Eth2 验证者如何生成和保护取款密钥 Ajian

原标题：Eth2 验证者如何生成和保护取款密钥 Ajian

提现密钥是什么？

Withdrawal key（取款密钥）是以太坊2.0中验证者用来取回以太坊的key1。

以太坊 2.0 的密钥和以太坊 1.0 的密钥的生成和使用方式大致相同，但是两者是不兼容的，即在以太坊 1.0 上生成的密钥不能在以太坊 2.0 上使用。

以太坊 2.0 中的密钥总是以公钥和私钥的形式成对出现。 取款密钥由stakers自己持有，因为他们是资金的提供者，当然要保留取款的权利。

取款密钥是做什么用的？

在以太坊 2.0 中，取款密钥信息主要用于以下两种情况： 在以太坊 1.0 中创建存款存款交易； 在以太坊 2.0 中退出以太坊。

当用户在以太坊 1.0 上充值时，提现公钥的作用是将充值与提现私钥关联起来。 这就是为什么以太坊2.0可以通过提现公钥知道谁有提现权（提现公钥对应的提现私钥有提现权）。 提款公钥也用于将数据集成到以太坊存款交易中，如下图所示：

- 图1：在入金流程中使用提现公钥（详见本文） -

需要注意的一点是，提款公钥 2 用于每个存款协议。

以太坊2.0上提现的具体细节尚未确定，但无论未来采用何种方式，都需要提现私钥进行签名授权。

- 图 2：提现操作框架 -

在上面的例子中，利益相关者使用取款私钥来签署取款操作的细节。 然后，以太坊 2.0 网络可以将取款操作中的签名授权与存款协议中的取款标识进行比对（如图 1 所示）。 如果两者匹配，则可以进行取款操作。

在提款功能可用之前，我们不需要使用提款私钥。 存入保证金后，提款功能可能会超过一年无法使用。 即使某项功能可用，也不一定非要使用它。 对于那些希望获得长期回报的利益相关者来说，能够提取资金对他们的日常运营影响不大。

这意味着我们应该保护我们的私人提款密钥，以便我们在短期内不需要使用它，即使我们只需要在长期内偶尔使用它。 换句话说，在平衡密钥的安全性和可用性时，安全性应该是我们的首要任务。

应该保护多少私钥？

另一个需要回答的问题是：我们总共需要保护多少个私钥？

如果您只创建一个验证者身份，那么答案很简单：一个私钥。 如果您要创建多个验证者身份，答案就会变得复杂。 我们可以为每个验证者身份创建不同的取款私钥，但这不是必需的。 那么，每个验证者身份的提现私钥是否应该是唯一的呢？

使用多个取款私钥的主要原因有两个。 第一个原因是，如果不同的验证者身份共享一个密钥，那么这些验证者身份之间就存在联系：显然，这些账户下的存款属于同一个实体。 由此，很容易计算出使用这个私钥可以访问的资金量，以及这个实体持有的以太币总量。 但是，使用不同的私钥并不能阻止其他人从其他来源获取这些信息。 例如，发起这些存款交易的以太坊 1.0 地址也反映了这一信息。 因此，除非我们在使用以太坊 1.0 地址时足够小心，否则使用多个提现私钥带来的安全性提升根本不值一提。

第二个原因是使用相同的私钥使得私钥的价值过高，更容易被窃取。 但是，将不同的私钥存储在同一个地方会导致同样的问题。 也就是说，不同的私钥应该在物理上和逻辑上分开，以减少丢失的影响。

简而言之，如果你想防止其他人发现多个验证者身份背后的同一个实体（假设你的每笔存款都来自不同的以太坊 1.0 地址），并且将你的每笔提款私钥分开存储，或者采用不同的密钥保护机制，那么使用多个私钥将带来可观的收益。 由于普通用户一般不会这样做，本文余下部分仅介绍如何使用单笔提现私钥。 如有必要，本文内容也将适用于持有多个私钥的情况。

步

现在我们知道了基本要求，让我们看看如何创建和保护取款密钥。 创建新密钥的步骤如下：

创建提现钱包；

创建提款账户；

记录提现公钥；

删除提现钱包；

确认提款钱包可以恢复。

让我们看一下图表：

- 图 4：创建和保护取款密钥的步骤 -

这些步骤必须在电脑上完成，注意防止电脑入侵。 本文篇幅有限，不讨论如何防止电脑被黑客攻击，但用户至少要做到一件事：执行上述过程时，电脑不能联网。

创建取款钱包

在撰写本文时，还没有开发出基于 BLS12-381 曲线的以太坊 2.0 密钥硬件钱包。 向上）。 因此，密钥必须在软件中生成。 本文以ethdo命令行工具为例，您也可以使用其他工具来实现。

ethdo 使用钱包概念。 一个钱包可以包含一个或多个账户，并且可以在逻辑上将不同的账户分开（例如，将提款账户与验证账户分开）。 一个账户包括私钥、公钥和一些其他数据（比如好记的账户名），这样就不需要使用公钥登录3。 如果要为取款账户创建钱包信用卡充值以太坊提现，运行以下代码：

ethdo wallet create --wallet="Staking wallet" --type=hd --walletpassphrase=secret1

这行代码创建了一个带有助记词的钱包。 助记词由24个单词组成，可用于恢复以前创建的钱包和钱包内的所有账户，应立即保护。 以上命令会输出助记词，需要离线保存。 如果输入命令后没有显示助记词，说明钱包无法恢复，那我们就不要使用这个钱包了。

有很多方法可以保存你的助记词，例如 Blockplate 和 Cryptosteel，但你也可以将其复制下来并保存在安全（最好是防火）的地方。 请记住，一旦种子短语丢失，您将无法提取资金，因此请采取适当的措施确保其安全。

助记词保存好后，我们就可以开始创建提币账户了。

创建取款账户

创建提现账户的命令如下：

ethdo account create --account="质押钱包/取款账户" --walletpassphrase=secret1 --passphrase=secret2

钱包密码（walletpassphrase）必须与您在上一节中提供的密码相同。 后面的密码只是这个账号的密码，只是在删除账号之前临时使用。

记录提现公钥

顾名思义，公钥是公开的，不需要特殊的安全措施。 运行以下代码查看公钥：

ethdo account info --account="质押钱包/提现账户"

如果代码没有输出提现公钥，可能说明开户过程有误。 仔细检查之前运行的代码是否有错误。

请注意，虽然公钥不是私有的，但应采取合理的步骤来确保恶意攻击者无法用您的公钥交换他们的公钥。

删除提款钱包

如果以上步骤都正确执行，我们就可以安全删除提现钱包了。 请运行以下代码：

ethdo wallet delete --wallet="质押钱包"

然后，您可以运行以下代码访问钱包，确认钱包是否被删除：

ethdo 钱包信息 --wallet="Staking 钱包"

一般情况下，会因为找不到钱包而返回错误信息。

确认提款钱包可以恢复

最好在使用取款密钥进行任何存款之前重建取款钱包。 这不仅可以确保我们熟悉流程，而且还可以在您存入资金之前对可能出现的错误进行最终检查。

首先要做的是用助记词重建钱包。 请运行以下代码：

ethdo wallet create --wallet="Recovery wallet" --type=hd --walletpassphrase=temp1 --mnemonic="MNEMONIC"

用你的助记符替换上面代码中的助记符。

然后运行以下代码重建取款账户：

ethdo account create --account="恢复钱包/取款账户" --walletpassphrase=temp1 --passphrase=temp2

运行以下代码获取其公钥：

ethdo account info --account="恢复钱包/提款账户"

这个时候注意确认这条命令输出的公钥和之前复制下来的公钥是一致的。 如果它们匹配，则您的助记符是正确的。

要再次删除钱包，请运行以下代码：

ethdo wallet delete --wallet="恢复钱包"

然后运行以下代码尝试访问钱包，确认是否被删除：

ethdo 钱包信息 --wallet="恢复钱包"

一般情况下信用卡充值以太坊提现，会因为找不到钱包而返回错误信息。

上述步骤也可以用于验证器密钥吗？

不能。 以太坊 2.0 验证器密钥和取款密钥的使用方式非常不同，并且与您熟悉的大多数密钥不同。 我们将在下一篇文章中详细介绍验证器密钥、它们的使用和保护。

脚注

注1：withdrawal key和以太坊2.0的其他key没有特别的区别，我们用这个名字只是为了直观的表达它的用途。

注2：如图所示，我们在实际操作中只需要提现ID即可。 但是，我们建议同时保留取款公钥，因为公钥可能用于其他目的（例如，验证签名）。

注3：因为公钥是这样的：0xa9ca9cf7fa2d0ab1d5d52d2d8f79f68c50c5296bfce81546c254df68eaac0418717b2f9fc6655cbbddb145daeb282c00，所以会很麻烦。

（结束）

原文链接：

作者：Jim McDonald 译者&校对：Elisa & Min Min