero processo di JoyID è molto fluido e fluido Gli utenti non hanno bisogno di inserire alcuna informazione e possono completare direttamente la creazione del portafoglio con due autenticazioni di sistema. L'intero processo richiede solo pochi secondi e non è necessario pagare nulla nel frattempo. Attualmente è la soluzione più completa e matura tra tutti i portafogli Passkey.
4. Il futuro dei portafogli Web3
Per riassumere i vantaggi del portafoglio Passkey: nessuna installazione richiesta, sicurezza a livello hardware, autenticazione biometrica, nessuna frase mnemonica richiesta, può essere ripristinato in qualsiasi momento, nessuna password richiesta, nessuna necessità di fornire informazioni private, nessuna dipendenza da grandi aziende Web2, elevata compatibilità EOA (supportata da alcuni portafogli) attendere. Rispetto ai tradizionali portafogli plug-in Metamask e ai portafogli mnemonici, la sua esperienza utente e persino la sicurezza sono state notevolmente migliorate. Anche la sua esperienza utente ha superato l'esperienza di registrazione di un account Web2, che non solo richiede agli utenti di fornire il proprio indirizzo e-mail e numero di cellulare, ma deve anche superare la verifica del codice di verifica.
Nuove esperienze utente porteranno nuovi utenti, che a loro volta daranno origine a nuovi scenari applicativi. Le applicazioni Web3 come NFT musicale, Creator Economy, Open Loyalty e DAO erano limitate dalla natura speculativa degli utenti di portafogli tradizionali e spesso non erano in grado di concentrarsi sulle proprie attività di valore. Dopo l'ingresso di un gran numero di utenti non speculativi, questi scenari applicativi possono esercitare i loro vantaggi reali e fornire valore a lungo termine ai clienti.
Il modello futuro dei portafogli Web3 sarà probabilmente simile alla relazione tra WeChat Pay e Alipay. Gli utenti utilizzano i servizi finanziari tramite Alipay ed effettuano piccoli pagamenti giornalieri tramite WeChat. Per i portafogli Web3, tutti utilizzeranno portafogli hardware o portafogli mnemonici per il business DeFi e l’archiviazione di risorse e utilizzeranno i portafogli Passkey per le interazioni quotidiane con DAPP e i micropagamenti. Attendo con ansia che il portafoglio Passkey diventi popolare e attiri utenti reali su larga scala.
 Questo articolo proviene da un contributo e non rappresenta il punto di vista di BlockBeats.