今天,我很高兴地宣布,Multicoin Capital领投Torus的种子轮融资,该轮总投资额为200万美元,币安实验室(Binance Labs)、Coinbase Ventures、Accomplice、Sixth Horizon和Terminal参投。 密钥管理是当今加密货币领域中最大的瓶颈,而Torus提供了最优雅的密钥管理解决方案。在使用Torus时,登录到Web3应用程序与Web2应用程序将毫无分别。
困境
Nick Szabo说过,“可信的第三方是安全漏洞。”因为现代网络是以存储用户密钥的可信第三方为基础的,所以我们日常所接触到的网络实际上就是一个安全漏洞。
为什么密钥管理如此困难?因为没有办法恢复丢失的密钥。密钥是信任的根源,一旦你把它们弄丢了,就再也不可能找回来。
消费者已经接受了这样的训练,他们认为总会有后门为自己保留着: 忘记了你的密码?点击“忘记密码”按钮。 去机场时忘带身份证件了?跟安检人员讲讲情。 在国外旅行时弄丢了护照?去当地大使馆。 忘记登入网上银行的用户名和密码?带着身份证去当地分行的营业网点。 消费者已经习惯了依赖可信的第三方。因此,创建一个密钥管理系统,让消费者能够自如地掌控,能够优雅地跨设备工作,并且不会遭受任何错误的正面或负面影响,这是一个非常棘手的难题。 消费者级密钥管理有很多方法。我们已经考虑了密钥管理的所有策略,并且相信在不引入任何新的信任假设的情况下,Torus提供了最佳的用户体验。
Torus能让人们在使用Web3应用程序时,感觉与Web2应用程序无异。
消费者密钥管理的演变
密码学中密钥管理的第一次迭代可以归结为:在一张纸上写下256位的信息,然后保管好这张纸。第二次迭代引入了人们耳熟能详的“写下24个单词”,通过助记词的排列组合加密,从而减少了保障密码安全的信息量。这么处理要比第一代好些,但也好不了多少。
最近,一些应用程序开始允许用户拿自己生成的密码加密密钥,并在设备之间同步加密文件。这项创新极大地提高了可用性。不过该解决方案缺乏账户恢复功能。
在那以后,也有一些团队开始尝试各种恢复账户的方法,比如基于多重签名钱包和Shamir密钥分享(Shamir Secret Sharing, SSS)。但这些方法的缺点也很明显:它们的设置过程非常复杂,让用户望而却步。
其他密钥管理服务提供商正在提供基于硬件安全模块的解决方案,但这些解决方案依赖于后门进行账户恢复,从而引入了新的信任假设,这些假设在许多方面实际上比现有的手段更糟。 Torus是第一个也是唯一一个可以在所有设备和浏览器上本地工作的密钥管理解决方案,它能完成包括账户恢复在内的任务,并且不会引入任何新的信任假设。 所以它是怎么做到的? Torus的基础是分布式密钥生成(DKG),这是一种特殊的多方计算(MPC)。
参与DKG的是一个包含了9个节点的分布式节点网络,这9个节点分别由币安、Coinbase、ETC Cooperative、Terminal、Kyber等公司运行。在此过程中,节点共同生成一个分片密钥,但重要的是,密钥在任何时间点都不存在于一个地点。这就是DKG与SSS最明显的区别:使用SSS,密钥仍然要在一个地点生成,然后使用SSS进行分片;而在使用DKG时,密钥以分布式方式生成。
为了重新组装密钥,用户需要9个节点中的5个共享各自的密钥碎片。在Torus的第一个版本中,用户向节点请求密钥碎片,并在本地浏览器中以单独的javascript上下文或iFrame重新组装碎片(这样恶意应用程序就无法窃取密钥)。当用户关闭浏览器选项卡时,密钥随即从内存和磁盘中删除。
传统的密钥管理解决方案在逻辑上、架构上和政治上都是中心化的。而Torus的美妙之处在于它在逻辑上是中心化的,但在架构和政治上却是去中心化的。它向开发人员和消费者提供了他们在Web2模型中习惯使用的逻辑端点类型,但是使用了Web3信任假设。
Torus网络实现了开放授权(oAuth)标准,因此用户可以通过任何oAuth提供商登录,包括谷歌、Facebook和Twitter。通过oAuth支持,使用Torus登录到Web3应用程序就像登录到Web2应用程序一样。用户体验实际上是相同的。这也意味着Torus可以与任何oAuth提供商集成,为企业活动目录(Active Directory)安装以及不依赖于谷歌、Facebook和Twitter的第三方应用程序,提供基于Torus的登录。
由于这种独特的架构,Torus可提供无缝的密钥管理和登录体验。Torus可以在没有任何扩展的情况下在所有设备和浏览器上正常工作,它支持通过oAuth提供商进行帐户恢复,并且不引入任何新的信任假设。
Torus网络目前已经可以用于基于以太坊(Ethereum)的应用程序,而且很快就将支持SKALE区块链。你可以在这里亲自体验。现在开发人员也可以使用该API,只需几行代码即可实现。
在未来几个月,Torus将在基于ed25519的区块链上实现,这包括Tezos、Solana、Near、Helium、Algorand和Libra。
连通Web2和Web3
我们期待Torus将有助于连通Web2和Web3应用程序。以一个像Docusign这样的电子签名应用程序为例。大多数电子签名应用程序已经要求用户使用oAuth标识符登录。未来,电子签名应用程序将采用Torus,这样电子签名应用程序就可以在公共账簿上记录加密签名。这意味着电子签名用户将不必依赖Docusign作为事实的仲裁者,而是能够在公共账簿上自己验证数字签名的完整性。
虽然这只是一个例子,但我们相信还会有许多类似的用例。随着消费者不断对Web2应用程序失去信任,这些应用程序供应商将需要想办法利用公开账簿减少信任假设。虽然这听起来似乎违反直觉——毕竟,为什么Web2应用程序会让用户获得Web3的自由呢?——但随着深度造假日益泛滥,此举将越来越势在必行。
全球正处在MPC研究和开发的复兴中。尽管自上世纪90年代以来MPC就散见于学术文献中,但在计算机科学学科里,它仍然是一个籍籍无名的领域。Torus团队处于MPC的最前沿,我们很高兴能够为他们提供支持,帮助他们为全世界释放MPC的力量。
由于Torus所维护的逻辑中心化端点与Web2应用程序相同,并且由于它可以无缝集成用户已知的Web2工作流,因此Torus如今拥有一个完美的定位:它完全连通Web2与Web3,令它们汲取彼此的精髓。 另外,如果你有志于建立未来的MPC和密钥管理,可以看看Torus的招聘启事。
Disclosure: Unless otherwise indicated, the views expressed in this post are solely those of the author(s) in their individual capacity and are not the views of Multicoin Capital Management, LLC or its affiliates (together with its affiliates, “Multicoin”). Certain information contained herein may have been obtained from third-party sources, including from portfolio companies of funds managed by Multicoin. Multicoin believes that the information provided is reliable and makes no representations about the enduring accuracy of the information or its appropriateness for a given situation. This post may contain links to third-party websites (“External Websites”). The existence of any such link does not constitute an endorsement of such websites, the content of the websites, or the operators of the websites.These links are provided solely as a convenience to you and not as an endorsement by us of the content on such External Websites. The content of such External Websites is developed and provided by others and Multicoin takes no responsibility for any content therein. Charts and graphs provided within are for informational purposes solely and should not be relied upon when making any investment decision. Any projections, estimates, forecasts, targets, prospects, and/or opinions expressed in this blog are subject to change without notice and may differ or be contrary to opinions expressed by others.
The content is provided for informational purposes only, and should not be relied upon as the basis for an investment decision, and is not, and should not be assumed to be, complete. The contents herein are not to be construed as legal, business, or tax advice. You should consult your own advisors for those matters. References to any securities or digital assets are for illustrative purposes only, and do not constitute an investment recommendation or offer to provide investment advisory services. Any investments or portfolio companies mentioned, referred to, or described are not representative of all investments in vehicles managed by Multicoin, and there can be no assurance that the investments will be profitable or that other investments made in the future will have similar characteristics or results. A list of investments made by funds managed by Multicoin is available here: https://multicoin.capital/portfolio/. Excluded from this list are investments that have not yet been announced (1) for strategic reasons (e.g., undisclosed positions in publicly traded digital assets) or (2) due to coordination with the development team or issuer on the timing and nature of public disclosure.
This blog does not constitute investment advice or an offer to sell or a solicitation of an offer to purchase any limited partner interests in any investment vehicle managed by Multicoin. An offer or solicitation of an investment in any Multicoin investment vehicle will only be made pursuant to an offering memorandum, limited partnership agreement and subscription documents, and only the information in such documents should be relied upon when making a decision to invest.
Past performance does not guarantee future results. There can be no guarantee that any Multicoin investment vehicle’s investment objectives will be achieved, and the investment results may vary substantially from year to year or even from month to month. As a result, an investor could lose all or a substantial amount of its investment. Investments or products referenced in this blog may not be suitable for you or any other party.
Multicoin has established, maintains and enforces written policies and procedures reasonably designed to identify and effectively manage conflicts of interest related to its investment activities. For more important disclosures, please see the Disclosures and Terms of Use available at https://multicoin.capital/disclosures and https://multicoin.capital/terms.