文/蔡孟凌
講到區塊鏈,可能有些人會覺得這是一個什麼都能解決的萬能鑰匙。這幾年我們可以看到,區塊鏈的確帶來了許多創新,除了眾所周知的加密貨幣和基於區塊鏈的金融科技應用之外,物聯網(IoT)、共享經濟、醫療保健系統、智慧城市、智慧電網、社會製造和供應鏈等領域都可見區塊鏈的應用。然而,任何技術都不是完美無缺的,區塊鏈也不例外。
區塊鏈融合了密碼學、P2P 網路協定、共識演算法等多種技術,以實現更多的安全系統功能。通常在提及「區塊鏈安全」時,主要是指保護區塊中的交易免受內部、惡意、外圍和無意的威脅,區塊鏈可以與智能合約結合,透過自我限制和安全加密,確保程式能夠可信地、自動地執行預設邏輯。圖 1 呈現一個區塊鏈安全研究框架,又稱為 PDI 模型,在這個模型中將區塊鏈安全問題分為三個層次:流程層次(Process level)、數據層次(Data level)和基礎設施層次(Infrastructure level)。本篇文章將著重在基礎設施安全的部分,並討論三個面向:私鑰管理、終端和網路的漏洞、合規性。
(資料來源:Leng, Jiewu, et al, 2020. Blockchain security: A survey of techniques and research directions.)
私鑰管理:用戶的大考驗
我們來聊聊私鑰管理,這可是個大挑戰。在傳統的銀行系統裡,如果你忘記了密碼,可以透過銀行來幫忙重設。但在區塊鏈世界裡,卻沒有這樣的後門。你的私鑰就像是一把打開財富大門的鑰匙,一旦丟失或被盜,你的數位資產就可能永遠消失。這就像是你把家裡的保險箱鑰匙丟了,而且那保險箱是防彈的、防爆的,甚至連火焰切割機都切不開。這樣的安全措施雖然堅固,但也帶來了巨大的風險。例如,曾經有人發現了 ECDSA(橢圓曲線數位簽章演算法)中的一個漏洞:無法保證簽章足夠隨機性的情況下,將可能允許惡意攻擊者產生或恢復使用者的私鑰對。因此,在去中心化的安全框架下,如何建立更安全的私鑰管理機制以實現整體安全至關重要。
[ 推薦閱讀:AI 助力加密貨幣追蹤技術發展 ]
我們需要有更為人性化,同時又具備安全性的私鑰管理方案。有些公司近年也因應這樣的問題開發出創新的解決方案,例如多重簽名、生物識別技術,或者是一些智能合約的應用來幫助管理私鑰。
終端和網路漏洞:安全的另一面戰場
再來看看終端和網路的安全問題。在區塊鏈的世界裡,任何連接到網路的裝置都可能成為攻擊的目標。不管是 DDoS 攻擊,還是 BGP 邊界閘道劫持,或者是 Eclipse 攻擊,這些都是駭客常用的手段。你可能以為你的區塊鏈資產安全無虞,但實際上,只要有一個環節薄弱,整個系統的安全都可能受到威脅。
為了降低客戶端複雜性和加速驗證,有一種名為「分散式輕量級客戶端協議(Distributed Lightweight Client Protocol)」的區塊鏈安全驗證協議,該協議要求客戶端對請求進行一次加密,允許一組預先指定的完整節點來管理它。有些人也提出將私鑰和公鑰與資料加密結合使用的情況下,可以為區塊鏈提供更高層級的基礎設施安全性。簡言之,網路安全不僅是技術問題,更是一個策略問題。我們需要建立起更加堅固的防護機制,同時也需要進行持續的監控和檢測,以確保網路的完整性和可靠性。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
合規性賦能:不只是打勾勾
最後,讓我們談談合規性。在傳統的金融系統中,合規性是極為重要的一環,區塊鏈也不例外。但是,在區塊鏈的世界裡,合規性就像是一個動態的拼圖。因為一方面,企業需要證明它們的操作符合法律和行業標準;另一方面,隨著技術的不斷進步和監管環境的變化,合規的標準和要求也在不斷地演變。
我們需要的不僅僅是打勾勾的合規性檢查,更需要一個全面、動態的合規性策略,這涉及到教育、訓練、政策制定,以及技術創新。
總結
在區塊鏈的世界裡,安全不是一個靜態的狀態,而是一個動態的過程。從私鑰管理到網路安全,從合規性到用戶教育,都需要不斷地學習、適應和創新。這不僅是技術人員的責任,每一個區塊鏈的參與者都應該對此負有責任。
[ 閱讀所有 蔡孟凌 的文章 ]
區塊鏈的未來是光明的,但這條路不會是平坦的。唯有透過我們所有人的共同努力,才能確保這個未來既明亮又安全。讓我們一起踏上這個旅程,以謹慎和智慧的態度,迎接區塊鏈技術帶來的一切可能性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
