在去中心化身份系统中,密钥管理是安全架构的核心环节。AT Protocol(以下简称 ATProto)采用基于椭圆曲线的公钥体系,通过 DID PLC(Distributed Identifier Placeholder)方法实现身份的自我认证与可恢复性。本文将从工程实践角度剖析 ATProto 的密钥设计、轮换机制与恢复策略,为开发者提供可落地的参数配置参考。
椭圆曲线选型与签名要求
ATProto 在协议层面统一支持两条椭圆曲线:p256(又称 NIST P-256 或 secp256r1)与 k256(secp256k1)。这两条曲线的选型背后有着明确的工程考量。p256 曲线被纳入 WebCrypto API 原生支持,现代设备的可信平台模块(TPM)以及移动端的安全执行环境(Secure Enclave)均提供硬件级加速,这使得该曲线成为桌面与移动应用的默认选择。k256 曲线虽然不在 WebCrypto 规范之列,但因比特币生态的广泛采用,已获得几乎所有主流硬件钱包与云端 HSM 的支持,适合需要与加密货币生态交互或对硬件兼容性有特殊要求的场景。
在签名算法层面,ATProto 采用了 DAG-CBOR 编码配合 SHA-256 哈希的组合方案。具体而言,数据首先被序列化为 DAG-CBOR 格式,然后对编码后的字节进行 SHA-256 哈希运算,生成原始字节形式的摘要,最后使用 ECDSA 私钥对该摘要进行签名。这一流程的优势在于 DAG-CBOR 的确定性编码特性消除了序列化歧义,而直接对原始字节进行哈希避免了十六进制字符串转换带来的额外开销。
值得注意的是,ATProto 明确要求使用「低 S 值」(low-S)签名变体。这一要求源于 ECDSA 签名的数学特性:对于给定的私钥和消息,同一签名可以通过反转 S 值的方式产生另一个数学上有效但字节表示不同的签名。低 S 值要求通过排除这种对称变体来简化签名验证逻辑,并规避潜在的重放攻击向量。在 k256 曲线实现中,比特币社区早在 BIP-0062 中就确立了这一规范,ATProto 将其推广至 p256 曲线,形成了跨曲线的统一安全策略。
DID PLC 操作类型与文档更新
DID PLC 是 ATProto 当前部署的去中心化标识符方法,其核心设计理念是通过加密签名的操作日志实现身份的自我认证与可恢复性。与传统区块链或分布式账本不同,PLC 采用中心化排序的架构:由 Bluesky 运营的 PLC 服务器接收并排序所有操作,确保全局状态的一致性,同时保留客户端验证的能力。
每个 DID PLC 文档由四条核心数据构成:签名密钥(signingKey)、恢复密钥(recoveryKey)、句柄(handle)以及 PDS 地址(atpPds)。这四类数据的变更通过五种标准化操作实现。create 操作在账户初始化时执行,确立身份的元数据;rotate_signing_key 用于更换日常签名密钥,这通常是最频繁的操作;rotate_recovery_key 变更恢复密钥,该操作通常仅在安全事件后执行;update_handle 允许用户更改易读的句柄而不影响底层 DID;update_atp_pds 则支持账户在不同数据服务器之间的迁移。
操作日志的设计带来了两个关键特性。其一是任意性:任何持有有效轮换密钥的实体都可以提交新的操作,PDS 可以代表用户批量处理操作申请,这种设计兼顾了用户体验与去中心化原则。其二是可追溯性:由于所有操作都经过排序且可被任意节点验证,身份历史状态完全透明,这在发生争议时提供了可靠的审计依据。
从工程实现角度,理解操作的前置依赖关系(prev 字段指向的操作 CID)至关重要。每次提交操作时,必须正确引用上一次操作的标识符,否则将被服务器拒绝。这意味着客户端需要维护本地的操作日志缓存,或在每次操作前从 PLC 服务器获取最新状态。对于高频操作场景,建议实现操作队列与状态同步机制,避免因网络抖动导致的操作序列断裂。
轮换密钥的多密钥体系设计
ATProto 的密钥体系采用了多密钥分层架构,允许账户同时持有多个轮换密钥,并按优先级排序形成密钥链。这一设计的核心价值在于分散风险与支持协作托管。
在标准配置下,用户账户通常拥有一个签名密钥与一个恢复密钥。签名密钥用于日常的身份认证与数据签名,其私钥通常存储在用户设备的密钥链或安全飞地中。恢复密钥则作为「最后防线」,仅在签名密钥丢失或泄露时启用,其私钥应当采用更严格的离线存储策略,例如加密后存入硬件钱包或纸质备份。
轮换密钥的引入扩展了这一模型。一个账户可以注册最多 N 个轮换密钥,这些密钥在 DID 文档中以排序列表形式存储。排在列表前端的密钥拥有更高的权限优先级:当多个密钥同时提交冲突的操作时,排序在前的密钥主张将被采纳。这一机制为多设备同步、团队协作以及渐进式密钥迁移提供了灵活的框架。
在实践中,配置轮换密钥时需要考虑以下参数。密钥数量建议控制在 3 到 5 个之间,过少则失去冗余价值,过多则增加管理复杂度与验证开销。排序策略上,主密钥应置于首位,备份密钥依次排列。对于企业级应用,建议将不同密钥分配给不同安全域的保管人,并实施多签机制以防范单点故障。
密钥注册通过 com.atproto.identity.submitPlcOperation 实现,操作类型为 rotate_signing_key 或 rotate_recovery_key。提交时需要使用当前有效的轮换密钥进行签名,如果遗漏了服务器端持有的轮换密钥,操作将被拒绝。这一设计确保了即使在密钥更新过程中,PDS 仍然能够代表用户与协议栈交互,避免了因密钥轮换导致的账户锁定风险。
恢复机制与紧急响应流程
账户恢复是密钥管理体系中最复杂的环节,ATProto 通过恢复密钥与 PDS 协调机制构建了两层保障。
当用户失去所有签名密钥的控制权时,恢复密钥成为唯一的救赎途径。恢复流程相对直接:使用恢复密钥签署新的 rotate_signing_key 操作,将一个新的签名密钥注册到 DID 文档中。恢复完成后,原有的泄露密钥应当通过 rotate_recovery_key 操作及时更换,以防后患。
更常见的场景是 PDS 服务商故障而非用户密钥泄露。此时,账户迁移机制发挥作用。用户首先需要获取一个新的 PDS 实例,然后通过 update_atp_pds 操作更新 DID 文档中的 PDS 地址。由于所有历史数据仍然由用户掌控(通过签名验证确保完整性),新 PDS 可以从联邦网络中拉取账户的完整历史状态,实现无缝切换。
工程实践中,建议用户定期执行以下维护任务以降低恢复风险。第一,验证恢复密钥的可访问性,至少每季度尝试使用恢复密钥执行一次只读操作,确保备份介质未损坏。第二,监控 DID 文档中的密钥列表状态,及时清理已失效的旧密钥。第三,为关键操作(如恢复密钥轮换)设置提醒日历,避免因遗忘导致的安全窗口扩大。
从系统设计角度审视,ATProto 的密钥管理在可用性与安全性之间取得了良好的平衡。多密钥体系支持了从个人用户到机构托管的渐进式需求,而基于日志的 DID 文档确保了状态变更的可审计性。然而,当前 PLC 方法仍依赖中心化服务器进行操作排序,这成为协议向完全去中心化演进的主要攻克方向。根据 ATProto 团队的公开路线图,未来有望引入 permissioned DID consortium 替代当前的中心化排序方案,进一步提升系统的抗审查能力。
资料来源
- AT Protocol 官方规范:https://atproto.com/specs/cryptography
- AT Protocol 官方规范:https://atproto.com/specs/did
- npm @atproto/plc 包文档:https://www.npmjs.com/package/@atproto/plc
- GitHub atproto 讨论:How to edit did:plc rotation keys