1. 연구보고서의 요점

• Passkey는 설치가 필요 없고, 보안성, 편의성, 개인 정보 보호 기능을 갖춘 차세대 Web2 계정 기술입니다.

• 패스키 지갑은 이 기술을 블록체인 세계에 소개하고 새로운 지갑 경험을 선사합니다.

• 사용자 경험은 기존 Web2 계정을 능가하며, 새로운 사용자 경험은 새로운 사용자 시나리오를 탄생시킬 것입니다.

• 일반 사용자가 블록체인 세계에 진입할 수 있는 문턱이 완전히 사라졌으며 Web3의 대규모 대중화가 코앞으로 다가왔습니다.

2. 개요

2.1 패스키 기술 소개

Passkey를 도입하기 전에 먼저 WebAuthn을 도입해야 합니다. Apple, Google, Microsoft, Meta 등이 공동으로 지원하는 FIDO Alliance에서 제안한 비밀번호 없는 로그인 기술입니다. 사용자 비밀번호 인증 방식을 대체하여 장치에서 생성된 비대칭 키 쌍을 통해 사용자 인증을 수행합니다. 그 원리는 우리가 전통적으로 사용하는 USB 쉴드나 하드웨어 지갑과 유사하며, 사용자는 장치에 저장된 개인 키를 사용하여 디지털 서명을 만들어 서버에 자신의 신원을 인증합니다.

WebAuthn의 개인 키는 Apple 장치의 Secure Enclave, Android 장치의 Secure Element 및 PC 장치의 TPM에 해당하는 전용 보안 칩에서 생성 및 관리됩니다. 이들은 모두 CPU 및 운영 체제와 독립적인 독립 칩이며 보안 수준이 매우 높습니다. 예를 들어 Apple Pay 신용카드 정보가 이 영역에 저장됩니다. 보안 칩의 개인 키는 외부 API를 통해 읽을 수 없으며, 디지털 서명 작업을 위해 시스템의 잠금 화면 모듈(일반적으로 생체 인식)을 통해서만 호출할 수 있습니다.

Passkey는 WebAuthn 기반의 키 암호화 동기화 솔루션입니다. 사용자는 icloud 또는 Google 계정을 사용하여 장치 개인 키를 자동으로 암호화하고 동기화하여 동시에 여러 장치에서 웹 사이트에 자동으로 로그인하는 경험을 얻을 수 있습니다. 현재 iOS, Android, MacOS를 포함한 주류 ​​장치는 Passkey를 완벽하게 지원하는 반면, Windows 10/11은 WebAuthn만 지원합니다.

Passkey/WebAuthn(둘 사이의 유일한 기술적 차이점을 고려하면 앞으로는 Passkey로 통칭함) 기술은 대기업에서 추진하는 차세대 계정 인증 기술로, 비밀번호가 없고, 비밀번호가 없으며, 손실 방지, 위조 방지, 간단하고 사용하기 쉬운 등. 그러나 서로 다른 브랜드의 기기는 서로 신뢰할 수 없다는 자연적인 결함도 있고, iOS Passkey를 Android 기기와 동기화하는 것이 불가능하므로 브랜드 단말기를 통해 계정에 로그인하는 것이 항상 큰 문제입니다.

2.2 Passkey는 Web3의 장점을 결합합니다

패스키 기술 자체는 Web2 네트워크 서비스용으로 설계되었으며 Web3/Crypto 애플리케이션 시나리오를 고려하지 않습니다. 그러나 비대칭 키 아키텍처로 인해 Web3와 결합하면 큰 이점을 발휘할 수 있습니다.

• 패스키 지갑을 사용하면 비밀번호와 단어가 없는 비수탁형 지갑을 구축할 수 있습니다.

• 패스키 지갑은 이메일, 휴대폰 번호 또는 사용자 이름을 포함한 사용자 개인 정보를 공개할 필요가 없습니다.

• 패스키 지갑은 일반 사용자의 지갑 보안을 하드웨어 수준으로 향상시켜 더 나은 사용자 경험을 제공합니다.

• 블록체인은 신뢰 중개자 역할을 할 수 있어 서로 다른 브랜드의 장치에서 생성된 패스키를 상호 인식할 수 있으므로 Web2가 패스키를 사용할 때보다 더 나은 사용자 경험을 제공할 수 있습니다.

보안, 편의성, 비수탁성 등 불가능해 보이는 이 세 가지 장점을 Passkey 지갑에서 실현할 수 있으며, 이는 Web3 대량 채택 서사의 중요한 촉진제가 될 것입니다.

2.3 ERC 4337과 MPC 지갑에 대한 간략한 분석

또한 대량 채택 이야기에 초점을 맞춘 ERC 4337 계정 추상 지갑과 MPC 보안 다자간 컴퓨팅 지갑이라는 두 가지 주요 솔루션이 이미 시장에 나와 있습니다. 먼저 그 원리와 특징을 간략하게 살펴보겠습니다.

ERC 4337 지갑

ERC 4337은 EVM 계약 지갑을 위한 애플리케이션 계층 표준입니다. 컨트랙트 지갑 자체의 장점으로는 개인키 분실 시 재설정, 처리수수료 지급, 유연한 권한 관리, 일괄 거래 등이 있습니다. 그러나 높은 초기화 비용, 높은 단일 거래 수수료, 열악한 Dapp 호환성 등 단점도 분명합니다. 이는 계약 지갑의 이론적인 장점과 단점이지만 실제 사용 시에는 다른 많은 단점이 노출됩니다.

사용자에게는 여전히 개인 키가 필요하며, 개인 키가 어떻게 생성되고 관리되는지는 의문입니다.

개인 키 분실 및 재설정 시 트러스트 앵커 문제: 사용자 지갑의 개인 키를 재설정할 권한은 누구에게 있습니까?

개인키 재설정의 멀티체인 동기화 문제: 사용자가 폴리곤에 자산만 갖고 있고 이때 개인키를 재설정한다고 가정할 때, 이더리움의 계약 개인키를 재설정해야 할까요? 재설정할 경우 높은 처리 수수료가 필요하며, 재설정하지 않을 경우 후속 사용자는 이더리움에서 해당 계정을 사용할 수 없습니다.

사용자가 지불하거나 제3자가 보조금을 지급해야 하는 초기 배포 비용의 출처에 문제가 있습니다.

4337 프로토콜에 따른 번들러에 대한 인센티브 문제

이러한 이론적, 실무적 문제로 인해 ERC 4337 지갑의 실제 채택률은 예상보다 낮습니다.

MPC 지갑

MPC 지갑은 개인 키를 여러 부분으로 나누어 보관을 위해 여러 당사자에게 넘겨주는 방식으로, 서명이 필요한 경우 개인 키를 엮어 완전한 개인 키를 구성한 후 서명하거나 각 조각을 서명합니다. 개별적으로 서명이 병합되어 완전한 서명으로 계산됩니다. . MPC 지갑의 장점은 다음과 같습니다.

온체인 비용이 낮고 사용자는 지갑 계약 실행 수수료를 추가로 지불할 필요가 없습니다.

복구 솔루션은 유연하며 사용자는 이메일, 휴대폰, 비밀번호, 클라우드 저장소 및 기타 방법을 인증 방법으로 사용하여 복구 조각을 얻을 수 있습니다.

플랫폼 독립적인 MPC 지갑은 EVM을 지원할 뿐만 아니라 이론적으로 다양한 블록체인 시스템을 지원합니다.

그러나 MPC에는 상대적으로 큰 단점도 있습니다. 즉, 중앙 집중식 샤드 호스팅 및 서명 서비스를 도입해야 한다는 것입니다. 샤드 서버의 정보 보안과 데이터 백업을 유지하고, 사용자 서명 요청에 적시에 응답할 수 있도록 하려면 많은 비용이 필요합니다. 이는 또한 MPC 지갑의 비즈니스 모델이 toB SaaS이며 사용자의 마이그레이션이 어렵다는 사실로 이어집니다. 이는 또한 사용자를 특정 MPC 서비스 제공자에 바인딩하는 것을 꺼리는 애플리케이션으로 이어집니다.

3. 패스키 지갑 상품 분석

3.1 패스키 지갑의 세 가지 방향

현재 시중에 판매되고 있는 패스키 지갑을 분석한 결과, 기술적인 방향은 크게 3가지로 나누어져 있는 것을 확인했습니다.

Clave와 Banana SDK로 대표되는 AA + Passkey 서명 검증 솔루션

턴키(Turnkey)로 대표되는 중앙집중식 위임 인증 방식

JoyID로 대표되는 Signature Transform 솔루션

아래에서는 이를 하나씩 소개하고 분석해 보겠습니다.

3.2 Clave & Banana SDK

첫 번째 유형의 지갑은 AA + Passkey 서명 아키텍처를 채택하고 EVM 호환 체인에 추상 계정을 구성하며 스마트 계약을 직접 사용하여 Passkey 서명을 확인합니다. 대표적인 프로젝트 두 가지를 소개합니다.

Clave (https://www.getclave.io/)는 원래 EthGlobal Hackathon 2023에서 상을 받은 프로젝트였습니다. 참가 당시 프로젝트 이름은 opClave였습니다. EVM 계약을 사용하여 Passkey에 필요한 secp 256 r 1 서명을 계산합니다.(일반적인 secp 256 k 1이 아님) 알고리즘 복잡성과 EVM 기능의 제한으로 인해 Passkey 서명을 확인하려면 600,000~900,000 가스가 필요합니다. 이는 실제 시나리오, 적어도 대량 채택 시나리오에서는 허용되지 않습니다. 따라서 Clave는 별도의 Layer 3 체인을 구축하고 여기에 미리 컴파일된 secp 256 r 1 서명 검증 계약을 추가하여 가스 소비를 줄일 계획입니다. 그러나 이 방식은 지갑의 멀티체인 특성을 심각하게 손상시켜 대중화되기 어렵다.

Banana SDK (https://www.bananawallet.xyz/)는 toC 지갑이 아닌 toB SDK로 자리매김하고 있습니다. Banana SDK를 통해 dapp 당사자는 임계값이 낮은 지갑을 어디에나 내장할 수 있어 사용자가 쉽게 가져올 수 있습니다. 하지만 근본적인 해결책과 문제점은 Clave와 동일하며 높은 가스비가 이 제품의 실용성을 가로막는 가장 큰 장애물입니다.

이더리움의 패스키 서명 검증 비용 문제를 해결하기 위해 개발자들은 EIP-7212(https://eips.ethereum.org/EIPS/eip-7212) 및 기타 이더리움 제안에서는 EVM이 사전 컴파일된 secp 256 r 1 서명 확인 알고리즘을 내장하여 서명 확인 비용을 크게 절감할 수 있기를 바랍니다. 그러나 이 EIP에는 기본 암호화 및 합의 레이어에 대한 수정이 포함되며, 통과가 가능하더라도 메인 네트워크에 병합하는 데 걸리는 시간은 수년으로 계산됩니다. Clave는 현재 zksync와 협력하여 EIP-7212를 zksync로 대체하고 이를 주로 배포하고 있습니다.

또한 영지식 증명을 사용하여 온체인 계산을 줄이는 솔루션을 포함하여 AA + Passkey 온체인 서명 검증과 유사한 프로젝트를 위한 다른 솔루션도 있습니다.knownothinglabs헤일로 2를 사용하세요.bonfire wallet위험도 0 분재를 사용하세요. 그러나 대부분의 제품은 제품 프로토타입 단계에만 존재하며, 현재 더 이상 분석할 수 있는 제품은 없습니다.

3.3 Turnkey

Passkey 서명의 스마트 계약 검증 비용을 고려하면 Turnkey(https://turnkey.com) 및 기타 개발자들은 패스키 검증을 체인 외부에 두는 대신 중앙 집중식 서비스에서 사용자의 패스키 서명을 검증하도록 하며, 서명 검증이 성공한 후 암호화 기계를 제어하여 서명을 생성합니다. 이 솔루션은 기본적으로 Web2가 Passkey를 사용하는 방식으로 사용자 이름과 비밀번호를 공개-개인 키 쌍으로 대체하지만 최종 인증 결정은 여전히 ​​중앙 서버에서 제공됩니다.

턴키는 toB의 WaaS 서비스로 자리매김하고 있으며 개발 도구가 매우 완벽하고 개발자 경험이 매우 좋으며 생태학적 지원도 매우 좋다는 장점이 있습니다. 이미 다음과 같은 제품을 개발하는 많은 파트너가 있습니다.dynamic.xyz턴키 기반의 ToC 지갑 서비스를 제공하며 좋은 사용자 경험을 가지고 있습니다.

하지만 턴키의 문제점도 매우 두드러집니다. 즉, 턴키는 본질적으로 사용자의 지갑 개인 키를 관리합니다(문서에서는 비수탁형임을 반복적으로 강조하고 있습니다. 그 이유는 개인 키가 TEE 환경에 있기 때문인 것 같습니다. 서버이며, 관리자는 TEE)에 직접 접근할 수 없으며, 비즈니스 모델은 toB의 SaaS 서비스이며, 서비스가 오프라인 상태가 되면 사용자는 서명할 수 없는 문제에 직면하게 됩니다.

3.4 JoyID

조이아이디 지갑(joy.id)는 기술적으로 Signature Transform이라는 고유한 경로를 취하고 있습니다. JoyID 지갑 자체는 Ethereum, Bitcoin, Solana 등을 포함한 여러 체인을 지원하고 이러한 체인에서 표준 EOA 지갑으로 작동하는 동시에 Nervos CKB의 AA 계정을 통해 자체 키와 승인된 장비를 분산화합니다. . 이는 AA 계정의 유연성과 EOA 계정의 저렴한 비용 및 높은 호환성을 결합한 매우 특별한 아키텍처입니다.

JoyID에서 관리하는 AA 계정은 주로 여러 기기 간 Passkey의 상호 인증을 담당하며, 2-of-2 키로 계산된 암호화된 조각을 저장하고, 다른 조각은 서명 시 장치에서 Passkey를 통해 실시간으로 계산합니다. secp 256 r 1 → secp 256 k 1 사이의 분산형 서명 변환을 달성하는 방법입니다. 이 솔루션은 거래 서명 시 서버 개입이 필요하지 않으며, 사용자 장치 측의 보안 칩 서명을 완전히 기반으로 하여 보안, 분산화 및 비수탁성을 보장합니다.

실제 제품 경험 측면에서 JoyID의 전체 프로세스는 매우 원활하고 원활하며 사용자는 어떠한 정보도 입력할 필요가 없으며 두 번의 시스템 인증으로 지갑 생성을 완료할 수 있습니다. 전체 프로세스는 몇 초 밖에 걸리지 않으며 중간에 비용을 지불할 필요가 없습니다. 현재 모든 Passkey 지갑 중에서 가장 완벽하고 성숙한 솔루션입니다.

4. Web3 지갑의 미래

패스키 지갑의 장점을 요약하면 설치 불필요, 하드웨어 수준의 보안, 생체 인증, 니모닉 문구 불필요, 언제든지 복원 가능, 비밀번호 불필요, 개인 정보 제공 불필요, Web2 대기업에 의존하지 않음, 높은 EOA 호환성(일부 지갑에서 지원) 기다려주세요. 기존 Metamask 플러그인 지갑 및 니모닉 지갑과 비교하여 사용자 경험은 물론 보안까지 크게 향상되었습니다. 심지어 사용자 경험도 사용자가 이메일과 휴대폰 번호를 제공해야 할 뿐만 아니라 인증 코드 확인을 통과해야 하는 Web2 계정의 등록 경험을 능가했습니다.

새로운 사용자 경험은 새로운 사용자를 불러오고, 이는 다시 새로운 애플리케이션 시나리오를 낳게 됩니다. 음악 NFT, 크리에이터 경제, Open Loyalty 및 DAO와 같은 Web3 애플리케이션은 주류 지갑 사용자의 투기적 특성으로 인해 제한을 받았고 종종 자신의 귀중한 비즈니스에 집중할 수 없었습니다. 투기적이지 않은 사용자가 많이 유입되면 이러한 애플리케이션 시나리오는 실질적인 이점을 발휘하고 고객에게 장기적인 가치를 제공할 수 있습니다.

Web3 지갑의 미래 패턴은 WeChat Pay와 Alipay의 관계와 유사할 가능성이 높습니다. 사용자들은 알리페이(Alipay)를 통해 금융서비스를 이용하고, 위챗(WeChat)을 통해 매일 소액결제를 하고 있다. Web3 지갑의 경우 모든 사람은 DeFi 비즈니스 및 자산 저장을 위해 하드웨어 지갑 또는 니모닉 지갑을 사용하고 일일 dapp 상호 작용 및 소액 결제를 위해 Passkey 지갑을 사용합니다. Passkey 지갑이 대중화되어 실제 대규모 사용자를 유치할 수 있기를 기대합니다.