探索 Mysten Labs 的 zkLogin 盐服务器架构

根据Sui 博客的报道，Mysten Labs 推出了一种坚固的盐服务器架构用于其 zkLogin 身份验证机制，重点维护 Web3 空间中用户身份的完整性和隐私。

zkLogin 和盐服务器

zkLogin 是一种创新的 Sui 原语，提供一种无信任、 安全且用户友好的 Web3 身份验证机制。它允许开发者让用户使用熟悉的 Web2 凭据（如 Google 或 Facebook）轻松创建和管理 Sui 地址。zkLogin 的一个关键组件是盐服务器，它在每次发起交易时生成、存储和提供唯一的盐值。这个盐值确保链上地址无法追溯到用户的 Web2 凭据。

Mysten Labs 的操作安全

在 Mysten Labs，盐服务器在安全计算环境中运行，以保护用于与用户的 JSON Web Token (JWT) 结合使用来派生每个用户每个应用程序可重复盐值的主密钥种子。保护主密钥种子对于维护 Web2 身份和 Sui 地址的分离至关重要。为此，盐服务器在如 AWS Nitro Enclaves 这样的隔离的可信计算环境中运行，确保主密钥种子免受内部和外部威胁的侵害。

可信计算系统

Mysten Labs 使用可信计算基础设施来托管盐服务器。选项包括 Azure Confidential Computing、GCP Confidential VMs 和 AWS Nitro Enclaves，它们提供隔离的计算环境。选择 Nitro Enclaves 是因为它们能在隔离环境中运行服务器，并通过容器认证只允许通过 TCP 直接访问服务的端点。

种子生成和使用

主密钥种子只生成一次，并在安全、隔离的环境中创建以确保其随机性和安全性。种子被加密并存储在一个秘钥存储中，仅由隔离体身份可访问。这个过程防止任何管理员或外部方访问明文的秘密。盐服务器使用种子为每个交易请求生成盐值，维护用户的 Web2 凭据的机密性。

种子恢复

为了减轻种子丢失的风险，Mysten Labs 使用 Unit 410 的 Horcrux 工具实施了一种种子恢复计划。这个方法涉及将种子分割成多个加密碎片，冗余地存储在多个远程服务器中。这些碎片可以使用子集的碎片进行解密，确保主密钥种子在灾难场景中可以安全地恢复。

权衡与未来考虑

Mysten Labs 的盐服务器架构设计旨在平衡安全性和操作灵活性。尽管使用 Nitro Enclaves 提供了强大的保护，但它也带来了操作挑战，如管理网络代理和维护受限环境。Mysten Labs 致力于在继续开发和扩展其 zkLogin 实现和其他 Web3 构造的过程中保持高标准的安全性。

这种架构展示了 Mysten Labs 致力于解决 Web3 领域的基础问题，确保他们的系统安全且隐私保护，为更广泛的受众带来 Web3 的好处。