Mysten Labs 探索 zkLogin 的 Salt 服务器架构

据 The Sui Blog 报道，Mysten Labs 为其 zkLogin 身份验证机制引入了强大的盐服务器架构，专注于维护 Web3 空间中用户身份的完整性和隐私性。

zkLogin 和 Salt 服务器

zkLogin 是一种开创性的 Sui 原语，为 Web3 提供了一种无需信任、安全且用户友好的身份验证机制。它允许开发人员让用户使用熟悉的 Web2 凭据（例如 Google 或 Facebook）登录，从而轻松创建和管理 Sui 地址。zkLogin 的一个关键组件是盐服务器，每当发起交易时，它都会生成、存储并提供唯一的盐值。此盐值可确保链上地址无法追溯到用户的 Web2 凭据。

Mysten Labs 的运营安全

在 Mysten Labs，盐服务器在安全的计算环境中运行，以保护主种子，主种子与用户的 JSON Web Token (JWT) 结合使用，为每个应用程序的每个用户派生出可重现的盐值。主种子的保护对于保持 Web2 身份与 Sui 地址的分离至关重要。为实现这一点，盐服务器在 AWS Nitro Enclaves 等独立、可信的计算环境中运行，确保主种子免受内部和外部威胁。

可信计算系统

Mysten Labs 使用可信计算基础设施来托管盐服务器。Azure 机密计算、GCP 机密 VM 和 AWS Nitro Enclaves 等选项可提供隔离的计算环境。选择 Nitro Enclaves 是因为它们能够在具有容器证明的隔离环境中运行服务器，仅允许通过 TCP 直接访问服务的端点。

种子生成和使用

主种子仅生成一次，并在安全、隔离的环境中创建，以确保其随机性和安全性。种子被加密并存储在秘密存储中，只有 enclave 身份才能访问。此过程可防止任何管理员或外部方访问纯文本秘密。盐服务器使用种子为每个交易请求生成盐值，从而保持用户 Web2 凭据的机密性。

种子恢复

为了降低种子丢失的风险，Mysten Labs 采用了使用 Unit 410 的 Horcrux 实用程序的种子恢复计划。此方法涉及将种子拆分为多个加密碎片，冗余存储在各个远程服务器中。可以使用碎片的子集解密这些碎片，确保在灾难情况下可以安全地恢复主种子。

权衡和未来考虑

Mysten Labs 的盐服务器架构旨在平衡安全性和操作灵活性。虽然使用 Nitro Enclaves 提供了强大的保护，但它也带来了操作挑战，例如管理网络代理和维护受限环境。Mysten Labs 继续致力于维护高安全标准，并继续开发和扩展其 zkLogin 实现和其他 Web3 构造。

该架构展示了 Mysten Labs 致力于解决 Web3 领域的基础问题，确保其系统安全且保护隐私，并将 Web3 的好处带给更广泛的受众。

图片来源：Shutterstock