区块链核心技术与应用
上QQ阅读APP看书,第一时间看更新
上一章目录下一章

序三 区块链与系统安全

作为一个新兴的融合型技术,区块链日益受到社会各界的关注。如何客观、正确地认识区块链,对待区块链是值得我们思考的第一个问题。我个人认为不能把区块链仅仅看成是一项技术,而更重要的是要把区块链看成是一种伟大的思想和方法,我们要运用区块链的思想和方法解决实际的问题,而不仅仅是坐而论道。第二个问题是我们应该在什么场景下应用区块链?我认为凡是在高价值的数据的管理、流通与共享领域都可以应用区块链。第三个问题是我们应该如何处理在区块链落地时所碰到的问题。区块链作为一种新兴事物,在实际落地中可能会出现各种问题。我们首先应该积极支持区块链的创新,对新出现的问题,及时分析研究,找出对策,确保区块链这个新兴事物能健康发展。

作为一个从事安全研究工作几十年的科研工作者,我认为,区块链应用落地目前碰到的最大问题将是安全问题。很多人可能不理解,认为区块链的核心技术之一是密码学,因此区块链应该是一种安全技术,怎么安全问题反而是区块链的最大问题呢?让我们来看看近期发生的安全事件:2018年6月,韩国加密货币交易所Coinrail遭到网络入侵,导致事件发生的24小时内:比特币下跌1000美元,以太币、瑞波币、比特币现金均现两位数跌幅,热门的EOS跌幅更是将近20%。加上过去很多由于安全漏洞造成区块链上数字资产的重大损失案例,大家就不难理解,区块链的安全问题为什么在整个区块链应用落地中是如此重要的问题了。

那么区块链项目现在面临了哪些主要的安全问题?答案是私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、量子计算机威胁等。这些例子包括:2016年6月17日,黑客偷取众筹超过1.5亿美元的The DAO项目1/3的以太币,导致项目失败;2016年8月2日,因为多重签名漏洞,香港的比特币交易所时值约7000万美元的比特币被盗;2016年8月,Krypton受到51%攻击,导致Bittrex钱包中共21465个KR(代币)被盗;另外2018年4月22日,BEC(代币)由于代码溢出问题从60亿市值直接归零

我们看到区块链系统面临的安全威胁是实在的,并不是危言耸听。那如此重要的安全性应该怎么保障呢?我们知道,任何信息系统的安全包括保密性(confi dentiality)、完整性(integrity)和可用性(availability),也就是常说的(CIA)。

从保密性上来说,区块链系统以公钥的变形作为交易地址,为用户提供了保密性;零知识证明、环签名等,为交易提供了保密性。区块链系统也大量应用了密码的前沿技术。

从完整性上来说,签名验证算法保证了交易的完整性,链式结构保证了数据的完整性,高度同构结构,保证了系统的完整性。

从可用性上来说,每个副本节点保存相同的数据,保证了数据的可用性,多方共识机制保证了交易信息的可用性。

所以我们看到区块链系统相对传统的系统来说,从三个方面提供了比较强的安全属性。

但是我们要清醒地认识到,任何系统的安全取决于系统安全的最薄弱环节,也就是常说的木桶的容量不取决于最长板,而是取决于最短板。

先从区块链系统的安全性方面来看一下算法的安全性。目前的区块链用的加密算法基本上是安全的,但是Shor量子算法在理论上能破解在区块链上广泛使用的公钥系统。如果量子计算机实现商用,那么现在区块链上的公钥系统算法都会变得不安全,所以说,区块链的密码学算法的安全性是相对的。

接下来看看区块链协议的安全性。① 区块链协议本身可能就有逻辑缺陷,像受到黑客攻击的区块链系统共识机制,其实也是利用协议上存在的安全问题。② 所有的数字货币系统安全性高度依赖私钥,导致私钥安全与否对整个区块链系统影响非常大。③ 区块链系统实现安全性存在隐患。2016年10月,国家互联网应急中心选取了25款具有代表性的区块链软件,发现了大量安全隐患,所以目前区块链的软件从代码的安全性来说,是非常令人担忧的。

那么我们面对这些安全问题应该怎么办?① 针对算法安全性,应对措施之一就是采用抗量子的算法,采用聚合签名策略、环签名策略、门限签名策略,总之要采用新的密码技术,这些密码技术本身要经得起考验。② 针对协议安全性,需要在PoW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。③ 针对实现安全性的应对方法,需要对关键代码进行严格完整测试,以及采用更加安全的智能合约,对智能合约进行形式化验证。

除区块链本身安全外,使用安全性也是安全重要一环,主要是对私钥存储、使用这方面进行保护。特别对交易所来说,因为交易所聚集了大量的数字货币,成为黑客或者一些敌对、恐怖组织针对的重要目标,所以选择安全交易所非常重要。

在建设网络强国的指导思想下,我国大力发展区块链、大数据技术,既要注重经济效益,也要注重安全问题,二者缺一不可!区块链系统安全十分重要,目前区块链系统安全面临着巨大的挑战,所以需要我们积极应对。

近年来区块链技术吸引了大量金融和科技企业进行投资,许多投资者认为这项技术具备改变多个行业的能力(如医疗、公共事务、能源、工业、金融行业等),但现状是很多人仍然不了解这项技术及其成熟度,对区块链抱有不切实际的幻想。他们希望部署区块链来获取利益,但对区块链的核心能力了解并不充分。这本书给读者一个全面系统理解区块链的机会,既没有夸大,也没有贬低,观点比较客观中肯,值得推荐。

——斯雪明,复旦大学教授、中国计算机协会区块链专委会主任

上一章目录下一章