Nervina Labs 首席執行官兼創始人 Cipher 在 3 月 29 日美東時間在 Nervos Reddit 開啓英文AMA 。主題爲 JoyID ,這是一款革命性的加密錢包,它在 Nervos CKB 上實現了無密碼、非託管且完全去中心化的特性。
過去四年,Nervina Labs 一直在爲 Nervos Network 構建基礎設施和產品。他們已成功構建了 NFT 平臺 Token.city、CoTA 標準。JoyID 是一款用戶友好型加密錢包,讓用戶僅通過指紋或 FaceID 就能輕鬆控制加密貨幣。以下內容爲本次 AMA 整理稿,翻譯爲中文,有部分刪改,具體以原文爲準。
Q1:你認爲 Nervina Labs、Nervos Network 和整個區塊鏈行業面臨最大的障礙是什麼?另外,你認爲普通人需要什麼才能利用區塊鏈,而不是陷入騙局式投資?雖然這些問題與 Nervina Labs 工作沒有直接關係,但我認爲像您這樣的行業領袖對當前行業狀況的看法具有很高的價值。
A:自從 2016 年進入區塊鏈行業以來,我一直致力於讓更多普通用戶從區塊鏈的價值網絡中受益,享受平等和自由。在 Nervina Labs,我的主要工作是思考非技術愛好者如何更容易地使用區塊鏈,以及如何以最低的學習曲線和成本吸引用戶。在 Nervos Foundation,我的工作是設計應用層協議以支持這些產品。我必須承認這些任務非常具有挑戰性,但我很高興地說我們已經取得了一些成果。特別是我們的產品 JoyID 錢包,爲數十億普通用戶打開了區塊鏈的大門。關於如何讓普通人將區塊鏈視爲資源,而不是騙局式投資,我認爲需要更多的教育和普及,以及更多安全、易用和有用的應用程序的出現,讓人們真正意識到區塊鏈技術的價值和潛力。
Q2:請簡要介紹以及它的開發階段,它是否已準備好投入生產?JoyID 是一個真正的錢包/應用程序,還是隻是爲其他錢包提供商提供工具包?還是兩者兼具?據瞭解,恢復錢包需要使用生物識別信息(如面部或指紋),但僅限於同一設備。這意味着他人無法用另一臺設備的生物識別信息恢復我的錢包,這固然是好事,但如果設備丟失了,如何恢復錢包呢?
A:CoTA 是一種運行在 Nervos CKB 上的超低成本代幣協議,僅需 32 CKBytes 的狀態存儲成本便能鑄造數百萬個 NFT。此外,CoTA 還可作爲第三方 dapps 的通用 on-chain key-value 存儲數據庫。JoyID 利用 CoTA 管理抽象賬戶。
您可以在此處找到有關 CoTA 的更多信息:https://www.cotadev.io/docs/protocols/cota_main
CoTA 已準備好投入生產,目前已有一些 dapps 和應用在主網上使用它,例如免費 NFT 鑄造和分發平臺 NFTBox.me 和 NFT 錢包 token.city。JoyID 是一個基於網頁的錢包,允許您管理在 Nervos CKB 和 L2 鏈上的資產。同時,它還是一個 on-chain 工具包和智能合約。任何人都可以複製我們的開源代碼並部署網頁以提供相同的服務,實現完全去中心化。
Q3:JoyID 是 Nervos 獨有的產品嗎?它是否僅限於在 Nervos 網絡上開發?
A:是的,JoyID 專爲 Nervos 的 L1 和 L2 設計,只能在這些網絡上使用。在 Nervos 的 L2 網絡 Axon 上,您可以像使用 EOA 賬戶一樣使用 JoyID。Nervos 提供了兩個關鍵功能以支持 JoyID。首先,它提供完整的賬戶抽象支持,使 JoyID 能夠將多個設備的 webauthn 密鑰作爲相同地址的簽名驗證機制。其次,高效的 RISC-V 虛擬機確保了 webauthn 簽名驗證的實際成本可行性。雖然還有一些其他鏈,如 StarkNet 或 Fuel,也在嘗試類似的實現,但它們的技術進度相對落後,尚未準備好投入生產。
Q4:JoyID 是一個將在 Web2 應用商店上線的應用程序,還是更像 ckb.pw?
A:目前,JoyID 錢包是一個基於網頁的應用程序,類似於 ckb.pw。我們可能會構建一個原生應用程序來提供更多功能,包括通知、nfc 訪問等。但它現在不在我們的路線圖上。
Q5:請解釋一下 JoyID 中生物識別認證過程的工作原理以及採取了哪些措施來確保用戶的隱私和安全?
A:生物識別認證過程由 FIDO 維護的 WebAuthn API 提供。JoyID 不會直接訪問您的生物識別信息,這在技術上是不可能的。相反,JoyID 通過 WebAuthn API 請求非對稱身份驗證,並觸發系統的生物識別傳感器進行驗證。因此,您的系統(Windows/MacOS/Android/iOS)負責進行生物認證,而 JoyID 僅獲取簽名和公鑰。公鑰具有高熵且完全隨機,無法用於追蹤您的設備和個人信息。
Q6:JoyID 如何確保私鑰永遠不會離開用戶的設備,如果用戶丟失了設備會發生什麼?
A:私鑰的安全性由使用的硬件保證。FIDO/WebAuthn 標準利用硬件的 Secure Enclave 生成、存儲和處理私鑰,它們被設計爲無法導出。即使是製造商,也無法獲取這些私鑰。
若設備丟失,您可以採取以下兩個措施:1) 在新設備上恢復您的賬戶;2) 遠程刪除舊設備的身份驗證。JoyID 協議和前端應用程序都支持這兩項操作。
Q7:能否解釋一下 JoyID 中的社交恢復功能如何運作以及如何實現去中心化的賬戶恢復?
A:JoyID 提供了賬戶抽象化,使您能夠在多個設備上“登錄”同一賬戶。這意味着您可以將多個設備(如手機、筆記本或 PC)生成的公鑰鏈接到一個賬戶。即使您丟失了其中一個設備,也可以使用其他設備訪問您的賬戶。此外,您還可以將 Metamask 地址綁定到賬戶,並使用 Metamask 錢包或助記詞來恢復賬戶。
社交恢復功能允許您指定多個好友的 JoyID 地址作爲恢復監護人。若您失去所有設備,無法自行恢復賬戶,可以在新設備上啓動社交恢復流程。首先,在 JoyID 錢包中使用舊賬戶/地址登錄,系統將提示您設備上沒有有效密鑰。然後,通過將恢復鏈接發送給好友來獲取他們的批准(簽名),開始社交恢復過程。收集到足夠簽名後,您可以將新設備生成的密鑰添加到舊賬戶。此後,新設備便可控制您的賬戶。整個過程無需依賴中心化方案。
Q8:能否討論一下 JoyID 如何利用 Nervos CKB 區塊鏈上的 CoTA 擴展來註冊公鑰並完成用戶地址抽象的技術細節?
A:CoTA 提供了一個“用戶數據擴展”功能,允許第三方腳本通過 SMT 數據累加器以鍵值格式訪問其腳本範圍數據。這意味着 JoyID 腳本可以將抽象賬戶數據(如多個子密鑰或社交恢復設置數據)存儲到 CoTA 單元中,無需產生額外的 CKBytes 成本。所有數據都通過 CoTA 協議存儲在一個 32 字節的 SMT 根目錄中。雖然文檔網頁上的擴展詳細信息尚未更新,但您可以參考:https://www.cotadev.io/docs/protocols/cota_userdata 瞭解更多。
Q9:請問 JoyID 是如何管理用戶配置文件並將其以 CTmeta 格式存儲在鏈上的?爲確保數據隱私和安全,採取了哪些措施?
A:在 JoyID 的早期設計階段,我們在標準中加入了用戶畫像字段,將其作爲 Nervos 的“身份層”。但後來,我們認爲 JoyID 更適合作爲類似於 Metamask 的大規模採用版本,專注於賬戶而非身份。因此,在最新設計中,我們不再將用戶資料上鍊。
儘管如此,我們仍在鏈上存儲其他可能泄露用戶隱私的信息,如 WebAuthn 的自定義設備標籤和關鍵索引。我們將這些數據存儲在 CKB 交易的 witness 字段中,並採用 CTMeta 標準,使所有人都能訪問這些公共數據,以保持 JoyID 的去中心化。在將數據推送到鏈上之前,用戶可以修改鏈上設備標籤以隱藏他們的蹤跡。例如,他們可以使用表情符號代替硬件/位置描述以保護隱私。最終,這一切都取決於用戶自己。
CTMeta 標準https://www.cotadev.io/docs/protocols/CTMeta
Q10:能否詳細介紹一下 Nervos CKB 區塊鏈如何支持 WebAuthn 算法以實現無密碼用戶體驗的 dApps?JoyID 如何實現跨平臺和跨終端的功能,以及涉及的技術挑戰有哪些?
A:Nervos CKB 採用 RISC-V VM 和驗證模型,而非執行模型來實現共識,因此其計算效率遠高於 EVM 或其他 VM。這使得 P256 和 RS256(由 WebAuthn 支持)簽名驗證相較於競爭對手變得可行。CKB 還具有強大的賬戶抽象功能,使賬戶能夠適應 WebAuthn 簽名格式和數據序列化標準。通過使用賬戶抽象,多個設備和跨平臺生成的密鑰可映射至同一賬戶。因此,用戶無需使用助記詞保存私鑰,這些私鑰會存儲在設備的高安全區域內。同時,用戶無需用密碼保護密鑰,因爲 WebAuthn 接口允許使用生物特徵進行簽名認證。
Q11:能否談談 JoyID 的未來計劃或發展,以及您對其未來演變的看法?
A:我們正着手開發以下 JoyID 功能:
L2 支持:將推出具有 JoyID 原生支持的測試網 Axon 鏈,這意味着所有 EVM dapp 可部署實例至 Axon,享受無密碼、無助記符錢包。
可選的恢復功能:包括社交恢復和 Metamask 集成。
更多資產支持:如 mNFT、CoTA、sUDT、L2-ERC20/ERC721/1155 等。
L1 和 L2 的 SDK。
dapp 集成:如 NFTBox、token.city、dotbit 等。
JoyID 的一個令人興奮的方面是,它有可能成爲替代 Google/Apple ID 的通用賬戶系統,爲 Web2 世界提供更好的用戶體驗和去中心化特性。因此,傳統 Web2 網站可能將 JoyID 選爲未來的無密碼、無許可賬戶解決方案。
Q12:請介紹一下 Nervina Labs 在 Nervos、Token.City 和 NFTBox.Me 上的 NFT 平臺,以及能量點、身份認證和支付驗證過程。
A:NFTBox.me 是一個面向希望吸引更多用戶的傳統企業的中心化分佈式平臺,提供 SaaS 網站。然而,其底層技術採用的是去中心化的 CoTA 協議。
您可以直接與智能合約交互來鑄造/轉移 NFT,從而繞過 NFTBox.me。能量點用於 mNFT 協議,這是我們早期的 NFT 協議之一。每次分發需要 145 CKBytes,所以我們按分配向用戶收取能源點數。
Q13:關於 JoyID 支持除 Nervos 之外的其他貨幣的詳細信息或時間表,以及是否有支持所有(加密)貨幣的錢包的目標?
A:通過來自其他鏈的跨鏈橋,JoyID 將支持 Axon 上的各種 ERC20。Axon 團隊正致力於 IBC 兼容性,以提高橋樑的強大性和通用性。
JoyID 無法支持其他鏈,因爲它依賴於 CKB 提供的關鍵功能。但如果其他鏈採用 CKB-VM 作爲地址認證模塊,將其有效地作爲 CKB 的 L2,那麼 JoyID 可能沒有技術障礙支持它們。
Q14:您預計 Nervos 將採用哪些隱私保護技術?(如 Mimblewimble、環簽名、零知識證明等)
A:我相信 Nervos CKB 上可以實現所有這些功能。由於其 UTXO 模型和高度靈活的腳本系統,CKB 爲隱私保護技術提供了良好的環境。
Q15:我注意到您爲 RFCS21 編寫了原始的 CKB-address-demo 代碼。您可以推薦一個資源/參考資料,以便了解更多關於密碼學的一般信息嗎?
A:雖然我不是密碼學家或密碼工程師,但我是精通密碼學應用的協議研究員和產品設計師。如果您希望對區塊鏈相關的密碼學有初步瞭解,而不深入技術實現、可證明的安全性等細節,我建議從 Coursera 等平臺的密碼學基礎公開課開始,然後直接閱讀最新的區塊鏈密碼學介紹,以便對密碼學與區塊鏈的結合有一個大致瞭解。如果需要更深入瞭解,可以查閱相關文獻。
(完)
JoyID官網:https://joy.id/
